En los próximos días, la firma MacroStudio dictará varios cursos sobre la seguridad de la información y la continuidad operativa en las instituciones públicas y privadas, desde cómo asegurar la información en un marco de gestión, mantener la operatividad de la corporación una vez suscitado algún evento que paralice sus servicios y operaciones, hasta las auditorías internas y el control interno en Tecnologías de la Información son los temas principales de un abanico de cursos que dictarán los expositores Ing. Alcides Herrera, Especialista en Seguridad de la Información y Continuidad de Negocios y el Ing. Omar Neyra, Especialista en Control Interno y de Auditoria de Tecnologías de Información en MacroStudio.
MacroStudio presenta sus cursos de Continuidad de Negocio, Seguridad de la Información, Control Interno y Auditoría de las Tecnologías de Información
Ambos expositores llevan más de 10 años dictando estos cursos a nivel nacional, internacional y en instituciones donde se valora la importancia y el impulso hacia las organizaciones.
(americasistemas.com.pe. Lima, Perú – 18 de mayo 2016) En los ámbitos de Seguridad de la información y de la Continuidad de Negocios, el especialista Alcides Herrera, se centrará en todo lo que compete a la continuidad operativa de las empresas ante eventos disruptivos de las operaciones y lo concerniente a la gestión de seguridad de la información. En el ámbito de Seguridad de la información se brindará el conocimiento de cómo implementar un Sistema de Gestión de Seguridad de la Información en el marco de la ISO 27001:2013 En el ámbito de Continuidad de Negocios brindará el conocimiento para la elaboración del análisis de impacto al negocio, análisis de riesgos, selección de estrategias, gestión de crisis y comunicaciones, temas de importancia debido a que asegura la continuidad del negocio ante interrupciones imprevistas, desde un desastre natural hasta los provocados por el hombre o efectos colaterales.
Confusión en Continuidad de Negocio
Herrera indicó que es importante que las empresas se preparen para afrontar y gestionar la crisis ocasionados por eventos que paralicen las operaciones o se vea comprometida la imagen de la organización, bajo una organización interna preparada, planes de continuidad, sitios de recuperación y operación, personal preparados y proveedores críticos comprometidos con la recuperación de la Organización.
Herrera señala que “aún existe confusión al indicar que continuidad de negocio es sólo prepararse a nivel de las tecnológica de información y no es así. Cuando se trata de continuidad de negocio este se aplica a toda empresa y por consiguiente las tecnologías de información están comprometidas en ella. Por ejemplo, si hablamos de una pesquera, de seguro que la data center no será lo más importante, seguro lo serán las embarcaciones, frigoríficos almacenes, etc. Y continuidad de negocios abarcará los servicios y proceso críticos del negocio pesquero, al tener en cuenta las estrategias de recuperación de embarcaciones, frigoríficos etc, en tiempos determinados por el negocio”.
Para el experto, en el plan de continuidad de negocios se debe revisar, mantener o actualizar permanentemente porque este documento es dinámico y propenso a desactualizarce. El plan de continuidad del negocio se debe probar hasta 2 veces al año de manera íntegra, pero debe realizarse pruebas parciales durante al año para lograr que los equipos de recuperación se encuentren preparados, los lugares para una situación crítica.
“En temas de continuidad de negocios, la organización debe conocer el impacto al negocio que ocasionaría la interrupción y evaluar cuánto tiempo está dispuesta esta organización a tolerar la paralización de sus operaciones antes que esta colapse, quiebre o la situación se vuelva irreversible”.
Desconocimiento en Seguridad TI de parte de la Gerencia
Otro de los puntos importantes y que tendrá como ponente al especialista Omar Neyra, es el establecimiento de un adecuado Gobierno y Control Interno de las TI y la realización de Auditorías de las Tecnologías de la Información, abordando particularmente el conocimiento que deben tener los Gerentes y Jefes de Tecnología de la Información, Oficiales de Seguridad de la Información y sobre todo la Alta Dirección de las empresas privadas e instituciones públicas de nuestro país implementando prácticas de control que minimicen los impactos de los riesgos de TI en el negocio
Señaló también que: “hoy en día los oficiales de seguridad en el Perú ya están concientizados en el tema de seguridad, sin embargo muchos de ellos no conocen que su gestión dependerá de un adecuado Sistema de Control Interno establecido en la entidad” señala el especialista, al tiempo que trae a colación que la experiencia de trabajo le ha dado la razón en que el titular de la organización desconoce la importancia de la seguridad de la información.
Ese desconocimiento se manifiesta en la gestión pública, cuando la responsabilidad de Oficial de Seguridad es otorgada al Gerente, Jefe de Tecnología de la Información u otra persona que ejerce la gestión de las TI. Craso error, pues la Seguridad de la Información es una posición que tiene que estar dentro de la organización y no dentro del área de tecnología; debido a que el Oficial debe conocer los procesos internos del negocio y los activos de información con los que cuenta.
Neyra señala que ese desconocimiento tenía su punto de origen en que la RM 129-2012 de fecha 23 de mayo 2012 articulo 5 actualización de la norma emitida el año 2004, la cual señalaba que “cada entidad pública designará un coordinador que hará las veces de Oficial de Seguridad de la Información hasta la adecuación de la estructura organizacional donde se incorpore esta función “.Recientemente en el 08 de enero del 2016 mediante RM 004-2016 se precisa la necesidad de contar con un Oficial de Seguridad de la Información como parte integrante de un Comité de Gestión de Seguridad de la Información.,
Otro de los temas de los que estará encargado Omar Neyra es el de impartir los conocimientos sobre los lineamientos del Sistema de Control Interno de nuestro país ya que a raíz de las diversas situaciones de fraudes internacionales y otras experiencias locales, nuestro país tiene ya cierta madurez respecto de control interno. El Perú tiene la normativa de control interno desde el año 2006 a nivel nacional. Se trata de enfrentar los riesgos estratégicos, operacionales, financieros y de cumplimiento que una institución pública pueda tener.
Hoy en día, en las entidades públicas ya existe el conocimiento de los riesgos corporativos y el riesgo de la tecnología de la información. Por ello el tema de la seguridad de la información es un brazo del control interno y debe estar alineado a la responsabilidad de los Comité de Control Interno, que hoy en día por obligación tienen que ser creados por el titular de la entidad.
Como se puede apreciar, se dictarán una serie de cursos, ligados unos con otros, donde el participante obtendrá los conocimientos tanto por el bloque de Seguridad y Continuidad, así como del Control Interno en y Auditorias de Tecnologías de la Información.
De nuestros entrevistados:
Ing. Alcides Herrera Espinoza: Especialista en Continuidad de Negocios y Seguridad de la Información. Tiene más de quince años de experiencia en los sectores de Banca, Seguros y Servicios en la gestión de Tecnología de la Información y proyectos. Ingeniero Electrónico de la Pontificia Universidad Católica del Perú con especialidad en Seguridad de la Información, Auditoria TI, Gestión de Riesgos, Planes de Continuidad de Negocio y Contingencia de TI, Proyectos de TI, Tecnologías de la Información. Posee certificaciones Internacionales en Continuidad de Negocio y Seguridad de la Información: CBCP, CISM, CBRM, CBRA, CBRITP, ITIL, Exámen aprobado (MBCP- Master Business Continuity Professional), también es catedrático Universitario y expositor en las especialidades de Continuidad de Negocios, Seguridad de la Información, Auditoría a nivel nacional e internacional. Instructor Oficial del Disaster Recovery Institute International (DRII) para Latinoamérica, miembro activo ISACA (Information Systems Audit and Control Association).
Se ha desempeñado en cargos de Jefe de Seguridad de la Información y Telecomunicaciones en La Positiva Seguros y Rimac Seguros. En el ámbito de servicios se desempeñó como Oficial de Seguridad de la Información para proyectos de implementación de ISO 27001 en la ONP y Petroperú . Se desempeñó como Gerente Adj. de Continuidad Tecnológica en el Banco de Crédito del Perú.
Ing. Omar Neyra Córdova: Especialista en Control Interno y Auditoria de TI, es Ing. de sistemas colegiado con estudios concluidos de Maestría en Auditoría en la Universidad del Pacífico y Especialización en Seguridad Informática, experiencia de más de dieciséis años en Seguridad de la Información, Auditoría Interna y de TI, Implementación de la Ley “SOX”, Control Interno y Gestión de TI Cobit 4.1 – 5.0., Evaluador QAR de Calidad de Auditoría.
Director de Consultoría y Auditoría de la empresa AudiTrail , Ex Director del Instituto de Auditores Internos del Perú (2010-2015), Ex directivo de ISACA capítulo peruano 146, Expositor en Universidades en los Diplomados de las especialidades de Control Interno y Administración de Riesgos, Seguridad de la Información, Auditoría TI y Gobierno de TI. Así como, en la Escuela Nacional de Control de la Contraloría General de la República en temas de Control Interno Gubernamental, Gestión de Riesgos y COBIT “Marco Control Interno en TI”. Implementador COSO ERM, COSO 2013 y COBIT en entidades públicas de Ecuador y Consultor en entidades públicas y privadas del país, también se ha desempeñado en Cargos de Jefatura de Auditoria Interna, Especialista en Auditoria de Sistemas y Seguridad de la información en empresas como Camposol S.A. , Grupo Endesa, IBM del Perú y entidades públicas como Banco de la Nación, Banco Central de Reserva y ONGEI – PCM.
