Diplomado en Gobierno de TI, Auditoría y Seguridad de los Sistemas de Información

Transcripción

1 Diplomado en Gobierno de TI, Auditoría y Seguridad de los Sistemas de Información Objetivos Generar un espacio de intercambio de conocimientos que permita complementar la formación de base que entregan las carreras universitarias asociadas a las Tecnologías de la Información con los conocimientos y experiencias que requieren las organizaciones modernas para sus funciones de gestión, control y aseguramiento de los sistemas de información. Promover el crecimiento profesional a través de modernas disciplinas avaladas por las mejores prácticas y estándares internacionales en la materia. Audiencia Profesionales o especialistas que tengan expectativas de crecimiento en funciones de liderazgo, con formación básica en tecnologías y sistemas de información, que ya posean experiencia en seguridad y gestión de TI, y que opcionalmente cumplan con funciones de mandos medios o superiores. Modalidad de dictado Presencial y A distancia en VIVO Dos clases de 4 horas cada una por semana cada 15 días (no taxativamente) Días y horario de cursado: Viernes de 18:00 a 22:00hs y Sábados de 9:00 a 13:00hs. Duración total: 152 horas El dictado inicia el 4 de Abril y se extiende hasta el mes de Noviembre de Diplomado en Gobierno de TI, Auditoría y Seguridad de la Información 1

2 Plantel Docente Profesionales de reconocida trayectoria de Buenos Aires y Santa Fe. JUAN DE DIOS BEL Consultor Experto Seguridad de la Información en UTN FRBA. Consultor Experto IT GRC en The World Bank. Desarrollo Profesional en TI en USUARIA. Postgrado CISA,(ISACA, Information Systems Audit and Control Association), Postgrado CFE (ACFE,Association of Certified Fraud Examiner) CRISTIAN F. BORGHELLO Licenciado en Sistemas, desarrollador, Certified Information Systems Security Professional (CISSP) y Microsoft MVP (Most Valuable Professional) Security. Actualmente es Director de Segu-Info y Segu-Kids, se desempeña como consultor independiente en Seguridad de la Información. MG. OSCAR ANDRÉS SCHMITZ DIRECTOR EJECUTIVO DE CXO COMUNITY Ingeniero de Sistemas de Información con Grado de Maestría en Administración de Negocios (MBA). Especialista en nuevas tecnologías de seguridad, desarrollador de Sistemas de Información de Gestión de Riesgos y de Análisis Financiero. CARLOS GERARDO SAID Gerente de Tecnología en Druidics Soluciones Informáticas. Master en Ing. del SW, Master en Ing. del Conocimiento (España), Magister Computer Science (EEUU), Master en Ciencia Tecnología y Sociedad (patrocinio OEA), Master en metodología de la investigación, Post grados en Dirección de Sistemas y Administración de Tecnología. Docente en diversas universidades públicas y privadas en: Complejidad Computacional, Pericias Informáticas, Dirección de Proyecto de IT/IS, Métricas de producción de SW. GUSTAVO PRESSMAN Investigador, Entrenador y Perito Forense Informático. Especialista en Exploración de discos, recuperación de datos y búsqueda de archivos ocultos. Comunicaciones y Teleinformática. Docente de materias afines. Perito Judicial de parte y consultor técnico en la especialidad. Instructor de Fuerzas de la Ley de toda Latinoamérica. Instructor de Fuerzas Armadas y miembros del Poder Judicial en proced. de Informática Forense. Profesor de: Análisis Forense y Delitos Informáticos en Maestría en Seguridad Informática UBA 2009; Informática Forense Posgrado en Derecho Informático de Univ. San Luis 2009; Análisis Forense Informático y Auditoría en postgrado en seguridad de la Información USAL 2007; Redes y Comunic. de datos, Diplomado en Gobierno de TI, Auditoría y Seguridad de la Información 2

3 Mediciones Electrónicas, Arquit. de Microcomp y Tecnol del Equipam Informático del Instituto de Tecnología ORT 1984 a 2009 y; Jefe TP de cátedra Medidas Electrónicas Facultad de Ingeniería UBA 1989 a 1997 Posee certificaciones MCP (Microsoft Certified Professional); EnCE; CCE; EnCI y ACE (sobre análisis forense de datos). Es Instructor Computer Forensics, certificado en EnCase para Latinoamérica y miembro internacional de ICFP Institute of Computer Forensic Professionals; IFSCE International Society of Forensic Computer Examiners y HTCIA High Tech Crime Investigation Association. Miembro local de: COPITEC (Consejo Profesional de Ing. Electrónica, Telecom. y Comput.); CIPBA (Colegio Ingenieros Pcia. Bs. As); Comité académico SergurInfo 2009/10; ADIAr (Asoc. Derecho Informático de Argentina); Comité académico del Simporsio de Inform. y Derecho 2010 de las 39 JAIIO e; ISSA Information Systems Security Association. JUAN BOSOMS Certifications: MCSE CCNA EMC Backup CCDA 2011 y Cisco Express Foundation Design Specialist May Trabajos anteriores: Líder Ingeniería Seguridad Informática BBVA Banco Frances; Gerente Tecnología en TAISA S.A. Otros Network Security Consultant en UNITED NATIONS DEVELOPMENT PROGRAMME Projects; Network Security Specialist - Consultant - en SGISAM; Networking instructor consultant & Network Security Auditor en 5 Hispanos; IT Security Instructor en CET La Plata (Centro de Estudios y Tecnología); Inter-Networking Consultant en NOVADATA SA; Customer Engineer en MetroRED Telecomunicaciones SRL; Network and Security Manager en ALTOCITY.COM; Senior Information Security Analyst en Scotiabank; Senior Consultant LAN/WAN administrator.en Ministry of Economy and Production - Nación - INDEC; Network Administrator - Windows/Novell Network Administrator en ZOLODA S.A.; Novell Networks Technical support en OCA S.A, SysOp - BBS System Sec. Administrator. en Insider BBS MARCELO ROSSETTI Analista de Seguridad de la Información - Municipalidad de Rosario. Analista de Sistemas. Miembro de AGGASI e ISACA. Diplomado en Gestión, Auditoría y Seguridad de los Sistemas de Información. Participación en procesos de ingeniería inversa y reingeniería de sistemas en ámbito público y privado. Área Base de Datos. Diplomado en Gobierno de TI, Auditoría y Seguridad de la Información 3

4 HÉCTOR CALDERAZZI Auditor de Riesgos de TI en Banco Macro. Secretario del ISACA Rosario (capítulo en formación) Experto en Auditoría de Sistemas, Riesgos de TI y Seguridad de la Información. Consultor/soporte en la implementación de marcos normativos internos para el para Gobierno de TI y Seguridad de la Información; y en el diseño y prueba de planes DRP/BCP. Soporte para implementación de los modelos de gestión COBIT 4.1, ITiL v3 y la Gestión de Riesgos de TI con normas ISO y herramientas internacionales. Posee las certificaciones CISA, CISM y CRISC de ISACA (Information Systems Audit and Control Association); ITiL v3 Fundation y Auditor Líder ISO 9001 otorgada por TUV Reihland. Director académico Diplomado en Gobierno de TI, Auditoría y Seguridad de los Sistemas de Información ROGELIO BIOLATTO Responsable de Seguridad Informática y Comunicaciones de SanCor CUL. Profesional con más de 25 años de experiencia laboral en conducción de TI y Seguridad Informática, con especialización en Infraestructura de Redes, Organización y Control de Seguridad de la Información. Profesor en Instituto Cooperativo de Enseñanza Superior de Sunchales en cátedras afines a Infraestructura de redes y seguridad de la información; Integrante/Disertante del Comité Académico de SEGURINFO e Integrante del CASI (Consejo Argentino de Seguridad de la Información). MÓNICA CASCARDO Directora de Linkeando Consultoría y Desarrollo Organizacional - Profesional Asociado Sinapsis-SRL. Psicóloga - Universidad Nacional de Rosario, y tiene el grado de Maestría en Programación Neurolingüística. Experiencia en la facilitación de procesos de aprendizaje organizacional. Experiencia en diseño a medida de acciones y propuestas de capacitación para empresas. Coaching ejecutivodirectivo. DRA. MARÍA LAURA SPINA Representante Colegio de Abogados de Santa Fe at Comisión de Informática FACA. Profesora Ingeniería y Sociedad at Universidad Tecnológica Nacional - Facultad Regional Santa Fe. Profesora Postgrado Derecho de la Empresa at Universidad Nacional del Litoral. Experta en Derecho Informático - Informática Jurídica. Ciencia de la Legislación, redacción legislativa y técnica legislativa, ordenamiento normativo. Diplomado en Gobierno de TI, Auditoría y Seguridad de la Información 4

5 MARCELO CASTRO Supervisor de Home Banking y Telecomunicaciones en Banco Macro. Técnico en Electrónica ENET Nº 28 República Francesa. CNA Novell Certified Netware Administrador. Analista de Seguridad Informática. Contenidos El temario responderá principalmente a los dominios de las certificaciones CISA, CRISC y CISM (ISACA) y CISSP (ISC2), complementado con algunas otras disciplinas de interés para las empresas de hoy. Así tendremos que el programa a desarrollar debería involucrar a las siguientes disciplinas: Seguridad de la Información Gobierno de TI Gestión de Riesgos de TI Auditoría de TI Aspectos Legales y Regulatorios Análisis Forense Informático Comportamiento organizacional U01. GOBIERNO DE TI La planeación estratégica de TI Su alineación al Plan de Negocios. El plan táctico de TI. La arquitectura de la información. La Dirección tecnológica. Los procesos y organización de TI. La inversión en TI. Los recursos. La calidad. Lo riesgos. Los proyectos. El monitoreo y evaluación del Desempeño de TI; del Control Interno. Garantizar el Cumplimiento Regulatorio y Proporcionar Gobierno de TI. Metas y métricas de TI. Procesos y actividades relacionadas. U02.- GOBIERNO DE SEGURIDAD DE LA INFORMACIÓN Establecer y mantener un marco de referencia para asegurar que las estrategias de seguridad de información están alineadas con los objetivos del negocio y son consistentes con las leyes y regulaciones aplicables Prácticas de Gestión de la Seguridad. Identificación de los activos de una organización y desarrollo. Documentación e implementación de políticas. Estándares, procedimientos y guías. Conceptos y objetivos. Gestión del riesgo. Procedimientos y políticas. Clasificación de la información. Responsabilidades y roles en la seguridad de la información. Concienciación en la seguridad de la información. U03.- GESTIÓN DE RIESGO y AUDITORÍA Diplomado en Gobierno de TI, Auditoría y Seguridad de la Información 5

6 Identificar y gestionar los riesgos de seguridad de la información para lograr los objetivos del negocio Marco de Trabajo de Administración de Riesgos. Identificación y clasificación de activos. Evaluación del Riesgo inherente. Controles mitigantes. Riego residual. Plan de acción. Modelo de madurez. Mejora continua. Marco de Gestión de Riesgos de ISCA. ISO 27005:2008. Prácticas de control. Estándares de auditoría. Objetivos de Control. Realización de auditorías. Organización y administración de sistemas de información. Estrategias. Políticas y procedimientos. Prácticas gerenciales. Estructura organizativa. Procesamiento de los sistemas de información. Hardware, Software y redes. Integridad, confidencialidad y disponibilidad de la información. Desarrollo, adquisición y mantenimiento de los sistemas de información y tecnología asociada. Técnicas y Herramientas de Auditoría Asistida por Computadora (CAATTs). U04.- DESARROLLO Y GESTIÓN DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN Crear y mantener un programa para implementar la estrategia de seguridad de información Estrategia. Política. Concientización. Implementación. Monitoreo. Auditoría. Supervisar y dirigir las actividades de seguridad de información para ejecutar el programa de seguridad de información. U05.- CRIPTOGRAFÍA Los principios, medios y métodos de protección de la información para asegurar su integridad Confidencialidad y autenticidad. Historia y definiciones. Aplicaciones y usos de la criptografía. Protocolos y estándares. Tecnologías básicas. Sistemas de encriptación. Criptografía simétrica y asimétrica. Firma digital. Seguridad en el correo electrónico e Internet empleando encriptación. Gestión de claves. Public key infrastructure (PKI). Ataques y criptoanálisis. Cuestiones legales en la exportación de criptografía. U06.- SISTEMAS Y METODOLOGÍAS DE CONTROL DE ACCESO Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información. Conceptos y tópicos. Identificación y autenticación. Equipo de e-security. Single sign-on. Acceso centralizado - descentralizado - distribuido. Metodologías de control. Monitorización y tecnologías de control de acceso. U07.- DESARROLLO DE SISTEMAS Y APLICACIONES. MALWARE Define el entorno donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información Diplomado en Gobierno de TI, Auditoría y Seguridad de la Información 6

7 Definiciones. Amenazas y metas de seguridad. Ciclo de vida. Arquitecturas seguras. Control de cambios. Medidas de seguridad y desarrollo de aplicaciones. Bases de datos y data warehousing. Knowledge-based Systems. Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables. Malware no es lo mismo que software defectuoso; este último contiene bugs peligrosos, pero no de forma intencionada. U08.- SEGURIDAD FÍSICA Técnicas de protección de instalaciones, incluyendo los recursos de los sistemas de información Gestión de las instalaciones; Seguridad del personal; Defensa en profundidad; Controles físicos. U09.- SEGURIDAD DE LAS OPERACIONES I Seguridad y disponibilidad operativa Redundancias. Contingencias. Monitoreo. Separación de ambientes operativos. Filtrado Web/Mail/Spam. Autenticación de máquinas/dispositivos. Diseño de políticas de accesos remotos. Soluciones de acceso a redes basadas en infraestructura PKI, OTP, 802.1x. U10.- SEGURIDAD EN REDES, INTERNET Y TELECOMUNICACIONES Incluye los dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación Gestión de la seguridad en las comunicaciones. Protocolos de red. Identificación y autenticación. Comunicación de datos. Seguridad de Internet y Web. Métodos de ataque. Seguridad en Multimedia. U11.- RECUPERACION DE DESASTRES (DRP) Recuperación ante Desastres y Planificación de la Continuidad del Negocio. Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones Panificación de la recuperación. Gestión del software. Análisis de Vulnerabilidades. Desarrollo, mantenimiento y testing de planes. Prevención de desastres. U12.- PRÁCTICA FORENSE Diplomado en Gobierno de TI, Auditoría y Seguridad de la Información 7

8 Prácticas de control. Estándares de auditoría. Objetivos de Control. Realización de auditorías. Organización y administración de sistemas de información. Estrategias. Políticas y procedimientos. Prácticas gerenciales. Estructura organizativa. Procesamiento de los sistemas de información. Hardware, Software y redes. Integridad, confidencialidad y disponibilidad de la información. Desarrollo, adquisición y mantenimiento de los sistemas de información y tecnología asociada. Técnicas y Herramientas de Auditoría Asistida por Computadora (CAATTs). El cibercrimen: El cibercriminal. Delitos informáticos. El derecho y la informática. Lo que un investigador debe conocer de derecho. La evidencia digital. La cadena de custodia. La escena del crimen. Incautación de equipos. La informática forense: Metodología de análisis. La línea de tiempo (timeline). Identificación de la evidencia. Preservación de la evidencia. Hash md5, sha1. Extrayendo imágenes de discos duros. Extrayendo imágenes de la memoria ram. U13.- LEYES, INVESTIGACIÓN Y ÉTICA. HABEAS DATA Engloba las leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos Leyes y regulaciones. Gestión de incidentes. Gestión de la respuesta ante incidentes. Conducción de investigaciones. Ética en la seguridad de la información. Código ético del (ISC)². La legislación y requisitos aplicables para las empresas derivados de la Seguridad de la información, Sociedad de la Información, las nuevas tecnologías, Los contratos informáticos. Los contratos electrónicos, la Firma electrónica. La Ley de PROTECCIÓN DE DATOS PERSONALES (Habeas Data) es el derecho, en ejercicio de una acción constitucional o legal, que tiene cualquier persona que figura en un registro o banco de datos, de acceder a tal registro para conocer qué información existe sobre su persona, y de solicitar la corrección de esa información si le causara algún perjuicio. Existen en diversos países (como España Francia, Argentina y Uruguay) organismos de control que tienen por misión supervisar el tratamiento de datos personales por parte de empresas e instituciones públicas. U14.- COMPORTAMIENTO ORGANIZACIONAL Negociación. Coaching. Presentación de proyectos. Gestión de crisis. Interrelación con las personas y el contexto. Cultura y comportamiento organizacional. Concientización. U15.- SEGURIDAD DE LAS OPERACIONES II ABM de usuarios y perfiles de acceso. Definiciones, controles básicos para mantener una adecuada segregación de funciones y minimizar el riesgo del fraude interno/externo y/o impactos en los procesos debido a errores involuntarios. Manejo de solicitudes de alta, modificación y/o eliminación de cuentas de usuarios comunes, especiales, cuentas con máximos privilegios; cuentas de servicio; etc. Política de claves de acceso. Reguardo de usuarios y claves. U16.- GESTIÓN DE INCIDENTES Diplomado en Gobierno de TI, Auditoría y Seguridad de la Información 8

9 Planificar, desarrollar y gestionar la capacidad para detectar, responder y recuperarse de incidentes de seguridad de información. Análisis de las causas que generan los incidentes, para determinar identificar la solución de fondo. Monitoreo de la Gestión de incidentes. TRABAJO DE EVALUACIÓN FINAL Certificación Es necesario aprobar todos los trabajos prácticos y los exámenes que se dispongan para acceder al Diploma, emitido por el Centro de Innovación Tecnológica ( y la Escuela de Negocios ( de la Fundación Libertad ( y AGASSI. Informes e inscripción Centro de Innovación Tecnológica de Fundación Libertad (Mitre 170 Rosario) Telefónicamente al o vía a info@centroit.org.ar Diplomado en Gobierno de TI, Auditoría y Seguridad de la Información 9