Metodologías para el gobierno, gestión de riesgos y cumplimiento (GRC) de la ciberseguridad

ERIC DONDERS

Magister en Seguridad de la Información de la U. Central. Ingeniero Civil en Computación de la U. de Chile con conocimientos en TI y Ciberseguridad. Es certificado como CISSP de (ISC)2. Posee una gran experiencia liderando áreas de Servicios de Tecnología y Seguridad de la Información en diversos sectores (Retail, Financiero, Gobierno, Seguros, Viajes y Consultoría). Certificado como. Extensa experiencia en gobierno, gestión, planificación, diseño e implantación de Sistemas de Gestión de Seguridad de la Información (SGSI) basados en estándares (ISO 27001, NIST, CIS CSC, PCI/DSS, COBIT 5), de Gestión de Riesgos (ISO 31000), de Continuidad del Negocio (ISO 22031) y Seguridad Aplicativa (OWASP, OpenSAMM).

* EP (Educación Profesional) de la Escuela de Ingeniería se reserva el derecho de reemplazar, en caso de fuerza mayor, a él o los profesores indicados en este programa; y de asignar al docente que dicta el programa según disponibilidad de los profesores.

La Ciberseguridad se ha vuelto y seguirá siendo un tema relevante a nivel mundial , y Chile no ha estado ajeno a este fenómeno, tanto en el sector público como en el privado. En efecto, el sector público está impulsando fuertemente la agenda de ciberseguridad y el sector privado está poniendo énfasis en este aspecto no sólo por las regulaciones que vendrán a futuro, sino también para resguardar sus principales activos como lo son sus datos, su imagen y reputación ,y por lo tanto, su capacidad para mantener la relación en el largo plazo con sus clientes.

Este curso de “Metodologías para el Gobierno, Gestión de Riesgos y Cumplimiento (GRC) de la Ciberseguridad”, permitirá a sus participantes conocer y aplicar aquellos estándares y aspectos relevantes para una adecuada gestión de los riesgos de ciberseguridad, incluye el proceso para su tratamiento y mejora continua en el tiempo. Además, se entrega información clave acerca de la valorización de activos, la identificación de amenazas y vulnerabilidades y la evaluación de controles y riesgos en ciberseguridad. Se utilizan lecciones aprendidas para fortalecer la infraestructura crítica a partir de estándares aplicables como NIST CSF, PCI-DSS y Swift. Sobre la base de norma internacionales tales como la ISO 27032 y el estándar NIST CSF (Core), el curso permite a los participantes realizar una evaluación de aquellas prácticas que son requeridas para la incorporación de la gestión de riesgos y ciberseguridad en el contexto del gobierno organización. Finalmente, con el uso de estándares como CIS CSS 20 y otros ámbitos vinculados a las PYMES y la seguridad en la nube, se aplican prácticas para una adecuada definición de estrategias de planificación para la reducción de brecha de ciberseguridad.

La metodología de enseñanza y aprendizaje para este curso online consiste en técnicas metodológicas activas, donde el participante puede interactuar con sus pares y profesor-tutor a través de los recursos tecnológicos que provee la plataforma educativa virtual provista para el curso.

Los participantes del curso deben acreditar estudios o certificaciones en al menos una de las siguientes alternativas:

• Licenciatura en Ciencias de la Ingeniería o Título Profesional Universitario de Ingeniería Civil Informática, Civil Industrial, o en una disciplina afín a la Ingeniería Civil Informática.
• Título Técnico en una disciplina afín a la Informática con experiencia laboral de al menos 2 años en al área o áreas afines. 
• Profesionales de otras disciplinas (abogados, auditores o consultores) que tengan experiencia o posean certificaciones en gestión o auditoría en gobierno, gestión de riesgos y cumplimiento de ciberseguridad. 

1. Aplicar estándares, metodologías y prácticas fundamentales para el gobierno y la gestión de riesgos de la ciberseguridad.

Horas cronológicas: 36

Créditos: 5

*Este curso forma parte del Diplomado en Gestión Estratégica de la Ciberseguridad.

Resultados de Aprendizaje:

1. Identificar información clave para la integración de las estrategias y prácticas requeridas para el gobierno, gestión de riesgos y cumplimiento de la ciberseguridad.
2. Seleccionar las estrategias que son necesarias para el análisis y gestión de riesgos e identificación de brechas de ciberseguridad.
3. Aplicar prácticas que son requeridas para la incorporación de la gestión de riesgos y ciberseguridad dentro del contexto del gobierno organizacional.
4. Utilizar las lecciones aprendidas para fortalecer la infraestructura crítica a partir de los aportes de los estándares aplicables NIST (National Institute of Standards and Technology) y PCI-DSS (Payment Card Industry Data Security Standard).
5. Diferenciar las prácticas de cumplimiento de ciberseguridad en cuanto al diseño de un marco de control, la evaluación del quehacer de la organización, y las estrategias de planificación para la reducción de brechas de seguridad.

Contenidos: 

Integración del Gobierno, Gestión de Riesgos y Cumplimiento de la Ciberseguridad.

• Parte I: Estrategias de Gestión de Riesgos.
  • Metodologías de Análisis y Gestión de Riesgos.
  • Identificación de brechas de Ciberseguridad.
  • Evaluación de casos de riesgos en la organización.
• Parte II: Incorporación de Prácticas. de Gestión de Riesgos y Ciberseguridad dentro del Gobierno Organizacional
• Parte III: Fortaleciendo la Infraestructura y prácticas operativas.
  • Conceptos de Infraestructura Críticas.
  • Lecciones aprendidas y principales aportes de los estándares PCI-DSS y NIST.

Cumplimiento de Prácticas de Ciberseguridad.

• Diseño de un marco para el control de la Ciberseguridad.
  • Evaluación de las prácticas de Ciberseguridad en el quehacer de la organización.
• Estrategias de Planificación para la reducción de brechas de seguridad.

Metodología de enseñanza y aprendizaje:

Cada curso consta de ocho semanas e-learning donde se desplegarán semanalmente las clases, contenidos, actividades y evaluaciones. Las clases se estructuran bajo una lógica de diseño instruccional centrada en el estudiante, que contribuye a la motivación y facilita su aprendizaje. Se busca que estén siempre presente tres elementos: contenido, evaluación y reflexión. El componente de reflexión es clave para generar comunidades de aprendizaje activas que permitan compartir experiencias.

En el caso del contenido, este se organiza a través de recursos interactivos que integran videos, esquemas, artículos, lecturas complementarias y preguntas formativas, todos dispuestos para facilitar el aprendizaje de los estudiantes. 

En cuanto a las estrategias de evaluación, estas se organizan en cuestionarios con preguntas de opción múltiple, cuyo propósito es medir el nivel de aprendizaje logrado en cada una de las clases. Complementariamente, se dispone de foros en donde se evaluará tanto la participación como la calidad de dicha participación, brindando de esta forma al estudiante la oportunidad de intercambiar y fundamentar sus opiniones respecto a temas de actualidad asociados al contenido. Finalmente, el curso contempla la entrega de un trabajo, el que debe ser desarrollado a lo largo del curso, en donde se espera que el estudiante tenga la oportunidad de aplicar los conocimientos adquiridos y un examen final. 

El curso cuenta con tutores de contenidos cuya función es dar respuesta a todas las preguntas sobre la materia tratada, ya sea directamente, o bien, sirviendo de puente con el profesor responsable del curso. 

El curso además cuenta con dos clases en vivo (streaming) de 1,5 h. c/u donde los alumnos podrán reforzar y resolver dudas. 

Para consultas técnicas (soporte técnico) o administrativas (coordinación asuntos estudiantiles) los alumnos pueden contactarse con la clase ejecutiva escribiendo mediante el formulario de “contacto coordinación” dispuesto en el curso, el email alumnosuc@claseejecutiva.cl o llamando al número (+562) 2354 5040 en horario hábil (lunes a viernes de 9:00 a 18:00).

Evaluación de los aprendizajes: 

• 6 Controles de lectura que permiten asegurar la comprensión de los contenidos desplegados en la plataforma 15%
• 3 Foros de participación que permiten evaluar el análisis y capacidad de reflexión de los alumnos en torno a problemáticas aplicadas 20%
• 1 Trabajo final grupal que evalúa la aplicación de los contenidos a contextos profesionales 25%
• 1 Examen final que permite evaluar de manera global la adquisición de los contenidos del curso 40%

BIBLIOGRAFÍA

• Implementing the NIST Cybersecurity Framework. ISACA, 2014.
• Implementing Cybersecurity: A Guide to the National Institute of Standards and Technology Risk Management Framework (Internal Audit and IT Audit) 1st Edition. Kohnke, A., Sigler, K, Shoemaker, D. CRC Press, 2017.
• Governance, Risk Management, and Compliance: It Can't Happen to Us, Avoiding Corporate Disaster While Driving Success. Steinberg, R. John Wiley & Sons, 2011.
• Understanding Taxonomy of Cyber Risks for Cybersecurity Insurance of Financial Industry in Cloud Computing, 2016 IEEE 3rd International Conference on Cyber Security and Cloud Computing 

Recursos web:

• https://www.sans.org/critical-security-controls 
• https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf
• https://www.nist.gov/cyberframework
• https://www.iso.org/standard/54534.html
• https://www.iso.org/standard/54533.html
• https://www.iso.org/standard/65694.html
• A Taxonomy of Operational Cyber Security Risks Version 2, http://www.sei.cmu.edu, CERT® Division

Para aprobar el curso, el alumno debe cumplir con dos requisitos: 

• Requisito académico: Se cumple aprobando con nota mínima 4,0. 

Los alumnos que aprueben las exigencias del programa recibirán un certificado de aprobación digital otorgado por la Pontificia Universidad Católica de Chile. 

El alumno que no cumpla con una de estas exigencias reprueba automáticamente sin posibilidad de ningún tipo de certificación.

*En caso de que un alumno repruebe un curso perteneciente a un diplomado, en Educación Profesional Ingeniería UC ofrecemos la oportunidad de realizar un nuevo intento. Para ejercer este derecho, el alumno deberá pagar un valor de 3 UF por curso, e indicar la fecha de la versión en la que desea matricularse. La gestión debe realizarse dentro de un máximo de 2 años a contar de la fecha de inicio del diplomado original, y es factible para un máximo de 2 cursos por diplomado. 

Las personas interesadas deberán completar la ficha de postulación que se encuentra al costado derecho de esta página web y enviar los siguientes documentos al momento de la postulación o de manera posterior a la coordinación a cargo: 

• Fotocopia Carnet de Identidad.

Cualquier información adicional o inquietud podrás escribir al correo programas@ing.puc.cl.

VACANTES: 40

INFORMACIÓN RELEVANTE

Con el objetivo de brindar las condiciones de infraestructura necesaria y la asistencia adecuada al inicio y durante las clases para personas con discapacidad: Física o motriz, Sensorial (Visual o auditiva) u otra, los invitamos a informarlo. 

• El postular no asegura el cupo, una vez inscrito o aceptado en el programa se debe pagar el valor completo de la actividad para estar matriculado.
• No se tramitarán postulaciones incompletas.

Puedes revisar aquí más información importante sobre el proceso de admisión y matrícula