Saltear al contenido principal

Gobierno y gestión de la Ciberseguridad

(Ciberseguridad II)

En este curso se desarrollan aspectos avanzados relacionados con la gobernanza y la gestión de la ciberseguridad, incluyendo los aspectos más importantes en relación tanto al ámbito estratégico (gobernanza) como táctico (gestión) de la ciberseguridad.

El contenido del curso incluye numerosos aspectos y controles incluidos en los dominios de la ISO/IEC 27001:2013 (ISO de la Gestión de la Seguridad de la Información) y en la ISO/IEC 38500:2015 (ISO de la Gobernanza de TI).

El presente curso facilita el poder realizar los exámenes de ISACA® para conseguir la certificación CGEIT® (ISACA’s® Certified in the Governance of Enterprise IT) y el certificado de CSX (ISACA’s® Cybersecurity Nexus™ – CSX) debido a que se incluyen temas presentes en ambos exámenes de ISACA®

Dentro del curso veremos conceptos claves de la ciberseguridad como son: gobernanza de TI, análisis y gestión de riesgos, controles de acceso lógico y físico, criptografía, y seguridad operacional y de las comunicaciones.

La clave del curso pasa por integrar los aspectos relevantes para una eficiente gobernanza y gestión de ciberseguridad a través del desarrollo de dominios comentados desde un punto de vista de los aspectos técnicos más relevantes y desde la visión de gobernanza de los sistemas de información.

Objetivos académicos

  • Conocer conceptos importantes relacionados con la ciberseguridad como son: análisis de riesgos (incluyendo varias metodologías internacionales), gestión de riesgos, criptografía, gobernanza de ciberseguridad, gestión de la ciberseguridad, seguridad operacional, seguridad de las comunicaciones, entre otros.
  • Estar familiarizado con los aspectos principales de estándares internacionales de seguridad de la información como ISO 27001 e ISO 38500.
  • Conocer aspectos relacionados con la gobernanza de la seguridad (acercamiento al gobierno TI, marco de referencia, ciclo de vida, etc.).
  • Conocer los aspectos más relevantes en relación con la realización de análisis de riesgos, conociendo en profundidad la metodología de análisis de riesgos de Magerit v.3 así como los aspectos más relevantes de las metodologías CRAMM, Octave y NIST SP 800-300.
  • Conocer los aspectos fundamentales de la gestión de riesgos, realizando un amplio desarrollo de la ISO 31000 (ISO sobre la gestión de riesgo).
  • Estar familiarizado con los aspectos importantes de la seguridad física (sistemas de control, controles ante la personalización física de atacantes, procedimientos de eliminación de hardware en forma segura, etc.).
  • Conocer conceptos y detalles relacionados la seguridad operacional (antivirus, sistemas de monitorización, sistemas de actualización del sistema operativo y distribución de parches). Gestión del cambio en los sistemas de información. Aspectos principales que debe posee cualquier auditoría, etc.
  • Introducirse en la seguridad de las comunicaciones a través del desarrollo de temas como firewalls, la gestión de la ciberseguridad de las redes, sistemas, aplicaciones y la autoprotección (medidas técnicas).

Competencias

  • Ser capaz de comenzar a utilizar aspectos claves de la gobernanza y la gestión de la ciberseguridad en su propia organización.
  • Poder estar familiarizado con muchos conceptos que le permitirán facilitar la revisión de un informe de auditoría de seguridad (incluso técnicas) y poder ser un interlocutor válido en reuniones con auditores y técnicos en seguridad.
  • Asimilar conceptos básicos de los principales de estándares internacionales de seguridad de la información como son la ISO/IEC 27001:2013 y la ISO/IEC 38500:2015 y la ISO 31000:2018.
  • Introducirse en conceptos y temas incluidos en la certificación CGEIT® y el certificado Cybersecurity Fundamentals Certificate (CSX) de ISACA®
  • Mejorar la gestión de la ciberseguridad de su organización en el ámbito de control bajo su responsabilidad, y con ello también en consecuencia mejorar la gestión de la privacidad de la información.
  • Saber identificar los aspectos relevantes para una excelente gobernanza o gestión de tecnología con la ayuda de los estándares de seguridad más relevantes.
Programa

Unidad 1. Gobierno de TI e ISO 38500

• Primer acercamiento al Gobierno TI
• Problemas con el Gobierno TI
• Gobierno TI: Marcos de referencia
• Gobierno TI: Ciclo de vida
• ISO/IEC 38500:2015 – Conceptos principales
• ISO/IEC 38500:2015 – Principales propósitos
• ISO/IEC 38500:2015 – 6 Principios básicos
• ISO/IEC 38500:2015 – Remarcando 2 principios básicos

Unidad 2. Análisis de riesgos

• Análisis de Riesgos: Principios generales
• ISO 31000:2018
• Análisis de Riesgos: Elementos y sus relaciones
• Análisis de Riesgos: Metodología MAGERIT v.3
• Análisis de Riesgos: Desarrollo de las fases

Unidad 3. Metodologías de análisis y gestión de riesgos

• Análisis de Riesgos: Metodología NIST SP 800-30
• Análisis de Riesgos: Metodología OCTAVE
• Análisis de Riesgos: Metodología CRAMM
• Análisis de Riesgos: Comparativa de las metodologías
• Gestión de Riesgos: Aspectos generales
• Gestión de Riesgos: Plan Director de Seguridad

Unidad 4. Controles de acceso lógico, criptografía y seguridad de las comunicaciones

• Gestión de contraseñas y supervisión de filtrado de las mismas
• Sistemas de control de acceso lógico
• Sistemas de identificación y autenticación (análisis de las principales plataformas)
• Encriptación de almacenamiento y las comunicaciones
• Firewalls e IPS/IDS (sistema de identificación y bloqueo de accesos no autorizados)
• Ciberseguridad de redes, sistemas, aplicaciones y datos
• Autoprotección: medidas y contramedidas

Unidad 5. Seguridad física y medioambiental

• Sistemas de control de acceso físico
• Controles ante la personalización física de atacantes
• Controles sobre la confidencialidad de la información impresa y el puesto de trabajo
• Procedimiento de eliminación de hardware que contenga datos en forma segura

Unidad 6. Seguridad operacional

• Antivirus, sistemas de monitorización y sistema de actualización de sistema operativo
• Sistemas de monitorización, SIEM
• Sistemas de gestión de parches y distribución de aplicaciones
• Gestión del cambio
• Aspectos principales que debe poseer cualquier auditoría de seguridad de los sistemas de información
• Hitos principales de cualquier auditoría de seguridad

Fechas del curso

25/02/2019 – 07/04/2019

 

Duración

6 semanas / 50 horas

 

Formato

100% Online

 

Precios

160€ (asociados) 320€ (no asociados) IVA incluido

 

Ramiro Cid del Corral

Especialista en gestión de la ciberseguridad, protección de datos, plan de continuidad de negocio y gestión de sistemas de información. Licenciado en Sistemas de Información de las Organizaciones por la Universidad de Buenos Aires. Postgrado de Dirección de Empresa por la Universidad Pompeu Fabra.

Ramiro Cid es el IT Security Officer en la región sur de Europa para Linde Group, con 20 años de experiencia en gestión de sistemas de información, siendo en los últimos 12 años en ciberseguridad y protección de datos.  Cuenta con una amplia experiencia en gestión de proyectos (certificado en Green Belt Lean Six Sigma) proyectos de análisis y gestión de riesgos; creación y mantenimiento de un SGSI (siguiendo la ISO 27001:2013). Desarrollo de BCP & DRP; auditorías y adecuación a la RGPD.

Además de profesor en la APEP en los cursos de “Auditoría de Seguridad”, “Cloud Computing, Blockchain, Machine to machine learning” y de “Iniciación a la Ciberseguridad”, Ramiro es profesor del Master de Cybersecurity Management que se imparte en la UPC (Universidad Politécnica de Catalunya) en el módulo de Análisis y Gestión de Riesgos y Plan de Continuidad de Negocio.

Miembro permanente del Consejo Consultivo de INIDES impartiendo formación en ciberseguridad a la FPOL (Federación de Profesionales de la Seguridad Pública de Cataluña) y próximamente como formador en cursos certificados para los Mossos d’Esquadra y Guardia Urbana.

Ponente habitual en eventos en el ICAB (Ilustre Colegio de Abogados de Barcelona) y en organizaciones internacionales como ISACA e itSMF.

Ramiro posee 5 certificaciones (4 en ciberseguridad): CISM®, CGEIT®, ISO 27001 Lead Auditor, ISO 22301 Lead Auditor e ITIL® Foundation siendo miembro, desde 2010 de ISACA, Asociación Internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información.

LinkedIn

Twitter: @ramirocid

Volver arriba