Temario

AL FINALIZAR EL CURSO ESTARÁ EN CONDICIONES DE:

• Interpretar adecuadamente los requerimientos de la serie de normas ISA/IEC-62443 para la fase de Evaluación de Riesgo Cibernético (ASSESSMENT).

• Desarrollar todas estas actividades de evaluación de riesgos con éxito empleando una mínima cantidad de tempo, dedicando la mayor parte sobre las actividades de valor.

• Identificar correctamente al sistema bajo consideración ya sean estos sistemas existentes o futuros comenzando en etapas de ingeniería.

• Colaborar, participar y/o liderar una evaluación el riesgo cibernético detallado basado con la evaluación de escenarios y consecuencias realistas.

• Tomar buenas decisiones de forma consistente con otras disciplinas de riesgo industrial.

• Asistir o desarrollar un plan de acción efectivo, eficiente y suficiente para mitigar todos los riesgos de acuerdo con el riesgo tolerable por la organización.

CONTENIDO

1. Interpretar los requerimientos de la metodología WBS para cumplir con los requerimientos de las normas y tomar buenas decisiones.
2. Comprender las actividades necesarias a realizar durante la fase de Evaluación de Riesgo Cibernético (ASSESSMENT).
3. Comprender las entradas necesarias antes de comenzar cada actividad.
4. Comprender las salidas a producir como resultado de cada actividad.
5. Fijar y conocer las expectativas, roles y responsabilidades de cada participante.
6. Estimar, tiempos, duraciones y recursos necesarios para completar la evaluación de riesgos.
7. Analizar, comprender y modelar zonas y conductos.
8. Identificar con precisión el listado completo de ciber-activos que componen el sistema bajo consideración, incluyendo Hardware, Máquinas Virtuales y Software.
9. Emplear métodos y técnicas pasivas no intrusivas para identificar ciber-activos y desarrollar estudios de vulnerabilidades en sistemas existentes 7x24 o futuros.
10. Identificar vulnerabilidades públicas (existentes en bases de datos globales), privadas (propias de la instalación particular del SuC), y del día cero.
11. Clasificar vulnerabilidades como administrativas, cibernéticas y físicas.
12. Modelar la matriz de riesgos de Ciberseguridad Industrial a utilizar para calcular el Riesgo Cibernético Industrial de una forma repetible y auditable.
13. Desarrollar una evaluación de madurez en la organización contra mejores prácticas globales, incluyendo ISA/IEC-62443 y regulaciones para energía, petróleo y gas.
14. Desarrollar evaluaciones de brechas de seguridad contra mejores prácticas globales, incluyendo: ISA/IEC-62443 y otras.
15. Modelar los activos físicos de la compañía e identificar todas las potenciales consecuencias por medio de la técnica de identificación de peligros y análisis de criticidad.
16. Participar y/o conducir una evaluación de riesgos cibernéticos detallados según la metodología para la evaluación de riesgos de ISA/IEC-62443-3-2.
17. Producir las recomendaciones necesarias para llegar el riesgo tolerable por la organización.
18. Producir los informes necesarios con las recomendaciones necesarias y suficientes a nivel de procesos, tecnología, sistemas, políticas, procedimientos y mejores prácticas.

PERFIL DEL PARTICIPANTE
 
Está dirigido a todo personal de Energía, Petróleo y Gas que estén relacionados con las actividades de protección de la infraestructura crítica y sistemas de control. Es recomendada la participación de responsables de seguridad de IT, integradores de sistemas, proveedores de sistemas de control industrial, ingenieros de planta, gerencia de producción y operación de planta, seguridad industrial, especialistas en sistemas instrumentados de seguridad y personal de mantenimiento; ya sean de mandos altos o medios.

RECONOCIMIENTOS

Todos los participantes que cumplan con los requisitos del curso y que aprueben satisfactoriamente el examen final con una buena calificación serán galardonados con una Insignia Digital. La Insignia digital certifica que el participante ha asistido al curso de capacitación EN60 y ha realizado la prueba de evaluación final con una buena calificación, verificando que dicho participante ha asimilado los nuevos conocimientos de forma razonable.

REQUERIMIENTOS: 

No tiene requisitos específicos. Es recomendable que el profesional posea conocimientos de algunos de los siguientes: Gestión de Proyectos según metodología PI/PMBOK, Normas de Ciberseguridad Internacional por consenso de la industrial ISA/IEC-62443, Normas de Ciberseguridad Corporativa o de seguridad de la Información ISO-27000, Normas de gestión de riesgo industrial como ISA/IEC-61511, seguridad funcional, Regulaciones y/o normas nacionales como NIST, NERC, y otras; Experiencia en la gestión de proyectos corporativos y de gestión de cambio cultural, Otras normas de gestión de riesgo industrial (seguridad de trabajadores, seguridad ambientaL, etc.).