capacitación - modelo de seguridad de la información para la

Transcripción

ENTREGABLE 15: CAPACITACIÓN MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE
GOBIERNO EN LÍNEA
ÁREA DE INVESTIGACIÓN Y PLANEACIÓN
© República de Colombia - Derechos Reservados
Bogotá, D.C., Diciembre de 2008
CAPACITACIÓN MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
FORMATO PRELIMINAR AL DOCUMENTO
Título:
PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN
PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Fecha elaboración
aaaa-mm-dd:
26 – Diciembre – 2008
Sumario:
CORRESPONDE AL ENTREGABLE 15: PLAN DE CAPACITACIÓN - MODELO
DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO
EN LÍNEA
Palabras Claves:
Manejo de imagen, afiches, logos, folletos
Formato:
Dependencia:
Código:
Lenguaje:
Castellano
1
Documento para
revisión por parte del
Supervisor del
contrato
Investigación y Planeación
Versión:
Estado:
Categoría:
Autor (es):
Equipo consultoría Digiware
Revisó:
Juan Carlos Alarcon
Aprobó:
Ing. Hugo Sin Triana
Firmas:
Información Adicional:
Ubicación:
Página 2 de 42
CONTROL DE CAMBIOS
VERSIÓN
0
1
FECHA
17/12/2008
26/12/2008
No. SOLICITUD
RESPONSABLE
Miguel Angel Duarte.
Equipo del Proyecto
DESCRIPCIÓN
Elaboración del documento
Revisión interna conjunta equipo consultoría Digiware
Página 3 de 42
TABLA DE CONTENIDO
1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................ 5
1.1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................... 7
1.1.1.
1.1.2.
1.1.3.
OBJETIVOS ESPECÍFICOS ............................................................................................................................................7
CAMPAÑAS DE SEGURIDAD DE LA INFORMACIÓN............................................................................................................7
LOGOTIPO ...............................................................................................................................................................8
1.2. INSTRUMENTOS DE SENSIBILIZACIÓN ............................................................................................................... 10
1.2.1.
1.2.2.
1.2.3.
1.2.4.
1.2.5.
1.2.6.
AFICHES ................................................................................................................................................................10
FOLLETOS..............................................................................................................................................................13
MEDIO BTL...........................................................................................................................................................15
FONDOS DE PANTALLA ............................................................................................................................................16
RECORDATORIOS ....................................................................................................................................................18
PRESENTACIONES ...................................................................................................................................................19
2. PLAN DE CAPACITACIÓN ............................................................................................................................. 20
2.1.
2.1.1.
2.1.2.
2.1.3.
2.1.4.
2.1.5.
2.1.6.
2.1.7.
2.1.8.
2.1.9.
2.1.10.
2.2.
CURSOS EN SEGURIDAD DE LA INFORMACIÓN ..............................................................................................................20
GESTIONANDO LA SEGURIDAD DE LA INFORMACIÓN .....................................................................................................20
ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN .......................................................................................................21
EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BCP/DRP ........................................................................22
SEGURIDAD EN REDES INALÁMBRICAS ........................................................................................................................24
SEGURIDAD AVANZADA EN WINDOWS Y UNIX ............................................................................................................25
TÉCNICAS AVANZADAS EN ATAQUES Y DEFENSA ..........................................................................................................26
COMPUTACIÓN FORENSE .........................................................................................................................................28
PREPARACIÓN PARA LA CERTIFICACIÓN ETHICAL HACKING (CEH). ..................................................................................29
ENTRENAMIENTO ISO/IEC 27001:2005 ISMS LEAD AUDITOR ....................................................................................30
PREPARACIÓN A LA CERTIFICACIÓN CISSP® ................................................................................................................39
TALLERES PRÁCTICOS...............................................................................................................................................41
3. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN ....................................................................... 42
Página 4 de 42
1. PLAN DE SENSIBILIZACIÓN
La gran mayoría de las personas, desconoce sobre temas de seguridad de la información y, en especial, el
alcance del tema. Quién no ha escuchado alguna vez las preguntas; ¿pero cómo, seguridad de la
información también se encarga de la seguridad física? ¿Qué tiene que ver seguridad de la información
con los papeles impresos? ¿Cómo, seguridad de la información no es lo mismo que seguridad
informática?
Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados
descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento
organizacional) y, a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la
contraseña de un usuario en la red de la entidad, que vulnerar los sistemas de seguridad y cifrado.
Asimismo, con tan sólo recorrer un par de puestos de trabajo, se pueden encontrar contraseñas escritas y
pegadas en la pantalla o debajo del teclado.
Las alternativas que se recomiendan utilizar para que el plan de sensibilización sea factible son:
•
Folletos
•
Carteles
•
Material BTL
•
Material POP
•
Uso de tecnoligia
•
Presentaciones de Capacitación.
La campaña de sensibilización a los diferentes grupos objetivo definidos, tendrá una duración mínima de
12 meses, que iniciarán con el plan de sensibilización (ver capítulo 1.1), y después, se desarrollará un
apoyo por medio de los afiches y folletos para dar a conocer masivamente la campaña para el público en
general.
En cuanto a los folletos, se recomienda entregarlos en los recibos de los proveedores de Internet como los
ISP, ya que ese es un medio muy utilizado y extremadamente efectivo debido a que los usuarios miran
siempre el recibo. Esto puede ser cambiado periódicamente por el juego que se encuentra anexo en los
materiales diseñados como el “Rompecocos”, ver numeral 1.2.3 y en el numeral 4 del presente
Página 5 de 42
documento, ya que es dinámico, y da consejos útiles y eficaces. Los concejos pueden ser renovados
frecuentemente para que los usuarios conozcan paulatinamente sobre el avance de la campaña.
Los fondos de pantalla también pueden ser dados a conocer por medio de la página de Internet de
Gobierno en Línea para que las personas los puedan descargar e instalar en sus computadores. Para los
proveedores de Internet, se pueden entregar 3 fondos de pantalla que pueden ser cambiados cada mes
para que las personas conozcan cosas diferentes sobre el modelo de seguridad de la información.
Las presentaciones también pueden ser descargadas desde la página de Internet para que las usuarios
profundicen y aprendan más sobre el tema, así mismo, los cursos de capacitación pueden ser dictados
para toda clase de proveedores de Internet de forma que mejoren la seguridad de la información se de sus
empresas y conozcan mas sobre el modelo de seguridad de la información; estas capacitaciones están
especificadas en el siguiente capítulo con sus contenidos, duración y desarrollo.
Los folletos, serán distribuidos en los café Internet de la misma manera que será distribuido el medio BTL;
de este modo, los usuarios que no tienen acceso a un servicio de Internet desde el hogar, también serán
beneficiados y serán conocedores del modelo de seguridad de la información.
Como recomendación adicional para todos los establecimientos proveedores de Internet como son los
café Internet y Telecentros, se recomienda que ellos también asistan a los cursos de capacitación, en el
mismo, se les dará un certificado de asistencia para que los administradores y propietarios dichos
establecimientos, se hagan partícipes y a la vez, divulgadores de la campaña de seguridad de la
información.
¿Porque necesitamos un plan de sensibilizacion en seguridad de la información?
•
Existe la mentalidad que no hay nada importante por proteger en su computador.
•
Existe el concepto errado que la tecnología por si misma puede resolver sus problemas de
seguridad.
•
Continuamente se generan nuevos métodos de “Ingeniería Social” que mediante engaños buscan
obtener información confidencial.
•
Debemos conocer tanto las amenazas externas como las internas.
Debido a todas estas razones, el plan de sensibilizacion para el nuevo modelo de seguridad de la
información para la estrategia de Gobierno en Línea, es, lograr que las personas conozcan los motivos y
razones que generan los diferentes tipos de incidentes en seguridad de la información que existen
alrededor de cada uno y acojan las debidas precauciones recomendadas a través medios de
concienciación y sensibilización.
Esta presentación se puede dar a aconocer por medio de los cursos preparese 2009.
Página 6 de 42
Para el desarrollo de este plan, se pretende involucrar a todos los funcionarios públicos, ISP, cafés internet
y usuarios de Gobierno en Línea, con el fin de vincular a todas estas entidades y personas a que
conozcan el modelo de seguridad de la información para la estrategia de Gobierno en Línea.
Conjuntamente, este plan de sensibilización, esta reforzado por las capacitaciones que se dictarán
abarcando temas especializados en seguridad de la información, p. ej.: Análisis de riesgos, Modelo de
seguridad SGSI, Planes de sensibilización, Planes de respuesta ante incidentes, Planes de continuidad del
negocio, etc. las cuales están especificadas con más detalle en el punto 3 de capacitación dentro de este
documento.
Ver Anexo presentación para sensibilización.ppt
1.1. Plan de Sensibilización:
Diseñar la campaña, estrategia de sensibilización, divulgación y concienciación sobre el nuevo
MODELO DE SEGURIDAD DE LA INFORMACION PARA LA ESTRATEGIA DE GOBIERNO EN
LÍNEA, creando un compromiso y un impacto positivo en las entidades del Gobierno y en las entidades
privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea, como los ISP,
los Café Internet, Telecentros y Compartel, además de la comunidad académica y los ciudadanos en
general.
1.1.1.
Objetivos Específicos
•
Diseñar la campaña de sensibilización y capacitación con los medios de comunicación que se
propongan.
•
Profundizar los conocimientos técnicos sobre seguridad de la información a los usuarios de
Gobierno en Línea y las empresas objetivo que implementen el modelo de seguridad.
•
Contribuir a motivar el compromiso de los funcionarios públicos, ISP, cafés Internet y usuarios de
Gobierno en Línea, con el modelo de Seguridad de la información.
•
Sensibilizar a los ciudadanos sobre los riesgos en la seguridad de la información y cuales deben
ser las principales medidas de higiene a tener en cuenta a la hora de realizar trámites y
transacciones por Internet.
1.1.2.
Campañas de seguridad de la información:
Son campañas periódicas en donde se dedica un periodo de tiempo a divulgar un tema específico del
Plan de sensibilización.
Temas y Niveles de Campaña:
Página 7 de 42
Nivel Básico
Dirigido a todos los usuarios de Gobierno en Línea y ciudadanos en general; desarrollado con
conceptos básicos.
•
•
•
Contraseñas Seguras
Internet Seguro
Seguridad física
Nivel Técnico
Dirigido a los profesionales y usuarios de Gobierno en Línea con temas más técnicos, mayor grado de
profundización y complejidad en el área de la seguridad de la información.
•
•
•
•
Contraseñas Seguras
Internet Seguro
Ingeniería Social
Seguridad física
Nivel Jurídico
Dirigido a los profesionales y/o directivos con una profundización más amplia en las nuevas leyes y
regulaciones más relevantes a tener en cuenta en un modelo de seguridad de la información, como la
Ley 1266 de 2008 de Habeas Data y la Ley 1273 sobre Delitos Informáticos.
•
•
•
Delito Informático
Computación forense
Atención a incidentes
1.1.3.
Logotipo:
El logotipo será el principal elemento de diferenciación como campaña de sensibilización, ubicará
espacialmente al espectador dentro del contexto del Modelo de Seguridad de la información, y de su
importancia como componente activo en la Estrategia de Gobierno en Línea.
El logotipo se incorporará como un trabajo de diseño que puede ser utilizado en la papelería, en afiches,
carteles, en publicidad de prensa, merchandising, etc.
Página 8 de 42
Las propuestas para el logotipo son las siguientes:
La llave y la cerradura representan la clave para ingresar al Modelo de Seguridad de la Información,
haciendo referencia directa a los ciudadanos y usuarios de Gobierno en Línea como parte significativa
de la estrategia de seguridad.
El nombre está integrado con el logo creando así el logotipo de la campaña, imagen y frase concisa. La
palabra clave representa que el usuario es el encargado de su seguridad y es responsable de protegerse
por medio de recomendaciones en higiene de seguridad que se mencionan en la documentación del
proyecto (ver documento Modelo Seguridad - SANSI –SGSI, numeral 5.7).
Colores:
Los colores utilizados son los mismos que representan a nuestro país, son utilizados como símbolo de
patriotismo hacia el nuevo Modelo de Seguridad de la Información.
Amarillo: Es el color que genera la atención del usuario, el que capta todos sus sentidos; debido a que
esta en contraposición con el negro, este color es el primero en generar atención.
Azul: Este es el que le da estabilidad a esta combinación de colores, ya que este color es el que genera
la confianza y tranquilidad para el usuario.
Página 9 de 42
Rojo: Este color asocia al usuario con la precaución y fuerza. Está asociado con el amarillo y azul para
generar confianza y así no creer que sea prohibido interactuar con el Modelo de Seguridad de la
Información.
Negro: El negro es el toque de poder, autoridad y fortaleza que se le quiere dar al Modelo de Seguridad
de la Información.
1.2. Instrumentos de Sensibilización
1.2.1.
Afiches
Objetivo
Posicionamiento y continuidad visual de la campaña de sensibilización, divulgando los temas del
Modelo de Seguridad de la Información básicos para entidades del Gobierno, ISP, cafés Internet y
usuarios de la Estrategia de Gobierno en Línea.
•
•
•
•
•
Abrir la campaña y darla a conocer.
Captar la atención de los funcionarios y población en general para que interactúen con el
Modelo de Seguridad.
Relacionar e interactuar la campaña con el programa de capacitación PREPÁRESE de la
Estrategia de Gobierno en Línea.
Relacionar los afiches con los comportamientos que se buscan en cada uno de las personas
como pieza fundamental en el nuevo Modelo de Seguridad de la Información.
Sensibilizar y capacitar a través de las imágenes y el texto de los instrumentos.
Tiempo
Los afiches se colocarán al inicio de la campaña dando a conocer lo que se quiere hacer para que las
personas se familiaricen con el nuevo Modelo de Seguridad de la Información; la idea es que se
cambien cada mes con nuevos enunciados para que las personas tengan en cuenta las principales
prevenciones, peligros y factores relacionados con la seguridad de la información.
A continuación, se explican los afiches propuestos para la campaña:
Página 10 de 42
Este afiche quiere dar a conocer de una forma
grafica a las personas, los errores en que
generalmente incurren con su información
personal; con esto se trata de sensibilizar sobre los
principales factores de la seguridad de la
información como son la confidencialidad, la
integridad y la disponibilidad.
Este afiche se hace para prevenir a las
personas que no deben dejar que cualquier
persona manipule su computador ya sea
personal o el de la empresa ya que el usuario
puede verse expuesto a fraudes, pérdida de
datos, modificación de información, divulgación
de información privada, entre otros peligros.
Página 11 de 42
Este afiche es para recordar a las personas que
no deben abrir adjuntos que lleguen a su
computador vía correo electrónico proveniente
de personas desconocidas o por medio de
páginas no solicitadas.
Este afiche es para recordar a las personas,
de una manera diferente, que deben cerrar la
sesión de su computador cuando no se
encuentren en el puesto de trabajo. Esto
evitará que personas ajenas realicen acciones
no autorizadas o peligrosas desde el mismo.
Página 12 de 42
En este afiche se quiere transmitir a las
personas lo importante que es para la
empresa o para ellas mismas, la información
que poseen en su computador. Se quiere
llamar, de una manera diferente, la atención y
curiosidad de las personas.
1.2.2.
Folletos
Objetivo
Ofrecer información masiva más detallada sobre los aspectos más relevantes del Modelo de
Seguridad.
•
•
•
•
Conceptos claves en forma breve sobre la seguridad de la Información y las principales
recomendaciones para que el Modelo de Seguridad de la Información sea utilizado por las
entidades y la comunidad en general.
Desarrollo de textos con una secuencia lógica de adquisición de conocimientos y comprensión
de los mismos.
Profundizar sobre las principales políticas y controles del Modelo de Seguridad de la
Información en las entidades y más adelante, en los usuarios de Gobierno en Línea.
Aconsejar sobre una adecuada higiene de la información.
Tiempo
Los folletos serán distribuidos al mismo tiempo que se lancen los primeros afiches de la campaña, con
esto se le da apoyo y un impacto más proporcionado. A continuación, se presenta la propuesta de los
folletos reaizados:
Página 13 de 42
Página 14 de 42
1.2.3.
Medio BTL
Tiene los mismos objetivos que los folletos; la información de este es tener un contacto directo y a la
vez dinámico, para que las personas interactúen con el Modelo de Seguridad de la Información, esto
hará que la recordación sea mayor.
Tiempo
Este medio será lanzado como medio de apoyo a la campaña junto con los folletos.
Página 15 de 42
Nombre
Rompecocos. El objetivo de este juego, que se les dará a las personas, es que tengan recordación
de las principales ideas relacionadas con la seguridad de la información por medio del juego:
1.2.4.
Fondos de Pantalla
Las entidades y sus funcionarios, son el grupo objetivo de la campaña de sensibilización propuesta. El
computador o portátil, es la herramienta esencial para el desarrollo de sus labores.
Objetivo
Página 16 de 42
Diseñar e implementar los fondos de pantalla propuestos para ser instalados en los computadores de
los funcionarios en las entidades objetivo, ya que este es el medio de contacto más directo para crear
conciencia de la seguridad de la información, valiéndose de elementos visuales que servirán
principalmente para sensibilizar y reforzar los principios básicos de la seguridad de la información.
•
•
•
Unir los elementos más importantes de las piezas gráficas y sus conceptos en una sola idea
dinámica.
Proteger la información sensitiva de las estaciones de trabajo.
Reforzar los conceptos básicos de Seguridad de la Información.
Estructura
•
•
Unidad de campaña.
Graficas y textos de los afiches y folletos, con los conceptos más relevantes de cada uno, en
un entorno dinámico.
Página 17 de 42
1.2.5.
Recordatorios
Creación de contraseñas seguras
Objetivo
Elementos de sensibilización que serán entregados a las personas que asistan a las capacitaciones,
estas son de uso personal, con el fin que ellos puedan crear contraseñas seguras tanto en su
ambiente laboral como en su vida cotidiana.
ESPECIFICACIONES
Juego Rubik con un papel para decirles a las
personas que las claves tienen que ser mínimo
de ocho dígitos y alfanuméricas, estos cubos
llevaran letras y números surtidos.
Página 18 de 42
1.2.6.
Presentaciones
Objetivo
Material de divulgación y estudio con conceptos técnicos del Modelo de Seguridad de la Información.
•
Plasmar con mayor profundidad conceptos, definiciones y explicaciones técnicas del Modelo
de Seguridad de la Información implementado para la Estrategia de Gobierno en Línea.
•
Facilitar a la Estrategia de Gobierno en Línea, la difusión y el entendimiento del Modelo de
Seguridad de la Información implementado en las entidades objetivo.
Especificaciones
• Todos los elementos se entregan es su formato original, ver numeral 4 del presente
documento para mayor información.
• Afiches: Adobe Photoshop.
• Fondos de pantalla: Adobe Photoshop.
• Logos: Adobe Illustrator.
• Material BTL: Freehand MX.
• Recordatorio: Freehand MX
Página 19 de 42
2. PLAN DE CAPACITACIÓN
2.1. Cursos en Seguridad de la Información:
Se propone desarrollar los siguientes cursos de capacitación en seguridad de la información:
2.1.1. Gestionando la Seguridad de la Información
Duración: 2 días (16 horas)
Descripción:
El curso ayudará a las empresas a definir, organizar y formalizar el conocimiento referente al Sistema de
Gestión de Seguridad de la Información – SGSI propuesto por las normas ISO/IEC 17799, ISO/IEC 27001,
ISO/IEC 27002 y BS 7799, instruyendo a los participantes en las estrategias de implementación y
evaluación para llevar a la organización a un nivel apropiado de seguridad de la información y estar
preparados para buscar la certificación de la compañía.
A quién está dirigido ?
•
•
•
•
•
Gerentes o Directores de informática o tecnología.
Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información.
Profesionales que actualmente desempeñen labores de Seguridad de la Información.
Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de
la Información.
Profesionales que actualmente desempeñen labores de auditoría.
Pre-requisitos:
Página 20 de 42
•
•
•
•
Conocimientos básicos en Seguridad de la Información, definiciones.
Conocimientos básicos en la norma ISO /IEC 27001
Conocimientos básicos en informática y tecnología.
Conocimientos en análisis de riesgos
Conocimientos adquiridos en el curso:
•
•
•
•
•
•
•
•
•
Fundamentos de Seguridad de la Información.
Introducción a la Norma ISO 17799, ISO/IEC 27002.
Introducción a la Norma BS 7799-2, ISO/IEC 27001.
El Sistema de Gestión de Seguridad de la Información – SGSI.
Los Dominios de Control.
Identificación de la aplicabilidad de los mecanismos de control.
Definición e implementación de la estrategia.
El proceso de Análisis de Riesgos.
Factores críticos de éxito en la implementación del SGSI.
Temas de los talleres prácticos:
•
•
•
•
•
Análisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001).
Identificación de controles de la norma aplicables a riesgos identificados.
Desarrollo de una declaración de aplicabilidad.
Valoración de la implementación del SGSI.
Auditoria de cumplimiento BS 7799-2 y ISO/IEC 27001.
2.1.2. Estándares de Seguridad de la Información
Descripción:
El curso ayuda a las empresas a comprender el alcance y objetivos de los principales estándares de
Gobierno, Seguridad, Control y Auditoria de TI, brindando a los asistentes un conocimiento general de los
estándares ASNZ 4360, ITIL, ISO27000, NIST 800-14, NIST 800-34, CONCT, COBIT, COSO, SARBANES
OXLEY, PMBOK, con énfasis en los elementos fundamentales de cada uno de ellos. Al final del curso los
asistentes tendrán un conocimiento más claro de cada estándar y contarán con una hoja de trabajo que
facilite su comparación y selección de acuerdo con las expectativas de cada organización.
A quién está dirigido:
•
•
•
•
Gerentes o directores de informática o tecnología
Responsables por la Seguridad de la Información
Gerentes de Riesgo
Gerentes de control interno o auditoria interna
Página 21 de 42
•
•
Auditores de sistemas
Gerentes y responsables por la planificación de la continuidad del negocio
Prerrequisititos:
•
•
•
Conocimientos básicos en seguridad de la información
Conocimientos básicos en análisis de riesgos
Conocimientos básicos en auditoria
•
•
•
•
Objetivos, alcances y puntos esenciales de cada estándar mencionado
Elementos necesarios para la comparación de estándares
Construcción de una hoja de trabajo para la comparación de estándares
Diferentes alternativas para articular las necesidades organizacionales en cuanto a gestión de
riesgos, seguridad de la información y auditoria.
•
•
•
Riesgos de no utilizar estándares y mejores prácticas
Construcción de la hoja de trabajo para comparación de estándares
Identificación de rutas alternativas para la implementación de estándares
2.1.3. El Desarrollo de un Plan de Continuidad del Negocio BCP/DRP
Descripción:
El curso ayuda a las empresas a conocer y organizar de una mejor forma el proceso de implementación de
un plan de continuidad del negocio, brindando a los asistentes importantes conocimientos y una serie de
pautas claves que debe seguir el Líder de BCP para la protección efectiva de la información de la
organización, así como el personal y demás recursos, en caso de ocurrir un desastre. De igual forma se
revisarán ejemplos y prácticas recomendadas para implementar planes de continuidad del negocio. Al final
del curso los asistentes tendrán un conocimiento más profundo sobre la práctica real, la implementación
de políticas, el ciclo de vida de un BCP y el rol que el Líder de BCP desempeña en el mismo.
Página 22 de 42
•
•
•
•
•
•
•
Gerentes o directores de informática o tecnología.
Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información.
Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de
la Información.
Profesionales que actualmente estén trabajando el tema de continuidad del negocio y/o
recuperación ante desastres.
Profesionales de cualquier área de una compañía.
Pre-requisitos:
Conocimientos básicos en manejo de riesgos.
Conocimientos básicos sobre procesos.
La teoría básica de BCP/DRP.
Planes de contingencia y recuperación ante desastres (DRP).
La teoría básica de BIA/RIA.
La teoría básica de RTO/RPO/MAO/FTL.
Mantenimiento y Entrenamiento.
Estrategias de continuidad del Negocio.
Desarrollo e Implementación.
Prácticas, Mantenimiento y Auditoria.
•
•
•
•
•
•
•
•
•
Planeación de un BCP.
Análisis de riesgos (RIA).
Análisis de Impactos (BIA).
Desarrollo de estrategias.
Desarrollo de un BCP.
Sensibilización y capacitación.
Prueba y ejercicio.
Mantenimiento y actualización.
Planes de evacuación y manejo de crisis.
Página 23 de 42
2.1.4. Seguridad en Redes Inalámbricas
Duración: 16 Horas (2 días)
Descripción:
Es un curso teórico-práctico en el cual se busca explorar el funcionamiento básico de redes inalámbricas,
sus problemas de seguridad y las mejores prácticas de seguridad en estas redes. En la parte teórica se
desarrolla una introducción detallada a los aspectos básicos de funcionamiento de redes inalámbricas. En
la parte práctica se busca evidenciar los problemas de seguridad existentes en las redes inalámbricas y
generar recomendaciones para mantener redes seguras dentro de un ambiente funcional.
•
•
•
•
•
•
•
•
•
Gerentes o directores de informática o tecnología.
Gerentes o directores que tengan a cargo el tema de Seguridad de la Información..
Personal de cualquier organización que actualmente estén trabajando algún tema de seguridad de
la Información.
Gerentes o directores del área de telecomunicaciones.
Profesionales que actualmente desempeñen labores en el área de Telecomunicaciones.
Administradores de redes.
Profesionales que actualmente desempeñen labores en el área de IT.
Pre-requisitos:
•
•
•
•
•
Conocimientos básicos en redes Inalámbricas y comunicaciones, definiciones.
Conocimientos básicos en informática y tecnología.
Conocimientos básicos de Linux.
Conocimientos básicos de Windows.
Curso Básico de Seguridad de la Información.
•
•
•
•
•
•
Conceptos básicos y avanzados de redes inalámbricas.
Conceptos básicos y avanzados de seguridad en redes inalámbricas.
Vulnerabilidades en protocolos, procesos y autenticación.
Técnicas de ataque comunes.
Técnicas de aseguramiento de redes inalámbricas.
Comandos y herramientas comúnmente utilizadas.
Página 24 de 42
Acerca de los laboratorios:
Cada participante tiene asignado un PC donde a medida que se va abordando cada tema puede ir
revisando sus aspectos asociados, en plataformas Linux y Windows.
Cada uno de los laboratorios diseñados para este curso se encuentran organizados para evidenciar de
forma práctica las vulnerabilidades existentes en redes inalámbricas, cómo explotar estas vulnerabilidades
y busca la comprensión por parte de los participantes de las mejores prácticas de seguridad para
implementar una apropiada configuración dentro de las redes, evitando las posibilidades de ataques,
pérdida de información o negación de servicios.
2.1.5. Seguridad Avanzada en Windows y Unix
Descripción:
Este curso profundiza en los problemas de seguridad de las plataformas de sistemas operacionales con
más instalaciones a nivel mundial: Windows y Unix. No sólo se examinan los problemas sino las
principales herramientas de seguridad que debe conocer todo administrador para asegurar estas
plataformas y mitigar los riesgos de seguridad de la información.
•
•
•
•
Administradores de servidores Windows y Unix
Oficiales de seguridad de la información
Programadores de aplicaciones que funcionen en estas plataformas
Personal técnico y/o soporte Windows o Unix
Prerrequisititos:
•
•
•
•
Conocimientos básicos de Windows y Unix (comandos, sistema de archivos, usuarios)
Conocimiento en aplicaciones Windows
Conocimientos de redes y comunicaciones
Curso básico de seguridad de la información
Página 25 de 42
•
•
•
•
•
•
•
•
•
Conceptos de seguridad en sistemas operacionales
Nivel C2 de seguridad de sistemas operacionales
Conceptos avanzados de seguridad en Windows y Unix
Técnicas de ataques comunes a plataformas Windows y Unix
Vulnerabilidades en protocolos, puertos y servicios
Vulnerabilidades asociadas a las instalaciones por defecto
Administración de usuarios, contraseñas y permisos
Configuración segura de servidores Web, Correo, DNS
Configuración y uso de herramientas de detección y monitoreo
Cada participante tiene asignado un PC donde a medida que se abordan los tema se revisan los aspectos
asociados.
Se puede contar con laboratorios prácticos como:
•
•
•
•
•
•
•
•
•
•
Escalamiento de privilegios
Ataques a los servicios más comunes
Ataques y aseguramiento de IIS
Sniffers
Encripción de archivos
Configuración de IDS
Configuración de control de acceso
Debilidades asociadas a cada arquitectura
Aseguramiento de servidores
Comandos y herramientas comúnmente utilizadas
2.1.6. Técnicas Avanzadas en Ataques y Defensa
Duración: 40 horas (5 días)
Descripción:
Curso teórico práctico que busca brindar a un oficial de Seguridad de la Información o administrador de
red la habilidad para implementar tecnologías avanzadas de seguridad para la protección de la
infraestructura tecnológica de su empresa. Se conocerán técnicas y herramientas enfocadas a distintos
Página 26 de 42
tipos de sistemas operativos y aplicaciones. El curso inicia identificando la forma de operación de un
intruso, sus tácticas, desde las más comunes y sencillas, hasta aquellas técnicas y estrategias de ataque
más elaboradas, posteriormente se aprenderán los mecanismos de defensa con los cuales se puede
detener a un intruso.
Administradores de Firewalls, IDS, redes, sistemas y aplicaciones.
Personal de Seguridad de la Información.
Oficiales de Seguridad de la Información.
Pre-requisitos:
Buen entendimiento en redes y TCP/IP.
Conocimientos básicos de programación en C.
Buen entendimiento práctico de plataformas Windows (95/98/ME/XP/2000/2003) y de aplicaciones
asociadas.
Buen entendimiento práctico y manejo básico de plataformas Unix (Mandriva, Redhat, SuSe) y de
aplicaciones asociadas.
Conocimientos conceptuales básicos de Seguridad de la Información.
Conocimientos conceptuales sobre Firewalls, IDS y otras tecnologías de seguridad.
•
•
•
•
•
•
•
•
•
•
Evolución de la Seguridad de la Información.
Cómo identificar y comprender los tipos de ataques existentes en la actualidad.
Entender y utilizar las herramientas empleadas por los intrusos para diferentes sistemas operativos
(Unix, Windows).
Cómo poner en práctica las técnicas de ataques mediante laboratorios guiados.
Conocer en profundidad las estrategias de ataques.
Detección de herramientas en un sistema atacado.
Detección en línea de ataques.
Cómo engañar a los intrusos.
Implementación de herramientas de defensa.
Diseño e implementación de arquitecturas de defensa.
Desde el inicio del curso hasta el final, se diseñarán e implementarán diferentes arquitecturas de
ataque y defensa, donde se incluirán diversos temas, entre otros:
Recolección de información
Sniffers
ARP Spoofing
TCP- Hijacking
Buffer Overflows
Puertas Traseras
Detección de herramientas en un sistema atacado
Página 27 de 42
Configuración de alertas
Configuración de IDS
Configuración de honeypots
Monitoreo y registro del sistema.
Implementación de mecanismos de defensa en redes, sistemas operativos y aplicaciones
2.1.7. Computación Forense
Duración: 5 días (40 horas).
Descripción:
Es un curso teórico-práctico que presenta las técnicas utilizadas en la recolección, preservación,
manipulación y análisis de evidencia digital relacionada con delitos informáticos. Proporciona al
participante una visión clara sobre aspectos importantes de la práctica forense como dónde buscar
evidencia y de qué manera analizarla con altas probabilidades de éxito y minimización de la alteración de
la misma. Adicionalmente se presenta el enfoque hacia la implementación de mejores prácticas en el
manejo de incidentes de seguridad de la información.
Miembros de grupos de respuesta a incidentes de Seguridad de la Información.
Oficiales de Organismos de Seguridad de la República, encargados de conducir investigaciones
relacionadas con delitos informáticos.
Investigadores forenses encargados de recolectar y/o analizar evidencia digital.
Conocimientos adquiridos en el Curso:
Conceptos básicos de computación forense.
Teoría de los diferentes sistemas de archivos.
Tipos de delitos informáticos.
Identificación y mejores prácticas en la respuesta a incidentes.
Métodos de almacenamiento en medios volátiles y no-volátiles.
Qué evidencia recolectar y dónde hacerlo.
Técnicas de recolección de evidencia digital.
Manipulación y preservación de la evidencia digital.
Procedimientos de análisis de evidencia digital.
Elaboración de informes.
Cada participante tendrá asignado un PC donde a medida que se va abordando cada tema puede ir
revisando sus aspectos asociados.
Página 28 de 42
Diseñar laboratorios especiales para los siguientes temas:
Lectura de líneas de tiempo.
Técnicas de recolección de evidencia digital (en Host y en Red).
Procedimientos de análisis de evidencia digital.
Pre-requisitos:
Conocimiento de sistemas operativos Unix (utilización, comandos).
Conocimiento de sistemas de archivos (Conceptos básicos de EXT2/3, FAT12/16/32, NTFS).
Alto nivel técnico en general. Bases numéricas, Conceptos de TCP/IP, Conceptos de Redes,
Conceptos de IDS (Sistemas de Detección de Intrusos), entre otros.
2.1.8. Preparación para la Certificación Ethical Hacking (CEH).
Duración: 5 días (40 horas, el último día es el simulacro del examen)
Descripción:
Curso teórico - práctico en el que el asistente adquiere conocimientos avanzados de Hacking contra
diferentes plataformas como Windows 2003 Server, Windows Vista, Linux y dispositivos de red.
A quien está dirigido:
Ingenieros de Sistemas
Ingenieros Electrónicos
Administradores de Red
Profesionales de Seguridad de la Información
Prerrequisitos:
Conocimientos básicos de seguridad
Conocimientos básicos de Linux
Cada asistente desarrolla la habilidad de realizar evaluaciones cuantitativas y mediciones de las
amenazas que pueden afectar los activos de la información. Se adquirirán las destrezas para descubrir
los puntos más vulnerables de la organización mediante técnicas reales de Hacking aprendidas en el
curso.
Página 29 de 42
Contenido del curso:
Día 1 - Reconocimiento de red y Test de Penetración
Día 2 - Explotación remota de vulnerabilidades y Ataques a autenticación de password
Día 3 - Acceso extendido y Penetración profunda a los objetivos
Día 4 - Ataques a infraestructura de red, Ataques Inalámbricos, Remoción de evidencia
Día 5 - Hacking a aplicaciones Web y simulacro examen
2.1.9. Entrenamiento ISO/IEC 27001:2005 ISMS Lead Auditor
Objetivo:
Este curso de 5 días (el sexto día corresponde al examen de certificación) brinda el entendimiento
y conocimiento de los sistemas de administración de información de terceras partes. Dado que el
objetivo de una auditoria no es el hallazgo de no conformidades, sino la identificación de
oportunidades de mejora, este curso le permite desarrollar las habilidades para planear, estructurar
y conducir una auditoria efectiva y para evaluar y comunicar los hallazgos. El curso está diseñado
para seguir las etapas de una auditoria en la práctica, incluyendo simulacros de entrevistas de
auditorías y los roles que son jugados en las reuniones de cierre.
Estructura de curso:
Antecedentes y visión general de la norma ISO/IEC 27001 y otros Estándares de Seguridad de la
Información.
Introducción e implementación de un sistema de auditoría y el rol del auditor en el proceso.
Gestión del rol en la revisión de riesgos y la efectividad en general del Sistema de Gestión de
Seguridad de la Información
Planeación y manejo de un proceso basado en auditoria:
Recursos y tiempo
Uso de checklists
Selección de grupos de auditoria
Conduciendo una auditoria – destrezas, técnicas y competencias del auditor:
Evaluación del significado de los hallazgos encontrados en una auditoria
Comunicación y presentación de reportes de auditoria
No conformidades y mejoramiento de la seguridad como resultado de las acciones correctivas
Página 30 de 42
Manejo de la evaluación de la tercera parte y el proceso de certificación.
Beneficios de la certificación:
Desarrollo de competencias para la evaluación del manejo de riesgos y controles esenciales para
el Sistema de Gestión de Seguridad de la Información.
Entendimiento del rol de los auditados en el Sistema de Gestión de la Seguridad de la Información
y el rol de los auditores para promover el mejoramiento continúo.
Habilidades para el total entendimiento de cómo las terceras partes perciben el Sistema de Gestión
de Seguridad de la Información y su cumplimiento para la certificación.
Colaboración de los auditores para crear un ambiente que conduzca a la excelencia.
A quien está dirigido:
Profesionales que deseen certificarse como ISMS Auditores Lideres registrados.
Profesionales que lideren el tema de la certificación de sus organizaciones en el Estándar ISO/IEC
27001:2005
Es prerrequisito el conocimiento de la norma ISO/IEC 27001:2005 para el completo entendimiento
de los principios desarrollados en este curso.
Metodología:
Este es un curso altamente participativo basado en una serie de sesiones usando tutorías, casos
de estudio, talleres interactivos y discusiones abiertas, generando un ambiente práctico que provee
una única oportunidad para guiar y entrenar al participante.
Agenda:
Día 1
Tema
Observaciones
Bienvenida e introducción
Resumen de la estructura
del curso
08:30 registro
09:00 Modulo 1
Tutoría: Gestión de
Seguridad
de
Página 31 de 42
la Una visión al Sistema de
la Gestión de la Seguridad
Modulo 2
Información
Tutoría: Visión
Auditoria
Modulo 3
la Discusión en el marco de
una auditoria, incluyendo
auditores
de
primera,
segunda y tercera parte
para
asegurar
un
entendimiento común de lo
que
es
un
auditor,
terminología y estándares.
Modulo 4
Tutoría: Estándares en la Una mirada a algunos de
Gestión de la Seguridad los
principales
de la Información
requerimientos del Sistema
de Gestión Seguridad de
la Información: Estándares
y Controles
12:30
Almuerzo
13:15 Modulo 6
Taller: Auditoria Práctica
Modulo 5
Estándares en la Gestión Continuación: incluyendo
de la Seguridad de la los controles y sumarios
Información
Tutoría:
riesgo
de
Evaluación
Ejercicio práctico usando
la norma e identificando
los controles usados
del Mirada al inventario de
activos,
amenazas,
vulnerabilidades, proceso
de cálculo y valoración del
riesgo
Modulo 6A
Taller:
Evaluación
Página 32 de 42
del Ejercicio práctico diseñado
para evaluar el inventario
de activos y el proceso de
Riesgo
valoración del riesgo
Tutoría: Manejo del Riesgo
Perspectiva general del
tratamiento y proceso de
del riesgo
Taller: Manejo del Riesgo
Ejercicio práctico para
evaluar el proceso de
manejo del riesgo y
generación de reportes.
Tutoría: Documentación de
los Sistemas de Gestión
de
Seguridad
de la
Información
Mirada a las políticas del
Sistema de Gestión de
Seguridad, procedimientos
y documentación
Modulo 6B
Modulo 6C
Modulo 6D
Modulo 7
Modulo 19
Tutoría: Sesión Informativa Introducción y discusión
Parte 1
del examen
18:30 Cierre
Día 2
Tema
Observaciones
08:30 Modulo 8
Taller:
Documento
de Estudio
de
la
Studio:
Sistema
de documentación
del
Gestión de la Seguridad
Sistema de Gestión de la
Seguridad
de
la
Página 33 de 42
Información
Modulo 9
Tutoría: Planeación de una Discusión sobre los puntos
Auditoria
de consideración en la
planeación
de
una
auditoria
Taller: Planeando
Auditoria
Modulo 10
Modulo 11
Tutoría: Checklists
12:30
Almuerzo
13:15 Modulo 12
Taller:
checklists
Discusión
para
efectivamente preparar y
usar las notas de preauditoria y los checklists
para el logro de objetivos.
Preparando Práctica para el desarrollo
y uso de checklists
Tutoría:
Apertura
Reuniones
de Discusión acerca de los
puntos requeridos para
cubrir la reunión de
apertura
Taller:
Apertura
Reuniones
de Ejercicio de rol: ejecución
de la reunión de apertura
Tutoría:
Auditoria
de Discusión de entrevistas,
preguntas y técnicas de
toma de notas
Modulo 13
Modulo 14
una Sesión práctica para el
desarrollo de un plan de
auditoría.
Técnicas
Modulo 15
Página 34 de 42
Modulo 16
Taller: Estudio de caso de Ejercicio
práctico:
Auditoria – Parte 1
Introducción a un caso de
estudio
Modulo 17
Taller: Trascripción de no Ejercicio
práctico
conformidades - 1
introducción a las
conformidades
de
no
18:30 Cierre
Día 3
Tema
Observaciones
08:30 Modulo 18
Taller: Estudio de Caso de Caso de Estudio 1 –
Auditoria - Parte 2
preparación de la segunda
parte
Modulo 18
Taller: Estudio de Caso de Retroalimentación 2
Auditoria - Parte 2
12:30
Almuerzo
13:15 Modulo 22
Tutoría: Trascripción de no Discusión para preparar un
Conformidades
histórico de hallazgos
Modulo 23
Taller: Escritura de No Practica de escritura de no
Conformidades – Parte 2
conformidades
Página 35 de 42
Tutoría:
Auditoria
Técnicas
Modulo 20
de Práctica en la preparación
de la declaración de
hallazgos
Modulo 21
Taller:
Técnicas
Auditoria
de
Modulo 19
Sesión Informativa
Modulo 24
Caso de estudio 2 –Parte Preparación del rol jugado
1
en el caso de estudio 2
Modulo 24
Caso de estudio 2 – Parte Retroalimentación
1
Información
examen
acerca
del
18:30 Cierre
Día 4
Tema
08:30 Modulo 25
Caso de Auditoria 2 - Parte Preparación para el resto
2
del caso de estudio 2
Modulo 25
12:30
Observaciones
Caso de Auditoria 2 - Parte Estudio y retroalimentación
2
del caso de estudio 2
Almuerzo
Página 36 de 42
13:15 Modulo 26
Modulo 27
Tutoría:
Cierre
Reuniones
Discusión
de
los
principales puntos que
deben ser incluidos en los
reportes y documentos de
una auditoria
Tutoría: Reportes
Taller: Resumen
auditoria Parte 1
de Discusión para planear y
presentar una reunión de
cierre
de
Modulo 32
la Ejercicio
preparar
auditoria
práctico para
reportes
de
Modulo 29
Taller: Cierre de Auditorias Ejercicios prácticos de
Parte 1
juego de rol en las
reuniones de cierre –
preparación
Modulo 29
Taller: Reuniones de cierre Retroalimentación
– Parte 2
reuniones de cierre
de
18:30 Cierre
Día 5
Tema
Observaciones
08:30 Modulo 30
Tutoría: Seguimiento
acciones correctivas
Página 37 de 42
y Discusión de los aspectos
a ser cubiertos en las
auditorias
de
no
conformidades
y
seguimiento a las acciones
correctivas
Modulo 34
Taller:
Seguimiento
Acciones Correctivas
y Ejercicio práctico en el
análisis y efectividad de
acciones correctivas y
previa retroalimentación
Modulo 32
Taller:
resumen
Auditoria Parte 2
Modulo 33
Tutoría: Una perspectiva a Una
mirada
las auditorias de de auditorias
de
primera, segunda y tercera parte.
parte
12:30
Almuerzo
13:15
Administración -Examen
17:00
Cierre
de Ejercicio
para
dar
finalización a un resumen
de auditoria
NOTA: El sexto día corresponde al desarrollo del examen de certificación.
Página 38 de 42
a
las
primera
2.1.10.
Preparación a la Certificación CISSP®
Qué es la Certificación CISSP®?
CISSP® es la certificación en Seguridad de la Información más reconocida a nivel mundial y es avalada
por el (ISC)2, International Information Systems Security Certification Consortium.
Fue diseñada con el fin de reconocer una maestría de conocimientos y experiencia en Seguridad de la
Información con una ética comprobada en el desarrollo de la profesión.
El (ISC)2, International Information Systems Security Certification Consortium (https://www.isc2.org), es
una organización sin ánimo de lucro que se encarga de:
Mantener el “Common Body of Knowledge” en Seguridad de la Información.
Certificar profesionales en un estándar internacional de Seguridad de la Información.
Administrar los programas de entrenamiento y certificación.
Garantizar la vigencia de las certificaciones a través de programas de capacitación continua.
Requisitos de certificación CISSP®:
1. Firmar el Código de Ética del ISC2
2. Certificar experiencia de mínimo 4 años en el área de Seguridad de la Información en algún
dominio del CBK o certificar la misma experiencia por 3 años adicionando un título profesional
3. Contestar afirmativamente el 70% de un examen de 250 preguntas de opción múltiple,
relacionadas con los 10 dominios del CBK (Common Body of Knowledge) y que deben ser
resueltas en un periodo de 6 horas
4. Contar con un aval de un tercero calificado (CISSP activo o empleador) referenciando al candidato
a CISSP®
Mayor información:
https://www.isc2.org/cgi-bin/content.cgi?category=1187
Página 39 de 42
Quién debería asistir:
Directores o gerentes de tecnología, directores y oficiales de seguridad de la Información y personal
responsable en temas de seguridad de la Información dentro de la organización.
Contenido del Curso:
Los temas del curso son los contenidos en el Common Body of Knowledge (CBK):
Dominio 1: Access Control
Dominio 2: Application Security
Dominio 3: Business Continuity Planning and Disaster Recovery Planning
Dominio 4: Cryptography
Dominio 5: Information Security and Risk Management
Dominio 6: Legal, Regulations, Compliance and Investigation
Dominio 7: Operations Security
Dominio 8: Physical (Enviromental) Security
Dominio 9: Security Architecture and Design
Dominio 10: Telecommunications and Network Security
Página 40 de 42
Beneficios de la certificación para la empresa:
Permite contar con profesionales certificados con el conocimiento adecuado para establecer las
mejores prácticas de seguridad en la compañía.
El conocimiento certificado del “Common Body of Knowledge (CBK)” provee una gran capacidad
para la definición de soluciones adecuadas para la organización.
La certificación brinda un mayor nivel de credibilidad a las empresas en materia de Seguridad de la
Información.
Permite la administración de riesgos de una organización, desde una perspectiva de negocio y
tecnología.
Beneficios de la certificación para el profesional:
Garantiza un alto nivel de conocimientos en Seguridad de la Información
Marca un diferencial entre profesionales dedicados a Seguridad de la Información
Reafirma un compromiso ético como profesional de Seguridad de la Información.
2.2. Talleres prácticos:
Se propone desarrollar los siguientes talleres en seguridad de la información:
•
•
•
•
Análisis de riesgos.
Modelo de seguridad.
Planes de sensibilización.
Planes de seguridad.
Página 41 de 42
3. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN
Se entregan adjuntos con este documento, los diseños en formato electrónico de los materiales y sus
contenidos relacionados con la campaña de capacitación y sensibilización elaborados en la presente
consultoría.
Ver Carpeta “6. Capacitación - Material de capacitacion y sensibilizacion” en el CD-ROM entregado.
Página 42 de 42

capacitación - modelo de seguridad de la información para la

Transcripción

Documentos relacionados

www.tecreynosa.edu.mx

CURSO DIPLOMATURA EN PROTOCOLO Y CEREMONIAL