Contenido Formativo
MÓDULO 1. LA SEGURIDAD DE LA INFORMACIÓNUNIDAD DIDÁCTICA 1. NATURALEZA Y DESARROLLO DE LA SEGURIDAD DE LA INFORMACIÓNLa sociedad de la información ¿Qué es la seguridad de la información?Importancia de la seguridad de la informaciónPrincipios básicos de seguridad de la información: confidencialidad, integridad y disponibilidad- Principio Básico de Confidencialidad- Principio Básico de Integridad- DisponibilidadDescripción de los riesgos de la seguridadSelección de controlesFactores de éxito en la seguridad de la informaciónUNIDAD DIDÁCTICA 2. NORMATIVA ESENCIAL SOBRE SEGURIDAD DE LA INFORMACIÓNMarco legal y jurídico de la seguridad de la informaciónNormativa comunitaria sobre seguridad de la información- Planes de acción para la utilización más segura de Internet- Estrategias para una sociedad de la información más segura- Ataques contra los sistemas de información- La lucha contra los delitos informáticos- La Agencia Europea de Seguridad de las Redes y de la información (ENISA)Normas sobre gestión de la seguridad de la información: Familia de Normas ISO 27000- Familia de Normas ISO 27000- Norma ISO/IEC – – ó ISO/IEC 27002Legislación española sobre seguridad de la información- La protección de datos de carácter personal- La Ley Orgánica – de 13 de diciembre, de Protección de Datos de Carácter Personal- El Real Decreto – de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica – de 13 de diciembre, de protección de datos de carácter personal- La Agencia Española de Protección de Datos- El Real Decreto – de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica- La Ley – de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos- La Ley – de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico- La Ley – de 3 de noviembre, General de telecomunicaciones- La Ley – de 19 de diciembre, de firma electrónica- La Ley de propiedad intelectual- La Ley de propiedad industrialUNIDAD DIDÁCTICA 3. BUENAS PRÁCTICAS EN SEGURIDAD DE LA INFORMACIÓN: NORMA ISO/IEC 27002Aproximación a la norma ISO/IEC 27002Alcance de la Norma ISO/IEC 27002Estructura de la Norma ISO/IEC 27002- Las cláusulas del control de seguridad- Las principales categorías de seguridadEvaluación y tratamiento de los riesgos de seguridad- Evaluación de los riesgos de seguridad- Tratamiento de los riesgos de seguridadUNIDAD DIDÁCTICA 4. POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE ACTIVOSPolítica de seguridad de la información- Etapas en el desarrollo de una política de seguridad de la información- Características esenciales de una política de seguridad de la información- Documento de política de la seguridad de la información- Revisión de la política de seguridad de la informaciónOrganización de la seguridad de la informaciónOrganización interna de la seguridad de la información- Compromiso de la dirección con la seguridad de la información- Coordinación de la seguridad de la información- Asignación de responsabilidad de seguridad de la información- Autorización de procesos para facilidades procesadoras de la información- Acuerdos de confidencialidad para la protección de la información- Contacto con las autoridades y con grupos de interés especial en los incidentes de seguridad- Revisión independiente de la seguridad de la informaciónGrupos o personas externas: el control de acceso a terceros- Identificación de los riesgos de seguridad relacionados con personas externas- Tratamiento de la seguridad de la información en las relaciones con los clientes- Tratamiento de la seguridad de la información en acuerdos con tercerosClasificación y control de activos de seguridad de la informaciónResponsabilidad por los activos de seguridad de la información- Inventario de los activos de seguridad de la información- Propiedad de los activos de seguridad de la información- Uso aceptable de los activos de seguridad de la informaciónClasificación de la información- Lineamientos de clasificación de la información- Etiquetado y manejo de informaciónUNIDAD DIDÁCTICA 5. SEGURIDAD FÍSICA, AMBIENTAL Y DE LOS RECURSOS HUMANOSSeguridad de la información ligada a los recursos humanosMedidas de seguridad de la información antes del empleo- Establecimiento de roles y responsabilidades de los candidatos- Investigación de antecedentes de los candidatos para el empleo- Términos y condiciones del empleoMedidas de seguridad de la información durante el empleo- Responsabilidades de la gerencia o dirección de la organización- Conocimiento, educación y capacitación en seguridad de la información- Incumplimiento de las previsiones relativas a la seguridad de la información: el proceso disciplinarioSeguridad de la información en la finalización de la relación laboral o cambio de puesto de trabajo- Responsabilidades de terminación- Devolución de los activos- Cancelación de los derechos de acceso a la informaciónSeguridad de la información ligada a la seguridad física y ambiental o del entornoLas áreas seguras- El perímetro de seguridad física- Los controles de ingreso físico- Seguridad de oficinas, locales, habitaciones y medios- Protección contra amenazas internas y externas a la información- El trabajo en áreas aseguradas- Áreas de carga y descargaLos equipos de seguridad- Seguridad en el emplazamiento y protección de equipos- Instalaciones de suministro seguras- Protección del cableado de energía y telecomunicaciones- Mantenimiento de los equipos- Seguridad de los equipos fuera de las instalaciones- Reutilización o retirada segura de equipos- Retirada de materiales propiedad de la empresa- Equipo de usuario desatendido- Política de puesto de trabajo despejado y pantalla limpiaUNIDAD DIDÁCTICA 6. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONESAproximación a la gestión de las comunicaciones y operacionesProcedimientos y responsabilidades operacionales- Documentación de los procesos de operación- La gestión de cambios en los medios y sistemas de procesamiento de información- Gestión de capacidades- Separación de los recursos de desarrollo, prueba y operación para reducir los riesgos de acceso no autorizadoGestión de la prestación de servicios de terceras partes- Política de seguridad de la información en las relaciones con los proveedores- Requisitos de seguridad en contrato con terceros- Cadena de suministros de tecnología de la información y de las comunicacionesPlanificación y aceptación del sistema- Políticas para la seguridad de la información- Revisión de las políticas para la seguridad de la informaciónProtección contra códigos maliciosos y móviles- Controles contra el código malicioso- Control contra códigos móvilesCopias de seguridad de la informaciónGestión de la seguridad de la red- Los controles de red- La seguridad de los servicios de red- Segregación en redesGestión de medios- Gestión de medios removibles o extraíbles- Eliminación de soportes o medios- Soportes físicos en tránsito- La seguridad de la documentación del sistemaEl intercambio de información- Políticas y procedimientos de intercambio de información- Acuerdos de intercambio- Seguridad de los soportes físicos en tránsito- Mensajería electrónica- Acuerdos de confidencialidad o no revelaciónLos servicios de comercio electrónico- Información relativa al comercio electrónico- Las transacciones en línea- La seguridad de la información puesta a disposición públicaSupervisión para la detección de actividades no autorizadas- Registro de eventos- Protección de la información de los registros- Registros del administrador del sistema y del operador- Sincronización de relojUNIDAD DIDÁCTICA 7. EL CONTROL DE ACCESOS A LA INFORMACIÓNEl control de accesos: generalidades, alcance y objetivosRequisitos de negocio para el control de accesos- Política de control de accesoGestión de acceso de usuario- Registro del usuario- Gestión o administración de privilegios- Gestión de contraseñas del usuario- Revisión de los derechos de acceso de usuarioResponsabilidades del usuario- El uso de contraseña- Protección de equipos desatendidos- Política de puesto de trabajo despejado y pantalla limpiaControl de acceso a la red- La política de uso de los servicios en red- Autentificación de los usuarios de conexiones externas- Identificación de equipos en las redes- Diagnóstico remoto y protección de los puertos de configuración- Segregación de las redes- Control de la conexión a la red- El control de routing o encaminamiento de redControl de acceso al sistema operativo- Procedimientos seguros de inicio de sesión- Identificación y autentificación del usuario- El sistema de gestión de contraseñas- El uso de los recursos del sistema- La desconexión automática de sesión- Limitación del tiempo de conexiónControl de acceso a las aplicaciones y a la información- Restricciones del acceso a la información- Aislamiento de sistemas sensiblesInformática móvil y teletrabajo- Los ordenadores portátiles y las comunicaciones móviles- El teletrabajoUNIDAD DIDÁCTICA 8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓNObjetivos del desarrollo y mantenimiento de sistemas de informaciónRequisitos de seguridad de los sistemas de informaciónTratamiento correcto de la información en las aplicaciones- Validación de los datos de entrada- El control de procesamiento interno- La integridad de los mensajes- Validación de los datos de salidaControles criptográficos- Política de uso de los controles criptográficos- Gestión de clavesSeguridad de los archivos del sistema- Control del software en explotación- Protección de los datos de prueba en el sistema- El control de acceso al código fuente de los programasSeguridad de los procesos de desarrollo y soporte- Procedimientos para el control de cambios- Revisión técnica de aplicaciones tras efectuar cambios en el sistema operativo- Restricciones a los cambios en los paquetes de software- Entorno de desarrollo seguro- Externalización de software por tercerosGestión de la vulnerabilidad técnicaUNIDAD DIDÁCTICA 9. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Y DE LA CONTINUIDAD DEL NEGOCIOLa gestión de incidentes en la seguridad de la información Notificación de eventos y puntos débiles en la seguridad de la información- Notificación de los eventos en la seguridad de la información- Notificación de puntos débiles de la seguridad Gestión de incidentes y mejoras en la seguridad de la información- Responsabilidades y procedimientos- Aprendizaje de los incidentes de seguridad de la información- Recopilación de evidenciasGestión de la continuidad del negocioAspectos de la seguridad de la información en la gestión de la continuidad del negocio- Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio- Continuidad del negocio y evaluación de riesgos- Desarrollo e implantación de planes de continuidad del negocio que incluyan la seguridad de la información- Marco de referencia para la planificación de la continuidad del negocio- Pruebas, mantenimiento y reevaluación de los planes de continuidadUNIDAD DIDÁCTICA 10. CUMPLIMIENTO DE LAS PREVISIONES LEGALES Y TÉCNICASCumplimiento de los requisitos legales- Normativa aplicable- Derechos de propiedad intelectual- Protección de registros organizacionales- Privacidad de la información personal- Prevención del mal uso de los medios de procesamiento de la información- Regulación de los controles criptográficosCumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico- Cumplimiento de las políticas y estándares de seguridad- Verificación del cumplimiento técnicoConsideraciones de la auditoría de los sistemas de información- Controles de auditoría de los sistemas de información- Protección de las herramientas de auditoría de los sistemas de informaciónMÓDULO 2. EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNUNIDAD DIDÁCTICA 11. LA NORMA UNE-EN-ISO/IEC 27001:2017Objeto y ámbito de aplicaciónRelación con la Norma ISO/IEC 1799:2017 Definiciones y términos de referenciaBeneficios aportados por un sistema de seguridad de la informaciónIntroducción a los sistemas de gestión de seguridad de la información- Enfoque por procesos- Compatibilidad con otros sistemas de gestiónUNIDAD DIDÁCTICA 12. LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓNLa gestión de la seguridad de la informaciónCreación y gestión de sistemas de seguridad de la información- Creación- Implementación- Supervisión- MantenimientoRequisitos de la documentación- Generalidades- Control de documentos- Control de registrosUNIDAD DIDÁCTICA 13. RESPONSABILIDAD DE LA DIRECCIÓNCompromiso de la dirección- Organización de la seguridadGestión de los recursos- Provisión de los recursos- Concienciación, formación y captación- Gestión de soportes y documentos- Control de acceso a los sistemas- Copias de seguridad de la informaciónEstablecimiento y planificación de una política de gestión de la seguridad- Elaboración de políticas de seguridad- Proceso de elaboración- Revisión de las políticas de seguridadUNIDAD DIDÁCTICA 14. AUDITORÍA DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN POR LA DIRECCIÓNEl porqué de la auditoría- Concepto- JustificaciónLa auditoría interna- Funciones- Planificación del programa de auditoríaEl proceso de certificación- La certificación- Etapas para la realización de la certificación- Ventajas e inconvenientes de la certificaciónUNIDAD DIDÁCTICA 15. REVISIÓN POR LA DIRECCIÓN Y MEJORA DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓNRevisión del sistema de gestión de la información por la dirección- Generalidades relativas a la revisión de la gestión de la información- Datos iniciales de la revisión del sistema de gestión de la seguridad de la información- Resultados de la revisión del sistema de gestión de la seguridad de la información Mejora del sistema de gestión de la seguridad de la información- Mejora continua de la seguridad de la información- Acciones correctivas del sistema de gestión de la seguridad de la información- Acciones preventivas frente a problemas potenciales del sistema de gestión de la seguridad de la información
Objetivos
Asegurar equipos informáticos Auditar redes de comunicación y sistemas informáticos Detectar y responder ante incidentes de seguridad Diseñar e implementar sistemas seguros de acceso y transmisión de datos Gestionar servicios en el sistema informático
Duración
500 horas
¡Infórmate gratis y sin compromiso!