Objetivos del curso
El objetivo de este curso es analizar y desarrollar todos los requisitos establecidos en los estándares internacionales ISO 27001:2013 e ISO 22301:2019 para establecer los fundamentos de un sistema de gestión integrado y eficaz de seguridad de la información
y continuidad de negocio.
Destinatarios
- Gerentes / altos directivos de empres publica y privada
- Consultores interesados en conocer el proceso de implementación de un sistema de gestión de seguridad de la Información, integrado con un sistema de gestión de continuidad de negocio
- Auditores,
- Miembros de equipos de seguridad de la información,
- Responsables de sistemas de continuidad de negocio,
- Técnicos expertos que deseen prepararse para la gestión de proyectos de seguridad de la información o de continuidad de negocio.
Metodología y calendario
El curso tiene una duración de 25 horas en modalidad virtual síncrona (16 al 20 de mayo de 2022)
Syllabus
Módulo 01: Estudio del contexto de la organización
Objetivo:
· Identificación de fuentes de conocimiento interno y externo que condicionan directa o indirectamente el desarrollo de la actividad de la organización y alcanzar los objetivos de negocio.
· Identificar las partes interesadas, desde un nivel general por grupos hasta las individualidades cuando sea necesario, su necesidades y expectativas con respecto del sistema de gestión.
· Identificar y documentar la relación entre los procesos de negocio, para entender los vínculos entre ellos.
· Identificar las obligaciones de cumplimiento legal y voluntario (contractual e interno) a las que está sometida la organización para el desarrollo de la actividad dentro del alcance del sistema de gestión.
Casos prácticos (Proyectos grupales):
· Desarrollar casos prácticos vinculados con los sectores de actividad de los participantes en la acción formativa.
Criterios evaluación (Proyecto individual):
· Entregar análisis del contexto de una entidad propuesta por cada participante.
Módulo 02: Gestión de obligaciones de cumplimiento y los riesgos asociados
Objetivo:
· Identificar, analizar y entender las obligaciones de cumplimiento en materia de seguridad de la información a las que está sujeta la organización. (ISO 27001:2013)
· Identificar, analizar y valorar los riesgos de cumplimiento relacionándolos con sus actividades, productos, servicios y aspectos pertinentes de sus operaciones, incluyendo los relacionados con procesos
contratados. (ISO 22301:2019)
Casos prácticos (Proyectos grupales):
· Desarrollar casos prácticos vinculados con los sectores de actividad de los participantes en la acción formativa.
Criterios evaluación (Proyecto individual):
· Entregar análisis de riesgos vinculado a las obligaciones de cumplimiento de una entidad propuesta por cada participante.
Módulo 03: Análisis del liderazgo y compromiso con el sistema de gestión
Objetivo:
· Diseñar una política de seguridad de la información alineada con el propósito de la organización.
· Identificar las funciones y responsabilidades de los distintos roles, así como las competencias necesarias para la implantación y mantenimiento del sistema de gestión
· Identificar los criterios de delegación y control de autoridad.
· Identificación de competencias asociadas a los perfiles involucrados con el desempeño del sistema.
· Diseñar procesos para la implantación y gestión de la cultura de la seguridad de la información. (ISO 27001:2013)
· Diseñar procesos para la implantación y gestión de la cultura de la continuidad de negocio. (ISO 22301:2019)
Casos prácticos (Proyectos grupales):
· Desarrollar casos prácticos vinculados con los sectores de actividad de los participantes en la acción formativa.
Criterios evaluación (Proyecto individual):
Entregar
· Un análisis de competencias asociado a los roles dentro de la organización, para una entidad propuesta por cada participante.
· Una política de seguridad de la información para una entidad propuesta por cada participante. (ISO 27001:2013)
· Una política de continuidad de negocio para una entidad propuesta por cada participante, considerando una actividad de ámbito internacional desarrollada por socios de negocio. (ISO 22301:2019)
Módulo 04: Análisis de riesgos vinculados al sistema de gestión
Objetivo:
· Analizar los riesgos y oportunidades relacionados con el sistema de gestión.
· Estudiar la integración de las medidas desprendidas del análisis de riesgos y oportunidades en los procesos operativos de la organización.
· Llevar a cabo un proceso de apreciación de riesgos de seguridad de la información para identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad. (ISO 27001:2013)
· Conocer los controles del Anexo A. (ISO 27001:2013)
· Elaborar una declaración de aplicabilidad. (ISO 27001:2013)
Casos prácticos (Proyectos grupales):
· Desarrollar casos prácticos vinculados con los sectores de actividad de los participantes en la acción formativa.
Criterios evaluación (Proyecto individual):
Entregar
· Análisis de riesgos y oportunidades vinculado al sistema de gestión para una entidad propuesta por cada participante.
Módulo 05: Gestión de objetivos de cumplimiento
Objetivo:
· Identificar los objetivos de seguridad de la información de forma que se evidencie su coherencia con la política. (ISO 27001:2013)
· Identificar los objetivos de seguridad de continuidad de negocio de forma que se evidencie su coherencia con la política. (ISO 22301:2019)
· Planificar la gestión de los objetivos y establecer planes de acción a los incumplimientos.
Casos prácticos (Proyectos grupales):
· Desarrollar casos prácticos vinculados con los sectores de actividad de los participantes en la acción formativa.
Criterios evaluación (Proyecto individual):
Entregar
· Objetivos coherentes con política del sistema de gestión de la seguridad de la información, con un plan de seguimiento. (ISO 27001:2013)
· Objetivos coherentes con política del sistema de gestión de continuidad de negocio, con un plan de seguimiento. (ISO 22301:2019)
Módulo 06: Elementos de apoyo al sistema de gestión de cumplimiento
Objetivo:
· Planificar y gestionar recursos técnicos y organizativos para el correcto desempeño del sistema de gestión de seguridad de la información. (ISO 27001:2013)
· Desarrollar planes de formación adecuados para la adquisición de competencias vinculadas con la implantación y mantenimiento del sistema de gestión de seguridad de la información. (ISO 27001:2013)
· Implementar una correcta gestión de documentos internos y externos necesarios para el correcto desempeño del sistema de gestión de seguridad de la información. (ISO 27001:2013)
· Procesos de selección y contratación de recursos humanos. (ISO 27001:2013)
· Planificar y gestionar recursos técnicos y organizativos para el correcto desempeño del sistema de gestión de continuidad de negocio. (ISO 22301:2019)
· Desarrollar planes de formación adecuados para la adquisición de competencias vinculadas con la implantación y mantenimiento del sistema de gestión de continuidad de negocio. (ISO 22301:2019)
· Implementar una correcta gestión de documentos internos y externos necesarios para el correcto desempeño del sistema de gestión de continuidad de negocio. (ISO 22301:2019)
Casos prácticos (Proyectos grupales):
· Desarrollar casos prácticos vinculados con los sectores de actividad de los participantes en la acción formativa.
Criterios evaluación (Proyecto individual):
Entregar:
· Matriz de competencias y diseño de programa de formación anual.
· Plan de asignación de recursos para la correcta implantación y mantenimiento del sistema de seguridad de la información. (ISO 27001:2013)
· Plan de asignación de recursos para la correcta implantación y mantenimiento del sistema de gestión de continuidad de negocio. (ISO 22301:2019)
Módulo 07: Estudio y adecuación de procesos operativos
Objetivo:
· Identificar el plan de acción para la adecuación de los procesos operativos a los objetivos del sistema de gestión y a la gestión de los riesgos y oportunidades.
· Elaboración de un plan de tratamiento de riesgos de seguridad de la información. (ISO 27001:2013)
· Análisis del impacto sobre el negocio y evaluación del riesgo de continuidad de negocio. (ISO 22301:2019)
· Estudio de estrategias y soluciones de continuidad del negocio. (ISO 22301:2019)
Casos prácticos (Proyectos grupales):
· Desarrollar casos prácticos vinculados con los sectores de actividad de los participantes en la acción formativa.
Criterios evaluación (Proyecto individual):
Entregar
· Plan de tratamiento de riesgos de seguridad de la información (ISO 27001:2013)
Módulo 08: Monitorización y evaluación del desempeño del sistema de gestión.
Objetivo:
· Identificar KPIs adecuados para la monitorización y seguimiento del desempeño del sistema de gestión.
· Desarrollar programas de auditoria adecuados para el sistema de gestión y las obligaciones de cumplimiento.
· Desarrollar programas de revisión del sistema de gestión por la dirección.
· Identificar criterios y competencias para el equipo auditor de un sistema de gestión de seguridad de la información. (ISO 2700:2013)
· Identificar criterios y competencias para el equipo auditor de un sistema de continuidad de negocio. (ISO 22301:2019)
Casos prácticos (Proyectos grupales):
· Desarrollar casos prácticos vinculados con los sectores de actividad de los participantes en la acción formativa.
Criterios evaluación (Proyecto individual):
Entregar
· Programa de auditorías de cumplimiento para una entidad propuesta por cada participante.
· KPIs para la monitorización de un sistema de gestión de seguridad de la información de una entidad propuesta por cada participante. (ISO 27001:2013)
· Definición del perfil de un equipo auditor para un sistema de gestión de continuidad de negocio para una entidad propuesta por cada participante. (ISO 22301:2019)
· KPIs para la monitorización de un sistema de gestión de seguridad de la información de una entidad propuesta por cada participante. (ISO 27001:2013)
· Definición del perfil de un equipo auditor para un sistema de gestión de continuidad de negocio para una entidad propuesta por cada participante. (ISO 22301:2019)