Capacitacion y Sensibilizacion Modelo de Seguridad PDF

ENTREGABLE 15: CAPACITACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE

GOBIERNO EN LÍNEA
ÁREA DE INVESTIGACIÓN Y PLANEACIÓN

© República de Colombia - Derechos Reservados
Bogotá, D.C., Diciembre de 2008

CAPACITACIÓN -
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
FORMATO PRELIMINAR AL DOCUMENTO
PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN

Título:
PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Fecha elaboración
26 – Diciembre – 2008
aaaa-mm-dd:
CORRESPONDE AL ENTREGABLE 15: PLAN DE CAPACITACIÓN - MODELO
Sumario: DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO
EN LÍNEA
Palabras Claves: Manejo de imagen, afiches, logos, folletos
Formato: Lenguaje: Castellano
Dependencia: Investigación y Planeación
Documento para
revisión por parte del
Código: Versión: 1 Estado:
Supervisor del
contrato
Categoría:
Autor (es): Equipo consultoría Digiware
Revisó: Juan Carlos Alarcon Firmas:
Aprobó: Ing. Hugo Sin Triana
Información Adicional:
Ubicación:
Página 2 de 42
CAPACITACIÓN -
CONTROL DE CAMBIOS
VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN

0 17/12/2008 Miguel Angel Duarte. Elaboración del documento
1 26/12/2008 Equipo del Proyecto Revisión interna conjunta equipo consultoría Digiware
Página 3 de 42
CAPACITACIÓN -
TABLA DE CONTENIDO
1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................ 5
1.1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................... 7

1.1.1. OBJETIVOS ESPECÍFICOS ............................................................................................................................................7
1.1.2. CAMPAÑAS DE SEGURIDAD DE LA INFORMACIÓN............................................................................................................7
1.1.3. LOGOTIPO ...............................................................................................................................................................8
1.2. INSTRUMENTOS DE SENSIBILIZACIÓN ............................................................................................................... 10
1.2.1. AFICHES ................................................................................................................................................................10
1.2.2. FOLLETOS..............................................................................................................................................................13
1.2.3. MEDIO BTL...........................................................................................................................................................15
1.2.4. FONDOS DE PANTALLA ............................................................................................................................................16
1.2.5. RECORDATORIOS ....................................................................................................................................................18
1.2.6. PRESENTACIONES ...................................................................................................................................................19
2. PLAN DE CAPACITACIÓN ............................................................................................................................. 20
2.1. CURSOS EN SEGURIDAD DE LA INFORMACIÓN ..............................................................................................................20

2.1.1. GESTIONANDO LA SEGURIDAD DE LA INFORMACIÓN .....................................................................................................20
2.1.2. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN .......................................................................................................21
2.1.3. EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BCP/DRP ........................................................................22
2.1.4. SEGURIDAD EN REDES INALÁMBRICAS ........................................................................................................................24
2.1.5. SEGURIDAD AVANZADA EN WINDOWS Y UNIX ............................................................................................................25
2.1.6. TÉCNICAS AVANZADAS EN ATAQUES Y DEFENSA ..........................................................................................................26
2.1.7. COMPUTACIÓN FORENSE .........................................................................................................................................28
2.1.8. PREPARACIÓN PARA LA CERTIFICACIÓN ETHICAL HACKING (CEH). ..................................................................................29
2.1.9. ENTRENAMIENTO ISO/IEC 27001:2005 ISMS LEAD AUDITOR ....................................................................................30
2.1.10. PREPARACIÓN A LA CERTIFICACIÓN CISSP® ................................................................................................................39
2.2. TALLERES PRÁCTICOS...............................................................................................................................................41
3. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN ....................................................................... 42
Página 4 de 42
CAPACITACIÓN -
1. PLAN DE SENSIBILIZACIÓN
La gran mayoría de las personas, desconoce sobre temas de seguridad de la información y, en especial, el
alcance del tema. Quién no ha escuchado alguna vez las preguntas; ¿pero cómo, seguridad de la
información también se encarga de la seguridad física? ¿Qué tiene que ver seguridad de la información
con los papeles impresos? ¿Cómo, seguridad de la información no es lo mismo que seguridad
informática?
Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados
descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento
organizacional) y, a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la
contraseña de un usuario en la red de la entidad, que vulnerar los sistemas de seguridad y cifrado.
Asimismo, con tan sólo recorrer un par de puestos de trabajo, se pueden encontrar contraseñas escritas y
pegadas en la pantalla o debajo del teclado.
Las alternativas que se recomiendan utilizar para que el plan de sensibilización sea factible son:
• Folletos
• Carteles
• Material BTL
• Material POP
• Uso de tecnoligia
• Presentaciones de Capacitación.
La campaña de sensibilización a los diferentes grupos objetivo definidos, tendrá una duración mínima de
12 meses, que iniciarán con el plan de sensibilización (ver capítulo 1.1), y después, se desarrollará un
apoyo por medio de los afiches y folletos para dar a conocer masivamente la campaña para el público en
general.
En cuanto a los folletos, se recomienda entregarlos en los recibos de los proveedores de Internet como los
ISP, ya que ese es un medio muy utilizado y extremadamente efectivo debido a que los usuarios miran
siempre el recibo. Esto puede ser cambiado periódicamente por el juego que se encuentra anexo en los
materiales diseñados como el “Rompecocos”, ver numeral 1.2.3 y en el numeral 4 del presente
Página 5 de 42
CAPACITACIÓN -
documento, ya que es dinámico, y da consejos útiles y eficaces. Los concejos pueden ser renovados
frecuentemente para que los usuarios conozcan paulatinamente sobre el avance de la campaña.
Los fondos de pantalla también pueden ser dados a conocer por medio de la página de Internet de
Gobierno en Línea para que las personas los puedan descargar e instalar en sus computadores. Para los
proveedores de Internet, se pueden entregar 3 fondos de pantalla que pueden ser cambiados cada mes
para que las personas conozcan cosas diferentes sobre el modelo de seguridad de la información.
Las presentaciones también pueden ser descargadas desde la página de Internet para que las usuarios
profundicen y aprendan más sobre el tema, así mismo, los cursos de capacitación pueden ser dictados
para toda clase de proveedores de Internet de forma que mejoren la seguridad de la información se de sus
empresas y conozcan mas sobre el modelo de seguridad de la información; estas capacitaciones están
especificadas en el siguiente capítulo con sus contenidos, duración y desarrollo.
Los folletos, serán distribuidos en los café Internet de la misma manera que será distribuido el medio BTL;
de este modo, los usuarios que no tienen acceso a un servicio de Internet desde el hogar, también serán
beneficiados y serán conocedores del modelo de seguridad de la información.
Como recomendación adicional para todos los establecimientos proveedores de Internet como son los
café Internet y Telecentros, se recomienda que ellos también asistan a los cursos de capacitación, en el
mismo, se les dará un certificado de asistencia para que los administradores y propietarios dichos
establecimientos, se hagan partícipes y a la vez, divulgadores de la campaña de seguridad de la
información.
¿Porque necesitamos un plan de sensibilizacion en seguridad de la información?
• Existe la mentalidad que no hay nada importante por proteger en su computador.
• Existe el concepto errado que la tecnología por si misma puede resolver sus problemas de
seguridad.
• Continuamente se generan nuevos métodos de “Ingeniería Social” que mediante engaños buscan
obtener información confidencial.
• Debemos conocer tanto las amenazas externas como las internas.
Debido a todas estas razones, el plan de sensibilizacion para el nuevo modelo de seguridad de la
información para la estrategia de Gobierno en Línea, es, lograr que las personas conozcan los motivos y
razones que generan los diferentes tipos de incidentes en seguridad de la información que existen
alrededor de cada uno y acojan las debidas precauciones recomendadas a través medios de
concienciación y sensibilización.
Esta presentación se puede dar a aconocer por medio de los cursos preparese 2009.
Página 6 de 42
CAPACITACIÓN -
Para el desarrollo de este plan, se pretende involucrar a todos los funcionarios públicos, ISP, cafés internet
y usuarios de Gobierno en Línea, con el fin de vincular a todas estas entidades y personas a que
conozcan el modelo de seguridad de la información para la estrategia de Gobierno en Línea.
Conjuntamente, este plan de sensibilización, esta reforzado por las capacitaciones que se dictarán
abarcando temas especializados en seguridad de la información, p. ej.: Análisis de riesgos, Modelo de
seguridad SGSI, Planes de sensibilización, Planes de respuesta ante incidentes, Planes de continuidad del
negocio, etc. las cuales están especificadas con más detalle en el punto 3 de capacitación dentro de este
documento.
Ver Anexo presentación para sensibilización.ppt
1.1. Plan de Sensibilización:
Diseñar la campaña, estrategia de sensibilización, divulgación y concienciación sobre el nuevo

MODELO DE SEGURIDAD DE LA INFORMACION PARA LA ESTRATEGIA DE GOBIERNO EN
LÍNEA, creando un compromiso y un impacto positivo en las entidades del Gobierno y en las entidades
privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea, como los ISP,
los Café Internet, Telecentros y Compartel, además de la comunidad académica y los ciudadanos en
general.
1.1.1. Objetivos Específicos
• Diseñar la campaña de sensibilización y capacitación con los medios de comunicación que se

propongan.
• Profundizar los conocimientos técnicos sobre seguridad de la información a los usuarios de

Gobierno en Línea y las empresas objetivo que implementen el modelo de seguridad.
• Contribuir a motivar el compromiso de los funcionarios públicos, ISP, cafés Internet y usuarios de
Gobierno en Línea, con el modelo de Seguridad de la información.
• Sensibilizar a los ciudadanos sobre los riesgos en la seguridad de la información y cuales deben
ser las principales medidas de higiene a tener en cuenta a la hora de realizar trámites y
transacciones por Internet.
1.1.2. Campañas de seguridad de la información:
Son campañas periódicas en donde se dedica un periodo de tiempo a divulgar un tema específico del
Plan de sensibilización.
Temas y Niveles de Campaña:
Página 7 de 42
CAPACITACIÓN -
Nivel Básico
Dirigido a todos los usuarios de Gobierno en Línea y ciudadanos en general; desarrollado con
conceptos básicos.
• Contraseñas Seguras
• Internet Seguro
• Seguridad física
Nivel Técnico
Dirigido a los profesionales y usuarios de Gobierno en Línea con temas más técnicos, mayor grado de
profundización y complejidad en el área de la seguridad de la información.
• Contraseñas Seguras
• Internet Seguro
• Ingeniería Social
• Seguridad física
Nivel Jurídico
Dirigido a los profesionales y/o directivos con una profundización más amplia en las nuevas leyes y
regulaciones más relevantes a tener en cuenta en un modelo de seguridad de la información, como la
Ley 1266 de 2008 de Habeas Data y la Ley 1273 sobre Delitos Informáticos.
• Delito Informático
• Computación forense
• Atención a incidentes
1.1.3. Logotipo:
El logotipo será el principal elemento de diferenciación como campaña de sensibilización, ubicará

espacialmente al espectador dentro del contexto del Modelo de Seguridad de la información, y de su
importancia como componente activo en la Estrategia de Gobierno en Línea.
El logotipo se incorporará como un trabajo de diseño que puede ser utilizado en la papelería, en afiches,
carteles, en publicidad de prensa, merchandising, etc.
Página 8 de 42
CAPACITACIÓN -
Las propuestas para el logotipo son las siguientes:
La llave y la cerradura representan la clave para ingresar al Modelo de Seguridad de la Información,

haciendo referencia directa a los ciudadanos y usuarios de Gobierno en Línea como parte significativa
de la estrategia de seguridad.
El nombre está integrado con el logo creando así el logotipo de la campaña, imagen y frase concisa. La
palabra clave representa que el usuario es el encargado de su seguridad y es responsable de protegerse
por medio de recomendaciones en higiene de seguridad que se mencionan en la documentación del
proyecto (ver documento Modelo Seguridad - SANSI –SGSI, numeral 5.7).
Colores:
Los colores utilizados son los mismos que representan a nuestro país, son utilizados como símbolo de
patriotismo hacia el nuevo Modelo de Seguridad de la Información.
Amarillo: Es el color que genera la atención del usuario, el que capta todos sus sentidos; debido a que
esta en contraposición con el negro, este color es el primero en generar atención.
Azul: Este es el que le da estabilidad a esta combinación de colores, ya que este color es el que genera
la confianza y tranquilidad para el usuario.
Página 9 de 42
CAPACITACIÓN -
Rojo: Este color asocia al usuario con la precaución y fuerza. Está asociado con el amarillo y azul para
generar confianza y así no creer que sea prohibido interactuar con el Modelo de Seguridad de la
Información.
Negro: El negro es el toque de poder, autoridad y fortaleza que se le quiere dar al Modelo de Seguridad
de la Información.
1.2. Instrumentos de Sensibilización
1.2.1. Afiches
Objetivo
Posicionamiento y continuidad visual de la campaña de sensibilización, divulgando los temas del

Modelo de Seguridad de la Información básicos para entidades del Gobierno, ISP, cafés Internet y
usuarios de la Estrategia de Gobierno en Línea.
Objetivos Específicos
• Abrir la campaña y darla a conocer.

• Captar la atención de los funcionarios y población en general para que interactúen con el
Modelo de Seguridad.
• Relacionar e interactuar la campaña con el programa de capacitación PREPÁRESE de la
Estrategia de Gobierno en Línea.
• Relacionar los afiches con los comportamientos que se buscan en cada uno de las personas
como pieza fundamental en el nuevo Modelo de Seguridad de la Información.
• Sensibilizar y capacitar a través de las imágenes y el texto de los instrumentos.
Tiempo
Los afiches se colocarán al inicio de la campaña dando a conocer lo que se quiere hacer para que las
personas se familiaricen con el nuevo Modelo de Seguridad de la Información; la idea es que se
cambien cada mes con nuevos enunciados para que las personas tengan en cuenta las principales
prevenciones, peligros y factores relacionados con la seguridad de la información.
A continuación, se explican los afiches propuestos para la campaña:
Página 10 de 42
CAPACITACIÓN -
Este afiche quiere dar a conocer de una forma

grafica a las personas, los errores en que
generalmente incurren con su información
personal; con esto se trata de sensibilizar sobre los
principales factores de la seguridad de la
información como son la confidencialidad, la
integridad y la disponibilidad.
Este afiche se hace para prevenir a las

personas que no deben dejar que cualquier
persona manipule su computador ya sea
personal o el de la empresa ya que el usuario
puede verse expuesto a fraudes, pérdida de
datos, modificación de información, divulgación
de información privada, entre otros peligros.
Página 11 de 42
CAPACITACIÓN -
Este afiche es para recordar a las personas que

no deben abrir adjuntos que lleguen a su
computador vía correo electrónico proveniente
de personas desconocidas o por medio de
páginas no solicitadas.
Este afiche es para recordar a las personas,

de una manera diferente, que deben cerrar la
sesión de su computador cuando no se
encuentren en el puesto de trabajo. Esto
evitará que personas ajenas realicen acciones
no autorizadas o peligrosas desde el mismo.
Página 12 de 42
CAPACITACIÓN -
En este afiche se quiere transmitir a las

personas lo importante que es para la
empresa o para ellas mismas, la información
que poseen en su computador. Se quiere
llamar, de una manera diferente, la atención y
curiosidad de las personas.
1.2.2. Folletos
Objetivo
Ofrecer información masiva más detallada sobre los aspectos más relevantes del Modelo de
Seguridad.
• Conceptos claves en forma breve sobre la seguridad de la Información y las principales

recomendaciones para que el Modelo de Seguridad de la Información sea utilizado por las
entidades y la comunidad en general.
• Desarrollo de textos con una secuencia lógica de adquisición de conocimientos y comprensión
de los mismos.
• Profundizar sobre las principales políticas y controles del Modelo de Seguridad de la
Información en las entidades y más adelante, en los usuarios de Gobierno en Línea.
• Aconsejar sobre una adecuada higiene de la información.
Tiempo
Los folletos serán distribuidos al mismo tiempo que se lancen los primeros afiches de la campaña, con
esto se le da apoyo y un impacto más proporcionado. A continuación, se presenta la propuesta de los
folletos reaizados:
Página 13 de 42
CAPACITACIÓN -
Página 14 de 42
CAPACITACIÓN -
1.2.3. Medio BTL
Tiene los mismos objetivos que los folletos; la información de este es tener un contacto directo y a la
vez dinámico, para que las personas interactúen con el Modelo de Seguridad de la Información, esto
hará que la recordación sea mayor.
Tiempo
Este medio será lanzado como medio de apoyo a la campaña junto con los folletos.
Página 15 de 42
CAPACITACIÓN -
Nombre
Rompecocos. El objetivo de este juego, que se les dará a las personas, es que tengan recordación
de las principales ideas relacionadas con la seguridad de la información por medio del juego:
1.2.4. Fondos de Pantalla
Las entidades y sus funcionarios, son el grupo objetivo de la campaña de sensibilización propuesta. El
computador o portátil, es la herramienta esencial para el desarrollo de sus labores.
Objetivo
Página 16 de 42
CAPACITACIÓN -
Diseñar e implementar los fondos de pantalla propuestos para ser instalados en los computadores de
los funcionarios en las entidades objetivo, ya que este es el medio de contacto más directo para crear
conciencia de la seguridad de la información, valiéndose de elementos visuales que servirán
principalmente para sensibilizar y reforzar los principios básicos de la seguridad de la información.
• Unir los elementos más importantes de las piezas gráficas y sus conceptos en una sola idea
dinámica.
• Proteger la información sensitiva de las estaciones de trabajo.
• Reforzar los conceptos básicos de Seguridad de la Información.
Estructura
• Unidad de campaña.
• Graficas y textos de los afiches y folletos, con los conceptos más relevantes de cada uno, en
un entorno dinámico.
Página 17 de 42
CAPACITACIÓN -
1.2.5. Recordatorios
Creación de contraseñas seguras
Objetivo
Elementos de sensibilización que serán entregados a las personas que asistan a las capacitaciones,
estas son de uso personal, con el fin que ellos puedan crear contraseñas seguras tanto en su
ambiente laboral como en su vida cotidiana.
ESPECIFICACIONES
Juego Rubik con un papel para decirles a las

personas que las claves tienen que ser mínimo
de ocho dígitos y alfanuméricas, estos cubos
llevaran letras y números surtidos.
Página 18 de 42
CAPACITACIÓN -
1.2.6. Presentaciones
Objetivo
Material de divulgación y estudio con conceptos técnicos del Modelo de Seguridad de la Información.
• Plasmar con mayor profundidad conceptos, definiciones y explicaciones técnicas del Modelo
de Seguridad de la Información implementado para la Estrategia de Gobierno en Línea.
• Facilitar a la Estrategia de Gobierno en Línea, la difusión y el entendimiento del Modelo de

Seguridad de la Información implementado en las entidades objetivo.
Especificaciones
• Todos los elementos se entregan es su formato original, ver numeral 4 del presente
documento para mayor información.
• Afiches: Adobe Photoshop.
• Fondos de pantalla: Adobe Photoshop.
• Logos: Adobe Illustrator.
• Material BTL: Freehand MX.
• Recordatorio: Freehand MX
Página 19 de 42
CAPACITACIÓN -
2. PLAN DE CAPACITACIÓN
2.1. Cursos en Seguridad de la Información:
Se propone desarrollar los siguientes cursos de capacitación en seguridad de la información:
2.1.1. Gestionando la Seguridad de la Información
Duración: 2 días (16 horas)
Descripción:
El curso ayudará a las empresas a definir, organizar y formalizar el conocimiento referente al Sistema de
Gestión de Seguridad de la Información – SGSI propuesto por las normas ISO/IEC 17799, ISO/IEC 27001,
ISO/IEC 27002 y BS 7799, instruyendo a los participantes en las estrategias de implementación y
evaluación para llevar a la organización a un nivel apropiado de seguridad de la información y estar
preparados para buscar la certificación de la compañía.
A quién está dirigido ?
• Gerentes o Directores de informática o tecnología.

• Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información.
• Profesionales que actualmente desempeñen labores de Seguridad de la Información.
• Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de
la Información.
• Profesionales que actualmente desempeñen labores de auditoría.
Pre-requisitos:
Página 20 de 42
CAPACITACIÓN -
• Conocimientos básicos en Seguridad de la Información, definiciones.

• Conocimientos básicos en la norma ISO /IEC 27001
• Conocimientos básicos en informática y tecnología.
• Conocimientos en análisis de riesgos
Conocimientos adquiridos en el curso:
• Fundamentos de Seguridad de la Información.

• Introducción a la Norma ISO 17799, ISO/IEC 27002.
• Introducción a la Norma BS 7799-2, ISO/IEC 27001.
• El Sistema de Gestión de Seguridad de la Información – SGSI.
• Los Dominios de Control.
• Identificación de la aplicabilidad de los mecanismos de control.
• Definición e implementación de la estrategia.
• El proceso de Análisis de Riesgos.
• Factores críticos de éxito en la implementación del SGSI.
Temas de los talleres prácticos:
• Análisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001).

• Identificación de controles de la norma aplicables a riesgos identificados.
• Desarrollo de una declaración de aplicabilidad.
• Valoración de la implementación del SGSI.
• Auditoria de cumplimiento BS 7799-2 y ISO/IEC 27001.
2.1.2. Estándares de Seguridad de la Información
Descripción:
El curso ayuda a las empresas a comprender el alcance y objetivos de los principales estándares de
Gobierno, Seguridad, Control y Auditoria de TI, brindando a los asistentes un conocimiento general de los
estándares ASNZ 4360, ITIL, ISO27000, NIST 800-14, NIST 800-34, CONCT, COBIT, COSO, SARBANES
OXLEY, PMBOK, con énfasis en los elementos fundamentales de cada uno de ellos. Al final del curso los
asistentes tendrán un conocimiento más claro de cada estándar y contarán con una hoja de trabajo que
facilite su comparación y selección de acuerdo con las expectativas de cada organización.
A quién está dirigido:
• Gerentes o directores de informática o tecnología

• Responsables por la Seguridad de la Información
• Gerentes de Riesgo
• Gerentes de control interno o auditoria interna
Página 21 de 42
CAPACITACIÓN -
• Auditores de sistemas
• Gerentes y responsables por la planificación de la continuidad del negocio
Prerrequisititos:
• Conocimientos básicos en seguridad de la información

• Conocimientos básicos en análisis de riesgos
• Conocimientos básicos en auditoria
• Objetivos, alcances y puntos esenciales de cada estándar mencionado

• Elementos necesarios para la comparación de estándares
• Construcción de una hoja de trabajo para la comparación de estándares
• Diferentes alternativas para articular las necesidades organizacionales en cuanto a gestión de
riesgos, seguridad de la información y auditoria.
• Riesgos de no utilizar estándares y mejores prácticas

• Construcción de la hoja de trabajo para comparación de estándares
• Identificación de rutas alternativas para la implementación de estándares
2.1.3. El Desarrollo de un Plan de Continuidad del Negocio BCP/DRP
Descripción:
El curso ayuda a las empresas a conocer y organizar de una mejor forma el proceso de implementación de
un plan de continuidad del negocio, brindando a los asistentes importantes conocimientos y una serie de
pautas claves que debe seguir el Líder de BCP para la protección efectiva de la información de la
organización, así como el personal y demás recursos, en caso de ocurrir un desastre. De igual forma se
revisarán ejemplos y prácticas recomendadas para implementar planes de continuidad del negocio. Al final
del curso los asistentes tendrán un conocimiento más profundo sobre la práctica real, la implementación
de políticas, el ciclo de vida de un BCP y el rol que el Líder de BCP desempeña en el mismo.
Página 22 de 42
CAPACITACIÓN -
• Gerentes o directores de informática o tecnología.

• Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información.
• Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de
la Información.
• Profesionales que actualmente estén trabajando el tema de continuidad del negocio y/o
recuperación ante desastres.
• Profesionales de cualquier área de una compañía.
Pre-requisitos:
Conocimientos básicos en manejo de riesgos.

Conocimientos básicos sobre procesos.
La teoría básica de BCP/DRP.

Planes de contingencia y recuperación ante desastres (DRP).
La teoría básica de BIA/RIA.
La teoría básica de RTO/RPO/MAO/FTL.
Mantenimiento y Entrenamiento.
Estrategias de continuidad del Negocio.
Desarrollo e Implementación.
Prácticas, Mantenimiento y Auditoria.
• Planeación de un BCP.
• Análisis de riesgos (RIA).
• Análisis de Impactos (BIA).
• Desarrollo de estrategias.
• Desarrollo de un BCP.
• Sensibilización y capacitación.
• Prueba y ejercicio.
• Mantenimiento y actualización.
• Planes de evacuación y manejo de crisis.
Página 23 de 42
CAPACITACIÓN -
2.1.4. Seguridad en Redes Inalámbricas
Duración: 16 Horas (2 días)
Descripción:
Es un curso teórico-práctico en el cual se busca explorar el funcionamiento básico de redes inalámbricas,

sus problemas de seguridad y las mejores prácticas de seguridad en estas redes. En la parte teórica se
desarrolla una introducción detallada a los aspectos básicos de funcionamiento de redes inalámbricas. En
la parte práctica se busca evidenciar los problemas de seguridad existentes en las redes inalámbricas y
generar recomendaciones para mantener redes seguras dentro de un ambiente funcional.
• Gerentes o directores de informática o tecnología.

• Gerentes o directores que tengan a cargo el tema de Seguridad de la Información..
• Personal de cualquier organización que actualmente estén trabajando algún tema de seguridad de
la Información.
• Gerentes o directores del área de telecomunicaciones.
• Profesionales que actualmente desempeñen labores en el área de Telecomunicaciones.
• Administradores de redes.
• Profesionales que actualmente desempeñen labores en el área de IT.
Pre-requisitos:
• Conocimientos básicos en redes Inalámbricas y comunicaciones, definiciones.

• Conocimientos básicos en informática y tecnología.
• Conocimientos básicos de Linux.
• Conocimientos básicos de Windows.
• Curso Básico de Seguridad de la Información.
• Conceptos básicos y avanzados de redes inalámbricas.

• Conceptos básicos y avanzados de seguridad en redes inalámbricas.
• Vulnerabilidades en protocolos, procesos y autenticación.
• Técnicas de ataque comunes.
• Técnicas de aseguramiento de redes inalámbricas.
• Comandos y herramientas comúnmente utilizadas.
Página 24 de 42
CAPACITACIÓN -
Acerca de los laboratorios:
Cada participante tiene asignado un PC donde a medida que se va abordando cada tema puede ir
revisando sus aspectos asociados, en plataformas Linux y Windows.
Cada uno de los laboratorios diseñados para este curso se encuentran organizados para evidenciar de
forma práctica las vulnerabilidades existentes en redes inalámbricas, cómo explotar estas vulnerabilidades
y busca la comprensión por parte de los participantes de las mejores prácticas de seguridad para
implementar una apropiada configuración dentro de las redes, evitando las posibilidades de ataques,
pérdida de información o negación de servicios.
2.1.5. Seguridad Avanzada en Windows y Unix
Descripción:
Este curso profundiza en los problemas de seguridad de las plataformas de sistemas operacionales con
más instalaciones a nivel mundial: Windows y Unix. No sólo se examinan los problemas sino las
principales herramientas de seguridad que debe conocer todo administrador para asegurar estas
plataformas y mitigar los riesgos de seguridad de la información.
• Administradores de servidores Windows y Unix

• Oficiales de seguridad de la información
• Programadores de aplicaciones que funcionen en estas plataformas
• Personal técnico y/o soporte Windows o Unix
Prerrequisititos:
• Conocimientos básicos de Windows y Unix (comandos, sistema de archivos, usuarios)

• Conocimiento en aplicaciones Windows
• Conocimientos de redes y comunicaciones
• Curso básico de seguridad de la información
Página 25 de 42
CAPACITACIÓN -
• Conceptos de seguridad en sistemas operacionales

• Nivel C2 de seguridad de sistemas operacionales
• Conceptos avanzados de seguridad en Windows y Unix
• Técnicas de ataques comunes a plataformas Windows y Unix
• Vulnerabilidades en protocolos, puertos y servicios
• Vulnerabilidades asociadas a las instalaciones por defecto
• Administración de usuarios, contraseñas y permisos
• Configuración segura de servidores Web, Correo, DNS
• Configuración y uso de herramientas de detección y monitoreo
Cada participante tiene asignado un PC donde a medida que se abordan los tema se revisan los aspectos
asociados.
Se puede contar con laboratorios prácticos como:
• Escalamiento de privilegios
• Ataques a los servicios más comunes
• Ataques y aseguramiento de IIS
• Sniffers
• Encripción de archivos
• Configuración de IDS
• Configuración de control de acceso
• Debilidades asociadas a cada arquitectura
• Aseguramiento de servidores
• Comandos y herramientas comúnmente utilizadas
2.1.6. Técnicas Avanzadas en Ataques y Defensa
Duración: 40 horas (5 días)
Descripción:
Curso teórico práctico que busca brindar a un oficial de Seguridad de la Información o administrador de
red la habilidad para implementar tecnologías avanzadas de seguridad para la protección de la
infraestructura tecnológica de su empresa. Se conocerán técnicas y herramientas enfocadas a distintos
Página 26 de 42
CAPACITACIÓN -
tipos de sistemas operativos y aplicaciones. El curso inicia identificando la forma de operación de un

intruso, sus tácticas, desde las más comunes y sencillas, hasta aquellas técnicas y estrategias de ataque
más elaboradas, posteriormente se aprenderán los mecanismos de defensa con los cuales se puede
detener a un intruso.
Administradores de Firewalls, IDS, redes, sistemas y aplicaciones.

Personal de Seguridad de la Información.
Oficiales de Seguridad de la Información.
Pre-requisitos:
Buen entendimiento en redes y TCP/IP.

Conocimientos básicos de programación en C.
Buen entendimiento práctico de plataformas Windows (95/98/ME/XP/2000/2003) y de aplicaciones
asociadas.
Buen entendimiento práctico y manejo básico de plataformas Unix (Mandriva, Redhat, SuSe) y de
aplicaciones asociadas.
Conocimientos conceptuales básicos de Seguridad de la Información.
Conocimientos conceptuales sobre Firewalls, IDS y otras tecnologías de seguridad.
• Evolución de la Seguridad de la Información.

• Cómo identificar y comprender los tipos de ataques existentes en la actualidad.
• Entender y utilizar las herramientas empleadas por los intrusos para diferentes sistemas operativos
(Unix, Windows).
• Cómo poner en práctica las técnicas de ataques mediante laboratorios guiados.
• Conocer en profundidad las estrategias de ataques.
• Detección de herramientas en un sistema atacado.
• Detección en línea de ataques.
• Cómo engañar a los intrusos.
• Implementación de herramientas de defensa.
• Diseño e implementación de arquitecturas de defensa.
Desde el inicio del curso hasta el final, se diseñarán e implementarán diferentes arquitecturas de
ataque y defensa, donde se incluirán diversos temas, entre otros:
Recolección de información
Sniffers
ARP Spoofing
TCP- Hijacking
Buffer Overflows
Puertas Traseras
Detección de herramientas en un sistema atacado
Página 27 de 42
CAPACITACIÓN -
Configuración de alertas
Configuración de IDS
Configuración de honeypots
Monitoreo y registro del sistema.
Implementación de mecanismos de defensa en redes, sistemas operativos y aplicaciones
2.1.7. Computación Forense
Duración: 5 días (40 horas).
Descripción:
Es un curso teórico-práctico que presenta las técnicas utilizadas en la recolección, preservación,

manipulación y análisis de evidencia digital relacionada con delitos informáticos. Proporciona al
participante una visión clara sobre aspectos importantes de la práctica forense como dónde buscar
evidencia y de qué manera analizarla con altas probabilidades de éxito y minimización de la alteración de
la misma. Adicionalmente se presenta el enfoque hacia la implementación de mejores prácticas en el
manejo de incidentes de seguridad de la información.
Miembros de grupos de respuesta a incidentes de Seguridad de la Información.

Oficiales de Organismos de Seguridad de la República, encargados de conducir investigaciones
relacionadas con delitos informáticos.
Investigadores forenses encargados de recolectar y/o analizar evidencia digital.
Conocimientos adquiridos en el Curso:
Conceptos básicos de computación forense.

Teoría de los diferentes sistemas de archivos.
Tipos de delitos informáticos.
Identificación y mejores prácticas en la respuesta a incidentes.
Métodos de almacenamiento en medios volátiles y no-volátiles.
Qué evidencia recolectar y dónde hacerlo.
Técnicas de recolección de evidencia digital.
Manipulación y preservación de la evidencia digital.
Procedimientos de análisis de evidencia digital.
Elaboración de informes.
Cada participante tendrá asignado un PC donde a medida que se va abordando cada tema puede ir
revisando sus aspectos asociados.
Página 28 de 42
CAPACITACIÓN -
Diseñar laboratorios especiales para los siguientes temas:
Lectura de líneas de tiempo.

Técnicas de recolección de evidencia digital (en Host y en Red).
Procedimientos de análisis de evidencia digital.
Pre-requisitos:
Conocimiento de sistemas operativos Unix (utilización, comandos).

Conocimiento de sistemas de archivos (Conceptos básicos de EXT2/3, FAT12/16/32, NTFS).
Alto nivel técnico en general. Bases numéricas, Conceptos de TCP/IP, Conceptos de Redes,
Conceptos de IDS (Sistemas de Detección de Intrusos), entre otros.
2.1.8. Preparación para la Certificación Ethical Hacking (CEH).
Duración: 5 días (40 horas, el último día es el simulacro del examen)
Descripción:
Curso teórico - práctico en el que el asistente adquiere conocimientos avanzados de Hacking contra
diferentes plataformas como Windows 2003 Server, Windows Vista, Linux y dispositivos de red.
A quien está dirigido:
Ingenieros de Sistemas
Ingenieros Electrónicos
Administradores de Red
Profesionales de Seguridad de la Información
Prerrequisitos:
Conocimientos básicos de seguridad

Conocimientos básicos de Linux
Cada asistente desarrolla la habilidad de realizar evaluaciones cuantitativas y mediciones de las

amenazas que pueden afectar los activos de la información. Se adquirirán las destrezas para descubrir
los puntos más vulnerables de la organización mediante técnicas reales de Hacking aprendidas en el
curso.
Página 29 de 42
CAPACITACIÓN -
Contenido del curso:
Día 1 - Reconocimiento de red y Test de Penetración
Día 2 - Explotación remota de vulnerabilidades y Ataques a autenticación de password
Día 3 - Acceso extendido y Penetración profunda a los objetivos
Día 4 - Ataques a infraestructura de red, Ataques Inalámbricos, Remoción de evidencia
Día 5 - Hacking a aplicaciones Web y simulacro examen
2.1.9. Entrenamiento ISO/IEC 27001:2005 ISMS Lead Auditor
Objetivo:
Este curso de 5 días (el sexto día corresponde al examen de certificación) brinda el entendimiento
y conocimiento de los sistemas de administración de información de terceras partes. Dado que el
objetivo de una auditoria no es el hallazgo de no conformidades, sino la identificación de
oportunidades de mejora, este curso le permite desarrollar las habilidades para planear, estructurar
y conducir una auditoria efectiva y para evaluar y comunicar los hallazgos. El curso está diseñado
para seguir las etapas de una auditoria en la práctica, incluyendo simulacros de entrevistas de
auditorías y los roles que son jugados en las reuniones de cierre.
Estructura de curso:
Antecedentes y visión general de la norma ISO/IEC 27001 y otros Estándares de Seguridad de la

Información.
Introducción e implementación de un sistema de auditoría y el rol del auditor en el proceso.
Gestión del rol en la revisión de riesgos y la efectividad en general del Sistema de Gestión de
Seguridad de la Información
Planeación y manejo de un proceso basado en auditoria:
Recursos y tiempo
Uso de checklists
Selección de grupos de auditoria
Conduciendo una auditoria – destrezas, técnicas y competencias del auditor:
Evaluación del significado de los hallazgos encontrados en una auditoria
Comunicación y presentación de reportes de auditoria
No conformidades y mejoramiento de la seguridad como resultado de las acciones correctivas
Página 30 de 42
CAPACITACIÓN -
Manejo de la evaluación de la tercera parte y el proceso de certificación.
Beneficios de la certificación:
Desarrollo de competencias para la evaluación del manejo de riesgos y controles esenciales para
el Sistema de Gestión de Seguridad de la Información.
Entendimiento del rol de los auditados en el Sistema de Gestión de la Seguridad de la Información
y el rol de los auditores para promover el mejoramiento continúo.
Habilidades para el total entendimiento de cómo las terceras partes perciben el Sistema de Gestión
de Seguridad de la Información y su cumplimiento para la certificación.
Colaboración de los auditores para crear un ambiente que conduzca a la excelencia.
A quien está dirigido:
Profesionales que deseen certificarse como ISMS Auditores Lideres registrados.

Profesionales que lideren el tema de la certificación de sus organizaciones en el Estándar ISO/IEC
27001:2005
Es prerrequisito el conocimiento de la norma ISO/IEC 27001:2005 para el completo entendimiento
de los principios desarrollados en este curso.
Metodología:
Este es un curso altamente participativo basado en una serie de sesiones usando tutorías, casos
de estudio, talleres interactivos y discusiones abiertas, generando un ambiente práctico que provee
una única oportunidad para guiar y entrenar al participante.
Agenda:
Día 1 Tema Observaciones
08:30 registro
09:00 Modulo 1 Bienvenida e introducción Resumen de la estructura

del curso
Tutoría: Gestión de la Una visión al Sistema de

Seguridad de la Gestión de la Seguridad
Página 31 de 42
CAPACITACIÓN -
Modulo 2 Información
Tutoría: Visión de la Discusión en el marco de

Auditoria una auditoria, incluyendo
auditores de primera,
segunda y tercera parte
para asegurar un
entendimiento común de lo
que es un auditor,
Modulo 3 terminología y estándares.
Tutoría: Estándares en la Una mirada a algunos de

Gestión de la Seguridad los principales
de la Información requerimientos del Sistema
de Gestión Seguridad de
la Información: Estándares
Modulo 4 y Controles
12:30 Almuerzo
13:15 Modulo 6 Taller: Auditoria Práctica Ejercicio práctico usando

la norma e identificando
los controles usados
Estándares en la Gestión Continuación: incluyendo

de la Seguridad de la los controles y sumarios
Modulo 5 Información
Tutoría: Evaluación del Mirada al inventario de

riesgo activos, amenazas,
vulnerabilidades, proceso
de cálculo y valoración del
riesgo
Modulo 6A
Taller: Evaluación del Ejercicio práctico diseñado

para evaluar el inventario
de activos y el proceso de
Página 32 de 42
CAPACITACIÓN -
Riesgo valoración del riesgo
Modulo 6B
Tutoría: Manejo del Riesgo Perspectiva general del

tratamiento y proceso de
Modulo 6C del riesgo
Taller: Manejo del Riesgo Ejercicio práctico para

evaluar el proceso de
Modulo 6D manejo del riesgo y
generación de reportes.
Tutoría: Documentación de Mirada a las políticas del

los Sistemas de Gestión Sistema de Gestión de
de Seguridad de la Seguridad, procedimientos
Información y documentación
Modulo 7
Modulo 19 Tutoría: Sesión Informativa Introducción y discusión

Parte 1 del examen
18:30 Cierre
08:30 Modulo 8 Taller: Documento de Estudio de la

Studio: Sistema de documentación del
Gestión de la Seguridad Sistema de Gestión de la
Seguridad de la
Página 33 de 42
CAPACITACIÓN -
Información
Tutoría: Planeación de una Discusión sobre los puntos

Auditoria de consideración en la
Modulo 9 planeación de una
auditoria
Taller: Planeando una Sesión práctica para el

Auditoria desarrollo de un plan de
Modulo 10 auditoría.
Modulo 11 Tutoría: Checklists Discusión para

efectivamente preparar y
usar las notas de pre-
auditoria y los checklists
para el logro de objetivos.
12:30 Almuerzo
13:15 Modulo 12 Taller: Preparando Práctica para el desarrollo

checklists y uso de checklists
Tutoría: Apertura de Discusión acerca de los

Reuniones puntos requeridos para
Modulo 13 cubrir la reunión de
apertura
Modulo 14 Taller: Apertura de Ejercicio de rol: ejecución

Reuniones de la reunión de apertura
Tutoría: Técnicas de Discusión de entrevistas,

Auditoria preguntas y técnicas de
Modulo 15 toma de notas
Página 34 de 42
CAPACITACIÓN -
Taller: Estudio de caso de Ejercicio práctico:

Auditoria – Parte 1 Introducción a un caso de
Modulo 16 estudio
Taller: Trascripción de no Ejercicio práctico de

conformidades - 1 introducción a las no
Modulo 17 conformidades
18:30 Cierre
08:30 Modulo 18 Taller: Estudio de Caso de Caso de Estudio 1 –

Auditoria - Parte 2 preparación de la segunda
parte
Modulo 18 Taller: Estudio de Caso de Retroalimentación 2

Auditoria - Parte 2
12:30 Almuerzo
13:15 Modulo 22 Tutoría: Trascripción de no Discusión para preparar un

Conformidades histórico de hallazgos
Modulo 23 Taller: Escritura de No Practica de escritura de no

Conformidades – Parte 2 conformidades
Página 35 de 42
CAPACITACIÓN -
Tutoría: Técnicas de Práctica en la preparación

Auditoria de la declaración de
Modulo 20 hallazgos
Modulo 21 Taller: Técnicas de

Auditoria
Modulo 19 Sesión Informativa Información acerca del

examen
Modulo 24 Caso de estudio 2 –Parte Preparación del rol jugado

1 en el caso de estudio 2
Modulo 24 Caso de estudio 2 – Parte Retroalimentación

1
18:30 Cierre
08:30 Modulo 25 Caso de Auditoria 2 - Parte Preparación para el resto

2 del caso de estudio 2
Modulo 25 Caso de Auditoria 2 - Parte Estudio y retroalimentación

2 del caso de estudio 2
12:30 Almuerzo
Página 36 de 42
CAPACITACIÓN -
13:15 Modulo 26 Tutoría: Reuniones de Discusión para planear y

Cierre presentar una reunión de
cierre
Discusión de los
principales puntos que
Modulo 27 Tutoría: Reportes deben ser incluidos en los
reportes y documentos de
una auditoria
Taller: Resumen de la Ejercicio práctico para

auditoria Parte 1 preparar reportes de
Modulo 32 auditoria
Modulo 29 Taller: Cierre de Auditorias Ejercicios prácticos de

Parte 1 juego de rol en las
reuniones de cierre –
preparación
Modulo 29 Taller: Reuniones de cierre Retroalimentación de

– Parte 2 reuniones de cierre
18:30 Cierre
08:30 Modulo 30 Tutoría: Seguimiento y Discusión de los aspectos

acciones correctivas a ser cubiertos en las
auditorias de no
conformidades y
seguimiento a las acciones
Página 37 de 42
CAPACITACIÓN -
correctivas
Modulo 34 Taller: Seguimiento y Ejercicio práctico en el

Acciones Correctivas análisis y efectividad de
acciones correctivas y
previa retroalimentación
Modulo 32 Taller: resumen de Ejercicio para dar

Auditoria Parte 2 finalización a un resumen
de auditoria
Modulo 33 Tutoría: Una perspectiva a Una mirada a las

las auditorias de de auditorias de primera
primera, segunda y tercera parte.
parte
12:30 Almuerzo
13:15 Administración -Examen
17:00 Cierre
NOTA: El sexto día corresponde al desarrollo del examen de certificación.
Página 38 de 42
CAPACITACIÓN -
2.1.10. Preparación a la Certificación CISSP®
Qué es la Certificación CISSP®?
CISSP® es la certificación en Seguridad de la Información más reconocida a nivel mundial y es avalada

por el (ISC)2, International Information Systems Security Certification Consortium.
Fue diseñada con el fin de reconocer una maestría de conocimientos y experiencia en Seguridad de la
Información con una ética comprobada en el desarrollo de la profesión.
El (ISC)2, International Information Systems Security Certification Consortium (https://www.isc2.org), es

una organización sin ánimo de lucro que se encarga de:
Mantener el “Common Body of Knowledge” en Seguridad de la Información.

Certificar profesionales en un estándar internacional de Seguridad de la Información.
Administrar los programas de entrenamiento y certificación.
Garantizar la vigencia de las certificaciones a través de programas de capacitación continua.
Requisitos de certificación CISSP®:
1. Firmar el Código de Ética del ISC2

2. Certificar experiencia de mínimo 4 años en el área de Seguridad de la Información en algún
dominio del CBK o certificar la misma experiencia por 3 años adicionando un título profesional
3. Contestar afirmativamente el 70% de un examen de 250 preguntas de opción múltiple,
relacionadas con los 10 dominios del CBK (Common Body of Knowledge) y que deben ser
resueltas en un periodo de 6 horas
4. Contar con un aval de un tercero calificado (CISSP activo o empleador) referenciando al candidato
a CISSP®
Mayor información:
https://www.isc2.org/cgi-bin/content.cgi?category=1187
Página 39 de 42
CAPACITACIÓN -
Quién debería asistir:
Directores o gerentes de tecnología, directores y oficiales de seguridad de la Información y personal

responsable en temas de seguridad de la Información dentro de la organización.
Contenido del Curso:
Los temas del curso son los contenidos en el Common Body of Knowledge (CBK):
Dominio 1: Access Control
Dominio 2: Application Security
Dominio 3: Business Continuity Planning and Disaster Recovery Planning
Dominio 4: Cryptography
Dominio 5: Information Security and Risk Management
Dominio 6: Legal, Regulations, Compliance and Investigation
Dominio 7: Operations Security
Dominio 8: Physical (Enviromental) Security
Dominio 9: Security Architecture and Design
Dominio 10: Telecommunications and Network Security
Página 40 de 42
CAPACITACIÓN -
Beneficios de la certificación para la empresa:

Permite contar con profesionales certificados con el conocimiento adecuado para establecer las
mejores prácticas de seguridad en la compañía.
El conocimiento certificado del “Common Body of Knowledge (CBK)” provee una gran capacidad
para la definición de soluciones adecuadas para la organización.
La certificación brinda un mayor nivel de credibilidad a las empresas en materia de Seguridad de la
Información.
Permite la administración de riesgos de una organización, desde una perspectiva de negocio y
tecnología.
Beneficios de la certificación para el profesional:

Garantiza un alto nivel de conocimientos en Seguridad de la Información
Marca un diferencial entre profesionales dedicados a Seguridad de la Información
Reafirma un compromiso ético como profesional de Seguridad de la Información.
2.2. Talleres prácticos:
Se propone desarrollar los siguientes talleres en seguridad de la información:
• Análisis de riesgos.
• Modelo de seguridad.
• Planes de sensibilización.
• Planes de seguridad.
Página 41 de 42
CAPACITACIÓN -
3. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN
Se entregan adjuntos con este documento, los diseños en formato electrónico de los materiales y sus
contenidos relacionados con la campaña de capacitación y sensibilización elaborados en la presente
consultoría.
Ver Carpeta “6. Capacitación - Material de capacitacion y sensibilizacion” en el CD-ROM entregado.
Página 42 de 42

Capacitacion y Sensibilizacion Modelo de Seguridad PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Capacitacion y Sensibilizacion Modelo de Seguridad PDF

Hochgeladen von

Copyright:

Verfügbare Formate

ENTREGABLE 15: CAPACITACIÓN -

MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE

ÁREA DE INVESTIGACIÓN Y PLANEACIÓN

Bogotá, D.C., Diciembre de 2008

FORMATO PRELIMINAR AL DOCUMENTO

PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN

Palabras Claves: Manejo de imagen, afiches, logos, folletos

Formato: Lenguaje: Castellano

Dependencia: Investigación y Planeación

Autor (es): Equipo consultoría Digiware

Revisó: Juan Carlos Alarcon Firmas:

Aprobó: Ing. Hugo Sin Triana

VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN

1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................ 5

1.1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................... 7

2. PLAN DE CAPACITACIÓN ............................................................................................................................. 20

2.1. CURSOS EN SEGURIDAD DE LA INFORMACIÓN ..............................................................................................................20

3. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN ....................................................................... 42

¿Porque necesitamos un plan de sensibilizacion en seguridad de la información?

• Existe la mentalidad que no hay nada importante por proteger en su computador.

• Debemos conocer tanto las amenazas externas como las internas.

Ver Anexo presentación para sensibilización.ppt

1.1. Plan de Sensibilización:

Diseñar la campaña, estrategia de sensibilización, divulgación y concienciación sobre el nuevo

1.1.1. Objetivos Específicos

• Diseñar la campaña de sensibilización y capacitación con los medios de comunicación que se

• Profundizar los conocimientos técnicos sobre seguridad de la información a los usuarios de

1.1.2. Campañas de seguridad de la información:

Temas y Niveles de Campaña:

El logotipo será el principal elemento de diferenciación como campaña de sensibilización, ubicará

Las propuestas para el logotipo son las siguientes:

La llave y la cerradura representan la clave para ingresar al Modelo de Seguridad de la Información,

1.2. Instrumentos de Sensibilización

Posicionamiento y continuidad visual de la campaña de sensibilización, divulgando los temas del

• Abrir la campaña y darla a conocer.

A continuación, se explican los afiches propuestos para la campaña:

Este afiche quiere dar a conocer de una forma

Este afiche se hace para prevenir a las

Este afiche es para recordar a las personas que

Este afiche es para recordar a las personas,

En este afiche se quiere transmitir a las

• Conceptos claves en forma breve sobre la seguridad de la Información y las principales

1.2.3. Medio BTL

1.2.4. Fondos de Pantalla

Creación de contraseñas seguras

Juego Rubik con un papel para decirles a las

• Facilitar a la Estrategia de Gobierno en Línea, la difusión y el entendimiento del Modelo de

2.1. Cursos en Seguridad de la Información:

Se propone desarrollar los siguientes cursos de capacitación en seguridad de la información:

2.1.1. Gestionando la Seguridad de la Información

Duración: 2 días (16 horas)

A quién está dirigido ?

• Gerentes o Directores de informática o tecnología.

• Conocimientos básicos en Seguridad de la Información, definiciones.

Conocimientos adquiridos en el curso:

• Fundamentos de Seguridad de la Información.

Temas de los talleres prácticos:

• Análisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001).

2.1.2. Estándares de Seguridad de la Información

Duración: 2 días (16 horas)

A quién está dirigido:

• Gerentes o directores de informática o tecnología

• Conocimientos básicos en seguridad de la información