En la medida en que crece y evoluciona la Tecnología de la Información, aumenta también la necesidad de tomar conciencia y capacitarse en Seguridad de la Información, las organizaciones de todo tipo y tamaño deben establecer un compromiso para establecer y mejorar el desempeño de la Gestión de la Seguridad de la Información, a través de un enfoque sistemático y la mejora continua implantando un Sistema de gestión de Seguridad de la Información. (SGSI).

Conocer el estándar internacional sobre la Seguridad de la Información proporcionará, entonces, la orientación adecuada a aquéllos que deseen implementar, gestionar, mejorar y/o auditar un sistema de gestión de Seguridad de la Información dentro de su organización.

OBJETIVO GENERAL

Formar a todas aquellas personas que deben gestionar los sistemas de información de una empresa y/o entidad, con el fin de que puedan desarrollar los procedimientos adecuados en el tratamiento de la información de una organización, en base a los requisitos mínimos previstos de la normativa ISO(IEC 27001.

OBJETIVOS ESPECÍFICOS

Que los participantes:

• Obtengan los conocimientos teóricos y prácticos necesarios para establecer, documentar, implementar  y realizar la gestión, implementación, mantenimiento y auditorias internas en Sistemas de gestión de Seguridad de la Información (SGSI), según los requisitos de ISO 27001.
• Entiendan la importancia de los controles de seguridad para asegurar los activos de información de una organización/entidad/empresa.
• Sepan delimitar el alcance y objetivos de un Sistema de Gestión de Seguridad de la Información (SGSI).
• Conozcan los estándares internacionales relacionados con ISO/IEC 27001.
• Aprendan a planificar, implementar, gestionar, medir y documentar correctamente un Sistema de Gestión de la Seguridad de la Información.
• Aprendan a mantener y gestionar un Sistema de Gestión de la Seguridad de la Información (SGSI).
• Sepan auditar un Sistema de Gestión de la Seguridad de la Información (SGSI).
• Valoren la compatibilidad de la Norma ISO 27001 con otros Sistemas de Gestión de Calidad e Integrados.
• Se orienten eficazmente respecto de cómo mejorar en forma continua la eficacia y eficiencia de dichos sistemas.

 DESTINATARIOS

• Profesionales, técnicos y mandos medios de organizaciones que deseen implementar o hayan implementado Sistemas de Seguridad de la Información (SGSI/ISMS).
• Organizaciones/Entidades que deseen obtener la certificación de sus sistemas de gestión de seguridad de la información, o estén interesadas en la evaluación y el seguimiento de la conformidad con los requisitos y las buenas prácticas aceptadas internacionalmente.
• Todas aquellas personas pertenecientes a organizaciones que estén implementando o deseen implementar un Sistema de Seguridad de la Información (SGSI/ISMS) como así también deseen Certificarse en la ISO 27001:2013 o realizar, la transición de la ISO/IEC 27001:2005 a la ISO/IEC 27001:2013.

Módulo 1: Fundamentos e Introducción a la Norma ISO/IEC 27001 - Sistema de Gestión de Seguridad de la Información (SGSI).

Unidad 1: Antecedentes históricos.

• Términos, Conceptos y definiciones.
• Beneficios que brinda un Sistema de Gestión de Seguridad de la Información.
• Estándares internacionales. Las normativas ISO, IRAM y BS, filosofía y requisitos generales. Orígenes e historia.
• Actividades de aplicación práctica.

Unidad 2: ¿Qué es un SGSI?

• Familia ISO/IEC 27000.
• Actualización de la Normativa. ISO/IEC 27001:2005 e ISO/IEC 27001:2013. Transición.
• Actividades de aplicación práctica.

Unidad 3: Requisitos de un Sistema de Gestión de Seguridad de la Información 

• Requisitos mínimos ISO 27001.
• Requisitos a considerar en la Gestión y Auditoría de un Sistema de Gestión de Seguridad de la Información (SGSI).
• Anexo A – Controles asociados. Relación con la ISO/IEC 27002.
• Actividades de aplicación práctica.

Unidad 4: Normas y Guías relacionadas con un SGSI.

• Establecimiento, Operación,  Gestión y Mantenimiento de un SGSI.
• Indicadores de Gestión de un SGSI. Relación con la ISO/IEC 27005.
• Actividades de aplicación práctica.

Unidad 5: Control, Revisión y Mejora Continua de un SGSI.

• Modelo PDCA.
• Implementación de un SGSI. Relación con la ISO/IEC 27003.
• Actividades de aplicación práctica.

Unidad 6: Certificación de un SGSI.

• Diagnóstico, Revisión y Planes de Acción pre y post Certificación de un SGSI.
• Actualización y Mantenimiento de un SGSI.
• Actividades de aplicación práctica.

Módulo 2: Implementación, Gestión y Mantenimiento de un sistema de gestión de Seguridad de Información (SGSI). Basado en la Norma ISO/IEC 27001

Unidad 1: Establecimiento de un SGSI.

• Definición del Alcance de un SGSI.
• Implementación, Gestión y Mantenimiento de un SGSI.
• Modelo PDCA.
• Anexo A – Controles de ISO/IEC 27001.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como implementador y gestor).

Unidad 2: Desarrollo de los requisitos del establecimiento de un Sistema de Gestión de Seguridad de Información.

• Implantación de los requisitos y controles elegidos.
• Análisis de Riesgos, definición de controles e indicadores de gestión de un Sistemas de Gestión de Seguridad de Información.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como implementador y gestor).

Unidad 3: Arranque del Proyecto. Compromiso de la Dirección.

• Planificación. Fechas y Responsables.
• Definición de alcance, política de seguridad, identificación y análisis de riesgos. Selección de Controles. Declaración de Aplicabilidad.
• Gestión y  tratamiento de Riesgos.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como implementador y gestor).

Unidad 4: Formación y Concientización.

• Operar un SGSI. Definición de Indicadores.
• Gestión y Mantenimiento del Sistema de Gestión de Seguridad de Información (SGSI).
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como implementador y gestor).

Unidad 5: Auditorías Internas y Externas.

• Revisar y medir la eficacia y eficiencia del SGSI. Indicadores y Auditorías.
• Programa y Plan de Auditorías a establecer.
• Registro de eventos de seguridad.
• Revisión de la Dirección.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como implementador y gestor).

Unidad 6: Plan de Seguimiento de No Conformidades, Acciones Correctivas y Oportunidades de Mejora.

• Mejora Continua del SGSI.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como implementador y gestor).

Módulo 3: Auditoría Interna de un Sistema de Gestión de Seguridad de la Información (SGSI). Basado en la Norma ISO/IEC 27001

Unidad 1: Introducción y fundamentos.

• Actividades de auditoría: objetivos, alcance y criterios, designación del equipo auditor y del líder, preparación del plan, elaboración de listas de verificación, realización de la reunión de apertura.
• Comunicación durante la auditoría.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como auditor).

Unidad 2: Recopilación y verificación de la información, evidencia. Metodología a aplicar.

• Hallazgos de la auditoría. Redacción de No conformidades. Acciones Correctivas y Oportunidades de mejora.
• Preparación de las conclusiones y recomendaciones de la auditoría.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como auditor).

Unidad 3: La reunión inicial/ desarrollo de la Auditoría.

• Preparación, aprobación y distribución del informe de la auditoría. Presentación del Informe de Auditoría. Técnicas y Metodologías.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como auditor).

Unidad 4: Finalización de la auditoría.

• Aprobación de Planes de Acción.
• Reunión Final.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como auditor).

Unidad 5: El seguimiento de la auditoría.

• Planes de Acción y Seguimiento de los hallazgos de la auditoría.
• Auditorías de certificación y de mantenimiento.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como auditor).

Unidad 6: La competencia de los auditores

• Conocimientos y habilidades, Atributos personales, Educación, experiencia laboral, formación de auditor y experiencia en auditoría, Evaluación del auditor.
• Actividades de aplicación práctica mediante estudio de casos y Role-Play (Trabajo Práctico basado en la simulación de una situación donde el alumno intervenga como auditor).

Módulo 4: Riesgos, Controles e Indicadores de Gestión de un Sistema de Gestión de Seguridad de la Información (SGSI). Basado en la Norma ISO/IEC 27001

Unidad 1: Introducción y Fundamentos de un SGSI aplicados a Riesgos, Controles e Indicadores de Gestión.

• Términos, Conceptos y definiciones. Basado en la ISO/IEC 27000.
• Las normativas ISO, IRAM y BS y filosofías relacionadas.
• Orígenes e historia.
• Actividades de aplicación práctica.

Unidad 2: Riesgos, Controles e Indicadores de Gestión de un SGSI.

• Normas relacionadas de la Familia ISO/IEC 27000.
• Nuevas normativas IRAM.
• Actividades de aplicación práctica.

Unidad 3: Introducción y Fundamentos de Riesgos de un SGSI. Basado en la ISO/IEC 27005.

• Metodología de Riesgos a aplicar.
• Análisis de Riesgos.
• Tratamiento y Gestión de Riesgos.
• Actividades de aplicación práctica.

Unidad 4: Introducción de Controles de un SGSI. Basado en la ISO/IEC 27002.

• Definición de Controles a un SGSI.
• Implantando Controles a un SGSI.
• Gestión, Revisión y Mantenimiento de Controles de SGSI.
• Actividades de aplicación práctica.

Unidad 5: Introducción de Indicadores de Gestión de SGSI. Basado en la ISO/IEC 27004.

• Definición de Indicadores de Gestión de un SGSI.
• Implantando Indicadores de Gestión de SGSI.
• Gestión, Revisión y Mantenimiento de Indicadores de Gestión de SGSI.
• Actividades de aplicación práctica.

Unidad 6: Relaciones  con otras ISO de la Familia 27k.

• Nuevas normativas ISO e IRAM relacionadas.
• Sistemas de Gestión Integrados.
• Gestión, Revisión y Mantenimiento de Riesgos, Controles e Indicadores de Gestión de SGSI.
• Actividades de aplicación práctica.