Experto en Dirección de la Seguridad Informática
1. Presentación En una sociedad de la información globaliza en la que las organizaciones públicas y privadas están haciendo un uso cada vez más intensivo del ciberespacio, la seguridad de la información se ha convertido en un factor estratégico para poder realizar con confianza sus actividades y desarrollar sus estrategias presentes y futuras. Con este curso se pretende formar y capacitar a profesionales con los conocimientos teóricos y prácticos y el desarrollo de habilidades que se precisan para desempeñar con éxito las actividades y responsabilidades exigibles en los puestos de Director de Seguridad y Jefe de Seguridad de la información, denominados internacionalmente como CISOs (Chief Information Security Officer): Los objetivos del curso se basan en la necesidad que tienen las organizaciones públicas y privadas de proteger sus sistemas informáticos ante las innumerables amenazas a las que se exponen y en la necesidad que siente la sociedad de saber que los sistemas con los que opera son seguros, que hace necesario contar con profesionales verdaderamente formados, capaces de dirigir la seguridad de la información y en las TI utilizadas (CISOs) con una visión integrada, al servicio del negocio y en el marco de la seguridad integral que precisan las organizaciones para controlar sus riesgos: Formación de profesionales de alto nivel con los conocimientos y destrezas que se requieren para crear y dirigir un marco de gobierno de la seguridad de la información integrado en el marco de gobierno de la información en las organizaciones públicas y privadas que permita la adecuada protección de sus activos de información. Ofrecer un instrumento práctico para gestionar los riesgos de la información en el marco general de los riesgos del negocio y que son la base para las inversiones en seguridad de la información, mejora del proceso de seguridad y para garantizar tanto el cumplimento legal como con el de normas voluntarias de organizaciones como ISO, a las que empresas privadas y organizaciones públicas se han adherido libremente. Conocer y profundizar en las prácticas más actuales de seguridad utilizadas en organizaciones privadas y públicas.
2. Objetivos Conocer las técnicas y procesos relacionados con la seguridad informática. Conocer las actividades que se llevan a cabo en la dirección y gestión de proyectos relacionados con la seguridad informática. Conocer los fundamentos y estándares aplicables a la seguridad informática. Conocer la práctica de la Seguridad informática en las organizaciones Conocer las normativas en materia de seguridad Aprender a definir criterios para la realización de inversiones en seguridad Conocer y saber aplicar la gestión de riesgos en las organizaciones
3. Contenidos Módulo 1: Gobernanza TI: Fundamentos y estándares aplicables Aborda los aspectos teóricos y prácticos fundamentales de la Dirección de la Seguridad de la Información: El Gobierno Corporativo y las TIC; La Gobernanza de la seguridad de la información, su organización, políticas, normas, procedimientos y su implantación; Los Activos TI; El Diseño del proceso de seguridad de la información, su evaluación y plan de mejora; La gestión integral del riesgo siguiendo las normas ISO/IEC 31000 y 31010 así como la implantación de un sistema unificado de gestión del riesgo del negocio; El cumplimiento legal relacionado con las TI; Los estándares y marcos de referencia para el gobierno TI (ISO, ITIL, IT Gobernance); La Gestión de la seguridad de la información basada en métricas, indicadores y el cuadro integral de mando; La informática forense sus principio y herramientas; El desarrollo de habilidades directivas del CISO Presencial Internet Estudio Unidad Didáctica Materia Total 8 12 14 UD1 8 8 12 UD2 4 4 10 UD3 8 8 10 UD4 El Gobierno Corporativo y las TIC. Principios y Políticas de la Información. Necesidad de la Seguridad y Auditoría de las TI Modelos y Casos prácticos. Gobernanza de la seguridad de la información. Organización corporativa de la seguridad (seguridad integral). Políticas de seguridad de la Información. Normas y procedimientos. Implantación del gobierno de la seguridad de la información Los Activos TI. Valoración cualitativa y cuantitativa de los activos TI. Clasificación de la información. Inventario de activos TI. Responsabilidades asociadas con los activos TI Las inversiones en TI y Seguridad TI. Definiciones y criterios Estudio de inversiones y toma de decisiones 34 28 18 26
8 8 12 UD5 8 16 16 UD6 8 3 14 UD7 Diseño del Proceso de seguridad de la información. Ingeniería de la Seguridad SSE-CMM. Evaluación de la capacidad del proceso de seguridad. Casos prácticos - Plan de mejora del proceso Gestión del riesgo en las organizaciones. Normas ISO/IEC 31000 y 31010. Riesgos TI en las organizaciones. Caso práctico: Implantación de un sistema unificado de gestión de riesgos del negocio. Cumplimiento Legal relacionado con las TIC. Revisión de la legislación Española, de la UE e Internacional. Responsabilidades Civiles y Penales. 28 40 25 4 0 12 UD8 8 8 16 UD9 Estándares y marcos de referencia para el gobierno TI. Marco de referencias: ISO, ITIL, IT Gobernance 16 Gestión de la Seguridad. Métricas, Indicadores y Cuadro Integral de Mando. Conceptos y casos prácticos 32 8 8 12 UD10 Informática Forense. Principios, metodología y herramientas de la Informática Forense. Casos prácticos. 28 12 10 3 UD11 Dirección y Gestión de la Seguridad de la Información CISO. Desarrollo de habilidades directivas del CISO (Chief Information Security Officer). La seguridad de la información en el marco de la seguridad integral. El Director de Seguridad privada: Orden INT/318/2011, de 1 de febrero, sobre personal de seguridad privada. 25
Módulo 2: La Práctica de la Seguridad en las organizaciones Dar a conocer las mejores prácticas de seguridad que ha de tener en cuenta el CISO: Los Centros de Respuesta a Incidentes CERT, su creación y actividades; La certificación y evaluación de la seguridad TI según el estándar ISO/IEC 15408 para la evaluación de la seguridad de productos y servicios TI; La Seguridad de la información en entornos financieros. La Seguridad en las AA.PP. en base al Esquema Nacional de Seguridad; La Seguridad en infraestructuras críticas y la seguridad en sistemas SCADA. Presencial Internet Estudio Unidad Didáctica 8 4 12 UD12 8 4 12 UD13 8 4 12 UD14 Materia Centros de Respuesta Incidentes CERT. Creación y Actividades llevadas a cabo. Servicios Reactivos, Servicios Preventivos. Gestión de alertas, Gestion de incidentes Certificación y Evaluación de la Seguridad TI. Criterios Comunes - ISO/IEC 15408 para la evaluación de la seguridad de productos y servicios TI. Estado actual de productos certificados Seguridad de la información en entornos financieros. Arquitecturas de seguridad utilizadas. Elementos de Seguridad en los Distintos Canales. Control del Fraude. Su tipos, cuantía, economía, medios para su combate y métodos de control. Total 24 24 24 8 4 15 UD15 Seguridad en las AA.PP. (Esquema Nacional de Seguridad). Proyectos de seguridad para el cumplimiento del ENS. Herramientas y Guías de apoyo 27 8 4 14 UD16 Seguridad en infraestructuras críticas. Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Seguridad en sistemas SCADA 26
4. Duración y desarrollo del curso El curso se desarrollará utilizando tanto la metodología online como las clases presenciales. Las clases presenciales se realizarán viernes tarde de 17,30 a 21,30 y sábados mañana de 9,30 a 13,30. El alumno dispondrá de una plataforma de formación online en la que dispondrá del material aportado por el profesor para soporte y ampliación de lo estudiado en la sesión presencial así como otras herramientas tales como referencias, ejercicios, test, foros etc.
Patrocinan Financiación Información y Matricula Secretaría Técnica de ALI C/ Mayor, 4 6ª planta oficina 9 28013 Madrid secretec@ali.es www.ali.es Tel.: 915 238 620 Fax: 915 214 825