y Seguridad SG de la Seguridad de a El curso versa sobre cómo implementar una arquitectura sólida respecto a la seguridad de la información en las empresas y entidades públicas y profundiza en la norma ISO/IEC 27001. Todo nuestra Experiencia a tu alcance NUNSYS FORMACIÓN - Av. Jerónimo Roure 43 P.I. Ingruinsa 46520 Puerto de Sagunto Tel. 96 268 32 68 www.nunsysformacion.com
PRESENTACIÓN El curso versa sobre cómo implementar una arquitectura sólida respecto a la seguridad de la información en las empresas y entidades públicas y profundiza en la norma ISO/ IEC 27001, la cual ofrece, a su vez, una aproximación formal y práctica a la seguridad en el mundo de las organizaciones y aporta el enfoque necesario para establecer un Sistema de Gestión de la Seguridad de la Información en función de las necesidades de negocio. También, se hace especial hincapié en el apartado de la normativa legal, especialmente en lo que se refiere a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y al nuevo reglamento de la LOPD (RC1720/2007) que son de obligatorio cumplimiento por todas las empresas y organizaciones públicas y privadas españolas, incluyendo a los autónomos. A su vez, el curso no se queda sólo en una aproximación teórica sino que se realizan supuestos prácticos a nivel de red y aplicativo (técnicas de Hacking Ético) para comprobar el estado real de la seguridad. Asimismo, se profundizará en el Análisis de Riesgos, que consiste en determinar las principales amenazas que puedan afectar a la infraestructura IT de nuestra organización. DURACIÓN: 75h PROPÓSITO Nos introduce en el mundo de la seguridad de la información (SI) aplicada a las empresas y entidades públicas y profundiza en torno a los Sistemas de Gestión de la Seguridad de la Información (Norma ISO 27001) y la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). OBJETIVOS Nos introduce en el mundo de la seguridad de la información (SI) aplicada a las empresas y entidades públicas y profundiza en torno a los Sistemas de Gestión de la Seguridad de la Información (Norma ISO 27001) y la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). CONTENIDOS Introducción la Seguridadde la Información. Qué es la Seguridad de la Información? Conceptos básicos sobre Seguridad de la información Cómo aplicar la Seguridad de la Información en la empresa. Cuestionario Tipo Test Módulo I 2
Presentación de la norma ISO/IEC 27001: Sistema de Gestión de la Información (SGSI) Información (SGSI) Antecedentes. La norma ISO 27001 Metodología Proceso de Implantación y Certificación Cuestionario Tipo Test Módulo II Controles orientados a la Seguridad Organizativa y Política de Seguridad según la norma ISO 27002. Política de Seguridad Seguridad Organizativa Organización Interna Terceras Partes Recursos Humanos Cuestionario Tipo Test Módulo III Gestión de Activos. Análisis y Gestión del Riesgo Gestión de Activos Análisis y Gestión del Riesgo Práctica Módulo IV. Ejercicio práctico de Análisis de Riesgos Cuestionario Tipo Test Módulo IV Plan de Adecuación al Esquema Nacional de Seguridad Seguridad operativa Procedimientos Operacionales y Responsabilidades Gestión de los Servicios Realizados a Terceras Partes Planificación Protección contra Código Malicioso y Código Móvil Copias de Seguridad Gestión de Medios Intercambio de Información Seguridad Lógica Requerimientos del Negocio para el Control de Acceso Gestión del Acceso Lógico Responsables de los Usuarios Control de Acceso al Sistema Operativo Cuestionario Tipo Test Módulo V Prácticas Virtualización: VMware Server 2.0 Comandos básicos de red Copias de seguridad Análisis de equipos Windows con MBSA. Seguridad de Red y Aplicativos. Hacking Ético Seguridad en Red Gestión de la Seguridad en la Red 3
Controles de Acceso en la Red Monitorización Intercambio de Información Computación de Comercio Electrónico Seguridad en Aplicativos Control de Acceso a las Aplicaciones y a la Información Requerimientos de Seguridad de los Sistemas de Información Procesado Adecuado en las Aplicaciones Controles Criptográficos Seguridad en los Ficheros del Sistema Procedimientos de Control de Cambios Gestión de Vulnerabilidades Ténicas Cuestionario Tipo Test Módulo VI Prácticas al test de intrusión Escaneo de puertos Certificados OpenSSL (Instalación y configuración de una CA) Vulnerabilidades web Controles de Seguridad de Física según norma 27002 s Seguras Seguridad del Equipo Cuestionario Tipo Test Módulo VI Controles orientados a la Gestión de Incidencias y Continuidad de Negocio según ISO 27002 Informando de los Eventos y Debilidades Referidos a la Seguridad de la Información Gestión de los Incidentes y Mejoras en la Seguridad de la Información. Aspectos sobre la Seguridad de la Información relativos a la Continuidad de Negocio Negocio Cuestión Tipo Test Módulo VIII Controles orientados al Cumplimiento Interno. Auditoría Interna Conformidad con las Políticas y Estándares de Seguridad y Conformidad Ténica Auditoría Interna. Monitorización Cuestionario Tipo Test Módulo IX Controles orientados al Cumplimiento Regulatorio: LOPD, Reglamento de la LOPD y LSSICE Contenidos Conformidad con los Requisitos Legales 4
LOPD y Reglamento LSSI Cuestionario Tipo Test Módulo X Práctica Supuesto Práctico Cumplimiento Regulatorio DIRIGIDO A Este curso está diseñado para administradores nuevos y experimentados de sistemas, ingenieros de sistemas e integradores de sistemas. REQUISITOS Experiencia Administración del sistema en los sistemas operativos Microsoft Windows o Linux. Comprensión de los conceptos presentados en el curso Fundamentos Centro de virtualización VMware Data o Certificación VCA- DCV. METODOLOGÍA Cursos totalmente prácticos. Explicamos la teoría justa y necesaria para resolver casos prácticos de empresa. El alumno aprende haciendo, practicando y participando activamente. Hacemos las clases productivas, participativas y amenas. Fomentamos trabajar en grupo cuando es posible. MATERIALES El alumno recibe como material de curso: Acceso al aula virtual donde residen los materiales del curso. Certificado de asistencia y aprovechamiento. EVALUACIÓN Una vez establecido el propósito, los objetivos de formación y tras haber impartido la acción formativa, vamos a proceder a su evaluación desde dos puntos de vista: Evaluación inmediata. Se llevará a cabo durante el curso, o inmediatamente después de finalizado, y se centrará en el estudio de hasta qué punto los participantes han adquirido las competencias incluidas en los objetivos del curso. También servirá para conocer la opinión de los alumnos sobre el curso. 5
Evaluación de la eficacia. Los participantes pueden haber adquirido las competencias incluidas en los objetivos del curso, pero son capaces, posteriormente, de aplicarlas a su trabajo diario?, mejorarán dichas competencias su eficacia en el trabajo? La aplicación de esas competencias, ha mejorado la eficacia de la organización?. La evaluación de la eficacia tratará de conocer la aportación de esta función a la consecución de los objetivos estratégicos o empresariales (definidos como propósito), para lo que habrá que analizar si la formación ha conseguido que la organización disponga de las competencias que precisa, en el nivel necesario, y en el lugar y momento oportunos. 6