Beruflich Dokumente
Kultur Dokumente
FORMATO PRELIMINAR AL DOCUMENTO Ttulo: Fecha elaboracin aaaa-mm-dd: Sumario: Palabras Claves: Formato: Dependencia: Investigacin y Planeacin Documento para revisin por parte del Supervisor del contrato PLAN DE CAPACITACIN - MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA 26 Diciembre 2008 CORRESPONDE AL ENTREGABLE 15: PLAN DE CAPACITACIN - MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA Manejo de imagen, afiches, logos, folletos Lenguaje: Castellano
Cdigo:
Versin:
Estado:
Categora: Autor (es): Revis: Aprob: Informacin Adicional: Ubicacin: Equipo consultora Digiware Juan Carlos Alarcon Ing. Hugo Sin Triana Firmas:
Pgina 2 de 42
CONTROL DE CAMBIOS
VERSIN 0 1 FECHA 17/12/2008 26/12/2008 No. SOLICITUD RESPONSABLE Miguel Angel Duarte. Equipo del Proyecto DESCRIPCIN Elaboracin del documento Revisin interna conjunta equipo consultora Digiware
Pgina 3 de 42
TABLA DE CONTENIDO
2. PLAN DE CAPACITACIN ............................................................................................................................. 20 2.1. 2.1.1. 2.1.2. 2.1.3. 2.1.4. 2.1.5. 2.1.6. 2.1.7. 2.1.8. 2.1.9. 2.1.10. 2.2. CURSOS EN SEGURIDAD DE LA INFORMACIN ..............................................................................................................20 GESTIONANDO LA SEGURIDAD DE LA INFORMACIN .....................................................................................................20 ESTNDARES DE SEGURIDAD DE LA INFORMACIN .......................................................................................................21 EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BCP/DRP ........................................................................22 SEGURIDAD EN REDES INALMBRICAS ........................................................................................................................24 SEGURIDAD AVANZADA EN WINDOWS Y UNIX ............................................................................................................25 TCNICAS AVANZADAS EN ATAQUES Y DEFENSA ..........................................................................................................26 COMPUTACIN FORENSE .........................................................................................................................................28 PREPARACIN PARA LA CERTIFICACIN ETHICAL HACKING (CEH). ..................................................................................29 ENTRENAMIENTO ISO/IEC 27001:2005 ISMS LEAD AUDITOR ....................................................................................30 PREPARACIN A LA CERTIFICACIN CISSP ................................................................................................................39 TALLERES PRCTICOS...............................................................................................................................................41
Pgina 4 de 42
1. PLAN DE SENSIBILIZACIN
La gran mayora de las personas, desconoce sobre temas de seguridad de la informacin y, en especial, el alcance del tema. Quin no ha escuchado alguna vez las preguntas; pero cmo, seguridad de la informacin tambin se encarga de la seguridad fsica? Qu tiene que ver seguridad de la informacin con los papeles impresos? Cmo, seguridad de la informacin no es lo mismo que seguridad informtica? Hoy, ms del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivacin, carencia de entrenamiento organizacional) y, a travs de la ingeniera social. Esto se debe a que resulta ms fcil obtener la contrasea de un usuario en la red de la entidad, que vulnerar los sistemas de seguridad y cifrado. Asimismo, con tan slo recorrer un par de puestos de trabajo, se pueden encontrar contraseas escritas y pegadas en la pantalla o debajo del teclado.
Las alternativas que se recomiendan utilizar para que el plan de sensibilizacin sea factible son: Folletos Carteles Material BTL Material POP Uso de tecnoligia Presentaciones de Capacitacin.
La campaa de sensibilizacin a los diferentes grupos objetivo definidos, tendr una duracin mnima de 12 meses, que iniciarn con el plan de sensibilizacin (ver captulo 1.1), y despus, se desarrollar un apoyo por medio de los afiches y folletos para dar a conocer masivamente la campaa para el pblico en general. En cuanto a los folletos, se recomienda entregarlos en los recibos de los proveedores de Internet como los ISP, ya que ese es un medio muy utilizado y extremadamente efectivo debido a que los usuarios miran siempre el recibo. Esto puede ser cambiado peridicamente por el juego que se encuentra anexo en los materiales diseados como el Rompecocos, ver numeral 1.2.3 y en el numeral 4 del presente
Pgina 5 de 42
documento, ya que es dinmico, y da consejos tiles y eficaces. Los concejos pueden ser renovados frecuentemente para que los usuarios conozcan paulatinamente sobre el avance de la campaa. Los fondos de pantalla tambin pueden ser dados a conocer por medio de la pgina de Internet de Gobierno en Lnea para que las personas los puedan descargar e instalar en sus computadores. Para los proveedores de Internet, se pueden entregar 3 fondos de pantalla que pueden ser cambiados cada mes para que las personas conozcan cosas diferentes sobre el modelo de seguridad de la informacin. Las presentaciones tambin pueden ser descargadas desde la pgina de Internet para que las usuarios profundicen y aprendan ms sobre el tema, as mismo, los cursos de capacitacin pueden ser dictados para toda clase de proveedores de Internet de forma que mejoren la seguridad de la informacin se de sus empresas y conozcan mas sobre el modelo de seguridad de la informacin; estas capacitaciones estn especificadas en el siguiente captulo con sus contenidos, duracin y desarrollo. Los folletos, sern distribuidos en los caf Internet de la misma manera que ser distribuido el medio BTL; de este modo, los usuarios que no tienen acceso a un servicio de Internet desde el hogar, tambin sern beneficiados y sern conocedores del modelo de seguridad de la informacin. Como recomendacin adicional para todos los establecimientos proveedores de Internet como son los caf Internet y Telecentros, se recomienda que ellos tambin asistan a los cursos de capacitacin, en el mismo, se les dar un certificado de asistencia para que los administradores y propietarios dichos establecimientos, se hagan partcipes y a la vez, divulgadores de la campaa de seguridad de la informacin.
Existe la mentalidad que no hay nada importante por proteger en su computador. Existe el concepto errado que la tecnologa por si misma puede resolver sus problemas de seguridad. Continuamente se generan nuevos mtodos de Ingeniera Social que mediante engaos buscan obtener informacin confidencial. Debemos conocer tanto las amenazas externas como las internas.
Debido a todas estas razones, el plan de sensibilizacion para el nuevo modelo de seguridad de la informacin para la estrategia de Gobierno en Lnea, es, lograr que las personas conozcan los motivos y razones que generan los diferentes tipos de incidentes en seguridad de la informacin que existen alrededor de cada uno y acojan las debidas precauciones recomendadas a travs medios de concienciacin y sensibilizacin. Esta presentacin se puede dar a aconocer por medio de los cursos preparese 2009.
Pgina 6 de 42
Para el desarrollo de este plan, se pretende involucrar a todos los funcionarios pblicos, ISP, cafs internet y usuarios de Gobierno en Lnea, con el fin de vincular a todas estas entidades y personas a que conozcan el modelo de seguridad de la informacin para la estrategia de Gobierno en Lnea. Conjuntamente, este plan de sensibilizacin, esta reforzado por las capacitaciones que se dictarn abarcando temas especializados en seguridad de la informacin, p. ej.: Anlisis de riesgos, Modelo de seguridad SGSI, Planes de sensibilizacin, Planes de respuesta ante incidentes, Planes de continuidad del negocio, etc. las cuales estn especificadas con ms detalle en el punto 3 de capacitacin dentro de este documento. Ver Anexo presentacin para sensibilizacin.ppt
1.1.1.
Objetivos Especficos
Disear la campaa de sensibilizacin y capacitacin con los medios de comunicacin que se propongan. Profundizar los conocimientos tcnicos sobre seguridad de la informacin a los usuarios de Gobierno en Lnea y las empresas objetivo que implementen el modelo de seguridad. Contribuir a motivar el compromiso de los funcionarios pblicos, ISP, cafs Internet y usuarios de Gobierno en Lnea, con el modelo de Seguridad de la informacin. Sensibilizar a los ciudadanos sobre los riesgos en la seguridad de la informacin y cuales deben ser las principales medidas de higiene a tener en cuenta a la hora de realizar trmites y transacciones por Internet.
1.1.2.
Son campaas peridicas en donde se dedica un periodo de tiempo a divulgar un tema especfico del Plan de sensibilizacin. Temas y Niveles de Campaa:
Pgina 7 de 42
Nivel Bsico Dirigido a todos los usuarios de Gobierno en Lnea y ciudadanos en general; desarrollado con conceptos bsicos. Contraseas Seguras Internet Seguro Seguridad fsica
Nivel Tcnico Dirigido a los profesionales y usuarios de Gobierno en Lnea con temas ms tcnicos, mayor grado de profundizacin y complejidad en el rea de la seguridad de la informacin. Contraseas Seguras Internet Seguro Ingeniera Social Seguridad fsica
Nivel Jurdico Dirigido a los profesionales y/o directivos con una profundizacin ms amplia en las nuevas leyes y regulaciones ms relevantes a tener en cuenta en un modelo de seguridad de la informacin, como la Ley 1266 de 2008 de Habeas Data y la Ley 1273 sobre Delitos Informticos. Delito Informtico Computacin forense Atencin a incidentes
1.1.3.
Logotipo:
El logotipo ser el principal elemento de diferenciacin como campaa de sensibilizacin, ubicar espacialmente al espectador dentro del contexto del Modelo de Seguridad de la informacin, y de su importancia como componente activo en la Estrategia de Gobierno en Lnea. El logotipo se incorporar como un trabajo de diseo que puede ser utilizado en la papelera, en afiches, carteles, en publicidad de prensa, merchandising, etc.
Pgina 8 de 42
La llave y la cerradura representan la clave para ingresar al Modelo de Seguridad de la Informacin, haciendo referencia directa a los ciudadanos y usuarios de Gobierno en Lnea como parte significativa de la estrategia de seguridad. El nombre est integrado con el logo creando as el logotipo de la campaa, imagen y frase concisa. La palabra clave representa que el usuario es el encargado de su seguridad y es responsable de protegerse por medio de recomendaciones en higiene de seguridad que se mencionan en la documentacin del proyecto (ver documento Modelo Seguridad - SANSI SGSI, numeral 5.7).
Colores: Los colores utilizados son los mismos que representan a nuestro pas, son utilizados como smbolo de patriotismo hacia el nuevo Modelo de Seguridad de la Informacin. Amarillo: Es el color que genera la atencin del usuario, el que capta todos sus sentidos; debido a que esta en contraposicin con el negro, este color es el primero en generar atencin. Azul: Este es el que le da estabilidad a esta combinacin de colores, ya que este color es el que genera la confianza y tranquilidad para el usuario.
Pgina 9 de 42
Rojo: Este color asocia al usuario con la precaucin y fuerza. Est asociado con el amarillo y azul para generar confianza y as no creer que sea prohibido interactuar con el Modelo de Seguridad de la Informacin. Negro: El negro es el toque de poder, autoridad y fortaleza que se le quiere dar al Modelo de Seguridad de la Informacin.
Afiches
Tiempo Los afiches se colocarn al inicio de la campaa dando a conocer lo que se quiere hacer para que las personas se familiaricen con el nuevo Modelo de Seguridad de la Informacin; la idea es que se cambien cada mes con nuevos enunciados para que las personas tengan en cuenta las principales prevenciones, peligros y factores relacionados con la seguridad de la informacin. A continuacin, se explican los afiches propuestos para la campaa:
Pgina 10 de 42
Este afiche quiere dar a conocer de una forma grafica a las personas, los errores en que generalmente incurren con su informacin personal; con esto se trata de sensibilizar sobre los principales factores de la seguridad de la informacin como son la confidencialidad, la integridad y la disponibilidad.
Este afiche se hace para prevenir a las personas que no deben dejar que cualquier persona manipule su computador ya sea personal o el de la empresa ya que el usuario puede verse expuesto a fraudes, prdida de datos, modificacin de informacin, divulgacin de informacin privada, entre otros peligros.
Pgina 11 de 42
Este afiche es para recordar a las personas que no deben abrir adjuntos que lleguen a su computador va correo electrnico proveniente de personas desconocidas o por medio de pginas no solicitadas.
Este afiche es para recordar a las personas, de una manera diferente, que deben cerrar la sesin de su computador cuando no se encuentren en el puesto de trabajo. Esto evitar que personas ajenas realicen acciones no autorizadas o peligrosas desde el mismo.
Pgina 12 de 42
En este afiche se quiere transmitir a las personas lo importante que es para la empresa o para ellas mismas, la informacin que poseen en su computador. Se quiere llamar, de una manera diferente, la atencin y curiosidad de las personas.
1.2.2.
Folletos
Objetivo Ofrecer informacin masiva ms detallada sobre los aspectos ms relevantes del Modelo de Seguridad.
Objetivos Especficos Conceptos claves en forma breve sobre la seguridad de la Informacin y las principales recomendaciones para que el Modelo de Seguridad de la Informacin sea utilizado por las entidades y la comunidad en general. Desarrollo de textos con una secuencia lgica de adquisicin de conocimientos y comprensin de los mismos. Profundizar sobre las principales polticas y controles del Modelo de Seguridad de la Informacin en las entidades y ms adelante, en los usuarios de Gobierno en Lnea. Aconsejar sobre una adecuada higiene de la informacin.
Tiempo Los folletos sern distribuidos al mismo tiempo que se lancen los primeros afiches de la campaa, con esto se le da apoyo y un impacto ms proporcionado. A continuacin, se presenta la propuesta de los folletos reaizados:
Pgina 13 de 42
Pgina 14 de 42
1.2.3.
Medio BTL
Tiene los mismos objetivos que los folletos; la informacin de este es tener un contacto directo y a la vez dinmico, para que las personas interacten con el Modelo de Seguridad de la Informacin, esto har que la recordacin sea mayor. Tiempo Este medio ser lanzado como medio de apoyo a la campaa junto con los folletos.
Pgina 15 de 42
Nombre Rompecocos. El objetivo de este juego, que se les dar a las personas, es que tengan recordacin de las principales ideas relacionadas con la seguridad de la informacin por medio del juego:
1.2.4.
Fondos de Pantalla
Las entidades y sus funcionarios, son el grupo objetivo de la campaa de sensibilizacin propuesta. El computador o porttil, es la herramienta esencial para el desarrollo de sus labores. Objetivo
Pgina 16 de 42
Disear e implementar los fondos de pantalla propuestos para ser instalados en los computadores de los funcionarios en las entidades objetivo, ya que este es el medio de contacto ms directo para crear conciencia de la seguridad de la informacin, valindose de elementos visuales que servirn principalmente para sensibilizar y reforzar los principios bsicos de la seguridad de la informacin. Objetivos Especficos Unir los elementos ms importantes de las piezas grficas y sus conceptos en una sola idea dinmica. Proteger la informacin sensitiva de las estaciones de trabajo. Reforzar los conceptos bsicos de Seguridad de la Informacin.
Estructura Unidad de campaa. Graficas y textos de los afiches y folletos, con los conceptos ms relevantes de cada uno, en un entorno dinmico.
Pgina 17 de 42
1.2.5.
Recordatorios
Creacin de contraseas seguras Objetivo Elementos de sensibilizacin que sern entregados a las personas que asistan a las capacitaciones, estas son de uso personal, con el fin que ellos puedan crear contraseas seguras tanto en su ambiente laboral como en su vida cotidiana.
ESPECIFICACIONES Juego Rubik con un papel para decirles a las personas que las claves tienen que ser mnimo de ocho dgitos y alfanumricas, estos cubos llevaran letras y nmeros surtidos.
Pgina 18 de 42
1.2.6.
Presentaciones
Objetivo Material de divulgacin y estudio con conceptos tcnicos del Modelo de Seguridad de la Informacin.
Objetivos Especficos
Plasmar con mayor profundidad conceptos, definiciones y explicaciones tcnicas del Modelo de Seguridad de la Informacin implementado para la Estrategia de Gobierno en Lnea. Facilitar a la Estrategia de Gobierno en Lnea, la difusin y el entendimiento del Modelo de Seguridad de la Informacin implementado en las entidades objetivo.
Especificaciones Todos los elementos se entregan es su formato original, ver numeral 4 del presente documento para mayor informacin. Afiches: Adobe Photoshop. Fondos de pantalla: Adobe Photoshop. Logos: Adobe Illustrator. Material BTL: Freehand MX. Recordatorio: Freehand MX
Pgina 19 de 42
2. PLAN DE CAPACITACIN
Pre-requisitos:
Pgina 20 de 42
Conocimientos bsicos en Seguridad de la Informacin, definiciones. Conocimientos bsicos en la norma ISO /IEC 27001 Conocimientos bsicos en informtica y tecnologa. Conocimientos en anlisis de riesgos
Conocimientos adquiridos en el curso: Fundamentos de Seguridad de la Informacin. Introduccin a la Norma ISO 17799, ISO/IEC 27002. Introduccin a la Norma BS 7799-2, ISO/IEC 27001. El Sistema de Gestin de Seguridad de la Informacin SGSI. Los Dominios de Control. Identificacin de la aplicabilidad de los mecanismos de control. Definicin e implementacin de la estrategia. El proceso de Anlisis de Riesgos. Factores crticos de xito en la implementacin del SGSI.
Temas de los talleres prcticos: Anlisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001). Identificacin de controles de la norma aplicables a riesgos identificados. Desarrollo de una declaracin de aplicabilidad. Valoracin de la implementacin del SGSI. Auditoria de cumplimiento BS 7799-2 y ISO/IEC 27001.
Prerrequisititos: Conocimientos bsicos en seguridad de la informacin Conocimientos bsicos en anlisis de riesgos Conocimientos bsicos en auditoria
Conocimientos adquiridos en el curso: Objetivos, alcances y puntos esenciales de cada estndar mencionado Elementos necesarios para la comparacin de estndares Construccin de una hoja de trabajo para la comparacin de estndares Diferentes alternativas para articular las necesidades organizacionales en cuanto a gestin de riesgos, seguridad de la informacin y auditoria.
Temas de los talleres prcticos: Riesgos de no utilizar estndares y mejores prcticas Construccin de la hoja de trabajo para comparacin de estndares Identificacin de rutas alternativas para la implementacin de estndares
Pgina 22 de 42
A quin est dirigido: Gerentes o directores de informtica o tecnologa. Gerentes o Directores que tengan a cargo el tema de Seguridad de la Informacin. Profesionales que actualmente desempeen labores de Seguridad de la Informacin. Personal de cualquier organizacin que actualmente estn trabajando algn tema de Seguridad de la Informacin. Profesionales que actualmente desempeen labores de auditora. Profesionales que actualmente estn trabajando el tema de continuidad del negocio y/o recuperacin ante desastres. Profesionales de cualquier rea de una compaa.
Pre-requisitos: Conocimientos bsicos en manejo de riesgos. Conocimientos bsicos sobre procesos. Conocimientos adquiridos en el curso: La teora bsica de BCP/DRP. Planes de contingencia y recuperacin ante desastres (DRP). La teora bsica de BIA/RIA. La teora bsica de RTO/RPO/MAO/FTL. Mantenimiento y Entrenamiento. Estrategias de continuidad del Negocio. Desarrollo e Implementacin. Prcticas, Mantenimiento y Auditoria. Temas de los talleres prcticos: Planeacin de un BCP. Anlisis de riesgos (RIA). Anlisis de Impactos (BIA). Desarrollo de estrategias. Desarrollo de un BCP. Sensibilizacin y capacitacin. Prueba y ejercicio. Mantenimiento y actualizacin. Planes de evacuacin y manejo de crisis.
Pgina 23 de 42
Pre-requisitos: Conocimientos bsicos en redes Inalmbricas y comunicaciones, definiciones. Conocimientos bsicos en informtica y tecnologa. Conocimientos bsicos de Linux. Conocimientos bsicos de Windows. Curso Bsico de Seguridad de la Informacin.
Conocimientos adquiridos en el curso: Conceptos bsicos y avanzados de redes inalmbricas. Conceptos bsicos y avanzados de seguridad en redes inalmbricas. Vulnerabilidades en protocolos, procesos y autenticacin. Tcnicas de ataque comunes. Tcnicas de aseguramiento de redes inalmbricas. Comandos y herramientas comnmente utilizadas.
Pgina 24 de 42
Acerca de los laboratorios: Cada participante tiene asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados, en plataformas Linux y Windows. Cada uno de los laboratorios diseados para este curso se encuentran organizados para evidenciar de forma prctica las vulnerabilidades existentes en redes inalmbricas, cmo explotar estas vulnerabilidades y busca la comprensin por parte de los participantes de las mejores prcticas de seguridad para implementar una apropiada configuracin dentro de las redes, evitando las posibilidades de ataques, prdida de informacin o negacin de servicios.
Prerrequisititos: Conocimientos bsicos de Windows y Unix (comandos, sistema de archivos, usuarios) Conocimiento en aplicaciones Windows Conocimientos de redes y comunicaciones Curso bsico de seguridad de la informacin
Pgina 25 de 42
Conocimientos adquiridos en el curso: Conceptos de seguridad en sistemas operacionales Nivel C2 de seguridad de sistemas operacionales Conceptos avanzados de seguridad en Windows y Unix Tcnicas de ataques comunes a plataformas Windows y Unix Vulnerabilidades en protocolos, puertos y servicios Vulnerabilidades asociadas a las instalaciones por defecto Administracin de usuarios, contraseas y permisos Configuracin segura de servidores Web, Correo, DNS Configuracin y uso de herramientas de deteccin y monitoreo
Temas de los talleres prcticos: Cada participante tiene asignado un PC donde a medida que se abordan los tema se revisan los aspectos asociados. Se puede contar con laboratorios prcticos como: Escalamiento de privilegios Ataques a los servicios ms comunes Ataques y aseguramiento de IIS Sniffers Encripcin de archivos Configuracin de IDS Configuracin de control de acceso Debilidades asociadas a cada arquitectura Aseguramiento de servidores Comandos y herramientas comnmente utilizadas
tipos de sistemas operativos y aplicaciones. El curso inicia identificando la forma de operacin de un intruso, sus tcticas, desde las ms comunes y sencillas, hasta aquellas tcnicas y estrategias de ataque ms elaboradas, posteriormente se aprendern los mecanismos de defensa con los cuales se puede detener a un intruso. A quin est dirigido: Administradores de Firewalls, IDS, redes, sistemas y aplicaciones. Personal de Seguridad de la Informacin. Oficiales de Seguridad de la Informacin. Pre-requisitos: Buen entendimiento en redes y TCP/IP. Conocimientos bsicos de programacin en C. Buen entendimiento prctico de plataformas Windows (95/98/ME/XP/2000/2003) y de aplicaciones asociadas. Buen entendimiento prctico y manejo bsico de plataformas Unix (Mandriva, Redhat, SuSe) y de aplicaciones asociadas. Conocimientos conceptuales bsicos de Seguridad de la Informacin. Conocimientos conceptuales sobre Firewalls, IDS y otras tecnologas de seguridad. Conocimientos adquiridos en el curso:
Evolucin de la Seguridad de la Informacin. Cmo identificar y comprender los tipos de ataques existentes en la actualidad. Entender y utilizar las herramientas empleadas por los intrusos para diferentes sistemas operativos (Unix, Windows). Cmo poner en prctica las tcnicas de ataques mediante laboratorios guiados. Conocer en profundidad las estrategias de ataques. Deteccin de herramientas en un sistema atacado. Deteccin en lnea de ataques. Cmo engaar a los intrusos. Implementacin de herramientas de defensa. Diseo e implementacin de arquitecturas de defensa.
Acerca de los laboratorios: Desde el inicio del curso hasta el final, se disearn e implementarn diferentes arquitecturas de ataque y defensa, donde se incluirn diversos temas, entre otros: Recoleccin de informacin Sniffers ARP Spoofing TCP- Hijacking Buffer Overflows Puertas Traseras Deteccin de herramientas en un sistema atacado
Pgina 27 de 42
Configuracin de alertas Configuracin de IDS Configuracin de honeypots Monitoreo y registro del sistema. Implementacin de mecanismos de defensa en redes, sistemas operativos y aplicaciones
Pgina 28 de 42
Disear laboratorios especiales para los siguientes temas: Lectura de lneas de tiempo. Tcnicas de recoleccin de evidencia digital (en Host y en Red). Procedimientos de anlisis de evidencia digital.
Pre-requisitos: Conocimiento de sistemas operativos Unix (utilizacin, comandos). Conocimiento de sistemas de archivos (Conceptos bsicos de EXT2/3, FAT12/16/32, NTFS). Alto nivel tcnico en general. Bases numricas, Conceptos de TCP/IP, Conceptos de Redes, Conceptos de IDS (Sistemas de Deteccin de Intrusos), entre otros.
Da 1 - Reconocimiento de red y Test de Penetracin Da 2 - Explotacin remota de vulnerabilidades y Ataques a autenticacin de password Da 3 - Acceso extendido y Penetracin profunda a los objetivos Da 4 - Ataques a infraestructura de red, Ataques Inalmbricos, Remocin de evidencia Da 5 - Hacking a aplicaciones Web y simulacro examen
Estructura de curso: Antecedentes y visin general de la norma ISO/IEC 27001 y otros Estndares de Seguridad de la Informacin. Introduccin e implementacin de un sistema de auditora y el rol del auditor en el proceso. Gestin del rol en la revisin de riesgos y la efectividad en general del Sistema de Gestin de Seguridad de la Informacin Planeacin y manejo de un proceso basado en auditoria: Recursos y tiempo Uso de checklists Seleccin de grupos de auditoria Conduciendo una auditoria destrezas, tcnicas y competencias del auditor: Evaluacin del significado de los hallazgos encontrados en una auditoria Comunicacin y presentacin de reportes de auditoria No conformidades y mejoramiento de la seguridad como resultado de las acciones correctivas
Pgina 30 de 42
Manejo de la evaluacin de la tercera parte y el proceso de certificacin. Beneficios de la certificacin: Desarrollo de competencias para la evaluacin del manejo de riesgos y controles esenciales para el Sistema de Gestin de Seguridad de la Informacin. Entendimiento del rol de los auditados en el Sistema de Gestin de la Seguridad de la Informacin y el rol de los auditores para promover el mejoramiento contino. Habilidades para el total entendimiento de cmo las terceras partes perciben el Sistema de Gestin de Seguridad de la Informacin y su cumplimiento para la certificacin. Colaboracin de los auditores para crear un ambiente que conduzca a la excelencia. A quien est dirigido: Profesionales que deseen certificarse como ISMS Auditores Lideres registrados. Profesionales que lideren el tema de la certificacin de sus organizaciones en el Estndar ISO/IEC 27001:2005 Es prerrequisito el conocimiento de la norma ISO/IEC 27001:2005 para el completo entendimiento de los principios desarrollados en este curso.
Metodologa: Este es un curso altamente participativo basado en una serie de sesiones usando tutoras, casos de estudio, talleres interactivos y discusiones abiertas, generando un ambiente prctico que provee una nica oportunidad para guiar y entrenar al participante. Agenda:
Da 1
Tema
Observaciones
08:30 registro
09:00 Modulo 1
Bienvenida e introduccin
Pgina 31 de 42
Modulo 2
Informacin
de
Modulo 3
la Discusin en el marco de una auditoria, incluyendo auditores de primera, segunda y tercera parte para asegurar un entendimiento comn de lo que es un auditor, terminologa y estndares.
Modulo 4
Tutora: Estndares en la Una mirada a algunos de Gestin de la Seguridad los principales de la Informacin requerimientos del Sistema de Gestin Seguridad de la Informacin: Estndares y Controles
12:30
Almuerzo
13:15 Modulo 6
Modulo 5
Tutora: riesgo
Evaluacin
del Mirada al inventario de activos, amenazas, vulnerabilidades, proceso de clculo y valoracin del riesgo
Modulo 6A
Taller:
Evaluacin
Pgina 32 de 42
Riesgo Modulo 6B
Ejercicio prctico para evaluar el proceso de manejo del riesgo y generacin de reportes.
Modulo 19
18:30 Cierre
Da 2
Tema
Observaciones
08:30 Modulo 8
Taller: Documento de Estudio de la Studio: Sistema de documentacin del Gestin de la Seguridad Sistema de Gestin de la Seguridad de la
Pgina 33 de 42
Informacin
Modulo 9
Tutora: Planeacin de una Discusin sobre los puntos Auditoria de consideracin en la planeacin de una auditoria
Modulo 11
Tutora: Checklists
Discusin para efectivamente preparar y usar las notas de preauditoria y los checklists para el logro de objetivos.
12:30
Almuerzo
13:15 Modulo 12
Taller: checklists
Modulo 14
Tcnicas
Pgina 34 de 42
Modulo 16
Taller: Estudio de caso de Ejercicio prctico: Auditoria Parte 1 Introduccin a un caso de estudio
Modulo 17
de no
18:30 Cierre
Da 3
Tema
Observaciones
08:30 Modulo 18
Taller: Estudio de Caso de Caso de Estudio 1 Auditoria - Parte 2 preparacin de la segunda parte
Modulo 18
12:30
Almuerzo
13:15 Modulo 22
Modulo 23
Pgina 35 de 42
Tcnicas
Modulo 21
de
Modulo 19
Sesin Informativa
Informacin examen
acerca
del
Modulo 24
Modulo 24
18:30 Cierre
Da 4
Tema
Observaciones
08:30 Modulo 25
Modulo 25
12:30
Almuerzo
Pgina 36 de 42
13:15 Modulo 26
Tutora: Cierre
Reuniones
Modulo 27
Tutora: Reportes
Discusin de los principales puntos que deben ser incluidos en los reportes y documentos de una auditoria
de
Modulo 29
Taller: Cierre de Auditorias Ejercicios prcticos de Parte 1 juego de rol en las reuniones de cierre preparacin
Modulo 29
de
18:30 Cierre
Da 5
Tema
Observaciones
08:30 Modulo 30
y Discusin de los aspectos a ser cubiertos en las auditorias de no conformidades y seguimiento a las acciones
Pgina 37 de 42
correctivas
Modulo 34
Modulo 32
Modulo 33
Tutora: Una perspectiva a Una mirada las auditorias de de auditorias de primera, segunda y tercera parte. parte
a las primera
12:30
Almuerzo
13:15
Administracin -Examen
17:00
Cierre
Pgina 38 de 42
2.1.10.
Duracin: 5 das (40 horas) Qu es la Certificacin CISSP? CISSP es la certificacin en Seguridad de la Informacin ms reconocida a nivel mundial y es avalada por el (ISC)2, International Information Systems Security Certification Consortium. Fue diseada con el fin de reconocer una maestra de conocimientos y experiencia en Seguridad de la Informacin con una tica comprobada en el desarrollo de la profesin. El (ISC)2, International Information Systems Security Certification Consortium (https://www.isc2.org), es una organizacin sin nimo de lucro que se encarga de: Mantener el Common Body of Knowledge en Seguridad de la Informacin. Certificar profesionales en un estndar internacional de Seguridad de la Informacin. Administrar los programas de entrenamiento y certificacin. Garantizar la vigencia de las certificaciones a travs de programas de capacitacin continua. Requisitos de certificacin CISSP: 1. Firmar el Cdigo de tica del ISC2 2. Certificar experiencia de mnimo 4 aos en el rea de Seguridad de la Informacin en algn dominio del CBK o certificar la misma experiencia por 3 aos adicionando un ttulo profesional 3. Contestar afirmativamente el 70% de un examen de 250 preguntas de opcin mltiple, relacionadas con los 10 dominios del CBK (Common Body of Knowledge) y que deben ser resueltas en un periodo de 6 horas 4. Contar con un aval de un tercero calificado (CISSP activo o empleador) referenciando al candidato a CISSP Mayor informacin: https://www.isc2.org/cgi-bin/content.cgi?category=1187
Pgina 39 de 42
Quin debera asistir: Directores o gerentes de tecnologa, directores y oficiales de seguridad de la Informacin y personal responsable en temas de seguridad de la Informacin dentro de la organizacin. Contenido del Curso: Los temas del curso son los contenidos en el Common Body of Knowledge (CBK): Dominio 1: Access Control Dominio 2: Application Security Dominio 3: Business Continuity Planning and Disaster Recovery Planning Dominio 4: Cryptography Dominio 5: Information Security and Risk Management Dominio 6: Legal, Regulations, Compliance and Investigation Dominio 7: Operations Security Dominio 8: Physical (Enviromental) Security Dominio 9: Security Architecture and Design Dominio 10: Telecommunications and Network Security
Pgina 40 de 42
Beneficios de la certificacin para la empresa: Permite contar con profesionales certificados con el conocimiento adecuado para establecer las mejores prcticas de seguridad en la compaa. El conocimiento certificado del Common Body of Knowledge (CBK) provee una gran capacidad para la definicin de soluciones adecuadas para la organizacin. La certificacin brinda un mayor nivel de credibilidad a las empresas en materia de Seguridad de la Informacin. Permite la administracin de riesgos de una organizacin, desde una perspectiva de negocio y tecnologa. Beneficios de la certificacin para el profesional: Garantiza un alto nivel de conocimientos en Seguridad de la Informacin Marca un diferencial entre profesionales dedicados a Seguridad de la Informacin Reafirma un compromiso tico como profesional de Seguridad de la Informacin.
Pgina 41 de 42
Pgina 42 de 42