JUSTIFICACIÓN / RESUMEN
Hoy en día la seguridad informática es un tema muy importante y sensible, que abarca un gran conjunto de aspectos en continuo cambio y constante evolución, que exige que
JUSTIFICACIÓN / RESUMEN
Hoy en día la seguridad informática es un tema muy importante y sensible, que abarca un gran conjunto de aspectos en continuo cambio y constante evolución, que exige que los profesionales informáticos posean conocimientos totalmente actualizados. Así, la Norma UNE-ISO/IEC 27001: 2005 está elaborada para emplearse en cualquier tipo de organización. La adecuada y correcta implementación de un SGSI permite a las empresas asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales. El presente máster pretende formar al alumnado a nivel teórico-práctico en el desempeño de todas estas funciones que, como profesionales de la implantación, gestión y auditoría de sistemas de seguridad de información, deberán poseer
PARA QUÉ TE PREPARA
Para gestionar el departamento de calidad de una empresa, así como para conocer los elementos que intervienen en el proceso de certificación en el área de la Seguridad de la Información, además llevar a cabo el proceso de Auditoría de sistemas de seguridad informáticos. De igual modo el alumno podrá gestionar las incidencias de seguridad informática y los servicios del sistema informático, de seguros de acceso y transmisión de datos.
A QUIÉN VA DIRIGIDO
Profesionales que manejan información de cualquier nivel y tipo y que desean conocer, aplicar, implantar y llevar a cabo el proceso de auditoría de sistemas de seguridad de información ISO 27001 e ISO 27002 de una forma sencilla y práctica, o cualquier persona interesada en mejorar su formación en este campo.
PARTE 1. GESTIÓN DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001
MÓDULO 1. LA SEGURIDAD DE LA INFORMACIÓN
UNIDAD DIDÁCTICA 1. NATURALEZA Y DESARROLLO DE LA SEGURIDAD DE LA INFORMACIÓN
La sociedad de la información
¿Qué es la seguridad de la información?
Importancia de la seguridad de la información
Principios básicos de seguridad de la información: confidencialidad, integridad y disponibilidad
Descripción de los riesgos de la seguridad
Selección de controles
Factores de éxito en la seguridad de la información
UNIDAD DIDÁCTICA 2. NORMATIVA ESENCIAL SOBRE SEGURIDAD DE LA INFORMACIÓN
Marco legal y jurídico de la seguridad de la información
Normativa comunitaria sobre seguridad de la información
Normas sobre gestión de la seguridad de la información: Familia de Normas ISO 27000
Legislación española sobre seguridad de la información
UNIDAD DIDÁCTICA 3. BUENAS PRÁCTICAS EN SEGURIDAD DE LA INFORMACIÓN: NORMA ISO/IEC 27002
Aproximación a la norma ISO/IEC 27002
Alcance de la Norma ISO/IEC 27002
Estructura de la Norma ISO/IEC 27002
Evaluación y tratamiento de los riesgos de seguridad
UNIDAD DIDÁCTICA 4. POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE ACTIVOS
Política de seguridad de la información
Organización de la seguridad de la información
Organización interna de la seguridad de la información
Grupos o personas externas: el control de acceso a terceros
Clasificación y control de activos de seguridad de la información
Responsabilidad por los activos de seguridad de la información
Clasificación de la información
UNIDAD DIDÁCTICA 5. SEGURIDAD FÍSICA, AMBIENTAL Y DE LOS RECURSOS HUMANOS
Seguridad de la información ligada a los recursos humanos
Medidas de seguridad de la información antes del empleo
Medidas de seguridad de la información durante el empleo
Seguridad de la información en la finalización de la relación laboral o cambio de puesto de trabajo
Seguridad de la información ligada a la seguridad física y ambiental o del entorno
Las áreas seguras
Los equipos de seguridad
UNIDAD DIDÁCTICA 6. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES
Aproximación a la gestión de las comunicaciones y operaciones
Procedimientos y responsabilidades operacionales
Gestión de la prestación de servicios de terceras partes
Planificación y aceptación del sistema
Protección contra códigos maliciosos y móviles
Copias de seguridad de la información
Gestión de la seguridad de la red
Gestión de medios
El intercambio de información
Los servicios de comercio electrónico
Supervisión para la detección de actividades no autorizadas
UNIDAD DIDÁCTICA 7. EL CONTROL DE ACCESOS A LA INFORMACIÓN
El control de accesos: generalidades, alcance y objetivos
Requisitos de negocio para el control de accesos
Gestión de acceso de usuario
Responsabilidades del usuario
Control de acceso a la red
Control de acceso al sistema operativo
Control de acceso a las aplicaciones y a la información
Informática móvil y teletrabajo
UNIDAD DIDÁCTICA 8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
Objetivos del desarrollo y mantenimiento de sistemas de información
Requisitos de seguridad de los sistemas de información
Tratamiento correcto de la información en las aplicaciones
Controles criptográficos
Seguridad de los archivos del sistema
Seguridad de los procesos de desarrollo y soporte
Gestión de la vulnerabilidad técnica
UNIDAD DIDÁCTICA 9. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Y DE LA CONTINUIDAD DEL NEGOCIO
La gestión de incidentes en la seguridad de la información
Notificación de eventos y puntos débiles en la seguridad de la información
Gestión de incidentes y mejoras en la seguridad de la información
Gestión de la continuidad del negocio
Aspectos de la seguridad de la información en la gestión de la continuidad del negocio
UNIDAD DIDÁCTICA 10. CUMPLIMIENTO DE LAS PREVISIONES LEGALES Y TÉCNICAS
Cumplimiento de los requisitos legales
Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico
Consideraciones de la auditoría de los sistemas de información
MÓDULO 2. EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
UNIDAD DIDÁCTICA 11. LA NORMA UNE-EN-ISO/IEC 27001:2005
Objeto y ámbito de aplicación
Relación con la Norma ISO/IEC 1799:2005
Definiciones y términos de referencia
Beneficios aportados por un sistema de seguridad de la información
Introducción a los sistemas de gestión de seguridad de la información
UNIDAD DIDÁCTICA 12. LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
La gestión de la seguridad de la información
Creación y gestión de sistemas de seguridad de la información
Requisitos de la documentación
UNIDAD DIDÁCTICA 13. RESPONSABILIDAD DE LA DIRECCIÓN
Compromiso de la dirección
Gestión de los recursos
Establecimiento y planificación de una política de gestión de la seguridad
UNIDAD DIDÁCTICA 14. AUDITORÍA DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN POR LA DIRECCIÓN
El porqué de la auditoría
La auditoría interna
El proceso de certificación
UNIDAD DIDÁCTICA 15. REVISIÓN POR LA DIRECCIÓN Y MEJORA DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN
Revisión del sistema de gestión de la información por la dirección
Mejora del sistema de gestión de la seguridad de la información
PARTE 2. SEGURIDAD EN EQUIPOS INFORMÁTICOS
UNIDAD DIDÁCTICA 1. CRITERIOS GENERALES COMÚNMENTE ACEPTADOS SOBRE SEGURIDAD DE LOS EQUIPOS INFORMÁTICOS
Modelo de seguridad orientada a la gestión del riesgo relacionado con el uso de los sistemas de información
Relación de las amenazas más frecuentes, los riesgos que implican y las salvaguardas más frecuentes
Salvaguardas y tecnologías de seguridad más habituales
La gestión de la seguridad informática como complemento a salvaguardas y medidas tecnológicas
UNIDAD DIDÁCTICA 2. ANÁLISIS DE IMPACTO DE NEGOCIO
Identificación de procesos de negocio soportados por sistemas de información
Valoración de los requerimientos de confidencialidad, integridad y disponibilidad de los procesos de negocio
Determinación de los sistemas de información que soportan los procesos de negocio y sus requerimientos de seguridad
UNIDAD DIDÁCTICA 3. GESTIÓN DE RIESGOS
Aplicación del proceso de gestión de riesgos y exposición de las alternativas más frecuentes
Metodologías comúnmente aceptadas de identificación y análisis de riesgos
Aplicación de controles y medidas de salvaguarda para obtener una reducción del riesgo
UNIDAD DIDÁCTICA 4. PLAN DE IMPLANTACIÓN DE SEGURIDAD
Determinación del nivel de seguridad existente de los sistemas frente a la necesaria en base a los requerimientos de seguridad de los procesos de negocio.
Selección de medidas de salvaguarda para cubrir los requerimientos de seguridad de los sistemas de información
Guía para la elaboración del plan de implantación de las salvaguardas seleccionadas
UNIDAD DIDÁCTICA 5. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Principios generales de protección de datos de carácter personal
Infracciones y sanciones contempladas en la legislación vigente en materia de protección de datos de carácter personal
Identificación y registro de los ficheros con datos de carácter personal utilizados por la organización
Elaboración del documento de seguridad requerido por la legislación vigente en materia de protección de datos de carácter personal
UNIDAD DIDÁCTICA 6. SEGURIDAD FÍSICA E INDUSTRIAL DE LOS SISTEMAS. SEGURIDAD LÓGICA DE SISTEMAS
Determinación de los perímetros de seguridad física
Sistemas de control de acceso físico más frecuentes a las instalaciones de la organización y a las áreas en las que estén ubicados los sistemas informáticos
Criterios de seguridad para el emplazamiento físico de los sistemas informáticos
Exposición de elementos más frecuentes para garantizar la calidad y continuidad del suministro eléctrico a los sistemas informáticos
Requerimientos de climatización y protección contra incendios aplicables a los sistemas informáticos
Elaboración de la normativa de seguridad física e industrial para la organización
Sistemas de ficheros más frecuentemente utilizados
Establecimiento del control de accesos de los sistemas informáticos a la red de comunicaciones de la organización
Configuración de políticas y directivas del directorio de usuarios
Establecimiento de las listas de control de acceso (ACLs) a ficheros
Gestión de altas, bajas y modificaciones de usuarios y los privilegios que tienen asignados
Requerimientos de seguridad relacionados con el control de acceso de los usuarios al sistema operativo
Sistemas de autenticación de usuarios débiles, fuertes y biométricos
Relación de los registros de auditoría del sistema operativo necesarios para monitorizar y supervisar el control de accesos
Elaboración de la normativa de control de accesos a los sistemas informáticos
UNIDAD DIDÁCTICA 7. IDENTIFICACIÓN DE SERVICIOS
Identificación de los protocolos, servicios y puertos utilizados por los sistemas de información
Utilización de herramientas de análisis de puertos y servicios abiertos para determinar aquellos que no son necesarios
Utilización de herramientas de análisis de tráfico de comunicaciones para determinar el uso real que hacen los sistemas de información de los distintos protocolos, servicios y puertos
UNIDAD DIDÁCTICA 8. ROBUSTECIMIENTO DE SISTEMAS
Modificación de los usuarios y contraseñas por defecto de los distintos sistemas de información
Configuración de las directivas de gestión de contraseñas y privilegios en el directorio de usuarios
Eliminación y cierre de las herramientas, utilidades, servicios y puertos prescindibles
Configuración de los sistemas de información para que utilicen protocolos seguros donde sea posible
Actualización de parches de seguridad de los sistemas informáticos
Protección de los sistemas de información frente a código malicioso
Gestión segura de comunicaciones, carpetas compartidas, impresoras y otros recursos compartidos del sistema
Monitorización de la seguridad y el uso adecuado de los sistemas de información
UNIDAD DIDÁCTICA 9. IMPLANTACIÓN Y CONFIGURACIÓN DE CORTAFUEGOS
Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad
Criterios de seguridad para la segregación de redes en el cortafuegos mediante Zonas Desmilitarizadas / DMZ
Utilización de Redes Privadas Virtuales / VPN para establecer canales seguros de comunicaciones
Definición de reglas de corte en los cortafuegos
Relación de los registros de auditoría del cortafuegos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad
Establecimiento de la monitorización y pruebas del cortafuegos
PARTE 3. AUDITORÍA DE SEGURIDAD INFORMÁTICA
UNIDAD DIDÁCTICA 1. CRITERIOS GENERALES COMÚNMENTE ACEPTADOS SOBRE AUDITORÍA INFORMÁTICA
Código deontológico de la función de auditoría
Relación de los distintos tipos de auditoría en el marco de los sistemas de información
Criterios a seguir para la composición del equipo auditor
Tipos de pruebas a realizar en el marco de la auditoría, pruebas sustantivas y pruebas de cumplimiento
Tipos de muestreo a aplicar durante el proceso de auditoría
Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools)
Explicación de los requerimientos que deben cumplir los hallazgos de auditoría
Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades
Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas
UNIDAD DIDÁCTICA 2. APLICACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Principios generales de protección de datos de carácter personal
Normativa europea recogida en la directiva 95/46/CE
Normativa nacional recogida en el código penal, Ley Orgánica para el Tratamiento Automatizado de Datos (LORTAD), Ley Orgánica de Protección de Datos (LOPD) y Reglamento de Desarrollo de La Ley Orgánica de Protección de Datos (RD 1720/2007)
Identificación y registro de los ficheros con datos de carácter personal utilizados por la organización
Explicación de las medidas de seguridad para la protección de los datos de carácter personal recogidas en el Real Decreto 1720/2007
Guía para la realización de la auditoría bienal obligatoria de ley orgánica 15-1999 de protección de datos de carácter personal
UNIDAD DIDÁCTICA 3. ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN
Introducción al análisis de riesgos
Principales tipos de vulnerabilidades, fallos de programa, programas maliciosos y su actualización permanente, así como criterios de programación segura
Particularidades de los distintos tipos de código malicioso
Principales elementos del análisis de riesgos y sus modelos de relaciones
Metodologías cualitativas y cuantitativas de análisis de riesgos
Identificación de los activos involucrados en el análisis de riesgos y su val
