CATÁLOGO DE FORMACIÓN Julien Eichinger - Ftlia.cm www.scassi.cm Cntact : 625 235 944
CONTENIDO Calendari de las sesines de frmación de 2015... 3 ISO 27001 Principis básics* - 2 días... 7 ISO 27001 Lead Auditr * - 4,5 días... 8 ISO 27001 Lead Implementer * - 4,5 días... 9 Frmacines sbre métds de análisis y de gestión de riesgs... 10 ISO 27005 Risk Manager * - 2,5 días... 11 MEHARI Advanced Practitiner * - 2,5 días... 12 EBIOS Advanced Practitiner * - 2,5 días... 13 Frmacines de cntinuidad de negci... 14 Elabrar y gestinar un Plan de cntinuidad - 2 días... 15 ISO 22301 Principis básics* - 2 días... 16 ISO 22301 Lead Implementer * - 4,5 días... 17 ISO 22301 Lead Auditr * - 4,5 días... 18 ISO 24762 Implementar y gestinar la reanudación del negci - 3 días... 19 Frmacines de gestión de la seguridad... 20 Definir y cntrlar ls indicadres y las hjas de ruta del SSI - 2 días... 21 Elabrar y gestinar una plítica de seguridad - 2 días... 22 Seguridad en ls pryects e intrducción a ls criteris cmunes - 2 días... 23 Dminar ls criteris cmunes - 4 días... 24 Frmacines técnicas sbre seguridad... 25 Principis básics de la seguridad de la infrmación* - 3 días... 26 Auditría de seguridad de las redes y ls sistemas - 3 días... 27 Auditría de seguridad de las redes y ls sistemas (nivel avanzad) - 4 días... 28 Realizar auditrías de cnfiguración/arquitectura - 1 día... 29 Realizar pruebas de intrusión - 2 días... 30 Seguridad de la nube y virtualización - 2 días... 31 Slución RSA envisin - 4 días... 32 Seguridad de las aplicacines... 33 Seguridad de las aplicacines Java/JEE - 3 días... 34 Seguridad de las aplicacines.net - 3 días... 35 Seguridad de las aplicacines web (PHP, Javascript, CMS, MySQL ) - 3 días... 36 Auditría de códig - 2 días... 37 ISO 27034 Lead Implementer* - 4,5 días... 38 ISO 27034 Principis básics* - 2 días... 39 Otras frmacines... 40 Seguridad de sistemas crítics (Scada, ICS, etc.) - 2 días... 41 CISSP (Certified Infrmatin Systems Security Prfessinal) - 5 días... 42 CISA (Certified Infrmatin Systems Auditr) - 5 días... 43 Cmprender la nrma PCI-DSS - 1 día... 44 Aplicación de la RGS V2-2 días... 45 *: frmación certificadra 2
CALENDARIO DE LAS SESIONES DE FORMACIÓN DE 2015 3
Planificación de las sesines de frmación - 2015 Ener Febrer Marz Abril May Juni Las sesines de frmación sl se realizarán si se llega al númer mínim de participantes. n.º de días S02 S03 S04 S05 S06 S07 S08 S09 S10 S11 S12 S13 S14 S15 S16 S17 S18 S19 S20 S21 S22 S23 S24 S25 S26 ISO 27001 Principis básics 2 27-28 Frmacines ISO 27001 ISO 27001 Lead Auditr 4,5 4-8 ISO 27001 Lead Implementer 4,5 8-12 ISO 27005/ISO 31000 Risk Manager 2,5 13-15 Frmacines sbre métds de análisis y de gestión de riesgs EBIOS Advanced Practitinner MEHARI Advanced Practitinner 2,5 15-17 ISO 27005 Risk Manager + EBIOS MEHARI 5 13-17 Elabrar y gestinar un plan de cntinuidad 2 1-2 Frmacines de cntinuidad de negci ISO 22301 Lead Implementer 4,5 ISO 22301 Principis básics 2 Definir y cntrlar ls indicadres y las hjas de ruta del SSI 2 Frmacines de gestión de la seguridad Elabrar y gestinar una plítica de seguridad 2 Seguridad en ls pryects e intrducción a ls criteris cmunes 2 Dminar ls criteris cmunes 4 11-14 Principis básics de la seguridad de la infrmación 3 20-22 Frmacines técnicas sbre seguridad Seguridad de la nube y virtualización 2 29-30 Realizar pruebas de intrusines 2 Seguridad de aplicacines JAVA JEE,.NET WEB 3 16-18 Frmacines de seguridad de aplicacines Auditría de códig 2 ISO 27034 Principis básics 2,5 ISO 27034 Lead Implementer 4,5 Seguridad de ls sistemas crítics (Scada, ICS, etc.) 2 19-20 Otras frmacines Cmprender la nrma PCI-DSS 1 18 Aplicación de la RGS 2 CISSP 5 Leyenda: Madrid ISO22301 Lead Auditr (4,5 días) Para las frmacines n planificadas, póngase en cntact cn nstrs Realizar auditrías de cnfiguración/arquitectura (1 día) Auditrías de seguridad de ls sistemas y las redes (3 4 días) Slución RSA envisin (4 días) CISA (5 días) 4
Las sesines de frmación sl se realizarán si se llega al númer mínim de participantes. Frmacines ISO 27001 Frmacines sbre métds de análisis y de gestión de riesgs Frmacines de cntinuidad de negci Frmacines de gestión de la seguridad Frmacines técnicas sbre seguridad Frmacines de seguridad de aplicacines Otras frmacines Para las frmacines n planificadas, póngase en cntact cn nstrs S27 S28 S29 S30 S31 S32 S33 S34 S35 S36 S37 S38 S39 S40 S41 S42 S43 S44 S45 S46 S47 S48 S49 S50 S51 S52 ISO 27001 Principis básics 2 11-12 ISO 27001 Lead Auditr 4,5 7-11 30-4 ISO 27001 Lead Implementer 4,5 2-6 ISO 27005/ISO 31000 Risk Manager 2,5 5-7 EBIOS Advanced Practitinner MEHARI Advanced Practitinner 2,5 7-9 ISO 27005 Risk Manager + EBIOS MEHARI 5 5-9 Elabrar y gestinar un plan de cntinuidad 2 ISO 22301 Lead Implementer 4,5 16-20 ISO 22301 Principis básics 2 22-23 Definir y cntrlar ls indicadres y las hjas de ruta del SSI 2 1-2 Elabrar y gestinar una plítica de seguridad 2 25-26 Seguridad en ls pryects e intrducción a ls criteris cmunes 2 15-16 Dminar ls criteris cmunes 4 29-2 Principis básics de la seguridad de la infrmación 3 Seguridad de la nube y virtualización 2 Realizar pruebas de intrusines 2 7-8 Seguridad de aplicacines JAVA JEE,.NET WEB 3 Auditría de códig 2 2-3 ISO 27034 Principis básics 2,5 14-16 ISO 27034 Lead Implementer 4,5 26-30 Seguridad de sistemas crítics (SCADA, ICS ) 2 Intrducción a PCI-DSS 1 CISSP - Certified Infrmatin Systems Security Prfesinal 5 23-27 ISO22301 Lead Auditr (4,5 días) Realizar auditrías de cnfiguración/arquitectura (1 día) Auditrías de seguridad de ls sistemas y las redes (3 4 días) Slución RSA envisin (4 días) CISA (5 días) N de días Leyenda Juli Frmación en Madrid Agst Planificación de las sesines de frmación - 2015 Septiembre Octubre Nviembre Diciembre 5
FORMACIONES ISO 27001 6
Duración: 16 hras ISO 27001 PRINCIPIOS BÁSICOS* - 2 DÍAS Perfil de ls participantes: cnsultres, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect e ingeniers de seguridad de sistemas de infrmación El participante desea cncer ls cncepts y las prácticas recmendadas de aplicación y gestión de un Sistema de gestión de la seguridad de la infrmación (SGSI) basad en la nrma ISO/CEI 27001:2013, además de adquirir ls cncimients básics relativs a las medidas de seguridad que se definen en la nrma ISO/CEI 27002:2013. Ls bjetivs de este curs sn ls siguientes: - explicar cóm funcina un Sistema de gestión de la seguridad de la infrmación (SGSI) cnfrme a la nrma ISO/CEI 27001:2013 y sus prcess principales; - explicar el bjetiv, el cntenid y la crrelación entre la nrma ISO/CEI 27001:2013 y la nrma ISO/CEI 27002:2013, así cm cn tras nrmas y marcs reglamentaris; - saber interpretar las exigencias de la nrma SO27001:2013 en el cntext específic de un rganism. Nta: este curs se basa en la nrma ISO/IEC 27001:2013. Día 1: intrducción a ls cncepts del SGSI cnfrme a la nrma ISO/CEI 27001:2013 Planificar/establecer el SGSI - Objetiv y estructura del curs - Marc nrmativ: familia de nrmas ISO2700x - Sistema de gestión de la seguridad de la infrmación (SGSI): ISO/CEI 27001:2013 - Planificar/establecer el SGSI: cntext, plíticas del SGSI, declaración de aplicabilidad - Planificar/establecer el SGSI: análisis y plan de tratamient de riesgs Día 2: implementar, supervisar y mejrar el SGSI - Asistencia del SGSI: recurss, cmpetencias, sensibilización y gestión dcumental - Funcinamient del SGSI - Evaluación del rendimient: auditrías del SGSI - Mejra del SGSI - Descripción de ls bjetivs y de las medidas de seguridad (Anex A ISO 27001:2013) - Prcess de certificación - Examen «Certified ISO 27001 Fundatin» - (1 hra) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 7
Duración: 36 hras ISO 27001 LEAD AUDITOR * - 4,5 DÍAS Perfil de ls participantes: cnsultres, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect e ingeniers de seguridad de sistemas de infrmación El participante desea adquirir nuevas cmpetencias y ser capaz de evaluar la eficacia de un Sistema de gestión de la seguridad de la infrmación (SGSI). En el curs ISO 27001 Lead Auditr aprenderá a realizar auditrías de certificacines cnfrmes a la nrma ISO 27001:2013 y cncerá al detalle ls criteris de aplicación y de calidad del SGSI. La frmación ha sid diseñada y validada pr un equip multidisciplinar frmad pr auditres de sistemas de gestión (ISO 27001, ISO 22301, ISO 9001, etc.), auditres de seguridad de la infrmación, cnsultres en seguridad, directres de seguridad y especialistas en la frmación prfesinal. Ls bjetivs sn ls siguientes: - cmprender las exigencias de la ISO 27001 y saber manipularlas; - cncebir la nrma ISO 27001 desde el punt de vista de la auditría y analizar su aplicación; - cntrlar y frmalizar un SGSI; - cmprender el desarrll, las especificidades y las exigencias de una auditría ISO 27001; - cnvertirse en ISO 27001 Lead Auditr cn certificación del PECB. Día 1: intrducción a la gestión de un SGSI cn ISO 27001 - Objetivs y estructura del curs - Marcs nrmativs y reglamentaris - Prcess de certificación - Principis básics de la seguridad de ls prcess de la infrmación - Sistema de gestión de la seguridad de la infrmación (SGSI) Día 2: intrducción a una auditría - Cncepts y principis básics de la auditría - Enfque basad en la prueba y el riesg - Preparación de la auditría - Auditría dcumental - Preparación de las actividades de la auditría in situ - Realización de la auditría in situ Día 3: realización de una auditría - Cmunicación durante la auditría - Prcedimients de auditría - Redacción de infrmes de incumplimient Día 4: finalización de una auditría - Dcumentación de la auditría - Revisión de las ntas de la auditría - Cierre de la auditría Nta: este curs se basa en la nrma ISO/IEC 27001:2013. - Gestión de un prgrama de auditría, cmpetencia y evaluación de ls auditres - Finalización de la frmación Día 5: examen - Examen «Certified ISO 27001 Lead Auditr» (3 hras) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 8
Duración: 36 hras ISO 27001 LEAD IMPLEMENTER * - 4,5 DÍAS Perfil de ls participantes: cnsultres, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect e ingeniers de seguridad de sistemas de infrmación El participante desea adquirir refrzar las cmpetencias para aplicar y gestinar un Sistema de gestión de la seguridad de la infrmación (SGSI) cnfrme a las exigencias de la nrma ISO 27001. El curs ISO 27001 Lead Implementer frece cncimients prfunds sbre las prácticas recmendadas de implementación de medidas de seguridad de la infrmación según ls 14 dminis de la nrma ISO 27002 y ls precepts de la nrma ISO 27003. La frmación ha sid diseñada y validada pr un equip multidisciplinar frmad pr cnsultres experts en la implementación de sistemas de gestión (ISO 27001, ISO 22301, ISO 9001, etc.), cnsultres y auditres especializads en seguridad de la infrmación, directres de seguridad y especialistas en la frmación prfesinal. Ls bjetivs sn ls siguientes: - cmprender las exigencias de la ISO 27001 en relación cn la implementación y la gestión de un SGSI; - cntrlar las prácticas recmendadas de gestión de un SGSI; - cmprender el desarrll, las especificidades y las exigencias de una auditría ISO 27001; - adquirir cncimients experts para ayudar a ls rganisms a implementar un SGSI cnfrme a las exigencias de la ISO 27001; - cnvertirse en «ISO 27001 Lead Implementer» cn certificación del PECB. Nta: este curs se basa en la nrma ISO/IEC 27001:2013. Día 1: intrducción a la gestión de un SGSI cn ISO 27001 e inici de un SGSI - Intrducción a ls sistemas de gestión y al enfque pr prcess - Presentación de las nrmas ISO 27001, 27002 y 27005 - Principis básics de la seguridad de la infrmación - Análisis preliminar - Gestión de un pryect ISO 27001 Día 2: planificación de un SGSI - Implementación de un marc de gestión de la seguridad de la infrmación - Gestión del riesg según la ISO 27005 - Redacción de la declaración de aplicabilidad Día 3: implementación y aplicación de un SGSI - Implementación de un marc de gestión dcumental - Elabración y aplicación de cntrles y prcedimients - Frmación, sensibilización y cmunicación - Gestión de ls incidentes (según la ISO 18044) y gestión de las peracines Día 4: cntrl y mejra del SGSI y auditría de certificación - Supervisión de las medidas de cntrl (gestión de ls registrs) - Indicadres de rendimient de las medidas de cntrl (métricas y hjas de ruta) - Auditría interna del SGSI - Revisión de la dirección del SGSI - Mejra cntinuada - Auditría de certificación ISO27001 Día 5: examen - Examen «Certified ISO 27001 Lead Implementer» (3 hras) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 9
FORMACIONES SOBRE MÉTODOS DE ANÁLISIS Y DE GESTIÓN DE RIESGOS 10
Duración: 20 hras ISO 27005 RISK MANAGER * - 2,5 DÍAS Perfil de ls participantes: cnsultres, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect e ingeniers de seguridad de sistemas de infrmación El participante desea dminar ls principis básics de la gestión de riesgs en relación cn la seguridad de la infrmación (ISO 27005): planificación de un prgrama de gestión de riesgs, análisis, apreciación, tratamient, cmunicación y supervisión del riesg. A ests efects, la presente frmación se basa en una variedad de ejercicis, cass práctics, discusines y demstracines cn herramientas de mdelización de riesgs que permiten adquirir cncimients práctics para realizar análisis de riesg ptimizads y pertinentes a fin de definir, implementar y gestinar prgramas/prcess de gestión de riesgs y para gestinar ls riesgs de manera sstenible en el sen de un rganism. Ls bjetivs sn: - adquirir las aptitudes persnales y ls cncimients necesaris para dminar la implementación de un prgrama de gestión de riesgs y para acnsejar a ls rganisms sbre las prácticas recmendadas de gestión de riesgs cnfrme a la ISO 27005; - adquirir la experiencia y las cmpetencias para realizar análisis de riesgs de manera autónma y acnsejar a ls rganisms cnfrme a la ISO 27005; - cmprender e interpretar las exigencias de la ISO 27001 relativas a la gestión de riesgs; - cmprender la relación existente entre un SGSI, la gestión de riesgs y ls cntrles para las distintas partes implicadas; Nta: este curs se basa en la nrma ISO/IEC 27005:2011 (en cnsnancia cn la ISO 31000:2009). Día 1: intrducción a la gestión del riesg según la ISO 27005 - Cncepts básics de la gestión de riesgs - Nrmas y marcs de referencia en materia de gestión de riesgs - Implementación de un marc de gestión de riesgs - Clasificación de ls activs - Identificación y análisis de ls riesgs - Enfque cualitativ y cuantitativ de la gestión de riesgs Día 2: tratamient y gestión del riesg cnfrme a la ISO 27005 - Gestión, metdlgías de análisis de riesgs - Tratamient del riesg - Gestión de ls riesgs residuales - Gestión de ls riesgs de pryect - Gestión de riesgs - Presentación de las principales metdlgías de análisis de riesgs: EBIOS, MEHARI, OCTAVE, CRAMM y Micrsft Security Cmpliance Management Día 3: examen - Examen «Certified ISO 27005 Risk Manager» (2 hras) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 11
MEHARI ADVANCED PRACTITIONER * - 2,5 DÍAS Este módul puede cmplementar a ls móduls de 2,5 días "ISO 27005 Risk Manager" para cnstituir una frmación de 5 días. Perfil de ls participantes: cnsultres, respnsables de la seguridad de ls Duración: 20 hras sistemas de infrmación y gestres de riesgs El participante desea desarrllar las cmpetencias necesarias para llevar a cab un análisis de riesgs cn el métd MEHARI (Méthde Harmnisée d Analyse des Risques) cread pr CLUSIF (Club de la Sécurité des Systèmes d Infrmatin Français). Gracias a ls numerss ejercicis y cass práctics, ls participantes adquirirán las cmpetencias y ls cncimients necesaris para realizar una evaluación óptima de ls riesgs del SSI y para la gestión de riesgs de acuerd cn su cicl de vida. La frmación cuenta cn la certificación de CLUSIF. Ls bjetivs sn ls siguientes: - desarrllar las cmpetencias y ls cncimients necesaris para realizar un análisis de riesgs cn el métd MEHARI; - cntrlar las etapas de realización de un análisis de riesgs cn el métd MEHARI; - cmprender ls cncepts, ls enfques, ls métds y las técnicas que hacen psible una gestión de riesgs según la ISO 27005. Nta: este curs se basa en el métd MEHARI 2010. Día 1: inici de un análisis de riesgs cn MEHARI - Cncepts y definicines de la gestión del riesg - Nrmas, marcs de referencia y metdlgías de gestión del riesg - Intrducción a MEHARI - Análisis de ls rets y clasificación - Escala de valres de las disfuncines - Clasificación de ls recurss Día 2: análisis de las vulnerabilidades y del riesg y plan de seguridad cn el métd MEHARI - Análisis de las vulnerabilidades - Cualidades de un servici de seguridad - Evaluación de la calidad de ls servicis de seguridad - Prcess de evaluación - Análisis de riesgs - Planes de seguridad y gestines - Herramientas para facilitar la aplicación del métd MEHARI Día 3: examen - Examen «MEHARI Advanced» (2 hras) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 12
EBIOS ADVANCED PRACTITIONER * - 2,5 DÍAS Este módul puede cmplementar a ls móduls de 2,5 días "ISO 27005 Risk Manager" para cnstituir una frmación de 5 días. Perfil de ls participantes: cnsultres, respnsables de la seguridad de Duración: 20 hras ls sistemas de infrmación y gestres de riesgs El participante desea desarrllar las cmpetencias necesarias para llevar a cab un análisis de riesgs cn el métd EBIOS (Expressin des Besins et Identificatin des Objectifs de Sécurité) cread pr la ANSSI (Agence Natinale de la Sécurité des Systèmes d'infrmatin). El 60% de esta frmación cnsiste en ejercicis práctics: - un cas práctic cmplet realizad durante la presentación de ls móduls; - tr cas práctic cmplet realizad de manera autónma y crregid en grup; - la demstración y el us de la herramienta EBIOS; - las preguntas del examen. De este md, ls participantes adquirirán las cmpetencias y ls cncimients necesaris para realizar una evaluación óptima de ls riesgs del SSI cn el métd EBIOS y para gestinar ls riesgs de manera sstenible de acuerd cn su cicl de vida. Ls bjetivs sn ls siguientes: - desarrllar las cmpetencias y ls cncimients necesaris para realizar un análisis de riesgs cn el métd EBIOS; - cntrlar las etapas de realización de un análisis de riesgs cn el métd EBIOS; - cmprender ls cncepts, ls enfques, ls métds y las técnicas que hacen psible una gestión de riesgs según la ISO 27005. Nta: este curs se basa en el métd EBIOS 2010. Día 1: realización de un análisis de riesgs cn EBIOS - Presentación del métd EBIOS - Fase 1: estudi del cntext - Fase 2: estudi de ls events peligrss - Fase 3: estudi de ls escenaris de amenazas Día 2: finalización de un análisis de riesgs cn EBIOS - Fase 4: estudi de ls riesgs - Fase 5: estudi de las medidas de seguridad - Cas práctic Día 3: examen EBIOS - Examen «EBIOS Advanced» (3 hras) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 13
FORMACIONES DE CONTINUIDAD DE NEGOCIO 14
Duración: 16 hras ELABORAR Y GESTIONAR UN PLAN DE CONTINUIDAD - 2 DÍAS Perfil de ls participantes: cnsultres, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect y auditres El participante desea adquirir refrzar ls cncimients que permiten cnsiderar tds ls prblemas relacinads cn la preparación, la implementación y el mantenimient del Plan de Cntinuidad de Negci (PCN) según ls cncepts de sistema de gestión de la cntinuidad de negci de la nrma ISO 22301:2012. La intención de esta frmación es frecer a ls participantes las cmpetencias necesarias para cmprender ls rets que plantean ls PCN, desde la aplicación del pryect hasta su rganización y la supervisión de las pruebas. La frmación ha sid diseñada y validada pr un equip multidisciplinar frmad pr cnsultres experts en el camp de la cntinuidad del negci, cnsultres y auditres especializads en materia de implementación y gestión de sistemas de gestión (ISO 22301, ISO 27001, ISO 9001, etc.), directres de seguridad y especialistas en la frmación prfesinal. Ls bjetivs sn ls siguientes: - cmprender ls rets que supne una estrategia de cntinuidad y un sistema de gestión de la cntinuidad del negci basads en la nrma ISO 22301:2012; - cncer la diferencia entre el plan de cntinuidad de negci, el plan de recuperación ante desastres infrmátics y el plan de recuperación del negci; - apreciar las particularidades del pryect del plan de cntinuidad; - cncer ls principis de la activación del plan de recuperación, del funcinamient en md de emergencia y del regres a la nrmalidad; - ser capaz de rganizar y de efectuar un seguimient de las pruebas del PCN; - cncebir la cntinuidad del negci cm prces ITIL. Día 1: cncepts clave y lanzamient del pryect PCN - Ventajas de gestinar la cntinuidad - Definicines y cncepts - El pryect y su gestión - Cóm realizar un análisis de riesgs y cncept de desastre - Una etapa clave: la identificación de las actividades críticas Día 2: aplicación del PCN y seguimient - Medis necesaris para diseñar ls dispsitivs - Prducción de ls planes y creación de ls equips de emergencia - Prcedimients de elevación de prblemas a cargs superires y creación de células de crisis - Organización y seguimient de las pruebas - Cntinuidad del negci cm prces ITIL 15
Duración: 16 hras ISO 22301 PRINCIPIOS BÁSICOS* - 2 DÍAS Perfiles: cnsultres, directres de sistemas de infrmación, respnsables de la seguridad de ls sistemas de infrmación y jefes de pryect El participante, independientemente de su perfil y experiencia, desea adquirir nuevas cmpetencias y cncer ls cncepts de aplicación y gestión de un Sistema de gestión de la cntinuidad del negci (SGCN) basad en la nrma ISO/CEI 22301:2012, así cm las prácticas recmendadas de implementación de las medidas de cntinuidad del negci basadas en la nrma IOS/PAS 22399. Ls bjetivs de este curs sn ls siguientes: - explicar cóm funcina un Sistema de gestión de la cntinuidad del negci (SGCN) cnfrme a la nrma ISO/CEI 22301:2012 y sus prcess principales; - cmprender ls prcess principales de la gestión de la cntinuidad del negci; - identificar las accines y medidas principales que se implementarán para garantizar la cntinuidad del negci cnfrme a la nrma ISO/PAS 22399; - btener la certificación ISO 22301 Fundatin. Nta: este curs se basa en la nrma ISO 22301:2012. Día 1: intrducción a ls cncepts del SGCN - Presentación de las nrmas ISO 22301, ISO 27031 e ISO/PAS 22399 - Principis básics de la cntinuidad del negci - Cncepts del sistema de gestión y enfque de ls prcess - Exigencias y cláusulas de la nrma ISO 22301 Día 2: aplicación de las medidas de cntinuidad del negci - Business Impact Analysis (BIA) y gestión de riesgs - Etapas de implementación de un SGCN ISO 22301 - Mejra cntinuada - Prcess y auditría de certificación ISO 22301 - Examen Certified ISO 22301 Fundatin (1 h) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 16
Duración: 36 hras ISO 22301 LEAD IMPLEMENTER * - 4,5 DÍAS Perfil de ls participantes: cnsultres, respnsables de prcess de cntinuidad del negci, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect, etc. El participante desea adquirir nuevas cmpetencias y ser capaz de aplicar y de gestinar un Sistema de Gestión de la Cntinuidad del Negci (SGCN) cnfrme a las exigencias de la nrma ISO 22301:2012. Esta frmación permite dminar las prácticas recmendadas de implementación de prcess de cntinuidad del negci cnfrme a la nrma ISO/PAS 22399. La frmación ha sid diseñada y validada pr un equip multidisciplinar frmad pr cnsultres experts en el camp de la cntinuidad del negci, cnsultres y auditres especializads en materia de implementación y gestión de sistemas de gestión (ISO 22301, ISO 27001, ISO 9001, etc.), directres de seguridad y especialistas en la frmación prfesinal. Ls bjetivs sn ls siguientes: - cmprender la implementación de un SGCN cnfrme a las exigencias de las nrmas ISO 22301, ISO 27031 BS25999; - adquirir ls cncepts, ls enfques, ls métds, las nrmas y las técnicas necesaris para la gestión eficaz de un SGCN; - cmprender la relación entre ls distints cmpnentes de un SGCN y su cnfrmidad cn las exigencias; - adquirir ls cncimients necesaris para asesrar a una rganización en la implementación, la gestión y el mantenimient de un SGCN cnfrme a las exigencias de las nrmas ISO 22301 BS25999. Día 1: intrducción a la gestión de un SGCN e iniciación de un SGCN - Intrducción a ls sistemas de gestión y al enfque pr prcess Nta: este curs se basa en la nrma ISO 22301:2012. - Presentación de las nrmas ISO 22301, ISO/PAS 22399, ISO 27031 y BS 25999, así cm de ls estándares reguladres - Principis básics de la cntinuidad del negci - Análisis preliminar - Redacción de un estudi de viabilidad y de un plan de pryect para la implementación de un SGCN Día 2: planificación de un SGCN - Definición del perímetr del SGCN - Desarrll del SGCN y de las plíticas de cntinuidad del negci - Análisis del impact (BIA) y estimación de ls riesgs Día 3: implementación de un SGCN - Implementación de un marc de gestión dcumental - Elabración y aplicación de prcess de cntinuidad del negci y redacción de plíticas - Gestión de ls incidentes y de las emergencias - Gestión de las peracines de un SGCN Día 4: cntrl, mejra y evaluación del SGCN y auditría de certificación - Supervisión de ls prcess de cntinuidad del negci - Desarrll de métricas, indicadres de rendimient y hjas de ruta - Auditría interna y revisión de la dirección del SGCN - Implementación de un prgrama de mejra cntinuada - Preparación para la auditría de certificación ISO 22301 Día 5: examen - Examen «Certified ISO 22301 Lead Implementer» (3 hras) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 17
Duración: 36 hras ISO 22301 LEAD AUDITOR * - 4,5 DÍAS Perfil de ls participantes: cnsultres, auditres, respnsables de prcess de cntinuidad del negci, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect, etc. El participante desea adquirir nuevs cncimients que le permitan realizar una auditría y una evaluación de la eficacia de un Sistema de Gestión de la Cntinuidad del Negci (SGCN) cnfrme a las exigencias de la nrma ISO 22301. Esta frmación le permitirá desarrllar las aptitudes y cmpetencias necesarias para realizar una auditría de certificación de SGCN, especialmente sbre la base de ls precepts de la nrma ISO 19011. La frmación ha sid diseñada y validada pr un equip multidisciplinar frmad pr cnsultres experts en el camp de la cntinuidad del negci, cnsultres y auditres especializads en materia de implementación y gestión de sistemas de gestión (ISO 22301, ISO 27001, ISO 9001, etc.), directres de seguridad y especialistas en la frmación prfesinal. Ls bjetivs sn: - pder realizar auditrías internas auditrías de certificación ISO 22301 según las directrices que establece la ISO 19011 y las especificacines de la ISO 17021, además de aprender a gestinar un equip de auditres del SGCN; - cmprender cóm funcina un SGCN cnfrme a la ISO 22301 y a la nrmativa de las distintas partes de una rganización; - mejrar la capacidad de análisis del entrn intern y extern de una rganización, de evaluación de ls riesgs de la auditría y de la tma de decisines en el cntext de una auditría de SGCN. Nta: este curs se basa en la nrma ISO 22301:2012. Día 1: intrducción al cncept de Sistema de gestión de la cntinuidad del negci (SGCN) según la definición de la ISO 22301 - Presentación de las nrmas ISO 22301, ISO27031, ISO/PAS 22399 y BS 25999 - Principis básics de la cntinuidad del negci - Prcess de certificación ISO 22301 - Sistema de gestión de la cntinuidad del negci (SGCN) - Presentación detallada de las cláusulas 4 a 10 de la ISO 22301 Día 2: planificación e inici de una auditría 22301 - Principis y cncepts fundamentales de la auditría - Enfque de auditría basad en las pruebas y en el riesg - Preparación de una auditría de certificación ISO 22301 - Auditría dcumental de un SGCN - Celebración de una reunión inicial Día 3: realización de una auditría ISO 22301 - Cmunicación durante la auditría - Prcedimients de auditría: bservación, revisión de dcuments, entrevistas, técnicas de muestre, verificación técnica, crrbración y evaluación - Redacción de ls planes de pruebas de auditría - Frmulación de las cmprbacines de la auditría - Redacción de infrmes de incumplimient Día 4: finalización y seguimient de una auditría ISO 22301 - Dcumentación de auditría - Celebración de una reunión de cierre y finalización de una auditría 22301 - Evaluación de ls planes de acción crrectivs - Auditría de supervisión ISO 22301 - Prgrama de gestión de auditría interna ISO 22301 Día 5: examen - Examen «Certified ISO 22301 Lead Auditr» (3 hras) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 18
ISO 24762 IMPLEMENTAR Y GESTIONAR LA REANUDACIÓN DEL NEGOCIO - 3 DÍAS Duración: 24 hras Perfiles: cnsultres, directres de sistemas de infrmación, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect, etc. Esta frmación permite desarrllar la experiencia necesaria para ayudar a una rganización en la implementación, el mantenimient y la gestión de un plan de reanudación del negci de las tecnlgías de la infrmación y la cmunicación cnfrme a la nrma ISO 24762. La intención de la frmación es presentar ls aspects de las gestines y de ls prcess además de detallar un cnjunt de medidas técnicas relacinadas cn la reanudación del negci de acuerd cn la nrma ISO 24762. Esta frmación puede dirigirse a: - ls respnsables y ls equips de reanudación del negci, - ls cnsultres en reanudación del negci infrmátic. Nta: este curs se basa en la nrma ISO 24762:2008. Día 1: intrducción, evaluación y reducción de ls riesgs cnfrme a la ISO 24762 - Diferencias entre la cntinuidad del negci y la reanudación del negci - Gestión de ls activs - Evaluación y reducción de ls riesgs - Gestión dcumental - - Cntinuidad del negci Día 2: centrs y lcales de reanudación, subcntratación de servicis y activación del plan de reanudación del negci según la ISO 24762 - Lcales de reanudación - Subcntratación de servicis - Centrs de reanudación - Activación del plan de reanudación del negci Día 3: medición, prueba y mejra cntinuada - Medición del rendimient - Autevaluación - Prueba - Mejra cntinuada - Examen Certified ISO 24762 Disaster Recvery Manager (2 h) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 19
FORMACIONES DE GESTIÓN DE LA SEGURIDAD 20
DEFINIR Y CONTROLAR LOS INDICADORES Y LAS HOJAS DE RUTA DEL SSI - 2 DÍAS Duración: 16 hras Perfil de ls participantes: cnsultres, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect, etc. El participante desea desarrllar las cmpetencias necesarias para definir y aplicar indicadres y hjas de ruta pertinentes en materia de seguridad de la infrmación y, en general, implementar mejrar la gestión de la seguridad de la infrmación. La intención de esta frmación es, en primer lugar, presentar y pner en práctica de manera glbal una metdlgía pragmática de definición y aplicación de indicadres y hjas de ruta, además de establecer mejrar el marc y ls prcess de gestión, basándse especialmente en marcs de referencia cm la ISO 27004 y ls COBIT (Cntrl Objectives fr Infrmatin and related Technlgies). Pr últim, esta frmación permite a ls participantes trabajar cn cass cncrets de definición y aplicación de indicadres para las exigencias principales de la nrma ISO 27001:2013 (cláusulas 4 a 10 y anex A). Ls bjetivs sn ls siguientes: - adquirir las aptitudes metdlógicas y de la práctica que permiten definir y aplicar indicadres pertinentes y adaptads en materia de seguridad de la infrmación; - dispner de cierts indicadres predefinids para las exigencias principales de la nrma ISO 27001, que se adaptarán, en última instancia, según el cntext. Día 1 Día 2 - Cncepts y principis de gestión de seguridad de la infrmación Sistema de gestión, prcess y marcs de referencia: ISO 27001, ISO 31500/COBIT, ISAE 3402, etc. Entrn y estrategia de cntrl: cntrl intern y extern, niveles de cntrl - Métricas, indicadres, hjas de ruta, etc. Definición Objetivs Principis Marcs de referencia, metdlgías: TDBSSI, ISO27004, Balanced Screcard, etc. - Metdlgía de definición/cncepción de ls indicadres: Papel de ls distints actres: directivs, respnsables de la seguridad de ls sistemas de infrmación, prductres, etc. Necesidades y bjetivs de cntrl (definir ls indicadres): Criteris: precisión, frecuencia, umbral, etc. Ejercici práctic: definir las necesidades y ls bjetivs de cntrl para varias exigencias de la ISO27001 - Metdlgía de definición/cncepción de ls indicadres (cntinuación): Prducción de ls indicadres: Identificación de las infrmacines Frmalización/cálcul Ejercici práctic: definir el medi de prducción de varis indicadres Presentación/restitución de ls indicadres Hja de ruta del SSI Ejercici práctic: definir y crear una hja de ruta - Infrmes, prácticas recmendadas, incnvenientes que hay que evitar 21
Duración: 16 hras ELABORAR Y GESTIONAR UNA POLÍTICA DE SEGURIDAD - 2 DÍAS Perfil de ls participantes: cnsultres, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect y auditres El participante desea adquirir nuevs cncimients y ser capaz de implementar un sistema de rganización de seguridad y una plítica de seguridad. El bjetiv de esta frmación es permitir a ls participantes asimilar ls cncimients necesaris para cmprender ls rets de una plítica de seguridad, de ls prcess de seguridad y de su gestión. Ls bjetivs sn ls siguientes: - identificar las ncines de riesg y de plítica de seguridad; - cmprender ls prcess de seguridad; - cmprender las distintas pcines que permiten garantizar la seguridad de ls sistemas de infrmación; - btener una visión general de las nrmas ISO 27001, ISO 27002 e ISO 27005. Día 1: elabración de una plítica de seguridad - Intrducción: revisión de ls principis básics de la seguridad de la infrmación Nción de riesg Criteris de seguridad - Marcs nrmativs y regulatris ISO 2700X, ITIL, etc. Prpiedad intelectual, gestión de ls dats persnales, etc. - Identificación y evaluación de ls riesgs Apreciación de ls riesgs Distints métds de análisis de riesgs (MEHARI y EBIOS) - Definición de la plítica de seguridad Organización de la seguridad Aspects técnics - Claves del éxit de la implementación de una plítica de seguridad Día 2: implementación y gestión de la plítica y de ls prcess de seguridad - Principis de la implementación de la plítica de seguridad Gestión de ls incidentes Gestión de la cntinuidad del negci (PCN y PRN) - Supervisión de la seguridad Definición de ls indicadres de seguridad y de las hjas de ruta Auditrías de seguridad Definición de ls planes de gestión de la seguridad - Implicación de las diferentes partes invlucradas en la seguridad de la infrmación Sensibilización hacia la seguridad y frmación Definición de planes de cmunicación 22
SEGURIDAD EN LOS PROYECTOS E INTRODUCCIÓN A LOS CRITERIOS COMUNES - 2 DÍAS Perfil de ls participantes: jefes de pryect, cnsultres, arquitects, Duración: 16 hras auditres, etc. El participante desea adquirir nuevs cncimients y ser capaz de cnsiderar ls prblemas que plantea la seguridad de la infrmación en el pryect que dirige en el que participa. El bjetiv de esta frmación es sentar las bases de las prácticas recmendadas de integración y gestión de la seguridad en el cicl de vida de un pryect, basadas especialmente en ls criteris cmunes (ISO 15408). A tal fin, la frmación incluye una intrducción y una presentación de ls cncepts y precepts de ls criteris cmunes (ISO 15408), y expne una perspectiva cn trs marcs de referencia (ISO 27034, GISSIP, etc.). Mediante la cmbinación de ls cncimients que aprtan ls cncepts teórics y su aplicación en ls cass práctics frut de la experiencia de nuestrs clabradres, esta frmación permitirá a ls participantes asimilar las ncines y las actuacines de seguridad clave en la gestión de pryects. Ls bjetivs sn: - cmprender de manera general ls principis básics de integración y de gestión de la seguridad en ls pryects, basads en ls criteris cmunes (ISO 15408); - prprcinar a las persnas que intervienen en la integración de la seguridad en ls prcess del pryect (respnsables de la seguridad de ls sistemas de infrmación, servicis y métds, calidad, etc.) las claves y ls principis básics para implementar mejrar ests aspects; - prprcinar a ls actres de ls pryects (jefes de pryect, arquitects, etc.) las bases para cmprender y dirigir las actividades principales relacinadas cn la seguridad de la infrmación (identificación y evaluación de ls riesgs, expresión/definición y seguimient de las necesidades y exigencias de seguridad, pruebas de seguridad, etc.) El curs se ha estructurad siguiend las etapas sucesivas estándar de un pryect cn el bjetiv de ilustrar las accines cncretas que el jefe de pryect debe llevar a cab en clabración cn ls equips respnsables del SSI. Incluye numerss ejempls de cass reales para que el jefe de pryect pueda adaptar fácilmente el cntenid de la frmación a ls prcess aplicables a su rganización. Módul 1: cnsideración de las necesidades de seguridad - Cnsecuencias de la descnsideración de la seguridad - Intrducción a ls prblemas que plantea la seguridad en la realización de pryects - Identificación de las necesidades de seguridad - Definición de las exigencias - Clasificación del pryect - Plan de gestión de la seguridad Módul 2: implementación de la seguridad en la realización del pryect - Nivel de frmalism esperad (tecnlgía más nvedsa) - Apy a la infraestructura y a la rganización del SSI - Actividades que deben llevarse a cab y dcuments que deben elabrarse: leyes y reglaments aplicables descripción de ls desarrlls análisis de COTS Módul 3: validación y puesta en funcinamient - Intrducción a la nción de cbertura - Cnfrmidad: slución de seguridad - Mecanisms de evaluación de las respuestas a las exigencias - Entrega, instalación y us: manuales y prcedimients de us Módul 4: mantenimient y seguimient - Prblemas cn el seguimient de las vulnerabilidades - Garantía de la seguridad - Supervisión 23
DOMINAR LOS CRITERIOS COMUNES - 4 DÍAS Este módul incluye la frmación de 2 días «Seguridad en ls pryects e intrducción a ls criteris cmunes» Duración: 32 hras Perfil de ls participantes: jefes de pryect, cnsultres, arquitects, auditres, etc. El participante desea adquirir nuevs cncimients y ser capaz de utilizar ls criteris cmunes para mejrar el nivel de seguridad de ls prducts que desarrlla y que se utilizarán incrprarán en ls sistemas. Ls criteris cmunes frecen un enfque estructurad para tener en cuenta la seguridad en la cncepción, la realización, la instalación y el us de un prduct. Además, permiten definir en tdas las fases del desarrll las exigencias de cntenid, de presentación y de elements de prueba aplicables, así cm ls materiales especificads que se requieren a ls desarrlladres. Esta frmación sienta las bases de seguridad necesarias para cmprender ls rets y expresar las exigencias de seguridad en cuant a ls aspects funcinales y rganizativs, a la cnsideración de estas exigencias desde la fase de cncepción y durante las fases de realización, y a su validación. Ls bjetivs sn ls siguientes: - transmitir a ls jefes de pryect las cmpetencias necesarias para expresar las necesidades de seguridad y para realizar un seguimient de las exigencias; - saber utilizar ls criteris cmunes para especificar, desarrllar y validar las exigencias de seguridad; - cmprender ls distints esquemas de certificacines y su interrelación; - ser capaz de leer, debatir y diseñar un bjetiv de seguridad. Día 1: seguridad en ls pryects e intrducción a ls criteris cmunes - Cnsideración de las necesidades de seguridad - Implementación de la seguridad en la realización del pryect - Validación y puesta en funcinamient Día 2: presentación de ls criteris de evaluación del SSI - Especificación de la necesidad de seguridad y nción de bjetiv de seguridad - Prcess de garantía de cnfrmidad y nivel de cnfianza desead - Prcess de garantía de eficacia y nivel de resistencia previst - Impacts en el cicl de desarrll Día 3: esquemas de certificación - Evaluación del nivel de seguridad de un sistema de infrmación - Evaluación del nivel de seguridad de un prduct Día 4: bjetiv de seguridad - Cntenid de un bjetiv de seguridad - Cas práctic 24
FORMACIONES TÉCNICAS SOBRE SEGURIDAD 25
PRINCIPIOS BÁSICOS DE LA SEGURIDAD DE LA INFORMACIÓN* - 3 DÍAS Duración: 24 hras Perfil de ls participantes: respnsables de la seguridad de ls sistemas de infrmación, auditres, jefes de pryect, arquitects, etc. El participante desea adquirir las bases para cmprender ls riesgs y las prácticas recmendadas en tds ls dminis de la seguridad de la infrmación (ls 10 dminis del CBK CISSP/ls 14 dminis de la ISO 27002:2013). Para cada un de ls dminis, esta frmación prpne estudiar: - el cntext, la necesidad y ls rets de ls rganisms cn respect a ests dminis; - las vulnerabilidades, las amenazas y ls riesgs asciads; - las medidas y prácticas recmendadas de prtección. La frmación se basa, en parte, en el curs CISSP e incluye numerss ejempls y cass práctics persnalizads. Además, está adaptada especialmente a las persnas que desempeñan desean desempeñar funcines de respnsable de la seguridad de ls sistemas de infrmación, cnsultr, jefe de pryect de seguridad, etc. Día 1: Día 2: Día 3: - Principis básics de la seguridad de la infrmación - Gestión de riesgs: cnfidencialidad, integridad y dispnibilidad activs, amenazas, vulnerabilidades e impacts medidas de seguridad - Organización y plíticas de la seguridad de la infrmación - Seguridad de ls recurss humans: selección, funcines y respnsabilidades, separación de tareas, etc. - Cntrl de acces: autenticación, autrización, etc. - Seguridad de las redes y de las telecmunicacines: tecnlgías: OSI, TCP/IP, Ethernet, Wifi, etc. ataques: escucha, usurpación mediante ataque ARP, etc. medidas: prtección, crtafuegs, cifrad, etc. - Gestión y seguridad de la expltación: separación, cpia de seguridad, incidentes, etc. - Gestión y seguridad de tercers: cntrat, auditría, etc. - Criptgrafía: simétrica, asimétrica, hash, PKI, firma, etc. - Seguridad de las aplicacines: cicl de vida, exigencias, pruebas, etc. - Seguridad física y ambiental: access físics, incendis, electricidad, calefacción/aire acndicinad, etc. - Gestión del plan de cntinuidad del negci - Cnfrmidad, evaluación y auditría de la seguridad - Examen «Certified Infrmatin Security Fundatin» (1 hra) Este examen está dispnible en españl y en trs idimas. Ls candidats que n btengan la calificación suficiente tienen la psibilidad de repetirl en el plaz de ls 12 meses psterires sin gasts adicinales. 26
Duración: 24 hras AUDITORÍA DE SEGURIDAD DE LAS REDES Y LOS SISTEMAS - 3 DÍAS Perfil de ls participantes: cnsultres, auditres, jefes de pryect, arquitects, respnsables de la seguridad de ls sistemas de infrmación, etc. El participante desea adquirir cncimients glbales de las prácticas recmendadas de prtección de ls SI. Esta frmación frece a ls participantes tds ls cncepts y prácticas necesaris para valrar la cnveniencia de prteger las redes y ls sistemas. Ell se cnsigue a través de temas cm la cmprensión de las pruebas de intrusines lógicas y su impact en ls SI, la demstración y la cmprensión de ls ataques, inclus la práctica de la implementación de mecanisms de prtección para cmprender su funcinamient. Ls bjetivs sn ls siguientes: - cmprender durante las auditrías ls elements técnics de seguridad de red, del sistema y de ls elements relacinads; - saber detectar si ls mecanisms técnics de seguridad se adecuan a la tecnlgía más nvedsa; - ser capaz de analizar y validar/dcumentar las respuestas de las rganizacines auditadas durante la fase de revisión; - saber slicitar ls elements de las pruebas técnicas dcumentales; - saber utilizar un vcabulari adecuad. Día 1: puesta al día teórica - Papel y funcinamient de ls elements que cnfrman la seguridad - Máscaras de direccines NAT - Principales arquitecturas de prtección de redes - Breve descripción de ls aspects de seguridad relacinads cn ls prtcls y ls flujs - Prtección y frtalecimient - Cmprensión de las necesidades de seguridad y de las arquitecturas asciadas - Determinación de ls punts específics que deben analizarse durante una auditría de ls sistemas Día 2: práctica y pruebas de intrusines en las arquitecturas de las redes de seguridad - Arquitectura típica SOHO y PME - Arquitectura cmpleja - Arquitecturas intercnectadas - Demstración de las vulnerabilidades de las arquitecturas ante ls ataques a la seguridad - Ilustración a través de la cnfiguración de ls parámetrs reales de ls equips Día 3: prtección, frtalecimient y cnfiguración de parámetrs - Prtección y frtalecimient de ls sistemas - Nción de prces - Vulnerabilidades de ls sistemas y cnfiguración de parámetrs de seguridad de ls cmpnentes de ls sistemas - Demstración de las vulnerabilidades existentes y ataques más habituales de ls prducts de la cmunidad - Revisión de las ncines teóricas que planteen dudas - Ejempls de cass de auditría - Vigilancia de la seguridad 27
AUDITORÍA DE SEGURIDAD DE LAS REDES Y LOS SISTEMAS (NIVEL AVANZADO) - 4 DÍAS Este módul incluye la frmación de 3 días «Auditría de seguridad de las redes y ls sistemas (nivel básic)» Duración: 32 hras Perfil de ls participantes: auditres, cnsultres, respnsables de la seguridad de ls sistemas de infrmación, jefes de pryect, etc. El participante desea prfundizar ls cncimients que psee sbre las prácticas recmendadas de prtección de ls SI. Esta frmación frece a ls participantes tds ls cncepts y prácticas necesaris, así cm las técnicas básicas que les prepararán para realizar una auditría cn las máximas garantías. Ls bjetivs sn ls siguientes: - cnslidar ls cncimients técnics adquirids en la frmación anterir «Auditría de seguridad de las redes y ls sistemas (nivel básic)» cmprband que se haya cmprendid la infrmación relacinada cn las arquitecturas de seguridad; - cncer las nuevas evlucines de las infraestructuras de seguridad que deben tenerse en cuenta en las auditrías; - prfundizar en ls cncimients de la cnfiguración de parámetrs de seguridad; - saber slicitar ls elements de las pruebas técnicas dcumentales. Día 1: revisión de ls cncimients adquirids y puesta al día de ls ataques y las nuevas tecnlgías - Revisión de ls dispsitivs de seguridad que deben cncerse y que se han estudiad en el curs anterir - Actualidad de la seguridad: alertas e incidentes que deben tenerse en cuenta. Análisis de las nvedades para ilustrar ls cass que deben cnsiderarse en las auditrías. Breve descripción de ls aspects de seguridad relacinads cn ls prtcls y ls flujs. - Análisis tecnlógic de ls nuevs dispsitivs que aparecerán en las auditrías Día 2: cnfiguración de parámetrs de ls equips de crtafuegs y de ls crtafuegs persnales que debe auditarse - Crtafuegs persnales (filtrad y sensr de detección de intrusines) - Cnfiguración de parámetrs estándar de ls crtafuegs: aplicación en el crtafuegs persnal Windws XP y Windws 7 y ruter JUNIPER - Práctica de la cnfiguración de parámetrs adecuada Día 3: cnfiguración de seguridad de ls sistemas Windws - Cnfiguración de parámetrs de seguridad de ls cntrladres de dmini Windws: elements que deben buscarse, pruebas que deben slicitarse y distints escenaris - Gestión de las cuentas y de ls privilegis - Plítica de seguridad lcal en ls servidres y ls rdenadres - Plítica de registr Día 4: virtualización y trabaj en clabración - Virtualización: mecanisms, herramientas dispnibles y prblemas de seguridad relacinads. - Prtales de clabración: slucines, prblemas de seguridad derivads de un trabaj en clabración y cmpartid, separación de funcines y prtección de dats. - Práctica basada en Micrsft SharePint 28
Duración: 8 hras REALIZAR AUDITORÍAS DE CONFIGURACIÓN/ARQUITECTURA - 1 DÍA Perfil de ls participantes: auditres, cnsultres, respnsables de la seguridad de ls sistemas de infrmación, etc. El participante desea adquirir refrzar ls cncimients y las aptitudes necesaris para realizar auditrías de cnfiguración y de arquitectura. La intención de esta frmación es enseñar las gestines y metdlgías que se deben aplicar, las prácticas recmendadas, ls peligrs que se deben evitar y ls marcs de referencia que se deben utilizar según ls cmpnentes pr auditar. Asimism, la frmación incluye la puesta en práctica de ests elements cn ejempls cncrets y cass práctics. Ls bjetivs sn ls siguientes: - ser capaz de rganizar y dirigir auditrías de cnfiguración, tant del lad del auditr cm del lad del auditad; - ser capaz de realizar auditrías de cnfiguración de manera autónma. Esta frmación se basa en nuestras experiencias en materia de auditría de cnfiguración/arquitectura y la imparte un frmadr especializad en realizar este tip de auditrías. Módul 1: intrducción - Principis y bjetivs de las auditrías de cnfiguración/arquitectura - Ventajas/límites Módul 2: preparación/marc - Perímetr, cmpnentes, bjetivs de la auditría - Requisits previs/elements que se deben preparar Cuentas de auditría: riesgs, prácticas recmendadas, etc. Entrn de auditría (prducción, pruebas, etc.) Módul 3: realización - Auditrías de arquitectura Realización de entrevistas/análisis dcumental Técnicas de auditría cmplementarias: cartgrafía, escucha/captura, búsqueda de infrmación - Auditrías de cnfiguración Exigencias/requisits previs/medidas de cnservación: Cnservación de la integridad de la cnfiguración del cmpnente (sin instalación), seguimient/supervisión de las accines realizadas, cpia de seguridad Técnicas de auditría: cnexión cn el entrn, infrme de cnfiguración, herramientas/plantilla (XCCDF) Marcs de referencia/punts de cntrl principales: Genérics: cntrl de acces, cnfiguración de red, etc. Pr tip de cmpnentes: - Cnservación/almacenamient de trazas y resultads de la auditría Módul 4: restitución - Análisis y cnslidación de ls resultads de la auditría - Redacción del infrme Resumen Resultads detallads - Restitución puests de trabaj/smartphne/tableta Servidres de SO: Linux, Windws, Unix Bases de dats: Oracle, SQL Server Servidr web: IIS, Apache Cmpnentes de red y seguridad: ruters, interruptres, antivirus, etc. 29
Duración: 16 hras REALIZAR PRUEBAS DE INTRUSIÓN - 2 DÍAS Perfil de ls participantes: auditres, cnsultres, respnsables de la seguridad de ls sistemas de infrmación, etc. El participante desea adquirir refrzar las aptitudes y ls cncimients necesaris para realizar pruebas de intrusión. La intención de esta frmación es enseñar las gestines y metdlgías que se deben aplicar, las prácticas recmendadas, ls peligrs que se deben evitar y ls marcs de referencia que se deben utilizar. Asimism, la frmación incluye la puesta en práctica de ests elements cn ejempls cncrets y cass práctics. Ls bjetivs sn ls siguientes: - en el cas de ls auditres y ls auditads, rganizar y dirigir pruebas de intrusión; - en el cas de ls auditads, cmprender e interpretar ls resultads de las pruebas de intrusión; - en el cas de ls auditres, realizar de manera autónma pruebas de intrusión "simples" pruebas de intrusión de cmplejidad media cn un marc adaptad. Esta frmación se basa en nuestras experiencias en materia de pruebas de intrusión y la imparte un frmadr especializad en realizar este tip de tarea. Módul 1: intrducción - Definición, pruebas de intrusión internas/externas - Ventajas/límites - Aspects jurídics, administrativs, humans, etc. Leyes aplicables Ética, dentlgía Autrización de realización - Preparación del entrn: SO/arranque dual, máquina virtual, distribución de Pentest pruebas de penetración (Kali, etc.) Herramientas, marcs de referencia, dcumentación Módul 2: investigación y explración - Escucha y btención de infrmación (ejempl de herramienta: Wireshark) - Búsqueda de infrmación: DNS, WHOIS, Ggle, etc. (ejempl de herramienta: Spiderft) - Escane y tma de huellas Pruebas externas/internas Herramientas: NMAP, ARPscan, netdiscver, etc. Interpretación y us de ls resultads Evasión/eludir las medidas de detección/blque: explracines pasivas, fragmentación, etc. Módul 3: detección y expltación de vulnerabilidades - Pruebas internas: bjetivs, escenaris (intrus, "emplead en prácticas malintencinad", etc.) Explración de vulnerabilidades (ejempl de herramienta: OpenVAS) Ataques de red (funcinamient, herramientas, etc.): envenenamient ARP, suplantación de DHCP/DNS, etc. Escalada de ls access - Pruebas externas Aplicacines web Marcs de referencia, herramientas: OWASP, CVE, prxy http, escáner web, metasplit Pruebas/vulnerabilidades principales: Directry Traversal, XSS, inyección SQL, fall include/uplad, DS y DDS Otrs servicis: VPN IPSEC/SSL, mensajería (SMTP, POP, etc.) 30
Duración: 16 hras SEGURIDAD DE LA NUBE Y VIRTUALIZACIÓN - 2 DÍAS Perfil de ls participantes: respnsables de la seguridad de ls sistemas de infrmación, cnsultres, jefes de pryect, administradres, etc. El participante desea adquirir ls cncimients necesaris para cmprender, en el plan de la seguridad de la infrmación, las tecnlgías de virtualización y de la nube, ya sea para una implementación en su empresa para asesrar a tras rganizacines. Esta frmación trata ls aspects técnics, rganizativs y reglamentaris que permiten tener una visión general de ls rets, ls riesgs y las prácticas recmendadas de seguridad en relación cn estas tecnlgías y ls pryects asciads. Ls bjetivs sn, especialmente, ls siguientes: - dispner de las cmpetencias y aptitudes necesarias para intervenir en pryects de implementación de tecnlgías de «virtualización» en la «nube», en ls diferentes aspects relacinads cn la seguridad de la infrmación en tdas las fases del cicl de vida del pryect (identificación de ls riesgs, definición de las exigencias, implementación y pruebas de las medidas de seguridad, etc.); - pder dialgar «cn cncimient de causa» cn ls distints actres de estas tecnlgías (editres, prveedres de servicis, especialistas en seguridad, etc.). Módul 1: seguridad y virtualización - Definición, principis y mds de funcinamient - Cass de us, rets, beneficis e impacts - Actres principales del mercad y diferencias fundamentales - Cntribucines de la virtualización en términs de seguridad de la infrmación - Amenazas y riesgs de seguridad relacinads cn la virtualización Cnfidencialidad e integridad de ls dats Access n autrizads - Prácticas recmendadas y medidas de prtección Aislamient de ls recurss Cmunicacines e interfaces Derechs y funcines Módul 2: seguridad y la nube - Definición, principis y mds de funcinamient - Cass de us, rets, beneficis e impacts - Actres principales del mercad y diferencias fundamentales - Aprtacines de la nube en términs de seguridad de la infrmación - Amenazas y riesgs de seguridad relacinads cn la nube Aspects jurídics: «sberanía», cnfidencialidad, etc. Apertura externa, dmini del nivel de seguridad - Prácticas recmendadas y medidas de prtección Exigencias básicas: lcalización y «nivel de cnfianza» Aspects cntractuales y rganizativs: SLA de «seguridad», negciación de las cláusulas, etc. Aspects técnics: Cifrad, gestión del acces, etc. Fase de expltación: gestión de incidentes de seguridad, etc. 31
SOLUCIÓN RSA ENVISION - 4 DÍAS Duración: 32 hras Perfil de ls participantes: analistas y administradres de sistemas y redes La gestión eficaz de ls events de seguridad puede simplificarse enrmemente cn la slución RSA envisin. Esta frmación permite aprender a implementar y a utilizar la slución de frma eficaz y según las prácticas recmendadas. Ls bjetivs sn: - aprender cóm recpilar la infrmación y ls registrs de distintas fuentes, y a analizar su cntenid; - utilizar, mdificar y crear infrmes para visualizar la infrmación de frma cncreta; - analizar y crrelacinar esta infrmación para btener las alertas en tiemp real y gestinar ls incidentes. Día 1: - Instalación e implementación inicial - Arquitectura - Integración y gestión de las fuentes de registr - Análisis básic Día 2: - Intrducción a ls infrmes - Gestión de ls usuaris y watchlists - Infrmes avanzads (us de variables y watchlists) - Gestión de infrmes (prgramación, cpia de seguridad, etc.) Día 3: - Intrducción a Event Explrer - Intrducción a las alertas Día 4: - Recpilación de infrmación de ls sistemas de vulnerabilidades - Alertas avanzadas - Crrelación cn la gestión de vulnerabilidades - Us del siti de asistencia, gestión de las revisines y ayuda 32
SEGURIDAD DE LAS APLICACIONES 33
Duración: 24 hras SEGURIDAD DE LAS APLICACIONES JAVA/JEE - 3 DÍAS Perfil de ls participantes: auditres, desarrlladres, jefes de pryect, analistas de seguridad, cnsultres de calidad/métd, etc. El participante desea adquirir las cmpetencias que permiten entender en prfundidad la seguridad de las aplicacines java/jee, ya sea cm desarrlladr, jefe de pryect cnsultr de calidad/métd. Pr un lad, la intención de esta frmación es presentar las vulnerabilidades JAVA más habituales en las aplicacines (web y tras), especialmente las que se describen en el Tp 10 OWASP, y analizar las amenazas y ls riesgs asciads. Pr tr lad, la frmación pretende describir ls principis para desarrllar aplicacines seguras, así cm presentar y pner en práctica las distintas técnicas de prtección específicas para las aplicacines JAVA. Ls bjetivs sn: - cncer y cmprender las diferentes vulnerabilidades de las aplicacines JAVA, sus psibles impacts y ls riesgs asciads; - ser capaz de definir y aplicar las mejres técnicas y prácticas de seguridad de las aplicacines JAVA, además de acnsejar y cmprbar su crrecta implementación. Esta frmación cnsiste en una presentación detallada de ls distints cncepts de desarrll prtegid y ejercicis práctics aplicads a ejempls cncrets. Para realizar las tareas prácticas, es necesari dispner de un rdenadr. Día 1: principis y mecanisms - Principis de la prgramación prtegida - Sistemas de autenticación - Autrizacines y cntrles de acces - Gestión de las sesines Día 2: prtección de la manipulación de ls dats y de ls intercambis de infrmación - Validación de dats - Inyeccines en ls intérpretes (SQL, LDAP, XML, XSS y CSRF) - Ataques de denegación de servici - Seguridad de ls servicis web - Seguridad de ls marcs de Java - Seguridad de la JVM Día 3: prgramación prtegida - Gestión de errres y registr - Manipulación de archivs y de URL - Criptgrafía - Implementación - Herramientas y cadena de integración - Métds y prcess de desarrll 34
Duración: 24 hras SEGURIDAD DE LAS APLICACIONES.NET - 3 DÍAS Perfil de ls participantes: auditres, desarrlladres, jefes de pryect, analistas de seguridad, cnsultres de calidad/métd, etc. El participante desea adquirir las cmpetencias que permiten entender en prfundidad la seguridad de las aplicacines.net, ya sea cm desarrlladr, jefe de pryect cnsultr de calidad/métd. Pr un lad, la intención de esta frmación es presentar las vulnerabilidades.net más habituales en las aplicacines (web y tras), especialmente las que se describen en el Tp 10 OWASP, y analizar las amenazas y ls riesgs asciads. Pr tr lad, la frmación pretende describir ls principis para desarrllar aplicacines seguras, así cm presentar y pner en práctica las distintas técnicas de prtección específicas para las aplicacines.net. Ls bjetivs sn, especialmente, ls siguientes: - cncer y cmprender las diferentes vulnerabilidades de las aplicacines.net, sus psibles impacts y ls riesgs asciads; - ser capaz de definir y aplicar las mejres técnicas y prácticas de seguridad de las aplicacines.net, además de acnsejar y cmprbar su crrecta implementación. Esta frmación cnsiste en una presentación detallada de ls distints cncepts de desarrll prtegid y ejercicis práctics aplicads a ejempls cncrets. Para realizar las tareas prácticas, es necesari dispner de un rdenadr. Día 1: principis y mecanisms - Principis de la prgramación prtegida - Sistemas de autenticación - Autrizacines y cntrles de acces - Gestión de las sesines Día 2: prtección de la manipulación de ls dats y de ls intercambis de infrmación - Validación de dats - Inyeccines en ls intérpretes (SQL, LDAP, XML, XSS y CSRF) - Ataques de denegación de servici - Seguridad de ls servicis web - Funcinamient del CLR Día 3: prgramación prtegida - Gestión de errres y registr - Manipulación de archivs y de URL - Criptgrafía - Implementación - Herramientas y cadena de integración - Métds y prcess de desarrll 35
SEGURIDAD DE LAS APLICACIONES WEB (PHP, JAVASCRIPT, CMS, MYSQL ) - 3 DÍAS Duración: 24 hras Perfil de ls participantes: auditres, desarrlladres, jefes de pryect, analistas de seguridad, cnsultres de calidad/métd, etc. El participante desea adquirir las cmpetencias que permiten entender en prfundidad la seguridad de las aplicacines web, ya sea cm desarrlladr, jefe de pryect cnsultr de calidad/métd. Pr un lad, la intención de esta frmación es presentar las vulnerabilidades más habituales en las aplicacines web, especialmente las que se describen en el Tp 10 OWASP, y analizar las amenazas y ls riesgs asciads. Pr tr lad, la frmación pretende describir ls principis para desarrllar aplicacines seguras, así cm presentar y pner en práctica las distintas técnicas de prtección específicas para las aplicacines web. Ls bjetivs sn, especialmente, ls siguientes: - cncer y cmprender las diferentes vulnerabilidades de las aplicacines web, sus psibles impacts y ls riesgs asciads; - ser capaz de definir y aplicar las mejres técnicas y prácticas de prtección de las aplicacines web, además de acnsejar y cmprbar su crrecta implementación. Esta frmación cnsiste en una presentación detallada de ls distints cncepts de desarrll prtegid y ejercicis práctics aplicads a ejempls cncrets. Para realizar las tareas prácticas, es necesari dispner de un rdenadr. Día 1: principis y mecanisms - Prtcl HTTP - Arquitectura de una aplicación web - Principis de desarrll prtegid - Autenticación, autrización y cntrl de acces - Gestión de las sesines Día 2: prtección de ls dats y de ls intercambis - Validación de dats - Inyeccines en ls intérpretes (SQL, LDAP, XML, XSS y CSRF) - Tecnlgías AJAX - Seguridad de ls servicis web - Prtcl SSL - Criptgrafía Día 3: gestión de la seguridad y cnfiguración de aplicacines - Gestión de errres y registr - Implementación, herramientas y cadena de integración - Métds y prcess de desarrll - Cnfiguración de servidres web - Seguridad de ls CMS - Prtección de las bases de dats en un entrn web 36