CATÁLOGO DE FORMACIÓN -...

www.scassi.com

Contacto : 625 235 944

CATÁLOGO DE FORMACIÓN

© Julien Eichinger - Fotolia.com

http://www.scassi.com/

Catálogo de formación 2015

Seguridad de la información

2

CONTENIDO

Calendario de las sesiones de formación de 2015 ........................................................................................................... 3

ISO 27001 Principios básicos* - 2 días ................................................................................................................................ 7

ISO 27001 Lead Auditor* - 4,5 días ..................................................................................................................................... 8

ISO 27001 Lead Implementer* - 4,5 días ............................................................................................................................. 9

Formaciones sobre métodos de análisis y de gestión de riesgos .................................................................................. 10

ISO 27005 Risk Manager* - 2,5 días .................................................................................................................................. 11

MEHARI Advanced Practitioner* - 2,5 días ......................................................................................................................... 12

EBIOS Advanced Practitioner* - 2,5 días ............................................................................................................................ 13

Formaciones de continuidad de negocio ........................................................................................................................ 14

Elaborar y gestionar un Plan de continuidad - 2 días .......................................................................................................... 15

ISO 22301 Principios básicos* - 2 días .............................................................................................................................. 16

ISO 22301 Lead Implementer* - 4,5 días ........................................................................................................................... 17

ISO 22301 Lead Auditor* - 4,5 días ................................................................................................................................... 18

ISO 24762 Implementar y gestionar la reanudación del negocio - 3 días ............................................................................. 19

Formaciones de gestión de la seguridad ........................................................................................................................ 20

Definir y controlar los indicadores y las hojas de ruta del SSI - 2 días .................................................................................. 21

Elaborar y gestionar una política de seguridad - 2 días ....................................................................................................... 22

Seguridad en los proyectos e introducción a los criterios comunes - 2 días ........................................................................... 23

Dominar los criterios comunes - 4 días .............................................................................................................................. 24

Formaciones técnicas sobre seguridad .......................................................................................................................... 25

Principios básicos de la seguridad de la información* - 3 días ............................................................................................. 26

Auditoría de seguridad de las redes y los sistemas - 3 días ................................................................................................. 27

Auditoría de seguridad de las redes y los sistemas (nivel avanzado) - 4 días ......................................................................... 28

Realizar auditorías de configuración/arquitectura - 1 día ..................................................................................................... 29

Realizar pruebas de intrusión - 2 días ............................................................................................................................... 30

Seguridad de la nube y virtualización - 2 días .................................................................................................................... 31

Solución RSA enVision® - 4 días ...................................................................................................................................... 32

Seguridad de las aplicaciones ........................................................................................................................................ 33

Seguridad de las aplicaciones Java/JEE - 3 días ................................................................................................................. 34

Seguridad de las aplicaciones .NET - 3 días ....................................................................................................................... 35

Seguridad de las aplicaciones web (PHP, Javascript, CMS, MySQL…) - 3 días ........................................................................ 36

Auditoría de código - 2 días ............................................................................................................................................. 37

ISO 27034 Lead Implementer* - 4,5 días .......................................................................................................................... 38

ISO 27034 Principios básicos* - 2 días .............................................................................................................................. 39

Otras formaciones .......................................................................................................................................................... 40

Seguridad de sistemas críticos (Scada, ICS, etc.) - 2 días ................................................................................................... 41

CISSP® (Certified Information Systems Security Professional) - 5 días ................................................................................ 42

CISA® (Certified Information Systems Auditor) - 5 días ..................................................................................................... 43

Comprender la norma PCI-DSS - 1 día .............................................................................................................................. 44

Aplicación de la RGS V2 - 2 días ....................................................................................................................................... 45

*: formación certificadora



3

CALENDARIO DE LAS SESIONES DE

FORMACIÓN DE 2015



4

S02 S03 S04 S05 S06 S07 S08 S09 S10 S11 S12 S13 S14 S15 S16 S17 S18 S19 S20 S21 S22 S23 S24 S25 S26

ISO 27001 Principios básicos 2 27-28

ISO 27001 Lead Auditor 4,5 4-8

ISO 27001 Lead Implementer 4,5 8-12

ISO 27005/ISO 31000 Risk Manager 2,5 13-15

EBIOS Advanced Practitionner o MEHARI Advanced Practitionner 2,5 15-17

ISO 27005 Risk Manager + EBIOS o MEHARI 5 13-17

Elaborar y gestionar un plan de continuidad 2 1-2

ISO 22301 Lead Implementer 4,5

ISO 22301 Principios básicos 2

Definir y controlar los indicadores y las hojas de ruta del SSI 2

Elaborar y gestionar una política de seguridad 2

Seguridad en los proyectos e introducción a los criterios comunes 2

Dominar los criterios comunes 4 11-14

Principios básicos de la seguridad de la información 3 20-22

Seguridad de la nube y virtualización 2 29-30

Realizar pruebas de intrusiones 2

Seguridad de aplicaciones JAVA JEE, .NET o WEB 3 16-18

Auditoría de código 2

ISO 27034 Principios básicos 2,5

ISO 27034 Lead Implementer 4,5

Seguridad de los sistemas críticos (Scada, ICS, etc.) 2 19-20

Comprender la norma PCI-DSS 1 18

Aplicación de la RGS 2

CISSP 5

ISO22301 Lead Auditor (4,5 días)

Realizar auditorías de configuración/arquitectura (1 día)

Auditorías de seguridad de los sistemas y las redes (3 o 4 días)

Solución RSA enVision (4 días)

CISA (5 días)

Formaciones de seguridad de aplicaciones

Formaciones sobre métodos de análisis y de gestión

de riesgos

Otras formaciones

Planificación de las sesiones de formación - 2015

Las sesiones de formación solo se realizarán si se llega al número mínimo de participantes.

JunioMayoEnero

Formaciones técnicas sobre seguridad

AbrilFebrero

MadridLeyenda:

Marzo

Para las formaciones no planificadas, póngase en

contacto con nosotros

n.º

de

días

Formaciones de gestión de la seguridad

Formaciones de continuidad de negocio

Formaciones ISO 27001



5

S27 S28 S29 S30 S31 S32 S33 S34 S35 S36 S37 S38 S39 S40 S41 S42 S43 S44 S45 S46 S47 S48 S49 S50 S51 S52


ISO 27001 Lead Auditor 4,5 7-11 30-4


ISO 27005/ISO 31000 Risk Manager 2,5 5-7

EBIOS Advanced Practitionner o MEHARI Advanced Practitionner 2,5 7-9

ISO 27005 Risk Manager + EBIOS o MEHARI 5 5-9

Elaborar y gestionar un plan de continuidad 2



Definir y controlar los indicadores y las hojas de ruta del SSI 2 1-2

Elaborar y gestionar una política de seguridad 2 25-26

Seguridad en los proyectos e introducción a los criterios comunes 2 15-16

Dominar los criterios comunes 4 29-2

Principios básicos de la seguridad de la información 3

Seguridad de la nube y virtualización 2

Realizar pruebas de intrusiones 2 7-8

Seguridad de aplicaciones JAVA JEE, .NET o WEB 3

Auditoría de código 2 2-3

ISO 27034 Principios básicos 2,5 14-16


Seguridad de sistemas críticos (SCADA, ICS…) 2

Introducción a PCI-DSS 1

CISSP® - Certified Information Systems Security Profesional 5 23-27

ISO22301 Lead Auditor (4,5 días)

Realizar auditorías de configuración/arquitectura (1 día)

Auditorías de seguridad de los sistemas y las redes (3 o 4 días)

Solución RSA enVision (4 días)

CISA (5 días)

Otras formaciones

Para las formaciones no planificadas,

póngase en contacto con nosotros

N°

de

días

Leyenda

Julio

Formaciones de seguridad de aplicaciones

Formaciones sobre métodos de análisis y de

gestión de riesgos

Formaciones de gestión de la seguridad

Formaciones de continuidad de negocio

Formaciones ISO 27001

Formaciones técnicas sobre seguridad

Formación en Madrid

Planificación de las sesiones de formación - 2015

Septiembre Noviembre

Las sesiones de formación solo se realizarán si se llega al número mínimo de participantes.

DiciembreAgosto Octubre



6

FORMACIONES ISO 27001



7

ISO 27001 PRINCIPIOS BÁSICOS* - 2 DÍAS

Duración: 16 horas

Perfil de los participantes: consultores, responsables de la seguridad de los

sistemas de información, jefes de proyecto e ingenieros de seguridad de sistemas de información

Objetivos:

El participante desea conocer los conceptos y las prácticas recomendadas de aplicación y gestión de un Sistema de

gestión de la seguridad de la información (SGSI) basado en la norma ISO/CEI 27001:2013, además de adquirir los conocimientos básicos relativos a las medidas de seguridad que se definen en la norma ISO/CEI 27002:2013.

Los objetivos de este curso son los siguientes:

- explicar cómo funciona un Sistema de gestión de la seguridad de la información (SGSI) conforme a la norma ISO/CEI 27001:2013 y sus procesos principales;

- explicar el objetivo, el contenido y la correlación entre la norma ISO/CEI 27001:2013 y la norma ISO/CEI

27002:2013, así como con otras normas y marcos reglamentarios;

- saber interpretar las exigencias de la norma SO27001:2013 en el contexto específico de un organismo.

Nota: este curso se basa en la norma ISO/IEC 27001:2013.

Resumen del contenido

Día 1: introducción a los conceptos del SGSI conforme a la norma ISO/CEI 27001:2013 – Planificar/establecer el SGSI

- Objetivo y estructura del curso - Marco normativo: familia de normas ISO2700x

- Sistema de gestión de la seguridad de la información (SGSI): ISO/CEI 27001:2013 - Planificar/establecer el SGSI: contexto, políticas del SGSI, declaración de aplicabilidad

- Planificar/establecer el SGSI: análisis y plan de tratamiento de riesgos

Día 2: implementar, supervisar y mejorar el SGSI

- Asistencia del SGSI: recursos, competencias, sensibilización y gestión documental - Funcionamiento del SGSI

- Evaluación del rendimiento: auditorías del SGSI

- Mejora del SGSI - Descripción de los objetivos y de las medidas de seguridad (Anexo A – ISO 27001:2013)

- Procesos de certificación - Examen «Certified ISO 27001 Foundation» - (1 hora)

Este examen está disponible en español y en otros idiomas. Los candidatos que no obtengan la calificación suficiente tienen la posibilidad de repetirlo en el plazo de los 12 meses posteriores sin gastos adicionales.



8

ISO 27001 LEAD AUDITOR* - 4,5 DÍAS

Duración: 36 horas



Objetivos:

El participante desea adquirir nuevas competencias y ser capaz de evaluar la eficacia de un Sistema de gestión de la

seguridad de la información (SGSI). En el curso ISO 27001 Lead Auditor aprenderá a realizar auditorías de certificaciones conformes a la norma ISO 27001:2013 y conocerá al detalle los criterios de aplicación y de calidad del

SGSI.

La formación ha sido diseñada y validada por un equipo multidisciplinar formado por auditores de sistemas de

gestión (ISO 27001, ISO 22301, ISO 9001, etc.), auditores de seguridad de la información, consultores en seguridad, directores de seguridad y especialistas en la formación profesional.

Los objetivos son los siguientes:

- comprender las exigencias de la ISO 27001 y saber manipularlas;

- concebir la norma ISO 27001 desde el punto de vista de la auditoría y analizar su aplicación;

- controlar y formalizar un SGSI;

- comprender el desarrollo, las especificidades y las exigencias de una auditoría ISO 27001;

- convertirse en ISO 27001 Lead Auditor con certificación del PECB.



Día 1: introducción a la gestión de un SGSI con ISO 27001

- Objetivos y estructura del curso

- Marcos normativos y reglamentarios

- Procesos de certificación

- Principios básicos de la seguridad de los procesos de la información

- Sistema de gestión de la seguridad de la información (SGSI)

Día 2: introducción a una auditoría

- Conceptos y principios básicos de la auditoría

- Enfoque basado en la prueba y el riesgo

- Preparación de la auditoría

- Auditoría documental

- Preparación de las actividades de la auditoría in situ

- Realización de la auditoría in situ

Día 3: realización de una auditoría

- Comunicación durante la auditoría

- Procedimientos de auditoría

- Redacción de informes de incumplimiento

Día 4: finalización de una auditoría

- Documentación de la auditoría

- Revisión de las notas de la auditoría

- Cierre de la auditoría

- Gestión de un programa de auditoría, competencia y evaluación de los auditores

- Finalización de la formación

Día 5: examen

- Examen «Certified ISO 27001 Lead Auditor» (3 horas)




9

ISO 27001 LEAD IMPLEMENTER* - 4,5 DÍAS

Duración: 36 horas



Objetivos:

El participante desea adquirir o reforzar las competencias para aplicar y gestionar un Sistema de gestión de la

seguridad de la información (SGSI) conforme a las exigencias de la norma ISO 27001.

El curso ISO 27001 Lead Implementer ofrece conocimientos profundos sobre las prácticas recomendadas de

implementación de medidas de seguridad de la información según los 14 dominios de la norma ISO 27002 y los preceptos de la norma ISO 27003.

La formación ha sido diseñada y validada por un equipo multidisciplinar formado por consultores expertos en la implementación de sistemas de gestión (ISO 27001, ISO 22301, ISO 9001, etc.), consultores y auditores

especializados en seguridad de la información, directores de seguridad y especialistas en la formación profesional.


- comprender las exigencias de la ISO 27001 en relación con la implementación y la gestión de un SGSI;

- controlar las prácticas recomendadas de gestión de un SGSI;

- comprender el desarrollo, las especificidades y las exigencias de una auditoría ISO 27001;

- adquirir conocimientos expertos para ayudar a los organismos a implementar un SGSI conforme a las

exigencias de la ISO 27001;

- convertirse en «ISO 27001 Lead Implementer» con certificación del PECB.



Día 1: introducción a la gestión de un SGSI con ISO 27001 e inicio de un SGSI - Introducción a los sistemas de gestión y al enfoque por procesos

- Presentación de las normas ISO 27001, 27002 y 27005

- Principios básicos de la seguridad de la información - Análisis preliminar

- Gestión de un proyecto ISO 27001 Día 2: planificación de un SGSI

- Implementación de un marco de gestión de la seguridad de la información

- Gestión del riesgo según la ISO 27005 - Redacción de la declaración de aplicabilidad

Día 3: implementación y aplicación de un SGSI - Implementación de un marco de gestión documental

- Elaboración y aplicación de controles y procedimientos - Formación, sensibilización y comunicación

- Gestión de los incidentes (según la ISO 18044) y gestión de las operaciones

Día 4: control y mejora del SGSI y auditoría de certificación - Supervisión de las medidas de control (gestión de los registros)

- Indicadores de rendimiento de las medidas de control (métricas y hojas de ruta) - Auditoría interna del SGSI

- Revisión de la dirección del SGSI

- Mejora continuada - Auditoría de certificación ISO27001

Día 5: examen - Examen «Certified ISO 27001 Lead Implementer» (3 horas)




10

FORMACIONES SOBRE MÉTODOS DE

ANÁLISIS Y DE GESTIÓN DE RIESGOS



11

ISO 27005 RISK MANAGER* - 2,5 DÍAS

Duración: 20 horas



Objetivos:

El participante desea dominar los principios básicos de la gestión de riesgos en relación con la seguridad de la

información (ISO 27005): planificación de un programa de gestión de riesgos, análisis, apreciación, tratamiento, comunicación y supervisión del riesgo.

A estos efectos, la presente formación se basa en una variedad de ejercicios, casos prácticos, discusiones y demostraciones con herramientas de modelización de riesgos que permiten adquirir conocimientos prácticos para

realizar análisis de riesgo optimizados y pertinentes a fin de definir, implementar y gestionar programas/procesos de gestión de riesgos y para gestionar los riesgos de manera sostenible en el seno de un organismo.

Los objetivos son:

- adquirir las aptitudes personales y los conocimientos necesarios para dominar la implementación de un programa de gestión de riesgos y para aconsejar a los organismos sobre las prácticas recomendadas de

gestión de riesgos conforme a la ISO 27005;

- adquirir la experiencia y las competencias para realizar análisis de riesgos de manera autónoma y aconsejar

a los organismos conforme a la ISO 27005;

- comprender e interpretar las exigencias de la ISO 27001 relativas a la gestión de riesgos;

- comprender la relación existente entre un SGSI, la gestión de riesgos y los controles para las distintas partes

implicadas;

Nota: este curso se basa en la norma ISO/IEC 27005:2011 (en consonancia con la ISO 31000:2009).


Día 1: introducción a la gestión del riesgo según la ISO 27005

- Conceptos básicos de la gestión de riesgos

- Normas y marcos de referencia en materia de gestión de riesgos

- Implementación de un marco de gestión de riesgos

- Clasificación de los activos

- Identificación y análisis de los riesgos

- Enfoque cualitativo y cuantitativo de la gestión de riesgos

Día 2: tratamiento y gestión del riesgo conforme a la ISO 27005 - Gestión, metodologías de análisis de riesgos

- Tratamiento del riesgo

- Gestión de los riesgos residuales

- Gestión de los riesgos de proyecto

- Gestión de riesgos

- Presentación de las principales metodologías de análisis de riesgos: EBIOS, MEHARI, OCTAVE, CRAMM y

Microsoft Security Compliance Management

Día 3: examen

- Examen «Certified ISO 27005 Risk Manager» (2 horas)




12

MEHARI ADVANCED PRACTITIONER* - 2,5 DÍAS

Este módulo puede complementar a los módulos de 2,5 días "ISO 27005 Risk Manager" para constituir una

formación de 5 días.

Duración: 20 horas Perfil de los participantes: consultores, responsables de la seguridad de los sistemas de información y gestores de riesgos

Objetivos:

El participante desea desarrollar las competencias necesarias para llevar a cabo un análisis de riesgos con el método

MEHARI (Méthode Harmonisée d’Analyse des Risques) creado por CLUSIF (Club de la Sécurité des Systèmes d’Information Français).

Gracias a los numerosos ejercicios y casos prácticos, los participantes adquirirán las competencias y los conocimientos necesarios para realizar una evaluación óptima de los riesgos del SSI y para la gestión de riesgos de

acuerdo con su ciclo de vida. La formación cuenta con la certificación de CLUSIF.


- desarrollar las competencias y los conocimientos necesarios para realizar un análisis de riesgos con el

método MEHARI;

- controlar las etapas de realización de un análisis de riesgos con el método MEHARI;

- comprender los conceptos, los enfoques, los métodos y las técnicas que hacen posible una gestión de riesgos según la ISO 27005.

Nota: este curso se basa en el método MEHARI 2010.


Día 1: inicio de un análisis de riesgos con MEHARI

- Conceptos y definiciones de la gestión del riesgo

- Normas, marcos de referencia y metodologías de gestión del riesgo

- Introducción a MEHARI

- Análisis de los retos y clasificación

- Escala de valores de las disfunciones

- Clasificación de los recursos

Día 2: análisis de las vulnerabilidades y del riesgo y plan de seguridad con el método

MEHARI

- Análisis de las vulnerabilidades

- Cualidades de un servicio de seguridad

- Evaluación de la calidad de los servicios de seguridad

- Procesos de evaluación

- Análisis de riesgos

- Planes de seguridad y gestiones

- Herramientas para facilitar la aplicación del método MEHARI

Día 3: examen

- Examen «MEHARI Advanced» (2 horas)




13

EBIOS ADVANCED PRACTITIONER* - 2,5 DÍAS

Este módulo puede complementar a los módulos de 2,5 días "ISO 27005 Risk Manager" para constituir una

formación de 5 días.

Duración: 20 horas Perfil de los participantes: consultores, responsables de la seguridad de los sistemas de información y gestores de riesgos

Objetivos:

El participante desea desarrollar las competencias necesarias para llevar a cabo un análisis de riesgos con el método

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) creado por la ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).

El 60% de esta formación consiste en ejercicios prácticos: - un caso práctico completo realizado durante la presentación de los módulos;

- otro caso práctico completo realizado de manera autónoma y corregido en grupo;

- la demostración y el uso de la herramienta EBIOS; - las preguntas del examen.

De este modo, los participantes adquirirán las competencias y los conocimientos necesarios para realizar una evaluación óptima de los riesgos del SSI con el método EBIOS y para gestionar los riesgos de manera sostenible de

acuerdo con su ciclo de vida. Los objetivos son los siguientes:

- desarrollar las competencias y los conocimientos necesarios para realizar un análisis de riesgos con el

método EBIOS; - controlar las etapas de realización de un análisis de riesgos con el método EBIOS;

- comprender los conceptos, los enfoques, los métodos y las técnicas que hacen posible una gestión de riesgos según la ISO 27005.

Nota: este curso se basa en el método EBIOS 2010.


Día 1: realización de un análisis de riesgos con EBIOS

- Presentación del método EBIOS

- Fase 1: estudio del contexto

- Fase 2: estudio de los eventos peligrosos

- Fase 3: estudio de los escenarios de amenazas

Día 2: finalización de un análisis de riesgos con EBIOS

- Fase 4: estudio de los riesgos

- Fase 5: estudio de las medidas de seguridad

- Caso práctico

Día 3: examen EBIOS

- Examen «EBIOS Advanced» (3 horas)




14

FORMACIONES DE CONTINUIDAD DE

NEGOCIO



15

ELABORAR Y GESTIONAR UN PLAN DE CONTINUIDAD - 2 DÍAS

Duración: 16 horas Perfil de los participantes: consultores, responsables de la seguridad de los

sistemas de información, jefes de proyecto y auditores

Objetivos:

El participante desea adquirir o reforzar los conocimientos que permiten considerar todos los problemas relacionados

con la preparación, la implementación y el mantenimiento del Plan de Continuidad de Negocio (PCN) según los

conceptos de sistema de gestión de la continuidad de negocio de la norma ISO 22301:2012.

La intención de esta formación es ofrecer a los participantes las competencias necesarias para comprender los retos

que plantean los PCN, desde la aplicación del proyecto hasta su organización y la supervisión de las pruebas.

La formación ha sido diseñada y validada por un equipo multidisciplinar formado por consultores expertos en el

campo de la continuidad del negocio, consultores y auditores especializados en materia de implementación y gestión de sistemas de gestión (ISO 22301, ISO 27001, ISO 9001, etc.), directores de seguridad y especialistas en la

formación profesional.


- comprender los retos que supone una estrategia de continuidad y un sistema de gestión de la continuidad

del negocio basados en la norma ISO 22301:2012;

- conocer la diferencia entre el plan de continuidad de negocio, el plan de recuperación ante desastres

informáticos y el plan de recuperación del negocio;

- apreciar las particularidades del proyecto del plan de continuidad;

- conocer los principios de la activación del plan de recuperación, del funcionamiento en modo de emergencia

y del regreso a la normalidad;

- ser capaz de organizar y de efectuar un seguimiento de las pruebas del PCN;

- concebir la continuidad del negocio como proceso ITIL.


Día 1: conceptos clave y lanzamiento del proyecto PCN

- Ventajas de gestionar la continuidad

- Definiciones y conceptos

- El proyecto y su gestión

- Cómo realizar un análisis de riesgos y concepto de desastre

- Una etapa clave: la identificación de las actividades críticas

Día 2: aplicación del PCN y seguimiento

- Medios necesarios para diseñar los dispositivos

- Producción de los planes y creación de los equipos de emergencia

- Procedimientos de elevación de problemas a cargos superiores y creación de células de crisis

- Organización y seguimiento de las pruebas

- Continuidad del negocio como proceso ITIL



16


Duración: 16 horas Perfiles: consultores, directores de sistemas de información, responsables

de la seguridad de los sistemas de información y jefes de proyecto

Objetivos:

El participante, independientemente de su perfil y experiencia, desea adquirir nuevas competencias y conocer los

conceptos de aplicación y gestión de un Sistema de gestión de la continuidad del negocio (SGCN) basado en la

norma ISO/CEI 22301:2012, así como las prácticas recomendadas de implementación de las medidas de continuidad del negocio basadas en la norma IOS/PAS 22399.

Los objetivos de este curso son los siguientes: - explicar cómo funciona un Sistema de gestión de la continuidad del negocio (SGCN) conforme a la norma

ISO/CEI 22301:2012 y sus procesos principales; - comprender los procesos principales de la gestión de la continuidad del negocio;

- identificar las acciones y medidas principales que se implementarán para garantizar la continuidad del

negocio conforme a la norma ISO/PAS 22399; - obtener la certificación ISO 22301 Foundation.

Nota: este curso se basa en la norma ISO 22301:2012.


Día 1: introducción a los conceptos del SGCN

- Presentación de las normas ISO 22301, ISO 27031 e ISO/PAS 22399 - Principios básicos de la continuidad del negocio

- Conceptos del sistema de gestión y enfoque de los procesos - Exigencias y cláusulas de la norma ISO 22301

Día 2: aplicación de las medidas de continuidad del negocio

- Business Impact Analysis (BIA) y gestión de riesgos

- Etapas de implementación de un SGCN ISO 22301 - Mejora continuada

- Procesos y auditoría de certificación ISO 22301

- Examen “Certified ISO 22301 Foundation” (1 h)




17


Duración: 36 horas

Perfil de los participantes: consultores, responsables de procesos de

continuidad del negocio, responsables de la seguridad de los sistemas de información, jefes de proyecto, etc.

Objetivos:

El participante desea adquirir nuevas competencias y ser capaz de aplicar y de gestionar un Sistema de Gestión de la

Continuidad del Negocio (SGCN) conforme a las exigencias de la norma ISO 22301:2012. Esta formación permite dominar las prácticas recomendadas de implementación de procesos de continuidad del

negocio conforme a la norma ISO/PAS 22399. La formación ha sido diseñada y validada por un equipo multidisciplinar formado por consultores expertos en el

campo de la continuidad del negocio, consultores y auditores especializados en materia de implementación y gestión de sistemas de gestión (ISO 22301, ISO 27001, ISO 9001, etc.), directores de seguridad y especialistas en la

formación profesional.

Los objetivos son los siguientes: - comprender la implementación de un SGCN conforme a las exigencias de las normas ISO 22301, ISO 27031

o BS25999; - adquirir los conceptos, los enfoques, los métodos, las normas y las técnicas necesarios para la gestión eficaz

de un SGCN;

- comprender la relación entre los distintos componentes de un SGCN y su conformidad con las exigencias; - adquirir los conocimientos necesarios para asesorar a una organización en la implementación, la gestión y el

mantenimiento de un SGCN conforme a las exigencias de las normas ISO 22301 o BS25999.



Día 1: introducción a la gestión de un SGCN e iniciación de un SGCN

- Introducción a los sistemas de gestión y al enfoque por procesos

- Presentación de las normas ISO 22301, ISO/PAS 22399, ISO 27031 y BS 25999, así como de los estándares reguladores

- Principios básicos de la continuidad del negocio

- Análisis preliminar

- Redacción de un estudio de viabilidad y de un plan de proyecto para la implementación de un SGCN

Día 2: planificación de un SGCN

- Definición del perímetro del SGCN

- Desarrollo del SGCN y de las políticas de continuidad del negocio

- Análisis del impacto (BIA) y estimación de los riesgos

Día 3: implementación de un SGCN

- Implementación de un marco de gestión documental

- Elaboración y aplicación de procesos de continuidad del negocio y redacción de políticas

- Gestión de los incidentes y de las emergencias

- Gestión de las operaciones de un SGCN

Día 4: control, mejora y evaluación del SGCN y auditoría de certificación

- Supervisión de los procesos de continuidad del negocio

- Desarrollo de métricas, indicadores de rendimiento y hojas de ruta

- Auditoría interna y revisión de la dirección del SGCN

- Implementación de un programa de mejora continuada

- Preparación para la auditoría de certificación ISO 22301

Día 5: examen

- Examen «Certified ISO 22301 Lead Implementer» (3 horas)




18

ISO 22301 LEAD AUDITOR* - 4,5 DÍAS

Duración: 36 horas

Perfil de los participantes: consultores, auditores, responsables de procesos de

continuidad del negocio, responsables de la seguridad de los sistemas de información, jefes de proyecto, etc.

Objetivos:

El participante desea adquirir nuevos conocimientos que le permitan realizar una auditoría y una evaluación de la

eficacia de un Sistema de Gestión de la Continuidad del Negocio (SGCN) conforme a las exigencias de la norma ISO 22301.

Esta formación le permitirá desarrollar las aptitudes y competencias necesarias para realizar una auditoría de certificación de SGCN, especialmente sobre la base de los preceptos de la norma ISO 19011.

La formación ha sido diseñada y validada por un equipo multidisciplinar formado por consultores expertos en el campo de la continuidad del negocio, consultores y auditores especializados en materia de implementación y gestión

de sistemas de gestión (ISO 22301, ISO 27001, ISO 9001, etc.), directores de seguridad y especialistas en la

formación profesional. Los objetivos son:

- poder realizar auditorías internas o auditorías de certificación ISO 22301 según las directrices que establece la ISO 19011 y las especificaciones de la ISO 17021, además de aprender a gestionar un equipo de auditores

del SGCN;

- comprender cómo funciona un SGCN conforme a la ISO 22301 y a la normativa de las distintas partes de una organización;

- mejorar la capacidad de análisis del entorno interno y externo de una organización, de evaluación de los riesgos de la auditoría y de la toma de decisiones en el contexto de una auditoría de SGCN.



Día 1: introducción al concepto de Sistema de gestión de la continuidad del negocio

(SGCN) según la definición de la ISO 22301 - Presentación de las normas ISO 22301, ISO27031, ISO/PAS 22399 y BS 25999

- Principios básicos de la continuidad del negocio - Procesos de certificación ISO 22301

- Sistema de gestión de la continuidad del negocio (SGCN)

- Presentación detallada de las cláusulas 4 a 10 de la ISO 22301 Día 2: planificación e inicio de una auditoría 22301

- Principios y conceptos fundamentales de la auditoría - Enfoque de auditoría basado en las pruebas y en el riesgo

- Preparación de una auditoría de certificación ISO 22301 - Auditoría documental de un SGCN

- Celebración de una reunión inicial

Día 3: realización de una auditoría ISO 22301 - Comunicación durante la auditoría

- Procedimientos de auditoría: observación, revisión de documentos, entrevistas, técnicas de muestreo, verificación técnica, corroboración y evaluación

- Redacción de los planes de pruebas de auditoría

- Formulación de las comprobaciones de la auditoría - Redacción de informes de incumplimiento

Día 4: finalización y seguimiento de una auditoría ISO 22301 - Documentación de auditoría

- Celebración de una reunión de cierre y finalización de una auditoría 22301

- Evaluación de los planes de acción correctivos - Auditoría de supervisión ISO 22301

- Programa de gestión de auditoría interna ISO 22301 Día 5: examen

- Examen «Certified ISO 22301 Lead Auditor» (3 horas)




19

ISO 24762 IMPLEMENTAR Y GESTIONAR LA REANUDACIÓN DEL NEGOCIO - 3 DÍAS

Duración: 24 horas Perfiles: consultores, directores de sistemas de información, responsables

de la seguridad de los sistemas de información, jefes de proyecto, etc.

Objetivos:

Esta formación permite desarrollar la experiencia necesaria para ayudar a una organización en la implementación, el

mantenimiento y la gestión de un plan de reanudación del negocio de las tecnologías de la información y la

comunicación conforme a la norma ISO 24762. La intención de la formación es presentar los aspectos de las gestiones y de los procesos además de detallar un

conjunto de medidas técnicas relacionadas con la reanudación del negocio de acuerdo con la norma ISO 24762.

Esta formación puede dirigirse a: - los responsables y los equipos de reanudación del negocio,

- los consultores en reanudación del negocio informático.



Día 1: introducción, evaluación y reducción de los riesgos conforme a la ISO 24762

- Diferencias entre la continuidad del negocio y la reanudación del negocio

- Gestión de los activos

- Evaluación y reducción de los riesgos

- Gestión documental

- Seguridad de la información

- Continuidad del negocio

Día 2: centros y locales de reanudación, subcontratación de servicios y activación del plan de reanudación del negocio según la ISO 24762

- Locales de reanudación

- Subcontratación de servicios

- Centros de reanudación

- Activación del plan de reanudación del negocio

Día 3: medición, prueba y mejora continuada

- Medición del rendimiento

- Autoevaluación

- Prueba

- Mejora continuada

- Examen “Certified ISO 24762 Disaster Recovery Manager” (2 h)




20

FORMACIONES DE GESTIÓN DE LA

SEGURIDAD



21

DEFINIR Y CONTROLAR LOS INDICADORES Y LAS HOJAS DE RUTA DEL SSI - 2 DÍAS


sistemas de información, jefes de proyecto, etc.

Objetivos:

El participante desea desarrollar las competencias necesarias para definir y aplicar indicadores y hojas de ruta

pertinentes en materia de seguridad de la información y, en general, implementar o mejorar la gestión de la

seguridad de la información. La intención de esta formación es, en primer lugar, presentar y poner en práctica de manera global una metodología

pragmática de definición y aplicación de indicadores y hojas de ruta, además de establecer o mejorar el marco y los procesos de gestión, basándose especialmente en marcos de referencia como la ISO 27004 y los COBIT (Control

Objectives for Information and related Technologies). Por último, esta formación permite a los participantes trabajar con casos concretos de definición y aplicación de

indicadores para las exigencias principales de la norma ISO 27001:2013 (cláusulas 4 a 10 y anexo A).

Los objetivos son los siguientes: - adquirir las aptitudes metodológicas y de la práctica que permiten definir y aplicar indicadores pertinentes y

adaptados en materia de seguridad de la información; - disponer de ciertos indicadores predefinidos para las exigencias principales de la norma ISO 27001, que se

adaptarán, en última instancia, según el contexto.


Día 1

- Conceptos y principios de gestión de seguridad de la información

o Sistema de gestión, procesos y marcos de referencia: ISO 27001, ISO 31500/COBIT, ISAE 3402, etc.

o Entorno y estrategia de control: control interno y externo, niveles de control

- Métricas, indicadores, hojas de ruta, etc.

o Definición

o Objetivos

o Principios

o Marcos de referencia, metodologías: TDBSSI, ISO27004, Balanced Scorecard, etc.

- Metodología de definición/concepción de los indicadores:

o Papel de los distintos actores: directivos, responsables de la seguridad de los sistemas de información, productores, etc.

o Necesidades y objetivos de control (definir los indicadores):

Criterios: precisión, frecuencia, umbral, etc.

Ejercicio práctico: definir las necesidades y los objetivos de control para varias exigencias de la ISO27001

Día 2

- Metodología de definición/concepción de los indicadores (continuación):

o Producción de los indicadores:

Identificación de las informaciones

Formalización/cálculo

Ejercicio práctico: definir el medio de producción de varios indicadores

o Presentación/restitución de los indicadores

Hoja de ruta del SSI

Ejercicio práctico: definir y crear una hoja de ruta

- Informes, prácticas recomendadas, inconvenientes que hay que evitar



22

ELABORAR Y GESTIONAR UNA POLÍTICA DE SEGURIDAD - 2 DÍAS


sistemas de información, jefes de proyecto y auditores

Objetivos:

El participante desea adquirir nuevos conocimientos y ser capaz de implementar un sistema de organización de

seguridad y una política de seguridad.

El objetivo de esta formación es permitir a los participantes asimilar los conocimientos necesarios para comprender los retos de una política de seguridad, de los procesos de seguridad y de su gestión.


- identificar las nociones de riesgo y de política de seguridad;

- comprender los procesos de seguridad;

- comprender las distintas opciones que permiten garantizar la seguridad de los sistemas de información;

- obtener una visión general de las normas ISO 27001, ISO 27002 e ISO 27005.


Día 1: elaboración de una política de seguridad

- Introducción: revisión de los principios básicos de la seguridad de la información

o Noción de riesgo

o Criterios de seguridad

- Marcos normativos y regulatorios

o ISO 2700X, ITIL, etc.

o Propiedad intelectual, gestión de los datos personales, etc.

- Identificación y evaluación de los riesgos

o Apreciación de los riesgos

o Distintos métodos de análisis de riesgos (MEHARI y EBIOS)

- Definición de la política de seguridad

o Organización de la seguridad

o Aspectos técnicos

- Claves del éxito de la implementación de una política de seguridad

Día 2: implementación y gestión de la política y de los procesos de seguridad

- Principios de la implementación de la política de seguridad

o Gestión de los incidentes

o Gestión de la continuidad del negocio (PCN y PRN)

- Supervisión de la seguridad

o Definición de los indicadores de seguridad y de las hojas de ruta

o Auditorías de seguridad

o Definición de los planes de gestión de la seguridad

- Implicación de las diferentes partes involucradas en la seguridad de la información

o Sensibilización hacia la seguridad y formación

o Definición de planes de comunicación



23

SEGURIDAD EN LOS PROYECTOS E INTRODUCCIÓN A LOS CRITERIOS COMUNES - 2 DÍAS

Duración: 16 horas Perfil de los participantes: jefes de proyecto, consultores, arquitectos,

auditores, etc.

Objetivos: El participante desea adquirir nuevos conocimientos y ser capaz de considerar los problemas que plantea la

seguridad de la información en el proyecto que dirige o en el que participa. El objetivo de esta formación es sentar

las bases de las prácticas recomendadas de integración y gestión de la seguridad en el ciclo de vida de un proyecto, basadas especialmente en los criterios comunes (ISO 15408).

A tal fin, la formación incluye una introducción y una presentación de los conceptos y preceptos de los criterios comunes (ISO 15408), y expone una perspectiva con otros marcos de referencia (ISO 27034, GISSIP, etc.).

Mediante la combinación de los conocimientos que aportan los conceptos teóricos y su aplicación en los casos prácticos fruto de la experiencia de nuestros colaboradores, esta formación permitirá a los participantes asimilar las

nociones y las actuaciones de seguridad clave en la gestión de proyectos.

Los objetivos son: - comprender de manera general los principios básicos de integración y de gestión de la seguridad en los

proyectos, basados en los criterios comunes (ISO 15408); - proporcionar a las personas que intervienen en la integración de la seguridad en los procesos del proyecto

(responsables de la seguridad de los sistemas de información, servicios y métodos, calidad, etc.) las claves y

los principios básicos para implementar o mejorar estos aspectos; - proporcionar a los actores de los proyectos (jefes de proyecto, arquitectos, etc.) las bases para comprender

y dirigir las actividades principales relacionadas con la seguridad de la información (identificación y evaluación de los riesgos, expresión/definición y seguimiento de las necesidades y exigencias de seguridad,

pruebas de seguridad, etc.)


El curso se ha estructurado siguiendo las etapas sucesivas estándar de un proyecto con el objetivo de ilustrar las acciones concretas que el jefe de proyecto debe llevar a cabo en colaboración con los equipos responsables del SSI. Incluye numerosos ejemplos de casos reales para que el jefe de proyecto pueda adaptar fácilmente el contenido de la formación a los procesos aplicables a su organización.

Módulo 1: consideración de las necesidades de seguridad

- Consecuencias de la desconsideración de la seguridad

- Introducción a los problemas que plantea la seguridad en la realización de proyectos

- Identificación de las necesidades de seguridad

- Definición de las exigencias

- Clasificación del proyecto

- Plan de gestión de la seguridad

Módulo 2: implementación de la seguridad en la realización del proyecto

- Nivel de formalismo esperado (tecnología más novedosa)

- Apoyo a la infraestructura y a la organización del SSI

- Actividades que deben llevarse a cabo y documentos que deben elaborarse:

o leyes y reglamentos aplicables

o descripción de los desarrollos

o análisis de COTS

Módulo 3: validación y puesta en funcionamiento

- Introducción a la noción de cobertura

- Conformidad: solución de seguridad

- Mecanismos de evaluación de las respuestas a las exigencias

- Entrega, instalación y uso: manuales y procedimientos de uso

Módulo 4: mantenimiento y seguimiento

- Problemas con el seguimiento de las vulnerabilidades

- Garantía de la seguridad

- Supervisión



24

DOMINAR LOS CRITERIOS COMUNES - 4 DÍAS

Este módulo incluye la formación de 2 días «Seguridad en los proyectos e introducción a los criterios comunes»

Duración: 32 horas Perfil de los participantes: jefes de proyecto, consultores, arquitectos,

auditores, etc.

Objetivos:

El participante desea adquirir nuevos conocimientos y ser capaz de utilizar los criterios comunes para mejorar el nivel de seguridad de los productos que desarrolla y que se utilizarán o incorporarán en los sistemas. Los criterios

comunes ofrecen un enfoque estructurado para tener en cuenta la seguridad en la concepción, la realización, la instalación y el uso de un producto. Además, permiten definir en todas las fases del desarrollo las exigencias de

contenido, de presentación y de elementos de prueba aplicables, así como los materiales especificados que se requieren a los desarrolladores.

Esta formación sienta las bases de seguridad necesarias para comprender los retos y expresar las exigencias de

seguridad en cuanto a los aspectos funcionales y organizativos, a la consideración de estas exigencias desde la fase de concepción y durante las fases de realización, y a su validación.


- transmitir a los jefes de proyecto las competencias necesarias para expresar las necesidades de seguridad y

para realizar un seguimiento de las exigencias;

- saber utilizar los criterios comunes para especificar, desarrollar y validar las exigencias de seguridad;

- comprender los distintos esquemas de certificaciones y su interrelación;

- ser capaz de leer, debatir y diseñar un objetivo de seguridad.


Día 1: seguridad en los proyectos e introducción a los criterios comunes

- Consideración de las necesidades de seguridad

- Implementación de la seguridad en la realización del proyecto

- Validación y puesta en funcionamiento

Día 2: presentación de los criterios de evaluación del SSI

- Especificación de la necesidad de seguridad y noción de objetivo de seguridad

- Procesos de garantía de conformidad y nivel de confianza deseado

- Procesos de garantía de eficacia y nivel de resistencia previsto

- Impactos en el ciclo de desarrollo

Día 3: esquemas de certificación

- Evaluación del nivel de seguridad de un sistema de información

- Evaluación del nivel de seguridad de un producto

Día 4: objetivo de seguridad

- Contenido de un objetivo de seguridad

- Caso práctico



25

FORMACIONES TÉCNICAS SOBRE SEGURIDAD



26

PRINCIPIOS BÁSICOS DE LA SEGURIDAD DE LA INFORMACIÓN* - 3 DÍAS

Duración: 24 horas Perfil de los participantes: responsables de la seguridad de los sistemas de

información, auditores, jefes de proyecto, arquitectos, etc.

Objetivos:

El participante desea adquirir las bases para comprender los riesgos y las prácticas recomendadas en todos los dominios de la seguridad de la información (los 10 dominios del CBK CISSP/los 14 dominios de la ISO 27002:2013).

Para cada uno de los dominios, esta formación propone estudiar: - el contexto, la necesidad y los retos de los organismos con respecto a estos dominios;

- las vulnerabilidades, las amenazas y los riesgos asociados;

- las medidas y prácticas recomendadas de protección. La formación se basa, en parte, en el curso CISSP e incluye numerosos ejemplos y casos prácticos personalizados.

Además, está adaptada especialmente a las personas que desempeñan o desean desempeñar funciones de responsable de la seguridad de los sistemas de información, consultor, jefe de proyecto de seguridad, etc.


Día 1:

- Principios básicos de la seguridad de la información

- Gestión de riesgos:

o confidencialidad, integridad y disponibilidad

o activos, amenazas, vulnerabilidades e impactos

o medidas de seguridad

- Organización y políticas de la seguridad de la información

- Seguridad de los recursos humanos: selección, funciones y responsabilidades, separación de tareas, etc.

- Control de acceso: autenticación, autorización, etc.

Día 2:

- Seguridad de las redes y de las telecomunicaciones:

o tecnologías: OSI, TCP/IP, Ethernet, Wifi, etc.

o ataques: escucha, usurpación mediante ataque ARP, etc.

o medidas: protección, cortafuegos, cifrado, etc.

- Gestión y seguridad de la explotación: separación, copia de seguridad, incidentes, etc.

- Gestión y seguridad de terceros: contrato, auditoría, etc.

- Criptografía: simétrica, asimétrica, hash, PKI, firma, etc.

Día 3:

- Seguridad de las aplicaciones: ciclo de vida, exigencias, pruebas, etc.

- Seguridad física y ambiental: accesos físicos, incendios, electricidad, calefacción/aire acondicionado, etc.

- Gestión del plan de continuidad del negocio

- Conformidad, evaluación y auditoría de la seguridad

- Examen «Certified Information Security Foundation» (1 hora)




27

AUDITORÍA DE SEGURIDAD DE LAS REDES Y LOS SISTEMAS - 3 DÍAS

Duración: 24 horas Perfil de los participantes: consultores, auditores, jefes de proyecto, arquitectos,

responsables de la seguridad de los sistemas de información, etc.

Objetivos:

El participante desea adquirir conocimientos globales de las prácticas recomendadas de protección de los SI.

Esta formación ofrece a los participantes todos los conceptos y prácticas necesarios para valorar la conveniencia de

proteger las redes y los sistemas. Ello se consigue a través de temas como la comprensión de las pruebas de intrusiones lógicas y su impacto en los SI, la demostración y la comprensión de los ataques, o incluso la práctica de

la implementación de mecanismos de protección para comprender su funcionamiento.


- comprender durante las auditorías los elementos técnicos de seguridad de red, del sistema y de los elementos relacionados;

- saber detectar si los mecanismos técnicos de seguridad se adecuan a la tecnología más novedosa;

- ser capaz de analizar y validar/documentar las respuestas de las organizaciones auditadas durante la fase de revisión;

- saber solicitar los elementos de las pruebas técnicas o documentales;

- saber utilizar un vocabulario adecuado.


Día 1: puesta al día teórica

- Papel y funcionamiento de los elementos que conforman la seguridad

- Máscaras de direcciones NAT

- Principales arquitecturas de protección de redes

- Breve descripción de los aspectos de seguridad relacionados con los protocolos y los flujos

- Protección y fortalecimiento

- Comprensión de las necesidades de seguridad y de las arquitecturas asociadas

- Determinación de los puntos específicos que deben analizarse durante una auditoría de los sistemas

Día 2: práctica y pruebas de intrusiones en las arquitecturas de las redes de seguridad

- Arquitectura típica SOHO y PME

- Arquitectura compleja

- Arquitecturas interconectadas

- Demostración de las vulnerabilidades de las arquitecturas ante los ataques a la seguridad

- Ilustración a través de la configuración de los parámetros reales de los equipos

Día 3: protección, fortalecimiento y configuración de parámetros

- Protección y fortalecimiento de los sistemas

- Noción de proceso

- Vulnerabilidades de los sistemas y configuración de parámetros de seguridad de los componentes de los sistemas

- Demostración de las vulnerabilidades existentes y ataques más habituales de los productos de la comunidad

- Revisión de las nociones teóricas que planteen dudas

- Ejemplos de casos de auditoría

- Vigilancia de la seguridad



28

AUDITORÍA DE SEGURIDAD DE LAS REDES Y LOS SISTEMAS (NIVEL AVANZADO) - 4 DÍAS

Este módulo incluye la formación de 3 días «Auditoría de seguridad de las redes y los sistemas (nivel básico)»

Duración: 32 horas Perfil de los participantes: auditores, consultores, responsables de la seguridad

de los sistemas de información, jefes de proyecto, etc.

Objetivos:

El participante desea profundizar los conocimientos que posee sobre las prácticas recomendadas de protección de los SI.

Esta formación ofrece a los participantes todos los conceptos y prácticas necesarios, así como las técnicas básicas que les prepararán para realizar una auditoría con las máximas garantías.


- consolidar los conocimientos técnicos adquiridos en la formación anterior «Auditoría de seguridad de las

redes y los sistemas (nivel básico)» comprobando que se haya comprendido la información relacionada con

las arquitecturas de seguridad;

- conocer las nuevas evoluciones de las infraestructuras de seguridad que deben tenerse en cuenta en las

auditorías;

- profundizar en los conocimientos de la configuración de parámetros de seguridad;

- saber solicitar los elementos de las pruebas técnicas o documentales.


Día 1: revisión de los conocimientos adquiridos y puesta al día de los ataques y las

nuevas tecnologías

- Revisión de los dispositivos de seguridad que deben conocerse y que se han estudiado en el curso anterior

- Actualidad de la seguridad: alertas e incidentes que deben tenerse en cuenta. Análisis de las novedades para ilustrar los casos que deben considerarse en las auditorías. Breve descripción de los aspectos de

seguridad relacionados con los protocolos y los flujos.

- Análisis tecnológico de los nuevos dispositivos que aparecerán en las auditorías

Día 2: configuración de parámetros de los equipos de cortafuegos y de los cortafuegos personales que debe auditarse

- Cortafuegos personales (filtrado y sensor de detección de intrusiones)

- Configuración de parámetros estándar de los cortafuegos: aplicación en el cortafuegos personal Windows XP y Windows 7 y router JUNIPER

- Práctica de la configuración de parámetros adecuada

Día 3: configuración de seguridad de los sistemas Windows

- Configuración de parámetros de seguridad de los controladores de dominio Windows: elementos que deben

buscarse, pruebas que deben solicitarse y distintos escenarios

- Gestión de las cuentas y de los privilegios

- Política de seguridad local en los servidores y los ordenadores

- Política de registro

Día 4: virtualización y trabajo en colaboración

- Virtualización: mecanismos, herramientas disponibles y problemas de seguridad relacionados.

- Portales de colaboración: soluciones, problemas de seguridad derivados de un trabajo en colaboración y

compartido, separación de funciones y protección de datos.

- Práctica basada en Microsoft SharePoint



29

REALIZAR AUDITORÍAS DE CONFIGURACIÓN/ARQUITECTURA - 1 DÍA


de los sistemas de información, etc.

Objetivos:

El participante desea adquirir o reforzar los conocimientos y las aptitudes necesarios para realizar auditorías de

configuración y de arquitectura.

La intención de esta formación es enseñar las gestiones y metodologías que se deben aplicar, las prácticas recomendadas, los peligros que se deben evitar y los marcos de referencia que se deben utilizar según los

componentes por auditar. Asimismo, la formación incluye la puesta en práctica de estos elementos con ejemplos concretos y casos prácticos.

Los objetivos son los siguientes: - ser capaz de organizar y dirigir auditorías de configuración, tanto del lado del auditor como del lado del

auditado;

- ser capaz de realizar auditorías de configuración de manera autónoma. Esta formación se basa en nuestras experiencias en materia de auditoría de configuración/arquitectura y la imparte

un formador especializado en realizar este tipo de auditorías.


Módulo 1: introducción - Principios y objetivos de las auditorías de configuración/arquitectura

- Ventajas/límites Módulo 2: preparación/marco

- Perímetro, componentes, objetivos de la auditoría - Requisitos previos/elementos que se deben preparar

o Cuentas de auditoría: riesgos, prácticas recomendadas, etc.

o Entorno de auditoría (producción, pruebas, etc.) Módulo 3: realización

- Auditorías de arquitectura o Realización de entrevistas/análisis documental

o Técnicas de auditoría complementarias: cartografía, escucha/captura, búsqueda de información

- Auditorías de configuración o Exigencias/requisitos previos/medidas de conservación:

Conservación de la integridad de la configuración del componente (sin instalación), seguimiento/supervisión de las acciones realizadas, copia de seguridad

Técnicas de auditoría: conexión con el entorno, informe de configuración, herramientas/plantilla (XCCDF)

o Marcos de referencia/puntos de control principales:

Genéricos: control de acceso, configuración de red, etc. Por tipo de componentes:

puestos de trabajo/smartphone/tableta

Servidores de SO: Linux, Windows, Unix

Bases de datos: Oracle, SQL Server

Servidor web: IIS, Apache

Componentes de red y seguridad: routers, interruptores, antivirus, etc.

- Conservación/almacenamiento de trazas y resultados de la auditoría Módulo 4: restitución

- Análisis y consolidación de los resultados de la auditoría

- Redacción del informe o Resumen

o Resultados detallados - Restitución



30

REALIZAR PRUEBAS DE INTRUSIÓN - 2 DÍAS


de los sistemas de información, etc.

Objetivos:

El participante desea adquirir o reforzar las aptitudes y los conocimientos necesarios para realizar pruebas de

intrusión.

La intención de esta formación es enseñar las gestiones y metodologías que se deben aplicar, las prácticas recomendadas, los peligros que se deben evitar y los marcos de referencia que se deben utilizar.

Asimismo, la formación incluye la puesta en práctica de estos elementos con ejemplos concretos y casos prácticos. Los objetivos son los siguientes:

- en el caso de los auditores y los auditados, organizar y dirigir pruebas de intrusión; - en el caso de los auditados, comprender e interpretar los resultados de las pruebas de intrusión;

- en el caso de los auditores, realizar de manera autónoma pruebas de intrusión "simples" o pruebas de

intrusión de complejidad media con un marco adaptado. Esta formación se basa en nuestras experiencias en materia de pruebas de intrusión y la imparte un formador

especializado en realizar este tipo de tarea.


Módulo 1: introducción - Definición, pruebas de intrusión internas/externas

- Ventajas/límites - Aspectos jurídicos, administrativos, humanos, etc.

o Leyes aplicables o Ética, deontología

o Autorización de realización

- Preparación del entorno: o SO/arranque dual, máquina virtual, distribución de Pentest o pruebas de penetración (Kali, etc.)

o Herramientas, marcos de referencia, documentación

Módulo 2: investigación y exploración

- Escucha y obtención de información (ejemplo de herramienta: Wireshark) - Búsqueda de información: DNS, WHOIS, Google, etc. (ejemplo de herramienta: Spiderfoot)

- Escaneo y toma de huellas o Pruebas externas/internas

o Herramientas: NMAP, ARPscan, netdiscover, etc. o Interpretación y uso de los resultados

o Evasión/eludir las medidas de detección/bloqueo: exploraciones pasivas, fragmentación, etc.

Módulo 3: detección y explotación de vulnerabilidades

- Pruebas internas: o objetivos, escenarios (intruso, "empleado en prácticas malintencionado", etc.)

o Exploración de vulnerabilidades (ejemplo de herramienta: OpenVAS)

o Ataques de red (funcionamiento, herramientas, etc.): envenenamiento ARP, suplantación de DHCP/DNS, etc.

o Escalada de los accesos - Pruebas externas

o Aplicaciones web

Marcos de referencia, herramientas: OWASP, CVE, proxy http, escáner web, metasploit Pruebas/vulnerabilidades principales: Directory Traversal, XSS, inyección SQL, fallo

include/upload, DoS y DDoS o Otros servicios: VPN IPSEC/SSL, mensajería (SMTP, POP, etc.)



31

SEGURIDAD DE LA NUBE Y VIRTUALIZACIÓN - 2 DÍAS

Duración: 16 horas Perfil de los participantes: responsables de la seguridad de los sistemas de

información, consultores, jefes de proyecto, administradores, etc.

Objetivos:

El participante desea adquirir los conocimientos necesarios para comprender, en el plano de la seguridad de la

información, las tecnologías de virtualización y de la nube, ya sea para una implementación en su empresa o para

asesorar a otras organizaciones.

Esta formación trata los aspectos técnicos, organizativos y reglamentarios que permiten tener una visión general de los retos, los riesgos y las prácticas recomendadas de seguridad en relación con estas tecnologías y los proyectos

asociados.

Los objetivos son, especialmente, los siguientes:

- disponer de las competencias y aptitudes necesarias para intervenir en proyectos de implementación de tecnologías de «virtualización» o en la «nube», en los diferentes aspectos relacionados con la seguridad de

la información en todas las fases del ciclo de vida del proyecto (identificación de los riesgos, definición de las exigencias, implementación y pruebas de las medidas de seguridad, etc.);

- poder dialogar «con conocimiento de causa» con los distintos actores de estas tecnologías (editores,

proveedores de servicios, especialistas en seguridad, etc.).


Módulo 1: seguridad y virtualización

- Definición, principios y modos de funcionamiento - Casos de uso, retos, beneficios e impactos

- Actores principales del mercado y diferencias fundamentales

- Contribuciones de la virtualización en términos de seguridad de la información - Amenazas y riesgos de seguridad relacionados con la virtualización

o Confidencialidad e integridad de los datos o Accesos no autorizados

o …

- Prácticas recomendadas y medidas de protección o Aislamiento de los recursos

o Comunicaciones e interfaces o Derechos y funciones

o … Módulo 2: seguridad y la nube

- Definición, principios y modos de funcionamiento

- Casos de uso, retos, beneficios e impactos - Actores principales del mercado y diferencias fundamentales

- Aportaciones de la nube en términos de seguridad de la información - Amenazas y riesgos de seguridad relacionados con la nube

o Aspectos jurídicos: «soberanía», confidencialidad, etc.

o Apertura externa, dominio del nivel de seguridad o …

- Prácticas recomendadas y medidas de protección o Exigencias básicas: localización y «nivel de confianza»

o Aspectos contractuales y organizativos: SLA de «seguridad», negociación de las cláusulas, etc.

o Aspectos técnicos: Cifrado, gestión del acceso, etc. o Fase de explotación: gestión de incidentes de seguridad, etc.



32

SOLUCIÓN RSA ENVISION® - 4 DÍAS

Duración: 32 horas Perfil de los participantes: analistas y administradores de sistemas y redes

Objetivos:

La gestión eficaz de los eventos de seguridad puede simplificarse enormemente con la solución RSA enVision®.

Esta formación permite aprender a implementar y a utilizar la solución de forma eficaz y según las prácticas

recomendadas.

Los objetivos son:

- aprender cómo recopilar la información y los registros de distintas fuentes, y a analizar su contenido;

- utilizar, modificar y crear informes para visualizar la información de forma concreta;

- analizar y correlacionar esta información para obtener las alertas en tiempo real y gestionar los incidentes.


Día 1:

- Instalación e implementación inicial

- Arquitectura

- Integración y gestión de las fuentes de registro

- Análisis básico

Día 2:

- Introducción a los informes

- Gestión de los usuarios y watchlists

- Informes avanzados (uso de variables y watchlists)

- Gestión de informes (programación, copia de seguridad, etc.)

Día 3:

- Introducción a Event Explorer

- Introducción a las alertas

Día 4:

- Recopilación de información de los sistemas de vulnerabilidades

- Alertas avanzadas

- Correlación con la gestión de vulnerabilidades

- Uso del sitio de asistencia, gestión de las revisiones y ayuda



33

SEGURIDAD DE LAS APLICACIONES



34

SEGURIDAD DE LAS APLICACIONES JAVA/JEE - 3 DÍAS

Duración: 24 horas Perfil de los participantes: auditores, desarrolladores, jefes de proyecto,

analistas de seguridad, consultores de calidad/método, etc.

Objetivos:

El participante desea adquirir las competencias que permiten entender en profundidad la seguridad de las

aplicaciones java/JEE, ya sea como desarrollador, jefe de proyecto o consultor de calidad/método.

Por un lado, la intención de esta formación es presentar las vulnerabilidades JAVA más habituales en las aplicaciones (web y otras), especialmente las que se describen en el Top 10 OWASP, y analizar las amenazas y los riesgos

asociados. Por otro lado, la formación pretende describir los principios para desarrollar aplicaciones seguras, así como presentar y poner en práctica las distintas técnicas de protección específicas para las aplicaciones JAVA.

Los objetivos son:

- conocer y comprender las diferentes vulnerabilidades de las aplicaciones JAVA, sus posibles impactos y los

riesgos asociados;

- ser capaz de definir y aplicar las mejores técnicas y prácticas de seguridad de las aplicaciones JAVA, además de aconsejar y comprobar su correcta implementación.


Esta formación consiste en una presentación detallada de los distintos conceptos de desarrollo protegido y ejercicios prácticos aplicados a ejemplos concretos. Para realizar las tareas prácticas, es necesario disponer de un ordenador.

Día 1: principios y mecanismos

- Principios de la programación protegida

- Sistemas de autenticación

- Autorizaciones y controles de acceso

- Gestión de las sesiones

Día 2: protección de la manipulación de los datos y de los intercambios de información

- Validación de datos

- Inyecciones en los intérpretes (SQL, LDAP, XML, XSS y CSRF)

- Ataques de denegación de servicio

- Seguridad de los servicios web

- Seguridad de los marcos de Java

- Seguridad de la JVM

Día 3: programación protegida

- Gestión de errores y registro

- Manipulación de archivos y de URL

- Criptografía

- Implementación

- Herramientas y cadena de integración

- Métodos y procesos de desarrollo



35

SEGURIDAD DE LAS APLICACIONES .NET - 3 DÍAS



Objetivos:


aplicaciones .NET, ya sea como desarrollador, jefe de proyecto o consultor de calidad/método.

Por un lado, la intención de esta formación es presentar las vulnerabilidades .NET más habituales en las aplicaciones (web y otras), especialmente las que se describen en el Top 10 OWASP, y analizar las amenazas y los riesgos

asociados. Por otro lado, la formación pretende describir los principios para desarrollar aplicaciones seguras, así como presentar y poner en práctica las distintas técnicas de protección específicas para las aplicaciones .NET.


- conocer y comprender las diferentes vulnerabilidades de las aplicaciones .NET, sus posibles impactos y los

riesgos asociados;

- ser capaz de definir y aplicar las mejores técnicas y prácticas de seguridad de las aplicaciones .NET, además de aconsejar y comprobar su correcta implementación.




- Principios de la programación protegida

- Sistemas de autenticación

- Autorizaciones y controles de acceso


Día 2: protección de la manipulación de los datos y de los intercambios de información



- Ataques de denegación de servicio


- Funcionamiento del CLR

Día 3: programación protegida


- Manipulación de archivos y de URL

- Criptografía

- Implementación

- Herramientas y cadena de integración




36

SEGURIDAD DE LAS APLICACIONES WEB (PHP, JAVASCRIPT, CMS, MYSQL…) - 3 DÍAS



Objetivos:


aplicaciones web, ya sea como desarrollador, jefe de proyecto o consultor de calidad/método.

Por un lado, la intención de esta formación es presentar las vulnerabilidades más habituales en las aplicaciones web, especialmente las que se describen en el Top 10 OWASP, y analizar las amenazas y los riesgos asociados. Por otro

lado, la formación pretende describir los principios para desarrollar aplicaciones seguras, así como presentar y poner en práctica las distintas técnicas de protección específicas para las aplicaciones web.


- conocer y comprender las diferentes vulnerabilidades de las aplicaciones web, sus posibles impactos y los

riesgos asociados;

- ser capaz de definir y aplicar las mejores técnicas y prácticas de protección de las aplicaciones web, además de aconsejar y comprobar su correcta implementación.




- Protocolo HTTP

- Arquitectura de una aplicación web

- Principios de desarrollo protegido

- Autenticación, autorización y control de acceso


Día 2: protección de los datos y de los intercambios



- Tecnologías AJAX


- Protocolo SSL

- Criptografía

Día 3: gestión de la seguridad y configuración de aplicaciones


- Implementación, herramientas y cadena de integración


- Configuración de servidores web

- Seguridad de los CMS

- Protección de las bases de datos en un entorno web



37

AUDITORÍA DE CÓDIGO - 2 DÍAS

Este módulo puede ser un módulo complementario de los módulos de 3 días "Seguridad de las aplicaciones Java,

.NET o web" para constituir la formación de 5 días "Seguridad y auditoría de las aplicaciones".



Objetivos:

El participante desea adquirir las competencias que permiten dirigir o realizar auditorías y revisiones de código, ya

sea en calidad de auditor, desarrollador, jefe de proyecto o consultor de calidad/método.

Esta formación incluye una descripción detallada de las gestiones y metodologías, las técnicas y prácticas

recomendadas, los peligros que se deben evitar y los marcos de referencia que hay que utilizar para las auditorías y revisiones de código.

Asimismo, la formación incluye la puesta en práctica de estos elementos con ejemplos concretos.


- poder organizar, dirigir y realizar auditorías/revisiones de código de manera eficaz;

- Comprender, detectar, interpretar, explicar y restituir los resultados de una auditoría de código con un

máximo de pertinencia respecto a los riesgos.



Día 1

- Introducción/revisión

o Principales vulnerabilidades de las aplicaciones (inyección, desbordamiento de búfer, etc.)

o Principales mecanismos de seguridad: control de acceso, gestión de las sesiones, etc.

- Gestiones y herramientas de auditoría de código

o Definición del marco de referencia de seguridad (ANSSI, OWASP, etc.)

o Análisis cualitativo y cartográfico de los componentes (métricas y herramientas)

o Análisis estático del código

o Análisis dinámico del código

Día 2

- Gestiones y herramientas de auditoría de código (continuación)

o Relectura manual

o Clasificación de las vulnerabilidades retenidas

o Evaluación de las contramedidas

o Informes

- Ejercicios prácticos: uso de Sonar, Findbugs, RATS, Valgrind, etc., en códigos fuente y aplicaciones en

diferentes lenguajes.



38



consultores, arquitectos, responsables de aplicaciones, etc.

Objetivos:

Esta formación permite adquirir y dominar los principios y conceptos para desarrollar e implementar aplicaciones de

confianza con un nivel de seguridad aceptable por medio de la realización de pruebas verificables que confirmen que

las aplicaciones han alcanzado y mantenido el nivel de confianza previsto, tal como se especifica en la norma ISO 27034.

La norma ISO 27034 proporciona un marco de referencia, en forma de guía, que permite a las organizaciones especificar, seleccionar e implementar medidas de seguridad de la información mediante procesos integrados

durante todo el ciclo de vida de las aplicaciones. Este curso va dirigido a:

- jefes de proyecto, consultores, arquitectos y responsables de seguridad que intervienen en la

implementación de la seguridad en los procesos de gestión de proyecto y el ciclo de desarrollo de las aplicaciones;

- auditores que desean comprender el proceso de implementación de la seguridad de una aplicación según la norma ISO 27034;

- jefes de proyecto, analistas programadores, desarrolladores y todas las personas que intervienen en el ciclo

de vida de desarrollo de las aplicaciones; - responsables de aplicaciones, directores y gestores implicados en los procesos de TI.


Día 1: introducción a la gestión de la seguridad de las aplicaciones según la ISO 27034

- Introducción a la seguridad de una aplicación - Presentación de las normas ISO 27034-1, ISO 27034-2, ISO 27034-3, ISO 27034-4, ISO 27034-5 e ISO

27034-6

- Definiciones, conceptos, principios y procesos que intervienen en la seguridad de una aplicación Día 2: implementación de la seguridad de una aplicación según la ISO 27034

- Cuadro normativo de la organización - Definición del perímetro de la seguridad de una aplicación

- Relaciones y apoyo para implementar procesos de gestión de la seguridad de una aplicación

- Implementación de la norma ISO 27034 e integración en los procesos existentes - Evaluación de los riesgos relacionados con la seguridad de una aplicación

- Realización, operación y validación de la aplicación de la seguridad durante todo el ciclo de vida - Desarrollo de la validación de la seguridad de una aplicación

- Esbozo del proceso de certificación Día 3: protocolos y estructura de datos de los controles de seguridad de las aplicaciones

- Exigencias y descripción de una estructura de datos de los controles de seguridad de las aplicaciones - Esquema XML basado en la norma ISO/TS 15000: comercio electrónico en lenguaje de marcado extensible

(ebXML) - Facilitación de la implementación de la norma ISO 27034 - Comunicación e intercambio de los controles de seguridad de una aplicación - Implementación de bibliotecas de funciones de la seguridad de una aplicación - Aprovisionamiento y uso de la aplicación

Día 4: práctica de seguridad para casos específicos de aplicaciones

- Medidas de seguridad de una aplicación según la ISO 27034 - Desarrollo de métricas, de indicadores de rendimiento y de hojas de ruta según la ISO 27034

- Auditorías internas ISO 27034 - Revisión de la seguridad de una aplicación

- Implementación de un programa de mejora continuada - Preparación para la auditoría de certificación ISO 27034

Día 5: examen de certificación

- Examen «Certified ISO/IEC 27034 Lead Implementor» (3 horas) Este examen está disponible en español y en otros idiomas. Los candidatos que no obtengan la calificación suficiente tienen la posibilidad de repetirlo en el plazo de los 12 meses posteriores sin gastos adicionales.



39



consultores, arquitectos, responsables de aplicaciones, etc.

Objetivos:

Este curso explica los conceptos, los principios y las prácticas recomendadas de gestión de la seguridad de

aplicaciones, tal como se definen en la ISO 27034.

La seguridad de una aplicación se aplica al propio programa informático y a los factores que influyen en la seguridad,

como los datos, la tecnología, los procesos del ciclo de vida del desarrollo de las aplicaciones, los procesos de soportes y los actores, así como a organizaciones de todo tamaño y tipo (empresas, comercios, organismos públicos,

organizaciones sin ánimo de lucro, etc.).

La norma ISO 27034 proporciona un marco de referencia, en forma de guía, que permite a las organizaciones

especificar, seleccionar e implementar medidas de seguridad de la información mediante procesos integrados durante todo el ciclo de vida de las aplicaciones.

Este curso va dirigido a todos aquellos que deseen comprender los conceptos, los principios y las prácticas

recomendadas de gestión de la seguridad en los proyectos y el ciclo de desarrollo de las aplicaciones: auditores,

jefes de proyecto, analistas, desarrolladores, consultores, arquitectos, responsables de la seguridad de los sistemas de información, gestores, etc.


Día 1

- Introducción a la seguridad de una aplicación y al proceso de enfoque

- Presentación de las normas ISO 27034-1, ISO 27034-2, ISO 27034-3, ISO 27034-4, ISO 27034-5, ISO

27034-6 y del marco reglamentario

- Principios básicos de la seguridad de una aplicación

- Visión general y conceptos de la seguridad de una aplicación

- Definiciones, conceptos, principios y procesos que intervienen en la seguridad de una aplicación

Día 2

- Realización, operación y validación de la aplicación de la seguridad durante todo el ciclo de vida

- Desarrollo de la validación de la seguridad de una aplicación

- Técnicas de protección de una aplicación

- Métricas, indicadores y hojas de ruta

- Revisión de la seguridad de una aplicación

- Examen «Certified ISO/IEC 27034 Foundation» (1 hora)




40

OTRAS FORMACIONES



41

SEGURIDAD DE SISTEMAS CRÍTICOS (SCADA, ICS, ETC.) - 2 DÍAS


sistemas de información, jefes de proyecto, arquitectos, etc.

Objetivos:

El participante desea adquirir los conocimientos que permiten comprender la seguridad de los sistemas críticos

(sistemas integrados, sistemas industriales, SCADA, etc.) en distintos planos (riesgos, protección, auditoría, etc.).

A partir de la descripción de distintos tipos de sistemas críticos ilustrados con 3 ejemplos concretos (sistema

integrado aeronáutico, sistema de suelo espacial y sistema de producción) procedentes directamente de la experiencia adquirida, esta formación trata los distintos aspectos de la seguridad de dichos sistemas (riesgos,

medidas técnicas, etc.) en todas las fases de su ciclo de vida (concepción, despliegue, implementación y uso).

La formación desarrolla un caso práctico completo para cada uno de los 3 ejemplos mencionados, lo que permite

abordar especialmente los temas específicos siguientes: realización de un análisis de vulnerabilidades (SVA), protección de un sistema remoto (p. ej., una antena), protección de un sistema al que el atacante tiene acceso

físico «completo», cifrado de código ejecutable, mantenimiento y actualización de los sistemas (antivirus, revisiones, etc.), protección de las interfaces de acceso de los usuarios (IHM), auditoría y revisión de código, etc.

Los objetivos son, especialmente, los siguientes: - adquirir las competencias y aptitudes necesarias para intervenir en proyectos relacionados con la seguridad

de los sistemas críticos (auditoría/revisión del estado y protección de los sistemas existentes, concepción de sistemas, etc.);

- conocer y comprender los principales riesgos y medidas de seguridad relacionados con estos sistemas. Puede resultar útil completar esta formación con una de las formaciones sobre los criterios comunes para profundizar

en los conocimientos metodológicos necesarios para una participación activa en este tipo de proyectos.


Nota: cada tema que se aborda en el plan del curso se refleja específicamente en cada uno de los 3 ejemplos concretos (1 sistema integrado aeronáutico, 1 sistema de suelo espacial y 1 sistema industrial de producción).

Introducción

- Definición, principios y modos de funcionamiento

- Características (restricciones) de los sistemas críticos e impactos en la seguridad de la información: ausencia

de protección física, limitación de las posibilidades de actualización, vida útil, tecnologías propias, etc.

- Ejercicio: aplicación a los 3 sistemas críticos

Identificación/evaluación de los riesgos

- Metodología y marcos de referencia: criterios comunes, CWE, etc.


Tratamiento de los riesgos

- Medidas de garantía aplicadas al ciclo de vida: análisis de vulnerabilidades (SVA), análisis de COTS,

auditoría/revisión de código, pruebas de robustez, documentación.

- Medidas técnicas: elección del sistema, técnica de protectión, aislamiento, protección del código, protección

de los componentes propietarios, comprobación de integridad, etc.

- Medidas organizativas: separación de funciones (desarrollo, instalación, etc.), documentación (manuales, guías, etc.)


Pruebas, implantación y uso

- Estrategias de las pruebas: solución, pruebas de robustez, pruebas de intrusión, etc.

- Protección de la implantación y de la implementación del sistema

- Seguridad del uso: mantenimiento y pruebas del nivel de seguridad, seguimiento de vulnerabilidades, cambio

de contraseñas. etc.



42

CISSP® (CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL) - 5 DÍAS


sistemas de información e ingenieros de seguridad de sistemas de información

Objetivos:

El participante desea abordar todos los conceptos necesarios para obtener la certificación CISSP (Certified Information Systems Security Professional) según define ISC²® en CBK (Common Body of Knowledge), de forma

rápida pero rigurosa.

La formación CISSP, impartida por un grupo de profesionales expertos en sus respectivos temas de intervención,

permite, gracias a la aportación teórica y a la preparación del tipo de preguntas del examen en forma de

cuestionario, abordar todas las nociones de los 10 dominios de seguridad.


- revisar todos los conocimientos de los 10 dominios de seguridad que conforman el CBK de ISC2 ®;

- preparar al participante mediante cuestionarios que siguen el mismo formato que las preguntas del examen

de certificación CISSP.


Día 1: dominios 1 y 4 del CBK

- Gobierno de la seguridad de la información y gestión del riesgo [Information Security Governance and Risk Management]

- Seguridad física (ambiental) [Physical and Environmental Security]


- Arquitecturas y diseño de seguridad [Security Architecture and Design]

- Control de acceso [Access Control]


- Criptografía [Cryptography]

- Seguridad en las operaciones [Security Operations]

Día 4: dominio 7 del CBK

- Seguridad de las telecomunicaciones y de las redes [Telecommunications and Network Security]

Día 5: dominios 8, 6 y 10 del CBK

- Seguridad en el desarrollo de software [Software Development Security]

- Continuidad del negocio y Planificación de la recuperación ante Desastres [Business Continuity and Disaster Recovery Planning]

- Legislación, investigación, ética y cumplimiento. [Legal, Regulations, Investigations, and Compliance]



43

CISA® (CERTIFIED INFORMATION SYSTEMS AUDITOR) - 5 DÍAS


sistemas de información e ingenieros de seguridad de sistemas de información

Objetivos:

El participante desea prepararse de forma rápida pero rigurosa para el examen Certified Information Systems Auditor

(CISA®), abordando todos los temas del CBK (Common Body of Knowledge), eje común de conocimientos sobre

seguridad definidos por ISACA® (Information Systems Audit and Control Association).

El CBK incluye los conocimientos de los 6 dominios siguientes: proceso de auditoría de los SI, gestión de los SI,

gestión del ciclo de vida de los sistemas y de la infraestructura, prestación de los servicios y asistencia relacionada, protección de los activos informáticos y plan de continuidad, y plan de recuperación informático. A lo largo de la

semana, los participantes podrán responder a preguntas similares a las del examen oficial.


- adquirir los conocimientos necesarios para aprobar el examen CISA;

- dominar los conocimientos y los conceptos básicos de la auditoría de los SI relacionados con la concepción y la gestión de los SI;

- adquirir los conocimientos necesarios para aconsejar a una organización las prácticas recomendadas de auditoría de los SI.


Día 1: proceso de auditoría de los SI y gestión de los SI

- Procesos de auditoría de los SI

- Gestión de los sistemas de información

Día 2: gestión del ciclo de vida de los sistemas y de las infraestructuras

- Gestión de los proyectos informáticos

- Metodologías de diseño de aplicaciones

- Controles de aplicaciones

- Auditoría de las aplicaciones

Día 3: continuidad del negocio y entrega y soporte de los servicios de TI

- Continuidad de las operaciones y recuperación tras desastres

- Entrega y soporte de los servicios de TI

Día 4: protección de los activos de información

- Seguridad de la información

- Controles de acceso

- Seguridad de la infraestructura de red

- Seguridad física y controles medioambientales

Día 5: dominios 8, 9 y 10 del CBK

- Examen de prueba (examen completo con 200 preguntas para responder en un tiempo de 4 horas)

- Corrección del examen y revisión de las respuestas



44

COMPRENDER LA NORMA PCI-DSS - 1 DÍA


sistemas de información, etc.

Objetivos:

El participante desea comprender los conceptos, exigencias y modalidades de conformidad relativos a las normas

PCI-DSS y PA-DSS.

Esta formación trata de:

- describir el contexto en el que se enmarca esta norma, especialmente en términos de amenazas, riesgos, fraudes y responsabilidades en relación con la manipulación de datos de «Tarjetas bancarias»;

- presentar a los diferentes actores (PCI-Council, asesores de seguridad cualificados, proveedores de productos, organismos de gestión de tarjetas bancarias, bancos, comerciantes, etc.) y el funcionamiento del

proceso de certificación;

- describir los distintos escenarios en los que se aplica o no la norma;

- explicar las distintas exigencias de la norma PCI-DSS y presentar los distintos modos de aplicación a partir de

ejemplos concretos.


Contexto

- Actores y funcionamiento del sistema «Tarjetas bancarias»

- Amenazas, riesgos, fraudes y responsabilidades

- Respuestas aportadas por la PCI-DSS

Marco de referencia PCI-DSS

- Datos relevantes: PAN, nombre del titular, fecha de caducidad, PIN, CVC, etc.

- Exigencias específicas sobre el PAN y los datos

- Campos de aplicación y criterios de definición: segmentación de red, conexión inalámbrica, uso de servicios

de terceros, externalización

- Enfoque del proceso

- Medidas compensatorias

- Presentación y ejercicios (caso práctico) sobre los 6 temas y los 12 dominios de exigencias:

o Implementar y gestionar las redes y los sistemas protegidos

o Proteger los datos de Tarjetas bancarias

o Proceso de gestión de vulnerabilidades

o Garantizar un control de acceso reforzado

o Realizar supervisiones y pruebas periódicamente

o Gestionar una política de seguridad de la información

- Exigencias adicionales para los servicios de hospedaje

Proyectos PCI-DSS

- Escenarios variados:

o Organismos bancarios

o «Vendedores»

o Terceros

- Proceso de evaluación de la conformidad en 6 etapas

- Informes, prácticas recomendadas, peligros que hay que evitar



45

APLICACIÓN DE LA RGS V2 - 2 DÍAS

Duración: 16 horas

Perfil de los participantes: directores generales de servicios, directores de

sistemas de información, responsables de la seguridad de los sistemas de información, etc.

Objetivos:

El participante desea comprender los retos, riesgos y objetivos de la RGS, además de los conceptos de seguridad

necesarios, y realizar las gestiones para aplicar la versión 2 de la RGS.

Esta formación trata de:

- describir el contexto en el que se enmarca este marco de referencia, especialmente en términos de

amenazas, riesgos y responsabilidades en relación con los intercambios electrónicos del ámbito público;

- detallar las evoluciones entre la versión 1 y la versión 2;

- proponer una metodología de implementación;

- presentar los diferentes modos de implementación con ejemplos concretos;

- prever las evoluciones hacia la versión 3 (reglamentación europea).


Contexto

- Actores y retos del marco de referencia general de seguridad

- Perímetros afectados

- Amenazas, riesgos y responsabilidades

- Respuestas aportadas por la RGS

Marco de referencia RGS V2

- Temas principales de la RGS

o Principios fundamentales

o Evoluciones entre la versión V1 -> V2

o Ciclo de vida de la seguridad de los sistemas de información

o Homologación

o Materiales, prestaciones y proveedores

Proyecto RGS

- Implementación y mantenimiento de la RGS

o Metodología

Estrategia de homologación (perímetro, contribuyentes, documentos)

Gestión de riesgos (análisis, auditoría, cobertura de los riesgos)

Aplicación de medidas de seguridad

Seguimiento continuo (PDCA)

Preparación y gestión de las homologaciones y certificaciones

o Modos de implementación

o Mantenimiento en condiciones de seguridad

o Presentación y ejercicios (caso práctico)

- Cómo prepararse para las evoluciones futuras que exige la reglamentación europea en la versión 3.

CATÁLOGO DE FORMACIÓN -...

Documents

Transcript of CATÁLOGO DE FORMACIÓN -...