ÁREA DE INVESTIGACIÓN Y PLANEACIÓN República de Colombia - Derechos Reservados

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ÁREA DE INVESTIGACIÓN Y PLANEACIÓN República de Colombia - Derechos Reservados"

Transcripción

1 ENTREGABLE 15: CAPACITACIÓN - ESTRATEGIA DE GOBIERNO EN LÍNEA ÁREA DE INVESTIGACIÓN Y PLANEACIÓN República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2008

2 FORMATO PRELIMINAR AL DOCUMENTO Título: Fecha elaboración aaaa-mm-dd: Sumario: Palabras Claves: PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA 26 Diciembre 2008 CORRESPONDE AL ENTREGABLE 15: PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Manejo de imagen, afiches, logos, folletos Formato: Lenguaje: Castellano Dependencia: Investigación y Planeación Código: Versión: 1 Estado: Documento para revisión por parte del Supervisor del contrato Categoría: Autor (es): Revisó: Aprobó: Equipo consultoría Digiware Juan Carlos Alarcon Ing. Hugo Sin Triana Firmas: Información Adicional: Ubicación: Página 2 de 42

3 CONTROL DE CAMBIOS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN 0 17/12/2008 Miguel Angel Duarte. Elaboración del documento 1 26/12/2008 Equipo del Proyecto Revisión interna conjunta equipo consultoría Digiware Página 3 de 42

4 TABLA DE CONTENIDO 1. PLAN DE SENSIBILIZACIÓN PLAN DE SENSIBILIZACIÓN OBJETIVOS ESPECÍFICOS CAMPAÑAS DE SEGURIDAD DE LA INFORMACIÓN LOGOTIPO INSTRUMENTOS DE SENSIBILIZACIÓN AFICHES FOLLETOS MEDIO BTL FONDOS DE PANTALLA RECORDATORIOS PRESENTACIONES PLAN DE CAPACITACIÓN CURSOS EN SEGURIDAD DE LA INFORMACIÓN GESTIONANDO LA SEGURIDAD DE LA INFORMACIÓN ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BCP/DRP SEGURIDAD EN REDES INALÁMBRICAS SEGURIDAD AVANZADA EN WINDOWS Y UNIX TÉCNICAS AVANZADAS EN ATAQUES Y DEFENSA COMPUTACIÓN FORENSE PREPARACIÓN PARA LA CERTIFICACIÓN ETHICAL HACKING (CEH) ENTRENAMIENTO ISO/IEC 27001:2005 ISMS LEAD AUDITOR PREPARACIÓN A LA CERTIFICACIÓN CISSP TALLERES PRÁCTICOS ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN Página 4 de 42

5 1. PLAN DE SENSIBILIZACIÓN La gran mayoría de las personas, desconoce sobre temas de seguridad de la información y, en especial, el alcance del tema. Quién no ha escuchado alguna vez las preguntas; pero cómo, seguridad de la información también se encarga de la seguridad física? Qué tiene que ver seguridad de la información con los papeles impresos? Cómo, seguridad de la información no es lo mismo que seguridad informática? Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento organizacional) y, a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la contraseña de un usuario en la red de la entidad, que vulnerar los sistemas de seguridad y cifrado. Asimismo, con tan sólo recorrer un par de puestos de trabajo, se pueden encontrar contraseñas escritas y pegadas en la pantalla o debajo del teclado. Las alternativas que se recomiendan utilizar para que el plan de sensibilización sea factible son: Folletos Carteles Material BTL Material POP Uso de tecnoligia Presentaciones de Capacitación. La campaña de sensibilización a los diferentes grupos objetivo definidos, tendrá una duración mínima de 12 meses, que iniciarán con el plan de sensibilización (ver capítulo 1.1), y después, se desarrollará un apoyo por medio de los afiches y folletos para dar a conocer masivamente la campaña para el público en general. En cuanto a los folletos, se recomienda entregarlos en los recibos de los proveedores de Internet como los ISP, ya que ese es un medio muy utilizado y extremadamente efectivo debido a que los usuarios miran siempre el recibo. Esto puede ser cambiado periódicamente por el juego que se encuentra anexo en los materiales diseñados como el Rompecocos, ver numeral y en el numeral 4 del presente Página 5 de 42

6 documento, ya que es dinámico, y da consejos útiles y eficaces. Los concejos pueden ser renovados frecuentemente para que los usuarios conozcan paulatinamente sobre el avance de la campaña. Los fondos de pantalla también pueden ser dados a conocer por medio de la página de Internet de Gobierno en Línea para que las personas los puedan descargar e instalar en sus computadores. Para los proveedores de Internet, se pueden entregar 3 fondos de pantalla que pueden ser cambiados cada mes para que las personas conozcan cosas diferentes sobre el modelo de seguridad de la información. Las presentaciones también pueden ser descargadas desde la página de Internet para que las usuarios profundicen y aprendan más sobre el tema, así mismo, los cursos de capacitación pueden ser dictados para toda clase de proveedores de Internet de forma que mejoren la seguridad de la información se de sus empresas y conozcan mas sobre el modelo de seguridad de la información; estas capacitaciones están especificadas en el siguiente capítulo con sus contenidos, duración y desarrollo. Los folletos, serán distribuidos en los café Internet de la misma manera que será distribuido el medio BTL; de este modo, los usuarios que no tienen acceso a un servicio de Internet desde el hogar, también serán beneficiados y serán conocedores del modelo de seguridad de la información. Como recomendación adicional para todos los establecimientos proveedores de Internet como son los café Internet y Telecentros, se recomienda que ellos también asistan a los cursos de capacitación, en el mismo, se les dará un certificado de asistencia para que los administradores y propietarios dichos establecimientos, se hagan partícipes y a la vez, divulgadores de la campaña de seguridad de la información. Porque necesitamos un plan de sensibilizacion en seguridad de la información? Existe la mentalidad que no hay nada importante por proteger en su computador. Existe el concepto errado que la tecnología por si misma puede resolver sus problemas de seguridad. Continuamente se generan nuevos métodos de Ingeniería Social que mediante engaños buscan obtener información confidencial. Debemos conocer tanto las amenazas externas como las internas. Debido a todas estas razones, el plan de sensibilizacion para el nuevo modelo de seguridad de la información para la estrategia de Gobierno en Línea, es, lograr que las personas conozcan los motivos y razones que generan los diferentes tipos de incidentes en seguridad de la información que existen alrededor de cada uno y acojan las debidas precauciones recomendadas a través medios de concienciación y sensibilización. Esta presentación se puede dar a aconocer por medio de los cursos preparese Página 6 de 42

7 Para el desarrollo de este plan, se pretende involucrar a todos los funcionarios públicos, ISP, cafés internet y usuarios de Gobierno en Línea, con el fin de vincular a todas estas entidades y personas a que conozcan el modelo de seguridad de la información para la estrategia de Gobierno en Línea. Conjuntamente, este plan de sensibilización, esta reforzado por las capacitaciones que se dictarán abarcando temas especializados en seguridad de la información, p. ej.: Análisis de riesgos, Modelo de seguridad SGSI, Planes de sensibilización, Planes de respuesta ante incidentes, Planes de continuidad del negocio, etc. las cuales están especificadas con más detalle en el punto 3 de capacitación dentro de este documento. Ver Anexo presentación para sensibilización.ppt 1.1. Plan de Sensibilización: Diseñar la campaña, estrategia de sensibilización, divulgación y concienciación sobre el nuevo MODELO DE SEGURIDAD DE LA INFORMACION PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA, creando un compromiso y un impacto positivo en las entidades del Gobierno y en las entidades privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea, como los ISP, los Café Internet, Telecentros y Compartel, además de la comunidad académica y los ciudadanos en general Objetivos Específicos Diseñar la campaña de sensibilización y capacitación con los medios de comunicación que se propongan. Profundizar los conocimientos técnicos sobre seguridad de la información a los usuarios de Gobierno en Línea y las empresas objetivo que implementen el modelo de seguridad. Contribuir a motivar el compromiso de los funcionarios públicos, ISP, cafés Internet y usuarios de Gobierno en Línea, con el modelo de Seguridad de la información. Sensibilizar a los ciudadanos sobre los riesgos en la seguridad de la información y cuales deben ser las principales medidas de higiene a tener en cuenta a la hora de realizar trámites y transacciones por Internet Campañas de seguridad de la información: Son campañas periódicas en donde se dedica un periodo de tiempo a divulgar un tema específico del Plan de sensibilización. Temas y Niveles de Campaña: Página 7 de 42

8 Nivel Básico Dirigido a todos los usuarios de Gobierno en Línea y ciudadanos en general; desarrollado con conceptos básicos. Contraseñas Seguras Internet Seguro Seguridad física Nivel Técnico Dirigido a los profesionales y usuarios de Gobierno en Línea con temas más técnicos, mayor grado de profundización y complejidad en el área de la seguridad de la información. Contraseñas Seguras Internet Seguro Ingeniería Social Seguridad física Nivel Jurídico Dirigido a los profesionales y/o directivos con una profundización más amplia en las nuevas leyes y regulaciones más relevantes a tener en cuenta en un modelo de seguridad de la información, como la Ley 1266 de 2008 de Habeas Data y la Ley 1273 sobre Delitos Informáticos. Delito Informático Computación forense Atención a incidentes Logotipo: El logotipo será el principal elemento de diferenciación como campaña de sensibilización, ubicará espacialmente al espectador dentro del contexto del Modelo de Seguridad de la información, y de su importancia como componente activo en la Estrategia de Gobierno en Línea. El logotipo se incorporará como un trabajo de diseño que puede ser utilizado en la papelería, en afiches, carteles, en publicidad de prensa, merchandising, etc. Página 8 de 42

9 Las propuestas para el logotipo son las siguientes: La llave y la cerradura representan la clave para ingresar al Modelo de Seguridad de la Información, haciendo referencia directa a los ciudadanos y usuarios de Gobierno en Línea como parte significativa de la estrategia de seguridad. El nombre está integrado con el logo creando así el logotipo de la campaña, imagen y frase concisa. La palabra clave representa que el usuario es el encargado de su seguridad y es responsable de protegerse por medio de recomendaciones en higiene de seguridad que se mencionan en la documentación del proyecto (ver documento Modelo Seguridad - SANSI SGSI, numeral 5.7). Colores: Los colores utilizados son los mismos que representan a nuestro país, son utilizados como símbolo de patriotismo hacia el nuevo Modelo de Seguridad de la Información. Amarillo: Es el color que genera la atención del usuario, el que capta todos sus sentidos; debido a que esta en contraposición con el negro, este color es el primero en generar atención. Azul: Este es el que le da estabilidad a esta combinación de colores, ya que este color es el que genera la confianza y tranquilidad para el usuario. Página 9 de 42

10 Rojo: Este color asocia al usuario con la precaución y fuerza. Está asociado con el amarillo y azul para generar confianza y así no creer que sea prohibido interactuar con el Modelo de Seguridad de la Información. Negro: El negro es el toque de poder, autoridad y fortaleza que se le quiere dar al Modelo de Seguridad de la Información Instrumentos de Sensibilización Afiches Objetivo Posicionamiento y continuidad visual de la campaña de sensibilización, divulgando los temas del Modelo de Seguridad de la Información básicos para entidades del Gobierno, ISP, cafés Internet y usuarios de la Estrategia de Gobierno en Línea. Objetivos Específicos Abrir la campaña y darla a conocer. Captar la atención de los funcionarios y población en general para que interactúen con el Modelo de Seguridad. Relacionar e interactuar la campaña con el programa de capacitación PREPÁRESE de la Estrategia de Gobierno en Línea. Relacionar los afiches con los comportamientos que se buscan en cada uno de las personas como pieza fundamental en el nuevo Modelo de Seguridad de la Información. Sensibilizar y capacitar a través de las imágenes y el texto de los instrumentos. Tiempo Los afiches se colocarán al inicio de la campaña dando a conocer lo que se quiere hacer para que las personas se familiaricen con el nuevo Modelo de Seguridad de la Información; la idea es que se cambien cada mes con nuevos enunciados para que las personas tengan en cuenta las principales prevenciones, peligros y factores relacionados con la seguridad de la información. A continuación, se explican los afiches propuestos para la campaña: Página 10 de 42

11 Este afiche quiere dar a conocer de una forma grafica a las personas, los errores en que generalmente incurren con su información personal; con esto se trata de sensibilizar sobre los principales factores de la seguridad de la información como son la confidencialidad, la integridad y la disponibilidad. Este afiche se hace para prevenir a las personas que no deben dejar que cualquier persona manipule su computador ya sea personal o el de la empresa ya que el usuario puede verse expuesto a fraudes, pérdida de datos, modificación de información, divulgación de información privada, entre otros peligros. Página 11 de 42

12 Este afiche es para recordar a las personas que no deben abrir adjuntos que lleguen a su computador vía correo electrónico proveniente de personas desconocidas o por medio de páginas no solicitadas. Este afiche es para recordar a las personas, de una manera diferente, que deben cerrar la sesión de su computador cuando no se encuentren en el puesto de trabajo. Esto evitará que personas ajenas realicen acciones no autorizadas o peligrosas desde el mismo. Página 12 de 42

13 En este afiche se quiere transmitir a las personas lo importante que es para la empresa o para ellas mismas, la información que poseen en su computador. Se quiere llamar, de una manera diferente, la atención y curiosidad de las personas Folletos Objetivo Ofrecer información masiva más detallada sobre los aspectos más relevantes del Modelo de Seguridad. Objetivos Específicos Conceptos claves en forma breve sobre la seguridad de la Información y las principales recomendaciones para que el Modelo de Seguridad de la Información sea utilizado por las entidades y la comunidad en general. Desarrollo de textos con una secuencia lógica de adquisición de conocimientos y comprensión de los mismos. Profundizar sobre las principales políticas y controles del Modelo de Seguridad de la Información en las entidades y más adelante, en los usuarios de Gobierno en Línea. Aconsejar sobre una adecuada higiene de la información. Tiempo Los folletos serán distribuidos al mismo tiempo que se lancen los primeros afiches de la campaña, con esto se le da apoyo y un impacto más proporcionado. A continuación, se presenta la propuesta de los folletos reaizados: Página 13 de 42

14 Página 14 de 42

15 Medio BTL Tiene los mismos objetivos que los folletos; la información de este es tener un contacto directo y a la vez dinámico, para que las personas interactúen con el Modelo de Seguridad de la Información, esto hará que la recordación sea mayor. Tiempo Este medio será lanzado como medio de apoyo a la campaña junto con los folletos. Página 15 de 42

16 CAPACITACIÓN Nombre Rompecocos. El objetivo de este juego, que se les dará a las personas, es que tengan recordación de las principales ideas relacionadas con la seguridad de la información por medio del juego: Fondos de Pantalla Las entidades y sus funcionarios, son el grupo objetivo de la campaña de sensibilización propuesta. El computador o portátil, es la herramienta esencial para el desarrollo de sus labores. Objetivo Página 16 de 42

17 CAPACITACIÓN Diseñar e implementar los fondos de pantalla propuestos para ser instalados en los computadores de los funcionarios en las entidades objetivo, ya que este es el medio de contacto más directo para crear conciencia de la seguridad de la información, valiéndose de elementos visuales que servirán principalmente para sensibilizar y reforzar los principios básicos de la seguridad de la información. Objetivos Específicos Unir los elementos más importantes de las piezas gráficas y sus conceptos en una sola idea dinámica. Proteger la información sensitiva de las estaciones de trabajo. Reforzar los conceptos básicos de Seguridad de la Información. Estructura Unidad de campaña. Graficas y textos de los afiches y folletos, con los conceptos más relevantes de cada uno, en un entorno dinámico. Página 17 de 42

18 Recordatorios Creación de contraseñas seguras Objetivo Elementos de sensibilización que serán entregados a las personas que asistan a las capacitaciones, estas son de uso personal, con el fin que ellos puedan crear contraseñas seguras tanto en su ambiente laboral como en su vida cotidiana. ESPECIFICACIONES Juego Rubik con un papel para decirles a las personas que las claves tienen que ser mínimo de ocho dígitos y alfanuméricas, estos cubos llevaran letras y números surtidos. Página 18 de 42

19 Presentaciones Objetivo Material de divulgación y estudio con conceptos técnicos del Modelo de Seguridad de la Información. Objetivos Específicos Plasmar con mayor profundidad conceptos, definiciones y explicaciones técnicas del Modelo de Seguridad de la Información implementado para la Estrategia de Gobierno en Línea. Facilitar a la Estrategia de Gobierno en Línea, la difusión y el entendimiento del Modelo de Seguridad de la Información implementado en las entidades objetivo. Especificaciones Todos los elementos se entregan es su formato original, ver numeral 4 del presente documento para mayor información. Afiches: Adobe Photoshop. Fondos de pantalla: Adobe Photoshop. Logos: Adobe Illustrator. Material BTL: Freehand MX. Recordatorio: Freehand MX Página 19 de 42

20 2. PLAN DE CAPACITACIÓN 2.1. Cursos en Seguridad de la Información: Se propone desarrollar los siguientes cursos de capacitación en seguridad de la información: Gestionando la Seguridad de la Información Duración: 2 días (16 horas) Descripción: El curso ayudará a las empresas a definir, organizar y formalizar el conocimiento referente al Sistema de Gestión de Seguridad de la Información SGSI propuesto por las normas ISO/IEC 17799, ISO/IEC 27001, ISO/IEC y BS 7799, instruyendo a los participantes en las estrategias de implementación y evaluación para llevar a la organización a un nivel apropiado de seguridad de la información y estar preparados para buscar la certificación de la compañía. A quién está dirigido? Gerentes o Directores de informática o tecnología. Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información. Profesionales que actualmente desempeñen labores de Seguridad de la Información. Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de la Información. Profesionales que actualmente desempeñen labores de auditoría. Pre-requisitos: Página 20 de 42

21 Conocimientos básicos en Seguridad de la Información, definiciones. Conocimientos básicos en la norma ISO /IEC Conocimientos básicos en informática y tecnología. Conocimientos en análisis de riesgos Conocimientos adquiridos en el curso: Fundamentos de Seguridad de la Información. Introducción a la Norma ISO 17799, ISO/IEC Introducción a la Norma BS , ISO/IEC El Sistema de Gestión de Seguridad de la Información SGSI. Los Dominios de Control. Identificación de la aplicabilidad de los mecanismos de control. Definición e implementación de la estrategia. El proceso de Análisis de Riesgos. Factores críticos de éxito en la implementación del SGSI. Temas de los talleres prácticos: Análisis de riesgos (enfoque ISO/IEC y ISO/IEC 27001). Identificación de controles de la norma aplicables a riesgos identificados. Desarrollo de una declaración de aplicabilidad. Valoración de la implementación del SGSI. Auditoria de cumplimiento BS y ISO/IEC Estándares de Seguridad de la Información Duración: 2 días (16 horas) Descripción: El curso ayuda a las empresas a comprender el alcance y objetivos de los principales estándares de Gobierno, Seguridad, Control y Auditoria de TI, brindando a los asistentes un conocimiento general de los estándares ASNZ 4360, ITIL, ISO27000, NIST , NIST , CONCT, COBIT, COSO, SARBANES OXLEY, PMBOK, con énfasis en los elementos fundamentales de cada uno de ellos. Al final del curso los asistentes tendrán un conocimiento más claro de cada estándar y contarán con una hoja de trabajo que facilite su comparación y selección de acuerdo con las expectativas de cada organización. A quién está dirigido: Gerentes o directores de informática o tecnología Responsables por la Seguridad de la Información Gerentes de Riesgo Gerentes de control interno o auditoria interna Página 21 de 42

22 Auditores de sistemas Gerentes y responsables por la planificación de la continuidad del negocio Prerrequisititos: Conocimientos básicos en seguridad de la información Conocimientos básicos en análisis de riesgos Conocimientos básicos en auditoria Conocimientos adquiridos en el curso: Objetivos, alcances y puntos esenciales de cada estándar mencionado Elementos necesarios para la comparación de estándares Construcción de una hoja de trabajo para la comparación de estándares Diferentes alternativas para articular las necesidades organizacionales en cuanto a gestión de riesgos, seguridad de la información y auditoria. Temas de los talleres prácticos: Riesgos de no utilizar estándares y mejores prácticas Construcción de la hoja de trabajo para comparación de estándares Identificación de rutas alternativas para la implementación de estándares El Desarrollo de un Plan de Continuidad del Negocio BCP/DRP Duración: 2 días (16 horas) Descripción: El curso ayuda a las empresas a conocer y organizar de una mejor forma el proceso de implementación de un plan de continuidad del negocio, brindando a los asistentes importantes conocimientos y una serie de pautas claves que debe seguir el Líder de BCP para la protección efectiva de la información de la organización, así como el personal y demás recursos, en caso de ocurrir un desastre. De igual forma se revisarán ejemplos y prácticas recomendadas para implementar planes de continuidad del negocio. Al final del curso los asistentes tendrán un conocimiento más profundo sobre la práctica real, la implementación de políticas, el ciclo de vida de un BCP y el rol que el Líder de BCP desempeña en el mismo. Página 22 de 42

23 A quién está dirigido: Gerentes o directores de informática o tecnología. Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información. Profesionales que actualmente desempeñen labores de Seguridad de la Información. Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de la Información. Profesionales que actualmente desempeñen labores de auditoría. Profesionales que actualmente estén trabajando el tema de continuidad del negocio y/o recuperación ante desastres. Profesionales de cualquier área de una compañía. Pre-requisitos: Conocimientos básicos en manejo de riesgos. Conocimientos básicos sobre procesos. Conocimientos adquiridos en el curso: La teoría básica de BCP/DRP. Planes de contingencia y recuperación ante desastres (DRP). La teoría básica de BIA/RIA. La teoría básica de RTO/RPO/MAO/FTL. Mantenimiento y Entrenamiento. Estrategias de continuidad del Negocio. Desarrollo e Implementación. Prácticas, Mantenimiento y Auditoria. Temas de los talleres prácticos: Planeación de un BCP. Análisis de riesgos (RIA). Análisis de Impactos (BIA). Desarrollo de estrategias. Desarrollo de un BCP. Sensibilización y capacitación. Prueba y ejercicio. Mantenimiento y actualización. Planes de evacuación y manejo de crisis. Página 23 de 42

24 Seguridad en Redes Inalámbricas Duración: 16 Horas (2 días) Descripción: Es un curso teórico-práctico en el cual se busca explorar el funcionamiento básico de redes inalámbricas, sus problemas de seguridad y las mejores prácticas de seguridad en estas redes. En la parte teórica se desarrolla una introducción detallada a los aspectos básicos de funcionamiento de redes inalámbricas. En la parte práctica se busca evidenciar los problemas de seguridad existentes en las redes inalámbricas y generar recomendaciones para mantener redes seguras dentro de un ambiente funcional. A quién está dirigido: Gerentes o directores de informática o tecnología. Gerentes o directores que tengan a cargo el tema de Seguridad de la Información.. Profesionales que actualmente desempeñen labores de Seguridad de la Información. Personal de cualquier organización que actualmente estén trabajando algún tema de seguridad de la Información. Profesionales que actualmente desempeñen labores de auditoría. Gerentes o directores del área de telecomunicaciones. Profesionales que actualmente desempeñen labores en el área de Telecomunicaciones. Administradores de redes. Profesionales que actualmente desempeñen labores en el área de IT. Pre-requisitos: Conocimientos básicos en redes Inalámbricas y comunicaciones, definiciones. Conocimientos básicos en informática y tecnología. Conocimientos básicos de Linux. Conocimientos básicos de Windows. Curso Básico de Seguridad de la Información. Conocimientos adquiridos en el curso: Conceptos básicos y avanzados de redes inalámbricas. Conceptos básicos y avanzados de seguridad en redes inalámbricas. Vulnerabilidades en protocolos, procesos y autenticación. Técnicas de ataque comunes. Técnicas de aseguramiento de redes inalámbricas. Comandos y herramientas comúnmente utilizadas. Página 24 de 42

25 Acerca de los laboratorios: Cada participante tiene asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados, en plataformas Linux y Windows. Cada uno de los laboratorios diseñados para este curso se encuentran organizados para evidenciar de forma práctica las vulnerabilidades existentes en redes inalámbricas, cómo explotar estas vulnerabilidades y busca la comprensión por parte de los participantes de las mejores prácticas de seguridad para implementar una apropiada configuración dentro de las redes, evitando las posibilidades de ataques, pérdida de información o negación de servicios Seguridad Avanzada en Windows y Unix Duración: 5 días (40 horas) Descripción: Este curso profundiza en los problemas de seguridad de las plataformas de sistemas operacionales con más instalaciones a nivel mundial: Windows y Unix. No sólo se examinan los problemas sino las principales herramientas de seguridad que debe conocer todo administrador para asegurar estas plataformas y mitigar los riesgos de seguridad de la información. A quién está dirigido: Administradores de servidores Windows y Unix Oficiales de seguridad de la información Programadores de aplicaciones que funcionen en estas plataformas Personal técnico y/o soporte Windows o Unix Prerrequisititos: Conocimientos básicos de Windows y Unix (comandos, sistema de archivos, usuarios) Conocimiento en aplicaciones Windows Conocimientos de redes y comunicaciones Curso básico de seguridad de la información Página 25 de 42

26 Conocimientos adquiridos en el curso: Conceptos de seguridad en sistemas operacionales Nivel C2 de seguridad de sistemas operacionales Conceptos avanzados de seguridad en Windows y Unix Técnicas de ataques comunes a plataformas Windows y Unix Vulnerabilidades en protocolos, puertos y servicios Vulnerabilidades asociadas a las instalaciones por defecto Administración de usuarios, contraseñas y permisos Configuración segura de servidores Web, Correo, DNS Configuración y uso de herramientas de detección y monitoreo Temas de los talleres prácticos: Cada participante tiene asignado un PC donde a medida que se abordan los tema se revisan los aspectos asociados. Se puede contar con laboratorios prácticos como: Escalamiento de privilegios Ataques a los servicios más comunes Ataques y aseguramiento de IIS Sniffers Encripción de archivos Configuración de IDS Configuración de control de acceso Debilidades asociadas a cada arquitectura Aseguramiento de servidores Comandos y herramientas comúnmente utilizadas Técnicas Avanzadas en Ataques y Defensa Duración: 40 horas (5 días) Descripción: Curso teórico práctico que busca brindar a un oficial de Seguridad de la Información o administrador de red la habilidad para implementar tecnologías avanzadas de seguridad para la protección de la infraestructura tecnológica de su empresa. Se conocerán técnicas y herramientas enfocadas a distintos Página 26 de 42

27 tipos de sistemas operativos y aplicaciones. El curso inicia identificando la forma de operación de un intruso, sus tácticas, desde las más comunes y sencillas, hasta aquellas técnicas y estrategias de ataque más elaboradas, posteriormente se aprenderán los mecanismos de defensa con los cuales se puede detener a un intruso. A quién está dirigido: Administradores de Firewalls, IDS, redes, sistemas y aplicaciones. Personal de Seguridad de la Información. Oficiales de Seguridad de la Información. Pre-requisitos: Buen entendimiento en redes y TCP/IP. Conocimientos básicos de programación en C. Buen entendimiento práctico de plataformas Windows (95/98/ME/XP/2000/2003) y de aplicaciones asociadas. Buen entendimiento práctico y manejo básico de plataformas Unix (Mandriva, Redhat, SuSe) y de aplicaciones asociadas. Conocimientos conceptuales básicos de Seguridad de la Información. Conocimientos conceptuales sobre Firewalls, IDS y otras tecnologías de seguridad. Conocimientos adquiridos en el curso: Evolución de la Seguridad de la Información. Cómo identificar y comprender los tipos de ataques existentes en la actualidad. Entender y utilizar las herramientas empleadas por los intrusos para diferentes sistemas operativos (Unix, Windows). Cómo poner en práctica las técnicas de ataques mediante laboratorios guiados. Conocer en profundidad las estrategias de ataques. Detección de herramientas en un sistema atacado. Detección en línea de ataques. Cómo engañar a los intrusos. Implementación de herramientas de defensa. Diseño e implementación de arquitecturas de defensa. Acerca de los laboratorios: Desde el inicio del curso hasta el final, se diseñarán e implementarán diferentes arquitecturas de ataque y defensa, donde se incluirán diversos temas, entre otros: Recolección de información Sniffers ARP Spoofing TCP- Hijacking Buffer Overflows Puertas Traseras Detección de herramientas en un sistema atacado Página 27 de 42

La Seguridad de las Tecnologías

La Seguridad de las Tecnologías 22 Certificaciones de Seguridad TI: un valor en alza EN EL PRESENTE ARTÍCULO SE REVISAN LAS CARACTERÍSTICAS Y BENEFICIOS DE LAS CERTIFICACIONES DE SEGURIDAD TI, ANALIZANDO EN DETALLE LAS TRES MÁS EXTENDIDAS

Más detalles

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN TU ASEGURAS LO QUE QUIERES DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTANDAR ISO 27001 Presentación De acuerdo a las circunstancias y el ambiente diario que se vive hoy en día en nuestro

Más detalles

http://actualizacion.itesm.mx

http://actualizacion.itesm.mx Diplomado Seguridad informática El Instituto Tecnológico de Estudios Superiores de Monterrey, Campus Estado de México (ITESM-CEM) y la Asociación Latinoamericana de Profesionales en Seguridad Informática,

Más detalles

140 Horas académicas

140 Horas académicas DIPLOMADO GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA DE SISTEMAS 140 Horas académicas MÓDULO I - SEGURIDAD INFORMÁTICA EMPRESARIAL (20 horas: teoría interactiva) Contenido Introducción a la

Más detalles

Curso Oficial de Preparación para el Examen CISSP de (ISC) 2

Curso Oficial de Preparación para el Examen CISSP de (ISC) 2 Curso Oficial de Preparación para el Examen CISSP de (ISC) 2 Certified Information Systems Security Professional La certificación de seguridad de la información más reconocida a nivel mundial. DESCRIPCIÓN

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

Bootcamp de Certificación 2015

Bootcamp de Certificación 2015 CISSP 2015 Bootcamp de Certificación 2015 La Información es el activo más importante de la Organización y de las personas. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Disaster Recovery Institute - España

Disaster Recovery Institute - España Disaster Recovery Institute - España Curso de Planificación de la Continuidad del Negocio DRI ofrece los programas educativos de referencia en la industria de administración de riesgos y continuidad del

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013 EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR :2013 PRESENTACIÓN De acuerdo a las circunstancias y el ambiente diario que se vive hoy en día en nuestro país y en muchos otros lugares del mundo,

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Programa de Especialización en Auditoria de Tecnologías de Información (IT Audit)

Programa de Especialización en Auditoria de Tecnologías de Información (IT Audit) Programa de Especialización en Auditoria de Tecnologías de Información (IT Audit) Para las organizaciones en la actualidad, la información y la tecnología que las soportan representan sus más valiosos

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES DESCRIPCIÓN DE CURSO DE LA CARRERA DE MAESTRÍA Y POSTGRADO EN AUDITORÍA DE SISTEMAS Y EVALUACIÓN

Más detalles

CURSO INTERMEDIO ITIL OSA Operational Support and Analysis

CURSO INTERMEDIO ITIL OSA Operational Support and Analysis GESTIONA Y OPTIMIZA TUS PROYECTOS TI CURSO INTERMEDIO ITIL OSA Operational Support and Analysis Fórmate para ser experto en ITIL Presentación Este curso permite a los alumnos conocer los aspectos prácticos

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO Escuela de Informática y Telecomunicaciones El

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 1 TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo del Taller Lograr que los participantes incorporen el concepto de Seguridad de la Información, que reconozcan la

Más detalles

Universidad Tecnológica del Chocó Diego Luís Córdoba Nit. 891680089-4

Universidad Tecnológica del Chocó Diego Luís Córdoba Nit. 891680089-4 DIPLOMADO DE PROFUNDIZACIÓN EN SEGURIDAD INFORMATICA Y AUDITORIA Dirigido a: Personas que se desempeñen en el área de seguridad, auditoria o con Conocimientos en informática, bases de datos y redes de

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Sistemas de Pagos de Latinoamérica y el Caribe

Sistemas de Pagos de Latinoamérica y el Caribe Continuidad de Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe Evaluación del estado actual Banco de México Septiembre, 2008 Agradecimientos El Banco de México agradece a los Bancos Centrales

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

ENCARGADO /A AREA DE AUDITORÍA

ENCARGADO /A AREA DE AUDITORÍA ENCARGADO /A AREA DE AUDITORÍA NATURALEZA DEL TRABAJO Participación en la planeación, dirección, coordinación, supervisión y ejecución de labores profesionales, técnicas y administrativas de alguna dificultad

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

CURSO INTERMEDIO ITIL SD Service Design

CURSO INTERMEDIO ITIL SD Service Design GESTIONA Y OPTIMIZA TUS PROYECTOS TI CURSO INTERMEDIO ITIL SD Service Design Fórmate para ser experto en ITIL Presentación Este curso permite a los alumnos conocer los conceptos, procesos, políticas y

Más detalles

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe Curso Taller: Análisis de las normas ISO/IEC 27001 Y 27002 Este curso se ha diseñado con el objetivo de dar a conocer a los participantes los conocimientos necesarios asociados al entendimiento de las

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

La información es el activo más valioso de cualquier organización Sistema de Gestión de seguridad de la infor- mación (SGSI)

La información es el activo más valioso de cualquier organización Sistema de Gestión de seguridad de la infor- mación (SGSI) La información es el activo más valioso de cualquier organización, no precisamente por su valor en los libros de contabilidad (puesto que no está contabilizada), sino por lo que representa. Como sistema

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

CURSOS VIRTUALES 2014

CURSOS VIRTUALES 2014 El Ministerio de las Tecnologías de la Información y las Comunicaciones con el apoyo académico de la Universidad Nacional de Colombia: Convocan al proceso de inscripción para la oferta de cursos cortos,

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

Modelo de calidad IT Mark

Modelo de calidad IT Mark Modelo de calidad IT Mark Agenda de Trabajo 1. Área de Calidad 2. Introducción IT Mark 3. Proceso del Negocio 3.1 Ten Square. 3.2 Evaluación 3.3 Evidencias 3.4 Presentación de resultados. 4. Proceso de

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

STT SOLUCIONES TOTALES EN TELECOMUNICACIONES

STT SOLUCIONES TOTALES EN TELECOMUNICACIONES TOTALES EN TELECOMUNICACIONES Propuesta para México Firts 2015-16 Pública TELÉFONO FAX WEB [Copérnico 172], Col. Anzures], (México, D.F.] [11590] [52542895] [Fax] [ventas@sttsoluciones.com.mx] Tabla de

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

CURSO EN ISO20000 CON INTEGRACIÓN ITIL V3 Relación de Procesos ISO 20000 con ITIL v3

CURSO EN ISO20000 CON INTEGRACIÓN ITIL V3 Relación de Procesos ISO 20000 con ITIL v3 CERTIFÍCATE COMO AUDITOR INTERNO EN ISO 20000 Y GESTIONA LAS TIC S CURSO EN ISO20000 CON INTEGRACIÓN ITIL V3 Relación de Procesos ISO 20000 con ITIL v3 Presentación Las tecnologías de la información y

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

CURSO INTERMEDIO ITIL ST Service Transition

CURSO INTERMEDIO ITIL ST Service Transition GESTIONA Y OPTIMIZA TUS PROYECTOS TI CURSO INTERMEDIO ITIL ST Service Transition Fórmate para ser experto en ITIL Presentación Este curso permite a los alumnos conocer los conceptos, procesos, políticas

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

PROGRAMA DE ASIGNATURA

PROGRAMA DE ASIGNATURA PROGRAMA DE ASIGNATURA 01. Carrera Lic. En Administración de Negocios Internacionales Lic. En Dirección del Factor Humano Lic. En Comercialización X Lic. En Tecnología Informática Lic. En Administración

Más detalles

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD. PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD. PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9 PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9 1. OBJETO Definir la metodología para la realización de las auditorías internas del sistema de gestión de calidad con el fin de determinar la conformidad con

Más detalles

ILTICS.org. Seguridad Informática Orientada al Gobierno de las Tecnologías de la Información

ILTICS.org. Seguridad Informática Orientada al Gobierno de las Tecnologías de la Información Instituto Latinoamericano en Tecnologías de la Información y Comunicación ILTICS.org CURSO VIRTUAL de ESPECIALIZACIÓN en Seguridad Informática Orientada al Gobierno de las Tecnologías de la Información

Más detalles

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS FACULTAD DE CIENCIAS CONTABLES

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS FACULTAD DE CIENCIAS CONTABLES ESCUELA ACADÉMICO PROFESIONAL DE GESTIÒN TRIBUTARIA SÍLABO I. INFORMACIÓN GENERAL Asignatura : AUDITORÍA DE TECNOLOGÍA DE LA INFORMACIÓN Ciclo de Estudios : Noveno Código del Curso : 111934 Carácter :

Más detalles

Certified Ethical Hacker. Curso Oficial para Certificación Internacional

Certified Ethical Hacker. Curso Oficial para Certificación Internacional Qué es Certified Ethical Hacker (CEH)? CEH (Certified Ethical Hacker) es una de las más prestigiosas certificaciones del mundo en el campo del Hacking, avalada por el consejo Internacional de comercio

Más detalles

Este procedimiento es aplicable para la revisión de todos los procedimientos del Sistema de Gestión de la Empresa.

Este procedimiento es aplicable para la revisión de todos los procedimientos del Sistema de Gestión de la Empresa. 1 Objetivo El propósito de este documento es establecer el mecanismo a utilizar para la planificación y realización de Auditorías de Gestión y definir el criterio para la calificación de los auditores

Más detalles

CURSOS TEORICOS-PRACTICOS

CURSOS TEORICOS-PRACTICOS CURSOS TEORICOS-PRACTICOS ÍNDICE. ENFOQUE, OBJETIVO Y PROGRAMA DE CURSOS. ESTUDIO DE LA NORMA ISO 9001:2008 3 CAPACITACIÓN Y ENTRENAMIENTO PARA AUDITORES INTERNOS ISO 9001:2008 CON ISO 19011 7 AUDITOR

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

Programa de Asignatura

Programa de Asignatura Programa de Asignatura Seguridad Informática 01 Carrera: Licenciatura en Tecnología Informática 02 Asignatura: Seguridad Informática 03 Año lectivo: 2013 04 Año de cursada: 3er año 05 Cuatrimestre: Segundo

Más detalles

Master Executive en Auditoría y Seguridad de la Información

Master Executive en Auditoría y Seguridad de la Información Master Executive en Auditoría y Seguridad de la Información INTRODUCCIÓN El aumento en la importancia de los Sistemas de Información dentro del tejido empresarial es innegable. Con el paso del tiempo,

Más detalles

Evaluaciones de calidad de la función de auditoría interna según los estándares internacionales del IIA

Evaluaciones de calidad de la función de auditoría interna según los estándares internacionales del IIA Evaluaciones de calidad de la función de auditoría interna según los estándares internacionales del IIA Julio R. Jolly Moore, CRMA, CRISC, CGEIT, CFE, Internal Audit Quality Assessment Socio - BDO Panamá

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE EVALUACIÓN DE DESEMPEÑO Versión 05 Diciembre 2008 INDICE 1 Definición

Más detalles

Recuperación y Continuidad del Negocio

Recuperación y Continuidad del Negocio Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento

Más detalles

Hacking Ético y Defensa en Profundidad "Versión 3.2.2

Hacking Ético y Defensa en Profundidad Versión 3.2.2 DIPLOMADO INTEGRAL EN SEGURIDAD DE LA INFORMACION LLAMADO: Hacking Ético y Defensa en Profundidad "Versión 3.2.2 Dictado por el grupo de Ingenieros de la empresa: DSTEAM Seguridad. INTRODUCCIÓN: La seguridad

Más detalles

EEHC. Enhacke Ethical Hacking Certification

EEHC. Enhacke Ethical Hacking Certification EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Soluciones Integrales de Seguridad

Soluciones Integrales de Seguridad R Soluciones Integrales de Seguridad Fundada en el año de 1994, INSYS es una empresa líder en el campo de la seguridad informática. Compañía orgullosamente 100% mexicana, que ha tenido a la tarea trabajar

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Certified Professional Offensive and Defensive Security

Certified Professional Offensive and Defensive Security Certified Professional Offensive and Defensive Security Security -CPODS v1.0 (Profesional Certificado en Seguridad Ofensiva y Defensiva) Certificación Integral en Seguridad de la información ofrecida por

Más detalles

Curso Online. Network Security Specialist

Curso Online. Network Security Specialist Curso Online Network Security Specialist Cursos Online Plan de estudios: Itinerario Formativo por especialidad GESTIÓN PREVENCIÓN DETECCIÓN ISM NSS SSA INFORMATION MANAGER NETWORK SPECIALIST SYSTEM AUDITOR

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad

Más detalles

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes José Luis Reyes Noviembre de 2015 AGENDA Quienes somos? Definiciones: Awareness, Previsión, COB, Riesgo y Activos

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Corporación Universitaria TALLER 5

Corporación Universitaria TALLER 5 Corporación Universitaria TALLER 5 DIPLOMADO EN GERENCIA DE PROYECTOS CON ENFOQUE EN PMI PARA DISEÑO INTENSIDAD: 100 horas 1. Objetivo General Proporcionar las herramientas y los conocimientos que permitan

Más detalles

IMPLEMENTADOR LÍDER ISO 27001

IMPLEMENTADOR LÍDER ISO 27001 IMPLEMENTADOR LÍDER Este curso está acreditado oficialmente por el Professional Evaluation and Certification Board (PECB) y conducen a certificaciones profesionales reconocidas internacionalmente y avalado

Más detalles

CERTIFICACIONES PROFESIONALES INTERNACIONALES QUE CONTRIBUYEN A DEMOSTRAR LA COMPETENCIA DE LOS AUDITORES INTERNOS

CERTIFICACIONES PROFESIONALES INTERNACIONALES QUE CONTRIBUYEN A DEMOSTRAR LA COMPETENCIA DE LOS AUDITORES INTERNOS De acuerdo con el Código de Ética de The Institute of Internal Auditors (IIA), que establece los principios y las expectativas que rigen la conducta de los individuos y las organizaciones en la realización

Más detalles

ISO y la serie de Normas ISO 9000

ISO y la serie de Normas ISO 9000 ISO y la serie de Normas ISO 9000 La International Organization for Standardization (ISO) es la agencia internacional especializada para la estandarización, abarcando actualmente los cuerpos nacionales

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles