ISACA Latin CACS y Latin ISRM. Dos de los eventos mas importantes y representativos relacionados con la Seguridad de la Informacion, Auditoria de TI, Gestion de Riesgos y Gobierno de TI que se realizará por primera vez en una misma sede: San Juan de Puerto Rico con actividades del 1 al 7 de Octubre. Mas informacion en www.isaca.org
1. DoS conferencias.
en el MiSMo Lugar.
inTerCaMBie ConferenCia Latinoamericana
inTerCaMBie
inTerCaMBie
de auditoría, Control y Seguridad
inTerCaMBie
Caribe Hilton
San Juan, Puerto Rico
3-5 Octubre de 2011
www.isaca.org/lacacs11
aprenDa
aprenDa inTerCaMBie
aprenDa inTerCaMBie
aprenDa inTerCaMBie
i n S pi r e inTerCaMBie
i n S pi r e
i n S pi r e
i n S pi r e
aprenDa
ConferenCia Latinoamericana aprenDa
de Seguridad de la información y aprenDa
administración del riesgo aprenDa
Caribe Hilton
San Juan, Puerto Rico i nS pi r e
i nS pi r e
5-6 Octubre de 2011
i nS pi r e
www.isaca.org/isrmla11 i nS pi r e
2. DoS conferencias. Comité del Programa
uan
en el MiSMo Lugar. CaCS
Carlos Villamizar, CiSa, CiSM,
anJ
CgeiT, CriSC (Chair)
Digiware de Colombia S.A
S
Colombia
Lenin p. espinosa, CiSa, CriSC
Banco Pichincha
Ecuador
nidia ivankovich, CiSa
BAC Credomatic Network
Costa Rica
Larry Llirán, CiSa, CiSM
FIRSTBANK
Puerto Rico
Carmen ozores, CriSC
Ozores Consulting
Brasil
Salomon rico, CiSa, CiSM, CgeiT
Deloitte México
México
iSrM
Mario ureña, CiSa, CiSM, CgeiT
(Chair)
Secure Information Technologies
México
evelyn anton, CiSa, CiSM, CgeiT,
CriSC
UTE
Acerca de la Conferencia
Uruguay
Miguel aranguren, CiSa, CiSM,
CgeiT, CriSC
IBM
Adquiera los conocimientos que necesita para ir un paso por delante Colombia
de sus competidores y estar al día con las cambiantes tendencias Héctor ortiz, CiSM
Banco de Occidente
profesionales. La Conferencia Latinoamericana de Auditoría, Control Honduras
y Seguridad y la Conferencia Latinoamericana de Seguridad de la
Información y Administración del Riesgo le proporcionan la informacíon Comité del Capítulo
mas relevante y actualizada. Anfitrión—
Capítulo Puerto Rico
¿Por qué usted debe asistir? Miguel Colon, CiSa, CiSM, CriSC
(Chair)
Evertec, Inc.
• Aprenda acerca de gobierno de seguridad de la nube, riesgos en la nube desde la
Lymaris Toro
perspectiva del negocio, y auditoría de un ambiente basado en la nube Evertec, Inc.
• Gane conocimiento acerca de estrategias efectivas de ciberdefensa y
Maricarmen rivera, CriSC
ciberseguridad Medical Card System, Inc.
• Entienda sobre creación de valor a través de la gestión de riesgos de Tecnología Sandra fonseca, CiSa, CiSM
de Información AEELA
• Interconéctese con colegas de profesión de todo el mundo Lola Vargas, CiSa
Consultora
• Gane horas de educación profesional continua (EPC)—
Lourdes oritz, CiSa
hasta 19 en LatinCACS y hasta 14 en ISRM Latin Popular, Inc.
John r. robles, CiSa, CiSM
Consultor
2
3. ConferenCia LaTinoaMeriCana De auDiToría, ConTroL y SeguriDaD—
preSenTaCión inauguraL
Computación en la Nube—¿Estás Listo,
lo Necesitas? Cómo Arrancar…
La presentación toca la proposición de valor detrás del modelo nube, su evolución
y hacia donde predicen que va dirigido. Como definir si puede considerarlo para
su organización y cómo lograr modelar su estrategia para adaptar el proceso de
cloud adecuado que le traerá valor a su negocio, minimizando los riesgos de la
transformación a los modelos funcionales cloud.
El señor erie a. pérez es Primer Vicepresidente y Principal Ejecutivo de Tecnología de First Bank, un
banco regional de $20 billones de dólares. Es responsable de dirigir las operaciones de tecnología
erie a. pérez, p.e. que en su entorno son los grupos de Arquitectura y Planificación Estratégica, Oficina de Gerencia de
CTO Proyectos, Desarrollo e Integración, Infraestructura, Centro de Datos y Seguridad de Información y
FirstBank Riesgo Operativo. Esto en apoyo a las áreas de negocio, operaciones y subsidiarias regionales. Es parte
del Grupo Ejecutivo y ocupa un asiento en los comités de Estrategia Corporativa y Riesgo Empresarial.
Antes del grupo financiero ha manejado operaciones en seis países de las Américas, fungiendo como
asesor de negocio en Consultoría Gerencial y liderando proyectos de tecnología para empresas como
Westinghouse, Lucent Technologies y Novell y para cuentas como American Airlines, Verizon y Blue
Cross Blue Shield, entre otros.
Pérez posee maestría en Ingeniería de Computación y Eléctrica de Georgia Tech y en Administración de
Empresas de la Universidad de New Orleans, y bachillerato en Ingeniería Eléctrica de la Universidad de
Puerto Rico, Recinto de Mayagüez.
Actualmente es miembro de la junta de Consejo Asesor de FIS Global (Fidelity National Information
Services, Inc).
Erie vive con su esposa Yanice y su hija Alexa Kamila en Gurabo, Puerto Rico. Le gusta tocar el violín,
practica el buceo y el golf.
iSrM ConferenCia—preSenTaCión inauguraL
Seguridad en las Etapas de Virtualización
Hasta la Nube
La virtualización comenzó hace varios años en las compañías y actualmente la
tendencia muestra que el camino es virtualizar prácticamente toda la compañía,
incluyendo servidores, estaciones de trabajo, dispositivos de seguridad y red
llegando finalmente al concepto de la nube.
Julio César ardita, CiSM La seguridad en todo el proceso de virtualización es un factor crítico que debe ser
Director de Tecnología tenido muy en cuenta debido a los riesgos existentes. A lo largo de la presentación
CYBSEC analizaremos como desarrollar una arquitectura de virtualización en un entorno
seguro, como implementar medidas de administración y configuración del
hypervisor y las estrategias a tener en cuenta en el proceso de virtualización de
servidores, estaciones de trabajo y dispositivos de red y seguridad.
Julio César ardita es fundador y Director de Tecnología de CYBSEC desde 1996. Es Licenciado
en Sistemas de la Universidad Argentina John F. Kennedy, posee un Master en Gestión de las
Telecomunicaciones en la Empresa de la Universidad Politécnica de Madrid y la certificación
internacional CISM. Actualmente Julio Ardita es profesor de cinco maestrías y postgrados de seguridad
en Latinoamérica, participa en comités académicos de eventos y ha brindado más de setenta
exposiciones en distintos países.
www.isaca.org/lacacs11 | www.isaca.org/isrmla11
3
4. Identificar criterios para la selección de marcos
Pista 1
Latinoamericana de auditoría, Control y Seguridad 3-5 Octubre de 2011
LatinCACS 111 ■
de calidad.
¿Habla usted COBIT? B
■ Identificar los requerimientos de calidad especificados en
José Ángel peña, CgeiT COBIT, proceso PO8 y otros procesos interrelacionados.
Socio ■ Analizar estrategias para implementar exitosamente los
ALINTEC, México requerimientos específicos de COBIT, y como emplear e
integrar los marcos de calidad presentados
Después de terminar esta sesión usted podrá:
■ Saber de COBIT y su importancia en el mundo
■ Analizar el rol de los especialistas de auditoría/
aseguramiento
de negocios
■ Comprender la importancia de tener un lenguaje
común en TI y negocios
LatinCACS 211
Gobierno y Cumplimiento de TI
■ Entender los principios básicos del nuevo COBIT 5
■ Considerar como aplicar COBIT en mi organización La Optimización de Inversiones
■ Entender la relación de COBIT y otros marcos en TI y en Seguridad de la
de referencia Información para Atender a
Conformidad con Regulaciones I
Carmen ozores, CriSC
LatinCACS 121 IT Security Consultant
Del Alineamiento a la Ozores Consulting, Brasil
Sincronización: Un Nuevo
Comienzo I Después de terminar esta sesión usted podrá:
■ Justificar el costo de las implementaciones de controles
ramsés gallego, CiSM, CgeiT de TI para atender exigencias regulatorias
Chief Strategy Officer ■ Discutir como maximizar los beneficios de inversiones en
Entel Security & Risk Management, España TI, en especial en seguridad de información
■ Reconocer los aspectos de administración financiera de
Después de terminar esta sesión usted podrá:
■ Definir las diferentes velocidades a las que TI y el negocio proyectos de TI y su alineamiento estratégico con los
se mueven hoy en día y la necesidad de cambio objetivos de la organización
■ Explicar cómo TI debe aportar valor tangible al negocio
aplicando valor monetario a los procesos, información…
e incluso a las personas LatinCACS 221
■ Discutir la importancia de no sólo moverse en la misma Caso de estudio: Gestión del
dirección sino al mismo paso, a la misma velocidad, con Valor de TI como un abordaje para
la misma cultura Gobierno de TI I
■ Comprender la dimensión humana cuando se considera
francisco Seixas neto, CiSa, CgeiT
una inversión de TI
■ Ilustrar la triada Proyecto-Programa-Portafolio así como la
Socio
EGV Consultoría, Brasil
de Cultura-Estructura-Estrategia
Después de terminar esta sesión usted podrá:
■ Entender el concepto de Propuesta de Valor de TI y
LatinCACS 131 como gestionarla para garantizar TI como un deferencial
Alcanzando la Calidad a Través de competitivo para la organización
■ Utilizar la discusión de la estructura del mercado, desafíos
la Integración de COBIT con otro
Marcos de Trabajo (Frameworks) de negocio y sus impactos en la cadena de valor de
negocios como base para la definición de la propuesta de
B I
valor de TI
natalia gómez Lara ■ Definir un marco detrabajo para IT Governance a través de
Consultora la Gestión de Valor de TI
Banco de la República, Colombia ■ Analizar algunos casos reales en industrias, servicios y
empresas financieras
fernando ferrer olivares, CiSM
Socio Fundador
FERROL International Group, Colombia
Después de terminar esta sesión usted podrá:
■ Reconocer los marcos de calidad más populares
y sus características principales
B Básico I intermedio A avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción de la sesión para
determinar si la sesión es apropiada para usted.
4
5. LatinCACS 231 Construir la conversación de la nube con el nivel ejecutivo
Pista 1
Latinoamericana de auditoría, Control y Seguridad 3-5 Octubre de 2011
■
de su organización
Gobierno de Seguridad ■ Resumir los beneficios, retos y riesgos del ecosistema
en la Nube I de la nube
Cilliam Cuadra, CiSa, CiSM, CriSC ■ Descubrir cómo gobernar el entorno nube
Gerente de Seguridad de Información
Banco Nacional de Costa Rica, Costa Rica
orlando Tenorio, CiSa, CiSM, CriSC LatinCACS 331
Alto Gerente de Seguridad de Información Reflexiones y Recomendaciones
Banco Nacional de Costa Rica, Costa Rica sobre el Tratamiento de la
Privacidad de los Trabajadores en
Después de terminar esta sesión usted podrá:
Gobierno y Cumplimiento de TI
■ Descubrir los beneficios de utilizar la tecnología
el Entorno Tecnológico B I A
de la nube Sol Beatriz Calle D’aleman
■ Identificar las amenazas al utilizar la tecnología de la nube Directora del Centro de Propiedad Intelectual y Gestión
■ Evaluar las estrategias de control del riesgo al utilizar este de Conocimiento
tipo de tecnología Universidad Pontificia Bolivariana, Colombia
■ Identificar las consideraciones de seguridad al utilizar
Después de terminar esta sesión usted podrá:
tecnología de la nube ■ Adquirir conocimientos sobre la regulación de la
■ Identificar las áreas críticas de atención
privacidad en América y Europa
■ Analizar el impacto de tales regulaciones en las relaciones
empresa-trabajador
LatinCACS 241 ■ Detectar los riesgos de violación de la privacidad de los
PCI DSS del 1.2 al 2.0: trabajadores en el entorno tecnológico empresarial
Cambios y Nuevas Exigencias I ■ Evaluar las recomendaciones que resulten pertinentes
Héctor ortiz, CiSM para adoptar las mejores prácticas de seguridad de
CISO la información de la empresa versus seguridad de la
Banco de Occidente, Honduras información de los trabajadores
Después de terminar esta sesión usted podrá:
■ Entender qué implicaciones conlleva el cumplimiento
LatinCACS 341
de PCI Sistemas de Gestión Integral
■ Conocer las variantes más significativas del cambio
de versión
con PAS99, ISO 9001, ISO 27001,
■ Conocer las ventajas y desventajas de estar en ISO 20000, COBIT, BS25999/
cumplimiento y quienes sí deben cumplir ISO 22301 I
■ Definir qué requerimientos tiene cada dominio de Mario ureña, CiSa, CiSM, CgeiT
la nueva versión Director General
■ Entender las fechas límite y las consecuencias del Secure Information Technologies, México
no cumplimiento
Después de terminar esta sesión usted podrá:
■ Reconocer los elementos comunes de los sistemas de
gestión de acuerdo con PAS 99
LatinCACS 311 ■ Identificar los elementos comunes entre ISO 9000,
Más allá de la Nube: Reflexiones ISO 27001, ISO 20000 y BS25999
a 33,000 pies de Altura I ■ Aprovechar la asignación de recursos comunes para la
ramsés gallego, CiSM, CgeiT implementación efectiva del sistema
Chief Strategy Officer ■ Discutir los factores críticos de éxito para la
Entel Security & Risk Management, Madrid, España implementación del sistema de gestión integral
■ Combinar procesos comunes de los sistemas de gestión,
Después de terminar esta sesión usted podrá: tales como el control documental, la revisión de la
■ Especificar la diferencia entre los tres modelos de nube
gerencia y la auditoría.
(Iaas, Paas, SaaS)
■ Comprender los diferentes modelos de nube y cómo
considerarlos (Privada, Pública, Hibrida, Comunidad)
B Básico I intermedio A avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción de la sesión para
determinar si la sesión es apropiada para usted.
5
6. LatinCACS 112 Revisar los reportes del estándar SSAE16 desde el punto
Pista 2
Latinoamericana de auditoría, Control y Seguridad 3-5 Octubre de 2011
■
de vista del auditor en la entidad usuaria
Auditando el Ambiente de la ■ Discutir los aspectos en los que el conocimiento
Computación en la Nube B I de auditoría de TI es requerido para una evaluación
John r. robles, CiSa, CiSM de controles
Consultor ■ Diseñar una lista de verificación (checklist) para la
Puerto Rico evaluación de reportes de control, con base en marcos de
referencia, tales como el “IT Audit Assurance Framework
Después de terminar esta sesión usted podrá:
■ Definir los conceptos básicos de la computación en la
(ITAF)” y los objetivos de control de COBIT
nube, especialmente, los relacionadas con infraestructura,
plataformas y software como servicios de la nube
■ Explorar el movimiento de infraestructura, plataformas LatinCACS 212
Auditoría de Sistemas de Información
y software de un ambiente interno de la empresa a un Auditoría de Seguridad en
ambiente de la nube Sistemas SCADA B
■ Discutir los pros y contras de la computación en la nube
Jorge Villaseñor-rojas, CiSa, CiSM, CriSC
■ Explicar los retos de la seguridad de la información en la
Gerente
nube y la auditoría de ese ambiente SAPSA, México
■ Hacer un análisis de riesgo para ayudar a mover
operaciones hacia la nube Después de terminar esta sesión usted podrá:
■ Preparar la auditoría del ambiente de computación ■ Conocer los principales riesgos y amenazas relacionados
en la nube con sistemas SCADA
■ Contar con referencias de las mejores prácticas
de seguridad para sistemas SCADA aplicadas a
LatinCACS 122 nivel mundial.
■ Conocer algunas herramientas para realizar auditorías a la
Sistematización de la Emisión de
infraestructura que soporta los sistemas SCADA
Opiniones de Auditorías Internas: ■ Tener referencias sobre amenazas latentes para sistemas
Un Planteamiento Metodológico I de control como: stuxnet
Larry Llirán, CiSa, CiSM
IT Compliance and Control Officer
FirstBank, Puerto Rico LatinCACS 222
Después de terminar esta sesión usted podrá: Como Auditar la Gobernabilidad
■ Identificar las normas internacionales de auditoría interna de TI B I
considerados en el modelo propuesto fernando ferrer olivares, CiSM
■ Crear un sistema de pesos para los objetivos de auditoría. Socio Fundador
■ Clasificar los objetivos según los componentes de COSO FERROL International Group, Colombia
■ Crear un sistema de pesos para los componentes
de COSO Después de terminar esta sesión usted podrá:
■ Validar la necesidad de un Programa de Gobierno de TI
■ Utilizar conceptos de riesgo para clasificar observaciones
■ Presentar los principales marcos de referencia para
de auditoría
■ Utilizar la clasificación de las observaciones para la Implementación de Gobierno de TI y sus principales
determinar la opinión de la auditoría requerimientos
■ Utilizar el Marco de Referencia (ITAF) y las Guías de
Aseguramiento de ISACA para desarrollar auditorías al
gobierno de TI, a partir de los requerimientos identificados
LatinCACS 132 en los principales marcos de referencia
El cambio de SAS70 al nuevo ■ Comunicar y trabajar en conjunto con los auditores
Estándar SSAE16 y el Contexto financieros y operacionales, el área de TI y el negocio para
de Evaluaciones de Auditorías alcanzar en mejor forma los objetivos empresariales
de TI I
Carmen ozores, CriSC
IT Security Consultant
Ozores Consulting, Brasil
Después de terminar esta sesión usted podrá:
■ Describir en qué consiste el Estándar SSAE 16 en el
contexto de auditoría de TI
B Básico I intermedio A avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción de la sesión para
determinar si la sesión es apropiada para usted.
6
7. LatinCACS 232 LatinCACS 332
Pista 2
Latinoamericana de auditoría, Control y Seguridad 3-5 Octubre de 2011
Auditoría del Esfuerzo del The Impact of Social Networking
Cliente I on the IT Audit Universe B
Juan Davila, CiSa, CiSM Charlie Blanchard, CiSa, CiSM, CriSC
IT Audit Chief Manager
Telefónica Del Perú, Perú Deloitte & Touche LLP, USA
Después de terminar esta sesión usted podrá: After completing this session, you will be able to:
■ Determinar si la auditoría de TI está considerando los ■ Identify how social networking sites have evolved from
requerimientos de los clientes de las organizaciones o ways to reconnect with old friends to competitive tools
solamente sus preocupaciones tecnológicas used by organizations to market their products
■ Discutir si la auditoría de TI está contribuyendo a que ■ Discover how this tool allows auditors to reach out to other
Auditoría de Sistemas de Información
las organizaciones logren una conexión emocional con audit professionals and to respond with “how to” requests
sus clientes ■ Understand why social networks like LinkedIn and
■ Identificar criterios para que la auditoría de TI aporte valor Facebook provide amazingly wide visibility, and why that is
en la satisfacción del cliente the good and the bad news
■ Definir si la auditoría de TI tiene un enfoque tecnológico ■ Utilize tools liked LinkedIn in job searches for both
o una visión de negocio recruiters and employers to find not just qualified, but
candidates who are strongly recommended
■ Establish virtual customer focus groups, which allow
LatinCACS 242 enterprises to solicit innovative ideas from visitors and
Auditoría de Sistemas de comments from customers
Nubes B I
adrian Mikeliunas, CiSa LatinCACS 342
Consulting Manager
AT&T Consulting, USA
Auditoría Ontológica I
felipe Cardona
Después de terminar esta sesión usted podrá: Auditor Interno
■ Interpretar y determinar la diferencia de auditorías de
Bancolombia, Colombia
sistemas de nubes
■ Seleccionar y organizar las herramientas disponibles Después de terminar esta sesión usted podrá:
■ Diseñar experiencias de auditoría ontológica
para auditores
■ Evaluar grupos como Cloud Security Alliance (CSA) y ■ Emplear la auditoría ontológica para lograr resultados
The Santa Fe Group (Shared Assessments) transformacionales
■ Investigar y verificar peligros actuales e ■ Apreciar historias reales sobre auditoría ontológica
■ Participar en la comunidad de auditoría ontológica
incidentes recientes
■ Explorar el futuro de auditoría de nubes
LatinCACS 312
Auditoría Integral vs. Seguridad
Integral I
Carlos fiallos Lozano
Auditor de Sistemas
Banco de Occidente, Honduras
Después de terminar esta sesión usted podrá:
■ Conocer la función de la seguridad integral
■ Conocer la función de la auditoria integral
■ Establecer la importancia de la seguridad integral como
unidad auditable
■ Adoptar estándares, programas, guías y métricas de
evaluación aplicables a la seguridad integral
■ Identificar los riesgos de la seguridad integral
asociados a TI
■ Aumentar el alcance del plan de trabajo de auditoría
B Básico I intermedio A avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción de la sesión para
determinar si la sesión es apropiada para usted.
7
8. LatinCACS 113 LatinCACS 133
Pista 3
Latinoamericana de auditoría, Control y Seguridad 3-5 Octubre de 2011
Implementación de Seguridad Sistema de Gestión de
de la Información en Sistemas Continuidad del Negocio
SCADA: Una Necesidad en el de Acuerdo con BS25999
Mundo Actual I e ISO 22301 I
Carlos Villamizar, CiSa, CiSM, CgeiT, CriSC Mario ureña, CiSa, CiSM, CgeiT
Gerente de Consultóna Director General
Digiware de Colombia S.A., Colombia Secure Information Technologies, México
Después de terminar esta sesión usted podrá: Después de terminar esta sesión usted podrá:
■ Capacitar a usuarios de sistemas de control industrial ■ Reconocer los elementos que componen al sistema de
en conceptos prácticos en seguridad de la información gestión de continuidad del negocio
Aspectos Generales de Seguridad de la Información
que ayuden a mitigar los riesgos derivados de ataques ■ Identificar los elementos comunes entre BS25999 y el
cibernéticos contra dichos sistemas nuevo ISO 22301
■ Presentar las principales amenazas, vulnerabilidades, ■ Diferenciar los requerimientos de ISO 22301 en
riesgos y controles que ayudan a mitigar dichos riesgos comparación con BS25999
■ Mostrar algunos de los principales estándares aplicables ■ Discutir los factores críticos de éxito para la
para desarrollar un conjunto de políticas, normas y implementación del SGCN
procedimientos que contribuyan a diseñar e implementar ■ Aplicar el nuevo ISO 22301 en las organizaciones
el modelo de seguridad apropiado para proteger los de Latinoamérica
sistemas de control industrial (ISA 99, NIST SP 800-32,
ISO 27001)
LatinCACS 213
La Computación en Nube—
LatinCACS 123 Implicaciones para Auditoría
Haciendo Inteligente mi y Seguridad I
Movilidad I Miguel aranguren, CiSa, CiSM, CgeiT, CriSC
Miguel aranguren, CiSa, CiSM, CgeiT, CriSC Security IT Architect
Security IT Architect IBM, Colombia
IBM, Colombia
Después de terminar esta sesión usted podrá:
Después de terminar esta sesión usted podrá: ■ Identificar las ventajas para la seguridad y la auditoría
■ Analizar los problemas que implica la utilización de
que proporciona la computación en nube
teléfonos inteligentes, netbooks y otros dispositivos ■ Analizar los problemas que puede generar la utilización
de procesamiento móvil de la computación en nube
■ Identificar medidas de protección para los ■ Identificar medidas de protección para los
principales problemas principales problemas
■ Conocer sobre experiencias reales de implementación ■ Conocer sobre experiencias reales de implementación
■ Formular teorías sobre el futuro de esta tecnología ■ Formular teorías sobre el futuro de esta tecnología
B Básico I intermedio A avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción de la sesión para
determinar si la sesión es apropiada para usted.
8
9. LatinCACS 223 LatinCACS 233
Pista 3
Latinoamericana de auditoría, Control y Seguridad 3-5 Octubre de 2011
Modelos de madurez en Business La Gestión del Conocimiento y
Continuity Management, paso a de la Propiedad Intelectual: un
paso Hacia la Excelencia I Componente Esencial y Novedoso
alvaro rodriguez deroa gomez de un sistema de Gestión de
Information Security & IT Governance Manager Seguridad de la Información
SGS ICS Ibérica, S.A., España B I A
Después de terminar esta sesión usted podrá: Sol Beatriz Calle D’aleman
■ Adquirir una metodología de diagnóstico y de evolución Directora del Centro de Propiedad Intelectual y Gestión de
basada en modelos de madurez en términos de Conocimiento
continuidad de negocio Universidad Pontificia Bolivariana, Colombia
Aspectos Generales de Seguridad de la Información
■ Asegurar como realizar un gap análisis y una implantación
Después de terminar esta sesión usted podrá:
de forma adecuada en una organización en materia de ■ Analizar la existencia de activos intangibles dentro de
continuidad de negocio la empresa basados en conocimiento y creaciones
■ Diferenciar los principales estándares y las mejores
intelectuales
prácticas en BC, con el objetivo de determinar las ■ Adquirir conocimientos sobre la protección legal de estos
variables relevantes que afectan a un diagnóstico bienes intangibles a nivel internacional
sobre la adecuación de la organización y el nivel de ■ Detectar los riesgos que se presentan respecto
madurez de su gestión en materia de continuidad de de las regulaciones de la propiedad intelectual sobre
negocio (BS25999-1, 2; FDIS ISO 22301, BC Good estos intangibles
Practices, A14 ISO 27001…) ■ Identificar el modelo de gestión de conocimiento, que
■ Profundizar en los conocimientos profesionales de BCM
incluye la gestión de la propiedad intelectual
que son necesarios para presentar en una organización ■ Evaluar la importancia de adoptar modelos de gestión de
un proceso de cambio equilibrado y unos planes conocimiento básico de la gestión de seguridad
alternativos que permitan la mejora y asegurar una de la información
evolución apropiada en la operativa de los procesos
críticos de su negocio
■ Explicar, con el apoyo de una aplicación para
identificación de niveles de madurez de BC, como puede
LatinCACS 243
en su organización lanzar un plan de mejora continua y Ciberdefensa y Ciberseguridad:
como priorizar de forma apropiada la implantación efectiva Desafíos Emergentes para los
en materia de continuidad de negocio, con gráficos, Profesionales de Gobierno de TI I
tendencias y propuesta de sugerencias en las áreas más Jeimy J. Cano, ph.D.
débiles del diagnóstico realizado CISO
Ecopetrol S.A., Colombia
Después de terminar esta sesión usted podrá:
■ Revisar las nuevas amenazas a la gobernabilidad en el
orden internacional donde la información es un valor
crítico para las naciones y sus ciudadanos
■ Analizar los aspectos claves de la gobernabilidad
relacionados con las infraestructuras de información
crítica como activos estratégicos de la naciones
■ Proponer a COBIT y BMIS como marcos de entendimiento
de la ciberdefensa y ciberseguridad en el contexto
de una nación
■ Detallar algunos avances internacionales en temas de
ciberdefensa y ciberseguridad y como los profesionales de
gobierno de IT deben participar
■ Presentar recomendaciones para los profesionales de
gobierno de TI para alinear sus iniciativas organizacionales
con el riesgo sistémico relacionado con una eventual
ciberguerra
B Básico I intermedio A avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción de la sesión para
determinar si la sesión es apropiada para usted.
9
10. LatinCACS 114 LatinCACS 134
Pista 4
Latinoamericana de auditoría, Control y Seguridad 3-5 Octubre de 2011
Implementación y Auditoría de Caso de estudio: Implementación
un Proceso de Gestión de Riesgos de Risk IT Framework I
para TI I francisco Seixas neto, CiSa, CgeiT
gerardo alcarraz, CiSa, CriSC Partner
Coordinador de Auditoría Informática EGV Consultoria, Brasil
Banco de la República Oriental del Uruguay, Uruguay
Después de terminar esta sesión usted podrá:
■ Evaluar una forma de promover la implantación del
evelyn anton, CiSa, CiSM, CgeiT, CriSC
Jefe de Seguridad Informática proceso de gestión de riesgos
■ Entender como evolucionar desde un proceso de controles
UTE, Uruguay
internos hacía un proceso de gestión de riesgos
Gestión del Riesgo
Después de terminar esta sesión usted podrá: ■ Analizar cómo utilizar los componentes de COBIT para
■ Aplicar conceptos y principios de gestión y manejo
determinar, de forma cualitativa, riesgos de TI con foco
de riesgos de TI en negocio
■ Identificar fortalezas y debilidades del proceso de manejo
de riesgo de TI
■ Evaluar Estándares y mejores prácticas internacionales
incluyendo ISO 27005, ISO 31000, Risk IT de ISACA
LatinCACS 214
■ Construir un proceso de gestión del riesgo para TI
Plataformas Móviles Globales.
■ Utilizar técnicas y evaluar los resultados esperados de la Retos y Riesgos Emergentes I
planificación y ejecución de las auditorías de gestión Jeimy J. Cano, ph.D
de riesgos CISO
■ Ejecución en la práctica una auditoría de riesgos de TI Ecopetrol S.A., Colombia
Después de terminar esta sesión usted podrá:
■ Explorar las nuevas tendencias en las plataformas móviles
LatinCACS 124 y su uso estratégico en el contexto de negocio
Creando Cultura de Gestión ■ Analizar los riesgos emergentes en las plataformas
de Riesgo: Gestione Servicios móviles y sus impactos en los usuarios
Primero I ■ Proponer un análisis comprensivo de la características
nidia ivankovich, CiSa de seguridad de las plataformas móviles líderes en el
Gerente Regional de Riesgo Operativo mercado
■ Detallar un contexto básico de la inseguridad de la
BAC Credomatic Network, Costa Rica
información para las plataformas móviles
Después de terminar esta sesión usted podrá: ■ Resumir y revisar recomendaciones de seguridad de la
■ Identificar el rol que está desarrollando la TI de
información para asegurar las plataformas móviles
su organización
■ Apreciar la necesidad de una gestión integral de
la tecnología que trascienda las fronteras de los
departamentos de TI
■ Describir el rol de proveedor de servicio que tienen las TI
como paso previo a ser un habilitador del negocio
■ Valorar factores clave, incluyendo la cultura de la
organización, necesarios para implementar en forma
adecuada la gestión de riesgo
B Básico I intermedio A avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción de la sesión para
determinar si la sesión es apropiada para usted.
10