I-lu-mi-na-do, (I-luminá-do) , v. 1. haber recibido la luz ... · representante de la sociedad...

La conferencia de IT governance, control,

seguridad y aseguramiento de Tecnología

de Información líder en el mundo

del 12 al 16 de octubre, 2003

Hilton São Paulo Morumbi

São Paulo, Brasil

Presentada por la Information Systems

Audit and Control Association

Gane hasta 26 horas

de Educación Continua (CPE)

www.isaca.org/latin2003.htm

I-lu-mi-na-do, (I-luminá-do), v. 1. haber recibido la luz intelectual. 2. estar siendo iluminado 3. haber visto la brillantez de una buena idea: haberse inscrito para asistir al Latin America CACS presentado por la Information Systems Audit and Control Association®

Sesiones de la ConferenciaLatin America CACS ha sido desarrollada porun comité experto de profesionales entecnología de información que entienden lo queusted busca al asistir a una Conferencia. Paragarantizar que el contenido de la Conferenciasatisfaga sus requerimientos educativos yestándares de calidad, se escogieroncuidadosamente pistas y sesiones técnicas paraatender al máximo los problemas a los quetodos nos enfrentamos. Como resultado,muchos temas nuevos han sido incluidos enLatin America CACS y muchos otros se hanampliado para proporcionar una mayorcobertura.

Analice con detenimiento estas interesantessesiones. Es fácil ver cómo Latin America CACSlo prepara para los retos futuros de latecnología de información..

Acerca de este FolletoTodos los detalles sobre los temas de lassesiones y los conferencistas del programa de laconferencia Latin America CACS fueroncorrectos en el momento de la impresión, peroestán sujetos a cambio por la InformationSystems Audit and Control Association (ISACA) en caso de alguna eventualidad. Los

conferencistas han preparado este material parael desarrollo profesional de los asociados deISACA y para la comunidad de Auditoría yControl de Sistemas de Información. Aúncuando ellos confían en que el material será útilpara este propósito, ni los conferencistas, niISACA puede garantizar que el uso de estematerial sea el adecuado para cumplir con laresponsabilidad legal o profesional de losasociados, en la ejecución de su práctica.

Ventajas del ProgramaAspectos que incluye su inscripción en laConferencia Latin America CACS:

❙ Entrada a todas las sesiones de laConferencia de su elección, con 30sesiones para elegir.

❙ Entrada a las sesiones de Intercambio deInformación, lunes 13 de octubre.

❙ Asistencia a las Sesiones de Exhibición deInfoExchange de su elección.

❙ Memoria impresa con todos los trabajos delos expositores recibidos previamente a laimpresión.

❙ Comida de cortesía y recesos con refrescosdurante la conferencia.

❙ Invitaciones a los siguientes eventossociales:— Recepción de bienvenida, domingo, 12

de octubre— Recepción de los Proveedores, lunes, 13

de octubre

❙ Cena de Gala, martes, 14 de octubre

Haga planes ahora para asistir a la octava conferencia anual Latin America CACS. Este programa de clasemundial, ha cobrado renombre en la industria de esta región del mundo por presentar soluciones aproblemas críticos de tecnología de la información. Se espera que participen en la conferencia delegadosde más de 15 paises.

Además de aprender más sobre las oportunidades y las inquietudes relacionadas con IT Governance,COBIT, valoración de recursos de TI, auditoría de outsourcing, aplicación de BSC en auditoría de sistemas,Internet banking, impacto de Sarbanes-Oxley, infraestructura de seguridad, control y cómputo forensefrente a incidentes, Latin America CACS cubre aspectos “de actualidad” que atraen tanto a los nuevosprofesionales como a los altamente experimentados de la tecnología informática.

Latin America CACS presentada en la hermosa ciudad de São Paulo en Brasil, ofrece una agendaaltamente concentrada que cubre tres días completos de conferencia . Además, gracias a los talleresopcionales de la Conferencia, las personas que buscan más información y contenido práctico, puedenrecibir un día completo adicional de capacitación.

Con 30 sesiones de donde escoger, tres talleres opcionales y hasta 26 horas de educación continua, sinmencionar las ofertas turísticas de la ciudad más grande del sur de Latino América, Latin America CACSes la mejor oportunidad educativa del año.

LATIN AMERICA CACS 2003

2

PatrocinadoresLa Information Systems Audit and ControlAssociation quiere reconocer a lospatrocinadores de la Conferencia LatinAmerica CACS (vigentes a la fecha deimpresión):

Nivel Oro (Gold level):

Vea la lista de los patroncinadores en elweb site: www.isaca.org/latin2003.htm

(Español)

Mauricio Ghetler es actualmente el Director deTecnología de las empresas del grupo BancoSantos en Brasil.

Es Graduado en Ingeniería y pos-graduado enAnálisis de Sistemas de Administración deEmpresas. Se ha dedicado durante 25 años aldesarrollo de software en las áreas decomunicación de datos, automatizaciónindustrial, comercial y bancaria de sistemascorporativos, en los segmentos industriales y deservicios.

Actúa también como coordinador de laSubcomisión de Nuevas Tecnologías en Mediosde Pago y Comercio Electrónico de FEBRABAN,como respresentante de FEBRABAN junto al ITI,como coordinador del grupo de InstitucionesFinancieras de ABRACHEQUE y comorepresentante de la sociedad civil del ComitéGestor de ICP-BRASIL en calidad de miembrosuplente.

Mauricio Ghetler hablará sobre las tendenciasde TI y su exposición incluirá los siguientestópicos:

❙ La conquista de la mobilidad en elambiente corporativo.

❙ Certificación Digital y su impacto real en elmercado

❙ Cambios en la relación electrónica entreclientes, proveedores, institucionesfinancieras y gobierno

(Portugês)

Mauricio Ghetler atualmente é Diretor deTecnologia das empresas do grupo BancoSantos.

Graduado em Engenharia, Pós em Análise deSistemas e Administração de Empresas.Dedica-se a 25 anos ao Desenvolvimento deSoftware nas áreas de Comunicação de Dados,Automação Industrial, Comercial e Bancáriaalém de Sistemas Corporativos nos segmentosIndustriais e de Serviços.

Atua também como coordenador daSubcomissão de Novas Tecnologias em Meiosde Pagamento e Comércio Eletrônico daFEBRABAN, como representante da FEBRABANjunto ao ITI, como coordenador do grupo deInstituições Financeiras da ABRACHEQUE ecomo representante da sociedade civil noComitê Gestor da ICP-BRASIL na qualidade demembro suplente.

Mauricio Ghetler falará sobre as tendências deTI e sua exposição incluirá os seguintes tópicos:

❙ A conquista da mobilidade no ambientecorporativo

❙ Certificação Digital e seu impacto real nomercado

❙ Mudanças no relacionamento eletrônicoentre clientes, fornecedores, instituiçõesfinanceiras e governo.

PRESENTACION INAUGURAL -

3

Maurício Ghetler

TENDENCIAS DE TECNOLOGÍA DE INFORMACIÓNMauricio GhetlerMiembro de la Comisión de Tecnología de ABBCDirector de Tecnología de las empresas del grupo Banco Santos, Brasil

111Metodología para el

Desarrollo de Planes deContinuidad de Negocios d

Marcos Ricardo Rivera ValdovinosComisión Nacional Bancaria y de Valores,México

Gustavo Méndez PérezCasa De Software, S.A. de C.V., México

En cualquier momento se puede presentar unacontingencia y para muchas empresas, lasinterrupciones en el funcionamiento de sussistemas significan una suspensión de susservicios a los clientes y por lo tanto perjuicioseconómicos y de imagen. Por ello, es necesarioque las organizaciones cuenten con unametodología que les permita desarrollarprocedimientos alternos para hacer frente—enforma exitosa—a situaciones de contingencia.

Las metodologías de PCN que actualmenteutilizan algunas empresas, no contemplanciertos detalles muy importantes, los cualesestarían cubiertos con la metodologíapropuesta.

En esta sesión se discuten las fases de unametodología para el desarrollo de planes decontinuidad de negocios, la cual puede seradoptada en cualquier tipo de empresa.

OBJETIVOS DE LA SESIÓN:

❙ Concientizar de la importancia de un plande continuidad de negocio

❙ Llevar a cabo un análisis de proceso denegocio

❙ Definir un esquema de evaluación deriesgos

❙ Determinar como es un esquema demitigación de riesgos

❙ Detallar un plan de recuperación de fallas❙ Definir una estrategia de manejo de crisis❙ Definir un esquema de pruebas y validación

121Control de Migración

de Sistemas kRicardo Zamora Caballero, CISA y LauraOrdoñez Meza, CISADeloitte & Touche, México

En un entorno empresarial de constantescambios, las organizaciones se enfrentan aldilema de contar con tecnología de información,que en forma oportuna les permita hacerlefrente a su entorno sin poner en riesgo laintegridad, confiabilidad y disponibilidad de lainformación; así como desarrollar y manteneruna ventaja competitiva frente a suscompetidores y ofrecer a sus clientes productosy/o servicios de calidad que satisfagan susnecesidades. Por lo anterior, las compañíascontinuamente están adecuando, cambiandoy/o actualizando su tecnología de informaciónpara satisfacer en el corto plazo las expectativasde su entorno y de sus clientes.

Es por eso, que el auditor de sistemas debeconocer, identificar y evaluar los riesgosoperativos y tecnológicos que se presentan enlas organizaciones durante un proceso demigración de la tecnología de información. Elentendimiento y comprensión de lo anterior,facilitará al auditor de sistemas el desarrollo yejecución de procedimientos para evaluar elcontrol interno, que debe mantener durante lamigración de la tecnología de información;apoyando así a la organización en su esfuerzode cambio.


❙ El participante identificará los elementosque conforman un proceso de migración dela tecnología de información

❙ El participante identificará los riesgostecnológicos y operativos que se presentandurante el proceso de migración de latecnología de información

❙ El participante conocerá un enfoquemetodológico basado en técnicas,estándares y mejores prácticas de controlpara proyectos de migración de latecnología de información

211Administración de Riesgos

de Tecnología deInformación k

Alirio Fernando Izquierdo Duarte, CISABanco de la República, Colombia

El proceso de administración de riesgos esinteractivo, basado en el conocimiento,evaluación y manejo de riesgos y sus impactos,que mejora la toma de decisionesorganizacionales. La sesión presenta un marcode referencia de administración de riesgosbasado fundamentalmente en el estándarAZ/NZS de administración de Riesgos y planteauna propuesta aplicable a TecnologíaInformática, teniendo en cuenta los procesosdefinidos en el estándar COBIT.


❙ Presentar un marco de referencia para laadministración de riesgos

❙ Brindarle a los participantes mecanismosprácticos para enfrentar un proceso deadministración de riesgos en procesos deTecnología Informática, conforme loestablece el estándar COBIT

❙ Proveer una herramienta de gestión para elanálisis de escenarios que facilite la tomade decisiones y acciones sobre los riesgosa los que puede estar expuesta laorganización respecto al logro de susobjetivos

221IT Governance Alineado

con el Negocio cWilson GellacicErnst & Young, Brasil

El presente siglo probablemente será reconocidopor el uso intensivo de nuevas metodologíaspara soportar el crecimiento del negocio. Sinembargo, la Tecnología de Información (TI) aúnes cuestionada acerca del valor que provee alos líderes del negocio.

Muchos CEOs han manifestado su descontentocon relación a la TI, luego de haber realizadograndes inversiones de dinero. Esta paradojapuede ser cambiada.

PISTA 1

IT Governance y Control

4

d Básico k Intermedio c AvanzadoNota: El nivel básico de una persona, puede ser el nivel avanzadode otra. Por favor revise la descripción y prerrequisitos de la sesiónpara determinar si la sesión es apropiada para usted.

5

Nuevas metodologías de alineamiento de TI conel Negocio ya están disponibles y grandescorporaciones ya las están adoptando conresultados importantes. Con base eninvestigaciones internacionales y casosprácticos, se enseñará a los asistentes a estasesión, cómo alinear la Tecnología deInformación con las estrategias del negocio ycómo medir su desempeño, para lograr queagregue valor a la organización.


❙ Discutir los desafíos actuales del CIO❙ Presentación de los conceptos de

gobernabilidad de TI❙ Discutir la necesidad de un modelo de

gestión y alineamiento de TI❙ Presentar casos de éxito referidos a la

gobernabilidad de TI❙ Brindar sugerencias de implantación de un

plan de acción (hoja de ruta)

231Rediseño de Procesos comoHerramienta del Gobierno

de TI. Una ExperienciaPráctica con COBIT k

Ana Isabel Toculescu Ott, CISADeloitte & Touche, Ecuador

Cada vez más, el gobierno corporativo de lasorganizaciones, se está percatando de laimportancia que tiene un área vistatradicionalmente como ejecutora de proyectosespecíficos de automatización y comoconsumidora de recursos: el área de Tecnologíade Información (TI).

A su vez, al interior del área de TI, la gerenciaestá preocupada por su propio gobierno:¿Cómo informar acerca del rol y el impacto deTI en la organización? ¿Cómo saber que ladirección seguida y el retorno obtenido son losesperados? ¿Cómo determinar la propiacapacidad de transformación, de mejora de lasoperaciones actuales, así como de manejo delas restricciones dentro de las cuales se debeoperar? ¿Cómo medir su propio desempeño?Una respuesta posible es: a través del rediseñode los procesos de TI, y la medición de lagestión de TI.


❙ Mostrar de forma práctica el enormepotencial que tiene la metodología COBITcomo elemento para mejorar el gobiernode TI

❙ Mostrar la facilidad que tiene COBIT paraser usado como herramienta de trabajoefectiva en el gobierno de TI, y nosolamente su uso como marco dereferencia de conocimiento y estándares

❙ Explicar con base en una experiencia real,el método como fueron rediseñados losprocesos más importantes de un área de TIy aplicados índices de gestión, utilizandola metodología COBIT

❙ Entender el rediseño de procesos como unmétodo de mejoramiento continuo ymostrar cómo COBIT permite generar unproyecto a medianó o largo plazo, hastaalcanzar el grado de madurez ideal de losprocesos

241Acuerdo de Niveles de

Servicio (SLA) kLuis Rojas Orozco, CPA CISABanco Popular y de Desarrollo Comunal,Costa Rica

En el mundo de los negocios de hoy, una grancantidad de empresas ha optado por elOutsourcing como medio para proveerse deservicios tecnológicos que tengan un impactofavorable en la calidad del servicio que brindana sus clientes y a un menor costo, si esposible. No obstante, la consecución de esosobjetivos algunas veces no es una realidad o elnegocio no ha medido su impacto.

Con el fin de mejorar las herramientasgerenciales de control de la tecnología deinformación, en los últimos años más usuariosy proveedores negocian niveles de servicio(SLA—Service Level Agreement). En estasesión, nos dedicaremos a analizar lasprincipales características y buenas prácticasen los procesos de negociación de servicios,con el fin que éstos no se conviertan en undocumento más, sino que sean verdaderasherramientas de control y mejoramientocontinuo.


❙ Presentar las características principales deun Nivel de Servicio Acordado (SLA) ycómo esta definición, puede agregar valora la organización

❙ Explicar los beneficios de establecer unadecuado SLA interno para medir lacalidad de los servicios prestados porTecnología de Información en cumplimientode los objetivos del negocio y losmecanismos de mejoramiento continuobasados en los niveles de servicioacordados

❙ Brindar ejemplos prácticos sobre lautilización de un SLA como herramienta decontrol

❙ Describir el rol del auditor, administradordel SLA, proveedor del servicio y usuarioen un SLA

311Valoración de los Recursos de TI k

Freddy Landivar Portugal, CISABanco Ganadero S.A., Bolivia

A raíz del crecimiento tecnológico de laInformación, sin un control presupuestarioadecuado y las nuevas estrategias de mercadotales como la globalización y la fusión ocompra de empresas, han surgido en elambiente de Tecnología de Información (TI)preguntas como: ¿Cuál es el valor actual de losrecursos Informáticos con los que cuenta miempresa?, ¿Cuál es el valor de los datos?¿Cuál es el valor de las aplicacionesestabilizadas? o ¿Cuál será el valor reconocidode los recursos de TI como aporte en unanueva alianza estratégica?.

Para resolver estas preguntas, se hacenecesario contar con directrices que sirvan paravalorar los recursos de TI. Por ello, en estasesión, se pretende difundir una metodologíapara efectuar dicha valoración, así comotambién -para casos de fusión o compra deempresas- determinar los recursos de TI quepodrían ser utilizados efectivamente en el girodel negocio y que servirían como aporte a unaalianza estratégica.

Continua en la paginá 6


❙ Proveer lineamientos y técnicas paradeterminar el “valor monetario” de losRecursos de TI (sistemas de aplicación,datos, instalaciones y tecnología),aplicando guías y estándares enunciadospor COBIT

❙ Establecer parámetros, indicadores demedición y escalas de valores que seaplican para determinar la vigencia y el“valor monetario” de los Recursos de TI aevaluar

❙ Afianzar conceptos a través de la aplicaciónpráctica del tema en la alianza estratégicade dos empresas

321Administración del

Desarrollo de Software acargo de Terceros k

Mauro Eidi Villela Assano Rational Software, Brasil

Muchos ejecutivos depositan su confianza enexpertos en tecnología, para agregar valor a losprocesos de negocios a partir de inversiones enTecnología de Información (TI). Ellos asumenque el milagroso poder de la TI puede subsanarcualquier error en una función de negocios. Sinembargo, la administración de TI, paraincrementar la rentabilidad en el negocio no essólo un aspecto de tecnología.

Muchas compañías entienden que eloutsourcing para el desarrollo de softwarepuede resultar ser la mejor estrategia para susnegocios. Sin embargo, las empresas quecuentan con un servicio de outsourcing dedesarrollo de software, también están teniendoun outsourcing de la inteligencia paraimplementar sus negocios—esto, ciertamente,no es el mejor enfoque para ninguna compañía.

¿Cómo manejan las organizaciones esto?¿Cómo logra una organización contratar unservicio de outsourcing de desarrollo desoftware, sin caer en un outsourcing deinteligencia de su negocio?


Los participantes de esta sesión conocerán:

❙ Las diferentes estrategias para administrarlos servicios de desarrollo de software(PMI), disponibles actualmente

❙ Consideraciones para definir correctamenteel sistema que será desarrollado por unproveedor

❙ Cuáles son las áreas de proceso definidasen la metodología COBIT, que refuerzan elcontrol sobre el outsourcing de desarrollode software

❙ Cómo medir el valor agregado en Proyectosde Software (ROI, EVA)

331Plan de Carrera hacia

IT Governance (Mesa Redonda) d

Jorge Serrano, CISASociedad Nacional de Oleoductos de Chile

Jorge Medín Hidalgo, CISAGobierno de la Provincia de Mendoza,Argentina

Johann Tello Meryk, CISAPrimer Banco del Istmo, Panamá

Lucio Molina, Focazzio, CISAAmezquita Consultores, LTD, Colombia

Elia Fernández Torres, CISA ISACA, USA

Las carreras de grado orientadas a los sistemasde información y sus tecnologías relacionadaspermiten por sus incumbencias llegar a ser unauditor especializado en este tema. Las carrerasde grado en las diciplinas de las Ciencias de laAdministración y las Ciencias Económicasapoyan para formar a un auditor interno oexterno tradicional, que también pueda estarorientado a la auditoría de sistemas deinformación.

La auditoría de sistemas necesita de lainteracción de distintas ciencias o áreas deconocimiento en la resolución de un problema,y conocimientos que junto con la capacitación,oportunidades, perfil profesional, certificaciones,recursos, planificación y perseverancia; puedenlograr que el auditor se desempeñe comogerente de sistemas de información o gerentede control de gestión y por qué no, gerentegeneral o propietario de una empresa dedicadaal control y gestión de TIs.

¿Qué líneas de carrera podemos seguir en laactualidad? Hoy día podemos distinguir unaserie de oportunidades en la carrera profesionalque abarcan el espectro del control, seguridad,auditoría y gobernabilidad de las tecnologías deinformación, que ofrecen distintas variantes anuestra profesión de auditores que ha sido lapreocupación y el motivo principal por el cualesta comunidad ha desarrollado un modelo quepermite la participación profesional dentro delas diversas areas de negocio de laorganización.

Sobre éstos temas y posibles trayectoriasprofesionales, se tratarán en esta mesaredonda.

OBJETIVOS DE LA SESIÓN :

❙ Comprobar que la auditoría debe ser elorigen de los ejecutivos de unaorganización y debería ser “el trampolín” depersonal entrenado y aceptado, convencidoauténticamente de los beneficios delcontrol y la seguridad, quien se convierteen asesor, interlocutor sobre estos temas,ante la gerencia

❙ Mostrar plan de carrera de sistemas,auditoría, seguridad y areas contables quehan trascendido en otros paises del mundo

❙ Presentar plan de carrera para quienestienen interés en crecer en el area de ITGovernance

❙ Invitar a discusión al público sobre planesde carrera en las materias mencionadas yexperiencias personales

341COBIT: Enfoque e

Implementación kTatiana Sancho VargasCorporación Banex, S.A., Costa Rica

COBIT (Control Objectives for Information andrelated Technology) es un enfoquemetodológico que optimiza la administración deTecnología de Información (TI), al ser éste unestándar de aplicación global.

Este enfoque metodológico contribuye alcumplimiento de los objetivos del negocio ypermite orientarnos hacia una Gobernabilidaden Tecnología de Información en laorganización.

PISTA 1

IT Governance y Control CONTINUACIÓN

6



❙ Dar a conocer a los participantes de estasesión, cómo el modelo COBIT provee unaadministración de TI más conveniente ysatisfactoria

❙ Conocer cómo las herramientas deimplementación son puestas en práctica, yayudan en la evaluación de TI

❙ Adecuar un modelo de implantación en laorganización

112Auditoría de Control y

Evaluación de Procesos kMario Gómez AyalaUniversidad Popular Autónoma de Puebla,UPAEP, México

En la actualidad las organizacionesempresariales y las dependenciasgubernamentales se rigen por importantesredes de sistemas informáticos, sofisticadosprogramas y costosos equipos de cómputo; esel resultado de la modernidad y del cambiocultural de las empresas, sin embargo muypocas de ellas, conocen la estructura de losPROCESOS, ahora identificados como “cadenasde valor.”

Existen innumerables elementos y factores quedeben tomarse en cuenta, antes, durante ydespués de la planeación, programación ysistematización de datos, la generación dereportes administrativos y el desarrollo deinformes estratégicos.


❙ Exponer la causa y efecto de la evolución ydinamismo de la Auditoría Interna enmateria de evaluación de controles yauditoría a procesos

❙ Identificar la jerarquía e integraciónsistémica y documentos básicos de losprocesos, facilitando la función del auditorinterno de análisis, evaluación ypropuestas de mejora, siempre bajo elobjetivo de apoyo a la alta dirección yasesoría a las áreas de gestión de laempresa

❙ Identificar la estructura ideal de la divisiónde auditoría interna, orientada a laaplicación de funciones multidisciplinarias,bajo el enfoque y principios del nuevoconcepto de “Gobierno Corporativo”aplicado en el ámbito del auditor interno

❙ Presentar el nuevo marco normativo de laauditoría interna, mediante la referenciaespecífica de sus consejos, aplicadosdentro de las normas para la práctica de laprofesión del auditor interno, en apoyo desu función de asesor—consultor delempresario moderno

❙ Demostrar la aplicación efectiva delmodelo integral de control interno COSO—COCO, desarrollando metodología yprocedimientos relacionados con loselementos del Sistema de Gestión de laCalidad ISO 9000:2000

122Cómo implementar

Auditoría de TI que AgregueValor a la Organización d

Luis Gustavo Rojas Orozco, CPA, CISABanco Popular y de Desarrollo ComunalSan José, Costa Rica

Esta sesión está dirigida a aquellosparticipantes de organizaciones que quierenimplementar una Auditoría de Tecnología deInformación o bien tienen un área de auditoríade sistemas y quieren hacer una comparaciónreferencial con las mejores prácticas en estamateria. En esta sesión se explicará cómo lasauditorías que han logrado un cambio deenfoque y han aplicado herramientas paraauditar la tecnología de información y el nivelde alineación entre esa tecnología y losobjetivos del negocio, pueden agregar valor a laorganización. El participante también conocerálos principales estándares que se deben aplicaren la auditoría de tecnología de información yaspectos generales como auditoría interna uoutsourcing y perfil del auditor de tecnología deinformación.


❙ Explicar las ventajas para una organizaciónde contar con una auditoría de tecnologíade información

❙ Definir los cambios en el enfoque de laauditoría para agregar valor a laorganización

❙ Explicar las principales características deuna auditoría de tecnología de informaciónde clase mundial

❙ Explicar el perfil, funciones y herramientasde una auditoría de tecnología deinformación

❙ Exponer las principales buenas prácticasen la auditoría de tecnología deinformación

212Participación del Auditor deSistemas en los Procesos

de Outsourcing kRicardo Zamora Caballero, CISADeloitte & Touche, México

Laura Ordoñez Meza, CISADeloitte & Touche, México

Los substanciales avances en la tecnología deinformación han provocado que el outsourcingse haya convertido en una importante decisiónestratégica para las organizaciones que buscanla reducción de costos, la eficiencia operativa yla competitividad. Sin embargo, en estabúsqueda es necesaria la participación delauditor de sistemas; ya que durante el procesode outsourcing se están entregando a untercero los controles de integridad, confiabilidady disponibilidad de la información de laorganización. Por lo tanto, es imprescindibleque el auditor de sistemas identifique losriesgos operativos y tecnológicos que sepresentan a las organizaciones durante laplanificación, selección, transición y monitoreodel outsourcing de la tecnología deinformación. El entendimiento y comprensiónde lo anterior, facilitará al auditor de sistemasdesarrollar y ejecutar procedimientos paraevaluar el control interno que se debe mantenerdurante la externalización de la tecnología deinformación a un proveedor de este tipo deservicios.


❙ Comprender el fenómeno de lasorganizaciones que están subcontratando(outsourcing)

❙ Entenderá las razones por las que eloutsourcing combinado con otras técnicas,está creando un ambiente sofisticado en larelación cliente-proveedor y en el controlinterno

❙ Conocer beneficios y problemas que sepresentan en el outsourcing

❙ Identificar los riesgos tecnológicos yoperativos que se presentan durante losprocesos de planificación, selección,transición y monitoreo del outsourcing dela tecnología de información

PISTA 2

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

7Continua en la paginá 8

❙ Conocer los elementos que conforman uncontrato de prestación de servicios deoutsourcing de tecnología de información yel apoyo del auditor de sistemas a losespecialistas legales en la revisión yaceptación de este contrato

❙ Comprender los procedimientos de controlque debe aplicar en los procesos deplanificación, selección, transición ymonitoreo del outsourcing de la tecnologíade información

222Administración del Riesgo

Reputacional por Lavado deDinero, Un Nuevo Reto del

Auditor de TI kNapoleón Imbett OteroSeguros Bolívar, Colombia

La sesión tiene el propósito de involucrar alAuditor de T.I, en el conocimiento y dominio delos aspectos relacionados con el concepto de“Administración del riesgo reputacional porlavado de dinero y luego invitarlo a entender,¿cómo? mediante un modelo lógico ysistemático, la empresa está en capacidad dedisminuir su nivel de exposición al RiesgoReputacional por operaciones de lavado dedinero, pero sobre todo: Identificar el papelpreponderante que tiene el Auditor de TI, en elmonitoreo del proceso de Administración delRiesgo.


❙ Revisar el efecto que sobre los procesos deadministración de riesgo en la empresa hantenido sucesos tales como los del 11 deseptiembre de 2001, la guerra contra elterrorismo internacional y la lucha contra eltráfico de dogas ilícitas, los cuales handado lugar a un nuevo o renovadoconcepto del Riesgo Reputacional

❙ Entender el concepto de RiesgoReputacional y el Rol del Auditor de TI en elproceso de Administración del mismo

❙ Presentar un método lógico y sistemático,mediante el cual se Identifican, Analizan,Evalúan, Tratan y se monitorean, los riesgosasociados a la pérdida de reputación de laempresa por el evento de verse éstainvoluntariamente involucrada en unaoperación internacional de lavado de dinero

232Due Dilligence en la Gestión

de Auditoría de TI dJorge Alberto Flores SagastumeSuperintendencia de AdministraciónTributaria, Guatemala

La intención de esta sesión es orientar a losparticipantes en los aspectos legales queinvolucra la gestión de la Auditoría de laInformación, en cuanto a que los hallazgospueden constituir instrumentos probatorios enprocesos administrativos, civiles y judiciales. Enlos procesos, normativa y procedimientos deAuditoría Informática se deben observar reglas,políticas y legislación que coadyuven afortalecer el control interno, el marco legaladministrativo y jurídico del quehacer de lascompañías en su gestión.

Es necesario que al aplicar técnicas y tecnologíaen las actividades de la Auditoría Informática,también se respalde la práctica del auditor ysus resultados, a la luz de la transparencia de lagestión del auditor y la objetividad de losresultados.


❙ Conocer las implicaciones legalesinherentes a los hallazgos y resultados dela auditoría informática

❙ Explicar métodos para documentar loshallazgos de la autoría informática, comopruebas en procesos legales

❙ Identificar el marco legal en la tipificaciónde delitos informáticos

242 Aplicación del BSC en laAuditoría de Sistemas c

José Geraldo BaldoACTIVA Consulting, Brasil

Fabiano Castello, CISADeloitte Touche Tomatsu, Brasil

La Metodología COBIT recomienda el BalanceScore Card (BSC) como una alternativa idealpara la reorientación contínua de los Objetivosde auditoría de sistemas con los objetivos denegocio. Precedida de una evaluación de riesgode negocio, asociada a una estructura de BSC

adecuada, la gestión estratégica de TI se vuelveun abordaje afinado con los ambientes denegocios dinámicos internos y externos de laorganización.

Una pronta identificación de riesgo, control,monitoreo y comunicación de estas cuestionesclave de TI, por medio de un cuadro dereferencia y un lenguaje común, abren laspuertas para todos los escalones y funciones dela organización. Esa combinación se convierteen un desafió -Alinear la Tecnología deInformación con los Negocios- logrando así, unalabor verdaderamente generadora de valor.


❙ Describir el Balance Score Card (BSC) y surelación con tecnología de información

❙ Identificar puntos de asociación entre lametodología COBIT y el BSC

❙ Establecer el uso del BSC dentro delproceso de auditoría en TI

❙ Describir cómo agregar valor alineando latecnología de información con los objetivosde negocios y BSC

312Técnicas de Auditoría

Aplicadas a la Ingeniería de Software k

Pablo Caneo Gutiérrez, CISAUltramar Agencia Marítima Ltda., Chile

La Ingeniería de Requerimientos cumple unpapel primordial en el proceso de producción desoftware, ya que enfoca un área fundamental: ladefinición de lo que se desea producir.

Estudios realizados muestran que más del 53%de los proyectos de software fracasan por norealizar un estudio previo de requisitos.

De ahí la importancia de contar conmetodologías adecuadas que permitan realizarun buen análisis de requerimientos. Lametodología que se propone reúne laexperiencia práctica de utilizar diferentestécnicas buscando lo mejor de cada una deellas, para de esta forma poder adquirir losrequerimientos del sistema que se va aconstruir. El auditor debe ser capaz de realizaruna auditoría a los requerimientos, paradeterminar que estos son los necesarios para elnegocio y lo que el cliente desea, evitandoproblemas a futuro. Se trata de ser proactivos,un control preventivo es diez veces mejor queun control detectivo.

PISTA 2

Auditoría de Sistemas de Información CONTINUACIÓN

8


❙ Enseñar una metodología de desarrollo desoftware

❙ Determinar los principales problemasexistentes en el desarrollo de software hoyen día

❙ Enseñar al auditor una metodología queune lo mejor de dos técnicas ampliamenteusadas hoy en día (Análisis Estructurado yUML)

❙ Incorporar al auditor en ser partícipe dedefinición de normativas de desarrollo

322Participación del Auditor deSistemas en un Proceso de

Revenue Assurance kRicardo Zamora Caballero, CISADeloitte & Touche, México

Laura Olivia Ordoñez, CISADeloitte & Touche, México

A pesar de que el principal objetivo decualquier compañía es generar mayor ingresopara sus dueños y/o socios, pocas tienen unárea específica y/o responsable delaseguramiento del ingreso. En empresas conalto número de transacciones comercialesasociadas a sus clientes, sistemas deinformación desintegrados y comunicados entresí mediante interfases, actividadessemiautomáticas o manuales, es frecuenteencontrar problemas recurrentes con laintegridad de la información del cliente entrelos sistemas operativos, administrativos y defacturación. Mientras más desintegración yprocesos manuales existan, las ventanas parala realización de actividades dolosas (riesgosde seguridad) se amplían. El entendimiento ycomprensión de lo anterior, facilitará al auditorde sistemas desarrollar y ejecutarprocedimientos para evaluar el control internode sistemas en un proceso de aseguramientodel ingreso.


❙ Conocer qué es y cómo se hace elaseguramiento del ingreso

❙ Entender por qué es necesario contar conun proceso de aseguramiento del ingreso

❙ Conocer los problemas recurrentes enintegridad de información de los clientes,los riesgos de seguridad, áreas deoportunidad e impactos sobre elaseguramiento del ingreso

❙ Conocer los beneficios de contar con unárea o proceso de aseguramiento delingreso

❙ Conocer y entender un enfoque para elaseguramiento del ingreso

❙ Identificar los beneficios del aseguramientodel ingreso

332Auditoría en el ERP

SAP R/3 dAlfredo Pereira TamayoCOLOMBINA S.A., Colombia

SAP al cubrir el concepto de ERP y ser unaplicativo integrado entre sus diferentesmódulos que lo componen, conlleva inmersosalgunos riesgos que suponen manejar un tipode sistema de información como éste.Adicionalmente por ser un aplicativo separadode las plataformas de bases de datos hacetambién que se deba tener controles sobreéstas aunque ya se tengan sobre SAP R/3. Losriesgos en los que incurre una organización consu información al tener un sistema integrado dela magnitud de un ERP como SAP R/3 haceque se requiera un estricto control de seguridadpara permitir un nivel alto de auditoría.


❙ Conocer el entorno de controles que poseeSAP R/3

❙ Entender los conceptos de autorizaciónque se manejan en SAP R/3

❙ Plantear esquemas de Auditoría sobre unERP con las características de SAP R/3

❙ Revisar la arquitectura que posee SAP R/3para lograr implementar controles sobre laBase de Datos y el ERP de SAP R/3

342La Auditoría Frente al

Manejo del DocumentoElectrónico k

Ramiro Merchán Patarroyo, CISAUniversidad Catolica de Colombia, Colombia.

A pesar que desde hace ya algunos años existela tecnología para el manejo del documentoelectrónico y que los gobiernos han legislado suadministración y manejo, son pocas lasorganizaciones que han incursionado de llenoen este mundo. Normalmente lasorganizaciones manejan su información demanera heterogénea: Comunicaciones porcorreo normal, e-mail, faxes, imágeneselectrónicas, pudiendo afirmar que lainformación de los procesos del negocio seencuentra dispersa sobre la red decomputadores y las instalaciones físicas de lascompañías. Esta sesión brinda las principalesconsideraciones para una adecuadaadministración de los documentos y lascomunicaciones electrónicas de lasorganizaciones bajo apropiados principios deseguridad y auditoría.


❙ Conocer la legislación fundamental sobreel manejo de documentos y mensajeselectrónicos

❙ Conocer las características técnicas dehardware y software de digitalización yalmacenamiento de imágenes

❙ Comprender las implicaciones del manejode archivos de documentos electrónicos ymensajes electrónicos. Impacto sobre laforma de operar de las organizaciones

❙ Conocer las expectativas de seguridad yauditoría que se deben satisfacer en elmanejo del documento electrónico

9Continua en la paginá 12


10

2003 Latin America CACS

São Paulo, Brasil

8:30-10:00 10:30-12:00 13:30-15:00 15:30-19:30 8:30-10:00 10:30-12:00

PISTA 1


Lunes, 13 de Octubre, 2003 Martes, 14 de

Metodología parael Desarrollo de

Planes deContinuidad de

Negocios

Marcos Ricardo RiveraValdovinos y Gustavo

Méndez Pérezd

Ricardo ZamoraCaballero y Laura

Ordoñez Mezak

Alirio FernandoIzquierdo Duarte

k

111

Control deMigración de

Sistemas

121

Administración deRiesgos de

Tecnología deInformación

211

IT GovernanceAlineado con el

Negocio

PISTA 2

Auditoría de Sistemas deInformación

Auditoría deControl y

Evaluación deProcesos

112

CómoImplementar

Auditoría de TIque Agruegue

Valor a laOrganización

122

Participación delAuditor de

Sistemas en losProcesos deOutsourcing

212

Administracióndel Riesgo

Reputacional porLavado de Dinero,

Un Nuevo Retodel Auditor de TI

PISTA 3

Seguridad de Sistemasde Información

PlaneaciónEstratégica y

GestiónOperacional de la

Seguridad deInformación

113

Impacto deSarbanes-Oxley yla Relevancia delos Conceptos de

COBIT y COSO.

123

Concientizaciónde Seguridad

(SecurityAwareness)

213

Redes VirtualesPrivadas y su

Implementaciónen Cómputo Móvil

223

PR

ES

EN

TA

CI

ÓN

I

NA

UG

UR

AL

AS

SO

CI

AÇ

ÃO

B

RA

SI

LE

IR

A

DE

B

AN

CO

S

(A

BB

C)

SE

SI

ON

ES

E

DU

CA

TI

VA

S

DE

P

RO

VE

ED

OR

ES

Nota: Sessões que serão apresentadas em português. (Sesiones que serán presentadas en Portugués.)

Todas as demais sessões serão apresentadas em espanhol. ( Todas las demás sesiones serán presentadas en Español.)

Todas as sessões terão tradução simultânea para espanhol ou português, conforme aplicado.(Todas las sesiones tendrán traducción simultánea al Español ó al Portugués, según corresponda.)

221

Wilson Gellacic

c

Mario GómezAyalak

Luis GustavoRojas Orozcod

Edison Fontes

k

Federico Servideo

k

Antonio de Sousa

d

Fernando Nikitin

k


Ordoñez Mezak

Napoleón ImbettOterok

222

8:30-10:00 10:30-12:00 13:30-15:00 15:30-17:00 9:00-17:00

T A L L E R E S

Valoración de losRecursos de TI

311

Plan de Carrerahacia IT

Governance(Mesa Redonda)

331

Administracióndel Desarrollo deSoftware a cargo

de Terceros

321

COBIT: Enfoque e Implementación

341

Implementación de COBIT

WS1

Aplicación delBSC en la

Auditoría deSistemas

242

Auditoría en ERPSAP R/3

332

Participación delAuditor de

Sistemas en unProceso de

RevenueAssurance

322

Técnicas deAuditoría

Aplicadas a laIngeniería de

Software

312

La AuditoríaFrente al Manejodel Documento

Electrónico

342

Internet Banking, el Desafío y sus Riesgos

WS2

Implementando elProyecto de

Seguridad de laInformación

333

Impacto Legal delos Sistemas que

Operan sobreInternet

323

Administración deIdentidad(Identity

Management)

313

Implementaciónde la Seguridaden un Workflow

(Flujo deProcesos)

343

Infraestructura de Seguridad Control yCómputo Forense Frente a Incidentes

WS3

13:30-15:00 15:30-17:00

Miércoles, 15 de Octubre, 2003 Jueves, 16 de Octubre,2003

Acuerdo deNiveles de

Servicio (SLA)

241

Due Diligence enla Gestión de

Auditoría de TI

232

Certificación deSistemas (System

Certification)

233

Creación deAplicaciones—

Procesos Seguros:una Metodología

Holística, Prácticay Auditable

243

Luis Rojas Orozco

k

Freddy LandívarPortugalk

Mauro Eidi VillelaAssanok

Tatiana SanchoVargas

k

Antonio de Sousa, Eugênio Pachelli Lacerda y Juan de Dios Bel

Mesa Redonda — Invitados: Tatiana Sancho, Jorge Hidalgo

Jorge Serrano, JorgeMedín Hidalgo, Johann

Tello Meryck, LucioMolina, Focazzio, Elia

Fernández Torresd

Rediseño deProcesos comoHerramienta delGobierno de TI.Una Experiencia

Práctica conCOBIT.

Ana IsabelToculescu Ottk

231

Jerri Ribeiro María CristinaLedesmak

Sérgio AlexandreSimõesk

Alexander Zapata

d

Carlos HenriqueJanibellik

Lilia Liu

k

Milthon Chávez, Eduardo Massa y Ricardo Theil

Jorge AlbertoFlores Sagastume

d

José GeraldoBaldo y Fabiano

Castelloc

Pablo CaneoGutiérrezk


Olivia Ordoñezk

Alfredo PereiraTamayod

Ramiro MerchánPatarroyok

Marcelo Héctor González

Octubre, 2003

d Básico k Intermedio c Avanzado

113Planeación Estratégica yGestión Operacional de la

Seguridad de Información kEdison Fontes, CISA GTech, Brasil

Presentar un abordaje práctico de los diferentesaspectos a tener en cuenta al definir laestrategia de protección de la información.

Describir las acciones que posibilitan laejecución y el funcionamiento de un proceso deseguridad de la información.


❙ Plantear el proceso de seguridad de lainformación

❙ Comprender el necesario alineamiento conlas iniciativas de negocio

❙ Describir el área de seguridad de lainformación— Estructura— Responsabilidades y funciones

❙ Definir la arquitectura de seguridad de lainformación

❙ Plantear y lograr el compromiso del usuario ❙ Definir acciones de protección

123Impacto de Sarbanes-Oxley

y la Relevancia de los Conceptos

de COBIT y COSO kFederico Servideo, CISA Socio en Global Risk Management Solutions,Brasil

La legislación Sarbanes-Oxley, promulgada en2002, cambiará radicalmente el rol de auditoríainterna y externa, así como el de ejecutivoscorporativos. Dado que las reglas han sidodefinidas recientemente y la fecha límite de

implementación se acerca rápidamente, losinversionistas se envrentan a retos significativos.Esta sesión, examinará aspectos de las nuevasreglas y del impacto que tendran sobre elgobierno corporativo de la tecnología deinformación, así como la relevancia de COBIT yCOSO en relación a esta nueva legislación.


❙ ¿Por qué se promulgó Sarbanes-Oxley?❙ Presentar el ambiente regulatorio y

principios clave de la sección 302, 404 deSarbanes-Oxley en relación a la tecnologíade información

❙ Entender los desafios de los reportes deSarbanes-Oxley

❙ Estrategias y acciones para alcanzar elcumplimiento de los reportes

❙ Identificación de problemas a sercomunicados a los altos ejecutivos ycomités de auditoría, en relación a riesgosorganizaciones en el ambiente detecnología de información

213Concientización deSeguridad (Security

Awareness) dAntonio de SousaPresidente de ISACA BrasilFundador de la Big Five Consulting (B5C),Brasil

La tecnología está disponible para todosigualmente. No obstante la manera en que se lautiliza puede ser un factor de diferenciación yhasta de competitividad en las empresas. Elfactor humano es muy importante para asegurarque los controles sean adoptados por todos losusuarios, técnicos y gestores. El disertanteentiende que la seguridad es un compromiso detodos en la organización y pretende demostrarcuáles son los pasos importantes para laimplementación de una campaña deconscientización de seguridad de informaciónefectiva.


❙ Entender el proceso de seguridad ❙ Repasar algunas estadísticas sobre

problemas de seguridad ❙ Presentación de un video sobre seguridad:

espionaje industrial y uso del e-mail❙ Directrices para el manejo de la seguridad y

el e-mail

223Redes Virtuales Privadas y

su Implementación enCómputo Móvil k

Fernando Nikitin, CISA Banco de la República Oriental del Uruguay,Uruguay

El crecimiento de las telecomunicaciones y laexplosión de Internet, continúa impulsandonuevas tecnologías y nuevos escenarios talescomo lo que se ha dado en llamarse “CómputoMóvil” conforme al intensivo uso de dispositivosportátiles conectados a la Internet. En esteescenario, está tomando protagonismo latecnología de “Redes Privadas Virtuales (VirtualPrivate Networks—VPN)”. Muchasorganizaciones están aprovechando laoportunidad para reemplazar conexiones de redprivadas, por enlaces hacia localidadesremotas, con simples conexiones deproveedores de servicios de Internet. Y, ¿quéentonces sobre la seguridad? ¿Puede latecnología ser auditada? VPN es consideradacomo una tecnología que ha de llevar ventajasobre lo mejor de ambos mundos: las redesprivadas, dentro de un esquema de menorcosto constituido por la carretera de la redpública. Esta sesión informativa, examinaráambas, tanto la tecnología como los mitos alrededor de las VPN’s. Proporcionará alparticipante una mayor comprensión de lasVPNs para ilustrar y fortalecer los conceptospresentados.


❙ ¿En qué consisten las VPNs? ❙ Su relación con el escenario de “Cómputo

Móvil”❙ Los beneficios de impulsar la tecnología de

VPNs ❙ Los aspectos que un auditor debe cuidar

respecto a VPNs ❙ Un resumen respecto a la Seguridad ❙ Los proveedores principales que ofrecen

esta tecnología, realidad vs. vaporware

PISTA 3

SEGURIDAD DE SISTEMAS DE INFORMACIÓN

12


13

233Certificación de Sistemas

(System Certification)Jerri Ribeiro, CISA PricewaterhouseCoopers, Brasil

La complejidad y diversidad tecnológica actualen un mundo global e interconectado, obliga afijar y compartir ciertos estándares deSeguridad mínimos que permitan a lasempresas hacer frente a los innumerablesriesgos provenientes de la red, logrando almismo tiempo cumplir los objetivos de negocioy protegen los activos de los clientes. En estemarco es vital la implementación de laseguridad en los distintos sistemas de laempresa y la certificación de estos, lograndoasí un valor agregado y ventaja competitiva.


❙ Presentar y discutir los temas involucradosen los proyectos de certificación desistemas

❙ Presentar las categorías de certificación desistemas con el objetivo de brindar a laaudiencia una idea práctica de estosemprendimientos y sus implicaciones

❙ Presentar casos prácticos de ejemplos delmercado

❙ Concluir y proyectar el futuro de lascertificaciones de sistemas en el contextocada vez más complejo de las necesidadesde seguridad de las empresas

243Creación de Aplicaciones—

Procesos Seguros: unaMetodología Holística,Práctica y Auditable k

María Cristina Ledesma, CISA, CISMCitibank NA, Uruguay

Las exigencias de los mercados y la dinámicade atención a los requerimientos tecnológicosque surgen como consecuencia de lo anterior,han promovido la disciplina de la ingeniería desoftware y han adquirido protagonismometodologías tales como la denominada “Ciclode Vida del Desarrollo de Software” (SDLC). Eneste contexto, resulta indispensable definir ypresentar una metodología alineada a la

política de Seguridad que permita en todomomento crear aplicaciones seguras, suadministración y el mantenimiento de dichoestado. Esta presentación mostrará técnicaspara el mantenimiento y adecuación de dichametodología a las políticas y prácticas deseguridad de la información corporativas, a lavez de evidenciar el valor agregado de dichametodología en términos de ahorros y retornode la inversión.


❙ Presentar la necesidad de la metodología ❙ Presentar las características de la

metodología para que esta asegure elmantenimiento del status de lasaplicaciones—procesos

❙ Presentar la vinculación de la metodologíacon el ciclo de desarrollo de sistemas(SDLC) en términos del beneficio en loscostos de desarrollo y la maximización delretorno de la inversión (ROI)

❙ Presentar la metodología en formapráctica, casos reales

❙ Concluir los métodos para manteneractualizada la metodología y elseguimiento de los problemas pendientes

313Administración de Identidad(Identity Management) k

Sérgio Alexandre Simões PricewaterhouseCoopers, Brasil

La inclusión de actividades transforma laestrategia de seguridad en tecnologías yprocesos que ayudan a lograr los objetivos denegocios en una compañía. Estas tecnologías yprocesos sirven para proteger los activos de lainformación y permiten el acceso a ellos. Elacceso debe incluir la administración deidentidad (autenticación, control de acceso yadministración de usuarios) , así como elcumplimiento de las reglas de negocios.


❙ Entender las formas de incluir y excluirusuarios en un ambinete complejo detecnología de información y negocios

❙ Entender los elementos principales de laseguridad del acceso

❙ Explicar cómo planificar, diseñar eimplementar una arquitectura de permisosde usuarios

❙ Se presentará un caso de estudio prácticosobre el éxito en los accesos de usuarioscon una perspectiva de negocio

323Impacto Legal

de los Sistemas que Operan sobre Internet d

Alexander Zapata, CISAKPMG, Colombia

El Internet facilitó el acceso inmediato eilimitado a la información, eliminó las barrerasgeográficas entre personas y empresas decualquier lugar del mundo, y facultó laconcepción de los negocios a escala global,soportados en sistemas de información.

Aún cuando la tecnología del Internet ofreceindiscutibles ventajas para el presente y futurode los sistemas de información que lascompañías implementen, también ha generadoserias consideraciones legales en lo referente alas normas de contratación, a la aplicación delos derechos de autor y la protección de laprivacidad de la información de los usuarios,por lo que son aspectos claves que el Auditorde Sistemas debe considerar aún cuando nocorrespondan específicamente a loscomponentes técnicos de las soluciones.


❙ Revisar los componentes técnicos que serequieren para implementar y soportar laoperación de un sistema de informaciónque se accesa desde Internet

❙ Conocer los aspectos legales que puedenafectarse con la implementación yoperación de un sistema de informaciónque es accesado desde Internet (Nombresde dominio, derechos de autor, privacidadde información, entre otros)

❙ Conocer casos internacionales dedemandas y litigios ocasionados porinfracciones de marcas, derechos de autory privacidad de información

❙ Proponer un esquema de auditoría a losaspectos técnico-legales claves en laimplementación de un sistema deinformación en Internet

❙ Compendio general de las legislaciones enmateria de Internet de los distintos paisesde la región latinoamericana

333Implementando el Proyecto

de Seguridad de laInformación k

Carlos Henrique JanibelliSchlumbergerSema do Brasil Ltda., Brasil

Cada vez más las empresas se están dandocuenta que la Seguridad debe ser consideradacomo un proyecto global y complejo queabarque todos los aspectos de esta temática,desde los puramente tecnológicos como habíasido el alcance tradicional, hasta los aspectoshumanos vinculados al entrenamiento yconcientización de los empleados y clientes.

En este marco todos los participantes, usuarios,procesos, y tecnología, deberían tenerclaramente definidos cuál es su función,responsabilidad y metodologías que aseguren elcumplimiento de la política de Seguridad, deforma tal de minimizar los riesgos de la empresay maximizar el cumplimiento de los objetivos denegocio.

Se abordarán conceptos de Seguridad de lainformación tales como políticas, estándares,mejores prácticas, necesidad de recursos,vulnerabilidades, y la forma de implementar el

modelo de seguridad en tecnología informática,sus fases, sus dificultades, recursos con queuna empresa debe contar para implementar,costear, monitorear y controlar dicho modelo deseguridad, incluyendo las mejores prácticas denegocios.


❙ Necesidades del Mercado❙ Metodología aplicada❙ Ejemplo de un proyecto de seguridad

343Implementación de la

Seguridad en un Workflow(Flujo de Procesos) k

Lilia Liu, CFEAIT Consulting, S.A., Panamá

Los sistemas de Flujo de Procesos (workflow)han evolucionado en forma muy rápida de talforma que ha ido incrementándose el númerode empresas que explotan este tipo detecnologías. La automatización de procesos queinvolucran una combinación basada enactividades humanas y de sistemas ha logradoque en muchas organizaciones se reduzcan

procesos redundantes y se detecten losllamados “cuellos de botella” logrando asímayor eficiencia y efectividad en los procesosde negocios.

En un entorno de workflow es necesarioestablecer estándares de seguridad quepermitan llevar un mejor control de lasactividades diarias.


❙ ¿Qué es un workflow y cómo funciona?❙ Conocer los estándares en un ambiente de

workflow❙ Conocer acerca de las consideraciones de

seguridad desde el contexto workflow:autenticación, autorización (control deacceso), confidencialidad, integridad dedatos y no repudiación

❙ Se explicará sobre la segregación defunciones de los usuarios (roles y tareas)

❙ Explicaremos el riesgo existente sobre lascomunicaciones en la red y el Internet

❙ Se mostrarán diferentes escenarios deimplementación de la seguridad en unworkflow

❙ Cómo debe aplicarse los estándares COBITen un sistema workflow

Estos y otros aspectos relevantes serán tratadosdurante esta sesión.

PISTA 3

SEGURIDAD DE SISTEMAS DE INFORMACIÓN CONTINUACIÓN

14

WS1Implantación de COBIT

Antonio de SousaPresidente ISACA, São Paulo, BrasilBig Five Consulting (B5C)

Eugênio Pachelli LacerdaISACA, São Paulo, Brasil

Juan de Dios BelIT Assurance & Control, S.A., Argentina

Para tener un adecuado gobierno de TI (ITGovernance), es necesario utilizar metodologíasreconocidas y consolidadas internacionalmente.Los cambios constantes de la tecnologíaimponen una serie de demandas tanto para los

profesionales de TI como para los auditores desistemas. COBIT es la respuesta para dichasdemandas desde la definición de indicadoresclave de meta, hasta indicadores clave dedesempeño. El taller estará enfocado a ITGovernance, para quienes están en la práctica,identificando riesgos e implantando controles, anivel organizacional en materia de TI.

Este taller requiere que los participantes tenganconocimiento de la estructura de COBIT. Lossiguientes tópicos serán presentados en estetaller:

❙ Cómo utilizar las herramientas de softwarepara proyectos de implementación de COBIT

❙ Estrategias de implementación de COBIT através de casos de estudio (i.e. Experienciaen el sector financiero de Paraguay y ensucursales de importantes bancos de Brasil)

❙ Ejercicios prácticos de implementación delos procesos de outsourcing y de Acuerdosde Niveles de Servicios

❙ Mesa redonda con expertos enimplementación de COBIT

❙ Tendencias de COBIT


❙ Revisar los componentes de COBIT❙ Presentar abordajes distintos de

implementación❙ Demostrar herramientas para implementación

de COBIT❙ Presentar las tendencias y próximos pasos de

COBIT

TALLERES

15

WS2Internet Banking, el Desafío

y sus RiesgosMarcelo Héctor González, CISABanco Central de la República Argentina,Argentina

El desarrollo tecnológico está cambiando cadadía más el modo en que las entidadesfinancieras realizan sus negocios alrededor delmundo. La tecnología de Internet está dando alos bancos la posibilidad de ofrecer a susclientes, un amplio rango de servicios que vaconstantemente en aumento, dentro delciberespacio (Internet).

Muchas entidades financieras en el mundodesean proveer sus servicios usando la WorldWide Web, lo cual tiene muchas ventajas,como reducir los costos de operación, permitirque los usuarios reciban servicios las 24 horasdel día, los 365 días del año, y tambiénpueden crear oportunidades en nuevos ymejores servicios a los clientes. Sin embargo,los sistemas electrónicos y la infraestructuraque le da soporte son susceptibles desituaciones de abuso, mal uso y fallas enmuchas de sus formas.

Como un gran perjuicio puede ocurrir acualquiera de las partes intervinientes en lastransacciones por medio de Internet, laseguridad se torna de suma importancia paratodo tipo de transacción, y más aún para lasde tipo financiero. Todo movimiento de datosque circula por el ciberespacio debería estarprotegido con alguna de las técnicas másdifundidas para este tipo de transacciones enla World Wide Web.

Por lo expuesto, es relevante que el auditor desistemas identifique los riesgos operativos quese presentan a las organizaciones durante todoel ciclo de la banca sobre Internet.


❙ Enunciar el desarrollo que ha tenido laBanca Electrónica y sus diversos canales dedistribución, como ser: ATMs, Internetbanking, phone banking, Mobil banking, etc.

❙ Entender los desafíos que presenta elInternet banking

❙ Clasificación internacional de laexteriorización en Internet banking

❙ Brindar una visión general del esquemaoperacional de la Internet banking

❙ Comprender del fenómeno de la BancaVirtual y del Mobil banking

❙ Reconocer las oportunidades y amenazasdel Internet banking y las implicanciaspara el regulador y para el auditor

❙ Riesgos tradicionales de la actividadbancaria y el impacto por el Internetbanking

❙ Principios de manejo del riesgos en BancaElectrónica según el BIS (Bank forInternational Settlements—BASILEA)

❙ Entender la preocupación de operacionesCross-Border

❙ Analizar la implementación de controles❙ Formulación e implementación de sanas

practicas, tales como: Encripción, Firmadigital, IPSec, WAP, Seguridad, Controlesgenerales, Conozca a su cliente, etc.

❙ Análisis del programa de auditoria paraBanca Electrónica de la OCC—Comptrollerof the Currency, Administrator of NationalBanks, USA

❙ Adecuación del COBIT para la auditoria de laBanca Electrónica y en particular para elnegocio bancario

❙ Cometar la Internet Banking Guideline deISACA

❙ Sección de discusión y preguntas

WS3Insfraestructura deSeguridad, Control y

Cómputo Forense Frente aIncidentes

Milthon Chávez, CISAMCH Consultoría Integral, C.A., Venezuela

Eduardo Massa, CISAEJM Consulting, Argentina

Ricardo TheilCâmara Brasileira de Comércio Eletrônico,Brasil

El Computo Forense dentro trasciende elámbito de la Seguridad en Tecnología deInformación y combinado con otras disciplinasconstituye un bastión de prevención y defensafrente a los Delitos Informáticos en el ámbitocorporativo.

En esta conferencia se analizan la arquitecturay los procesos que influyen en los servidores yla red corporativa, su impacto dentro de laEmpresa así como el ambiente en el que segesta la actividad.

Las evidencias digitales son alteradas yborradas con mayor facilidad que otro tipo depruebas. Las técnicas modernas de computoforense permiten rastrear y recuperar datos de

los diferentes tipos de computadores, redes dedatos y proveedores de servicios.

Se exponen las estrategias adoptadas paraenfrentar un ambiente corporativo sometido amasivos incidentes informáticos con finesilícitos. En la conferencia se describe lasacciones de recopilación, análisis, tratamiento yconclusiones obtenidas para fortalecerestrategias de prevención. Los contenidos seilustran con información de casos reales.


❙ Exponer los conceptos básicos deComputación Forense

❙ Explicar por qué los problemas deseguridad están implícitos en el diseño dela tecnología

❙ Explicar el nuevo paradigma de seguridad ycomo lo explicamos a los no técnicos

❙ Analizar la arquitectura y los procesos queinfluyen en la tecnología utilizada y suimpacto dentro de la organización

❙ Analizar el ambiente en el que se gesta laactividad, los riesgos y ataques

❙ Conocer los métodos y herramientas deataque de mayor uso

❙ Establecer las estrategias preventivas deSeguridad que aportan fortaleza al procesode investigación integral de delitosinformáticos

❙ Describir el proceso de análisis yprincipales experiencias obtenidas en unambiente de múltiples Delitos informáticosen una corporación

❙ Exponer conclusiones del proceso deinvestigación para aplicar en laadministración de riesgos

❙ Justificar la importancia del trabajomultidisciplinario en la investigación deDelitos informáticos.

ESTE TALLER ES DE INTERÉS PARA:

❙ Auditores Internos y Externos, de Sistemasy TI

❙ Ejecutivos, Directores y Gerentes deInformática

❙ Ejecutivos, Directores y Gerentes condecisiones sobre temas de seguridad

❙ Profesionales de Seguridad de Sistemas,Redes, Internet

❙ Profesionales de Informática yTelecomunicaciones

❙ Profesionales de Protección y SeguridadIntegral

❙ Responsables de Planes de Contingencia yContinuidad del Negocio

❙ Autoridades y funcionarios vinculados a laprevención, detección y represión dedelitos informáticos

TALLERES CONTINUACIÓN

Fechas de la ConferenciaDomingo 12 de octubre a miércoles 15 deoctubre de 2003

Talleres después de la conferencia el Jueves 16de octubre de 2003

RegistroFechas y horas de registro e informacióngeneral:

Domingo 12 de octubre . . . . . . . . . . . . . . . de 18:00 a 20:00 hrs.

Lunes 13 de octubre. . . . . . . . . . . . . . . . de 7:00 a 17:00 hrs.

Martes 14 de octubre. . . . . . . . . . . . . . . . de 8:00 a 17:00 hrs.

Miércoles 15 de octubre. . . . . . . . . . . . . . . . de 8:00 a 17:00 hrs.

Jueves 16 de octubre (Talleres después de la Conferencia) . . . de 7:00 a 11:00 hrs.

Fechas y horas deInfoExchangeExhibiciones de InfoExchange…lunes 13 de

octubre de las 15:30 a las 19:30 hrs.

Cena de Recepción de proveedores…lunes 13de octubre de las 17:30 a las 19:30 hrs.

Sesiones educativas de proveedores…lunes 13de octubre de las 15:30 a las 19:30 hrs.

País SedeLa Conferencia tendrá lugar en la ciudad de SãoPaulo en Brasil, la cuarta ciudad más grandedel mundo. São Paulo oferece una granvariedad de atractivos a los visitantes, cuentacon 223 sala de cine, 92 teatros, 11 centrosculturales y 70 museos. Entre ellos se destacael MASP, Museo de Arte de São Paulo,localizado en la Av. Paulista, el corazóneconómico da la ciudad. Otro importante factorde diferencia del comércio de São Paulo son lascalles de comercio especializado. Hay 42opciones de regiones en la ciudad que seconcentran en la comercialización dedeterminados productos que van desdeartículos de cuero, discos raros, hastaatingüedades. Este segmento también cuentacon 50 centros comerciales, galerías de arte yferias de artesanía. São Paulo cuenta conmuchas atracciones para las personas a las queles gusta la vida agitada y sofisticada. Lasopciones de compras, parques temáticos eculturales, ocio y entretenimiento, gastronomía yvida noctuma son inagotables. Si a usted leinteresan los monumentos históricos, visite lasiglesias de la ciudad, particularmente elConvento Nossa Senhora da Luz, construido en1579.

Sitios de web recomendables:

Turismo www.brazilsite.com.br www.brasilviagem.com

Previsión del tiempo en São Paulo:br.weather.yahoo.com/america_do_sul/Brasil/

ALOJAMIENTOCada participante es responsable de hacer supropia reservación, llamando directamente al:

Hilton São Paulo MorumbiAv. Das Nações Unidas 12.901 04578-000 São Paulo, Brasil

Teléfono: 55.11.6845.0000Fax: 55.11.6845.0001Web site: www.hilton.com

Tarifas de las habitaciones: US $120 por noche(Sencilla/Doble)

Tarifas disponibles tres (3) días antes y tres (3)días después de la fecha de la conferencia.

Fecha límite para las reservaciones es el 24 deseptiembre de 2003.

Habrá estacionamiento disponible paraasistentes a la conferencia, a una tarifa de US $6 por día.

Descripción del HotelEl hotel Hilton São Paulo Morumbi se encuentraen el distrito Berrini, como parte del complejodel centro de negocios CENU. Ha sidoclasificado como un htel de verdadero lujo, conun atrio de vidrio como sala de recepción y 485espaciosas habitaciones que incluyen cuatropisos ejecutivos, ocho habitaciones derelajamiento y 25 suites para su comodidad. Elhotel cuenta con 14 instalaciones completas yflexibles para llevar a cabo reuniones, un Clubcontemporaneo y Spa, dos bares, y dosrestaurantes con conceptos creativos ydistintivos que permitirán exceder lasexpectativas del huesped.

Transporte LocalSi usted llega al aeropuerto InternacionalGuarulhos, estará a una distancia de 35 km delhotel. Tiempo estimado de transporte 35minutos. Costo típico de taxi US $30.

Si usted llega al aeropuerto Congohnas(doméstico), estará a una distancia de 8 km delhotel. Tiempo estimado de transporte 15minutos. Costo típico de taxi US $8.

Si usted llega al aeropuerto Viracopos, estará auna distancia de 120 km del hotel. Tiempoestimado de transporte 70 minutos. Costo típicode taxi US $90.

Tarifa mínima de renta de auto es de US $75

InfoExchangeLatin America CACS ofrece una exhibición deproveedores. InfoExchange reúne a estosproveedores con el fin de que usted tenga laoportunidad de conocer lo mejor de losproductos disponibles más avanzados deTecnología de Información para ayudarnos a sermás efectivos y eficientes. Debido al éxitoobtenido en años anteriores, nuevamentetendremos las Sesiones Educativas de losExpositores, impartidas por nuestrosproveedores cuando no se estén desarrollandootras sesiones, lo que proporcionará otraoportunidad para discutir y observar en detallelas demostraciones de productos, así comoobtener información sobre productos o serviciosespecíficos.

Sesiones Educativas deProveedoresLas Sesiones Educativas de Proveedorestendrán una duración de 30 minutos. Estainiciativa representa una oportunidad más paradiscutir y observar en detalle las demostracionesde productos, así como obtener respuestas apreguntas sobre productos o serviciosespecíficos. El Comité del Programa está seguroque esta adición otorgará mayor valor a suparticipación en InfoExchange. Estas sesionesse llevarán a cabo el lunes 13 de octubre con15:30 a las 19:30 hrs

CUOTAS DE INSCRIPCIÓNLas cuotas de Inscripción estarán indicadas enDólares Americanos.

Inscripción a la ConferenciaAsociados de ISACA antes de y hasta el 30 de Julio de 2003. . . US $645

Asociados de ISACA después del 30 de Julio de 2003 . . . . . . . . . . US $695

No Asociados . . . . . . . . . . . . . . . . . . US $895

INFORMACION GENERAL

16

Inscripción a TalleresAsociados de ISACA que participan en la conferencia . . . . . . . US $295

No Asociados que participan en la conferencia . . . . . . . . . . . . . . . US $395

Asociados de ISACA que no participan en toda la conferencia. . . . US $370

No Asociado que no participan en toda la conferencia . . . . . . . . . . . US $470

El pago deberá ser realizado en su totalidad alas oficinas internacionales de ISACA paragarantizar su inscripción a la conferencia.

Cuota especial paraEstudiantesEstudiantes con credencial y comprobante deestudiantes de tiempo completo podrán asistiral primer día de la conferencia, el lunes 13 deoctubre, por una cuota de US $125. Esta cuotaincluye, acceso a la sesión inaugural, acceso a2 sesiones de las 6 disponibles en el horariode las 10:30 a las 15:00 hrs., almuerzo, yacceso al InfoExchange y recepción deproveedores. La cuota no incluye material de laconferencia.

DESCUENTO A GRUPOSSe aplicará un descuento de US $50 porpersona cuando se inscriban al mismo tiempotres o más empleados de la mismaorganización. Este descuento no puede serutilizado conjuntamente con el descuento porinscripción anticipada ofrecido a Asociados deISACA.

POLITÍCA DE CANCELACIÓN DESi se recibe una cancelación por teléfono,correo, fax o correo electrónico hasta el miér-coles 10 de septiembre de 2003 (inclusive), lacuota de inscripción será reembolsada menosUS $100 por cargo de cancelación. Igualmentese le reembolsará el importe del taller, perohabrá un cargo de US $50 pro cancelación y(si aplica) ISACA retendrá la cantidad corres-pondiente a la diferencia de la cuota de mem-bresía, resultado de marcar el recuadro quedice: “Quiero aplicar la diferencia entre el costode Asociado y no asociado a la membresía2003/2004 de la Information Systems Auditand Control Association.” Después del 10 deseptiembre de 2003 no habrá reembolsos. Losreemplazos pueden hacerse en cualquiermomento hasta el inicio de la conferencia sincargo alguno. El reemplazo de un asociado deISACA en favor de alguien que no lo sea, gener-ará un cargo equivalente al diferencial de cuo-tas establecidas para asociados y no asocia-dos. Nota: Su inscripción a la Conferencia y/otalleres está condicionada al pago total de las

cuotas de inscripción. Para garantizar elprocesamiento de su inscripción antes de laConferencia, la cuota de la conferencia deberáser recibida antes de o en la fecha límitepublicada. Los cheques y las transferencias dedinero pueden tomar hasta 10 días hábilespara llegar a ISACA, por tanto le pedimos,planee su pago según corresponda. Si ISACAdebe cancelar un evento por algún motivo, suobligación/responsabilidad está limitadaúnicamenta a las cuotas de inscripción. ISACAno es responsable de otros gastos incurridos,incluyendo gastos de viaje o de hospedaje.

ATUENDOEl atuendo recomendado para asistir a lassesiones técnicas y a los eventos sociales es“de negocios.”

INVITACIÓN PARA UNIRSE AISACASi usted no es asociado de ISACA y debe pagaruna cuota de inscripción más alta para asistir ala Conferencia Latin America CACS 2003,considere la siguiente oferta especial. Ustedpuede aplicar la diferencia entre las cuotas deasociado/no asociado para obtener lamembresía de ISACA. Esto le permitiráconvertirse en asociado tanto a nivelInternacional como del Capítulo local (ISACASão Paulo) por lo que resta del año 2003 ytodo el año 2004, sin cargos adicionales ytambién disfrutar de todas las ventajas de lamembresía. Para aceptar nuestra oferta,solamente marque el cuadro respectivo en elformulario de inscripción. He leido y estoyacuerdo con el límite de responsabilidad demembresía que se encuenta en este brochure.

CREDITOS DE EDUCACIONHágase acreedor de hasta 19 créditos deEducación Profesional Continua (EPC) asistien-do a las sesiones de la Conferencia LatinAmerica CACS. Además, los profesionales queasistan a los talleres opcionales pueden recibir7 créditos adicionales de EPC por cada día deentrenamiento.Por favor, comuníquese con la organización quemantiene su Certificación particular, paraobtener los requisitos específicos y la

aceptación de cursos individuales.

Las mesas directivas de contadores de cadalocalidad, tienen la autoridad final deaceptación de los cursos individuales para loscréditos de EPC. Cualquier queja referente a lospatrocinadores registrados, puede serconsiderada en el Registro Nacional dePatrocinadores de EPC (National Registry ofCPE Sponsors), en la dirección: 150 FourthAvenue North, Nashville, Tennessee 37219-2417, USA y en el teléfono: +1.615.880.4200.

Eventos EspecialesRecepción de BienvenidaDomingo 12 de octubre, 18.00 - 20.00

La Asociación ISACA São Paulo, les da la mascordial bienvenida.

Conozca a nuevos colegas de todo el mundo ya muchos de los expositores y patrocinadoresde Latin America CACS. Aproveche laoportunidad de relacionarse con numerososprofesionales, este es un momento ideal paraintercambiar información con sus colegas.

Recepción de los Expositores deInfoExchangeLunes 13 de octubre, 17:30 - 19:30

Patrocinada por los Expositores deInfoExchange.

Los expositores contestarán sus preguntas,explicarán sus servicios y demostrarán susproductos durante el InfoExchange. Leinvitamos a disfrutar de bocadillos y refrescos,mientras examina los productos y serviciosdisponibles que permiten a los profesionales deTI obtener mayor productividad y eficiencia.Durante la tarde del lunes 13 de octubre de las15:30 a las 19:30 hrs., los expositores tendránla oportunidad de hacer presentaciones de 30minutos en las salas de conferencia, a lascuales todos los participantes de la conferenciaestán cordialmente invitados.

Cena de Gala Martes 14 de octubre, 18:00 - 22:00

Después de las sesiones de la Conferencia, sellevará a cabo la Cena de Gala. Todos losparticipantes podrán disfrutar una magnífica einolvidable noche brasileira.

Cada participante de la Conferencia, tienederecho a un boleto para este evento. Si deseaboletos adicionales para su pareja y o susinvitados, podrá comprarlos ó solicitarlos poradelantado en el momento de su inscripción alevento. El costo por boleto adicional será deUS $60.

Más información respecto a este evento estarádisponible al inicio de la conferencia.

17

FORMULARIO DE INSCRIPCIÓN

18

1. Complete la información que sigue (por favor utilice máquina de escribir o letra de molde)

Nombre (Sr., Sra., Srita.)

_________________________________________________________________________________(Nombre) (Apellidos paterno) (Apellidos materno)

Cargo __________________________________________ Teléfono de compañía _______________________________

Compañía ______________________________________ Fax de compañía __________________________________

Nombre en el gafete _______________________________ Dirección electrónica (e-mail) __________________________

(Por favor, indique a continuación su dirección)

■■ de Compañía ó ■■ de Domicilio particular ■■ Este es un cambio de Domicilio

Dirección (Calle o avenida y número)

_________________________________________________________________________________________________

Ciudad ___________________________________________________________________________________________

_________________________________________________________________________________________________

_________________________________________________________________________________________________

Estado/Provincia ___________Código postal____________ País ______________

■■ Por favor, No incluya mi domicilio completo en el directorio que será entregado a los participantes, expositores y patrocinadores.Asociado de ISACA? ■■ Si Número de asociado____________________ ■■ No

■■ Quiero aplicar la diferencia entre el costo de Asociado y No asociado a la membresía 2003/2004 de la Information SystemsAudit and Control Association (ISACA). He leido y estoy acuerdo con el límite de responsabilidad de membresía que seencuenta en este brochure.

2. Marque con un círculo sus opciones de registro, utilizando la siguiente cuadrícula de sesiones

Conferencia y Talleres de Latin America CACS Pagina 1 de 2

Pista


Auditoría de Sistemas de Información

Seguridad de Sistemas de Información

111 121

112

113

122

123

211 221

212

223213

222

231 241

232

233 243

242

311 321

312

313

322

323

331

332

333 343

341

342

WS1

WS2

WS3

10:30-12:00

Lunes

13:30-15:00 8:30-10:00

Martes Miércoles Talleres

10:30-12:00 13:30-15:00 15:30-17:00 8:30-10:00 10:30-12:00 13:30-15:00 15:30-17:00 9:00-17:00

3. Costos de Inscripción (en Dólares Americanos) (Por favor marque con un círculo sus opciones)Inscripción a la ConferenciaAsociado de ISACA (antes de y hasta el 30 de julio 2003) . . . . . . . . . . . . . . US $645Asociado de ISACA (después del 30 de julio 2003). . . . . . . . . . . . . . . . . . . US $695No-Asociado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . US $895

Inscripción a los Talleres (Ahorre US $75 por Taller si tambiénparticipa en la Conferencia Latin America CACS 2003)

Si participa en la Conferencia No Participa en la Conferencia LACACS 2003 Conference LACACS 2003 Conference

Asociado No-Asociado Asociado No-Asociado

WS1Imlementación de COBIT US $295 US $370 US $395 US $470WS2

Internet Banking US $295 US $370 US $395 US $470WS3

Infraestructura de SeguridadControl y Cómputo Forsense US $295 US $370 US $395 US $470

TOTAL (Sume todas las opcionesque encerró en un círculo arriba) US $______________)

DESCUENTOS GRUPALES: Se aplicará un descuento de US$ 50 por persona, cuando tres omás empleados de la misma compañía se inscriban al mismotiempo. Este descuento no podrá ser utilizado juntamente con eldescuento ofrecido a Socios de ISACA pagando antes del 30 dejulio. Para inscripciones múltiples, favor de fotocopiar este formato.

4. Por favor indique su forma de pago■■ Se adjunta Cheque en US dollars a favor de la Information

Systems Audit and Control Association■■ Transferencia electrónica (Wire Transfer) en US dollars Número

de Referencia ________________________________ó Cargue a mi tarjeta internacional:

■■ Visa ■■ MasterCard ■■ American Express ■■ Diners Club(NOTA: Todos los pagos con tarjeta de crédito serán procesadosen US dollars)

Número de tarjeta ______________________________________Fecha de Vencimiento ___________________________________

Nombre en la tarjeta

Firma del Titular ó tarjeta-habiente

Indique la Dirección Completa donde desea recibir suFactura/Recibo:

Nombre del participante, tal y como se indica en el número 1.:

Proporcione los datos que desea aparezcan en su factura o recibo,(Nombre de la empresa, Dirección Fiscal, y Número o Registrofiscal RFC):

5. Elija una de las siguientes maneras para inscribirse enla Conferencia Latin America CACS 2003 ConferenceA. Inscripcion electronica en el web site de ISACA:

www.isaca.org/latincacs2003.htm

B. Envíe por FAX su formato de inscripción completo alteléfono +1.847.253.1443. (En los Estados Unidos)

C. Envíe por Correo su formato de inscripción completo a:[Por favor elabore o gire su cheque en DólaresAmericanos US $]Latin America CACS Conference Information Systems Audit and Control Association135 S. LaSalle, Department 1055Chicago, Illinois 60674-1055, USA

D. Pagos electronicos en Dólares Americanos (US $) debenser enviados a la dirección señalada en la sección con lasiguiente información de cuentas:LaSalle National BankABA #071000505ISACA Account #22-71578S.W.I.F.T. code LASLUS44

(Por favor, indique como referencia al Latin America CACS 2003, eincluya, de ser posible, el nombre y número de Asociado, delparticipante,—si es que aplica—en el “Aviso de Transferencia” paragarantizar el pago de dicho participante.)

6. Política de CancelaciónSi se recibe una cancelación indicando que NO podrá asistir a laConferencia, sea por teléfono, correo, fax o e-mail hasta el Viernes12 de Septiembre de 2003 (inclusive), la cuota de inscripción leserá reembolsada menos US$100 de gastos para procesar lacancelación. Después del 12 de septiembre de 2003, no habráreembolsos. Se podrá reemplazar a la persona designada encualquier momento, hasta la fecha de la conferencia. Sin embargo,el reemplazo de un Asociado, por un NO Asociado, generará uncargo adicional, equivalente a la diferencia de cuotas establecidaspara Asociados y No Asociados de ISACA. Nota: Su inscripción a la Conferencia y/o Talleres está condicionadaal pago total de las cuotas de inscripción. Para asegurar elprocesamiento de su inscripción antes de la Conferencia, envíe suformato de inscripción lo antes posible.

7. Arreglos Especiales■■ Dieta especial _____________________________________

________________________________________________■■ Necesitaré otro tipo de asistencia; favor de contactarme para

hacer los arreglos necesarios.

8. ¿Tiene alguna Pregunta?Por favor, contacte al Departamento de Conferencias de ISACA en Chicago:

Teléfono: +1.847.253.1545, ext. 485Fax: +1.847.253.1443E-mail: [email protected]

Ó contacte al presidente del Comité local de la Conferencia en São Paulo en el teléfono, desde el extranjero 55.11.5087.8822

19

Pagina 2 de 2

Marcelo Héctor González,CISABanco Central de la RepúblicaArgentina, ArgentinaPresidente del Comité

Luis Alberto Murguía Jara,CISAINTERBANK, Perú

Ana Virginia Escalante, CISAS.I.I.A.S.S.A. Consulting, CostaRica

Alexander Zapata Lenis,CISAKPMG Colombia, Colombia

Claudio Ragni VargasUniversidad Católica del Maule,Chile

Jorge Villaseñor Rojas, CISAErnst & Young México, México

Joselyn Maica ChávezMCH Consultoría Integral CA,Venezuela

María Cristina Ledesma,CISA, CISMCITIBANK, Uruguay

Lilia Liu ChungATT Consulting, Panamá

Antonio de SousaBig Five Consulting, Brasil

Robert BergquistISACA staff liaison, USA

Elia Fernández Torres, CISAISACA staff liaison, USA

3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USA

C o m i t é d e l P r o g r a m a L a t i n C A C S

Antonio de SousaBig Five Consulting, BrasilPresidente del ComitéPresidente del capítulo de ISACASão Paulo, Brasil

Antonio SeitaBanco Votorantim, Brasil

Edgar D´Andrea, CISAPricewaterhouseCoopers, Brasil

Carlos MouraBanco Real ABN AMRO, Brasil

Eugênio LacerdaBanco Itaú BBA, Brasil

Mauro AssanoRational, Brasil

Flora Steuer CostaSAP, Brasil

Prof. Edson Luiz RiccioUniversidade de São Paulo,Brasil

Cathy VijehISACA staff liaison, USA

C o m i t é d e l C a p í t u l o A s o c i a d o (ISACA São PAULO)

F-LC-BRL-0603

I-lu-mi-na-do, (I-luminá-do) , v. 1. haber recibido la luz ... · representante de la sociedad...

Documents

Transcript of I-lu-mi-na-do, (I-luminá-do) , v. 1. haber recibido la luz ... · representante de la sociedad...