CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer los requisitos que establece el ENS sobre los Sistemas de Gestión de Seguridad de la Información. Conocer los principios de implantación para el ENS abarcando desde la planificación hasta los mecanismos de autenticación. Reforzar la cultura de seguridad que han de tener los trabajadores de cualquier Administración Pública. CONTENIDOS FORMATIVOS TEMA 1. Introducción a la Seguridad 1. Introducción y conceptos básicos 1.1 Conceptos de Seguridad de la Información 1.2 Análisis de riesgos 1.3 Gestión de riesgos 2. Introducción a la normativa de seguridad 2.1 Origen y objetivo del Esquema Nacional de Seguridad 2.2 Sistemas de Gestión de Seguridad de la Información UNE ISO/IEC 27001 2.3 Ley Orgánica de Protección de Datos TEMA 2. Legislación y Normas Básicas 1. LOPD 1.1 Introducción 1.2 Conceptos básicos 1.2.1 Antecedentes y Marco Normativo 1.2.2 Ámbito de aplicación 1.3 Principios 1.3.1 Principio de consentimiento del afectado 1.3.2 Tipos especiales de consentimientos 1.3.3 Excepciones 1.3.4 Principio de calidad de los datos 1.3.5 Principio de información 1.3.6 Principio de seguridad de los datos 1.4 Derechos de los Afectados 1.5 Tratamiento de Ficheros y Medidas de Seguridad Página 1
1.5.1 Medidas de seguridad aplicables a ficheros y tratamientos automatizados 1.5.2 Medidas de seguridad aplicables a ficheros y tratamientos no automatizados 2. ISO 27001 2.1 Origen e Historia de la Norma 2.2 Requisitos de los Sistemas de Gestión de Seguridad de la Información 2.2.1. Requisitos del ciclo de vida 2.2.2 Requisitos de responsabilidad de la dirección 2.2.3 Requisitos de auditoría interna 2.2.4 Requisitos de revisión por la dirección 2.2.52.5 Requisitos de mejora continua 3. ISO 27002 3.1 Origen e Historia de la Norma 3.2 Descripción de las mejores prácticas en seguridad de la información 3.2.1. Política de seguridad 3.2.2 Aspectos organizativos de la seguridad de la información 3.2.3 Gestión de activos 3.2.4 Seguridad ligada a los recursos humanos 3.2.5 Seguridad física y ambiental 3.2.6 Gestión de comunicaciones y operaciones 3.2.7 Control de acceso 3.2.8 Adquisición, desarrollo y mantenimiento de los sistemas de la información 3.2.9 Gestión e incidentes de seguridad de la información 3.2.10 Gestión de la continuidad del negocio 3.2.11 Cumplimiento TEMA 3. Introducción a los Esquemas Nacionales 1. Introducción al Esquema Nacional de Seguridad (ENS) 1.1 Origen y Antecedentes del ENS 1.2 Objetivos 2. Introducción al Esquema Nacional de Interoperabilidad (ENI) 2.1 Origen del ENI 2.2 Antecedentes del ENI 2.3 Objetivos 2.4 Normas Técnicas de Interoperabilidad e Instrumentos para la Interoperabilidad TEMA 4. El Sistema de Gestión de Seguridad 1. Elementos y Responsabilidades 1.1.- Definición 1.2.- Obligación 1.3.- Quién debe realizarla? 1.4.- A quién hay que presentarla? 1.5.- Contenido 1.6.- Plazos Página 2
2. Responsables y Funciones del Esquema Nacional de Seguridad 2.1.- Responsables de la Información y del Servicio 2.2. El responsable de la seguridad 2.3. Estructura operacional del sistema 2.4. El administrador de la seguridad del sistema (ASS) 2.5. Comités TEMA 5. Sistema de Gestión de Seguridad de la Información conforme al Esquema Nacional de Seguridad 1. SGSI conforme al ENS 1.1 Requisitos del SGSI a implantar según el ENS 2. El Plan de Adecuación 3. Implantación y Mantenimiento del SGSI 3.1 Implantación del SGSI conforme al ENS 3.2 Actividades en la Implantación del ENS 3.3 Mantenimiento TEMA 6. Auditoría del Esquema Nacional de Seguridad 1. Objeto de la Auditoría 2. Desarrollo y ejecución de la Auditoría 2.1. Definición del alcance y objetivo de la auditoría 2.2. Equipo auditor 2.3. Planificación preliminar de la auditoría 2.4. Programa de auditoría 2.5. Revisiones y pruebas de auditoría 2.6 elaboración y presentación de los resultados de revisiones y pruebas de auditoría 2.7. Presentación del informe de auditoría TEMA 7. Valoración de los Sistemas 1. Introducción 1.1. Necesidad de valorar 1.2. Protocolo 2. Valoración de la información 2.1. Identificación 2.2. Valoración 2.2.1. Criterios generales para valorar la confidencialidad necesaria 2.2.2. Criterios generales para valorar la integridad necesaria 2.2.3. Criterios generales para valorar la autenticidad necesaria 2.2.4. Criterios generales para valorar la trazabilidad necesaria 2.2.5. Criterios generales para valorar la disponibilidad necesaria 3. Valoración de los servicios 3.1. Identificación 3.2. Valoración 3.2.1. Criterios generales para valorar la disponibilidad necesaria 3.2.2. Criterios generales para valorar la autenticidad necesaria Página 3
3.2.3. Criterios generales para valorar la trazabilidad necesaria 3.2.4. Criterios generales para valorar la confidencialidad necesaria 3.2.5. Criterios generales para valorar la integridad necesaria 4. Categorización de los Sistemas y Medidas 4.1. Terceras partes 4.2. Documentación 4.3. Criterios específicos 4.3.1. Notificaciones y publicaciones electrónicas 4.3.2. Datos de carácter personal TEMA 8. Medidas de Implantación del ENS 1. Planificación. Análisis y Gestión de Riesgos 1.1 Qué es? 1.2 A quién afecta? 1.3 Resultados y entregables 1.4 Para qué sirve? 1.5 Qué implicaciones tiene? 1.6 Ventajas de su aplicación 1.7 Metodologías. 1.8 Magerit 2. Control de Acceso. Control de Accesos Lógicos y Físicos 2.1 Control de Acceso 2.2 Requisitos de acceso 2.3 Segregación de funciones y tareas. 2.4 Proceso de gestión de derechos de acceso. 2.5 Acceso local 2.6 Acceso remoto. 3. Medidas de Seguridad 4. Seguridad en los puestos de usuario 5. Mecanismos de Autenticación TEMA 9. Interconexión con el ENS 1. Conceptos básicos 2. Requisitos Físicos y Lógicos 2.1. Requisitos lógicos 2.2. Requisitos físicos 3. Interconexión de sistemas 3.1. Sistemas de interconexión 3.1.1. Conexión directa (DPP-0) 3.1.2. Filtro de paquetes (DPP-1) 3.1.3. Cortafuegos (DPP-2) 3.1.4. Guarda o PROXY (DPP-3) 3.2. Arquitectura tipo de un sistema de interconexión 3.2.1. Spp-1. Cortafuegos y PROXY 3.2.2. SPP-2. Zona desmilitarizada (DMZ) 3.2.3. Mejoras a la interconexión 3.3. Selección de sistemas de interconexión Página 4
3.4. Selección de herramientas de seguridad TEMA 10. Políticas de Seguridad de la Información 1. Protección de la Información 1.1. Otros soportes de información 1.2. Protección de Datos de Carácter Personal 1.3. Clasificación de la información. 1.4. Uso de certificados digitales y cuidado de claves criptográficas 2. Gestión del personal 2.1. Seguridad en la Definición de Puestos de Trabajo y la Asignación de Recursos. 2.1.1. Incorporación de la Seguridad en los Puestos de Trabajo. 2.1.2. Control y Política del Personal. 2.1.3. Compromiso de Confidencialidad. 2.1.4. Términos y Condiciones de Empleo. 2.2. Capacitación del Usuario. 2.2.1. Formación y Capacitación en Materia de Seguridad de la Información. 2.3. Respuesta a Incidentes y Anomalías en Materia de Seguridad. 2.3.1. Comunicación de Incidentes Relativos a la Seguridad. 2.3.2. Comunicación de Debilidades en Materia de Seguridad. 2.3.3. Comunicación y corrección de Anomalías del Software. 2.3.4. Aprendiendo de los Incidentes. 2.3.5. Procesos Disciplinarios. 3. La protección de los sistemas de información 3.1. Seguridad Física y Ambiental 3.1.1. Perímetro de Seguridad Física 3.1.2. Controles de Acceso Físico 3.1.3. Protección de Oficinas, Recintos e Instalaciones 3.1.4. Desarrollo de Tareas en Áreas Protegidas 3.1.5. Aislamiento de las Áreas de Recepción y Distribución 3.1.6. Ubicación y Protección del Equipamiento y Copias de Seguridad 3.1.7. Suministros de Energía 3.1.8. Seguridad del Cableado 3.1.9. Mantenimiento de Equipos 3.1.10. Seguridad de los Equipos Fuera de las Instalaciones 3.1.11. Desafectación o Reutilización Segura de los Equipos 3.1.12. Políticas de Escritorios y Pantallas Limpias 3.1.13. Retiro de los Bienes TEMA 11. Verificación del cumplimiento del ENS 1. Plan de Seguridad 2. Mejora continua Ciclo PDCA Página 5
TEMA 12. Seguridad en Entornos WEB y Correo Electrónico 1. Riesgos y Amenazas en la WEB 2. Estrategias de Seguridad en la WEB 3. Análisis de Seguridad en la WEB 3.1. Metodología de Análisis De Caja Negra 3.2. Metodología de Analisis De Caja Blanca 4. Auditorías para entornos WEB 4.1. Ámbito de La Auditoría de Seguridad 4.2. Reconocimiento 4.2.1. Información de Registro de Dominios (DNS) y Direcciones 4.2.2. Servicios de Búsquedas en Internet 4.2.3. Ubicación en la Red 4.3. Escaneo 4.3.1. Servicios Web 4.3.2. Contenidos Web 4.4. Análisis de Vulnerabilidades 4.4.1. Vulnerabilidades de Aplicaciones Web 4.4.2. Pruebas de Carga y Denegación de Servicio (DOS) 5. Riesgos asociados al Correo Electrónico 5.1. Software Dañino 5.2. Spam 5.3. Fugas de Información 5.4. Ingeniería Social 5.5. Daños a la Imagen 5.6. Bulos 6. Consideraciones de Uso del Correo Electrónico 7. Seguridad de los Servidores de Correo 7.1. Arquitectura de Red 7.2. Bastionado del Sistema 7.2.1. Parches y Actualizaciones 7.2.2. Eliminación de Servicios 7.2.3. Control de Accesos 7.2.4. Autenticación 7.2.5. Permisos 7.2.6. Monitorización y Control 7.3. Seguridad de los Servicios de Correo 7.4. Administración del Servidor 7.4.1. Copias de Respaldo 7.4.2. Gestión de Usuarios 7.4.3. Continuidad del Servicio 7.5. Registros Y Auditoría del Sistema 7.6. Auditoría Técnica 7.6.1. Metodología de Auditoría 8. Seguridad del Cliente de Correo 8.1. Equipos de Usuario 8.2. Clientes de Escritorio 8.3. Clientes Móviles Página 6
8.4. Clientes Web 8.5. Acceso Seguro al Servidor Página 7