Curso : Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014 (Online)
Tiempo de estudio:420 horas
Realización:Cursos online
Coste: 440 €> 220 €
PARTE 1. GESTIÓN DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001
MÓDULO I. LA SEGURIDAD DEL LA INFORMACIÓN
UNIDAD DIDÁCTICA 1. NATURALEZA Y DESARROLLO DE LA SEGURIDAD DE LA INFORMACIÓN
- La sociedad de la información
- ¿Qué es la seguridad de la información?
- Importancia de la seguridad de la información
- Principios básicos de seguridad de la información: confidencialidad, integridad y disponibilidaD
- Descripción de los riesgos de la seguridad
- Selección de controles
- Factores de éxito en la seguridad de la información
- Principio Básico de Confidencialidad
- Principio Básico de Integridad
- Disponibilidad
UNIDAD DIDÁCTICA 2. NORMATIVA ESENCIAL SOBRE SEGURIDAD DE LA INFORMACIÓN
- Marco legal y jurídico de la seguridad de la información
- Normativa comunitaria sobre seguridad de la información
- Normas sobre gestión de la seguridad de la información: Familia de Normas ISO 27000
- Legislación española sobre seguridad de la información
- Planes de acción para la utilización más segura de Internet
- Estrategias para una sociedad de la información más segura
- Ataques contra los sistemas de información
- La lucha contra los delitos informáticos
- La Agencia Europea de Seguridad de las Redes y de la información (ENISA)
- Familia de Normas ISO 27000
- Norma ISO/IEC 27002:2009
- La protección de datos de carácter persona
- La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
- El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal
- La Agencia Española de Protección de Datos
- El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
- La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
- La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico
- La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones
- La Ley 59/2003, de 19 de diciembre, de firma electrónica
- La Ley de propiedad intelectual
- La Ley de propiedad industrial
UNIDAD DIDÁCTICA 3. BUENAS PRÁCTICAS EN SEGURIDAD DE LA INFORMACIÓN: NORMA ISO/IEC 27002
- Aproximación a la norma ISO/IEC 27002
- Alcance de la Norma ISO/IEC 27002
- Estructura de la Norma ISO/IEC 27002
- Evaluación y tratamiento de los riesgos de seguridad
- Las cláusulas del control de seguridad
- Las principales categorías de seguridad
- Evaluación de los riesgos de seguridad
- Tratamiento de los riesgos de seguridad
UNIDAD DIDÁCTICA 4. POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE ACTIVOS
- Política de seguridad de la información 77
- Organización de la seguridad de la información
- Organización interna de la seguridad de la información
- Grupos o personas externas: el control de acceso a terceros
- Clasificación y control de activos de seguridad de la información
- Responsabilidad por los activos de seguridad de la información
- Clasificación de la información
- Etapas en el desarrollo de una política de seguridad de la información
- Características esenciales de una política de seguridad de la información
- Documento de política de la seguridad de la información
- Revisión de la política de seguridad de la información
- Compromiso de la dirección con la seguridad de la información
- Coordinación de la seguridad de la información
- Asignación de responsabilidad de seguridad de la información
- Autorización de procesos para facilidades procesadoras de la información
- Acuerdos de confidencialidad para la protección de la información
- Contacto con las autoridades y con grupos de interés especial en los incidentes de seguridad
- Revisión independiente de la seguridad de la información
- Identificación de los riesgos de seguridad relacionados con personas externas
- Tratamiento de la seguridad de la información en las relaciones con los clientes
- Tratamiento de la seguridad de la información en acuerdos con terceros
- Inventario de los activos de seguridad de la información
- Propiedad de los activos de seguridad de la información
- Uso aceptable de los activos de seguridad de la información
- Lineamientos de clasificación de la información
- Etiquetado y manejo de información
UNIDAD DIDÁCTICA 5. SEGURIDAD FÍSICA, AMBIENTAL Y DE LOS RECURSOS HUMANOS
- Seguridad de la información ligada a los recursos humanos
- Medidas de seguridad de la información antes del empleo
- Medidas de seguridad de la información durante el empleo
- Seguridad de la información en la finalización de la relación laboral o cambio de puesto de trabajo
- Seguridad de la información ligada a la seguridad física y ambiental o del entorno
- Las áreas seguras
- Los equipos de seguridad
- Establecimiento de roles y responsabilidades de los candidatos
- Investigación de antecedentes de los candidatos para el empleo
- Términos y condiciones del empleo
- Responsabilidades de la gerencia o dirección de la organización
- Conocimiento, educación y capacitación en seguridad de la información
- Incumplimiento de las previsiones relativas a la seguridad de la información: el proceso disciplinario
- Responsabilidades de terminación
- Devolución de los activos
- Cancelación de los derechos de acceso a la información
- El perímetro de seguridad física
- Los controles de ingreso físico
- Aseguramiento de oficinas, locales, habitaciones y medios
- Protección contra amenazas internas y externas a la información
- El trabajo en áreas aseguradas
- Control y aislamiento de áreas de carga y descarga
- Seguridad en el emplazamiento y protección de equipos
- Instalaciones de suministro seguras
- Protección del cableado de energía y telecomunicaciones
- Mantenimiento de los equipos
- Seguridad de los equipos fuera de las instalaciones
- Reutilización o retirada segura de equipos
- Retirada de materiales propiedad de la empresa
UNIDAD DIDÁCTICA 6. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES
- Aproximación a la gestión de las comunicaciones y operaciones
- Procedimientos y responsabilidades operacionales
- Gestión de la prestación de servicios de terceras partes
- Planificación y aceptación del sistema
- Protección contra códigos maliciosos y móviles
- Copias de seguridad de la información
- Gestión de la seguridad de la red
- Gestión de medios
- El intercambio de información
- Los servicios de comercio electrónico
- Supervisión para la detección de actividades no autorizadas
- Documentación de los procesos de operación
- La gestión de cambios en los medios y sistemas de procesamiento de información
- Segregación de tareas o deberes para reducir las modificaciones no autorizadas
- Separación de los recursos de desarrollo, prueba y operación para reducir los riesgos de acceso no autorizado
- Provisión o entrega del servicio
- Supervisión y revisión de los servicios prestados por terceros
- Gestión de cambios en los servicios prestados por terceros
- Gestión de capacidades de los sistemas
- Aceptación del sistema de información nuevo o actualizado
- Controles contra el código malicioso
- Control contra códigos móviles
- Los controles de red
- La seguridad de los servicios de red
- Gestión de medios removibles o extraíbles
- Eliminación de soportes o medios
- Procedimientos para el manejo de la información
- La seguridad de la documentación del sistema
- Políticas y procedimientos de intercambio de información
- Acuerdos de intercambio de información y software
- Seguridad de los soportes físicos en tránsito
- Seguridad de la información en el uso de la mensajería electrónica
- Los sistemas de información empresariales
- Información relativa al comercio electrónico
- Las transacciones en línea
- La seguridad de la información puesta a disposición pública
- Registro de incidencias o de auditoría
- Supervisión del uso del sistema
- La protección de la información de los registros
- Mantenimiento de los registros del administrador del sistema y del operador
- El registro de fallos
- Sincronización de reloj entre los equipos
UNIDAD DIDÁCTICA 7. EL CONTROL DE ACCESOS A LA INFORMACIÓN
- El control de accesos: generalidades, alcance y objetivos
- Requisitos de negocio para el control de accesos
- Gestión de acceso de usuario
- Responsabilidades del usuario
- Control de acceso a la red
- Control de acceso al sistema operativo
- Control de acceso a las aplicaciones y a la información
- Informática móvil y teletrabajo
- Política de control de acceso
- Registro del usuario
- Gestión o administración de privilegios
- Gestión de contraseñas de usuario
- Revisión de los derechos de acceso de usuario
- El uso de contraseñas
- Protección de equipos desatendidos
- Política de puesto de trabajo despejado y pantalla limpia
- La política de uso de los servicios en red
- Autentificación de los usuarios de conexiones externas
- Identificación de equipos en las redes
- Diagnóstico remoto y protección de los puertos de configuración
- Segregación de las redes
- Control de la conexión a la red
- El control de routing o encaminamiento de red
- Procedimientos seguros de inicio de sesión
- Identificación y autentificación del usuario
- El sistema de gestión de contraseñas
- El uso de los recursos del sistema
- La desconexión automática de sesión
- Limitación del tiempo de conexión
- Restricciones del acceso a la información3
- Aislamiento de sistemas sensibles
- Los ordenadores portátiles y las comunicaciones móviles
- El teletrabajo
UNIDAD DIDÁCTICA 8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
- Objetivos del desarrollo y mantenimiento de sistemas de información
- Requisitos de seguridad de los sistemas de información
- Tratamiento correcto de la información en las aplicaciones
- Controles criptográficos
- Seguridad de los archivos del sistema
- Seguridad de los procesos de desarrollo y soporte
- Gestión de la vulnerabilidad técnica
- Validación de los datos de entrada
- El control de procesamiento interno
- La integridad de los mensajes
- Validación de los datos de salida
- Política de uso de los controles criptográficos
- Gestión de claves
- Control del software en explotación
- Protección de los datos de prueba en el sistema
- El control de acceso al código fuente de los programas
- Procedimientos para el control de cambios
- Revisión técnica de aplicaciones tras efectuar cambios en el sistema operativo
- Restricciones a los cambios en los paquetes de software
- Las fugas de información
- Desarrollo de software por terceros
UNIDAD DIDÁCTICA 9. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Y DE LA CONTINUIDAD DEL NEGOCIO
- La gestión de incidentes en la seguridad de la información
- Notificación de eventos y puntos débiles en la seguridad de la información
- Gestión de incidentes y mejoras en la seguridad de la información
- Gestión de la continuidad del negocio
- Aspectos de la seguridad de la información en la gestión de la continuidad del negocio
- Notificación de los eventos en la seguridad de la información
- Notificación de puntos débiles de la seguridad
- Responsabilidades y procedimientos
- Aprendizaje de los incidentes de seguridad de la información
- Recopilación de evidencias
- Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio
- Continuidad del negocio y evaluación de riesgos 237
- Desarrollo e implantación de planes de continuidad del negocio que incluyan la seguridad de la información
- Marco de referencia para la planificación de la continuidad del negocio
- Pruebas, mantenimiento y reevaluación de los planes de continuidad
UNIDAD DIDÁCTICA 10. CUMPLIMIENTO DE LAS PREVISIONES LEGALES Y TÉCNICAS
- Cumplimiento de los requisitos legales
- Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico
- Consideraciones de la auditoría de los sistemas de información
- Normativa aplicable
- Derechos de propiedad intelectual
- Protección de registros organizacionales
- Privacidad de la información personal
- Prevención del mal uso de los medios de procesamiento de la información
- Regulación de los controles criptográficos
- Cumplimiento de las políticas y estándares de seguridad
- Verificación del cumplimiento técnico
- Controles de auditoría de los sistemas de información
- Protección de las herramientas de auditoría de los sistemas de información
MÓDULO II. EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
UNIDAD DIDÁCTICA 11. LA NORMA UNE-EN-ISO/IEC 27001:2014
- Objeto y ámbito de aplicación
- Relación con la Norma ISO/IEC 27002:2009
- Definiciones y términos de referencia
- Beneficios aportados por un sistema de seguridad de la información
- Introducción a los sistemas de gestión de seguridad de la información
UNIDAD DIDÁCTICA 12. IMPLANTACIÓN DEL SISTEMA DE SEGURIDAD EN LA ORGANIZACIÓN
- Contexto
- Liderazgo
- Soporte
- Acciones para tratar los riesgos y oportunidades
- Objetivos de seguridad de la información y planificación para su consecución
UNIDAD DIDÁCTICA 13.SEGUIMIENTO DE LA IMPLANTACIÓN DEL SISTEMA
- Operación
- Evaluación del desempeño
- Mejora
- Seguimiento, medición, análisis y evaluación
- Auditoría interna
- Revisión por la dirección
- No conformidad y acciones correctivas
- Mejora continua
PARTE 2. SEGURIDAD EN EQUIPOS INFORMÁTICOS
UNIDAD DIDÁCTICA 1. CRITERIOS GENERALES COMÚNMENTE ACEPTADOS SOBRE SEGURIDAD DE LOS EQUIPOS INFORMÁTICOS
- Modelo de seguridad orientada a la gestión del riesgo relacionado con el uso de los sistemas de información
- Relación de las amenazas más frecuentes, los riesgos que implican y las salvaguardas más frecuentes
- Salvaguardas y tecnologías de seguridad más habituales
- La gestión de la seguridad informática como complemento a salvaguardas y medidas tecnológicas
UNIDAD DIDÁCTICA 2. ANÁLISIS DE IMPACTO DE NEGOCIO
- Identificación de procesos de negocio soportados por sistemas de información
- Valoración de los requerimientos de confidencialidad, integridad y disponibilidad de los procesos de negocio
- Determinación de los sistemas de información que soportan los procesos de negocio y sus requerimientos de seguridad
UNIDAD DIDÁCTICA 3. GESTIÓN DE RIESGOS
- Aplicación del proceso de gestión de riesgos y exposición de las alternativas más frecuentes
- Metodologías comúnmente aceptadas de identificación y análisis de riesgos
- Aplicación de controles y medidas de salvaguarda para obtener una reducción del riesgo
UNIDAD DIDÁCTICA 4. PLAN DE IMPLANTACIÓN DE SEGURIDAD
- Determinación del nivel de seguridad existente de los sistemas frente a la necesaria en base a los requerimientos de seguridad de los procesos de negocio.
- Selección de medidas de salvaguarda para cubrir los requerimientos de seguridad de los sistemas de información
- Guía para la elaboración del plan de implantación de las salvaguardas seleccionadas
UNIDAD DIDÁCTICA 5. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
- Principios generales de protección de datos de carácter personal
- Infracciones y sanciones contempladas en la legislación vigente en materia de protección de datos de carácter personal
- Identificación y registro de los ficheros con datos de carácter personal utilizados por la organización
- Elaboración del documento de seguridad requerido por la legislación vigente en materia de protección de datos de carácter personal
UNIDAD DIDÁCTICA 6. SEGURIDAD FÍSICA E INDUSTRIAL DE LOS SISTEMAS. SEGURIDAD LÓGICA DE SISTEMAS
- Determinación de los perímetros de seguridad física
- Sistemas de control de acceso físico más frecuentes a las instalaciones de la organización y a las áreas en las que estén ubicados los sistemas informáticos
- Criterios de seguridad para el emplazamiento físico de los sistemas informáticos
- Exposición de elementos más frecuentes para garantizar la calidad y continuidad del suministro eléctrico a los sistemas informáticos
- Requerimientos de climatización y protección contra incendios aplicables a los sistemas informáticos
- Elaboración de la normativa de seguridad física e industrial para la organización
- Sistemas de ficheros más frecuentemente utilizados
- Establecimiento del control de accesos de los sistemas informáticos a la red de comunicaciones de la organización
- Configuración de políticas y directivas del directorio de usuarios
- Establecimiento de las listas de control de acceso (ACLs) a ficheros
- Gestión de altas, bajas y modificaciones de usuarios y los privilegios que tienen asignados
- Requerimientos de seguridad relacionados con el control de acceso de los usuarios al sistema operativo
- Sistemas de autenticación de usuarios débiles, fuertes y biométricos
- Relación de los registros de auditoría del sistema operativo necesarios para monitorizar y supervisar el control de accesos
- Elaboración de la normativa de control de accesos a los sistemas informáticos
UNIDAD DIDÁCTICA 7. IDENTIFICACIÓN DE SERVICIOS
- Identificación de los protocolos, servicios y puertos utilizados por los sistemas de información
- Utilización de herramientas de análisis de puertos y servicios abiertos para determinar aquellos que no son necesarios
- Utilización de herramientas de análisis de tráfico de comunicaciones para determinar el uso real que hacen los sistemas de información de los distintos protocolos, servicios y puertos
UNIDAD DIDÁCTICA 8. ROBUSTECIMIENTO DE SISTEMAS
- Modificación de los usuarios y contraseñas por defecto de los distintos sistemas de información
- Configuración de las directivas de gestión de contraseñas y privilegios en el directorio de usuarios
- Eliminación y cierre de las herramientas, utilidades, servicios y puertos prescindibles
- Configuración de los sistemas de información para que utilicen protocolos seguros donde sea posible
- Actualización de parches de seguridad de los sistemas informáticos
- Protección de los sistemas de información frente a código malicioso
- Gestión segura de comunicaciones, carpetas compartidas, impresoras y otros recursos compartidos del sistema
- Monitorización de la seguridad y el uso adecuado de los sistemas de información
UNIDAD DIDÁCTICA 9. IMPLANTACIÓN Y CONFIGURACIÓN DE CORTAFUEGOS
- Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad
- Criterios de seguridad para la segregación de redes en el cortafuegos mediante Zonas Desmilitarizadas / DMZ
- Utilización de Redes Privadas Virtuales / VPN para establecer canales seguros de comunicaciones
- Definición de reglas de corte en los cortafuegos
- Relación de los registros de auditoría del cortafuegos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad
- Establecimiento de la monitorización y pruebas del cortafuegos