CURSO / TALLER
AUDITOR INTERNO ISO 27001:2013
Con énfasis en riesgos bajo la norma ISO 31000:2018

Duración: 24 horas

Código: ISO-27001-ERCA

Descripción:

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en cualquier tipo de empresa. La revisión más reciente de esta norma fue publicada en 2013.

Esta norma internacional se ha convertido en el principal referente a nivel mundial para la seguridad de la información. Está elaborada por reconocidos especialistas del mundo en el tema y proporciona una metodología para implementar, operar, revisar, monitorear y mejorar continuamente la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; lo cual significa que una entidad de certificación independiente, confirma que la seguridad de la información ha sido implementada con base en las mejores prácticas como lo es la norma ISO 27001.

Este curso ha sido diseñado para preparar a los participantes con los conocimientos y habilidades necesarias para evaluar e informar sobre la correcta implantación de un sistema de gestión de la seguridad de la información (SGSI) bajo la norma ISO 27001 en su última revisión correspondiente al año 2013; dando así cumplimiento al requisito 9.2 exigido por la norma para conservar la certificación.

Al concluir la formación usted será capaz de:

  • Identificar y comprender los nuevos requisitos de la norma ISO 27001:2013 respecto a la anterior norma ISO 27001 del año 2005.
  • Conocer y entender las responsabilidades del auditor interno y la función de la auditoría interna en el mantenimiento y mejora del Sistema de Gestión de Seguridad de la Información, conforme a las normas ISO 27001 e ISO 19011.
  • Planificar y preparar una auditoría interna, así como reunir pruebas válidas de auditoría mediante la observación, la entrevista y la toma de muestras de documentos y registros.
  • Redactar informes de auditoría detallados que ayuden a mejorar la efectividad del sistema de Gestión de Seguridad de la Información SGSI.
  • Proponer modos de verificar la eficacia de las acciones correctivas.
  • Fortalecer la Gestión de Riesgo teniendo como marco de referencia el estándar internacional ISO 31000.

La formación incluye presentaciones magistrales, ejercicios prácticos y transferencia de lecciones aprendidas por el instructor en sus años de experiencia.

Objetivos:

Objetivo General:

  • Adquirir los conocimientos básicos para realizar de manera efectiva una auditoria al sistema de gestión de seguridad de la información bajo la última versión de la norma ISO 27001:2013.

Objetivos Específicos

  • Promover programas de capacitación al interior de la empresa con el fin de lograr mayor grado de conciencia entre los principales involucrados en la gestión de seguridad de la información. SGSI.
  • Actualizar los conocimientos sobre la última revisión de la norma ISO 27001:2013, apoyado en el conocimiento del instructor quien hace parte del comité 181 de Icontec; empresa colombiana encargada de normalizar ISO 27001:2013 para Colombia.
  • Dar conformidad a los requisitos de la norma, contando con personal capacitado como auditor interno en la versión actualizada ISO 27001:2013.
  • Conocer lecciones aprendidas por el instructor en sus años de experiencia diseñando, implementando, liderando y auditando sistemas de gestión de seguridad de la información en reconocidas empresas internacionales.
  • Fortalecer la Gestión de Riesgo teniendo como marco de referencia el estándar internacional ISO 31000.
Nombre y breve reseña del facilitador:

Carlos Alfonso Restrepo Oramas (CISA, CISM, CGEIT, CRISC, CBCP, Lead Implementer ISO 22301, ISO 27001, ISO 20000 Lead Auditor ISO 22301, ISO 27001, ISO 20000, ISO 9001, ISO 18001,Risk Manager ISO 31000, ITIL V3, Cobit 5F)

Formador certificado por el Instituto Tecnológico de Monterrey México, con 20 años de experiencia profesional en el sector financiero colombiano; capacitando, diseñando, auditando, implementando, operando y liderando sistemas de gestión integral de riesgo y continuidad del negocio para empresas de reconocido prestigio internacional. Carlos A. Restrepo se ha desempeñado en los últimos 17 años como Gerente de Gestión Integral de Riesgo y Continuidad en Restrepo&Oramas SAS, Gerente de Procesos y Riesgo en Visa_Colombia, Experto de Seguridad TI y Continuidad del Negocio en Synapsis Colombia, Consultor E.R.S en Deloitte&Touche, Jefe (e) de la Oficina de Control Interno de la hoy Superintendencia Financiera de Colombia y Director de Riesgo Operativo en "IQ Outsourcing S.A".

Su capacidad de combinar conocimiento y experiencia como catedrático, consultor, auditor, implementador de Sistemas de Gestión Integral de Riesgo y Continuidad; así como ejercer su rol de Gerente de Procesos y Riesgos en VISA, le han permitido obtener las máximas calificaciones en calidad y satisfacción para la totalidad de los cursos impartidos en México, Costa Rica, Honduras, Guatemala, Panamá, República Dominicana, Colombia, Venezuela, Perú, Bolivia, Chile, Ecuador, Uruguay y Argentina.

Certificación:

Al final del curso se entregará a las personas que aprobaron el examen final, un certificado de finalización exitosa del curso Auditor Interno de la Norma ISO 27001:2013, expedido por ERCA ( Registro Europeo de Auditores Certificados); organización europea de certificación con sede principal en Bruselas.( Ver documento adjunto ERCA explicando el proceso para aplicar a la certificación ) En caso que el estudiante no apruebe el examen, le será expedida una constancia de asistencia al curso.

Contenido:
  1. Módulo 1 Introducción al Sistema de Gestión de Seguridad de la Información ISO 27001:2013
    1. Conceptos básicos de Seguridad de la Información.
    2. Introducción a la norma ISO 27001:2013 y sus principales diferencias con la versión 2005.
    3. Principales estándares de la familia ISO/IEC JTC 1/SC 27 - IT Security techniques
    4. Aspectos generales de la norma ISO 27002:2013.
    5. Taller: Glosario de términos ISO 27000:2014
  2. Módulo 2 Revisión y análisis de la norma ISO 27001:2013
    1. Taller: Modelo PHVA aplicado al Sistema de Gestión de Seguridad de la Información.
    2. Análisis e interpretación de los requisitos consagrados en las cláusulas 4 a 10 de la ISO 27001:2013.
    3. Revisión y análisis del anexo A de la norma ISO 27001:2013.
    4. Taller: Ejemplo práctico de una implementación real de un SGSI.
  3. Módulo 3 Fundamentos de la Gestión de Riesgos conforme a la norma ISO 31000.
    1. Presentación de los principales componentes de la norma ISO 31000
    2. Marco de referencia de la Norma ISO 31000
    3. El proceso de gestión de riesgo de la norma ISO 31000
    4. Fundamentos sobre apetito al riesgo.
  4. Módulo 4 Auditoria a un Sistema de Gestión fundamentada en la norma ISO 19011:2012
    1. Diseño de un programa de auditoria al Sistema de Gestión de Seguridad de la Información.
    2. Aspectos fundamentales a ser auditados al Sistema de Gestión de Seguridad de Información.
    3. Principales métodos de auditoria y su aplicación dentro de la auditoria al SGSI.
    4. Taller: Diseño de un plan de pruebas a una selección de controles del anexo A.
    5. Elementos a considerar para recolectar evidencia pertinente y suficiente.
    6. Taller: Fundamentos generales sobre técnicas de muestreo.
    7. Breve reseña de herramientas de auditoria asistida por computadora CAAT
    8. Administración y mantenimiento de los papeles de trabajo de auditoria.
  5. Módulo 5 Preparación y presentación del informe de auditoría.
    1. Validación de las No Conformidades y oportunidades de mejora.
    2. Redacción de No conformidades y del informe final.
    3. Presentación, sustentación y distribución del informe final.
    4. Taller: Redacción y presentación de No conformidades evidenciadas en la auditoria.
  6. Módulo 6 Cierre de la capacitación.
    1. Presentación del examen como Auditor Interno de la norma ISO 27001:2013.
Costos:

Este costo incluye:

  • Manual que contiene información y ejemplos prácticos.
  • Certificación como Auditor Interno de la Norma ISO 27001:2013 con el respaldo de ERCA.
  • Certificado de asistencia al curso.
  • Refrigerios e impuestos de ley.