Curso gratis Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-27002

Curso Gratis Online para Trabajadores y Empresas

Si eres trabajador en Régimen General, disfruta del curso gratis online a través de la formación bonificada para empresas.

Nuestros cursos gratis están disponibles en modalidad online o a distancia, consúltanos para informarse de la modalidad del curso gratis para trabajadores de su interés.

OBJETIVOS DEL CURSO GRATIS MÁSTER EN IMPLANTACIÓN, GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE INFORMACIÓN ISO 27001-27002

- Dotar a los alumnos de los lineamientos básicos para la aplicación de la Norma ISO/IEC 27001 dentro de su organización.
- Ofrecer las pautas para implementar un sistema de gestión de seguridad de información basado en el estándar ISO/IEC 27001 siguiendo los controles recomendados por el estándar ISO/IEC 27002 en sus respectivas cláusulas.
- Exponer y explicar una serie de buenas prácticas para conseguir la seguridad de la información.
- Gestionar servicios en el sistema informático.
- Diseñar e Implementar sistemas seguros de acceso y transmisión de datos.
- Detectar y responder ante incidentes de seguridad informática.
- Auditar redes de comunicación y sistemas informáticos.
- Asegurar equipos informáticos.

CONTENIDO DEL CURSO GRATIS MÁSTER EN IMPLANTACIÓN, GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE INFORMACIÓN ISO 27001-27002

PARTE 1. GESTIÓN DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

MÓDULO 1. LA SEGURIDAD DE LA INFORMACIÓN MASTER IMPLANTACIÓN GESTIÓN AUDITORÍA SEGURIDAD

UNIDAD DIDÁCTICA 1. NATURALEZA Y DESARROLLO DE LA SEGURIDAD DE LA INFORMACIÓN

1. La evolución de la sociedad de la información
2. Definición de seguridad de la información
3. Relevancia de la seguridad de la información en la actualidad
4. Conceptos fundamentales de seguridad: confidencialidad, integridad y disponibilidad
5. Identificación de los riesgos asociados a la seguridad
6. Criterios para seleccionar controles de seguridad
7. Factores clave para el éxito en la gestión de la seguridad de la información

UNIDAD DIDÁCTICA 2. NORMATIVA ESENCIAL SOBRE SEGURIDAD DE LA INFORMACIÓN

1. Marco legal y regulatorio en torno a la seguridad de la información
2. Normativa comunitaria relacionada con la seguridad de la información
3. Normas de gestión de la seguridad de la información: Familia de Normas ISO 27000
4. Legislación vigente en España sobre seguridad de la información

UNIDAD DIDÁCTICA 3. BUENAS PRÁCTICAS EN SEGURIDAD DE LA INFORMACIÓN: NORMA ISO/IEC 27002

1. Introducción a la norma ISO/IEC 27002
2. Alcance de la Norma ISO/IEC 27002
3. Componentes de la estructura de la Norma ISO/IEC 27002
4. Evaluación y gestión de riesgos en seguridad

UNIDAD DIDÁCTICA 4. POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE ACTIVOS

1. Desarrollo de una política de seguridad de la información
2. Organización y estructura de la seguridad de la información
3. Gestión interna de la seguridad de la información
4. Control de acceso a terceros: grupos o personas externas
5. Clasificación y manejo de activos de seguridad de la información
6. Responsabilidades en la gestión de activos de seguridad
7. Criterios para clasificar la información

UNIDAD DIDÁCTICA 5. SEGURIDAD FÍSICA, AMBIENTAL Y DE LOS RECURSOS HUMANOS

1. Relación entre seguridad de la información y recursos humanos
2. Medidas de seguridad antes de la contratación
3. Medidas de seguridad durante el empleo
4. Seguridad al finalizar la relación laboral o al cambiar de puesto
5. Seguridad física y ambiental en relación con la información
6. Definición de áreas seguras
7. Equipos y tecnología de seguridad

UNIDAD DIDÁCTICA 6. GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES

1. Introducción a la gestión de comunicaciones y operaciones
2. Responsabilidades y procedimientos operativos
3. Gestión de servicios de terceros
4. Planificación y aceptación del sistema
5. Protección contra software malicioso
6. Copia de seguridad de la información
7. Seguridad de la red
8. Gestión de medios de comunicación
9. Intercambio de información segura
10. Servicios de comercio electrónico
11. Monitoreo para detectar actividades no autorizadas

UNIDAD DIDÁCTICA 7. CONTROL DE ACCESOS A LA INFORMACIÓN

1. Fundamentos del control de accesos: objetivos y alcance
2. Requisitos empresariales para el control de accesos
3. Gestión del acceso de usuarios
4. Responsabilidades de los usuarios
5. Control de acceso a la red
6. Control de acceso al sistema operativo
7. Control de acceso a aplicaciones y datos
8. Consideraciones sobre trabajo remoto y dispositivos móviles

UNIDAD DIDÁCTICA 8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN

1. Objetivos del desarrollo y mantenimiento de sistemas de información
2. Requisitos de seguridad en sistemas de información
3. Tratamiento de la información en aplicaciones
4. Controles criptográficos necesarios
5. Seguridad de archivos del sistema
6. Seguridad en procesos de desarrollo y soporte
7. Gestión de vulnerabilidades técnicas

UNIDAD DIDÁCTICA 9. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD DEL NEGOCIO

1. Gestión de incidentes de seguridad de la información
2. Notificación de eventos y vulnerabilidades
3. Mejora continua en la gestión de incidentes
4. Gestión de la continuidad del negocio
5. Aspectos de seguridad en la continuidad del negocio

UNIDAD DIDÁCTICA 10. CUMPLIMIENTO DE NORMATIVAS LEGALES Y TÉCNICAS

1. Cumplimiento de requisitos legales
2. Ajuste a políticas y estándares de seguridad
3. Consideraciones para la auditoría de sistemas de información

MÓDULO 2. EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MASTER IMPLANTACIÓN GESTIÓN AUDITORÍA SEGURIDAD

UNIDAD DIDÁCTICA 11. LA NORMA UNE-EN-ISO/IEC 27001:2005

1. Objetivo y alcance de la norma
2. Relación con la Norma ISO/IEC 1799:2005
3. Definiciones y términos clave
4. Beneficios de implementar un sistema de seguridad de la información
5. Introducción a los sistemas de gestión de seguridad

UNIDAD DIDÁCTICA 12. LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

1. Gestión de la seguridad de la información
2. Creación y gestión de sistemas de seguridad
3. Requisitos documentales para la seguridad

UNIDAD DIDÁCTICA 13. RESPONSABILIDAD DE LA DIRECCIÓN

1. Compromiso de la alta dirección
2. Gestión de recursos para la seguridad
3. Establecimiento y planificación de políticas de gestión de seguridad

UNIDAD DIDÁCTICA 14. AUDITORÍA DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN POR LA DIRECCIÓN

1. Motivaciones para realizar auditorías
2. Auditoría interna de sistemas
3. Proceso para la certificación del sistema

UNIDAD DIDÁCTICA 15. REVISIÓN POR LA DIRECCIÓN Y MEJORA DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN

1. Revisión del sistema de gestión por parte de la dirección
2. Mejoras en el sistema de gestión de seguridad de la información

PARTE 2. SEGURIDAD EN EQUIPOS INFORMÁTICOS

UNIDAD DIDÁCTICA 1. CRITERIOS GENERALES SOBRE SEGURIDAD DE LOS EQUIPOS INFORMÁTICOS

1. Modelo de seguridad enfocado en la gestión del riesgo en sistemas de información
2. Amenazas comunes, riesgos y salvaguardas aplicables
3. Principales tecnologías y salvaguardas de seguridad
4. Complemento entre la gestión de seguridad informática y las medidas tecnológicas

UNIDAD DIDÁCTICA 2. ANÁLISIS DE IMPACTO EN LOS NEGOCIOS

1. Identificación de procesos de negocio respaldados por sistemas de información
2. Evaluación de requisitos de confidencialidad, integridad y disponibilidad
3. Determinación de sistemas de información y sus requerimientos de seguridad

UNIDAD DIDÁCTICA 3. GESTIÓN DE RIESGOS

1. Implementación del proceso de gestión de riesgos y alternativas comunes
2. Metodologías de identificación y análisis de riesgos
3. Aplicación de controles y medidas para mitigar riesgos

UNIDAD DIDÁCTICA 4. PLAN DE IMPLANTACIÓN DE SEGURIDAD

1. Evaluación del nivel actual de seguridad en relación a los requerimientos
2. Selección de medidas de seguridad adecuadas
3. Guía para desarrollar el plan de implementación de las medidas de seguridad elegidas

UNIDAD DIDÁCTICA 5. PROTECCIÓN DE DATOS PERSONALES

1. Principios fundamentales de protección de datos personales
2. Infracciones y sanciones en la legislación actual sobre protección de datos
3. Identificación y registro de ficheros de datos personales en la organización
4. Elaboración del documento de seguridad requerido por la legislación vigente en materia de protección de datos

UNIDAD DIDÁCTICA 6. SEGURIDAD FÍSICA Y LÓGICA DE LOS SISTEMAS

1. Definición de perímetros de seguridad física
2. Sistemas de control de acceso físico más comunes en las instalaciones
3. Criterios de seguridad para la ubicación física de sistemas informáticos
4. Elementos para garantizar la continuidad del suministro eléctrico
5. Requisitos de climatización y protección contra incendios para sistemas informáticos
6. Desarrollo de normativa de seguridad física y industrial para la organización
7. Tipos de ficheros utilizados con frecuencia
8. Control de acceso de sistemas informáticos a la red de comunicaciones
9. Configuración de políticas del directorio de usuarios
10. Establecimiento de listas de control de acceso (ACLs) a ficheros
11. Gestión de usuarios y privilegios asignados
12. Requisitos de seguridad para el control de acceso a sistemas operativos
13. Sistemas de autenticación: débil, fuerte y biométricos
14. Registros de auditoría necesarios para supervisar el control de accesos
15. Normativa de control de accesos a sistemas informáticos

UNIDAD DIDÁCTICA 7. IDENTIFICACIÓN DE SERVICIOS

1. Identificación de protocolos, servicios y puertos en sistemas de información
2. Uso de herramientas para analizar puertos y servicios abiertos innecesarios
3. Herramientas para analizar tráfico de comunicaciones y su utilización

UNIDAD DIDÁCTICA 8. ROBUSTECIMIENTO DE SISTEMAS

1. Modificación de usuarios y contraseñas por defecto en sistemas de información
2. Configuración de políticas de gestión de contraseñas y privilegios
3. Eliminación de herramientas, servicios y puertos innecesarios
4. Configuración de sistemas para usar protocolos seguros
5. Actualización de parches de seguridad en sistemas informáticos
6. Protección contra código malicioso
7. Gestión segura de recursos compartidos y comunicaciones
8. Monitorización de la seguridad y uso responsable de sistemas informáticos

UNIDAD DIDÁCTICA 9. IMPLANTACIÓN Y CONFIGURACIÓN DE CORTAFUEGOS

1. Tipos de cortafuegos según ubicación y función
2. Criterios de seguridad para la segregación de redes con cortafuegos DMZ
3. Uso de VPN para establecer comunicaciones seguras
4. Definición de reglas de cortafuegos
5. Registros de auditoría necesarios para supervisar cortafuegos
6. Monitorización y pruebas de funcionamiento de cortafuegos

PARTE 3. AUDITORÍA DE SEGURIDAD INFORMÁTICA

UNIDAD DIDÁCTICA 1. CRITERIOS GENERALES SOBRE AUDITORÍA INFORMÁTICA

1. Código deontológico de auditoría
2. Tipos de auditoría en sistemas de información
3. Criterios para la composición del equipo auditor
4. Pruebas en auditoría: sustantivas y de cumplimiento
5. Muestreo durante el proceso de auditoría
6. Herramientas CAAT (Computer Assisted Audit Tools)
7. Requerimientos para hallazgos de auditoría
8. Categorización de hallazgos: observaciones y no conformidades
9. Normativas y metodologías de auditoría de sistemas de información

UNIDAD DIDÁCTICA 2. APLICACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES

1. Principios básicos de protección de datos personales
2. Normativa europea según la directiva 95/46/CE
3. Normativa nacional: Código Penal, LORTAD, LOPD y RD 1720/2007
4. Identificación y registro de ficheros de datos personales en la organización
5. Medidas de seguridad para la protección de datos en el RD 1720/2007
6. Guía para la auditoría bienal de protección de datos

UNIDAD DIDÁCTICA 3. ANÁLISIS DE RIESGOS EN SISTEMAS DE INFORMACIÓN

1. Introducción al análisis de riesgos
2. Tipos de vulnerabilidades y fallos de programas
3. Particularidades de diferentes tipos de malware
4. Elementos del análisis de riesgos y sus relaciones
5. Metodologías cualitativas y cuantitativas para análisis de riesgos
6. Identificación de activos y su valoración
7. Identificación de amenazas potenciales a los activos
8. Análisis de vulnerabilidades en sistemas de información
9. Optimización del proceso de auditoría y contraste de vulnerabilidades
10. Evaluación de medidas existentes durante el análisis de riesgos
11. Establecimiento de escenarios de riesgo
12. Determinación de probabilidad e impacto de escenarios
13. Establecimiento de niveles de riesgo y criterios de aceptación
14. Alternativas para la gestión de riesgos
15. Guía para elaborar un plan de gestión de riesgos
16. Metodología NIST SP 800-30
17. Metodología Magerit versión 2

UNIDAD DIDÁCTICA 4. HERRAMIENTAS PARA AUDITORÍA DE SISTEMAS

1. Herramientas del sistema operativo: Ping, Traceroute, etc.
2. Herramientas de análisis de red: Nmap, Netcat, NBTScan, etc.
3. Herramientas de análisis de vulnerabilidades: Nessus
4. Analizadores de protocolos: WireShark, DSniff, Cain & Abel, etc.
5. Analizadores de páginas web: Acunetix, Dirb, Parosproxy, etc.
6. Herramientas de ataques de diccionario y fuerza bruta: Brutus, John the Ripper, etc.

UNIDAD DIDÁCTICA 5. CORTAFUEGOS EN AUDITORÍAS DE SISTEMAS INFORMÁTICOS

1. Principios fundamentales de los cortafuegos
2. Componentes de un cortafuegos de red
3. Tipos de cortafuegos por ubicación y función
4. Arquitecturas de cortafuegos de red
5. Otras arquitecturas de cortafuegos de red

UNIDAD DIDÁCTICA 6. GUÍAS PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN

1. Guía para auditar la documentación y normativa de seguridad
2. Guía para elaborar el plan de auditoría
3. Guía para las pruebas de auditoría
4. Guía para redactar el informe de auditoría

PARTE 4. GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA

UNIDAD DIDÁCTICA 1. SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSIONES (IDS/IPS)

1. Conceptos clave en gestión de incidentes y detección de intrusiones
2. Identificación de datos de funcionamiento del sistema
3. Arquitecturas comunes de sistemas de detección de intrusos
4. Tipos de IDS/IPS según ubicación y función
5. Criterios de seguridad para la ubicación de IDS/IPS

UNIDAD DIDÁCTICA 2. IMPLANTACIÓN Y PUESTA EN PRODUCCIÓN DE SISTEMAS IDS/IPS

1. Análisis de servicios, protocolos y equipos utilizados por la organización
2. Definición de políticas para la detección de intentos de intrusión
3. Análisis de eventos registrados por el IDS/IPS para identificar falsos positivos
4. Registros de auditoría necesarios para el IDS/IPS
5. Niveles de actualización, monitorización y pruebas del IDS/IPS

UNIDAD DIDÁCTICA 3. CONTROL DE CÓDIGO MALICIOSO

1. Sistemas de detección y contención de malware
2. Herramientas para el control de malware según topología de instalación
3. Criterios de seguridad para la configuración de herramientas de protección
4. Técnicas de actualización de herramientas de protección contra malware
5. Registros de auditoría para herramientas de protección contra malware
6. Monitorización y pruebas de herramientas de protección contra malware
7. Análisis de malware mediante desensambladores y entornos controlados

UNIDAD DIDÁCTICA 4. RESPUESTA ANTE INCIDENTES DE SEGURIDAD

1. Procedimientos para la recolección de información sobre incidentes
2. Técnicas y herramientas para el análisis de información de seguridad
3. Proceso para verificar la intrusión
4. Funciones de organismos de gestión de incidentes como CERT

UNIDAD DIDÁCTICA 5. NOTIFICACIÓN Y GESTIÓN DE INTENTOS DE INTRUSIÓN

1. Responsabilidades en la gestión de intentos de intrusión
2. Categorización de incidentes según su impacto potencial
3. Criterios para determinar evidencias en la gestión de incidentes
4. Proceso de detección y registro de incidentes
5. Guía para clasificar y analizar intentos de intrusión
6. Nivel de intervención según el impacto previsto
7. Guía para investigar y diagnosticar incidentes
8. Proceso de resolución y recuperación tras un incidente
9. Comunicación del incidente a terceros, si es necesario
10. Proceso para cerrar el incidente y documentar su historial

UNIDAD DIDÁCTICA 6. ANÁLISIS FORENSE INFORMÁTICO

1. Conceptos y objetivos del análisis forense
2. Principio de Lockard
3. Guía para la recolección de evidencias electrónicas
4. Guía para analizar evidencias electrónicas, incluyendo archivos ocultos
5. Selección de herramientas de análisis forense

PARTE 5. SISTEMAS SEGUROS DE ACCESO Y TRANSMISIÓN DE DATOS

UNIDAD DIDÁCTICA 1. CRIPTOGRAFÍA

1. Historia y objetivos de la criptografía
2. Teoría de la información en el contexto de la criptografía
3. Propiedades de seguridad controlables con criptografía: confidencialidad, integridad, autenticidad, no repudio, imputabilidad y sellado de tiempos
4. Elementos fundamentales de criptografía con clave privada y pública
5. Características y atributos de los certificados digitales
6. Protocolos de intercambio de claves más comunes
7. Algoritmos criptográficos frecuentemente utilizados
8. Elementos y formatos de certificados digitales y su uso
9. Funciones hash y criterios para su aplicación
10. Requisitos legales según la ley 59/2003 sobre firma electrónica
11. Aspectos fundamentales de la firma digital y tipos de firma
12. Criterios para el uso de técnicas de cifrado de flujo y de bloque
13. Protocolos para intercambio de claves
14. Uso de herramientas de cifrado como PGP, GPG o CryptoLoop

UNIDAD DIDÁCTICA 2. APLICACIÓN DE UNA INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI)

1. Componentes de una PKI y su modelo de relaciones
2. Autoridad de certificación y sus elementos clave
3. Política de certificados y declaración de prácticas de certificación (CPS)
4. Lista de certificados revocados (CRL)
5. Funcionamiento de solicitudes de firma de certificados (CSR)
6. Infraestructura de gestión de privilegios (PMI)
7. Campos de certificados y su relación con aplicaciones PKI

UNIDAD DIDÁCTICA 3. COMUNICACIONES SEGURAS

1. Definición y funcionalidad de redes privadas virtuales (VPN)
2. Protocolo IPSec
3. Protocolos de seguridad: SSL y SSH
4. Sistemas SSL VPN
5. Túneles cifrados y sus ventajas e inconvenientes

PARTE 6. GESTIÓN DE SERVICIOS EN EL SISTEMA INFORMÁTICO

UNIDAD DIDÁCTICA 1. GESTIÓN DE LA SEGURIDAD Y NORMATIVAS

1. Metodología ITIL en la gestión de infraestructuras tecnológicas
2. Ley orgánica de protección de datos personales
3. Normativas comunes para la gestión de seguridad física

UNIDAD DIDÁCTICA 2. ANÁLISIS DE PROCESOS EN SISTEMAS

1. Identificación de procesos de negocio respaldados por sistemas de información
2. Características esenciales de los procesos electrónicos
3. Determinación de sistemas de información y activos utilizados
4. Análisis de funcionalidades de sistemas operativos para monitoreo de procesos
5. Técnicas para gestionar el consumo de recursos

UNIDAD DIDÁCTICA 3. DEMOSTRACIÓN DE SISTEMAS DE ALMACENAMIENTO

1. Tipos de dispositivos de almacenamiento más comunes
2. Características de sistemas de archivo disponibles
3. Organización y estructura del almacenamiento
4. Herramientas para la gestión de dispositivos de almacenamiento

UNIDAD DIDÁCTICA 4. UTILIZACIÓN DE MÉTRICAS E INDICADORES DE MONITORIZACIÓN DE RENDIMIENTO

1. Criterios para establecer un marco de métricas e indicadores
2. Identificación de objetos para obtener indicadores
3. Aspectos a definir para la selección de indicadores
4. Establecimiento de umbrales de rendimiento
5. Recolección y análisis de datos de indicadores
6. Consolidación de indicadores en un cuadro de mando de rendimiento

UNIDAD DIDÁCTICA 5. PROCESO DE MONITORIZACIÓN DE SISTEMAS Y COMUNICACIONES

1. Identificación de dispositivos de comunicaciones
2. Análisis de protocolos y servicios de comunicaciones
3. Parámetros de configuración de equipos de comunicaciones
4. Procesos de monitoreo y respuesta ante incidentes
5. Herramientas de monitorización de uso de puertos y servicios
6. Herramientas de monitorización de sistemas y servicios
7. Sistemas de gestión de información y eventos de seguridad (SIM/SEM)
8. Gestión de registros de red y su filtrado

UNIDAD DIDÁCTICA 6. SELECCIÓN DEL SISTEMA DE REGISTRO SEGÚN REQUERIMIENTOS ORGANIZACIONALES

1. Determinación del nivel de registros necesarios y su retención
2. Análisis de requerimientos legales sobre registros
3. Selección de medidas de seguridad para el sistema de registros
4. Asignación de responsabilidades en la gestión de registros
5. Opciones de almacenamiento para registros y sus características
6. Guía para seleccionar el sistema de almacenamiento y custodia de registros

UNIDAD DIDÁCTICA 7. ADMINISTRACIÓN DEL CONTROL DE ACCESOS EN SISTEMAS DE INFORMACIÓN

1. Análisis de requerimientos de acceso a sistemas de información
2. Principios de control de accesos y tipos de acceso
3. Requerimientos legales sobre control de accesos y privilegios
4. Perfiles de acceso según roles en la organización
5. Herramientas de directorio activo y servidores LDAP
6. Sistemas de gestión de identidades y autorizaciones (IAM)
7. Sistemas de autenticación de un solo punto (SSO)