Metodologías para el gobierno, gestión de riesgos y cumplimiento (GRC) de la ciberseguridad (online)

La Ciberseguridad se ha vuelto y seguirá siendo un tema relevante a nivel mundial , y Chile no ha estado ajeno a este fenómeno, tanto en el sector público como en el privado. En efecto, el sector público está impulsando fuertemente la agenda de ciberseguridad y el sector privado está poniendo énfasis en este aspecto no sólo por las regulaciones que vendrán en el futuro, sino también para resguardar sus principales activos, como lo son sus datos, su imagen y reputación, y, por lo tanto, su capacidad para mantener la relación a largo plazo con sus clientes. Finalmente, en Chile en el último tiempo se han incorporado un fuerte Marco Regulatorio que será implementado en el corto plazo a través de la Agencia Nacional de Ciberseguridad (ANCI) y la Agencia de Protección de Datos Personales.

Este curso de Metodologías para el Gobierno, Gestión de Riesgos y Cumplimiento (GRC) de la Ciberseguridad permitirá a sus participantes conocer y aplicar aquellos estándares y aspectos relevantes para una adecuada gestión de los riesgos de ciberseguridad, incluido el proceso para su tratamiento y mejora continua en el tiempo, principalmente basado en los estándares internacionales ISO 31000 e ISO 27005. Además, se entrega información clave acerca de la valorización de activos, la identificación de amenazas y vulnerabilidades, y la evaluación de controles y riesgos en ciberseguridad. Se utilizan lecciones aprendidas para fortalecer la infraestructura crítica a partir de estándares aplicables como NIST CSF, PCI-DSS y Swift. Basado en normas internacionales tales como la ISO 27032 y el estándar NIST CSF v2.0 (Core), el curso permite a los participantes realizar una evaluación de aquellas prácticas que son requeridas para la incorporación de la gestión de riesgos y ciberseguridad en el contexto del gobierno organizacional. Finalmente, con el uso de estándares como CIS CSS v8.1 y otros ámbitos vinculados a las PYMES y la seguridad en la nube, se aplican prácticas para una adecuada definición de estrategias de planificación para la reducción de brechas de ciberseguridad.

La metodología de enseñanza y aprendizaje para este curso consiste en técnicas metodológicas activas, donde el participante puede interactuar con sus pares y el profesor-tutor a través de los recursos tecnológicos que provee la plataforma educativa virtual proporcionada para el curso.

Todos aquellos profesionales (auditores, oficiales de seguridad, gerentes de riesgos, gerentes de tecnologías de información, abogados, etc.) que sean responsables por la protección de la información y el ciberespacio. También está dirigido a aquellos profesionales que asesoran a las empresas en el diseño de sus estrategias de gestión de la ciberseguridad.

Aplicar estándares, metodologías y prácticas fundamentales para el gobierno y la gestión de riesgos de la ciberseguridad.

Se recomienda que los participantes del curso cuenten con estudios o certificaciones en al menos una de las siguientes alternativas:
– Licenciatura en ciencias de la ingeniería o título profesional universitario de ingeniería civil informática, civil industrial, o en una disciplina afín a la ingeniería civil informática.
– Título técnico en una disciplina afín a la informática con experiencia laboral de al menos 2 años en el área o áreas afines.
– Profesionales de otras disciplinas (abogados, auditores o consultores) que tengan experiencia o posean certificaciones en gestión o auditoría en gobierno, gestión de riesgos y cumplimiento de ciberseguridad.

Al final del curso podrás:
Identificar información clave para la integración de las estrategias y prácticas requeridas para el gobierno, gestión de riesgos y cumplimiento de la ciberseguridad. Seleccionar las estrategias que son necesarias para el análisis y gestión de riesgos e identificación de brechas de ciberseguridad. Aplicar prácticas que son requeridas para la incorporación de la gestión de riesgos y ciberseguridad dentro del contexto del gobierno organizacional. Utilizar las lecciones aprendidas para fortalecer la infraestructura crítica a partir de los aportes de los estándares aplicables NIST (National Institute of Standards and Technology) y PCI-DSS (Payment Card Industry Data Security Standard). Diferenciar las prácticas de cumplimiento de ciberseguridad en cuanto al diseño de un marco de control, la evaluación del quehacer de la organización, y las estrategias de planificación para la reducción de brechas de seguridad.

Contenidos:
Integración del gobierno, gestión de riesgos y cumplimiento de la ciberseguridad. Parte I, estrategias de gestión de riesgos: Gestión de riesgos. ISO 31000. Proceso de gestión de riesgos. Mejora continua. Levantamiento de procesos.

Integración del gobierno, gestión de riesgos y cumplimiento de la ciberseguridad. Parte II, incorporación de prácticas de gestión de riesgos y ciberseguridad dentro del gobierno organizacional: Identificación y valorización de activos. Amenazas y vulnerabilidades. Riesgo inherente. Identificación y evaluación de controles. Tratamiento de riesgos. Aspectos y evaluación de riesgos de ciberseguridad.

Integración del gobierno, gestión de riesgos y cumplimiento de la ciberseguridad. Parte III, fortaleciendo la infraestructura y prácticas operativas: Conceptos de SCADA e infraestructura crítica de la información. Ciberseguridad industrial. PCI. SWIFT.

Cumplimiento de prácticas de ciberseguridad. Diseño de un marco para el control de la ciberseguridad: Seguridad de la información, ISO 27001. ISO 27032. NIST CSF Ciberseguridad. CIS Controls v8.1 – Center Internet Security. Otro aspecto de evaluación.

Cumplimiento de prácticas de ciberseguridad. Evaluación de las prácticas de ciberseguridad en el quehacer de la organización: Directrices y Controles ISO 27032. Funciones NIST CSF 2.0 Ciberseguridad.

Cumplimiento de prácticas de ciberseguridad. Estrategias de planificación para la reducción de brechas de seguridad: CIS CSC v8.1 – 18 Familias de controles. Ciberseguridad – pequeñas empresas. Fundamentos de servicios y seguridad en cloud.