Quiero llegar a la cima.

Transcripción

1 Conferencia Latinoamericana de Auditoría, Control y Seguridad (Latin America CACS SM ) Del 21 al 24 de Octubre de 2007 Crowne Plaza Hotel Monterrey Monterrey, Quiero llegar a la cima. La conferencia de IT governance, control, seguridad y aseguramiento en tecnología de información líder en el mundo Obtenga hasta 40 horas de Educación Profesional Continua (CPE) Las pistas de la conferencia son: Gobierno y Control de TI (IT Governance and Control) Auditoría de Sistemas de Información (IT Assurance) Gestión de Seguridad de Sistemas de Información (IT Security Management)

2 2 B I E N V E N I D A Haga planes en su agenda para asistir a la 12ª Conferencia Anual Latinoamericana de Auditoría, Control y Seguridad de Tecnología de la Información (Latin America CACS SM ), que se celebrará en la ciudad de Monterrey, en. Latin America CACS goza de gran prestigio en toda Latinoamérica por proporcionar una cobertura detallada de los aspectos técnicos y administrativos actuales relacionados con gobierno,control,seguridad y aseguramiento de tecnología de la información. Expertos en la industria y conferencistas de clase mundial reúnen gran experiencia y conocimiento en las mejores prácticas, seguridad de sistemas, procesos y herramientas de auditoría, así como en otros temas que afectan no sólo a los profesionales de un área geográfica determinada,sino a todos los profesionales de TI en todo el mundo.ésta es una oportunidad extraordinaria para hacer contactos en el mundo de los negocios y descubrir las distintas formas de resolver problemas similares. Además, puede obtener hasta 40 horas de educación profesional continua (CPE). La mesa directiva del Capítulo Monterrey de ISACA y toda la membresía que lo conforman se enorgullecen en extenderles la más atenta invitación a la décima segunda conferencia Latin America CACS 2007 que se llevará a cabo en la ciudad de Monterrey, estado de Nuevo León en. Monterrey Chapter El espíritu emprendedor de esta gran ciudad del Noreste de, cuna de grandes universidades, empresas y empresarios de clase mundial en industrias tan diversas que tienen que ver con el Vidrio, el Cemento, la Cerveza y el Acero, entre otras, nos ha llevado a comprometernos con el desarrollo de lo que consideramos será la mejor experiencia en una conferencia en donde se compartirán los conocimientos de los profesionales de más alto nivel en Latinoamérica y España en temas relacionados con Gobierno, Control, Seguridad y Auditoria de Tecnologías de Información. Estamos seguros que la historia de una ciudad que se fundó en 1596, el desarrollo del evento mundial Forum Universal de las Culturas 2007 que tendrá como sede la ciudad de Monterrey y la belleza indiscutible de las montañas que rodean nuestra ciudad serán el marco ideal para disfrutar de toda esta experiencia que conlleva el Latin America CACS Los invitamos a que desde ya reserven estas fechas para disfrutar de esta gran experiencia. Salomón Rico B., CISA, CISM ISACA Capítulo Monterrey Presidente Patrocinadores: ISACA quiere reconocer a los patrocinadores de la Conferencia Latin America CACS 2007 (vigentes a la fecha de impresión): Gold Sponsor Silver Sponsors

3 Quiero llegar a la cima. 3 PRESENTACIÓN INAUGURAL ING. ROLANDO ZUBIRÁN Rolando Zubirán es Director General de ALESTRA desde el 1 de enero de Con más de 17 años de experiencia en el mercado latinoamericano de telecomunicaciones, Rolando es el responsable de dirigir a esta compañía, propiedad de Alfa y AT&T, hacia la continuación del logro de sus objetivos en. Desde 1997 y hasta su nombramiento en ALESTRA, fue presidente y director general de Teleindustrias Ericsson de Argentina, donde tenía a su cargo la responsabilidad total de proporcionar soluciones de telecomunicaciones a diversos segmentos del mercado. En septiembre de 1991 fue nombrado director administrativo de Sistemas Ericsson en. Durante ese tiempo fue responsable del crecimiento de la división de sistemas de comunicación para empresas y de la expansión del negocio hacia Centro América. En 1989 fue nombrado director administrativo de la división de sistemas de comunicación para empresas de Ericsson Brasil. Desde 1981 ocupó diversas posiciones ejecutivas en Ericsson. Inició su carrera en con Cervecería Moctezuma. Rolando Zubirán es egresado de la Universidad Nacional Autónoma de donde cursó la carrera de Ingeniería Industrial. Posee una maestría en Investigación de Operaciones por la Universidad del Sur de California. El Rol Estratégico de la Seguridad de Información En un mundo globalizado donde las Tecnologías de Información son pieza fundamental de casi todos los procesos de negocio de las organizaciones, el asegurar que la información esté segura en términos de confidencialidad, integridad y disponibilidad se vuelve una actividad estratégica. Rolando Zubirán compartirá su visión y experiencia sobre cómo encontrarle el valor a la Seguridad de Información en las organizaciones, brindando los niveles de competitividad adecuados. Compartirá también el por qué es relevante garantizar y brindar seguridad a la infraestructura, procesos, cultura y por consiguiente a clientes. Pista 1 Gobierno y Control de TI (IT Governance and Control) Sesión 111 Actualización de COBIT 4.1 Ana Virginia Escalante de Vargas, CISA SIIAS S.A. Servicios Integrados en Informática y Auditoría de Sistemas Costa Rica Las organizaciones que han adoptado buenas prácticas de gobierno respaldan el proceso de mejora continua de los sistemas de control interno conscientes de la importancia de la alineación de las tecnologías de información con el negocio. El éxito en la aceptación a nivel global de los Objetivos de Control para la Información y las Tecnologias Relacionadas (COBIT ) como marco de control interno de las tecnologías de la información obedece a su constante y oportuna actualización, a su evolución de una herramienta para auditoría hasta convertirse en el marco de referencia para el Gobierno de TI. En esta sesión se analizará en nuevo enfoque de la versión 4.1 en relación a la versión 3. Sesión 121 Análisis de Impacto al Negocio Desde el Punto de Vista de Continuidad José Angél Peña Ibarra CCISA-Alintec La operación de muchas empresas depende fuertemente de sus sistemas de información. Una falla en estos sistemas o en la infraestructura que los soporta puede ocasionar un impacto fuerte a la institución. En esta charla se hablará sobre técnicas para analizar este impacto, definir los parámetros de tiempo de recuperación objetivo y nivel de frescura de la información al recuperar las operaciones. Se mostrará un método sencillo para evaluar el impacto de diversas amenazas y se hablará sobre la definición de las estrategias para asegurar la continuidad de las operaciones. Sesión 131 Gobernabilidad de Cumplimiento de Regulaciones de TI Carlos Komhauser López Dicta Consulting, S.A. de C.V. El participante obtendrá una visión general del tipo de regulaciones aplicables en de acuerdo con el tipo de industria al que pertenece y aprenderá la diferencia entre regulaciones y marcos de referencia, y como estos últimos pueden aplicarse para cumplir con las regulaciones pertinentes. Así mismo aprenderá a diferenciar entre marcos de referencia, mejores prácticas, códigos de práctica y regulaciones. Sesión 211 IT Governance para las PYMES Julio De La Espada, CISA Banco Latinoamericano de Exportaciones República de Panamá La importancia de TI incrementa cada vez más para las PYMES. En esta sesión vamos ver las generalidades del ambiente empresarial para las PYMES y las barreras existentes dentro del mismo que normalmente impiden la implementación de las iniciativas de Gobierno de TI y por consiguiente la obtención de mayor retorno posible de la inversión en herramientas de TI. Adicionalmente, se dará a conocer herramientas y ejemplos prácticos para vencer esas barreras. d Básico Intermedio c Avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción y prerrequisitos de la sesión para determinar si la sesión es apropiada para usted.

4 4 Sesión 221 BSC para Competitividad de TI Jorge Medin Hidalgo, CISA, CISM Gobierno de la provincia de Mendoza Argentina El éxito de una organización está basado en el manejo de sus estrategias para alcanzar sus objetivos de negocios. Las TIs han sido y son el soporte o apoyo a estos procesos de negocios, pero debido a la estandarización del hardware han perdido el valor agregado que ellas representaban en el pasado. Hoy ese valor agregado está en la capacidad de la organización de administrar sus TI. Las organizaciones deben implementar mejoras en sus procesos de TI, mediante el Gobierno de las TI estas mejoras deben ser medidas en su desempeño mediante herramientas usadas en la gestión de la organización. La implementación de una tarjeta balanceada adaptadas a las TI permite definir metas y objetivos mensurables a través de indicadores claves de desempeño y objetivos, que unívocamente reflejen el apoyo de las TI a la organización. Sesión 231 Integración del Gobierno de TI con el Gobierno Corporativo Alvaro Jaiel, CISA, CISM Grupo Gestor Cumbres Costa Rica La mayoría de las organizaciones implantan el Gobierno Corporativo, sin hacer del Área de Tecnología de la Información un participante activo quien aporte de su conocimiento en este campo. No es hasta que el Gobierno Corporativo inicia a generar valor para la empresa, cuando cobra especial importancia complementar el esfuerzo desarrollado con la integración de las prácticas del Gobierno de TI como uno más de los elementos estratégicos del Gobierno Corporativo. Es entonces cuando el Área de Tecnología de la Información participa con su conocimiento y experiencia en un proceso ya en marcha, al que debe adaptarse y contribuir pro-activamente con el logro exitoso de esta complementariedad, en las áreas que le competen. En la ejecución de este esfuerzo, podemos aplicar varios conceptos de modelos de implementación que han sido efectivos para obtener la integración eficiente del Gobierno de TI con el Corporativo. A su vez, es importante conocer qué situaciones podrían reducir las posibilidades de lograr nuestros objetivos, y aprender cómo podemos tratarlas para reducir su impacto. La participación decidida del Área de Tecnología de la Información le reportará beneficios significativos a la empresa y al Área misma. Sesión 311 Casos Prácticos del uso de IT Governance para Alineación con el Negocio German Valdivieso, CISA Banco del Occidente Colombia En la medida en que las empresas crecen y se hacen mas rentables, el área de tecnología de la Información (TI) debe jugar un papel preponderante como soporte a las necesidades estratégicas del negocio y en la generación de nuevos productos y servicios habilitados por tecnología. Durante la sesión se revisará con base en las mejores prácticas existentes (Gobierno de TI y COBIT ) y un caso real de cómo llevar a cabo un diagnóstico detallado de TI en cuanto a alcance, etapas que deben ser cubiertas y resultados que pueden ser obtenidos. Sesión 321 Uso y Actualización de Nueva Versión de ITIL v3 e ISO Omar O. Saucedo Flores KIMAT, Groupo Scanda La mayor integración de las TI con los procesos del negocio ha provocado un cambio fundamental en las empresas en cuanto a la consideración de la infraestructura de TI y los servicios que ésta ofrece a las unidades de negocio. La TI se utiliza para vincular procesos de negocio dentro de una empresa y para unir a proveedores, socios, clientes y grupos de interés fuera del entorno corporativo seguro. Por lo mismo el uso de metodologías y marcos de referencia facilitan la gobernabilidad de TI en el aseguramiento del valor de los activos, el control de los recursos y la reducción de los riesgos asociados. El actualizar el conocimiento y la convergencia methodológica son claves para disminuir el trebajo en la implementación; operación y complimiento de controles en los procesos, internos de las empresas y la generación de su información, para afrontar requerimientos y regulaciones actuales y futuras. La sesión se enfoca en una explicación de la gobernabilidad TI, los cambios en la versión 3 de ITIL, las diferencias entre las versiones 2 y 3 y subsecuentemente un enfoque metodológico para el mapeo con la versión 4.1 de COBIT y su alineación para generar un tablero de control balanceado. Sesión 331 Logrando la Calidad Total en los Servicios de TI a Través de Val IT y COBIT Héctor Mauricio Sanchez Arriaga, CISA SCITUM Los servicios de TI son intangibles en términos de la aportación de su valor financiero a la organización, por lo que los criterios que utilizan los clientes para evaluarlos suelen ser muy complejos y difíciles de establecer con precisión; por otro lado los servicios de TI, requieren mucha interacción humana (pese a que se trate de administrar tecnologías), son heterogéneos, y por lo general, la prestación varía de una persona a otra y de un día a otro. La tecnología, al menos en lo que respecta a la administración de servicios TI, no es un fin en sí misma sino un medio para aportar valor a las organizaciones. La sesión pretende proporcionar los conocimientos generales para desarrollar un programa de calidad que permita administrar y entender a los procesos que conforman los diferentes servicios de TI de la organización dentro de un marco de mejora continua, que conlleve hacia una mayor gobernabilidad de las áreas de TI, y por consecuencia hacia el incremento en la rentabilidad de las organizaciones. Sesión 341 COBIT en Academia Caso de Éxito Ricardo Bria, CISA Manuel Palao, CISA, CISM SAFE Consulting Argentina Personas y Técnicas España El inesperado auge legal y regulatorio que impacta de lleno al área de IT y la consecuente, pujante y sostenida demanda de profesionales especializados en IT Assurance post Enron, está poniendo a prueba la capacidad del mercado en proveer profesionales en el número y con la formación requeridas. d Básico Intermedio c Avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción y prerrequisitos de la sesión para determinar si la sesión es apropiada para usted.

5 5 En esta sesión debatiremos sobre las experiencias llevadas a cabo en la concepción, desarrollo y ejecución de un Master en Buen Gobierno de IT en una prestigiosa Universidad Europea, basado enteramente en el modelo curricular de ISACA y los resultados preliminares obtenidos en la primera versión del mismo. Pista 2 Auditoría de Sistemas de Información (IT Assurance) Sesión 112 Mapeo de Riesgos/ Matriz de Riesgos de TI Gustavo Adolfo Solís Montes, CISA, CISM Grupo Cynthus, S.A. de C.V. El concepto de riesgo no es nuevo en la administración. Sin embargo, sí es un tema que ha venido adquiriendo mayor relevancia conforme las empresas evolucionan sus esquemas de gestión hacia modelos más eficientes y más efectivos. Conforme la tecnología avanza, su relevancia en las empresas se vuelve también mas evidente y de mayores proporciones, a grado tal que algunas de las empresas en la actualizad, difícilmente podrían mantenerse en un estado operativo si su infraestructura tecnológica estuviera fuera de servicio. Los riesgos de TI no se limitan a los activos de información, sino que involucran otros elementos de análisis que normalmente son pasados por alto al aplicar de manera simplista matrices o chec lists para la administración de riesgos. El secreto no es no tomar riesgos, sino tomarlos y saberlos administrar adecuadamente. Lo más riesgoso de los riesgos, valga la redundancia, es no saber que estos existen. Esta sesión pretende mostrar una metodología trabajo para todo el ciclo de administración de riesgos de TI, desde la identificación y análisis de los mismos, hasta el registro de incidentes y la definición de medidas de tratamiento. Sesión 122 Los Retos y el Rol del Auditor de TI en un Proceso de Certificación Exitoso de Sarbanes-Oxley Héctor Estrada Rivera, CISA Scotiaban En julio de 2002, Estados Unidos de Norteamérica publicó la ley Sarbanes-Oxley (SOX), la cual se enfoca en la confiabilidad del registro financiero comouno de los elementos de control interno de una organización. Para tal propósito, SOX fortalece los controles que deben existir en la formulación de sus estados financieros. Para complir con la ley, es necesario realizar un proceso de certificación anualmente. Este proceso incluye componentes de control de TI, los cuales pueden dividirse en controles de aplicación (Sistemas de Contabilidad, Sistemas de finanzas, ERPs, etc.) y controles generales de TI (Control de Cambios, Control de la Producción, etc.). Dichos controles deben ser probados en su diseño y efectividad en la operación. Al final de la conferencia, los asistentes tendrán una idea clara de los elementos a considerar y aquellas tareas que son fundamentales en el proceso de certificación de SOX y cómo es que la participación del auditor de TI es relevante para el éxito del proyecto. Adicionalmente, verán cómo el control interno de la organización se beneficia con procesos como SOX. Sesión 132 Panel de Discusión: Integración del Análisis de Riesgos de TI con el Análisis de Riesgos Operativo de Acuerdo con Basilea II José Angél Arias Alvarez, CISA Marcelo Héctor González, CISA Grupo Consult Banco Central de la República de Argentina Argentina Jorge Serrano, CISA ComBanc S.A Chile La regulación acerca de la medición del riesgo operacional y del riesgo tecnológico no establece criterios contundentes y ha permitido la experimentación de diversos enfoques metodológicos que, aunque tienen fundamentos teóricos comunes, están alimentados por diversas prácticas que han demostrado su efectividad en empresas del sector financiero. En este panel, expertos en el tema de riesgo operacional compartirán con los participantes sus experiencias prácticas, sus puntos de vista acerca de los aspectos más relevantes, tanto desde el punto de vista metodológico y conceptual, como desde el punto de vista del cumplimiento de la regulación local y de los lineamientos establecidos por Basilea II. Los participantes podrán tomar las mejores experiencias de los diferentes expertos acerca de este tema que conlleva un alto nivel de especialización para su correcta aplicación. Sesión 212 Escenarios de Riesgo Convenciendo a Altos Ejecutivos Ulises Castillo Hernández, CISA, CISM SCITUM Para muchos responsables de TI resulta frustrante no poder convencer a esos ejecutivos, tal parece que hablan idiomas distintos. Esta sesión le brinda al participante distintas herramientas y formas de vender a los ejecutivos de una organización la necesidad y los beneficios de los proyectos de TI y de una adecuada administración de los riesgos, haciendo énfasis en la utilización de escenarios. La experiencia ha mostrado que la utilización de escenarios les permiten a los ejecutivos entender y comprar más fácilmente la idea, sobretodo porque facilitan que ellos mismos se ubiquen en el problema de una manera muy gráfica Y también en la solución. Sesión 222 Casos de Éxito en la Implementación de Auditorías de TI Basadas en Análisis de Riesgos Julio R. Jolly Moore PricewaterhouseCoopers Panamá Dado que las nuevas tecnologías conllevan a un incremento en los riesgos tecnológicos de los negocios, los auditores de TI deben ser más eficientes en los procesos asociados a las auditorías de sistemas que ellos realizan. De igual manera nuevas regulaciones, acuerdos y marcos de referencias internacionales; son impuestos en varios países como base de cumplimiento, para que las organizaciones alineen sus procesos, procedimientos y políticas con los mismos y hacen énfasis en que las organizaciones deben establecer y mantener sistemas y controles adecuados. Con base al gran auge de la automatización de los procesos operativos, los auditores de TI requieren además de conocer mejores prácticas de auditoría de sistemas, marcos de referencia y regulaciones internacionales como locales, deben establecer e implementar planes de auditoría

6 6 basados en riesgos contemplando los objetivos del negocio y estar en la capacidad de determinar los riesgos que pudieran afectar la consecución de los mismos, bajo un adecuado manejo de los riesgos sin que estos generen pérdidas. Sesión 232 Cómo Realizar Auditorías Utilizando Estándares y Mejores Prácticas d Marcelo Héctor González, CISA Banco Central de la República de Argentina Argentina La tecnología y los sistemas de información han sido percibidos en la actualidad en forma global como disparador de cambios permanentes del ambiente de negocios. Sin embargo, existe una idea primordial que aparece inmóvil contra esta fuerza tecnológica que implica que las organizaciones que sobreviven, son aquellas que entregan mas valor verdadero a sus clientes. La función de auditoría continúa proporcionando servicios de aseguramiento tanto a clientes internos como externos. Dado que la tecnología impacta la forma de hacer negocios, deben haber formas efectivas y sencillas para llevar a cabo la evaluación de los controles que deben existir para garantizar dicho servicio. Es importante considerar la forma en que los estándares y las mejores prácticas van evolucionando, como ayudan a aportar valor a los procesos de negocios, además de conocer qué tanto ha cambiado su uso por parte de las organizaciones. Sesión 312 Diez Prioridades de la Auditoría de TI en un Ambiente Cambiante d Napoleón César Imbett Otero, CISA Sociedades Bolívar Colombia Las estrategias de acción de la Auditoría de TI en una organización, tienen como condición necesaria para su éxito, primero que logre alinearse con los objetivos del negocio, que tome en cuenta el concepto de generación de valor a los staeholders y segundo que responda a la estructura y nivel de exposición de riesgos de TI. Para garantizar que este ejercicio contemple el alineamiento estratégico necesario que exigen ambientes cada vez más cambiantes y los niveles de exposición de riesgos, se requiere de la aplicación de un proceso en el que de regreso a lo básico se priorizan en opinión del conferencista, diez (10) aspectos claves que de cumplirse preparan de mejor manera a la función de auditoría de TI para un medio ambiente donde: El mundo está cambiando Los riesgos organizacionales de TI están cambiando y sobre todo, las expectativas de los staeholders respecto de la auditoría de TI están cambiando. En la conferencia se presenta de manera práctica el impacto que cada uno de los aspectos claves tiene sobre las acciones estratégicas y el rol de la auditoría de TI en la organización. d Básico Intermedio c Avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción y prerrequisitos de la sesión para determinar si la sesión es apropiada para usted. Sesión 322 Desarrollo Profesional del Auditor de TI Ruben Quintero Ubando, CISA Banco del Ahorro Nacional y Servicios Financieros, S.N.C Carlos Kingwergs Castrejon Pinnacle Vision, Sc MRI of Mexico City Central Las exigencias de los tiempos actuales ya son conocidas por todos. La información es poder, no sólo para las empresas, también lo es para los profesionistas. Debido a esto, es recomendable contar con un esquema de formación que se apegue a las necesidades actuales, aprovechando mejor los escasos recursos financieros. Si bien muchas compañías coinciden en que el talento profesional es escaso, los profesionistas de alto impacto desconocen los principios de cómo hacerse de nuevas oportunidades laborales que les brinden crecimiento profesional, y mejores ingresos. Obtener conocimientos de cómo venderse, uno mismo, son las herramientas que permitirán a un profesionista de TI tener éxito en su crecimiento y desarrollo. Sesión 332 El Rol del Auditor de TI en la Detección y Prevención de Fraude Oscar Viniegra Lira, CISA ISM En la actualidad el fraude es un problema grave para las organizaciones, estudios recientes a nivel mundial muestran que el Fraude está presente en más del 50% de las organizaciones y que el impacto promedio es equivalente al 5% de las ventas. El auditor de TI como parte del equipo de auditoría interna juega un rol muy importante dado que hoy en día la mayoría de la información de toma de decisiones esta sistematizada. Lo anterior implica que una falla en el control interno de la administración de TI puede dar al traste con todos los controles en los procesos de negocio. La auditoría oportuna a los controles de TI puede sacar a la luz situaciones de movimientos sospechosos o situaciones que se presten a la manipulación de la información. Con base a investigaciones y casos prácticos se enseñará a los asistentes a esta sesión como establecer un programa de auditoría de TI que ayude en la detección y prevención de fraudes. Sesión 342 Prácticas de Control y Directrices de Auditoría: Un Nuevo Enfoque a Partir de COBIT 4.1 Fernando Ferrer Olivares, CISA Banco de la República Estéganos International Group Colombia El valor agregado que brindan los auditores de tecnología de información será reconocido en mejor forma cuando su trabajo se fundamente en el empleo de mejores prácticas, dado que con ello se contribuye a que la organización alcance los niveles de cumplimiento exigidos por reguladores, a demostrar un debido cuidado profesional y a fomentar el logro de los objetivos organizacionales. Adicionalmente, si cada día más organizaciones emplean COBIT y otros documentos como sus framewors de control en tecnología de información, es indispensable que los auditores adopten sus métodos y técnicas a los mismos, permitiendo el empleo de lenguajes y métodos comunes y armónicos de trabajo. El participante aprenderá cómo realizar Auditorías con COBIT 4.1 a través del uso de las Directrices de Auditoría y las Prácticas de Control.

7 Quiero llegar a la cima. 7 Pista 3 Gestión de Seguridad de Sistemas de Información (IT Security Management) Sesión 113 Implementación Exitosa de Métricas de Seguridad /c Roberto Hernández Rojas Kimat, Grupo Scanda Las principales organizaciones en desarrollo de estándares y marcos de referencia de la seguridad de la información tales como ISO, FISMA, NIST, IEE, han publicado sus propuestas de métricas de seguridad, pero hasta ahora están muy orientadas a la tecnología o a los procesos tecnológicos. La ISACA ha desarrollado métricas de seguridad desde el punto de vista de gobernabilidad en la seguridad de la información, en esta sesión uno de los responsables del desarrollo expondrá como se llegó al consenso de estas métricas y propondrá un esquema de implantación que integra los distintos estándares y marcos de referencia. Sesión 123 Administrando la Confidencialidad de la Información: Saneamiento de Medios de Almacenamiento de Información Jeimy J. Cano Universidad de los Andes Colombia Los medios de almacenamiento de información son un factor crítico de éxito en el mantenimiento de los datos y documentos electrónicos de las organizaciones. Una adecuada administración y control de los mismos, redunda directamente en la buena gestión del área de TI. En este sentido, esta presentación abordará dicha problemática revisando los avances en sistemas de almacenamiento, las estrategias de disposición de medios, software y hardware requerido para éstos procesos, procurando establecer reflexiones que permitan administrar los riesgos asociados con la obsolescencia tecnológica y la pérdida de confidencialidad de la información. Sesión 133 Medición de Riesgo y Efectividad de Controles de Seguridad c Ricardo Morales González, CISA, CISM ALESTRA Hoy en día algunas organizaciones invierten mucho en recursos para poder mitigar los riesgos relacionados a la Seguridad de la Información, pero en ocasiones lo anterior trae frustración debido a los pobres resultados obtenidos. Esta ponencia tiene como objetivo presentar una metodología altamente efectiva para el diseño, desarrollo, pruebas, implementación y mejora continua de los Controles de Seguridad de la Información. Además se mostrará cómo un proceso de Administración de Riesgos de Seguridad de la Información debe realizar el adecuado tratamiento de los riesgos mediante Controles de Seguridad. Sesión 213 Seguridad y su Relación con Val IT TM /c Carlos Zamora Sotelo, CISA, CISM Carlos Pérez Chalico, CISA, CISM Consetti Ernst & Young En esta sesión se revisarán los fundamentos de la administración de portafolios de inversiones en seguridad de la información en una organización, tomando en cuenta el marco referencial propuesto por Val IT. El participante podrá conocer un marco integrado de trabajo, aterrizado para el ciclo de vida de la administración de portafolios de inversión en Seguridad de la Información. Los fundamentos expuestos servirán para que el participante pueda conocer y explorar el marco de trabajo del ciclo de vida económico de los proyectos y su respectiva clasificación de categorías de inversión, considerando las variables fundamentales del Retorno sobre inversión en materia de Seguridad (ROSI). Los participantes tendrán la oportunidad de conocer la aplicación e implantación de estos conceptos mediante la revisión de dos casos prácticos. Sesión 223 Computación Forense en el WEB. Conceptos y Herramientas /c Jeimy J. Cano Universidad de los Andes Colombia La web es sin duda el medio de conectividad e interacción más utilizado por todos los usuarios de Internet. En este sentido adelantar investigaciones e identificar los rastros de navegación de los usuarios, comprender el funcionamiento de los navegadores, la estructura de los archivos de historia de los mismos y las estrategias de evasión posibles son elementos claves para avanzar con éxito en el análisis de incidentes que se presenten en este medio. Esta presentación buscará detallar elementos prácticos a considerar en este tipo de investigaciones, las herramientas disponibles y cómo presentar los resultados de las mismas. Sesión 233 Implantación del Sistema de Gestión de Seguridad de la Información en una Empresa Compleja Eduardo Carozo Blumsztein Antel Uruguay Se presentarán estrategias y herramientas para lograr una exitosa implantación y control de un Sistema de Gestión de Seguridad de la Información en una organización. Se presentará el diseño de un cuadro de control basado en Cobit para evaluar, el desempeño del Sistema de Gestión de Seguridad de la Información. Con el objetivo de medir eficaz y eficientemente el cumplimiento del proceso de mejora continua de la seguridad de la información de la organización, se mostrará un posible modelo de implantación que ha resultado exitoso.

8 8 Calendario de Sesiones T A L L E R E S Sábado, 20 de Octubre de 2007 Domingo, 21 de Octubre de 2007 Lunes, 22 de Octubre de PISTA 1 WS Gobierno y Control de TI (IT Governance and Control) PISTA 2 Auditoría de Sistemas de Información (IT Assurance) PISTA 3 Gestión de Seguridad de Sistemas de Información (IT Security Management) Implementación de Gobierno de TI Utilizando COBIT y Val IT c Jorge Medin Hidalgo y Gustavo A. Solís WS2 Curso de Preparación al Examen CISA c José Manuel Ballester Fernández, Gerardo Alcarraz y Theodore Dale Vuanovich P R E S E N T A C I Ó N I N A U G U R A L I N G. R O L A N D O Z U B I R Á N A L E S T R A Actualización de COBIT 4.1 Ana Virginia Escalante de Vargas 112 Mapeo de Riesgos/Matriz de Riesgos de TI Gustavo Adolfo Solís Montes 113 Implementación Exitosa de Métricas de Seguridad c Roberto Hernández Rojas Análisis de Impacto al Negocio desde el Punto de Vista de Continuidad c José Ángel Peña Ibarra 122 Los Retos y el Rol del Auditor de TI en un Proceso de Certificación Exitoso de Sarbanes-Oxley Héctor Estrada Rivera 123 Administrando la Confidencialidad de la Información: Saneamiento de Medios de Almacenamiento de Información Jeimy J. Cano Gobernabilidad de Cumplimiento de Regulaciones de TI Carlos Kornhauser López 132 Panel de Discusión: Integración del Análisis de Riesgos de TI con el Análisis de Riesgos Operativo de Acuerdo con Basilea II José Ángel Arias Alvarez, Marcelo Héctor González, Jorge Serrano 133 Medición de Riesgo y Efectividad de Controles de Seguridad Ricardo Morales Gonzáles S E S I O N E S E D U C A T I V A S D E P R O V E E D O R E S Y R E C E P C I Ó N D E P R O V E E D O R E S IT Govern para las P Julio De La E 212 Escenario Riesg Convencie Altos Ejecu Ulises Cas Hernánd 213 Seguridad Relación co Carlos Zamor y Carlos Pérez d Básico Intermedio c Avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción y prerrequisitos de la sesión para determinar si la sesión es apropiada para usted.

9 9.00 Martes, 23 de Octubre de Miércoles, 24 de Octubre de 2007 T A L L E R E S Jueves, 25 de Octubre de 2007 Viernes, 26 de Octubre de WS3 ance YMES spada s de ndo a tivos tillo ez y su n ValIT Sotelo Chalico S E S I O N E S E D U C A T I V A S D E P R O V E E D O R E S BSC para Competitividad de TI Jorge Medin Hidalgo 222 Casos de Éxito en la Implementación de Auditorías de TI Basadas en Análisis de Riesgos Julio R. Jolly Moore 223 Computación Forense en el web. Conceptos y Herramientas Jeimy J. Cano Integración del Gobierno de TI con el Gobierno Corporativo Alvaro Jaiel 232 Cómo Realizar Auditorías Utilizando Estándares y Mejores Prácticas d Marcelo Héctor González 233 Implantación del Sistema de Gestión de Seguridad de la Información Eduardo Carozo Blumsztein Casos Prácticos del uso de IT Governance para Alineación con el Negocio Germán Valdivieso 313 Diseño de un Sistema de Seguridad de Información Panel de Discusión Uso y Actualización de Nueva Versión de ITIL v3 e ISO Omar O. Saucedo Flores 322 Desarrollo Profesional del Auditor de TI 323 Robo de Itentidad Está su Empresa Protegida? Logrando la Calidad Total en los Servicios de TI a Través de Val IT y COBIT Héctor Mauricio Sánchez Arriaga 332 El Rol del Auditor de TI en la Detección y Prevención de Fraude 333 Lecciones Aprendidas sobre ISO y su Relación con COBIT COBIT en Academia Caso de Exito Ricardo Bria y Manuel Palao Diez Prioridades de la Auditoría de TI en un Ambiente Cambiante d Napoleón César Imbett Otero Mario Ureña Cuate y Jorge Ricardo Rendón Blacio Rubén Quintero Ubando y Carlos Kingwergs Castrejón Gerardo Alcarraz Oscar Viniegra Lira Juan Carlos Martínez Ventura y José Manuel Ballester Fernández Prácticas de Control y Directrices de Auditoría: Un Nuevo Enfoque a Partir de COBIT 4.1 Fernando Ferrer Olivares 343 Manejo de Incidentes: Un Caso Práctico en un Ambiente Global Jorge Garibay Orozco Implementación de Gobierno de TI utilizando COBIT y Val IT WS4 PenTest y Herramientas y Técnicas de Penetración de Redes c Gloria Elena Cárdenas Soto y Alexander Zapata Víctor Chapela WS5 Curso de Preparación al Examen CISM Ricardo Morales, Fernando Ferrer Olivares y Roberto Hernández Rojas Límite de Responsabilidad Los datos sobre los ponentes/expositores, temas y eventos, son correctos hasta el momento de la publicación de este documento. Si existiera alguna eventualidad, ISACA se reserva el derecho de alterar o borrar algún elemento de la conferencia Latin América CACS Los conferencistas han preparado su material para el desarrollo profesional de la membresía de ISACA y otros interesados en la comunidad de Auditoría y Control de Sistemas de Información. Aún cuando ellos confían en que tal material será útil para tal efecto, ni los conferencistas ni la ISACA pueden garantizar que el uso de este material sea adecuado para descargar la responsabilidad legal o profesional de los miembros en el ejercicio de sus prácticas.

10 10 Sesión 313 Diseño de un Sistema de Seguridad de Información Panel de Discusión Mario Ureña Cuate, CISA, CISM Secure Information Technologies Jorge Ricardo Rendón Blacio Rendón y Asociados Los responsables de Seguridad de la Información nos enfrentamos al reto de balancear la implementación de controles que minimicen riesgos y conserven la comodidad-funcionalidad que gozan los usuarios hoy en día. Es cada vez más común escuchar sobre programas de concienciación, pruebas de penetración y haceo ético, políticas y procedimientos, planes de recuperación de desastres, análisis forense, etc. Todos, componentes del Sistema de Seguridad de la Información. Durante esta sesión, les presentamos un compilatorio de experiencias y lecciones aprendidas en las diferentes etapas involucradas en el diseño de un Sistema de Seguridad de la Información para la Organización, logrando su participación activa y asegurando su legitimidad y perdurabilidad. Sesión 323 Robo de Identidad Está su Empresa Protegida? Gerardo Alcarraz, CISA Banco de la República Oriental del Uruguay Uruguay El robo de identidad es tal vez uno de los delitos más peligrosos y dañinos para nuestras organizaciones ya que amenaza considerablemente con afectar la confianza e imagen de ellas. Ocurre cuando la identificación de una persona es usada o transferida por otra persona para desarrollar actividades ilegales. Por su innumerable cantidad de métodos de obtención de dicha identificación, es difícil de detectarla o prevenirla. Es sólo a través de una cultura de seguridad que despierte la conciencia de todos los que integramos las organizaciones para poder protegernos contra este tipo de delito. Esta conferencia repasará los diferentes escenarios de ataque para posteriormente estudiar las medidas de seguridad que se puedan implementar para estar preparados ante el Robo de Identidad. Sesión 333 Lecciones Aprendidas Sobre ISO y su Relación con COBIT c Juan Carlos Martínez Ventura, CISA Scitum José Manuel Ballester Fernández, CISA, CISM Temanova España La adopción del estándar ISO como modelo de gestión de seguridad de la información permite a las compañías rentabilizar sus inversiones en Seguridad TIC, la unificación con modelos de IT Governance (COBIT ) hace que el alineamiento sea completo y sostenible. Por ello las TIC pasan a convertirse en centros generadores de valor dentro de las organizaciones. Esta sesión presentará ejemplos prácticos de establecimiento y mantenimiento de un marco de gestión que provee garantía de que las estrategias de seguridad de la información están alineadas con los objetivos del negocio y son conformes con las leyes y regulaciones aplicables. Así mismo se revisarán las lecciones aprendidas tras la obtención de las certificaciones. Sesión 343 Manejo de Incidentes: Un Caso Práctico en un Ambiente Global Jorge Garibay Orozco, CISA Xertix La administración de incidentes dentro de un ambiente de tecnologías de información, es un tema que ha vendido tomando mayor importancia en los últimos años. De ser un tema relacionado estrictamente con la administración de servicios, se ha convertido en un dominio dentro del estándar de seguridad ISO En la medida en que las organizaciones gestionen con mayor eficiencia la atención y solución de los incidentes, se encontrarán en mejor posición de garantizar una operación con mejores niveles de disponibilidad, integridad y seguridad de la información. La conformación de un Help Des y de un centro de soporte y atención de fallas, ya no es solamente una cuestión operativa dentro de las organizaciones, sino una parte estratégica que nos indica en que medida somos confiables en nuestras operaciones de TI. T A L L E R E S Nota: Los talleres WS1 y WS3 serán presentados como sigue: WS de Octubre, 2007 (antes de la conferencia) WS de Octubre, 2007 (después de la conferencia) Implementación de Gobierno de TI Utilizando COBIT y Val IT WS1 WS3 (20-21 Octubre) (25-26 Octubre) Jorge Medin Hidalgo, CISA, CISM Gloria Elena Cárdenas Soto, CISA Gobierno de la provincia de Mendoza Argentina Gustavo A. Solís, CISA, CISM Grupo Cynthus Bancolombia Colombia Alexander Zapata, CISA Grupo Cynthus Como respuesta a las necesidades de orientación sobre cómo implementar el Gobierno de TI utilizando COBIT, el IT Governance Institute (ITGI) creó la segunda edición de la Guía de Implementación de Gobierno de TI. Este importante documento ayuda a las organizaciones a evaluar e implementar el Gobierno de TI usando modelos de madurez, marcos de referencia para la medición de desempeño, objetivos y prácticas de control. Este taller de dos días se basa en la guía de implementación y su mapa de ruta para las actividades de implementación de Gobierno de TI. El taller ofrece lecturas, casos de estudio y ejercicios grupales con el fin de explorar los conceptos de Gobierno de TI y resaltar mejores prácticas y factores críticos de éxito para el proyecto. El Taller también incluye referencias a la iniciativa de Val IT del ITGI con el fin de optimizar la creación de valores de las inversiones de TI y se explicará cómo el marco de referencia de Val IT soporta el proyecto de implementación de Gobierno de TI. d Básico Intermedio c Avanzado Nota: El nivel básico de una persona, puede ser el nivel avanzado de otra. Por favor revise la descripción y prerrequisitos de la sesión para determinar si la sesión es apropiada para usted.

11 Quiero llegar a la cima. 11 WS2 Curso de Preparación al Examen CISA José Manuel Ballester Fernández, CISA Temanova España Gerardo Alcaraz, CISA Banco de la República Oriental del Uruguay Uruguay Theodore Dale Vuanovich, CISA Answer Consulting Group Peru Este curso de preparación de dos días está diseñado para apoyar y mejorar el proceso de estudio de los candidatos a presentar el examen Certified Information Systems Auditor TM (CISA ) y también será muy útil para el profesional que desee tener una visión de los principales temas relacionados con la auditoría de sistemas. En este curso se revisarán los principales temas, conceptos y prácticas de auditoría de sistemas. El material del curso complementará el material que ISACA ha desarrollado para el estudio de preparación al examen CISA. Este curso es complementario a los cursos intensivos de varias semanas que se ofrecen en diversos capítulos de ISACA como preparación al examen CISA. Nota: El participante recibirá un Manual de Preparación al Examen CISA 2007 en español como parte de su material del curso. WS4 Pen Test: Herramientas y Técnicas de Penetración de Redes Víctor Chapela Sm4rt Los ataques perpetrados a los sistemas de seguridad que protegen la infraestructura tecnológica de las organizaciones son cada vez más sofisticados, por lo que no es suficiente con contar con esquemas de seguridad basados en la combinación de hardware, software y personal especializado, sino que es necesario validar periódicamente la seguridad real de la infraestructura instalada a través de pruebas de penetración (PEN-TEST) y análisis de vulnerabilidades conducidos por expertos en el tema de la seguridad informática. Los participantes en este taller, a través del análisis y desarrollo de casos prácticos, aprenderán más sobre; la importancia de utilizar las pruebas de penetración (PEN-TEST) y los análisis de vulnerabilidades como herramientas para evaluar la efectividad de la seguridad de la información en la organización; los criterios y consideraciones a tener en cuenta durante el proceso de contratación de servicios para la ejecución de pruebas de penetración (PEN-TEST) y análisis de vulnerabilidades; los lineamientos para llevar a cabo una gestión efectiva de la seguridad basada en los resultados de las pruebas de penetración (PEN-TEST) y los análisis de vulnerabilidades; y las herramientas utilizadas para la ejecución de las pruebas de penetración (PEN-TEST) y los análisis de vulnerabilidades. WS5 Curso de Preparación al Examen CISM Ricardo Morales, CISA, CISM ALESTRA Fernando Ferrer Olivares, CISA Banco de la República / Estáganos International Group Colombia Roberto Hernández Rojas, CISA, CISM KIMAT, Grupo Scanda Este es un curso diseñado para apoyar y mejorar el proceso de estudio de los candidatos a presentar el examen Certified Information Security Manager (CISM ). También servirá para aquellos profesionales interesados en conocer los conceptos fundamentales de la Gestión de la seguridad de la información. En este curso se revisarán los conceptos clave de la gestión de la seguridad de la información. Se enfatizarán las prácticas gerenciales y los tópicos y conceptos relacionados con el temario de preparación para el examen CISM. Este curso es complementario a los cursos intensivos de varias semanas que se ofrecen en diversos capítulos de ISACA como preparación al examen CISM. Nota: El participante recibirá un Manual de Preparación al Examen CISM 2007 en español como parte de su material del curso.

12 12 Información General Beneficios de la Conferencia Las cuotas de inscripción al Latin America CACS incluyen: Asistencia a las sesiones que desee de las 30 que se llevarán a cabo en la conferencia Memoria impresa de las presentaciones de los conferencistas, de las sesiones recibidas al tiempo de la impresión Entrada sin restricción alguna a las sesiones de intercambio de información InfoExchange el lunes y el martes, 22 y 23 de octubre Asistencia a las sesiones educativas que elija de los patrocinadores de InfoExchange Almuerzos/comidas de cortesía desde el lunes 22 de octubre, hasta el miércoles 24 de octubre Refrescos gratuitos durante los descansos de la mañana y la tarde durante los tres días de la conferencia Invitaciones a los siguientes eventos sociales: Recepción de Bienvenida, el domingo 21 de octubre Recepción de Patrocinadores, el lunes 22 de octubre Velada Especial, el martes 23 de octubre Posibilidad de obtener hasta 40 horas de CPE Fechas y Horarios de la Conferencia y de los Talleros Conferencia Del lunes 22 de octubre al miércoles 24 de octubre de 2007, 8.30 a Talleres Talleres antes de la conferencia, WS1 y WS2 el sábado y domingo 20 y 21 de octubre de 9.00 a Taller después de la conferencia, WS4 el jueves 25 de octubre de 9.00 a Talleres después de la conferencia, WS3 y WS5 el jueves y viernes 25 y 26 de octubre de 9.00 a Conferencia y Talleres Fechas y Horarios de Inscripción Inscripción a la Conferencia Domingo 21 de octubre de a Lunes 22 de octubre de 7.00 a Martes 23 de octubre de 8.00 a Miércoles 24 de octubre de 8.00 a Fechas y horarios de InfoExchange Lunes 22 de octubre de a Martes 23 de octubre de a Inscripción a los Talleres antes o después de la conferencia Talleres WS1 y WS2 Sábado 20 de octubre de 7.30 a Talleres WS3, WS4 y WS5 Jueves 25 de octubre de 7.30 a Eventos Especiales Recepción de Bienvenida Domingo 21 de octubre de a Participe en el acto de apertura de la conferencia Latin America CACS. Reúnase con sus antiguos y nuevos compañeros de todo el mundo, así como con los ponentes. Este es el momento propicio para comenzar a hacer contactos en el mundo de los negocios. Recepción de Proveedores e InfoExchange Lunes 22 de octubre de 2007, de a Recepción de Proveedores Martes, 23 de octubre de 2007, de a Apertura de exhibiciones La Recepción de Proveedores marca la apertura oficial de las sesiones de intercambio de información InfoExchange. Acérquese a tomar un refresco y a evaluar los últimos productos y servicios disponibles para los profesionales de TI. Los proveedores estarán a su disposición para mostrar productos y responder a sus preguntas. Invitación Para Unirse a ISACA Aún no es socio? Si se asocia a ISACA, podrá solicitar la diferencia entre las cuotas de conferencia a asociado y no asociado. Esto podría permitirle que se convierta potencialmente en un asociado tanto a nivel internacional como de un capítulo local sin ningún cargo adicional y disfrutando de todos los beneficios de la asociación. Los no asociados pagarán la cuota de conferencia de no asociados al inscribirse; la diferencia entre la cuota de asociado y no asociado se aplica a los asociados. Marque el cuadro del formulario de inscripción para aceptar nuestra invitación. Para más información acerca de la membresía de ISACA, póngase en contacto con el departamento de Membresía por en membership@isaca.org o visite la página web de ISACA ( Descargo de responsabilidad de membresía: Mediante la solicitud para formar parte de ISACA, los asociados se comprometen a proteger a la asociación y al IT Governance Institute (ITGI TM ), sus dignatarios, directores, agentes, administradores, miembros y empleados de todas actuación o mala actuación mientras llevan a cabo la finalidad de la asociación y del instituto, expuestos en sus respectivos estatutos, así como a certificar que se apegarán al código de ética profesional de la asociación ( Deje su tarjeta de presentación en cada uno de los puestos de exhibición y opte a los premios que ofrecen. El gran premio es una inscripción gratuita a la conferencia Latin America CACS 2008 en Santiago de Chile. Sesiones Educativas de Proveedores Lunes 22 de octubre de a Martes 23 de octubre de a ISACA ofrece sesiones educativas especiales de media hora, presentadas por los proveedores de InfoExchange. Usted podrá obtener créditos de CPE por su asistencia a estas sesiones. Las sesiones educativas de proveedores facilitan la gran posibilidad adicional de interactuar con los proveedores o ver una demostración de los productos y servicios que ofrecen. En la conferencia se anunciarán las sesiones, con su lugar y horario específico. Velada Especial Martes 23 de octubre de Reúnase con sus compañeros de Latin America CACS para un evento especial por la noche. El Atrium Club Empresarial agasajará a los delegados con comida gourmet, bebidas, mariachis, baile y una vista, panorámica espectacular de Monterrey. Se proporcionará transporte deida al evento y de regreso al hotel. Los delegados de la conferencia dispondrán de acceso gratuito al evento con su inscripción. Las entradas adicionales para su pareja e invitados se pueden comprar por Internet en el website de ISACA o en la misma conferencia. Lugar de la Conferencia y Alojamiento Sede del evento: La Conferencia Latin America CACS 2007 se llevará a cabo en el Crowne Plaza Hotel Monterrey, Monterrey, Estado de Nuevo León,. Usted podrá reservar su habitación en el hotel del evento contactando directamente a: Crowne Plaza Hotel Monterrey Avenida Constitución Ote. 300 Monterrey, NL, Teléfono: Fax: Website: Tarifa del Hotel: Precio de la habitación: US $175 por noche en habitación sencilla/doble Fecha límite para las reservaciones de hotel: 21 de septiembre de Por favor mencione la Conferencia de ISACA Latin America CACS 2007 cuando haga sus reservaciones. La tarifa del hotel

13 13 estará disponible tres (3) días antes y tres (3) días después de la fecha de la conferencia, dependiendo de su disponibilidad. Transporte El Aeropuerto Internacional Mariano Escobedo está situado 21 ilómetros de la ciudad de Monterrey. Dentro del aeropuerto existen módulos de diferentes compañías que proveen el servicio de taxi para que usted llegue al hotel. En esos módulos se compra el boleto y en el taxi se entrega dicho boleto. Los diferentes proveedores de taxis tienen tarifas similares. El hotel sede se encuentra aproximadamente a 30 minutos del aeropuerto; por esa distancia el costo del taxi es de $250 pesos mexicanos (US $23) aproximadamente. Existe una autopista que comunica el aeropuerto a Monterrey, el costo es de US $2 aproximadamente, que no está incluido en el boleto del taxi. Además existe una vía libre que no tiene costo. Los 2 caminos son seguros y confiables; la diferencia es el tráfico de la ciudad. Es recomendable tomar la autopista si usted se dirige del aeropuerto a Monterrey entre a de la noche o si usted se dirige de Monterrey al aeropuerto entre 6.00 a 9.00 de la mañana. Los fines de semana y fuera del horario mencionado es indistinto tomar cualquier camino. Si usted desea rentar un auto, el costo aproximado de un carro económico sería $ pesos diarios (incluye impuestos y seguros), aproximadamente US $56 diarios. Las reservaciones para la renta de autos la puede realizar en Vestimenta La vestimenta apropiada para la conferencia es business casual. Si lo desea, puede llevar traje de varias piezas. Créditos CPE Todos los participantes de Latin America CACS tienen derecho a recibir hasta 40 créditos de CPE (19 por asistir a la conferencia y 14 si asiste a los talleres WS1, WS2, WS3, ó WS5 ó 7 por asistir al taller WS4). Estos créditos están reconocidos por ISACA como horas CPE de CISA y CISM y, en su caso, por otras organizaciones profesionales. Ubicación La ciudad de Monterrey está situada al pie de la Sierra Madre Oriental, por lo que está rodeada de montañas y cordilleras que le confieren un carácter único y razón por la cual también se le conoce como La Ciudad de las Montañas. Monterrey es una de las ciudades con mayor dinamismo económico en Latino América y es sinónimo de éxito empresarial, siendo sede de importantes grupos industriales, muchos de ellos con importantes operaciones internacionales. Monterrey ha venido evolucionando de una economía de manufactura a una economía basada en el conocimiento y los servicios. Cuenta con más de 40 universidades, varias de las cuáles tienen gran prestigio internacional, por lo que en la ciudad conviven estudiantes y profesores de muy diversos países. La posición geográfica de Monterrey cerca de la frontera con los Estados Unidos de América, le da un carácter de puerta de entrada y vínculo entre la cultura latinoamericana y la cultura anglosajona. Esto crea una ciudad con una cultura única, que merece conocerse. Política de Cancelación Si se recibe una cancelación indicando que NO podrá asistir a la conferencia, por teléfono, o fax antes del 26 de septiembre de 2007, le reembolsaremos sus cuotas de inscripción a la conferencia menos una tasa de cancelación de US $100, una tasa de cancelación de US $50 de la inscripción a talleres y (si procede) se le deducirá la cantidad de derechos de asociado aplicada como resultado de aceptar el cuadro que aparece a continuación: Deseo solicitar la diferencia entre cuota de conferencia de asociado y no asociado haciéndome socio de ISACA. Después del 26 de septiembre de 2007, no se realizará ningún reembolso. No hay fecha límite para llevar a cabo las sustituciones de asistentes hasta el día de la conferencia. Si se sustituye un no asociado por un asociado, se seguirán cargando las cuotas de conferencia para no asociado. Aviso: La inscripción y la entrega de los materiales de la conferencia está condicionada al pago total de la cuota de inscripción. Para garantizar su inscripción, las cuotas del evento o curso deben recibirse antes del plazo publicado. Los giros telegráficos y los formularios enviados por pueden requerir 10 o más días laborables en llegar a ISACA, de modo que debe prever este plazo en su inscripción. En caso de que por cualquier razón ISACA deba cancelar un curso o evento, se hará responsable únicamente de la cuota de inscripción pagada. ISACA no se hace responsable de otros gastos incurridos, incluidos los gastos de viaje y de alojamiento. Para más información concerniente a las políticas de administración, tales como quejas y reembolsos, póngase en contacto con el departamento de conferencia de ISACA: Teléfono: , ext. 485 Fax: conference@isaca.org Precios Cuotas de inscripción (Las cuotas de inscripción están indicadas en dólares americanos) Inscripción a la conferencia: Asociado de ISACA (Hasta el 15 de agosto de 2007) US $750 Asociado de ISACA (Después del 15 de agosto de 2007).... US $800 No asociados US $1,000 Inscripción a talleres: WS 1 (dos días) Asociado de ISACA..... US $500 No Asociados US $700 WS 2 (dos días) Asociado de ISACA..... US $500 No Asociados US $700 WS 3 (dos días) Asociado de ISACA..... US $500 No Asociados US $700 WS 4 (un día) Asociado de ISACA US $300 No Asociados US $400 WS 5 (dos días) Asociado de ISACA..... US $500 No Asociados US $700 Impuesto IVA (VAT): Las cuotas de inscripción que aquí se indican no incluyen el impuesto al valor agregado (IVA) ó (Value Added Tax [VAT]) y las cuotas de IVA (VAT) no se pueden deducir de las cuotas de inscripción remitidos. Nota: Por favor tenga en cuenta que todas las obligaciones de pagos de impuestos, son responsabilidad de la persona o organización que está realizando el pago y no de ISACA. Adicionalmente, ISACA debe recibir la cantidad total de cuotas de inscripción indicada, antes de considerar que su inscripción ha sido pagada por completo.

14 14 Conferencia Latinoamericana de Auditoría, Control y Seguridad (Latin America CACS SM ) Del 21 al 24 de Octubre de 2007 Crowne Plaza Hotel Monterrey Monterrey, Conferencia y Talleres de Latin America CACS Página 1 de 2 1. Complete la siguiente información con letra mayúscula. (Por favor utilice máquina de escribir o letra de molde) Nombre (Sr., Sra., Srita.) (Nombre) (Segundo nombre) (Apellidos) Título/Cargo Teléfono de la empresa Empresa Fax de la empresa Nombre de identificación (nombre en el gafete/escarapela) Dirección de (Indique si es:) Domicilio empresarial ó Domicilio residencial Cambio de domicilio. Dirección (Calle o avenida y número) Ciudad Estado/Provincia Código postal País NO incluir mi dirección completa en la lista facilitada a delegados, ponentes y expositores. Miembro de ISACA? Sí Número de miembro No LC2007 INSCRÍBASE AHORA Aún no es socio? Si se asocia a ISACA, podrá solicitar el descuento de la cuota. Esto podría permitirle que se convierta potencialmente en un asociado tanto a nivel internacional como de un capítulo local sin ningún cargo adicional y disfrutando de todos los beneficios de la membresía. Sólo tiene que marcar el cuadro del formulario de inscripción para aceptar nuestra oferta. Deseo aplicar la diferencia de la cuota de la conferencia entre el costo de asociado y el de no asociado hacia la membresía de ISACA. Estoy de acuerdo con el descargo de responsabilidad de membresía señalada en este folleto. 2. Marque con un círculo las sesiones a las que desee asistir (No más de una sesión por período de tiempo). Pista TALLERES Sábado, 20 de Octubre de 2007 Domingo, 21 de Octubre de 2007 Lunes, 22 de Octubre de 2007 Martes, 23 de Octubre de 2007 Miércoles, 24 de Octubre de 2007 TALLERES Jueves, 25 de Octubre de 2007 Viernes, 26 de Octubre de Gobierno y Control de TI Auditoría de Sistemas de Información Gestión de Seguridad de Sistemas de Información WS1 WS WS WS WS5

15 Conferencia Latinoamericana de Auditoría, Control y Seguridad (Latin America CACS SM ) Del 21 al 24 de Octubre de 2007 Crowne Plaza Hotel Monterrey Monterrey, 15 Conferencia y Talleres de Latin America CACS Página 2 de 2 Nombre 3. Cuotas de inscripción (Marque con un círculo sus elecciones) (todas las cuotas están indicadas en dólares americanos) Inscripción a la conferencia Asociado de ISACA (pago hasta el 15 de agosto de 2007) US $750 Asociado de ISACA (pago después del 15 de agosto de 2007).... US $800 No asociado US $1,000 Inscripción a talleres (dólares americanos) Talleres antes o después de la conferencia Asociado No-Asociado WS1 Implementación de COBIT y Gobierno de TI y Val IT [dos días] US $ US $700 WS2 Curso de Preparación al Examen CISA [dos días]... US $ US $700 WS3 Implementación de COBIT y Gobierno de TI y Val IT [dos días] US $ US $700 WS4 PenTest: Herramientas y Técnicas de Penetración de Redes(una día) US $ US $400 WS5 Curso de Preparación al Examen CISM [dos días].. US $ US $700 Boleto para Velada Especial (sólo para acompañantes [El boleto para asistentes a la conferencia ya está incluido en la cuota de su inscripción a la conferencia]) US $90 TOTAL (Sume todos los importes que apliquen.) US $ Impuesto IVA (VAT): Las cuotas de inscripción que aquí se indican no incluyen el impuesto al valor agregado (IVA) ó (Value Added Tax [VAT]) y las cuotas de IVA (VAT) no se pueden deducir de las cuotas de inscripción remitidos. Nota: Por favor tenga en cuenta que todas las obligaciones de pagos de impuestos, son responsabilidad de la persona o organización que está realizando el pago y no de ISACA. Adicionalmente, ISACA debe recibir la cantidad total de cuotas de inscripción indicada, antes de considerar que su inscripción ha sido pagada por completo. La inscripción y la entrega de los materiales de la conferencia está condicionada al pago total de la cuota de inscripción. Descuento de inscripción a la conferencia: Se aplicará un descuento de inscripción de US $50 por persona cuando tres o más empleados de la misma organización se inscriban a la vez a la conferencia. Este descuento no es acumulable a otros descuentos de inscripción ofrecidos a miembros de ISACA. 4. Favor de indicar su forma de pago Se adjunta cheque pagadero en dólares americanos, expedido en un banco americano y pagadero a: ISACA. Transferencia Electrónica/Giro telegráfico Fecha de transferencia de dólares americanos y número de referencia (Favor de indicar en la descripción de la transferencia electrónica: 1. Nombre de quien asiste a la conferencia y 2. Concepto: Conferencia Latin America CACS 2007) Cargar a mi tarjeta Internacional: Visa MasterCard American Express Diners Club (AVISO: Todos los pagos con tarjeta de crédito se procesarán en dólares americanos.) Número de la tarjeta: Fecha de Vencimiento: Nombre del titular de la tarjeta de crédito (tal como aparece en la tarjeta) Firma del Titular de la tarjeta Dirección completa para elaborar factura (si difiere de la página anterior) 5. Métodos de inscripción A. Inscripción electrónica en el web site de ISACA: B. Enviar por FAX el formulario de inscripción completo a C. Enviar por correo el formulario de inscripción completo a: ISACA, 1055 Paysphere Circle, Chicago, Illinois USA. D. Transferencias electrónicas/giros bancarios: Enviar pagos electrónicos en dólares americanos a: La Salle National Ban, ABA nº , cuenta de ISACA nº , código SWIFT LASLUS44 [Incluir el nombre del asistente y Latin America CACS en la descripción o notificación de la transferencia.] 6. Política de cancelación Si se recibe una cancelación por teléfono, o fax antes del 26 de septiembre de 2007, le reembolsaremos sus gastos de inscripción a la conferencia descontándole una cuota de cancelación de US $100, un importe de cancelación de US $50 de la inscripción a talleres y (si procede) se le deducirá la cantidad de derechos de asociado aplicada como resultado de aceptar el cuadro que aparece a continuación: Deseo aplicar la diferencia de cuota de la conferencia entre el costo de asociado y el de no asociado hacia la membresía de la ISACA. Después del 26 de septiembre de 2007, no se realizará ningún reembolso. No hay fecha límite para llevar a cabo las sustituciones hasta la conferencia. Si se sustituye un no asociado por un asociado, se seguirán cargando las cuotas de conferencia a no asociado. Aviso: La inscripción está condicionada al pago total de la cuota de inscripción. Descargo de responsabilidad/notas: Las transferencias electrónicas/giros telegráficos y los formularios enviados en forma electrónica pueden requerir 10 o más días laborables en llegar a ISACA y ser tramitados, de modo que debe prever su inscripción. En caso de que por cualquier razón ISACA deba cancelar un curso o evento, se hará responsable únicamente de la cuota de inscripción. ISACA no se hace responsable de otros gastos incurridos, incluidos los gastos de viaje y alojamiento. Aviso: Todo aquel que se inscriba en forma electrónica y cuya inscripción no quede pagada hasta el comienzo del evento no se le garantizará la entrega de los materiales de la conferencia. La responsabilidad para obtener una VISA corre a cuenta del participante. Para más detalles, póngase en contacto con el gobierno local del país anfitrión. Una vez que se reciba una inscripción pagada, ISACA le enviará una carta de invitación, a petición. Para más información concerniente a las políticas de administración, como quejas y reembolsos, póngase en contacto con el Departamento de Conferencias de ISACA: Teléfono: , ext. 485 Fax: conference@isaca.org 7. Arreglos Especiales Requisitos de dieta especiales Solicitaré asistencia. Favor de contactarme para gestionar los arreglos pertinentes. 8. Tiene alguna pregunta? Póngase en contacto con el departamento de conferencias de ISACA en la oficina internacional en Rolling Meadows: Teléfono: , ext. 485 Fax: conference@isaca.org

16 Comité del Programa Latin CACS 2007 José Ángel Peña Ibarra Consultoría en Comunicaciones e Información (CCISA)-Alintec, Capítulo de Monterrey, Presidente del Comité Jorge Medín Hidalgo, CISA, CISM Gobierno de la Provincia de Mendoza Capítulo de Mendoza, Argentina Alexander Zapata, CISA Grupo Cynthus Capítulo Ciudad de, Colombia Gloria Elena Cárdenas Soto, CISA Organización Bancolombia, Colombia Capítulo de Bogotá, Colombia Roberto Hernández Rojas, CISA, CISM KIMAT, Grupo Escanda Capítulo Ciudad de, Jorge Serrano, CISA ComBanc S.A Capítulo de Santiago, Chile Alvaro Jaiel, CISA, CISM Grupo Gestor Cumbres Capítulo de San José, Costa Rica Elia Fernández Torres, CISA ISACA, Estados Unidos Comité del Capítulo Asociado 2007 ISACA Monterrey, Salomón Rico, CISA, CISM Deloitte & Touche Presidente del Capítulo de Monterrey, Presidente del Comité Asociado Ricardo Gonzalez DFK Capítulo de Monterrey, Tomás Ibarra Gutiérrez, CISA Axtel, S.A. de C.V. Capítulo de Monterrey, Gunar Longoria Garcia, CISA Banca Afirme, S.A. Capítulo de Monterrey, Alejandro Vázquez-Nava Asesoría de Empresas S.A. de C.V. Capítulo de Monterrey, Víctor Julián Morales Rivas Gobierno del Estado de Yucatán ISACA Capítulo Mérida Carlos Zamora Sotelo, CISA, CISM CONSETI ISACA Capítulo Ciudad de Cathy Vijeh ISACA, Estados Unidos 3701 ALGONQUIN ROAD, SUITE 1010 ROLLING MEADOWS, IL U.S.A. Por favor comparta este brochure con Director/gerente de Auditoría Auditor de Sistemas de Información Director/gerente de Seguridad de Sistemas de Información Auditor/Contador Externo Director General de Auditoría Director de Complimiento