CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Objetivos Generales: Al término de esta acción formativa los participantes alcanzarán los siguientes objetivos: Formar al alumno en los conocimientos teórico-prácticos necesarios para introducirse en la Gestión de la Seguridad en los Sistemas de Información. Trasmitir al alumno los conceptos de seguridad y las leyes que los regulan como la LOPD, LSSI, Externalización de servicios, SGSI, etc. Conocer metodologías y técnicas de trabajo de seguridad en entornos empresariales y de gestión de la información. Reforzar la cultura de seguridad que han de tener los trabajadores de cualquier empresa donde se trabaje con datos e información. Los alumnos que superen las pruebas recibirán un Diploma de la Universidad de Vigo al objeto de promocionarles mejor en el mercado de trabajo. Objetivos Específicos: MÓDULO 1 - INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN Conocer y aumentar la sensibilidad de los alumnos ante los temas de seguridad de la información. Identificar los posibles accesos e intrusos de un sistema. - Conocer un sistema de información y los posibles accesos. - Transmitir a los empleados de una organización los fallos de seguridad del sistema y los posibles atacantes del mismo. MÓDULO 2- AMENAZAS DE SEGURIDAD Identificar las principales debilidades de un sistema que pueden ser aprovechadas para realizar ataques sobre servidores. - Identificar las vulnerabilidades de un sistema - Conocer las principales técnicas de hacking - Prevenir ataques conocidos a los sistemas de la empresa Página 1
MÓDULO 3- MECANISMOS DE SEGURIDAD Introducir al alumno los distintos conceptos básicos de seguridad en redes y sistemas operativos. - Conocer los fundamentos de la criptografía - Identificar los distintos tipos de redes y sus debilidades - Identificar los distintos tipos de sistema operativos y la seguridad en cada uno de ellos MÓDULO 4 SEGURIDAD APLICADA Conocer los conceptos básicos relacionados con la aplicación de la seguridad en un entorno real: identificación de los distintos tipos de software malintencionado existente y cómo hacer frente a los mismos; control de acceso y de contenidos. Introducción a las copias de seguridad. - Identificar los distintos tipos de malware existente y cómo enfrentarse a ellos. - Conocer los distintos sistemas de control de acceso. - Conocer los distintos sistemas de existentes para el control de contenidos y su aplicación práctica. - Ver la necesidad de respaldar los datos más relevantes, así como conocer los consejos aportados a la hora de llevar a cabo un sistema de backup. MÓDULO 5 - ASPECTOS LEGALES Conocer los distintos conceptos legales y las leyes que se regulan el uso de las TIC en la empresa. - Comprobar el uso de la LOPD en una empresa - Redactar un documento de seguridad - Conocer y revisar el uso de las TIC en una empresa según la LSSI MÓDULO 6- LOS SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Adquirir conocimientos sobre los distintos estandares y metodologías de seguridad de las TIC. Al finalizar el módulo el alumno será capaz de: Página 2
- Conocer cómo se aplica la seguridad en la empresa. - Aplicar una metodología para el seguimiento de un sistema de seguridad en la empresa. - Adaptar una empresa a nuevas políticas de seguridad y realizar su seguimiento. CONTENIDOS FORMATIVOS MÓDULO 1. INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN Tema 1. Introducción a la Seguridad de la Información 1.0 Concepto de seguridad 1.1 Sistemas de Seguridad Tema 2. Acceso a los Sistemas de Información 2.1 Identificación y autentificación 2.2 Modalidades de acceso 2.3 Control de acceso: interno y externo 2.4 Seguridad física Tema 3. Vulnerabilidades 3.1 Definición 3.2 Tipos de atacantes: hackers, crackers, empleados 3.3 Sistemas de detección de intrusos Tema 4. Gestión de la información. Buena praxis. 4.1 Definición 4.2 Acopio de información en Internet 4.3 Consultas a los sistemas de información de la empresa 4.4 Usos y responsables de la información MÓDULO 2 - AMENAZAS DE SEGURIDAD Tema 1. Técnicas de Hacking 1.1 Conexiones externas 1.2 Rango de IPs 1.3 Escaneo de puertos 1.4 Escaneo de vulnerabilidades 1.5 Sniffing Tema 2. Tipos de ataque 2.1 Denial of service (DoS) 2.2 Spoofing 2.3 Buffer overflows 2.4 Troyanos Página 3
2.5 Exploits Tema 3. E-mail y Web Hacking 3.1 Spam 3.2 E-mail bombing 3.3 Hoaxes 3.4 Web Hacking 3.5 Browser Hacking Tema 4. Contramedidas y herramientas 4.1 Introducción 4.2 Herramienta de detección de Sniffing y Escaneos 4.3 Detección y análisis de ataques 4.4 Test de penetración MÓDULO 3 - MECANISMOS DE SEGURIDAD Tema 1. Comunicaciones seguras 1.1 Conceptos 1.2 Importancia de la encriptación 1.3 Importancia del cifrado 1.4 Limitaciones y uso Tema 2. Seguridad en redes. es. 2.1 Concepto de redes 2.2 Clasificación de redes: WAN, MAN, LAN 2.3 Wireless 2.4 Firewall y ACLs 2.5 Protocolos seguros: SSL, IPSec,SSH Tema 3. Seguridad en Sistemas Operativos 3.1 Conceptos 3.2 Seguridad en el uso de recursos y servicios 3.3 Seguridad en el acceso al sistema 3.4 Seguridad en Windows 3.5 Seguridad en Linux Tema 4. Seguridad en Internet 4.1 Introducción 4.2 Comercio electrónico 4.3 Banca electrónica 4.4 Certificaciones Página 4
MÓDULO 4 - SEGURIDAD APLICADA Tema 1. Malware 1.1 Conceptos básicos 1.2 Tipos 1.3 Detección 1.4 Protección Tema 2. Sistemas de Control de Acceso 2.1 Conceptos 2.2 Tipos de SCAs 2.3 Firewalls y ACLs Tema 3. Control de contenidos 3.1 Conceptos 3.2 Filtrado Web 3.3 Control parental 3.4 Redes sociales Tema 4. Copias de seguridad 4.1 Conceptos 4.2 Administración del proceso de Backup 4.3 Centro de respaldo 4.4 Buenas prácticas. MÓDULO 5 - ASPECTOS LEGALES Tema 1. LOPD 1.1 Introducción 1.2 Ámbito de aplicación 1.3 Legalización 1.4 Legitimación 1.5 Protección Tema 2. Ley de Servicios de la Sociedad de la Información y Comercio Electrónico 2.1 Introducción 2.2 Ámbito de aplicación 2.3 Obligaciones y responsabilidades Tema 3. Propiedad Intelectual 3.1 Definición 3.2 Sujetos 3.3 Derechos 3.4 Mecanismos Página 5
Tema 4. Otra normativa 4.1 Propiedad industrial 4.2 Marcas y Patentes MÓDULO 6 - LOS SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Tema 1. ISO 27002 1.1 Introducción 1.2 Campo de aplicación 1.3 Términos y definiciones 1.4 Estructura del estándar 1.5 Evaluación y tratamiento del riesgo 1.6 Política de seguridad 1.7 Aspectos organizativos de la seguridad de la información 1.8 Gestión de activos 1.9 Seguridad ligada a los recursos humanos 1.10 Seguridad física y ambiental 1.11 Gestión de comunicaciones y operaciones 1.12 Control de acceso 1.13 Adquisición, desarrollo y mantenimiento de los sistemas de información 1.14 Gestión de incidentes de seguridad de la información 1.15 Gestión de la continuidad del negocio 1.16 Cumplimiento Tema 2. Information Technologies Infraestructure Library ((ITIL) 2.1 Introducción 2.2 Prestación de servicios 2.3 Soporte al servicio 2.4 Gestión de infraestructura TI 2.5 Gestión de Seguridad 2.6 Perspectiva de negocio 2.7 Gestión de Aplicaciones 2.8 Gestión de activos de software 2.9 Certificaciones ITIL Tema 3. Cobit 3.1 Introducción 3.2 Planificación y organización 3.3 Adquisición e implementación 3.4 Entrega y soporte 3.5 Supervisión y evaluación Tema 4. Planes Directores de Seguridad 4.1 Concepto 4.2 Motivación 4.3 Aspectos Página 6
Tema 5. Auditorías 5.1 Auditorías de cumplimiento legal 5.2 Auditorías técnicas 5.3 Auditorías de procesos 5.4 Análisis forense Página 7