I-lu-mi-na-do, (I-luminá-do) , v. 1. haber recibido la luz ... · representante de la sociedad...
-
Upload
truongthien -
Category
Documents
-
view
212 -
download
0
Transcript of I-lu-mi-na-do, (I-luminá-do) , v. 1. haber recibido la luz ... · representante de la sociedad...
La conferencia de IT governance, control,
seguridad y aseguramiento de Tecnología
de Información líder en el mundo
del 12 al 16 de octubre, 2003
Hilton São Paulo Morumbi
São Paulo, Brasil
Presentada por la Information Systems
Audit and Control Association
Gane hasta 26 horas
de Educación Continua (CPE)
www.isaca.org/latin2003.htm
I-lu-mi-na-do, (I-luminá-do), v. 1. haber recibido la luz intelectual. 2. estar siendo iluminado 3. haber visto la brillantez de una buena idea: haberse inscrito para asistir al Latin America CACS presentado por la Information Systems Audit and Control Association®
Sesiones de la ConferenciaLatin America CACS ha sido desarrollada porun comité experto de profesionales entecnología de información que entienden lo queusted busca al asistir a una Conferencia. Paragarantizar que el contenido de la Conferenciasatisfaga sus requerimientos educativos yestándares de calidad, se escogieroncuidadosamente pistas y sesiones técnicas paraatender al máximo los problemas a los quetodos nos enfrentamos. Como resultado,muchos temas nuevos han sido incluidos enLatin America CACS y muchos otros se hanampliado para proporcionar una mayorcobertura.
Analice con detenimiento estas interesantessesiones. Es fácil ver cómo Latin America CACSlo prepara para los retos futuros de latecnología de información..
Acerca de este FolletoTodos los detalles sobre los temas de lassesiones y los conferencistas del programa de laconferencia Latin America CACS fueroncorrectos en el momento de la impresión, peroestán sujetos a cambio por la InformationSystems Audit and Control Association (ISACA) en caso de alguna eventualidad. Los
conferencistas han preparado este material parael desarrollo profesional de los asociados deISACA y para la comunidad de Auditoría yControl de Sistemas de Información. Aúncuando ellos confían en que el material será útilpara este propósito, ni los conferencistas, niISACA puede garantizar que el uso de estematerial sea el adecuado para cumplir con laresponsabilidad legal o profesional de losasociados, en la ejecución de su práctica.
Ventajas del ProgramaAspectos que incluye su inscripción en laConferencia Latin America CACS:
❙ Entrada a todas las sesiones de laConferencia de su elección, con 30sesiones para elegir.
❙ Entrada a las sesiones de Intercambio deInformación, lunes 13 de octubre.
❙ Asistencia a las Sesiones de Exhibición deInfoExchange de su elección.
❙ Memoria impresa con todos los trabajos delos expositores recibidos previamente a laimpresión.
❙ Comida de cortesía y recesos con refrescosdurante la conferencia.
❙ Invitaciones a los siguientes eventossociales:— Recepción de bienvenida, domingo, 12
de octubre— Recepción de los Proveedores, lunes, 13
de octubre
❙ Cena de Gala, martes, 14 de octubre
Haga planes ahora para asistir a la octava conferencia anual Latin America CACS. Este programa de clasemundial, ha cobrado renombre en la industria de esta región del mundo por presentar soluciones aproblemas críticos de tecnología de la información. Se espera que participen en la conferencia delegadosde más de 15 paises.
Además de aprender más sobre las oportunidades y las inquietudes relacionadas con IT Governance,COBIT, valoración de recursos de TI, auditoría de outsourcing, aplicación de BSC en auditoría de sistemas,Internet banking, impacto de Sarbanes-Oxley, infraestructura de seguridad, control y cómputo forensefrente a incidentes, Latin America CACS cubre aspectos “de actualidad” que atraen tanto a los nuevosprofesionales como a los altamente experimentados de la tecnología informática.
Latin America CACS presentada en la hermosa ciudad de São Paulo en Brasil, ofrece una agendaaltamente concentrada que cubre tres días completos de conferencia . Además, gracias a los talleresopcionales de la Conferencia, las personas que buscan más información y contenido práctico, puedenrecibir un día completo adicional de capacitación.
Con 30 sesiones de donde escoger, tres talleres opcionales y hasta 26 horas de educación continua, sinmencionar las ofertas turísticas de la ciudad más grande del sur de Latino América, Latin America CACSes la mejor oportunidad educativa del año.
LATIN AMERICA CACS 2003
2
PatrocinadoresLa Information Systems Audit and ControlAssociation quiere reconocer a lospatrocinadores de la Conferencia LatinAmerica CACS (vigentes a la fecha deimpresión):
Nivel Oro (Gold level):
Vea la lista de los patroncinadores en elweb site: www.isaca.org/latin2003.htm
(Español)
Mauricio Ghetler es actualmente el Director deTecnología de las empresas del grupo BancoSantos en Brasil.
Es Graduado en Ingeniería y pos-graduado enAnálisis de Sistemas de Administración deEmpresas. Se ha dedicado durante 25 años aldesarrollo de software en las áreas decomunicación de datos, automatizaciónindustrial, comercial y bancaria de sistemascorporativos, en los segmentos industriales y deservicios.
Actúa también como coordinador de laSubcomisión de Nuevas Tecnologías en Mediosde Pago y Comercio Electrónico de FEBRABAN,como respresentante de FEBRABAN junto al ITI,como coordinador del grupo de InstitucionesFinancieras de ABRACHEQUE y comorepresentante de la sociedad civil del ComitéGestor de ICP-BRASIL en calidad de miembrosuplente.
Mauricio Ghetler hablará sobre las tendenciasde TI y su exposición incluirá los siguientestópicos:
❙ La conquista de la mobilidad en elambiente corporativo.
❙ Certificación Digital y su impacto real en elmercado
❙ Cambios en la relación electrónica entreclientes, proveedores, institucionesfinancieras y gobierno
(Portugês)
Mauricio Ghetler atualmente é Diretor deTecnologia das empresas do grupo BancoSantos.
Graduado em Engenharia, Pós em Análise deSistemas e Administração de Empresas.Dedica-se a 25 anos ao Desenvolvimento deSoftware nas áreas de Comunicação de Dados,Automação Industrial, Comercial e Bancáriaalém de Sistemas Corporativos nos segmentosIndustriais e de Serviços.
Atua também como coordenador daSubcomissão de Novas Tecnologias em Meiosde Pagamento e Comércio Eletrônico daFEBRABAN, como representante da FEBRABANjunto ao ITI, como coordenador do grupo deInstituições Financeiras da ABRACHEQUE ecomo representante da sociedade civil noComitê Gestor da ICP-BRASIL na qualidade demembro suplente.
Mauricio Ghetler falará sobre as tendências deTI e sua exposição incluirá os seguintes tópicos:
❙ A conquista da mobilidade no ambientecorporativo
❙ Certificação Digital e seu impacto real nomercado
❙ Mudanças no relacionamento eletrônicoentre clientes, fornecedores, instituiçõesfinanceiras e governo.
PRESENTACION INAUGURAL -
3
Maurício Ghetler
TENDENCIAS DE TECNOLOGÍA DE INFORMACIÓNMauricio GhetlerMiembro de la Comisión de Tecnología de ABBCDirector de Tecnología de las empresas del grupo Banco Santos, Brasil
111Metodología para el
Desarrollo de Planes deContinuidad de Negocios d
Marcos Ricardo Rivera ValdovinosComisión Nacional Bancaria y de Valores,México
Gustavo Méndez PérezCasa De Software, S.A. de C.V., México
En cualquier momento se puede presentar unacontingencia y para muchas empresas, lasinterrupciones en el funcionamiento de sussistemas significan una suspensión de susservicios a los clientes y por lo tanto perjuicioseconómicos y de imagen. Por ello, es necesarioque las organizaciones cuenten con unametodología que les permita desarrollarprocedimientos alternos para hacer frente—enforma exitosa—a situaciones de contingencia.
Las metodologías de PCN que actualmenteutilizan algunas empresas, no contemplanciertos detalles muy importantes, los cualesestarían cubiertos con la metodologíapropuesta.
En esta sesión se discuten las fases de unametodología para el desarrollo de planes decontinuidad de negocios, la cual puede seradoptada en cualquier tipo de empresa.
OBJETIVOS DE LA SESIÓN:
❙ Concientizar de la importancia de un plande continuidad de negocio
❙ Llevar a cabo un análisis de proceso denegocio
❙ Definir un esquema de evaluación deriesgos
❙ Determinar como es un esquema demitigación de riesgos
❙ Detallar un plan de recuperación de fallas❙ Definir una estrategia de manejo de crisis❙ Definir un esquema de pruebas y validación
121Control de Migración
de Sistemas kRicardo Zamora Caballero, CISA y LauraOrdoñez Meza, CISADeloitte & Touche, México
En un entorno empresarial de constantescambios, las organizaciones se enfrentan aldilema de contar con tecnología de información,que en forma oportuna les permita hacerlefrente a su entorno sin poner en riesgo laintegridad, confiabilidad y disponibilidad de lainformación; así como desarrollar y manteneruna ventaja competitiva frente a suscompetidores y ofrecer a sus clientes productosy/o servicios de calidad que satisfagan susnecesidades. Por lo anterior, las compañíascontinuamente están adecuando, cambiandoy/o actualizando su tecnología de informaciónpara satisfacer en el corto plazo las expectativasde su entorno y de sus clientes.
Es por eso, que el auditor de sistemas debeconocer, identificar y evaluar los riesgosoperativos y tecnológicos que se presentan enlas organizaciones durante un proceso demigración de la tecnología de información. Elentendimiento y comprensión de lo anterior,facilitará al auditor de sistemas el desarrollo yejecución de procedimientos para evaluar elcontrol interno, que debe mantener durante lamigración de la tecnología de información;apoyando así a la organización en su esfuerzode cambio.
OBJETIVOS DE LA SESIÓN:
❙ El participante identificará los elementosque conforman un proceso de migración dela tecnología de información
❙ El participante identificará los riesgostecnológicos y operativos que se presentandurante el proceso de migración de latecnología de información
❙ El participante conocerá un enfoquemetodológico basado en técnicas,estándares y mejores prácticas de controlpara proyectos de migración de latecnología de información
211Administración de Riesgos
de Tecnología deInformación k
Alirio Fernando Izquierdo Duarte, CISABanco de la República, Colombia
El proceso de administración de riesgos esinteractivo, basado en el conocimiento,evaluación y manejo de riesgos y sus impactos,que mejora la toma de decisionesorganizacionales. La sesión presenta un marcode referencia de administración de riesgosbasado fundamentalmente en el estándarAZ/NZS de administración de Riesgos y planteauna propuesta aplicable a TecnologíaInformática, teniendo en cuenta los procesosdefinidos en el estándar COBIT.
OBJETIVOS DE LA SESIÓN:
❙ Presentar un marco de referencia para laadministración de riesgos
❙ Brindarle a los participantes mecanismosprácticos para enfrentar un proceso deadministración de riesgos en procesos deTecnología Informática, conforme loestablece el estándar COBIT
❙ Proveer una herramienta de gestión para elanálisis de escenarios que facilite la tomade decisiones y acciones sobre los riesgosa los que puede estar expuesta laorganización respecto al logro de susobjetivos
221IT Governance Alineado
con el Negocio cWilson GellacicErnst & Young, Brasil
El presente siglo probablemente será reconocidopor el uso intensivo de nuevas metodologíaspara soportar el crecimiento del negocio. Sinembargo, la Tecnología de Información (TI) aúnes cuestionada acerca del valor que provee alos líderes del negocio.
Muchos CEOs han manifestado su descontentocon relación a la TI, luego de haber realizadograndes inversiones de dinero. Esta paradojapuede ser cambiada.
PISTA 1
IT Governance y Control
4
d Básico k Intermedio c AvanzadoNota: El nivel básico de una persona, puede ser el nivel avanzadode otra. Por favor revise la descripción y prerrequisitos de la sesiónpara determinar si la sesión es apropiada para usted.
5
Nuevas metodologías de alineamiento de TI conel Negocio ya están disponibles y grandescorporaciones ya las están adoptando conresultados importantes. Con base eninvestigaciones internacionales y casosprácticos, se enseñará a los asistentes a estasesión, cómo alinear la Tecnología deInformación con las estrategias del negocio ycómo medir su desempeño, para lograr queagregue valor a la organización.
OBJETIVOS DE LA SESIÓN:
❙ Discutir los desafíos actuales del CIO❙ Presentación de los conceptos de
gobernabilidad de TI❙ Discutir la necesidad de un modelo de
gestión y alineamiento de TI❙ Presentar casos de éxito referidos a la
gobernabilidad de TI❙ Brindar sugerencias de implantación de un
plan de acción (hoja de ruta)
231Rediseño de Procesos comoHerramienta del Gobierno
de TI. Una ExperienciaPráctica con COBIT k
Ana Isabel Toculescu Ott, CISADeloitte & Touche, Ecuador
Cada vez más, el gobierno corporativo de lasorganizaciones, se está percatando de laimportancia que tiene un área vistatradicionalmente como ejecutora de proyectosespecíficos de automatización y comoconsumidora de recursos: el área de Tecnologíade Información (TI).
A su vez, al interior del área de TI, la gerenciaestá preocupada por su propio gobierno:¿Cómo informar acerca del rol y el impacto deTI en la organización? ¿Cómo saber que ladirección seguida y el retorno obtenido son losesperados? ¿Cómo determinar la propiacapacidad de transformación, de mejora de lasoperaciones actuales, así como de manejo delas restricciones dentro de las cuales se debeoperar? ¿Cómo medir su propio desempeño?Una respuesta posible es: a través del rediseñode los procesos de TI, y la medición de lagestión de TI.
OBJETIVOS DE LA SESIÓN:
❙ Mostrar de forma práctica el enormepotencial que tiene la metodología COBITcomo elemento para mejorar el gobiernode TI
❙ Mostrar la facilidad que tiene COBIT paraser usado como herramienta de trabajoefectiva en el gobierno de TI, y nosolamente su uso como marco dereferencia de conocimiento y estándares
❙ Explicar con base en una experiencia real,el método como fueron rediseñados losprocesos más importantes de un área de TIy aplicados índices de gestión, utilizandola metodología COBIT
❙ Entender el rediseño de procesos como unmétodo de mejoramiento continuo ymostrar cómo COBIT permite generar unproyecto a medianó o largo plazo, hastaalcanzar el grado de madurez ideal de losprocesos
241Acuerdo de Niveles de
Servicio (SLA) kLuis Rojas Orozco, CPA CISABanco Popular y de Desarrollo Comunal,Costa Rica
En el mundo de los negocios de hoy, una grancantidad de empresas ha optado por elOutsourcing como medio para proveerse deservicios tecnológicos que tengan un impactofavorable en la calidad del servicio que brindana sus clientes y a un menor costo, si esposible. No obstante, la consecución de esosobjetivos algunas veces no es una realidad o elnegocio no ha medido su impacto.
Con el fin de mejorar las herramientasgerenciales de control de la tecnología deinformación, en los últimos años más usuariosy proveedores negocian niveles de servicio(SLA—Service Level Agreement). En estasesión, nos dedicaremos a analizar lasprincipales características y buenas prácticasen los procesos de negociación de servicios,con el fin que éstos no se conviertan en undocumento más, sino que sean verdaderasherramientas de control y mejoramientocontinuo.
OBJETIVOS DE LA SESIÓN:
❙ Presentar las características principales deun Nivel de Servicio Acordado (SLA) ycómo esta definición, puede agregar valora la organización
❙ Explicar los beneficios de establecer unadecuado SLA interno para medir lacalidad de los servicios prestados porTecnología de Información en cumplimientode los objetivos del negocio y losmecanismos de mejoramiento continuobasados en los niveles de servicioacordados
❙ Brindar ejemplos prácticos sobre lautilización de un SLA como herramienta decontrol
❙ Describir el rol del auditor, administradordel SLA, proveedor del servicio y usuarioen un SLA
311Valoración de los Recursos de TI k
Freddy Landivar Portugal, CISABanco Ganadero S.A., Bolivia
A raíz del crecimiento tecnológico de laInformación, sin un control presupuestarioadecuado y las nuevas estrategias de mercadotales como la globalización y la fusión ocompra de empresas, han surgido en elambiente de Tecnología de Información (TI)preguntas como: ¿Cuál es el valor actual de losrecursos Informáticos con los que cuenta miempresa?, ¿Cuál es el valor de los datos?¿Cuál es el valor de las aplicacionesestabilizadas? o ¿Cuál será el valor reconocidode los recursos de TI como aporte en unanueva alianza estratégica?.
Para resolver estas preguntas, se hacenecesario contar con directrices que sirvan paravalorar los recursos de TI. Por ello, en estasesión, se pretende difundir una metodologíapara efectuar dicha valoración, así comotambién -para casos de fusión o compra deempresas- determinar los recursos de TI quepodrían ser utilizados efectivamente en el girodel negocio y que servirían como aporte a unaalianza estratégica.
Continua en la paginá 6
OBJETIVOS DE LA SESIÓN:
❙ Proveer lineamientos y técnicas paradeterminar el “valor monetario” de losRecursos de TI (sistemas de aplicación,datos, instalaciones y tecnología),aplicando guías y estándares enunciadospor COBIT
❙ Establecer parámetros, indicadores demedición y escalas de valores que seaplican para determinar la vigencia y el“valor monetario” de los Recursos de TI aevaluar
❙ Afianzar conceptos a través de la aplicaciónpráctica del tema en la alianza estratégicade dos empresas
321Administración del
Desarrollo de Software acargo de Terceros k
Mauro Eidi Villela Assano Rational Software, Brasil
Muchos ejecutivos depositan su confianza enexpertos en tecnología, para agregar valor a losprocesos de negocios a partir de inversiones enTecnología de Información (TI). Ellos asumenque el milagroso poder de la TI puede subsanarcualquier error en una función de negocios. Sinembargo, la administración de TI, paraincrementar la rentabilidad en el negocio no essólo un aspecto de tecnología.
Muchas compañías entienden que eloutsourcing para el desarrollo de softwarepuede resultar ser la mejor estrategia para susnegocios. Sin embargo, las empresas quecuentan con un servicio de outsourcing dedesarrollo de software, también están teniendoun outsourcing de la inteligencia paraimplementar sus negocios—esto, ciertamente,no es el mejor enfoque para ninguna compañía.
¿Cómo manejan las organizaciones esto?¿Cómo logra una organización contratar unservicio de outsourcing de desarrollo desoftware, sin caer en un outsourcing deinteligencia de su negocio?
OBJETIVOS DE LA SESIÓN:
Los participantes de esta sesión conocerán:
❙ Las diferentes estrategias para administrarlos servicios de desarrollo de software(PMI), disponibles actualmente
❙ Consideraciones para definir correctamenteel sistema que será desarrollado por unproveedor
❙ Cuáles son las áreas de proceso definidasen la metodología COBIT, que refuerzan elcontrol sobre el outsourcing de desarrollode software
❙ Cómo medir el valor agregado en Proyectosde Software (ROI, EVA)
331Plan de Carrera hacia
IT Governance (Mesa Redonda) d
Jorge Serrano, CISASociedad Nacional de Oleoductos de Chile
Jorge Medín Hidalgo, CISAGobierno de la Provincia de Mendoza,Argentina
Johann Tello Meryk, CISAPrimer Banco del Istmo, Panamá
Lucio Molina, Focazzio, CISAAmezquita Consultores, LTD, Colombia
Elia Fernández Torres, CISA ISACA, USA
Las carreras de grado orientadas a los sistemasde información y sus tecnologías relacionadaspermiten por sus incumbencias llegar a ser unauditor especializado en este tema. Las carrerasde grado en las diciplinas de las Ciencias de laAdministración y las Ciencias Económicasapoyan para formar a un auditor interno oexterno tradicional, que también pueda estarorientado a la auditoría de sistemas deinformación.
La auditoría de sistemas necesita de lainteracción de distintas ciencias o áreas deconocimiento en la resolución de un problema,y conocimientos que junto con la capacitación,oportunidades, perfil profesional, certificaciones,recursos, planificación y perseverancia; puedenlograr que el auditor se desempeñe comogerente de sistemas de información o gerentede control de gestión y por qué no, gerentegeneral o propietario de una empresa dedicadaal control y gestión de TIs.
¿Qué líneas de carrera podemos seguir en laactualidad? Hoy día podemos distinguir unaserie de oportunidades en la carrera profesionalque abarcan el espectro del control, seguridad,auditoría y gobernabilidad de las tecnologías deinformación, que ofrecen distintas variantes anuestra profesión de auditores que ha sido lapreocupación y el motivo principal por el cualesta comunidad ha desarrollado un modelo quepermite la participación profesional dentro delas diversas areas de negocio de laorganización.
Sobre éstos temas y posibles trayectoriasprofesionales, se tratarán en esta mesaredonda.
OBJETIVOS DE LA SESIÓN :
❙ Comprobar que la auditoría debe ser elorigen de los ejecutivos de unaorganización y debería ser “el trampolín” depersonal entrenado y aceptado, convencidoauténticamente de los beneficios delcontrol y la seguridad, quien se convierteen asesor, interlocutor sobre estos temas,ante la gerencia
❙ Mostrar plan de carrera de sistemas,auditoría, seguridad y areas contables quehan trascendido en otros paises del mundo
❙ Presentar plan de carrera para quienestienen interés en crecer en el area de ITGovernance
❙ Invitar a discusión al público sobre planesde carrera en las materias mencionadas yexperiencias personales
341COBIT: Enfoque e
Implementación kTatiana Sancho VargasCorporación Banex, S.A., Costa Rica
COBIT (Control Objectives for Information andrelated Technology) es un enfoquemetodológico que optimiza la administración deTecnología de Información (TI), al ser éste unestándar de aplicación global.
Este enfoque metodológico contribuye alcumplimiento de los objetivos del negocio ypermite orientarnos hacia una Gobernabilidaden Tecnología de Información en laorganización.
PISTA 1
IT Governance y Control CONTINUACIÓN
6
d Básico k Intermedio c AvanzadoNota: El nivel básico de una persona, puede ser el nivel avanzadode otra. Por favor revise la descripción y prerrequisitos de la sesiónpara determinar si la sesión es apropiada para usted.
OBJETIVOS DE LA SESIÓN:
❙ Dar a conocer a los participantes de estasesión, cómo el modelo COBIT provee unaadministración de TI más conveniente ysatisfactoria
❙ Conocer cómo las herramientas deimplementación son puestas en práctica, yayudan en la evaluación de TI
❙ Adecuar un modelo de implantación en laorganización
112Auditoría de Control y
Evaluación de Procesos kMario Gómez AyalaUniversidad Popular Autónoma de Puebla,UPAEP, México
En la actualidad las organizacionesempresariales y las dependenciasgubernamentales se rigen por importantesredes de sistemas informáticos, sofisticadosprogramas y costosos equipos de cómputo; esel resultado de la modernidad y del cambiocultural de las empresas, sin embargo muypocas de ellas, conocen la estructura de losPROCESOS, ahora identificados como “cadenasde valor.”
Existen innumerables elementos y factores quedeben tomarse en cuenta, antes, durante ydespués de la planeación, programación ysistematización de datos, la generación dereportes administrativos y el desarrollo deinformes estratégicos.
OBJETIVOS DE LA SESIÓN:
❙ Exponer la causa y efecto de la evolución ydinamismo de la Auditoría Interna enmateria de evaluación de controles yauditoría a procesos
❙ Identificar la jerarquía e integraciónsistémica y documentos básicos de losprocesos, facilitando la función del auditorinterno de análisis, evaluación ypropuestas de mejora, siempre bajo elobjetivo de apoyo a la alta dirección yasesoría a las áreas de gestión de laempresa
❙ Identificar la estructura ideal de la divisiónde auditoría interna, orientada a laaplicación de funciones multidisciplinarias,bajo el enfoque y principios del nuevoconcepto de “Gobierno Corporativo”aplicado en el ámbito del auditor interno
❙ Presentar el nuevo marco normativo de laauditoría interna, mediante la referenciaespecífica de sus consejos, aplicadosdentro de las normas para la práctica de laprofesión del auditor interno, en apoyo desu función de asesor—consultor delempresario moderno
❙ Demostrar la aplicación efectiva delmodelo integral de control interno COSO—COCO, desarrollando metodología yprocedimientos relacionados con loselementos del Sistema de Gestión de laCalidad ISO 9000:2000
122Cómo implementar
Auditoría de TI que AgregueValor a la Organización d
Luis Gustavo Rojas Orozco, CPA, CISABanco Popular y de Desarrollo ComunalSan José, Costa Rica
Esta sesión está dirigida a aquellosparticipantes de organizaciones que quierenimplementar una Auditoría de Tecnología deInformación o bien tienen un área de auditoríade sistemas y quieren hacer una comparaciónreferencial con las mejores prácticas en estamateria. En esta sesión se explicará cómo lasauditorías que han logrado un cambio deenfoque y han aplicado herramientas paraauditar la tecnología de información y el nivelde alineación entre esa tecnología y losobjetivos del negocio, pueden agregar valor a laorganización. El participante también conocerálos principales estándares que se deben aplicaren la auditoría de tecnología de información yaspectos generales como auditoría interna uoutsourcing y perfil del auditor de tecnología deinformación.
OBJETIVOS DE LA SESIÓN:
❙ Explicar las ventajas para una organizaciónde contar con una auditoría de tecnologíade información
❙ Definir los cambios en el enfoque de laauditoría para agregar valor a laorganización
❙ Explicar las principales características deuna auditoría de tecnología de informaciónde clase mundial
❙ Explicar el perfil, funciones y herramientasde una auditoría de tecnología deinformación
❙ Exponer las principales buenas prácticasen la auditoría de tecnología deinformación
212Participación del Auditor deSistemas en los Procesos
de Outsourcing kRicardo Zamora Caballero, CISADeloitte & Touche, México
Laura Ordoñez Meza, CISADeloitte & Touche, México
Los substanciales avances en la tecnología deinformación han provocado que el outsourcingse haya convertido en una importante decisiónestratégica para las organizaciones que buscanla reducción de costos, la eficiencia operativa yla competitividad. Sin embargo, en estabúsqueda es necesaria la participación delauditor de sistemas; ya que durante el procesode outsourcing se están entregando a untercero los controles de integridad, confiabilidady disponibilidad de la información de laorganización. Por lo tanto, es imprescindibleque el auditor de sistemas identifique losriesgos operativos y tecnológicos que sepresentan a las organizaciones durante laplanificación, selección, transición y monitoreodel outsourcing de la tecnología deinformación. El entendimiento y comprensiónde lo anterior, facilitará al auditor de sistemasdesarrollar y ejecutar procedimientos paraevaluar el control interno que se debe mantenerdurante la externalización de la tecnología deinformación a un proveedor de este tipo deservicios.
OBJETIVOS DE LA SESIÓN:
❙ Comprender el fenómeno de lasorganizaciones que están subcontratando(outsourcing)
❙ Entenderá las razones por las que eloutsourcing combinado con otras técnicas,está creando un ambiente sofisticado en larelación cliente-proveedor y en el controlinterno
❙ Conocer beneficios y problemas que sepresentan en el outsourcing
❙ Identificar los riesgos tecnológicos yoperativos que se presentan durante losprocesos de planificación, selección,transición y monitoreo del outsourcing dela tecnología de información
PISTA 2
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
7Continua en la paginá 8
❙ Conocer los elementos que conforman uncontrato de prestación de servicios deoutsourcing de tecnología de información yel apoyo del auditor de sistemas a losespecialistas legales en la revisión yaceptación de este contrato
❙ Comprender los procedimientos de controlque debe aplicar en los procesos deplanificación, selección, transición ymonitoreo del outsourcing de la tecnologíade información
222Administración del Riesgo
Reputacional por Lavado deDinero, Un Nuevo Reto del
Auditor de TI kNapoleón Imbett OteroSeguros Bolívar, Colombia
La sesión tiene el propósito de involucrar alAuditor de T.I, en el conocimiento y dominio delos aspectos relacionados con el concepto de“Administración del riesgo reputacional porlavado de dinero y luego invitarlo a entender,¿cómo? mediante un modelo lógico ysistemático, la empresa está en capacidad dedisminuir su nivel de exposición al RiesgoReputacional por operaciones de lavado dedinero, pero sobre todo: Identificar el papelpreponderante que tiene el Auditor de TI, en elmonitoreo del proceso de Administración delRiesgo.
OBJETIVOS DE LA SESIÓN:
❙ Revisar el efecto que sobre los procesos deadministración de riesgo en la empresa hantenido sucesos tales como los del 11 deseptiembre de 2001, la guerra contra elterrorismo internacional y la lucha contra eltráfico de dogas ilícitas, los cuales handado lugar a un nuevo o renovadoconcepto del Riesgo Reputacional
❙ Entender el concepto de RiesgoReputacional y el Rol del Auditor de TI en elproceso de Administración del mismo
❙ Presentar un método lógico y sistemático,mediante el cual se Identifican, Analizan,Evalúan, Tratan y se monitorean, los riesgosasociados a la pérdida de reputación de laempresa por el evento de verse éstainvoluntariamente involucrada en unaoperación internacional de lavado de dinero
232Due Dilligence en la Gestión
de Auditoría de TI dJorge Alberto Flores SagastumeSuperintendencia de AdministraciónTributaria, Guatemala
La intención de esta sesión es orientar a losparticipantes en los aspectos legales queinvolucra la gestión de la Auditoría de laInformación, en cuanto a que los hallazgospueden constituir instrumentos probatorios enprocesos administrativos, civiles y judiciales. Enlos procesos, normativa y procedimientos deAuditoría Informática se deben observar reglas,políticas y legislación que coadyuven afortalecer el control interno, el marco legaladministrativo y jurídico del quehacer de lascompañías en su gestión.
Es necesario que al aplicar técnicas y tecnologíaen las actividades de la Auditoría Informática,también se respalde la práctica del auditor ysus resultados, a la luz de la transparencia de lagestión del auditor y la objetividad de losresultados.
OBJETIVOS DE LA SESIÓN:
❙ Conocer las implicaciones legalesinherentes a los hallazgos y resultados dela auditoría informática
❙ Explicar métodos para documentar loshallazgos de la autoría informática, comopruebas en procesos legales
❙ Identificar el marco legal en la tipificaciónde delitos informáticos
242 Aplicación del BSC en laAuditoría de Sistemas c
José Geraldo BaldoACTIVA Consulting, Brasil
Fabiano Castello, CISADeloitte Touche Tomatsu, Brasil
La Metodología COBIT recomienda el BalanceScore Card (BSC) como una alternativa idealpara la reorientación contínua de los Objetivosde auditoría de sistemas con los objetivos denegocio. Precedida de una evaluación de riesgode negocio, asociada a una estructura de BSC
adecuada, la gestión estratégica de TI se vuelveun abordaje afinado con los ambientes denegocios dinámicos internos y externos de laorganización.
Una pronta identificación de riesgo, control,monitoreo y comunicación de estas cuestionesclave de TI, por medio de un cuadro dereferencia y un lenguaje común, abren laspuertas para todos los escalones y funciones dela organización. Esa combinación se convierteen un desafió -Alinear la Tecnología deInformación con los Negocios- logrando así, unalabor verdaderamente generadora de valor.
OBJETIVOS DE LA SESIÓN:
❙ Describir el Balance Score Card (BSC) y surelación con tecnología de información
❙ Identificar puntos de asociación entre lametodología COBIT y el BSC
❙ Establecer el uso del BSC dentro delproceso de auditoría en TI
❙ Describir cómo agregar valor alineando latecnología de información con los objetivosde negocios y BSC
312Técnicas de Auditoría
Aplicadas a la Ingeniería de Software k
Pablo Caneo Gutiérrez, CISAUltramar Agencia Marítima Ltda., Chile
La Ingeniería de Requerimientos cumple unpapel primordial en el proceso de producción desoftware, ya que enfoca un área fundamental: ladefinición de lo que se desea producir.
Estudios realizados muestran que más del 53%de los proyectos de software fracasan por norealizar un estudio previo de requisitos.
De ahí la importancia de contar conmetodologías adecuadas que permitan realizarun buen análisis de requerimientos. Lametodología que se propone reúne laexperiencia práctica de utilizar diferentestécnicas buscando lo mejor de cada una deellas, para de esta forma poder adquirir losrequerimientos del sistema que se va aconstruir. El auditor debe ser capaz de realizaruna auditoría a los requerimientos, paradeterminar que estos son los necesarios para elnegocio y lo que el cliente desea, evitandoproblemas a futuro. Se trata de ser proactivos,un control preventivo es diez veces mejor queun control detectivo.
PISTA 2
Auditoría de Sistemas de Información CONTINUACIÓN
8
OBJETIVOS DE LA SESIÓN:
❙ Enseñar una metodología de desarrollo desoftware
❙ Determinar los principales problemasexistentes en el desarrollo de software hoyen día
❙ Enseñar al auditor una metodología queune lo mejor de dos técnicas ampliamenteusadas hoy en día (Análisis Estructurado yUML)
❙ Incorporar al auditor en ser partícipe dedefinición de normativas de desarrollo
322Participación del Auditor deSistemas en un Proceso de
Revenue Assurance kRicardo Zamora Caballero, CISADeloitte & Touche, México
Laura Olivia Ordoñez, CISADeloitte & Touche, México
A pesar de que el principal objetivo decualquier compañía es generar mayor ingresopara sus dueños y/o socios, pocas tienen unárea específica y/o responsable delaseguramiento del ingreso. En empresas conalto número de transacciones comercialesasociadas a sus clientes, sistemas deinformación desintegrados y comunicados entresí mediante interfases, actividadessemiautomáticas o manuales, es frecuenteencontrar problemas recurrentes con laintegridad de la información del cliente entrelos sistemas operativos, administrativos y defacturación. Mientras más desintegración yprocesos manuales existan, las ventanas parala realización de actividades dolosas (riesgosde seguridad) se amplían. El entendimiento ycomprensión de lo anterior, facilitará al auditorde sistemas desarrollar y ejecutarprocedimientos para evaluar el control internode sistemas en un proceso de aseguramientodel ingreso.
OBJETIVOS DE LA SESIÓN:
❙ Conocer qué es y cómo se hace elaseguramiento del ingreso
❙ Entender por qué es necesario contar conun proceso de aseguramiento del ingreso
❙ Conocer los problemas recurrentes enintegridad de información de los clientes,los riesgos de seguridad, áreas deoportunidad e impactos sobre elaseguramiento del ingreso
❙ Conocer los beneficios de contar con unárea o proceso de aseguramiento delingreso
❙ Conocer y entender un enfoque para elaseguramiento del ingreso
❙ Identificar los beneficios del aseguramientodel ingreso
332Auditoría en el ERP
SAP R/3 dAlfredo Pereira TamayoCOLOMBINA S.A., Colombia
SAP al cubrir el concepto de ERP y ser unaplicativo integrado entre sus diferentesmódulos que lo componen, conlleva inmersosalgunos riesgos que suponen manejar un tipode sistema de información como éste.Adicionalmente por ser un aplicativo separadode las plataformas de bases de datos hacetambién que se deba tener controles sobreéstas aunque ya se tengan sobre SAP R/3. Losriesgos en los que incurre una organización consu información al tener un sistema integrado dela magnitud de un ERP como SAP R/3 haceque se requiera un estricto control de seguridadpara permitir un nivel alto de auditoría.
OBJETIVOS DE LA SESIÓN:
❙ Conocer el entorno de controles que poseeSAP R/3
❙ Entender los conceptos de autorizaciónque se manejan en SAP R/3
❙ Plantear esquemas de Auditoría sobre unERP con las características de SAP R/3
❙ Revisar la arquitectura que posee SAP R/3para lograr implementar controles sobre laBase de Datos y el ERP de SAP R/3
342La Auditoría Frente al
Manejo del DocumentoElectrónico k
Ramiro Merchán Patarroyo, CISAUniversidad Catolica de Colombia, Colombia.
A pesar que desde hace ya algunos años existela tecnología para el manejo del documentoelectrónico y que los gobiernos han legislado suadministración y manejo, son pocas lasorganizaciones que han incursionado de llenoen este mundo. Normalmente lasorganizaciones manejan su información demanera heterogénea: Comunicaciones porcorreo normal, e-mail, faxes, imágeneselectrónicas, pudiendo afirmar que lainformación de los procesos del negocio seencuentra dispersa sobre la red decomputadores y las instalaciones físicas de lascompañías. Esta sesión brinda las principalesconsideraciones para una adecuadaadministración de los documentos y lascomunicaciones electrónicas de lasorganizaciones bajo apropiados principios deseguridad y auditoría.
OBJETIVOS DE LA SESIÓN:
❙ Conocer la legislación fundamental sobreel manejo de documentos y mensajeselectrónicos
❙ Conocer las características técnicas dehardware y software de digitalización yalmacenamiento de imágenes
❙ Comprender las implicaciones del manejode archivos de documentos electrónicos ymensajes electrónicos. Impacto sobre laforma de operar de las organizaciones
❙ Conocer las expectativas de seguridad yauditoría que se deben satisfacer en elmanejo del documento electrónico
9Continua en la paginá 12
d Básico k Intermedio c AvanzadoNota: El nivel básico de una persona, puede ser el nivel avanzadode otra. Por favor revise la descripción y prerrequisitos de la sesiónpara determinar si la sesión es apropiada para usted.
10
2003 Latin America CACS
São Paulo, Brasil
8:30-10:00 10:30-12:00 13:30-15:00 15:30-19:30 8:30-10:00 10:30-12:00
PISTA 1
IT Governance y Control
Lunes, 13 de Octubre, 2003 Martes, 14 de
Metodología parael Desarrollo de
Planes deContinuidad de
Negocios
Marcos Ricardo RiveraValdovinos y Gustavo
Méndez Pérezd
Ricardo ZamoraCaballero y Laura
Ordoñez Mezak
Alirio FernandoIzquierdo Duarte
k
111
Control deMigración de
Sistemas
121
Administración deRiesgos de
Tecnología deInformación
211
IT GovernanceAlineado con el
Negocio
PISTA 2
Auditoría de Sistemas deInformación
Auditoría deControl y
Evaluación deProcesos
112
CómoImplementar
Auditoría de TIque Agruegue
Valor a laOrganización
122
Participación delAuditor de
Sistemas en losProcesos deOutsourcing
212
Administracióndel Riesgo
Reputacional porLavado de Dinero,
Un Nuevo Retodel Auditor de TI
PISTA 3
Seguridad de Sistemasde Información
PlaneaciónEstratégica y
GestiónOperacional de la
Seguridad deInformación
113
Impacto deSarbanes-Oxley yla Relevancia delos Conceptos de
COBIT y COSO.
123
Concientizaciónde Seguridad
(SecurityAwareness)
213
Redes VirtualesPrivadas y su
Implementaciónen Cómputo Móvil
223
PR
ES
EN
TA
CI
ÓN
I
NA
UG
UR
AL
AS
SO
CI
AÇ
ÃO
B
RA
SI
LE
IR
A
DE
B
AN
CO
S
(A
BB
C)
SE
SI
ON
ES
E
DU
CA
TI
VA
S
DE
P
RO
VE
ED
OR
ES
Nota: Sessões que serão apresentadas em português. (Sesiones que serán presentadas en Portugués.)
Todas as demais sessões serão apresentadas em espanhol. ( Todas las demás sesiones serán presentadas en Español.)
Todas as sessões terão tradução simultânea para espanhol ou português, conforme aplicado.(Todas las sesiones tendrán traducción simultánea al Español ó al Portugués, según corresponda.)
221
Wilson Gellacic
c
Mario GómezAyalak
Luis GustavoRojas Orozcod
Edison Fontes
k
Federico Servideo
k
Antonio de Sousa
d
Fernando Nikitin
k
Ricardo ZamoraCaballero y Laura
Ordoñez Mezak
Napoleón ImbettOterok
222
8:30-10:00 10:30-12:00 13:30-15:00 15:30-17:00 9:00-17:00
T A L L E R E S
Valoración de losRecursos de TI
311
Plan de Carrerahacia IT
Governance(Mesa Redonda)
331
Administracióndel Desarrollo deSoftware a cargo
de Terceros
321
COBIT: Enfoque e Implementación
341
Implementación de COBIT
WS1
Aplicación delBSC en la
Auditoría deSistemas
242
Auditoría en ERPSAP R/3
332
Participación delAuditor de
Sistemas en unProceso de
RevenueAssurance
322
Técnicas deAuditoría
Aplicadas a laIngeniería de
Software
312
La AuditoríaFrente al Manejodel Documento
Electrónico
342
Internet Banking, el Desafío y sus Riesgos
WS2
Implementando elProyecto de
Seguridad de laInformación
333
Impacto Legal delos Sistemas que
Operan sobreInternet
323
Administración deIdentidad(Identity
Management)
313
Implementaciónde la Seguridaden un Workflow
(Flujo deProcesos)
343
Infraestructura de Seguridad Control yCómputo Forense Frente a Incidentes
WS3
13:30-15:00 15:30-17:00
Miércoles, 15 de Octubre, 2003 Jueves, 16 de Octubre,2003
Acuerdo deNiveles de
Servicio (SLA)
241
Due Diligence enla Gestión de
Auditoría de TI
232
Certificación deSistemas (System
Certification)
233
Creación deAplicaciones—
Procesos Seguros:una Metodología
Holística, Prácticay Auditable
243
Luis Rojas Orozco
k
Freddy LandívarPortugalk
Mauro Eidi VillelaAssanok
Tatiana SanchoVargas
k
Antonio de Sousa, Eugênio Pachelli Lacerda y Juan de Dios Bel
Mesa Redonda — Invitados: Tatiana Sancho, Jorge Hidalgo
Jorge Serrano, JorgeMedín Hidalgo, Johann
Tello Meryck, LucioMolina, Focazzio, Elia
Fernández Torresd
Rediseño deProcesos comoHerramienta delGobierno de TI.Una Experiencia
Práctica conCOBIT.
Ana IsabelToculescu Ottk
231
Jerri Ribeiro María CristinaLedesmak
Sérgio AlexandreSimõesk
Alexander Zapata
d
Carlos HenriqueJanibellik
Lilia Liu
k
Milthon Chávez, Eduardo Massa y Ricardo Theil
Jorge AlbertoFlores Sagastume
d
José GeraldoBaldo y Fabiano
Castelloc
Pablo CaneoGutiérrezk
Ricardo ZamoraCaballero y Laura
Olivia Ordoñezk
Alfredo PereiraTamayod
Ramiro MerchánPatarroyok
Marcelo Héctor González
Octubre, 2003
d Básico k Intermedio c Avanzado
113Planeación Estratégica yGestión Operacional de la
Seguridad de Información kEdison Fontes, CISA GTech, Brasil
Presentar un abordaje práctico de los diferentesaspectos a tener en cuenta al definir laestrategia de protección de la información.
Describir las acciones que posibilitan laejecución y el funcionamiento de un proceso deseguridad de la información.
OBJETIVOS DE LA SESIÓN:
❙ Plantear el proceso de seguridad de lainformación
❙ Comprender el necesario alineamiento conlas iniciativas de negocio
❙ Describir el área de seguridad de lainformación— Estructura— Responsabilidades y funciones
❙ Definir la arquitectura de seguridad de lainformación
❙ Plantear y lograr el compromiso del usuario ❙ Definir acciones de protección
123Impacto de Sarbanes-Oxley
y la Relevancia de los Conceptos
de COBIT y COSO kFederico Servideo, CISA Socio en Global Risk Management Solutions,Brasil
La legislación Sarbanes-Oxley, promulgada en2002, cambiará radicalmente el rol de auditoríainterna y externa, así como el de ejecutivoscorporativos. Dado que las reglas han sidodefinidas recientemente y la fecha límite de
implementación se acerca rápidamente, losinversionistas se envrentan a retos significativos.Esta sesión, examinará aspectos de las nuevasreglas y del impacto que tendran sobre elgobierno corporativo de la tecnología deinformación, así como la relevancia de COBIT yCOSO en relación a esta nueva legislación.
OBJETIVOS DE LA SESIÓN:
❙ ¿Por qué se promulgó Sarbanes-Oxley?❙ Presentar el ambiente regulatorio y
principios clave de la sección 302, 404 deSarbanes-Oxley en relación a la tecnologíade información
❙ Entender los desafios de los reportes deSarbanes-Oxley
❙ Estrategias y acciones para alcanzar elcumplimiento de los reportes
❙ Identificación de problemas a sercomunicados a los altos ejecutivos ycomités de auditoría, en relación a riesgosorganizaciones en el ambiente detecnología de información
213Concientización deSeguridad (Security
Awareness) dAntonio de SousaPresidente de ISACA BrasilFundador de la Big Five Consulting (B5C),Brasil
La tecnología está disponible para todosigualmente. No obstante la manera en que se lautiliza puede ser un factor de diferenciación yhasta de competitividad en las empresas. Elfactor humano es muy importante para asegurarque los controles sean adoptados por todos losusuarios, técnicos y gestores. El disertanteentiende que la seguridad es un compromiso detodos en la organización y pretende demostrarcuáles son los pasos importantes para laimplementación de una campaña deconscientización de seguridad de informaciónefectiva.
OBJETIVOS DE LA SESIÓN:
❙ Entender el proceso de seguridad ❙ Repasar algunas estadísticas sobre
problemas de seguridad ❙ Presentación de un video sobre seguridad:
espionaje industrial y uso del e-mail❙ Directrices para el manejo de la seguridad y
el e-mail
223Redes Virtuales Privadas y
su Implementación enCómputo Móvil k
Fernando Nikitin, CISA Banco de la República Oriental del Uruguay,Uruguay
El crecimiento de las telecomunicaciones y laexplosión de Internet, continúa impulsandonuevas tecnologías y nuevos escenarios talescomo lo que se ha dado en llamarse “CómputoMóvil” conforme al intensivo uso de dispositivosportátiles conectados a la Internet. En esteescenario, está tomando protagonismo latecnología de “Redes Privadas Virtuales (VirtualPrivate Networks—VPN)”. Muchasorganizaciones están aprovechando laoportunidad para reemplazar conexiones de redprivadas, por enlaces hacia localidadesremotas, con simples conexiones deproveedores de servicios de Internet. Y, ¿quéentonces sobre la seguridad? ¿Puede latecnología ser auditada? VPN es consideradacomo una tecnología que ha de llevar ventajasobre lo mejor de ambos mundos: las redesprivadas, dentro de un esquema de menorcosto constituido por la carretera de la redpública. Esta sesión informativa, examinaráambas, tanto la tecnología como los mitos alrededor de las VPN’s. Proporcionará alparticipante una mayor comprensión de lasVPNs para ilustrar y fortalecer los conceptospresentados.
OBJETIVOS DE LA SESIÓN:
❙ ¿En qué consisten las VPNs? ❙ Su relación con el escenario de “Cómputo
Móvil”❙ Los beneficios de impulsar la tecnología de
VPNs ❙ Los aspectos que un auditor debe cuidar
respecto a VPNs ❙ Un resumen respecto a la Seguridad ❙ Los proveedores principales que ofrecen
esta tecnología, realidad vs. vaporware
PISTA 3
SEGURIDAD DE SISTEMAS DE INFORMACIÓN
12
d Básico k Intermedio c AvanzadoNota: El nivel básico de una persona, puede ser el nivel avanzadode otra. Por favor revise la descripción y prerrequisitos de la sesiónpara determinar si la sesión es apropiada para usted.
13
233Certificación de Sistemas
(System Certification)Jerri Ribeiro, CISA PricewaterhouseCoopers, Brasil
La complejidad y diversidad tecnológica actualen un mundo global e interconectado, obliga afijar y compartir ciertos estándares deSeguridad mínimos que permitan a lasempresas hacer frente a los innumerablesriesgos provenientes de la red, logrando almismo tiempo cumplir los objetivos de negocioy protegen los activos de los clientes. En estemarco es vital la implementación de laseguridad en los distintos sistemas de laempresa y la certificación de estos, lograndoasí un valor agregado y ventaja competitiva.
OBJETIVOS DE LA SESIÓN:
❙ Presentar y discutir los temas involucradosen los proyectos de certificación desistemas
❙ Presentar las categorías de certificación desistemas con el objetivo de brindar a laaudiencia una idea práctica de estosemprendimientos y sus implicaciones
❙ Presentar casos prácticos de ejemplos delmercado
❙ Concluir y proyectar el futuro de lascertificaciones de sistemas en el contextocada vez más complejo de las necesidadesde seguridad de las empresas
243Creación de Aplicaciones—
Procesos Seguros: unaMetodología Holística,Práctica y Auditable k
María Cristina Ledesma, CISA, CISMCitibank NA, Uruguay
Las exigencias de los mercados y la dinámicade atención a los requerimientos tecnológicosque surgen como consecuencia de lo anterior,han promovido la disciplina de la ingeniería desoftware y han adquirido protagonismometodologías tales como la denominada “Ciclode Vida del Desarrollo de Software” (SDLC). Eneste contexto, resulta indispensable definir ypresentar una metodología alineada a la
política de Seguridad que permita en todomomento crear aplicaciones seguras, suadministración y el mantenimiento de dichoestado. Esta presentación mostrará técnicaspara el mantenimiento y adecuación de dichametodología a las políticas y prácticas deseguridad de la información corporativas, a lavez de evidenciar el valor agregado de dichametodología en términos de ahorros y retornode la inversión.
OBJETIVOS DE LA SESIÓN:
❙ Presentar la necesidad de la metodología ❙ Presentar las características de la
metodología para que esta asegure elmantenimiento del status de lasaplicaciones—procesos
❙ Presentar la vinculación de la metodologíacon el ciclo de desarrollo de sistemas(SDLC) en términos del beneficio en loscostos de desarrollo y la maximización delretorno de la inversión (ROI)
❙ Presentar la metodología en formapráctica, casos reales
❙ Concluir los métodos para manteneractualizada la metodología y elseguimiento de los problemas pendientes
313Administración de Identidad(Identity Management) k
Sérgio Alexandre Simões PricewaterhouseCoopers, Brasil
La inclusión de actividades transforma laestrategia de seguridad en tecnologías yprocesos que ayudan a lograr los objetivos denegocios en una compañía. Estas tecnologías yprocesos sirven para proteger los activos de lainformación y permiten el acceso a ellos. Elacceso debe incluir la administración deidentidad (autenticación, control de acceso yadministración de usuarios) , así como elcumplimiento de las reglas de negocios.
OBJETIVOS DE LA SESIÓN:
❙ Entender las formas de incluir y excluirusuarios en un ambinete complejo detecnología de información y negocios
❙ Entender los elementos principales de laseguridad del acceso
❙ Explicar cómo planificar, diseñar eimplementar una arquitectura de permisosde usuarios
❙ Se presentará un caso de estudio prácticosobre el éxito en los accesos de usuarioscon una perspectiva de negocio
323Impacto Legal
de los Sistemas que Operan sobre Internet d
Alexander Zapata, CISAKPMG, Colombia
El Internet facilitó el acceso inmediato eilimitado a la información, eliminó las barrerasgeográficas entre personas y empresas decualquier lugar del mundo, y facultó laconcepción de los negocios a escala global,soportados en sistemas de información.
Aún cuando la tecnología del Internet ofreceindiscutibles ventajas para el presente y futurode los sistemas de información que lascompañías implementen, también ha generadoserias consideraciones legales en lo referente alas normas de contratación, a la aplicación delos derechos de autor y la protección de laprivacidad de la información de los usuarios,por lo que son aspectos claves que el Auditorde Sistemas debe considerar aún cuando nocorrespondan específicamente a loscomponentes técnicos de las soluciones.
OBJETIVOS DE LA SESIÓN:
❙ Revisar los componentes técnicos que serequieren para implementar y soportar laoperación de un sistema de informaciónque se accesa desde Internet
❙ Conocer los aspectos legales que puedenafectarse con la implementación yoperación de un sistema de informaciónque es accesado desde Internet (Nombresde dominio, derechos de autor, privacidadde información, entre otros)
❙ Conocer casos internacionales dedemandas y litigios ocasionados porinfracciones de marcas, derechos de autory privacidad de información
❙ Proponer un esquema de auditoría a losaspectos técnico-legales claves en laimplementación de un sistema deinformación en Internet
❙ Compendio general de las legislaciones enmateria de Internet de los distintos paisesde la región latinoamericana
333Implementando el Proyecto
de Seguridad de laInformación k
Carlos Henrique JanibelliSchlumbergerSema do Brasil Ltda., Brasil
Cada vez más las empresas se están dandocuenta que la Seguridad debe ser consideradacomo un proyecto global y complejo queabarque todos los aspectos de esta temática,desde los puramente tecnológicos como habíasido el alcance tradicional, hasta los aspectoshumanos vinculados al entrenamiento yconcientización de los empleados y clientes.
En este marco todos los participantes, usuarios,procesos, y tecnología, deberían tenerclaramente definidos cuál es su función,responsabilidad y metodologías que aseguren elcumplimiento de la política de Seguridad, deforma tal de minimizar los riesgos de la empresay maximizar el cumplimiento de los objetivos denegocio.
Se abordarán conceptos de Seguridad de lainformación tales como políticas, estándares,mejores prácticas, necesidad de recursos,vulnerabilidades, y la forma de implementar el
modelo de seguridad en tecnología informática,sus fases, sus dificultades, recursos con queuna empresa debe contar para implementar,costear, monitorear y controlar dicho modelo deseguridad, incluyendo las mejores prácticas denegocios.
OBJETIVOS DE LA SESIÓN:
❙ Necesidades del Mercado❙ Metodología aplicada❙ Ejemplo de un proyecto de seguridad
343Implementación de la
Seguridad en un Workflow(Flujo de Procesos) k
Lilia Liu, CFEAIT Consulting, S.A., Panamá
Los sistemas de Flujo de Procesos (workflow)han evolucionado en forma muy rápida de talforma que ha ido incrementándose el númerode empresas que explotan este tipo detecnologías. La automatización de procesos queinvolucran una combinación basada enactividades humanas y de sistemas ha logradoque en muchas organizaciones se reduzcan
procesos redundantes y se detecten losllamados “cuellos de botella” logrando asímayor eficiencia y efectividad en los procesosde negocios.
En un entorno de workflow es necesarioestablecer estándares de seguridad quepermitan llevar un mejor control de lasactividades diarias.
OBJETIVOS DE LA SESIÓN:
❙ ¿Qué es un workflow y cómo funciona?❙ Conocer los estándares en un ambiente de
workflow❙ Conocer acerca de las consideraciones de
seguridad desde el contexto workflow:autenticación, autorización (control deacceso), confidencialidad, integridad dedatos y no repudiación
❙ Se explicará sobre la segregación defunciones de los usuarios (roles y tareas)
❙ Explicaremos el riesgo existente sobre lascomunicaciones en la red y el Internet
❙ Se mostrarán diferentes escenarios deimplementación de la seguridad en unworkflow
❙ Cómo debe aplicarse los estándares COBITen un sistema workflow
Estos y otros aspectos relevantes serán tratadosdurante esta sesión.
PISTA 3
SEGURIDAD DE SISTEMAS DE INFORMACIÓN CONTINUACIÓN
14
WS1Implantación de COBIT
Antonio de SousaPresidente ISACA, São Paulo, BrasilBig Five Consulting (B5C)
Eugênio Pachelli LacerdaISACA, São Paulo, Brasil
Juan de Dios BelIT Assurance & Control, S.A., Argentina
Para tener un adecuado gobierno de TI (ITGovernance), es necesario utilizar metodologíasreconocidas y consolidadas internacionalmente.Los cambios constantes de la tecnologíaimponen una serie de demandas tanto para los
profesionales de TI como para los auditores desistemas. COBIT es la respuesta para dichasdemandas desde la definición de indicadoresclave de meta, hasta indicadores clave dedesempeño. El taller estará enfocado a ITGovernance, para quienes están en la práctica,identificando riesgos e implantando controles, anivel organizacional en materia de TI.
Este taller requiere que los participantes tenganconocimiento de la estructura de COBIT. Lossiguientes tópicos serán presentados en estetaller:
❙ Cómo utilizar las herramientas de softwarepara proyectos de implementación de COBIT
❙ Estrategias de implementación de COBIT através de casos de estudio (i.e. Experienciaen el sector financiero de Paraguay y ensucursales de importantes bancos de Brasil)
❙ Ejercicios prácticos de implementación delos procesos de outsourcing y de Acuerdosde Niveles de Servicios
❙ Mesa redonda con expertos enimplementación de COBIT
❙ Tendencias de COBIT
OBJETIVOS DE LA SESIÓN:
❙ Revisar los componentes de COBIT❙ Presentar abordajes distintos de
implementación❙ Demostrar herramientas para implementación
de COBIT❙ Presentar las tendencias y próximos pasos de
COBIT
TALLERES
15
WS2Internet Banking, el Desafío
y sus RiesgosMarcelo Héctor González, CISABanco Central de la República Argentina,Argentina
El desarrollo tecnológico está cambiando cadadía más el modo en que las entidadesfinancieras realizan sus negocios alrededor delmundo. La tecnología de Internet está dando alos bancos la posibilidad de ofrecer a susclientes, un amplio rango de servicios que vaconstantemente en aumento, dentro delciberespacio (Internet).
Muchas entidades financieras en el mundodesean proveer sus servicios usando la WorldWide Web, lo cual tiene muchas ventajas,como reducir los costos de operación, permitirque los usuarios reciban servicios las 24 horasdel día, los 365 días del año, y tambiénpueden crear oportunidades en nuevos ymejores servicios a los clientes. Sin embargo,los sistemas electrónicos y la infraestructuraque le da soporte son susceptibles desituaciones de abuso, mal uso y fallas enmuchas de sus formas.
Como un gran perjuicio puede ocurrir acualquiera de las partes intervinientes en lastransacciones por medio de Internet, laseguridad se torna de suma importancia paratodo tipo de transacción, y más aún para lasde tipo financiero. Todo movimiento de datosque circula por el ciberespacio debería estarprotegido con alguna de las técnicas másdifundidas para este tipo de transacciones enla World Wide Web.
Por lo expuesto, es relevante que el auditor desistemas identifique los riesgos operativos quese presentan a las organizaciones durante todoel ciclo de la banca sobre Internet.
OBJETIVOS DE LA SESIÓN:
❙ Enunciar el desarrollo que ha tenido laBanca Electrónica y sus diversos canales dedistribución, como ser: ATMs, Internetbanking, phone banking, Mobil banking, etc.
❙ Entender los desafíos que presenta elInternet banking
❙ Clasificación internacional de laexteriorización en Internet banking
❙ Brindar una visión general del esquemaoperacional de la Internet banking
❙ Comprender del fenómeno de la BancaVirtual y del Mobil banking
❙ Reconocer las oportunidades y amenazasdel Internet banking y las implicanciaspara el regulador y para el auditor
❙ Riesgos tradicionales de la actividadbancaria y el impacto por el Internetbanking
❙ Principios de manejo del riesgos en BancaElectrónica según el BIS (Bank forInternational Settlements—BASILEA)
❙ Entender la preocupación de operacionesCross-Border
❙ Analizar la implementación de controles❙ Formulación e implementación de sanas
practicas, tales como: Encripción, Firmadigital, IPSec, WAP, Seguridad, Controlesgenerales, Conozca a su cliente, etc.
❙ Análisis del programa de auditoria paraBanca Electrónica de la OCC—Comptrollerof the Currency, Administrator of NationalBanks, USA
❙ Adecuación del COBIT para la auditoria de laBanca Electrónica y en particular para elnegocio bancario
❙ Cometar la Internet Banking Guideline deISACA
❙ Sección de discusión y preguntas
WS3Insfraestructura deSeguridad, Control y
Cómputo Forense Frente aIncidentes
Milthon Chávez, CISAMCH Consultoría Integral, C.A., Venezuela
Eduardo Massa, CISAEJM Consulting, Argentina
Ricardo TheilCâmara Brasileira de Comércio Eletrônico,Brasil
El Computo Forense dentro trasciende elámbito de la Seguridad en Tecnología deInformación y combinado con otras disciplinasconstituye un bastión de prevención y defensafrente a los Delitos Informáticos en el ámbitocorporativo.
En esta conferencia se analizan la arquitecturay los procesos que influyen en los servidores yla red corporativa, su impacto dentro de laEmpresa así como el ambiente en el que segesta la actividad.
Las evidencias digitales son alteradas yborradas con mayor facilidad que otro tipo depruebas. Las técnicas modernas de computoforense permiten rastrear y recuperar datos de
los diferentes tipos de computadores, redes dedatos y proveedores de servicios.
Se exponen las estrategias adoptadas paraenfrentar un ambiente corporativo sometido amasivos incidentes informáticos con finesilícitos. En la conferencia se describe lasacciones de recopilación, análisis, tratamiento yconclusiones obtenidas para fortalecerestrategias de prevención. Los contenidos seilustran con información de casos reales.
OBJETIVOS DE LA SESIÓN:
❙ Exponer los conceptos básicos deComputación Forense
❙ Explicar por qué los problemas deseguridad están implícitos en el diseño dela tecnología
❙ Explicar el nuevo paradigma de seguridad ycomo lo explicamos a los no técnicos
❙ Analizar la arquitectura y los procesos queinfluyen en la tecnología utilizada y suimpacto dentro de la organización
❙ Analizar el ambiente en el que se gesta laactividad, los riesgos y ataques
❙ Conocer los métodos y herramientas deataque de mayor uso
❙ Establecer las estrategias preventivas deSeguridad que aportan fortaleza al procesode investigación integral de delitosinformáticos
❙ Describir el proceso de análisis yprincipales experiencias obtenidas en unambiente de múltiples Delitos informáticosen una corporación
❙ Exponer conclusiones del proceso deinvestigación para aplicar en laadministración de riesgos
❙ Justificar la importancia del trabajomultidisciplinario en la investigación deDelitos informáticos.
ESTE TALLER ES DE INTERÉS PARA:
❙ Auditores Internos y Externos, de Sistemasy TI
❙ Ejecutivos, Directores y Gerentes deInformática
❙ Ejecutivos, Directores y Gerentes condecisiones sobre temas de seguridad
❙ Profesionales de Seguridad de Sistemas,Redes, Internet
❙ Profesionales de Informática yTelecomunicaciones
❙ Profesionales de Protección y SeguridadIntegral
❙ Responsables de Planes de Contingencia yContinuidad del Negocio
❙ Autoridades y funcionarios vinculados a laprevención, detección y represión dedelitos informáticos
TALLERES CONTINUACIÓN
Fechas de la ConferenciaDomingo 12 de octubre a miércoles 15 deoctubre de 2003
Talleres después de la conferencia el Jueves 16de octubre de 2003
RegistroFechas y horas de registro e informacióngeneral:
Domingo 12 de octubre . . . . . . . . . . . . . . . de 18:00 a 20:00 hrs.
Lunes 13 de octubre. . . . . . . . . . . . . . . . de 7:00 a 17:00 hrs.
Martes 14 de octubre. . . . . . . . . . . . . . . . de 8:00 a 17:00 hrs.
Miércoles 15 de octubre. . . . . . . . . . . . . . . . de 8:00 a 17:00 hrs.
Jueves 16 de octubre (Talleres después de la Conferencia) . . . de 7:00 a 11:00 hrs.
Fechas y horas deInfoExchangeExhibiciones de InfoExchange…lunes 13 de
octubre de las 15:30 a las 19:30 hrs.
Cena de Recepción de proveedores…lunes 13de octubre de las 17:30 a las 19:30 hrs.
Sesiones educativas de proveedores…lunes 13de octubre de las 15:30 a las 19:30 hrs.
País SedeLa Conferencia tendrá lugar en la ciudad de SãoPaulo en Brasil, la cuarta ciudad más grandedel mundo. São Paulo oferece una granvariedad de atractivos a los visitantes, cuentacon 223 sala de cine, 92 teatros, 11 centrosculturales y 70 museos. Entre ellos se destacael MASP, Museo de Arte de São Paulo,localizado en la Av. Paulista, el corazóneconómico da la ciudad. Otro importante factorde diferencia del comércio de São Paulo son lascalles de comercio especializado. Hay 42opciones de regiones en la ciudad que seconcentran en la comercialización dedeterminados productos que van desdeartículos de cuero, discos raros, hastaatingüedades. Este segmento también cuentacon 50 centros comerciales, galerías de arte yferias de artesanía. São Paulo cuenta conmuchas atracciones para las personas a las queles gusta la vida agitada y sofisticada. Lasopciones de compras, parques temáticos eculturales, ocio y entretenimiento, gastronomía yvida noctuma son inagotables. Si a usted leinteresan los monumentos históricos, visite lasiglesias de la ciudad, particularmente elConvento Nossa Senhora da Luz, construido en1579.
Sitios de web recomendables:
Turismo www.brazilsite.com.br www.brasilviagem.com
Previsión del tiempo en São Paulo:br.weather.yahoo.com/america_do_sul/Brasil/
ALOJAMIENTOCada participante es responsable de hacer supropia reservación, llamando directamente al:
Hilton São Paulo MorumbiAv. Das Nações Unidas 12.901 04578-000 São Paulo, Brasil
Teléfono: 55.11.6845.0000Fax: 55.11.6845.0001Web site: www.hilton.com
Tarifas de las habitaciones: US $120 por noche(Sencilla/Doble)
Tarifas disponibles tres (3) días antes y tres (3)días después de la fecha de la conferencia.
Fecha límite para las reservaciones es el 24 deseptiembre de 2003.
Habrá estacionamiento disponible paraasistentes a la conferencia, a una tarifa de US $6 por día.
Descripción del HotelEl hotel Hilton São Paulo Morumbi se encuentraen el distrito Berrini, como parte del complejodel centro de negocios CENU. Ha sidoclasificado como un htel de verdadero lujo, conun atrio de vidrio como sala de recepción y 485espaciosas habitaciones que incluyen cuatropisos ejecutivos, ocho habitaciones derelajamiento y 25 suites para su comodidad. Elhotel cuenta con 14 instalaciones completas yflexibles para llevar a cabo reuniones, un Clubcontemporaneo y Spa, dos bares, y dosrestaurantes con conceptos creativos ydistintivos que permitirán exceder lasexpectativas del huesped.
Transporte LocalSi usted llega al aeropuerto InternacionalGuarulhos, estará a una distancia de 35 km delhotel. Tiempo estimado de transporte 35minutos. Costo típico de taxi US $30.
Si usted llega al aeropuerto Congohnas(doméstico), estará a una distancia de 8 km delhotel. Tiempo estimado de transporte 15minutos. Costo típico de taxi US $8.
Si usted llega al aeropuerto Viracopos, estará auna distancia de 120 km del hotel. Tiempoestimado de transporte 70 minutos. Costo típicode taxi US $90.
Tarifa mínima de renta de auto es de US $75
InfoExchangeLatin America CACS ofrece una exhibición deproveedores. InfoExchange reúne a estosproveedores con el fin de que usted tenga laoportunidad de conocer lo mejor de losproductos disponibles más avanzados deTecnología de Información para ayudarnos a sermás efectivos y eficientes. Debido al éxitoobtenido en años anteriores, nuevamentetendremos las Sesiones Educativas de losExpositores, impartidas por nuestrosproveedores cuando no se estén desarrollandootras sesiones, lo que proporcionará otraoportunidad para discutir y observar en detallelas demostraciones de productos, así comoobtener información sobre productos o serviciosespecíficos.
Sesiones Educativas deProveedoresLas Sesiones Educativas de Proveedorestendrán una duración de 30 minutos. Estainiciativa representa una oportunidad más paradiscutir y observar en detalle las demostracionesde productos, así como obtener respuestas apreguntas sobre productos o serviciosespecíficos. El Comité del Programa está seguroque esta adición otorgará mayor valor a suparticipación en InfoExchange. Estas sesionesse llevarán a cabo el lunes 13 de octubre con15:30 a las 19:30 hrs
CUOTAS DE INSCRIPCIÓNLas cuotas de Inscripción estarán indicadas enDólares Americanos.
Inscripción a la ConferenciaAsociados de ISACA antes de y hasta el 30 de Julio de 2003. . . US $645
Asociados de ISACA después del 30 de Julio de 2003 . . . . . . . . . . US $695
No Asociados . . . . . . . . . . . . . . . . . . US $895
INFORMACION GENERAL
16
Inscripción a TalleresAsociados de ISACA que participan en la conferencia . . . . . . . US $295
No Asociados que participan en la conferencia . . . . . . . . . . . . . . . US $395
Asociados de ISACA que no participan en toda la conferencia. . . . US $370
No Asociado que no participan en toda la conferencia . . . . . . . . . . . US $470
El pago deberá ser realizado en su totalidad alas oficinas internacionales de ISACA paragarantizar su inscripción a la conferencia.
Cuota especial paraEstudiantesEstudiantes con credencial y comprobante deestudiantes de tiempo completo podrán asistiral primer día de la conferencia, el lunes 13 deoctubre, por una cuota de US $125. Esta cuotaincluye, acceso a la sesión inaugural, acceso a2 sesiones de las 6 disponibles en el horariode las 10:30 a las 15:00 hrs., almuerzo, yacceso al InfoExchange y recepción deproveedores. La cuota no incluye material de laconferencia.
DESCUENTO A GRUPOSSe aplicará un descuento de US $50 porpersona cuando se inscriban al mismo tiempotres o más empleados de la mismaorganización. Este descuento no puede serutilizado conjuntamente con el descuento porinscripción anticipada ofrecido a Asociados deISACA.
POLITÍCA DE CANCELACIÓN DESi se recibe una cancelación por teléfono,correo, fax o correo electrónico hasta el miér-coles 10 de septiembre de 2003 (inclusive), lacuota de inscripción será reembolsada menosUS $100 por cargo de cancelación. Igualmentese le reembolsará el importe del taller, perohabrá un cargo de US $50 pro cancelación y(si aplica) ISACA retendrá la cantidad corres-pondiente a la diferencia de la cuota de mem-bresía, resultado de marcar el recuadro quedice: “Quiero aplicar la diferencia entre el costode Asociado y no asociado a la membresía2003/2004 de la Information Systems Auditand Control Association.” Después del 10 deseptiembre de 2003 no habrá reembolsos. Losreemplazos pueden hacerse en cualquiermomento hasta el inicio de la conferencia sincargo alguno. El reemplazo de un asociado deISACA en favor de alguien que no lo sea, gener-ará un cargo equivalente al diferencial de cuo-tas establecidas para asociados y no asocia-dos. Nota: Su inscripción a la Conferencia y/otalleres está condicionada al pago total de las
cuotas de inscripción. Para garantizar elprocesamiento de su inscripción antes de laConferencia, la cuota de la conferencia deberáser recibida antes de o en la fecha límitepublicada. Los cheques y las transferencias dedinero pueden tomar hasta 10 días hábilespara llegar a ISACA, por tanto le pedimos,planee su pago según corresponda. Si ISACAdebe cancelar un evento por algún motivo, suobligación/responsabilidad está limitadaúnicamenta a las cuotas de inscripción. ISACAno es responsable de otros gastos incurridos,incluyendo gastos de viaje o de hospedaje.
ATUENDOEl atuendo recomendado para asistir a lassesiones técnicas y a los eventos sociales es“de negocios.”
INVITACIÓN PARA UNIRSE AISACASi usted no es asociado de ISACA y debe pagaruna cuota de inscripción más alta para asistir ala Conferencia Latin America CACS 2003,considere la siguiente oferta especial. Ustedpuede aplicar la diferencia entre las cuotas deasociado/no asociado para obtener lamembresía de ISACA. Esto le permitiráconvertirse en asociado tanto a nivelInternacional como del Capítulo local (ISACASão Paulo) por lo que resta del año 2003 ytodo el año 2004, sin cargos adicionales ytambién disfrutar de todas las ventajas de lamembresía. Para aceptar nuestra oferta,solamente marque el cuadro respectivo en elformulario de inscripción. He leido y estoyacuerdo con el límite de responsabilidad demembresía que se encuenta en este brochure.
CREDITOS DE EDUCACIONHágase acreedor de hasta 19 créditos deEducación Profesional Continua (EPC) asistien-do a las sesiones de la Conferencia LatinAmerica CACS. Además, los profesionales queasistan a los talleres opcionales pueden recibir7 créditos adicionales de EPC por cada día deentrenamiento.Por favor, comuníquese con la organización quemantiene su Certificación particular, paraobtener los requisitos específicos y la
aceptación de cursos individuales.
Las mesas directivas de contadores de cadalocalidad, tienen la autoridad final deaceptación de los cursos individuales para loscréditos de EPC. Cualquier queja referente a lospatrocinadores registrados, puede serconsiderada en el Registro Nacional dePatrocinadores de EPC (National Registry ofCPE Sponsors), en la dirección: 150 FourthAvenue North, Nashville, Tennessee 37219-2417, USA y en el teléfono: +1.615.880.4200.
Eventos EspecialesRecepción de BienvenidaDomingo 12 de octubre, 18.00 - 20.00
La Asociación ISACA São Paulo, les da la mascordial bienvenida.
Conozca a nuevos colegas de todo el mundo ya muchos de los expositores y patrocinadoresde Latin America CACS. Aproveche laoportunidad de relacionarse con numerososprofesionales, este es un momento ideal paraintercambiar información con sus colegas.
Recepción de los Expositores deInfoExchangeLunes 13 de octubre, 17:30 - 19:30
Patrocinada por los Expositores deInfoExchange.
Los expositores contestarán sus preguntas,explicarán sus servicios y demostrarán susproductos durante el InfoExchange. Leinvitamos a disfrutar de bocadillos y refrescos,mientras examina los productos y serviciosdisponibles que permiten a los profesionales deTI obtener mayor productividad y eficiencia.Durante la tarde del lunes 13 de octubre de las15:30 a las 19:30 hrs., los expositores tendránla oportunidad de hacer presentaciones de 30minutos en las salas de conferencia, a lascuales todos los participantes de la conferenciaestán cordialmente invitados.
Cena de Gala Martes 14 de octubre, 18:00 - 22:00
Después de las sesiones de la Conferencia, sellevará a cabo la Cena de Gala. Todos losparticipantes podrán disfrutar una magnífica einolvidable noche brasileira.
Cada participante de la Conferencia, tienederecho a un boleto para este evento. Si deseaboletos adicionales para su pareja y o susinvitados, podrá comprarlos ó solicitarlos poradelantado en el momento de su inscripción alevento. El costo por boleto adicional será deUS $60.
Más información respecto a este evento estarádisponible al inicio de la conferencia.
17
FORMULARIO DE INSCRIPCIÓN
18
1. Complete la información que sigue (por favor utilice máquina de escribir o letra de molde)
Nombre (Sr., Sra., Srita.)
_________________________________________________________________________________(Nombre) (Apellidos paterno) (Apellidos materno)
Cargo __________________________________________ Teléfono de compañía _______________________________
Compañía ______________________________________ Fax de compañía __________________________________
Nombre en el gafete _______________________________ Dirección electrónica (e-mail) __________________________
(Por favor, indique a continuación su dirección)
■■ de Compañía ó ■■ de Domicilio particular ■■ Este es un cambio de Domicilio
Dirección (Calle o avenida y número)
_________________________________________________________________________________________________
Ciudad ___________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
Estado/Provincia ___________Código postal____________ País ______________
■■ Por favor, No incluya mi domicilio completo en el directorio que será entregado a los participantes, expositores y patrocinadores.Asociado de ISACA? ■■ Si Número de asociado____________________ ■■ No
■■ Quiero aplicar la diferencia entre el costo de Asociado y No asociado a la membresía 2003/2004 de la Information SystemsAudit and Control Association (ISACA). He leido y estoy acuerdo con el límite de responsabilidad de membresía que seencuenta en este brochure.
2. Marque con un círculo sus opciones de registro, utilizando la siguiente cuadrícula de sesiones
Conferencia y Talleres de Latin America CACS Pagina 1 de 2
Pista
IT Governance y Control
Auditoría de Sistemas de Información
Seguridad de Sistemas de Información
111 121
112
113
122
123
211 221
212
223213
222
231 241
232
233 243
242
311 321
312
313
322
323
331
332
333 343
341
342
WS1
WS2
WS3
10:30-12:00
Lunes
13:30-15:00 8:30-10:00
Martes Miércoles Talleres
10:30-12:00 13:30-15:00 15:30-17:00 8:30-10:00 10:30-12:00 13:30-15:00 15:30-17:00 9:00-17:00
3. Costos de Inscripción (en Dólares Americanos) (Por favor marque con un círculo sus opciones)Inscripción a la ConferenciaAsociado de ISACA (antes de y hasta el 30 de julio 2003) . . . . . . . . . . . . . . US $645Asociado de ISACA (después del 30 de julio 2003). . . . . . . . . . . . . . . . . . . US $695No-Asociado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . US $895
Inscripción a los Talleres (Ahorre US $75 por Taller si tambiénparticipa en la Conferencia Latin America CACS 2003)
Si participa en la Conferencia No Participa en la Conferencia LACACS 2003 Conference LACACS 2003 Conference
Asociado No-Asociado Asociado No-Asociado
WS1Imlementación de COBIT US $295 US $370 US $395 US $470WS2
Internet Banking US $295 US $370 US $395 US $470WS3
Infraestructura de SeguridadControl y Cómputo Forsense US $295 US $370 US $395 US $470
TOTAL (Sume todas las opcionesque encerró en un círculo arriba) US $______________)
DESCUENTOS GRUPALES: Se aplicará un descuento de US$ 50 por persona, cuando tres omás empleados de la misma compañía se inscriban al mismotiempo. Este descuento no podrá ser utilizado juntamente con eldescuento ofrecido a Socios de ISACA pagando antes del 30 dejulio. Para inscripciones múltiples, favor de fotocopiar este formato.
4. Por favor indique su forma de pago■■ Se adjunta Cheque en US dollars a favor de la Information
Systems Audit and Control Association■■ Transferencia electrónica (Wire Transfer) en US dollars Número
de Referencia ________________________________ó Cargue a mi tarjeta internacional:
■■ Visa ■■ MasterCard ■■ American Express ■■ Diners Club(NOTA: Todos los pagos con tarjeta de crédito serán procesadosen US dollars)
Número de tarjeta ______________________________________Fecha de Vencimiento ___________________________________
Nombre en la tarjeta
Firma del Titular ó tarjeta-habiente
Indique la Dirección Completa donde desea recibir suFactura/Recibo:
Nombre del participante, tal y como se indica en el número 1.:
Proporcione los datos que desea aparezcan en su factura o recibo,(Nombre de la empresa, Dirección Fiscal, y Número o Registrofiscal RFC):
5. Elija una de las siguientes maneras para inscribirse enla Conferencia Latin America CACS 2003 ConferenceA. Inscripcion electronica en el web site de ISACA:
www.isaca.org/latincacs2003.htm
B. Envíe por FAX su formato de inscripción completo alteléfono +1.847.253.1443. (En los Estados Unidos)
C. Envíe por Correo su formato de inscripción completo a:[Por favor elabore o gire su cheque en DólaresAmericanos US $]Latin America CACS Conference Information Systems Audit and Control Association135 S. LaSalle, Department 1055Chicago, Illinois 60674-1055, USA
D. Pagos electronicos en Dólares Americanos (US $) debenser enviados a la dirección señalada en la sección con lasiguiente información de cuentas:LaSalle National BankABA #071000505ISACA Account #22-71578S.W.I.F.T. code LASLUS44
(Por favor, indique como referencia al Latin America CACS 2003, eincluya, de ser posible, el nombre y número de Asociado, delparticipante,—si es que aplica—en el “Aviso de Transferencia” paragarantizar el pago de dicho participante.)
6. Política de CancelaciónSi se recibe una cancelación indicando que NO podrá asistir a laConferencia, sea por teléfono, correo, fax o e-mail hasta el Viernes12 de Septiembre de 2003 (inclusive), la cuota de inscripción leserá reembolsada menos US$100 de gastos para procesar lacancelación. Después del 12 de septiembre de 2003, no habráreembolsos. Se podrá reemplazar a la persona designada encualquier momento, hasta la fecha de la conferencia. Sin embargo,el reemplazo de un Asociado, por un NO Asociado, generará uncargo adicional, equivalente a la diferencia de cuotas establecidaspara Asociados y No Asociados de ISACA. Nota: Su inscripción a la Conferencia y/o Talleres está condicionadaal pago total de las cuotas de inscripción. Para asegurar elprocesamiento de su inscripción antes de la Conferencia, envíe suformato de inscripción lo antes posible.
7. Arreglos Especiales■■ Dieta especial _____________________________________
________________________________________________■■ Necesitaré otro tipo de asistencia; favor de contactarme para
hacer los arreglos necesarios.
8. ¿Tiene alguna Pregunta?Por favor, contacte al Departamento de Conferencias de ISACA en Chicago:
Teléfono: +1.847.253.1545, ext. 485Fax: +1.847.253.1443E-mail: [email protected]
Ó contacte al presidente del Comité local de la Conferencia en São Paulo en el teléfono, desde el extranjero 55.11.5087.8822
19
Pagina 2 de 2
Marcelo Héctor González,CISABanco Central de la RepúblicaArgentina, ArgentinaPresidente del Comité
Luis Alberto Murguía Jara,CISAINTERBANK, Perú
Ana Virginia Escalante, CISAS.I.I.A.S.S.A. Consulting, CostaRica
Alexander Zapata Lenis,CISAKPMG Colombia, Colombia
Claudio Ragni VargasUniversidad Católica del Maule,Chile
Jorge Villaseñor Rojas, CISAErnst & Young México, México
Joselyn Maica ChávezMCH Consultoría Integral CA,Venezuela
María Cristina Ledesma,CISA, CISMCITIBANK, Uruguay
Lilia Liu ChungATT Consulting, Panamá
Antonio de SousaBig Five Consulting, Brasil
Robert BergquistISACA staff liaison, USA
Elia Fernández Torres, CISAISACA staff liaison, USA
3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USA
C o m i t é d e l P r o g r a m a L a t i n C A C S
Antonio de SousaBig Five Consulting, BrasilPresidente del ComitéPresidente del capítulo de ISACASão Paulo, Brasil
Antonio SeitaBanco Votorantim, Brasil
Edgar D´Andrea, CISAPricewaterhouseCoopers, Brasil
Carlos MouraBanco Real ABN AMRO, Brasil
Eugênio LacerdaBanco Itaú BBA, Brasil
Mauro AssanoRational, Brasil
Flora Steuer CostaSAP, Brasil
Prof. Edson Luiz RiccioUniversidade de São Paulo,Brasil
Cathy VijehISACA staff liaison, USA
C o m i t é d e l C a p í t u l o A s o c i a d o (ISACA São PAULO)
F-LC-BRL-0603