Master Executive en Auditoría y Seguridad de la Información

Transcripción

1 Master Executive en Auditoría y Seguridad de la Información INTRODUCCIÓN El aumento en la importancia de los Sistemas de Información dentro del tejido empresarial es innegable. Con el paso del tiempo, los procesos tradicionales han sido integrados en plataformas tecnológicas, y año a año, se incrementa el número de aplicativos desarrollados para sustituir a las operativas tradicionales. Esta evolución, trae consigo una modificación sustancial del valor de los activos de negocio, siendo en nuestros días un activo intangible, como es la información, pieza capital y clave en el desarrollo de cualquier organización, independientemente de su tamaño. Este desarrollo en los Sistemas de Información, ha traído consigo, no sólo el citado aumento en la importancia de los mismos, sino que además ha incrementado su complejidad, haciendo necesaria una mayor especialización, y una ampliación de las disciplinas necesarias para su correcta gestión. Estas disciplinas, garantes de la autenticidad, confidencialidad y disponibilidad de nuestra información, son sin duda las correspondientes a los campos de Auditoría y Seguridad, elementos transversales, e indispensables, en todo Sistema de Información que satisfaga criterios de buenas prácticas, recomendaciones, y certificaciones internacionales. La demanda, y el interés por profesionales capacitados dentro de estos sectores es indiscutible. Anualmente son necesarios unos 500 profesionales cualificados para atender a las demandas de este sector, el cual presenta una gran complejidad a la hora de encontrar un perfil acorde a las exigencias del mercado, puesto que ni los planes de Ingeniería Informática, ni de Telecomunicaciones, contemplan estos requerimientos, siendo muchas veces cubiertos por profesionales sin experiencia, o por personal autodidacta, el cual no ha desarrollado unos procedimientos, ni unos conocimientos uniformes. En este contexto, el Master Executive en Auditoría y Seguridad de la Información, desarrollado en colaboración con profesionales de las áreas IRM ( Information Risk Management ) e ISS ( Information Security Services ) de KPMG España, plantea un programa teórico y práctico, adaptado a las necesidades actuales, y tangibles, del mercado de la Auditoria y la Seguridad de la Información, a nivel nacional e internacional, formando profesionales competentes y cualificados, con una sólida base teórica, y experiencia práctica real, en los campos de la Auditoría y la Seguridad de la Información.

2 OBJETIVOS El objetivo del presente curso es: formar profesionales competentes y cualificados, con una sólida base teórica, aplicada a escenarios prácticos, en los campos de la Auditoría y la Seguridad de la Información. Paralelamente también son objetivos de este curso: Formar al alumno en el proceso general de la Auditoría de Sistemas de Información: planificación de la auditoría, recopilación de información, realización metodológica de la auditoría, así como reporte y seguimiento. Especializar al alumno en los procesos de auditoría procedimental preeminentes en el mercado nacional e internacional. o Auditoría General: CobIT o Gerencia TI: ITIL / BS / ISO o Auditoría Financiera: Ley Sarbanes-Oxley / SAS70 / COSO o Auditoría Protección de Datos: LOPD o Auditoría SGSI: BS17799 / ISO o Auditoría Comercio Electrónico/PKI: WebTrust. Introducir al alumno en las problemáticas existentes en el comercio electrónico y las demandas del sector: Infraestructuras de clave pública, mecanismos Single Sign-On, etc. Mostrar los elementos principales para la Gerencia de TI, acorde a criterios de buenas prácticas, como ITIL, o a procesos de control general, como CobIT, y su valor como apoyo y mejora dentro del ciclo de negocio. Instruir en el manejo de herramientas para automatización de los procesos de auditoría, tanto procedimental, como técnica. Especializar al alumno en los procesos técnicos de auditoría y consultoría sobre Seguridad de la Información. o Revisión de seguridad en aplicativos y sistemas: Hacking ético. o Adecuación de la seguridad en aplicativos y sistemas: Hardening. o Reconstrucción de escenarios: Análisis Forense DURACIÓN 505 horas de duración total, divididas en 385h de formación presencial y 120h de formación a distancia. DESTINATARIOS Ingenieros en Informática y Telecomunicación. Muy deseables conocimientos previos sobre administración de sistemas y programación de sistemas.

3 TEMARIO Módulo 1 Proceso General de la Auditoría 1. Introducción al Proceso de Auditoría 2. Estándares y directrices ISACA para la auditoría de SI 3. Modelos y directrices de Auditoría: a. Buenas Prácticas b. Controles Internos c. Análisis de Riesgos 4. Proceso de auditoria: a. Planificación de la auditoría b. Ejecución de la auditoría c. Informe de la auditoría 5. Técnicas de auditoría asistidas por computador (CAATs) Módulo 2 Auditoría de Protección de Datos: LOPD 1. Introducción contextual 2. La Ley Orgánica de Protección de Datos 3. Reglamento de Medidas de Seguridad 4. LOPD: Seguridad en Sistemas Win32 5. Trabajo de Campo: Auditoría y Adecuación a LOPD Módulo 3 Auditoría de Gestión de SI: ITIL / BS / ISO Visión General de la Gestión de los SI 2. ITIL: Buenas Prácticas para la Gestión de los SI a. Soporte al Servicio b. Provisión del Servicio 3. BS / ISO 20000: Las buenas prácticas llevadas a la certificación. 4. Trabajo de Campo: Auditoría y Adecuación a ITIL Módulo 4 Auditoría General y Financiera: CobIT y SOX/COSO 1. Auditoría General TI basada en Controles: CobIT 2. Introducción a la Auditoría Financiera: La ley Sarbanes-Oxley (SOX) 3. Introducción al Proceso de Auditoría Financiera: COSO 4. Trabajo de Campo: Auditoría y Adecuación a CobIT Módulo 5 Auditoría Comercio Electrónico: Sistemas PKI 1. Introducción a la criptografía y a los sistemas PKI a. Sistemas de clave privada b. Sistemas de clave pública c. Firma Digital d. Infraestructura de clave pública 2. Necesidades y problemática existentes en el negocio electrónico 3. Auditoría PKI: WebTrust, RFC 3647, y ANSI X Trabajo de Campo: Auditoría según RFC Horas. 50 Horas. 50 Horas 35 Horas. 25 Horas Módulo 6 Auditoría de Gestión de la Seguridad Información: ISO horas 1. Sistemas de Gestión de la Seguridad de la Información: ISO Recuperación y Continuidad de Negocio 3. Trabajo de Campo: Plan de Continuidad.

4 Módulo 7 Auditoría Técnica: Revisión de seguridad en aplicativo 75 Horas 1. Introducción a la revisión de aplicativos y sistemas. 2. Definición del entorno de prueba 3. Técnicas y métodos de intrusión: Inyección de código en la aplicación, Inyección de código SQL, XSS, CSRF, Desbordamientos, Errores de Configuración, X-Path, Publicación de información. 4. Pruebas de Intrusión en Aplicativo y Sistemas: a. Recopilación de Información b. Comprobación de la lógica de negocio c. Comprobación del sistema de autenticación d. Comprobación del control de sesiones e. Comprobación de la validación de las entrada de usuario f. Pruebas de denegación del servicio g. Pruebas específicas en servicios web: XML y AJAX. 5. Pruebas de Intrusión sobre dispositivos WIFI y Bluetooth. 6. Trabajo de Campo: Test de Intrusión sobre Aplicativo Web Módulo 8 Auditoría Técnica: Monitorización, Securización y Forensic 1. Introducción a la estructura y servicios de un SI 2. Gestión de un SI a. Planes de seguridad b. Políticas de seguridad del sistemas c. Monitorización y Control de los sistemas d. Actualización y Backup 3. Securización de un SI a. Securización de SO: Win32 y Linux b. Securización de Servicio Web c. Securización de SGBD d. Securización y Aislamiento de Usuarios. e. Securización del Entorno de Red. 4. Análisis Forense a. Obtención de información sobre el Entorno b. Adquisición de evidencias c. Análisis de evidencias d. Cadena de custodia e. Presentación de resultados 5. Trabajo de Campo: Análisis Forense de un sistema 75 Horas Módulo 9 Practicum 90 Horas 90 horas, 30h presenciales. Presenciales: Laboratorio de Prácticas de Auditoría Informática ( entornos Cisco, Microsoft y Linux ). 60 de e-learning: Módulo de revisión y test de intrusión. Módulo 10 Proyecto Fin de Master. Defensa de Proyecto Ante Tribunal 60 Horas

5 SOBRE LA EMPRESA Somos una empresa innovadora y dinámica, con un amplio catálogo de productos y servicios dirigidos tanto a particulares, como a empresas. Nuestra oferta formativa está agrupada entorno a los distintos sectores que conforman las tecnologías de la información y la comunicación; la formación a directivos, y la prevención de riesgos laborales, siendo nuestro principal objetivo la calidad total en nuestros proyectos educativos. Así mismo nuestros profesores son destacados profesionales que cuentan con amplia experiencia verificable, tanto en la formación, como en el área profesional a cubrir con ella. FORMACIÓN PRESENCIAL Master Murcia, pone a su disposición un amplio catálogo formativo prediseñado por nuestro equipo de Consultoría. Así mismo, contamos con capacidad y recursos para el diseño y desarrollo de cursos adaptados a las exigencias formativas demandadas por nuestros clientes. Para cualquier tipo de formación contamos con modernas instalaciones, a la total disposición de nuestros alumnos, Cartagena y Murcia. Por último, para facilitar toda acción formativa, contamos siempre con la posibilidad de desplazar la misma a las instalaciones empresariales donde sea demandada dentro del territorio nacional. FORMACIÓN E-LEARNING Plataforma e-learning, de alta calidad en español, con acceso las 24 horas del día, 7 días a la semana, accesible desde cualquier punto con conexión Internet, con foros donde compartir experiencias y resolver dudas. Disponemos de una amplia gama de cursos de áreas diversas como capacidad directiva/recursos humanos, comercial, gestión informática y ofimática, Internet y nuevas tecnologías, tecnología de los sistemas operativos, idiomas y prevención calidad, higiene y medio ambiente. Así mismo, podemos adaptar cualquier curso a las necesidades del cliente. FORMACIÓN MIXTA Ofrecemos la posibilidad de repartir la formación entre horas a distancia e intensificaciones presenciales. EMPRESAS ASOCIADAS CENTRO SUPERIOR DE FORMACIÓN TECNOLÓGICA: Centro de formación tecnológica orientada a la certificación de los principales proveedores internacionales, entre ellos Cisco, Oracle y Microsoft entre otros. Así mismo, cuenta con dos Masters tecnológicos en modalidades postgrado y executive, en sistemas Cisco, avalado por la Universidad Politécnica de Valencia y en Auditoría de sistemas de información, en colaboración con KPMG España. ESCUELA EUROPEA DE NEGOCIOS: Escuela Europea de Negocios está posicionada como una de las más importantes instituciones de formación de postgraduados y directivos en Europa y América Latina. Entre su formación destaca su programa MBA de reconocido prestigio a nivel europeo. FUNDACION UNIVERSITARIA ISIDORIANA: Institución sin animo de lucro, cargada de historia que posee gran experiencia en materia formativa en el área de la prevención riesgos laborales.