Certified Chief Information Security Officer (CCISO) Curso orientado a profesionales que deseen saltar de una gestión tecnológica intermedia a ejecutivos con habilidades de gestión de alto nivel orientados a la seguridad de la información. Los alumnos recibirán formación desde la gestión de proyectos a la auditoría pasando por adquisición, finanzas, estrategia y políticas. El programa CCISO ha sido creado para ejecutivos de seguridad de diferentes negocios convirtiéndose en uno de los más relevantes en el mercado actualmente. Objetivos Ofrecer a los asistentes la formación necesaria para ser capaces de: Conocer el rol de un CISO en una organización Alinear las necesidades de seguridad de la información con los objetivos y riesgos del negocio Conocer las características del dominio de Gobierno Conocer las características del dominio de Auditoría y Controles Conocer las características del dominio de Gestión de Proyectos, tecnología y operaciones Conocer las características del dominio de Competencias clave de seguridad de la información Conocer las características de Planificación Estratégica y Financiera Duración El curso tiene una duración de 40 horas Perfil del alumno Responsables de seguridad Auditores Cualquier otro profesional interesado en la seguridad de la información y que ocupe un cargo de gestión Temario DOMINIOS (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 1
Dominio 1: Gobierno (Políticas, Legislación y Cumplimiento) 1. Definiciones Gobierno (Governance) Cumplimiento (Compliance) Privacidad (Privacy) Gestión de Riesgos 2. Programa de Gestión de Seguridad de la Información Política de Seguridad Roles y Responsabilidades de Seguridad Estándares, guías y frameworks de seguridad Gestión de riesgos Arquitectura técnica de seguridad Clasificación y gestión de activos Gestión de Seguridad y Operaciones Resiliencia del Negocio Formación y Concienciación Métricas de Seguridad e Informes Gobierno de la Seguridad de la Información Cumplimiento de la Seguridad de la Información (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 2
Dominio 2: Controles de Gestión de Seguridad de la Información y Gestión de Auditoría (Proyectos, Tecnología y Operaciones) 1. Diseño, Despliegue y Gestión de los controles de seguridad alineados con los objetivos del negocio, la tolerancia al riesgo y políticas/estándares Gestión de Riesgos de Seguridad de la Información Establecimiento del contexto 2. Evaluación de Riesgos de Seguridad de la Información Identificación de Riesgos Análisis de Riesgos Evaluación de Riesgos 3. Tratamiento de Riesgos Modificar Riesgos Retener Riesgos Evitar Riesgos Compartir Riesgos 4. Riesgo Residual 5. Aceptación de Riesgos 6. Feedback de Gestión de Riesgos Comunicación y Consulta de Riesgos Monitorización y revisión de riesgos 7. Objetivos de Negocio COBIT 4.1 PO1.2 Business-IT Alignment COBIT 5.0 AP002 Manage Strategy 8. Tolerencia de Riesgos 9. Políticas y Estándares 10. Tipos de Controles y Objetivos Introducción Qué hace un control? (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 3
Cómo se crea un control? Dependencia de los controles Elegir controles Tipos comunes de controles o Operacionales o De personal o De acceso o De gestión de activos 11. Implementar frameworks para asegurar controles 12. COBIT (Control Objectives for Information and Related Technology) 13. Gestionar cambios BAI06 Dominio Descripción del proceso Definición del propósito del proceso Objetivos y métricas Matriz RACI Prácticas, entradas, salidas y actividades de proceso 14. COBIT 4.1 vs COBIT 5 15. ISO 27001/27002 Gestión del cambio 16. Controles automatizados 17. Comprender el proceso de gestión de auditorías Qué es una auditoría? Estándares de gestión de auditorías y mejores prácticas Medir la efectividad del proceso de auditoría frente a los objetivos del negocio y la tolerancia al riesgo Análisis e interpretación de informes de auditoría Formulación y planes de remediación Evaluación de riesgos de controles no efectivos o no existentes Monitorizar la efectividad de los esfuerzos de remediación Procesado de informes para los interesados del negocio (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 4
Dominio 3: Gestión Proyectos y Operaciones 1. El rol del CISO Evaluar Planificar Diseñar Ejecutar Métricas e informes 2. Proyectos de Seguridad de la Información Alinear con los objetivos del negocio Identificación de interesados en el proyecto Alineación con la tolerancia de riesgos Mejores prácticas de ejecución de proyectos Infosec 3. Gestión de operaciones de seguridad Funciones y habilidades del personal Planificar la comunicación Gestión de vendedores Contabilidad Integración de los requisitos de seguridad en otros procesos operacionales (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 5
Dominio 4: Competencias clave de Seguridad de la Información 1. Control de Acceso Diseño del control de acceso Tipos de control de acceso Principios de autentificación Principios de autorización Administración del acceso 2. Seguridad Física Análisis de riesgos físicos Consideraciones de diseño físico Vigilancia Personal de seguridad Auditorías de seguridad física Monitorización de controles de seguridad física Seguridad móvil física 3. Recuperación de Desastres Recuperación de Desastres vs Continuidad del Negocio Apetito del Riesgo Dirección de proyecto, alcance y planes de trabajo Análisis del impacto en el negocio Equipamientos de recuperación de desastres Pruebas de recuperación de desastres Soluciones de copia de seguridad y restauración Gestión de crisis 4. Seguridad de Red Planes, estándares y mejores prácticas Planificación de red Detección y prevención de intrusión de red Control de Acceso a la Red (NAC) Redes Privadas Virtuales (VPN) Seguridad de red inalámbrica Asegurar la red Seguridad VoIP Modelos de arquitectura de red (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 6
Estándares y protocolos de red 5. Gestión de amenazas y vulnerabilidades Amenazas humanas Amenazas físicas / del entorno Amenazas técnicas Amenazas naturales Gestión de vulnerabilidades Monitorización y alertas Gestión de parches Escaneo de vulnerabilidades Pruebas de penetración Ingeniería social Ingeniería social humana Ingeniería social mediante ordenador Contramedidas de medios sociales 6. Seguridad de aplicación Prácticas de Ciclo de Vida de Desarrollo de Sistemas (SDLC) Fases de SDLC Top-10 de vulnerabilidades de aplicación Pruebas de seguridad de aplicación dinámicas y estáticas Gestión de cambios Separación de entornos de producción, desarrollo y pruebas Otras consideraciones SDLC 7. Seguridad de Sistemas Planes Mejores prácticas Fortalecimiento de Sistemas Operativos Fortalecimiento de bases de datos Evaluación de vulnerabilidades Gestión de configuración Gestión de activos Control de cambios Logging (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 7
8. Cifrado Algoritmos de cifrado Firmas digitales Infraestructura de Clave Pública (PKI) SSL/TLS Protocolos de seguridad 9. Informática forense y respuesta a incidentes Desarrollo de procesos de respuesta a incidentes Procesos de responsabilidades y escalado Prueba de procedimientos de respuesta a incidentes Coordinación con la legislación y otras entidades externas Proceso de informática forense Cadena de custodia Recoger y preservar la evidencia digital (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 8
Dominio 5: Planificación Estratégica y Financiera 1. Alineación con los objetivos del negocio y la tolerancia a riesgos Cumplimiento como Seguridad Ética 2. Relaciones entre Seguridad, Cumplimiento y Privacidad 3. Liderazgo Visibilidad y Accesibilidad Intimidad Responsabilidad Contabilidad Educación, tutoría (mentoring) y guía Construcción de equipo Características de los equipos efectivos Equivocaciones sobre los equipos Equipos disfuncionales Elementos clave de los equipos de alto rendimiento 4. Modelos, frameworks y estándares de una Arquitectura de Seguridad de Información Empresarial (EISA) Objetivos EISA Metodología EISA SABSA Framework de Arquitectura del Departamento de Defensa de EE.UU. (DoDAF) Arquitectura corporativa federal Framework de Arquitectura Integrada de Cap Gemini Framework de Arquitectura del Ministerio de Defensa del Reino Unido (MODAF) Zachman Framework The Open Group Architecture Framework (TOGAF) 5. Tendencias emergentes en seguridad Inevitabilidad de incumplimientos Integración Sistemas de control Enfrentamientos (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 9
Big Data Big Threats (Gran volumen de datos Grandes amenazas) Seguridad de Cloud Computing Consumerización Dispositivos móviles en la empresa Ransomware (software de rescate) Medios sociales Hacktivismo Amenaza persistente avanzada 6. Todo sobre los datos (Stradley 2009) La necesidad de proteger datos e información Cómo ocurre la fuga de datos? Cómo protegerse contra la fuga de datos? Controles de tecnología para proteger los datos y la información El DRM Adivinanza DLP (Conundrum) Reducir el riesgo de pérdida de datos Indicadores Clave de Rendimiento (KPI) 7. Certificación de Sistemas y Proceso de Acreditación Fase 1: Pre-certificación Fase 2: Iniciación Fase 3: Certificación de seguridad Fase 4: Acreditación de seguridad Fase 5: Mantenimiento Fase 6: Disposición 8. Planificación de recursos Empleados a tiempo completo Recursos de seguridad operacional Incremento de personal Marcas de consultoría Outsourcing Cómo proceder? 9. Planificación Financiera Desarrollo de casos de negocio para seguridad Planificación a largo plazo Road Map Analizar, pronosticar y desarrollar un presupuesto de gasto de capital (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 10
Analizar, pronosticar y desarrollar un presupuesto de gasto de operación Retorno de la Inversión (ROI) y análisis coste-beneficio 10. Obtención Selección de soluciones Ciclo de vida de compra de tecnología 11. Gestión de vendedores Pre venta Post venta Oficina de gestión de vendedores 12. Proceso de Solicitud de Propuesta (RFP) Entorno competitivo Acentuar los aspectos positivos del acuerdo Decir a los vendedores lo que esperas Ofrecer la oportunidad a los vendedores de diferenciarse Asegurar que los vendedores comprenden el entorno completo Demostrar la importancia del período de transición Definir claramente la solución a proponer Habilitar la evaluación del objetivo de las respuestas de los vendedores Conseguir los términos óptimos, las condiciones y el precio en un entorno competitivo Desarrollar un RFP robusto 13. Integrar los requisitos de seguridad en el acuerdo contractual y en el proceso de obtención Sección 1: Definiciones Sección 2: Estándar de atención Sección 3: Restricciones en la revelación a terceros Sección 4: Procedimientos de violación de seguridad Sección 5: Vigilancia del cumplimiento de seguridad Sección 6: Retorno o destrucción de la información personal Sección 7: Alivio equitativo Sección 8: Violación grave Sección 9: Indemnización (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 11
14. Declaración del trabajo 15. Acuerdos de Nivel de Servicio (SLA) Qué es un SLA? Por qué son necesarios los SLA? Qué ofrece un SLA? Cuáles son los componentes clave de un SLA? Indemnización Es transferible un SLA? Verificación de niveles de servicio Monitorización de métricas Selección de métricas Cuándo debería ser revisado nuestro SLA? (+34) 91 787 23 00 www.alhambra-eidos.com www.formaciontic.com 12