“The recognized global leader in IT governance, control ...
Transcript of “The recognized global leader in IT governance, control ...
Presentacion de los Cursos 2011 Fecha: 05/05/2011 1/59
“The recognized global leader in IT governance, control, security and assurance”
Javier Planells [email protected]
Juan Pardo [email protected] Siscar [email protected]
05/05/2011 2/67Presentacion de los Cursos 2011
ISACA
� CARACTERISTICAS DE ISACA – ORGANIZACIÓN SIN ANIMO DE LUCRO.– DE AMBITO INTERNACIONAL
� MISION.– DIFUSIÓN DEL CONOCIMIENTO EN MATERIA DE
TECNOLOGIAS DE LA INFORMACIÓN DESDE VARIAS PERSPECTIVAS.
• GOBIERNO IT
• AUDITORIA Y CONTROL DE LOS SISTEMAS Y TECNOLOGÍAS DE LA INFORMACIÓN.
• SEGURIDAD DE LA INFORMACIÓN.
• GESTION DE RIESGOS.
Fundada en 1969 y cuenta actualmente con más de 97.000 asociados
05/05/2011 3/67Presentacion de los Cursos 2011
ISACA
� COMO REALIZA ESTA DIFUSIÓN DEL CONOCIMIENTO– CREACIÓN DE ESTANDARES Y BUENAS PRACTICAS.
• COBIT, VALIT
– SEMINARIOS, JORNADAS, EVENTOS• A NIVEL INTERNACIONAL.• A NIVEL NACIONAL/LOCAL A TRAVÉS DE LOS CAPÍTULOS.
– CERTIFICACIONES• CISA• CISM
• CGEIT
• CRISC
– REVISTAS Y PUBLICACIONES
Reconocida globalmente como líder en gobierno, auditoria, control y seguridad de TI.
05/05/2011 4/67Presentacion de los Cursos 2011
ISACA - Asociados
� 97,249 asociados alrededor del mundo.
Actualizado a 28 de Febrero de 2009
05/05/2011 5/67Presentacion de los Cursos 2011
ISACA – Asociados Europa África
24.035
9.616
11.384
14.639
17.173
20.601
0 5.000 10.000 15.000 20.000 25.000
28 Feb '09
28 Feb '08
28 Feb '07
28 Feb '06
28 Feb '05
28 Feb '04
� Total de Asociados en Europa / África.
Actualizado a 28 de Febrero de 2009
05/05/2011 6/67Presentacion de los Cursos 2011
Acerca de ISACA Valencia
� Con más de 150 miembros en España y también en otros países, ISACA Valencia ( www.isacavalencia.org) se constituyo en Marzo del 2003, como la Asociación de Auditoria y Control de los Sistemas de Información de la Comunidad Valenciana isaca-cv.
� Realiza charlas mensuales y al menos una jornada anual.� Colabora con múltiples organismos en la difusión de la
Auditoría, Seguridad y Gobierno de los Sistemas de la Información.
� Actualmente cerca de 200 asociados. Se puede pertenecer sin estar certificado y/o siendo estudiante. – http://www.isaca.org/student– http://www.isacavalencia.org/estuadiante
05/05/2011 7/67Presentacion de los Cursos 2011
ISACA Valencia - Beneficios
� Relación con profesionales de prestigio de SI.� Formación a precios asequibles por profesionales.� Preparación a los exámenes de certificación.� Eventos sociales y profesionales.� Relacionarse con personas que comprenden tus necesidades
profesionales
Presentacion de los Cursos 2011 Fecha: 05/05/2011 8/59
“CERTIFICACIONES ISACA”
Javier Planells [email protected]
Juan Pardo [email protected] Siscar [email protected]
05/05/2011 9/67Presentacion de los Cursos 2011
Metodología.
� 1º APROBAR EL EXAMEN.– Consta de 200 preguntas de selección múltiple.– 4 horas de desarrollo.– El número de preguntas está ponderada por la importancia
del área de conocimiento.– Superar el 75% de las preguntas.– Los exámenes se desarrollan en los capítulos de ISACA de
los distintos países.
05/05/2011 10/67Presentacion de los Cursos 2011
Metodología.
� 2º REQUISITOS PARA OBTENER LA CERTIFICACIÓN.– Presentar una solicitud con evidencia verificada de cinco
años de experiencia laboral (CISA, CISM) y ocho años para CGEIT.
– Período de cinco años para justificar.– Se pueden sustituir dos años de experiencia laboral por
certificaciones reconocidas por ISACA.– Se puede sustituir un máximo de un año de experiencia
laboral por desarrollar profesiones reconocidas por ISACA y relacionadas con IT.
05/05/2011 11/67Presentacion de los Cursos 2011
Metodología.
� 3º ACEPTAR Y RESPETAR EL CODIGO DE ETICA PROFESIONAL DE ISACA.– www.isaca.org/ethics.
� 4º ACEPTAR Y RESPETAR LA POLITICA DE EDUCACIÓN PROFESIONAL CONTINUA (EPC).
05/05/2011 12/67Presentacion de los Cursos 2011
Resumen.
05/05/2011 13/67Presentacion de los Cursos 2011
Certified Information Systems Auditor
Javier Planells [email protected] Pardo [email protected]
Jaume Siscar [email protected]
05/05/2011 14/67Presentacion de los Cursos 2011
� Obtenida por más de 60.000 profesionales de todo el mundo.� Está dirigida a:
– Profesionales y Técnicos especializados en Tecnologías de Sistemas de Información y Comunicaciones.
– Responsables y Directivos de Sistemas de Información en Empresas y Administraciones Públicas.
– Auditores Empresariales y Financieros.– Abogados. Economistas – Estudiantes .
Interesados en acceder y profundizar en los conocimientos y técnicas relacionados con la Auditoría de los Sistemas de Información.
Público objetivo
05/05/2011 15/67Presentacion de los Cursos 2011
� Se trata de uno de los perfiles profesionales mejor remunerados en el campo de las Tecnologías de la Información, conjuntamente con el de experto en SAP.
� Es un perfil con un recorrido profesional muy bien considerado y con una proyección muy clara hacia perfiles directivos muy bien remunerados.
Recorrido profesional del CISA.
05/05/2011 16/67Presentacion de los Cursos 2011
� Business Auditor– Generalmente actúa de forma integrada con Auditores Financieros
en departamentos de Auditoría Interna de las organizaciones.– Su función principal es la obtención y el análisis de la información
del ERP, y el análisis de los controles implantados o a implantar en el software para garantizar la integridad y seguridad de la información.
– S constituyen departamentos de Auditoría TI para garantizar los controles sobre los Sistemas de Información. Se adoptó el Framework “COSO” para los Auditores Internos y tomó mucha fuerza COBIT para la implantación y evaluación de los controles sobre TI.
Perfiles profesionales solicitados por las empresas.
05/05/2011 17/67Presentacion de los Cursos 2011
� Applications Auditor– Similar al perfil anterior, pero más orientado a las necesidades
internas de la organización.– Implanta controles, supervisa y verifica funciones o procesos clave
relacionados con las TI: adquisición de nuevos sistemas, implantación de los mismos, supervisión de los procesos de desarrollo, etc.
– Es la función de soporte a la Dirección de Sistemas de Información más valorada.
– Se está requiriendo conocimientos en ITIL e ISO 20000, y la certificación ISO 20000 Lead Auditor
Perfiles profesionales solicitados por las empresas.
05/05/2011 18/67Presentacion de los Cursos 2011
� Infraestructure Auditor– Se orienta más en la auditoría de los sistemas hardware y software
que dan soporte a la infraestructura informática específica de la organización: entornos mainframe, firewalls, IDS, routers y otros dispositivos de red en general, etc.
– Cada vez es más imprescindible conocimientos en ISO 27001 y la certificación como ISO 27001 Lead Auditor.
Perfiles profesionales solicitados por las empresas.
05/05/2011 19/67Presentacion de los Cursos 2011
Rangos salariales.
05/05/2011 20/67Presentacion de los Cursos 2011
Fuente:THE SANS 2005-2007 INFORMATION SECURITY SALARY & CAREER ADVANCEMENT SURVEY
Rangos salariales.
05/05/2011 21/67Presentacion de los Cursos 2011
� D1.- El Proceso de Auditoría de SI.
Asesorar y mantener independencia� D2.- Gobierno de TI.
Soportar estrategias y objetivos� D3.- Administración del Ciclo de Vida de Sistemas e
Infraestructura
Objetivos y control interno efectivo� D4.- Entrega y Soporte de Servicios de TI.
Calidad de gestión de servicio� D5.- Protección de los Activos de Información.
Confidencialidad, integridad, disp....
21
Estructura de la certificación
Presentacion de los Cursos 2011 Fecha: 05/05/2011 22/59
Certified InformationSecutity Manager
22
Javier Planells [email protected] Pardo [email protected]
Jaume Siscar [email protected]
05/05/2011 23/67Presentacion de los Cursos 2011
� Obtenida por más de 10.000 profesionales de todo el mundo.� Está dirigida a:
– Profesionales y Técnicos especializados en Tecnologías de Sistemas de Información y Comunicaciones.
– Responsables y Directivos de Sistemas de Información (CIO’s).– Responsables o Directivos de Seguridad de la Información
(CISO’s). Responsables o Directivos de Seguridad (CSO’s).– Abogados/Gabinetes jurídicos.– Estudiantes .
Interesados en acceder y profundizar en los conocimientos y técnicas relacionados con la Seguridad de los Sistemas de Información.
Público objetivo.
05/05/2011 24/67Presentacion de los Cursos 2011
Rangos salariales.
05/05/2011 25/67Presentacion de los Cursos 2011
Tendencias clave en el mundo.
� 1. Cumplimiento regulatorio.• El cumplimiento regulatorio continúa siendo el principal impulsor
de la función.
� 2. Gestión de accesos e identidades.• Esta gestión se ha convertido en la principal prioridad durante el
pasado año y la segunda en la presente edición.
� 3. Protección de información y prevención de fugas.• Regulaciones globales y sectoriales más restrictivas.
Fuente: Informe Anual de Seguridad en Instituciones Financieras 2009 Deloitte
05/05/2011 26/67Presentacion de los Cursos 2011
� 4. Mejoras en las infraestructuras de seguridad.� 5. Gobierno de la seguridad.
– Evolución del CISO (Chief Information Security Officer):• 1. Incremento de la presencia del CISO en las organizaciones.• 2. Incremento de la frecuencia de reporting del CISO a la alta dirección.
• 3. Mayor enfoque hacia el gobierno, estrategia y planificación de la seguridad.
– Mayor peso de la función de seguridad en el Comité de Riesgos.– Cada vez es mayor la involucración de los responsables de negocio
con el desarrollo de las estrategias de seguridad en las organizaciones.
Fuente: Informe Anual de Seguridad en Instituciones Financieras 2009 Deloitte
Tendencias clave en el mundo.
05/05/2011 27/67Presentacion de los Cursos 2011
Certificado en Gestión de la Seguridad de la Información
� Considerada como la única certificación para Directores de Seguridad de SI.1. Gobierno de la Seguridad de la Información2. Administración de Riesgos de la Información.3. Desarrollo del Programa de Seguridad de la Información.4. Administración del Programa de Seguridad de la Información5. Manejo y Respuesta de Incidentes.
� Encaja a la perfección con el Director de Seguridad de la LOPD o de la ISO 27K.
05/05/2011 28/67Presentacion de los Cursos 2011
Estructura del examen
05/05/2011 29/67Presentacion de los Cursos 2011
Certificado en Gobierno de las TI de la Empresa
� Dirigida a Directores de Sistemas de la Información o Integrantes de Departamentos de Gobierno de TI. 1. Marcos de Gobierno de TI2. Alineamiento Estratégico3. Entrega de Valor4. Gestión de Riesgos5. Gestión de Recursos6. Medición del Desempeño
05/05/2011 30/67Presentacion de los Cursos 2011
Certificado en Riesgos y Control de los Sistemas de la Información
� Dirigida a Responsables de Riesgos1. Identificación, asesoramiento y evaluación de riesgos 2. Respuesta a riesgos. 3. Monitorización de riesgos. 4. Diseño e Implementación de controles de SI 5. Monitorización y mantenimiento de controles de SI
� Metodología empleada antes o durante proyectos de gran envergadura. Implantaciones SGSI, PCN, LOPD, ERP, …
Presentacion de los Cursos 2011 Fecha: 05/05/2011 31/59
“CURSOS PREPARACION EXAMEN CERTIFICACIONES ISACA”
Javier Planells [email protected]
Juan Pardo [email protected] Siscar [email protected]
05/05/2011 32/67Presentacion de los Cursos 2011
Estructura de los cursos
Sesiones Jornadas Horas
Dominio. (*) 5 20 horas
Revisiones. 3 12 horas
Simulaciones. 5 20 horas
Cierre. 1 04 horas
TOTAL 14 56 horas
(*) CGEIT 6 Dominios, 2 Simulaciones y 1 Revisión.
Sesiones Día Horas
7 Viernes 17 a 21 horas
7 Sábados 09 a 13 horas
05/05/2011 33/67Presentacion de los Cursos 2011
Calendario
L M X J V S D L M X J V S D1 2 3 4 5 6 1 2 3
7 8 9 10 11 12 13 4 5 6 7 8 9 1014 15 16 17 18 19 20 11 12 13 14 15 16 1721 22 23 24 25 26 27 18 19 20 21 22 23 2428 29 30 31 25 26 27 28 29 30
L M X J V S D L M X J V S D1 1 2 3 4 5
2 3 4 5 6 7 8 6 7 8 9 10 11 129 10 11 12 13 14 15 13 14 15 16 17 18 1916 17 18 19 20 21 22 20 21 22 23 24 25 2623 24 25 26 27 28 29 27 28 29 30 3130 31
Junio
Mayo Junio
Marzo Abril
05/05/2011 34/67Presentacion de los Cursos 2011
Equipo docente y material
� Equipo docente– Las personas que integran el equipo docente de los programas
de isacavalencia son profesionales cualificados en su ámbito y que poseen las certificaciones de las que imparten clases.
� Material que incluye el curso:– Transparencias de los resúmenes de los dominios.– Test con preguntas tipo del examen. En Castellano de ISACA.– Material adicional de referencia que entregaran los profesores.
� Material no incluido y recomendado– CISA/CISM Review Manual.– CISA/CISM Review Questions, Answers & Explantions Manual.– CISA/CISM Review Questions, Answers & Explantions Manual
Supplement.– CISA/CISM Practice Question Database (CD).
05/05/2011 35/67Presentacion de los Cursos 2011
Condiciones
� Coste de los cursos:– ASOCIADOS: 610€– CONVENIADOS: 700€– NO ASOCIADOS 810€.
� Matrícula: – Formulario de registro.– Transferencia a:
» Rural Caja» Auditoría y Control de los Sistemas de Información» CCC: 3082 1005 19 4430082927
– Notificación justificante de transferencia a:[email protected]
� PARA LA REALIZAXIÓN DE LOS CURSOS SE REQUIERE UN NUMERO MÍNIMO DE ALUMNOS.
05/05/2011 36/67Presentacion de los Cursos 2011
La importancia de los cursosDatos edición JUNIO 2010
� CISA– 81,25% de nuestros alumnos aprobados frente al 12,50% de los no
alumnos.– Histórico de 80,43%
� CISM– 100% de los alumnos aprobados. – Histórico de 90,91%
� Alumno del Curso Virtual CISM de Diciembre de 2009 obtiene la máxima nota de todo el mundo.
Presentacion de los Cursos 2011 Fecha: 05/05/2011 37/59
“CISA:Certified Information Systems
Auditor”
Javier Planells [email protected] Pardo [email protected]
Jaume Siscar [email protected]
05/05/2011 38/67Presentacion de los Cursos 2011
Qué es la auditoría
� Auditor == ‘El que oye’.
� Evolución.– Monarcas: Mantenimiento de sus cuentas con 2 escribanos distintos.– Comercio: Control de gerentes.– 1862. Ley británica de sociedades anónimas.– 1900. Entrada en EEUU.– 1940. Control Interno (EEUU).
EVOLUCION
05/05/2011 39/67Presentacion de los Cursos 2011
Que es la auditoría informática
� Es la evaluación objetiva e independiente del cumplimiento e idoneidad, en base a:– unos estándares y procedimientos en vigor, – de los objetivos fijados, – los contratos, – la normativa legal vigente y aplicable,– el grado de satisfacción de los clientes (internos y externos),– los controles existentes y – el análisis de riesgos.
DIAGNÓSTICO
05/05/2011 40/67Presentacion de los Cursos 2011
� 73% de las empresas fue víctima de delito digital en 2008.
– 29% son accesos ilegítimos (malware, datos personales, DoS…).
– 24% sustracción de dispositivos móviles (PDA, Notebooks…).
– 19% defraudaciones (manipulación y/o acceso de datos).
– 10% delitos extorsivos o similares.
– 8% correo electrónico.
– 6% la propiedad intelectual.
Necesidad de auditoria de sistemas.
Delitos digitales
Fuente: Ernst & Young
05/05/2011 41/67Presentacion de los Cursos 2011
CISA. La auditoría según ISACA.
� Conocimientos.– Examen de certificación.– 200 preguntas.– 75 % de respuestas correctas.
� Experiencia. – 5 años de experiencia demostrable en:
• Auditoría de sistemas.
• Control.
• Seguridad.
� Política de formación continua. – 120 créditos cada 3 años.– Mínimo de 20 créditos por año.
05/05/2011 42/67Presentacion de los Cursos 2011
CISA. La auditoría según ISACA.
� Dominio 1. El Proceso de Auditoría de SI
� Dominio 2. Gobierno de TI
� Dominio 3. Ciclo de Vida de Sistemas e Infraestructura
� Dominio 4. Entrega y Soporte de Servicios de TI
� Dominio 5. Protección de los Activos de Información
38.500 – 20.000 – 27.000 – 25.999
05/05/2011 43/67Presentacion de los Cursos 2011
D1.- El Proceso de Auditoría de SI.
� Desarrollar una estrategia de auditoría basada en riesgos.
� Planificar auditorías específicas de TI.
� Llevar a cabo auditorías en conformidad con los estándares y mejores prácticas de auditoría de SI.
� Comunicar los hallazgos emergentes, riesgos potenciales y resultados.
Asesorar y mantener independencia
05/05/2011 44/67Presentacion de los Cursos 2011
D1.- El Proceso de Auditoría de SI.
� Asesorar en la implementación de la Administración de Riesgos y prácticas de control.
� Estatuto de auditoría.
� Planificación de auditoría.
� Ejecución de auditoría.
� Informe de auditoría.
Asesorar y mantener independencia
05/05/2011 45/67Presentacion de los Cursos 2011
D1.- El Proceso de Auditoría de SI.
05/05/2011 46/67Presentacion de los Cursos 2011
D2.- Gobierno de TI.
� Evaluar la efectividad de la estructura de la Junta de Gobierno de TI.
� Evaluar la efectividad de la estructura de TI.
� Evaluar la estrategia de TI.
� Evaluar políticas, estándares, procedimientos y procesos de TI.
Soportar estrategias y objetivos
05/05/2011 47/67Presentacion de los Cursos 2011
D2.- Gobierno de TI.
� Evaluar la inversión en recursos de TI.
� Evaluar las estrategias de contratación y gestión de contratos de TI.
� Evaluar las prácticas de administración de riesgos de TI.
� Evaluar las prácticas de monitorización y seguimiento de TI.– Alta dirección– Gerencia.
Soportar estrategias y objetivos
05/05/2011 48/67Presentacion de los Cursos 2011
D2.- Gobierno de TI .
05/05/2011 49/67Presentacion de los Cursos 2011
D3.- Administración del Ciclo de Vida de Sistemas e Infraestructura .
� Prácticas de gobierno de proyectos.
� Revisiones de progreso de proyectos.
� Mecanismos de control de sistemas e infraestructura:– Especificación.– Desarrollo / Adquisición.– Pruebas.
� Evaluar la correcta migración a producción.
Objetivos y control interno efectivo
05/05/2011 50/67Presentacion de los Cursos 2011
D3.- Administración del Ciclo de Vida de Sistemas e Infraestructura .
� PIR.
� Revisiones periódicas.
� Evaluar el proceso de mantenimiento.
� Evaluar el proceso de baja de sistemas e infraestructura.
� Evaluar la correcta migración a producción.
Objetivos y control interno efectivo
05/05/2011 51/67Presentacion de los Cursos 2011
D3.- Administración del Ciclo de Vida de Sistemas e Infraestructura .
05/05/2011 52/67Presentacion de los Cursos 2011
D4.- Entrega y Soporte de Servicios de TI.
� Evaluar la gestión de niveles de servicio con proveedores externos e internos.
� Evaluar la administración de las operaciones del servicio.
� Evaluar las prácticas de administración de datos.
� Evaluar uso de herramientas de monitorización y seguimiento.
� Evaluar prácticas de gestión del cambio y configuración.
Calidad de gestión de servicio
05/05/2011 53/67Presentacion de los Cursos 2011
D4.- Entrega y Soporte de Servicios de TI.
� Evaluar las prácticas de gestión de incidentes y problemas.
� Evaluar la funcionalidad de la infraestructura de TI para asegurar que cumple los objetivos del negocio.
� Evaluar la función de operación del servicio y de service desk.
Calidad de gestión de servicio
05/05/2011 54/67Presentacion de los Cursos 2011
D4.- Entrega y Soporte de Servicios de TI.
05/05/2011 55/67Presentacion de los Cursos 2011
D5.- Protección de los Activos de Información.
� Evaluar el diseño, la implementación y la monitorización de:– controles de acceso lógico.– controles ambientales.– controles de acceso físico.
� Evaluar la seguridad de la infraestructura de red.
� Evaluar los procesos y procedimientos para almacenar, recuperar, transportar y desechar activos de información confidencial.
Confidencialidad, integridad, disp....
05/05/2011 56/67Presentacion de los Cursos 2011
D5.- Protección de los Activos de Información.
� Evaluar los procesos y procedimientos para almacenar, recuperar, transportar y desechar activos de información confidencial.
� Evaluar el diseño, la implementación y la monitorización de controles ambientales.
� Evaluar el diseño, la implementación y la monitorización de controles de acceso físico.
Confidencialidad, integridad, disp....
05/05/2011 57/67Presentacion de los Cursos 2011
D5.- Protección de los Activos de Información.
05/05/2011 58/67Presentacion de los Cursos 2011
Objetivos claros.
One day Alice came to a fork in the road and saw a Cheshire cat in a tree.
- “Which road do I take?” she asked.
- “Where do you want to go?” was his response.
- “I don’t know,” Alice answered.
- “Then,” said the cat, “it doesn’t matter.”
Lewis Carroll
Presentacion de los Cursos 2011 Fecha: 05/05/2011 59/59
Gracias
Javier Planells [email protected] Pardo [email protected]
Jaume Siscar [email protected]