Monday, October 13, 2008

Modulo Security Officer





Hoy comence el curso Modulo Security Officer dictado por la empresa Modulo en Sao Paulo. Modulo fue la primer empresa de seguridad en el mundo en estar certificada con la norma ISO 27001. El curso de formacion en Security Officer cuenta con mas de 700 profesionales certificados y su contenido esta en conformidad con la norma ISO 27001.


Pense en tomar este entrenamiento ya que la mayoria de las capacitaciones que realize en el pasado era de un perfil muy tecnico y necesitaba tener una vision mas orientada a la gestion de la seguridad informatica.

Mi objetivo es poder tener todas las herramientas necesarias para poder presentar en la empresa un Plano Director de Seguridad acorde con las normas vigentes.


Modulo en Brasil es una empresa referente en seguridad informatica y me intereso mucho su programa de Gerenciamiento de Riesgos.

El objetivo de este entrenamiento es capacitar a tecnicos y administradores para la Gestion de la Seguridad de la Informacion. Aborda desde conceptos hasta la organizacion de departamentos, gestion de personas y Politicas de Seguridad de la Informacion.


El contenido del programa :

  • Conceptos generales de Seguridad de la Informacion
  • Gestion de Riesgos
  • Legislacion, Reglamentacion,Notmas,Investigacion y Etica
  • Politica de Seguridad de la Informacion
  • Clasificacion de la Informacion
  • Gestion de continuidad del negocio
  • Gestion de personas en Seguridad de la Informacion
  • Seguridad Fisica y Operacional
  • Organizacion de la Seguridad de la Informacion.

Entre los materiales entregados , se encuentra el libro "Guia Oficial para Formação de Gestores em Segurança da Informação – Módulo 1" el cual es un material didactico que me parecio muy completo.

En la primer clase repasamos conceptos de seguridad , como , activos de la empresa, vulnerabilidad, riesgo, amenaza, incidentes.

Por supuesto que tambien se vio los tres ejes de la seguridad informatica :

Y luego llegamos al capitulo de mapeamiento de riesgos y su medicion.

El libro al comienzo del capitulo dos que habla sobre Gestion de Riesgos tiene una frase de Peter Drucker "No podemos gerenciar lo que no podemos medir"

El analisis de riesgo tiene por objetivo identificar las amenazas informaticas presentes en nuestras empresas, permitiendonos tener los conocimientos necesarios para poder implementar los controles que minimizen estos riesgos.


Riesgo = Combinacion entre la Probabilidad que un evento ocurra y de sus consecuencias.

Esto expresado en una formula :

Riesgo = ( Probabilidad x Evento x Consecuencia ) x Valor del Activo



Al final del dia vimos un ejercicio practico de medicion del riesgo de una empresa tipo, mediante el score que nos entrego la formula en cada uno de los casos.


No comments: