“The recognized global leader in IT governance, control ...

Presentacion de los Cursos 2011 Fecha: 05/05/2011 1/59

“The recognized global leader in IT governance, control, security and assurance”

Javier Planells [email protected]

Juan Pardo [email protected] Siscar [email protected]

05/05/2011 2/67Presentacion de los Cursos 2011

ISACA

� CARACTERISTICAS DE ISACA – ORGANIZACIÓN SIN ANIMO DE LUCRO.– DE AMBITO INTERNACIONAL

� MISION.– DIFUSIÓN DEL CONOCIMIENTO EN MATERIA DE

TECNOLOGIAS DE LA INFORMACIÓN DESDE VARIAS PERSPECTIVAS.

• GOBIERNO IT

• AUDITORIA Y CONTROL DE LOS SISTEMAS Y TECNOLOGÍAS DE LA INFORMACIÓN.

• SEGURIDAD DE LA INFORMACIÓN.

• GESTION DE RIESGOS.

Fundada en 1969 y cuenta actualmente con más de 97.000 asociados


ISACA

� COMO REALIZA ESTA DIFUSIÓN DEL CONOCIMIENTO– CREACIÓN DE ESTANDARES Y BUENAS PRACTICAS.

• COBIT, VALIT

– SEMINARIOS, JORNADAS, EVENTOS• A NIVEL INTERNACIONAL.• A NIVEL NACIONAL/LOCAL A TRAVÉS DE LOS CAPÍTULOS.

– CERTIFICACIONES• CISA• CISM

• CGEIT

• CRISC

– REVISTAS Y PUBLICACIONES

Reconocida globalmente como líder en gobierno, auditoria, control y seguridad de TI.


ISACA - Asociados

� 97,249 asociados alrededor del mundo.

Actualizado a 28 de Febrero de 2009


ISACA – Asociados Europa África

24.035

9.616

11.384

14.639

17.173

20.601

0 5.000 10.000 15.000 20.000 25.000

28 Feb '09

28 Feb '08

28 Feb '07

28 Feb '06

28 Feb '05

28 Feb '04

� Total de Asociados en Europa / África.

Actualizado a 28 de Febrero de 2009


Acerca de ISACA Valencia

� Con más de 150 miembros en España y también en otros países, ISACA Valencia ( www.isacavalencia.org) se constituyo en Marzo del 2003, como la Asociación de Auditoria y Control de los Sistemas de Información de la Comunidad Valenciana isaca-cv.

� Realiza charlas mensuales y al menos una jornada anual.� Colabora con múltiples organismos en la difusión de la

Auditoría, Seguridad y Gobierno de los Sistemas de la Información.

� Actualmente cerca de 200 asociados. Se puede pertenecer sin estar certificado y/o siendo estudiante. – http://www.isaca.org/student– http://www.isacavalencia.org/estuadiante


ISACA Valencia - Beneficios

� Relación con profesionales de prestigio de SI.� Formación a precios asequibles por profesionales.� Preparación a los exámenes de certificación.� Eventos sociales y profesionales.� Relacionarse con personas que comprenden tus necesidades

profesionales


“CERTIFICACIONES ISACA”




Metodología.

� 1º APROBAR EL EXAMEN.– Consta de 200 preguntas de selección múltiple.– 4 horas de desarrollo.– El número de preguntas está ponderada por la importancia

del área de conocimiento.– Superar el 75% de las preguntas.– Los exámenes se desarrollan en los capítulos de ISACA de

los distintos países.


Metodología.

� 2º REQUISITOS PARA OBTENER LA CERTIFICACIÓN.– Presentar una solicitud con evidencia verificada de cinco

años de experiencia laboral (CISA, CISM) y ocho años para CGEIT.

– Período de cinco años para justificar.– Se pueden sustituir dos años de experiencia laboral por

certificaciones reconocidas por ISACA.– Se puede sustituir un máximo de un año de experiencia

laboral por desarrollar profesiones reconocidas por ISACA y relacionadas con IT.


Metodología.

� 3º ACEPTAR Y RESPETAR EL CODIGO DE ETICA PROFESIONAL DE ISACA.– www.isaca.org/ethics.

� 4º ACEPTAR Y RESPETAR LA POLITICA DE EDUCACIÓN PROFESIONAL CONTINUA (EPC).


Resumen.


Certified Information Systems Auditor

Javier Planells [email protected] Pardo [email protected]

Jaume Siscar [email protected]


� Obtenida por más de 60.000 profesionales de todo el mundo.� Está dirigida a:

– Profesionales y Técnicos especializados en Tecnologías de Sistemas de Información y Comunicaciones.

– Responsables y Directivos de Sistemas de Información en Empresas y Administraciones Públicas.

– Auditores Empresariales y Financieros.– Abogados. Economistas – Estudiantes .

Interesados en acceder y profundizar en los conocimientos y técnicas relacionados con la Auditoría de los Sistemas de Información.

Público objetivo


� Se trata de uno de los perfiles profesionales mejor remunerados en el campo de las Tecnologías de la Información, conjuntamente con el de experto en SAP.

� Es un perfil con un recorrido profesional muy bien considerado y con una proyección muy clara hacia perfiles directivos muy bien remunerados.

Recorrido profesional del CISA.


� Business Auditor– Generalmente actúa de forma integrada con Auditores Financieros

en departamentos de Auditoría Interna de las organizaciones.– Su función principal es la obtención y el análisis de la información

del ERP, y el análisis de los controles implantados o a implantar en el software para garantizar la integridad y seguridad de la información.

– S constituyen departamentos de Auditoría TI para garantizar los controles sobre los Sistemas de Información. Se adoptó el Framework “COSO” para los Auditores Internos y tomó mucha fuerza COBIT para la implantación y evaluación de los controles sobre TI.

Perfiles profesionales solicitados por las empresas.


� Applications Auditor– Similar al perfil anterior, pero más orientado a las necesidades

internas de la organización.– Implanta controles, supervisa y verifica funciones o procesos clave

relacionados con las TI: adquisición de nuevos sistemas, implantación de los mismos, supervisión de los procesos de desarrollo, etc.

– Es la función de soporte a la Dirección de Sistemas de Información más valorada.

– Se está requiriendo conocimientos en ITIL e ISO 20000, y la certificación ISO 20000 Lead Auditor



� Infraestructure Auditor– Se orienta más en la auditoría de los sistemas hardware y software

que dan soporte a la infraestructura informática específica de la organización: entornos mainframe, firewalls, IDS, routers y otros dispositivos de red en general, etc.

– Cada vez es más imprescindible conocimientos en ISO 27001 y la certificación como ISO 27001 Lead Auditor.



Rangos salariales.


Fuente:THE SANS 2005-2007 INFORMATION SECURITY SALARY & CAREER ADVANCEMENT SURVEY

Rangos salariales.


� D1.- El Proceso de Auditoría de SI.

Asesorar y mantener independencia� D2.- Gobierno de TI.

Soportar estrategias y objetivos� D3.- Administración del Ciclo de Vida de Sistemas e

Infraestructura

Objetivos y control interno efectivo� D4.- Entrega y Soporte de Servicios de TI.

Calidad de gestión de servicio� D5.- Protección de los Activos de Información.

Confidencialidad, integridad, disp....

21

Estructura de la certificación


Certified InformationSecutity Manager

22




� Obtenida por más de 10.000 profesionales de todo el mundo.� Está dirigida a:

– Profesionales y Técnicos especializados en Tecnologías de Sistemas de Información y Comunicaciones.

– Responsables y Directivos de Sistemas de Información (CIO’s).– Responsables o Directivos de Seguridad de la Información

(CISO’s). Responsables o Directivos de Seguridad (CSO’s).– Abogados/Gabinetes jurídicos.– Estudiantes .

Interesados en acceder y profundizar en los conocimientos y técnicas relacionados con la Seguridad de los Sistemas de Información.

Público objetivo.


Rangos salariales.


Tendencias clave en el mundo.

� 1. Cumplimiento regulatorio.• El cumplimiento regulatorio continúa siendo el principal impulsor

de la función.

� 2. Gestión de accesos e identidades.• Esta gestión se ha convertido en la principal prioridad durante el

pasado año y la segunda en la presente edición.

� 3. Protección de información y prevención de fugas.• Regulaciones globales y sectoriales más restrictivas.

Fuente: Informe Anual de Seguridad en Instituciones Financieras 2009 Deloitte


� 4. Mejoras en las infraestructuras de seguridad.� 5. Gobierno de la seguridad.

– Evolución del CISO (Chief Information Security Officer):• 1. Incremento de la presencia del CISO en las organizaciones.• 2. Incremento de la frecuencia de reporting del CISO a la alta dirección.

• 3. Mayor enfoque hacia el gobierno, estrategia y planificación de la seguridad.

– Mayor peso de la función de seguridad en el Comité de Riesgos.– Cada vez es mayor la involucración de los responsables de negocio

con el desarrollo de las estrategias de seguridad en las organizaciones.

Fuente: Informe Anual de Seguridad en Instituciones Financieras 2009 Deloitte

Tendencias clave en el mundo.


Certificado en Gestión de la Seguridad de la Información

� Considerada como la única certificación para Directores de Seguridad de SI.1. Gobierno de la Seguridad de la Información2. Administración de Riesgos de la Información.3. Desarrollo del Programa de Seguridad de la Información.4. Administración del Programa de Seguridad de la Información5. Manejo y Respuesta de Incidentes.

� Encaja a la perfección con el Director de Seguridad de la LOPD o de la ISO 27K.


Estructura del examen


Certificado en Gobierno de las TI de la Empresa

� Dirigida a Directores de Sistemas de la Información o Integrantes de Departamentos de Gobierno de TI. 1. Marcos de Gobierno de TI2. Alineamiento Estratégico3. Entrega de Valor4. Gestión de Riesgos5. Gestión de Recursos6. Medición del Desempeño


Certificado en Riesgos y Control de los Sistemas de la Información

� Dirigida a Responsables de Riesgos1. Identificación, asesoramiento y evaluación de riesgos 2. Respuesta a riesgos. 3. Monitorización de riesgos. 4. Diseño e Implementación de controles de SI 5. Monitorización y mantenimiento de controles de SI

� Metodología empleada antes o durante proyectos de gran envergadura. Implantaciones SGSI, PCN, LOPD, ERP, …


“CURSOS PREPARACION EXAMEN CERTIFICACIONES ISACA”




Estructura de los cursos

Sesiones Jornadas Horas

Dominio. (*) 5 20 horas

Revisiones. 3 12 horas

Simulaciones. 5 20 horas

Cierre. 1 04 horas

TOTAL 14 56 horas

(*) CGEIT 6 Dominios, 2 Simulaciones y 1 Revisión.

Sesiones Día Horas

7 Viernes 17 a 21 horas

7 Sábados 09 a 13 horas


Calendario

L M X J V S D L M X J V S D1 2 3 4 5 6 1 2 3

7 8 9 10 11 12 13 4 5 6 7 8 9 1014 15 16 17 18 19 20 11 12 13 14 15 16 1721 22 23 24 25 26 27 18 19 20 21 22 23 2428 29 30 31 25 26 27 28 29 30

L M X J V S D L M X J V S D1 1 2 3 4 5

2 3 4 5 6 7 8 6 7 8 9 10 11 129 10 11 12 13 14 15 13 14 15 16 17 18 1916 17 18 19 20 21 22 20 21 22 23 24 25 2623 24 25 26 27 28 29 27 28 29 30 3130 31

Junio

Mayo Junio

Marzo Abril


Equipo docente y material

� Equipo docente– Las personas que integran el equipo docente de los programas

de isacavalencia son profesionales cualificados en su ámbito y que poseen las certificaciones de las que imparten clases.

� Material que incluye el curso:– Transparencias de los resúmenes de los dominios.– Test con preguntas tipo del examen. En Castellano de ISACA.– Material adicional de referencia que entregaran los profesores.

� Material no incluido y recomendado– CISA/CISM Review Manual.– CISA/CISM Review Questions, Answers & Explantions Manual.– CISA/CISM Review Questions, Answers & Explantions Manual

Supplement.– CISA/CISM Practice Question Database (CD).


Condiciones

� Coste de los cursos:– ASOCIADOS: 610€– CONVENIADOS: 700€– NO ASOCIADOS 810€.

� Matrícula: – Formulario de registro.– Transferencia a:

» Rural Caja» Auditoría y Control de los Sistemas de Información» CCC: 3082 1005 19 4430082927

– Notificación justificante de transferencia a:[email protected]

� PARA LA REALIZAXIÓN DE LOS CURSOS SE REQUIERE UN NUMERO MÍNIMO DE ALUMNOS.


La importancia de los cursosDatos edición JUNIO 2010

� CISA– 81,25% de nuestros alumnos aprobados frente al 12,50% de los no

alumnos.– Histórico de 80,43%

� CISM– 100% de los alumnos aprobados. – Histórico de 90,91%

� Alumno del Curso Virtual CISM de Diciembre de 2009 obtiene la máxima nota de todo el mundo.


“CISA:Certified Information Systems

Auditor”




Qué es la auditoría

� Auditor == ‘El que oye’.

� Evolución.– Monarcas: Mantenimiento de sus cuentas con 2 escribanos distintos.– Comercio: Control de gerentes.– 1862. Ley británica de sociedades anónimas.– 1900. Entrada en EEUU.– 1940. Control Interno (EEUU).

EVOLUCION


Que es la auditoría informática

� Es la evaluación objetiva e independiente del cumplimiento e idoneidad, en base a:– unos estándares y procedimientos en vigor, – de los objetivos fijados, – los contratos, – la normativa legal vigente y aplicable,– el grado de satisfacción de los clientes (internos y externos),– los controles existentes y – el análisis de riesgos.

DIAGNÓSTICO


� 73% de las empresas fue víctima de delito digital en 2008.

– 29% son accesos ilegítimos (malware, datos personales, DoS…).

– 24% sustracción de dispositivos móviles (PDA, Notebooks…).

– 19% defraudaciones (manipulación y/o acceso de datos).

– 10% delitos extorsivos o similares.

– 8% correo electrónico.

– 6% la propiedad intelectual.

Necesidad de auditoria de sistemas.

Delitos digitales

Fuente: Ernst & Young


CISA. La auditoría según ISACA.

� Conocimientos.– Examen de certificación.– 200 preguntas.– 75 % de respuestas correctas.

� Experiencia. – 5 años de experiencia demostrable en:

• Auditoría de sistemas.

• Control.

• Seguridad.

� Política de formación continua. – 120 créditos cada 3 años.– Mínimo de 20 créditos por año.


CISA. La auditoría según ISACA.

� Dominio 1. El Proceso de Auditoría de SI

� Dominio 2. Gobierno de TI

� Dominio 3. Ciclo de Vida de Sistemas e Infraestructura

� Dominio 4. Entrega y Soporte de Servicios de TI

� Dominio 5. Protección de los Activos de Información

38.500 – 20.000 – 27.000 – 25.999


D1.- El Proceso de Auditoría de SI.

� Desarrollar una estrategia de auditoría basada en riesgos.

� Planificar auditorías específicas de TI.

� Llevar a cabo auditorías en conformidad con los estándares y mejores prácticas de auditoría de SI.

� Comunicar los hallazgos emergentes, riesgos potenciales y resultados.

Asesorar y mantener independencia



� Asesorar en la implementación de la Administración de Riesgos y prácticas de control.

� Estatuto de auditoría.

� Planificación de auditoría.

� Ejecución de auditoría.

� Informe de auditoría.

Asesorar y mantener independencia


D2.- Gobierno de TI.

� Evaluar la efectividad de la estructura de la Junta de Gobierno de TI.

� Evaluar la efectividad de la estructura de TI.

� Evaluar la estrategia de TI.

� Evaluar políticas, estándares, procedimientos y procesos de TI.

Soportar estrategias y objetivos


D2.- Gobierno de TI.

� Evaluar la inversión en recursos de TI.

� Evaluar las estrategias de contratación y gestión de contratos de TI.

� Evaluar las prácticas de administración de riesgos de TI.

� Evaluar las prácticas de monitorización y seguimiento de TI.– Alta dirección– Gerencia.

Soportar estrategias y objetivos


D2.- Gobierno de TI .


D3.- Administración del Ciclo de Vida de Sistemas e Infraestructura .

� Prácticas de gobierno de proyectos.

� Revisiones de progreso de proyectos.

� Mecanismos de control de sistemas e infraestructura:– Especificación.– Desarrollo / Adquisición.– Pruebas.

� Evaluar la correcta migración a producción.

Objetivos y control interno efectivo



� PIR.

� Revisiones periódicas.

� Evaluar el proceso de mantenimiento.

� Evaluar el proceso de baja de sistemas e infraestructura.

� Evaluar la correcta migración a producción.

Objetivos y control interno efectivo


D4.- Entrega y Soporte de Servicios de TI.

� Evaluar la gestión de niveles de servicio con proveedores externos e internos.

� Evaluar la administración de las operaciones del servicio.

� Evaluar las prácticas de administración de datos.

� Evaluar uso de herramientas de monitorización y seguimiento.

� Evaluar prácticas de gestión del cambio y configuración.

Calidad de gestión de servicio



� Evaluar las prácticas de gestión de incidentes y problemas.

� Evaluar la funcionalidad de la infraestructura de TI para asegurar que cumple los objetivos del negocio.

� Evaluar la función de operación del servicio y de service desk.

Calidad de gestión de servicio


D5.- Protección de los Activos de Información.

� Evaluar el diseño, la implementación y la monitorización de:– controles de acceso lógico.– controles ambientales.– controles de acceso físico.

� Evaluar la seguridad de la infraestructura de red.

� Evaluar los procesos y procedimientos para almacenar, recuperar, transportar y desechar activos de información confidencial.




� Evaluar los procesos y procedimientos para almacenar, recuperar, transportar y desechar activos de información confidencial.

� Evaluar el diseño, la implementación y la monitorización de controles ambientales.

� Evaluar el diseño, la implementación y la monitorización de controles de acceso físico.



Objetivos claros.

One day Alice came to a fork in the road and saw a Cheshire cat in a tree.

- “Which road do I take?” she asked.

- “Where do you want to go?” was his response.

- “I don’t know,” Alice answered.

- “Then,” said the cat, “it doesn’t matter.”

Lewis Carroll


Gracias



“The recognized global leader in IT governance, control ...

Documents

Transcript of “The recognized global leader in IT governance, control ...