PROGRAMAS ENFOCADOS - ÁREA TECNOLÓGICA. CÓMO gestionar el ciberriesgo en. Edición MADRID

Transcripción

1 PROGRAMAS ENFOCADOS - ÁREA TECNOLÓGICA CÓMO gestionar el ciberriesgo en tu organización Edición MADRID

2 INTRODUCCIÓN La sociedad y las empresas han desplazado buena parte de su actividad económica a Internet y, como era de esperar, la delincuencia ha desplazado su actividad al ciberespacio siguiendo la actividad económica y el riesgo que genera. El World Economic Forum, en su Informe de Riesgos Globales 2016, sitúa los ciberataques entre los principales riesgos globales por su probabilidad e impacto. Por su parte, desde hace tres años, la Estrategia Nacional para la Protección de Infraestructuras Críticas centra su atención en los ciberataques por su facilidad geográfica y técnica y por el alto impacto que podría causar la pérdida o suspensión de servicios esenciales para la sociedad. Cualquier entidad dependiente de los datos y de los procesos digitales, incluso las industriales, tiene que integrar el ciberriesgo como un riesgo más del negocio que ha de ser analizado, mitigado y revisado. Como consecuencia lógica de este cambio, la normativa incluye cada vez más obligaciones de cumplimiento orientadas a reducir el riesgo y la exposición de la compañía a daños propios o de terceros. Por este motivo, y por el carácter altamente especializado de este tipo de tareas y funciones, se hace necesario generar una nueva función en la organización (el CISO u otra similar) que tenga la formación necesaria para poder enfrentarse a los retos que la regulación y los riesgos de ataque suponen. A quién va dirigido? Ingenieros informáticos y de telecomunicaciones que necesiten capacitación específica. Profesionales de la gestión de la seguridad informática o miembros de departamentos de sistemas que deban implantar un gobierno en ciberseguridad dentro de sus organizaciones. CISA, CISM o Lead Auditors 27:001 que quieran profundizar en la implantación de un gobierno de ciberseguridad en sus organizaciones. Abogados que pretendan ejercer como DPO en las organizaciones. OBJETIVOS Y METODOLOGÍA Conocer las obligaciones normativas para la empresa en Ciberseguridad. Adquirir capacidades personales y técnicas para analizar, mitigar y revisar el Ciberriesgo Ser capaz de implementar los controles y medidas de seguridad necesarias para la gestión de la Ciberseguridad. Conocer las herramientas informáticas y más avanzadas para la gestión de Ciberseguridad. Dotar a los alumnos de la visión y capacidad para diseñar y gestionar un entorno de Ciberseguridad que permita a la empresa mantener las operaciones y su valor, generar confianza y negocio, así como ayudar a cumplir con la ley y regulaciones. Conocer, entender y dominar el marco legal, regulatorio y normativo. Los principios del buen gobierno de la tecnología y la seguridad; y la organización de la seguridad actual.

3 PROGRAMA 1. MARCO LEGAL Y ORGANIZATIVO El marco legal, regulatorio y normativo. Los principios del buen gobierno de la tecnología y la Seguridad. La organización de la Seguridad actual: Los diferentes modelos atendiendo al tamaño de la empresa. Segregación de funciones. Seguridad Integral. Proceso Auditor. La defensa contra daños a terceros, la defensa en daños a terceros. Análisis y gestión del riesgo. Clasificación de la información. Principales procedimientos: Uso correcto de los medios, acceso de la cadena suministro, solicitud de investigación, entre otros. La inteligencia en Seguridad y el reporte interno a la alta Dirección y a terceros (policiales, judiciales y a otros órganos con responsabilidad en Ciberseguridad). Trazabilidad de acciones. Gestión de la Seguridad. Operación de la Seguridad. Métodos y eficacia en la mejora de la cultura de la seguridad de la empresa. Concienciar, sensibilizar, formar y capacitar. Plan Director de Seguridad. Priorización de presupuestos. Consolidación de Auditorías (LOPD, ENS, Infraestructuras críticas de Negocio). Cómo hacer: Un informe de estado de la Seguridad, un informe de incidente, una propuesta de mejora, una comunicación de una brecha y un Plan Director de Seguridad.

4 2. TECNOLOGÍA La gestión de vulnerabilidades y amenazas en el mundo Ciber. Malware inteligente, Amenazas avanzadas persistentes en el tiempo (APTS), centros de comando y control, y métodos de ex filtración de datos. Las técnicas para monitorización, la inspección y detección de brechas de seguridad. Los controles organizativos, técnicos y humanos de aplicación en la Ciberseguridad. Las más modernas y efectivas técnicas de Ciberseguridad. Los principales factores de generación / reducción del riesgo. Los elementos, arquitecturas y servicios de Ciberseguridad; su función y diseño. Segregación y control de red. Agregación y correlación de eventos de Seguridad. La gestión de los incidentes de Seguridad (detección, registro, reporte, investigación y remediación). Detección de fuga de información. La medición del estado de la Seguridad. Gestión de la identidad, autenticación, nueva técnicas. Seguridad en la nube. Gestión de crisis. Talleres de sensibilización. Hacking ético y auditoría técnica. Modelización del comportamiento: red, servicios y usuarios. Herramientas de registro. 3. HERRAMIENTAS Análisis y explotación de vulnerabilidades. Análisis y Gestión del riesgo (TI y su imbricación con otros riesgos de negocio). Protección perimetral: Cortafuegos, IPS, WAFs, PROXYs última generación, entre otros. Inteligencia y detección: Sondas, servicios de rastreo,siems. Protección antimalware avanzada de red y puesto final. Grabadores de tráfico. Inventario. Herramienta de registro.

5 PROFESORADO Paloma Llaneza Directora técnica y profesora Abogada con más de 25 años de experiencia en nuevas tecnologías, Internet, comunicaciones digitales y seguridad TI tanto en aspectos legales como regulatorios y de políticas en España, UE y Estados Unidos. CISA y consultora de seguridad, Partner y Head of Information Technology at Razona. Editora internacional de las normas de la familia ISO/IEC así como las de desarrollo del Reglamento eidas. Miembro del Consejo Rector del Foro de Transformación Digital del IE y coordinadora del sectorial de regulatorio. Es experto del Centro de Ciberseguridad Industrial, miembro del Comité Operativo del Centro de Estudios en Movilidad del ISMS-Forum y leader del grupo de regulación. Es también Presidenta de la Sección de Derecho TIC del Ilustre Colegio de Abogados de Madrid y de la Asociación para el desarrollo de las evidencias electrónicas AEDEL. Francisco Lázaro Director técnico y profesor Ingeniero de Telecomunicaciones con 30 años de experiencia en el campo de las Tecnologías de la Información y las Comunicaciones. En la actualidad es el responsable de Seguridad de la Información de una de las principales empresas del país. Es el Presidente del grupo de Calidad y Seguridad de la Asociación de Usuarios de Telecomunicaciones y Sistemas de Información (AUTELSI) y Director del Centro de Movilidad e Internet de las cosas de la Asociación ISMS Forum (Empresas y responsables de Seguridad). Vocal en diferentes grupos de trabajo de Normalización de ISO y Aenor, de Seguridad (información y safety). Ponente habitual y autor de libros de seguridad. Posee la habilitación del Mº Interior como Director de Seguridad y el Certified Data Privacy Professional. Alfonso Martínez Profesor Especialista en implantaciones de instalaciones de seguridad de redes e instalaciones críticas. Ha trabajado tanto a nivel de integradores, liderando grandes proyectos de infraestructuras de Firewall e IPS, así como en fabricantes como Stonesoft, Intel o Forcepoint, desde donde actualmente desempeña la labor de Consultor de Preventa para EMEA. Un área extensa, desde la que da cobertura a las grandes operaciones de diseño, implantación y procedimientos futuros de grandes proyectos de la compañía. Cuenta con una experiencia de más de 20 años gestionando Firewalls. Licenciado en Matemáticas, y AMP por el IE Bussines School. Raúl Pérez Profesor Global Presales Manager en Panda Security. Cuenta con más de 15 años de experiencia en el ámbito del diseño e implementación de entornos digitales seguros, además de un amplio recorrido en preventa y gestión de proyectos relacionados con las arquitecturas de seguridad en distintos fabricantes como Radware, Corero o IBM. También participan en la impartición del programa profesionales de empresas como Fireeye o S21.

6 CENTRO UNIVERSITARIO VILLANUEVA C/ Claudio Coello, Madrid