PLAN DE FORMACIÓN, CAPACITACIÓN Y ENTRENAMIENTO
COLOMBIAN DEVELOPMENT FINANCE SAS
Objetivo general: Con la implementación y evaluación de la eficacia del presente plan de formación, capacitación y entrenamiento; la organización y sus procesos aumentaran su desempeño global y
cumplimiento de sus objetivos a través de personas con conocimiento técnico y aplicado frente a la coherencia del Sistema de Gestión de la Seguridad de la Información.
No. TEMA
La importancia de la seguridad de los activos
1
de información en las organizaciones.
¿Cuáles son los principios y fundamentos de
2
los sistemas de gestión?
No existe comunicación asertiva sin base
3
técnica
Cambios especificados en la norma
4
internacional ISO/IEC 27001:2022
Enfoque del pensamiento basado en riesgo
5
para la toma de decisiones
Utilidad de los indicadores clave de riesgo
6
KRI
7 ¿Qué es un DASHBOARD?
8 Controles SOX y SARO
9 Seguimiento y Control de procesos
Metodología de seguridad con base a la
10 norma PCI DSS (estándar del sector para
asegurar el uso de las tarjetas de crédito)
Técnicas de Auditoria con base a la GTC ISO
11
19011:2018
Correctivos, acciones correctivas y acciones
12
para abordar riesgos
TOTAL
TIPO
Entrenamiento
Capacitación
Formación
Tiempo
Objetivo Información Documentada Dirigido a:
(Horas)
Aspecto para evaluar la eficacia
Sensibilizar a los miembros de la empresa de la NTC-ISO/IEC 27001:2022. Seguridad de la La persona estará en la capacidad de alinear los objetivos, roles y
Lideres o responsables de
X importancia de su trabajo y como contribuyen la misión información, ciberseguridad y protección de la
proceso
1h responsabilidades del cargo con la misión, visión políticas
y visión estratégica. privacidad. estratégicas, garantizando el cumplimiento de los requisitos del SGSI
Capacitar a los miembros de la empresa en las bases La persona estará en la capacidad de entender y aplicar los
fundamentales de los sistemas de gestión: conceptos fundamentales de los sistemas de gestión entre los cuales
NTC-ISO 9000:2015. Sistemas de gestión de la Lideres o responsables de
X 1. Enfoque de los sistemas de gestión.
calidad. Fundamentos y vocabulario. proceso
1h se encuentran: El PHVA, El Enfoque basado en procesos,
2. Principios de los sistemas de gestión. Pensamiento basado en el Riesgo, Como funciona la estructura de
3. Estructura de Alto nivel. alto nivel, entre otros fundamentos.
Proporcionar una visión general de los sistemas de NTC-ISO-IEC 27000:2017. Tecnología de la
Las personas estarán en la capacidad de interpretar y especificar
gestión de la seguridad de la información, así como los información. Técnicas de seguridad. Sistemas de Lideres o responsables de
X términos y definiciones de uso común en la familia de gestión de seguridad de la información (SGSI). Visión proceso
2h información documentada con la terminología adecuada, mejorado la
comunicación organizacional.
normas de SGSI. general y vocabulario
NTC-ISO/IEC 27001:2022. Seguridad de la Las personas estarán en la capacidad de entender los cambios
Dar a conocer los cambios en la nueva versión de la Lideres o responsables de
X ISO/IEC 27001 y la orientación de sus requisitos.
información, ciberseguridad y protección de la
proceso
4h establecidos en la nueva versión y como ajustarlos en los diferentes
privacidad. procesos de la organización.
Formar a los diferentes miembros de la organización
frente a l pensamiento basado en el riesgo teniendo en
cuenta los siguientes temas estructurales:
1. Que es el pensamiento en riesgos.
ISO 31000:2018. Gestión del riesgo. Directrices.
2. Métodos de aplicación.
3. Técnicas de apreciación del Riesgo.
Lideres o responsables de Las personas estarán en el capacidad de identificar, evaluar,
X 4. Proceso de Gestión del Riesgo.
GTC-ISO-IWA 31:2022. Gestión de Riesgos. proceso
8h
establecer controles y gestionar la materialización de riesgos.
5. Análisis de amenazas descripción y calificación.
Directrices sobre el uso de la NTC-ISO 31000 en los
6. Análisis de vulnerabilidades y calificación.
sistemas de gestión
7. Método del diamante del riesgo.
8. Ponderación de riesgos.
9. Método del teorema de Bayes.
10. Presentación de informes sobre la gestión del
riesgo.
Entrenar frente a los KRI, KPI, PI y RI en el entorno de Lideres o responsables de Las personas estarán en la capacidad de identificar y construir un
X un BSC (Cuadro de Mando Integral del Riesgo
Publicación Seguimiento y SARO.
proceso
2h
cuadro de mando integral de la gestión del Riesgo.
Entrenar el desarrollo de un DASHBOARD (Cuadro de Lideres o responsables de La persona estar en la capacidad de desarrollar un DASHBOARD
X control) en formato EXCEL básico.
Herramientas de Microsoft - Excel.
proceso
1h
básico en Excel.
Entrenar a los miembros de la organización frente al
Sistema de Administración del Riesgo Operativo Lideres o responsables de La persona estar en la capacidad de establecer controles efectivos a
X (SARO) y los CONTROLES SOX enfocados a
Publicación Seguimiento y SARO.
proceso
3h
través del SARO.
empresas TI
Dar respuesta a:
¿Qué es seguimiento?, Herramientas para el
seguimiento, Identificación de procesos, Lideres o responsables de Las personas estarán en la capacidad de realizar seguimiento y
X Características del producto y servicio y su diferencia;
Publicación Seguimiento y SARO.
proceso
1h
control a sus procesos a través de diferentes herramientas.
la importancia de medir, ¿Qué se debe medirse, ¿Qué
no se debe medirse?
Presentar la metodología de seguridad PCI y entender
el ROADMAP para garantizar los objetivos de control
para evitar vulneración, perdida y fraude enfocados a:
1.Optimizar las técnicas de control y validación para
lograr mayor claridad en la información de
cumplimiento.
2. Promover el uso de seguridad en todas las fases de
los procesos, haciendo énfasis en la importancia de la Lideres o responsables de Las personas de la empresa podrán desarrollar un toma de
X seguridad. Dejar de verla como un producto y verla
Norma PCI DSS 4.0.
proceso
1h
conciencia frente a la coherencia de los control para el SGSI
como una necesidad.
3.Mejorar las prácticas de seguridad en la industria de
las TI. Éstas deben transformarse a medida que
cambian las amenazas.
4. Aportar una mayor flexibilidad e integración con
otras metodologías. Plantear rutas o roadmaps
alternativos para lograr el mismo estándar.
Las personan serán conscientes de las herramientas y metodología
Presentar herramientas técnicas para el desarrollo del GTC-ISO 19011:2018. Directrices para la auditoria de Lideres o responsables de
X ejercicio de auditorias de primera y segunda parte. los sistemas de gestión. proceso
2h para la revisión interna y ha proveedores frente a los requisitos
especificados en el SGSI.
Presentar la metodología para el tratamiento de Las personas estarán en la capacidad de realizar un tratamiento
problemas reales y potenciales. Teniendo en cuenta Publicación de Acciones Correctivas y Preventivas en Lideres o responsables de efectivo a los problemas reales y potenciales que se presenten en el
X X las diferentes herramientas para el análisis de causa los sistema de gestión.. proceso
2h
desarrollo de las actividades de su procesos y que afectan el
raíz y gestión de los planes de acción. cumplimiento de los objetivos del mismo.
3 6 3 28 h