Curso : Curso Iso 27001: Auditor ISO 27001 en Seguridad de la Información
Tiempo de estudio:300 horas
Realización:Cursos online
Coste: 520 €> 260 €
MÓDULO 1. LA SEGURIDAD DE LA INFORMACIÓN
UNIDAD DIDÁCTICA 1. NATURALEZA Y DESARROLLO DE LA SEGURIDAD DE LA INFORMACIÓN
- La sociedad de la información
- ¿Qué es la seguridad de la información?
- Importancia de la seguridad de la información
- Principios básicos de seguridad de la información: confidencialidad, integridad y disponibilidad
- Descripción de los riesgos de la seguridad
- Selección de controles
- Factores de éxito en la seguridad de la información
- Principio Básico de Confidencialidad
- Principio Básico de Integridad
- Disponibilidad
UNIDAD DIDÁCTICA 2. NORMATIVA ESENCIAL SOBRE SEGURIDAD DE LA INFORMACIÓN
- Marco legal y jurídico de la seguridad de la información
- Normativa comunitaria sobre seguridad de la información
- Normas sobre gestión de la seguridad de la información: Familia de Normas ISO 27000
- Legislación española sobre seguridad de la información
- Planes de acción para la utilización más segura de Internet
- Estrategias para una sociedad de la información más segura
- Ataques contra los sistemas de información
- La lucha contra los delitos informáticos
- La Agencia Europea de Seguridad de las Redes y de la información (ENISA)
- Familia de Normas ISO 27000
- Norma ISO/IEC - - ó ISO/IEC 27002
- La protección de datos de carácter personal
- La Ley Orgánica - de 13 de diciembre, de Protección de Datos de Carácter Personal
- El Real Decreto - de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica - de 13 de diciembre, de protección de datos de carácter personal
- La Agencia Española de Protección de Datos
- El Real Decreto - de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
- La Ley - de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
- La Ley - de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico
- La Ley - de 3 de noviembre, General de telecomunicaciones
- La Ley - de 19 de diciembre, de firma electrónica
- La Ley de propiedad intelectual
- La Ley de propiedad industrial
UNIDAD DIDÁCTICA 3. BUENAS PRÁCTICAS EN SEGURIDAD DE LA INFORMACIÓN: NORMA ISO/IEC 27002
- Aproximación a la norma ISO/IEC 27002
- Alcance de la Norma ISO/IEC 27002
- Estructura de la Norma ISO/IEC 27002
- Evaluación y tratamiento de los riesgos de seguridad
- Las cláusulas del control de seguridad
- Las principales categorías de seguridad
- Evaluación de los riesgos de seguridad
- Tratamiento de los riesgos de seguridad
UNIDAD DIDÁCTICA 4. POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE ACTIVOS
- Política de seguridad de la información
- Organización de la seguridad de la información
- Organización interna de la seguridad de la información
- Grupos o personas externas: el control de acceso a terceros
- Clasificación y control de activos de seguridad de la información
- Responsabilidad por los activos de seguridad de la información
- Clasificación de la información
- Etapas en el desarrollo de una política de seguridad de la información
- Características esenciales de una política de seguridad de la información
- Documento de política de la seguridad de la información
- Revisión de la política de seguridad de la información
- Compromiso de la dirección con la seguridad de la información
- Coordinación de la seguridad de la información
- Asignación de responsabilidad de seguridad de la información
- Autorización de procesos para facilidades procesadoras de la información
- Acuerdos de confidencialidad para la protección de la información
- Contacto con las autoridades y con grupos de interés especial en los incidentes de seguridad
- Revisión independiente de la seguridad de la información
- Identificación de los riesgos de seguridad relacionados con personas externas
- Tratamiento de la seguridad de la información en las relaciones con los clientes
- Tratamiento de la seguridad de la información en acuerdos con terceros
- Inventario de los activos de seguridad de la información
- Propiedad de los activos de seguridad de la información
- Uso aceptable de los activos de seguridad de la información
- Lineamientos de clasificación de la información
- Etiquetado y manejo de información
UNIDAD DIDÁCTICA 5. SEGURIDAD FÍSICA, AMBIENTAL Y DE LOS RECURSOS HUMANOS
- Seguridad de la información ligada a los recursos humanos
- Medidas de seguridad de la información antes del empleo
- Medidas de seguridad de la información durante el empleo
- Seguridad de la información en la finalización de la relación laboral o cambio de puesto de trabajo
- Seguridad de la información ligada a la seguridad física y ambiental o del entorno
- Las áreas seguras
- Los equipos de seguridad
- Establecimiento de roles y responsabilidades de los candidatos
- Investigación de antecedentes de los candidatos para el empleo
- Términos y condiciones del empleo
- Responsabilidades de la gerencia o dirección de la organización
- Conocimiento, educación y capacitación en seguridad de la información
- Incumplimiento de las previsiones relativas a la seguridad de la información: el proceso disciplinario
- Responsabilidades de terminación
- Devolución de los activos
- Cancelación de los derechos de acceso a la información
- El perímetro de seguridad física
- Los controles de ingreso físico
- Seguridad de oficinas, locales, habitaciones y medios
- Protección contra amenazas internas y externas a la información
- El trabajo en áreas aseguradas
- Áreas de carga y descarga
- Seguridad en el emplazamiento y protección de equipos
- Instalaciones de suministro seguras
- Protección del cableado de energía y telecomunicaciones
- Mantenimiento de los equipos
- Seguridad de los equipos fuera de las instalaciones
- Reutilización o retirada segura de equipos
- Retirada de materiales propiedad de la empresa
- Equipo de usuario desatendido
- Política de puesto de trabajo despejado y pantalla limpia
UNIDAD DIDÁCTICA 6. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES
- Aproximación a la gestión de las comunicaciones y operaciones
- Procedimientos y responsabilidades operacionales
- Gestión de la prestación de servicios de terceras partes
- Planificación y aceptación del sistema
- Protección contra códigos maliciosos y móviles
- Copias de seguridad de la información
- Gestión de la seguridad de la red
- Gestión de medios
- El intercambio de información
- Los servicios de comercio electrónico
- Supervisión para la detección de actividades no autorizadas
- Documentación de los procesos de operación
- La gestión de cambios en los medios y sistemas de procesamiento de información
- Gestión de capacidades
- Separación de los recursos de desarrollo, prueba y operación para reducir los riesgos de acceso no autorizado
- Política de seguridad de la información en las relaciones con los proveedores
- Requisitos de seguridad en contrato con terceros
- Cadena de suministros de tecnología de la información y de las comunicaciones
- Políticas para la seguridad de la información
- Revisión de las políticas para la seguridad de la información
- Controles contra el código malicioso
- Control contra códigos móviles
- Los controles de red
- La seguridad de los servicios de red
- Segregación en redes
- Gestión de medios removibles o extraíbles
- Eliminación de soportes o medios
- Soportes físicos en tránsito
- La seguridad de la documentación del sistema
- Políticas y procedimientos de intercambio de información
- Acuerdos de intercambio
- Seguridad de los soportes físicos en tránsito
- Mensajería electrónica
- Acuerdos de confidencialidad o no revelación
- Información relativa al comercio electrónico
- Las transacciones en línea
- La seguridad de la información puesta a disposición pública
- Registro de eventos
- Protección de la información de los registros
- Registros del administrador del sistema y del operador
- Sincronización de reloj
UNIDAD DIDÁCTICA 7. EL CONTROL DE ACCESOS A LA INFORMACIÓN
- El control de accesos: generalidades, alcance y objetivos
- Requisitos de negocio para el control de accesos
- Gestión de acceso de usuario
- Responsabilidades del usuario
- Control de acceso a la red
- Control de acceso al sistema operativo
- Control de acceso a las aplicaciones y a la información
- Informática móvil y teletrabajo
- Política de control de acceso
- Registro del usuario
- Gestión o administración de privilegios
- Gestión de contraseñas del usuario
- Revisión de los derechos de acceso de usuario
- El uso de contraseña
- Protección de equipos desatendidos
- Política de puesto de trabajo despejado y pantalla limpia
- La política de uso de los servicios en red
- Autentificación de los usuarios de conexiones externas
- Identificación de equipos en las redes
- Diagnóstico remoto y protección de los puertos de configuración
- Segregación de las redes
- Control de la conexión a la red
- El control de routing o encaminamiento de red
- Procedimientos seguros de inicio de sesión
- Identificación y autentificación del usuario
- El sistema de gestión de contraseñas
- El uso de los recursos del sistema
- La desconexión automática de sesión
- Limitación del tiempo de conexión
- Restricciones del acceso a la información
- Aislamiento de sistemas sensibles
- Los ordenadores portátiles y las comunicaciones móviles
- El teletrabajo
UNIDAD DIDÁCTICA 8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
- Objetivos del desarrollo y mantenimiento de sistemas de información
- Requisitos de seguridad de los sistemas de información
- Tratamiento correcto de la información en las aplicaciones
- Controles criptográficos
- Seguridad de los archivos del sistema
- Seguridad de los procesos de desarrollo y soporte
- Gestión de la vulnerabilidad técnica
- Validación de los datos de entrada
- El control de procesamiento interno
- La integridad de los mensajes
- Validación de los datos de salida
- Política de uso de los controles criptográficos
- Gestión de claves
- Control del software en explotación
- Protección de los datos de prueba en el sistema
- El control de acceso al código fuente de los programas
- Procedimientos para el control de cambios
- Revisión técnica de aplicaciones tras efectuar cambios en el sistema operativo
- Restricciones a los cambios en los paquetes de software
- Entorno de desarrollo seguro
- Externalización de software por terceros
UNIDAD DIDÁCTICA 9. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Y DE LA CONTINUIDAD DEL NEGOCIO
- La gestión de incidentes en la seguridad de la información
- Notificación de eventos y puntos débiles en la seguridad de la información
- Gestión de incidentes y mejoras en la seguridad de la información
- Gestión de la continuidad del negocio
- Aspectos de la seguridad de la información en la gestión de la continuidad del negocio
- Notificación de los eventos en la seguridad de la información
- Notificación de puntos débiles de la seguridad
- Responsabilidades y procedimientos
- Aprendizaje de los incidentes de seguridad de la información
- Recopilación de evidencias
- Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio
- Continuidad del negocio y evaluación de riesgos
- Desarrollo e implantación de planes de continuidad del negocio que incluyan la seguridad de la información
- Marco de referencia para la planificación de la continuidad del negocio
- Pruebas, mantenimiento y reevaluación de los planes de continuidad
UNIDAD DIDÁCTICA 10. CUMPLIMIENTO DE LAS PREVISIONES LEGALES Y TÉCNICAS
- Cumplimiento de los requisitos legales
- Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico
- Consideraciones de la auditoría de los sistemas de información
- Normativa aplicable
- Derechos de propiedad intelectual
- Protección de registros organizacionales
- Privacidad de la información personal
- Prevención del mal uso de los medios de procesamiento de la información
- Regulación de los controles criptográficos
- Cumplimiento de las políticas y estándares de seguridad
- Verificación del cumplimiento técnico
- Controles de auditoría de los sistemas de información
- Protección de las herramientas de auditoría de los sistemas de información
MÓDULO 2. EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
UNIDAD DIDÁCTICA 11. LA NORMA UNE-EN-ISO/IEC 27001:2017
- Objeto y ámbito de aplicación
- Relación con la Norma ISO/IEC 1799:2017
- Definiciones y términos de referencia
- Beneficios aportados por un sistema de seguridad de la información
- Introducción a los sistemas de gestión de seguridad de la información
- Enfoque por procesos
- Compatibilidad con otros sistemas de gestión
UNIDAD DIDÁCTICA 12. LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
- La gestión de la seguridad de la información
- Creación y gestión de sistemas de seguridad de la información
- Requisitos de la documentación
- Creación
- Implementación
- Supervisión
- Mantenimiento
- Generalidades
- Control de documentos
- Control de registros
UNIDAD DIDÁCTICA 13. RESPONSABILIDAD DE LA DIRECCIÓN
- Compromiso de la dirección
- Gestión de los recursos
- Establecimiento y planificación de una política de gestión de la seguridad
- Organización de la seguridad
- Provisión de los recursos
- Concienciación, formación y captación
- Gestión de soportes y documentos
- Control de acceso a los sistemas
- Copias de seguridad de la información
- Elaboración de políticas de seguridad
- Proceso de elaboración
- Revisión de las políticas de seguridad
UNIDAD DIDÁCTICA 14. AUDITORÍA DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN POR LA DIRECCIÓN
- El porqué de la auditoría
- La auditoría interna
- El proceso de certificación
- Concepto
- Justificación
- Funciones
- Planificación del programa de auditoría
- La certificación
- Etapas para la realización de la certificación
- Ventajas e inconvenientes de la certificación
UNIDAD DIDÁCTICA 15. REVISIÓN POR LA DIRECCIÓN Y MEJORA DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN
- Revisión del sistema de gestión de la información por la dirección
- Mejora del sistema de gestión de la seguridad de la información
- Generalidades relativas a la revisión de la gestión de la información
- Datos iniciales de la revisión del sistema de gestión de la seguridad de la información
- Resultados de la revisión del sistema de gestión de la seguridad de la información
- Mejora continua de la seguridad de la información
- Acciones correctivas del sistema de gestión de la seguridad de la información
- Acciones preventivas frente a problemas potenciales del sistema de gestión de la seguridad de la información