Saltear al contenido principal

Gobierno y gestión de la Ciberseguridad

(Ciberseguridad II)

En este curso se desarrollan aspectos avanzados relacionados con la gobernanza y la gestión de la ciberseguridad, incluyendo los aspectos más importantes en relación tanto al ámbito estratégico (gobernanza) como táctico (gestión) de la ciberseguridad.

El contenido del curso incluye numerosos aspectos y controles incluidos en los dominios de la ISO/IEC 27001:2013 (ISO de la Gestión de la Seguridad de la Información) y en la ISO/IEC 38500:2015 (ISO de la Gobernanza de TI), así como la reciente ISO/IEC 27701:2019 (publicada en agosto 2019), siendo una extensión certificable de privacidad de la ISO/IEC 27001:2013).

El presente curso facilita el poder realizar los exámenes de ISACA® para conseguir la certificación CGEIT® (ISACA’s® Certified in the Governance of Enterprise IT) y el certificado de CSX (ISACA’s® Cybersecurity Nexus™ – CSX) debido a que se incluyen temas presentes en ambos exámenes de ISACA®

Dentro del curso veremos conceptos claves de la ciberseguridad como son: gobernanza de TI, análisis y gestión de riesgos, controles de acceso lógico y físico, criptografía, y seguridad operacional y de las comunicaciones.

La clave del curso pasa por integrar los aspectos relevantes para una eficiente gobernanza y gestión de ciberseguridad a través del desarrollo de dominios comentados desde un punto de vista de los aspectos técnicos más relevantes y desde la visión de gobernanza de los sistemas de información.

Este curso complementa el Curso de Iniciación a la Ciberseguridad (idealmente a ser llevado a cabo a posterioridad de este, aunque no es un requisito necesario hacerlo en dicho orden) impartido también en la APEP para con ello completar en forma más amplia el estudio y práctica de la ciberseguridad ya que ambos cursos sumados contemplan la casi totalidad de los dominios de la ISO/IEC 27001:2013 así como otros ámbitos relevantes propios de la ciberseguridad no incluidos en dicha normativa.

Objetivos académicos

  • Conocer conceptos importantes relacionados con la ciberseguridad como son: análisis de riesgos (incluyendo varias metodologías internacionales), gestión de riesgos, criptografía, gobernanza de ciberseguridad, gestión de la ciberseguridad, seguridad operacional, seguridad de las comunicaciones, entre otros.
  • Estar familiarizado con los aspectos principales de estándares internacionales de seguridad de la información como ISO 27001 e ISO 38500.
  • Conocer aspectos relacionados con la gobernanza de la seguridad (acercamiento al gobierno TI, marco de referencia, ciclo de vida, etc.).
  • Conocer los aspectos más relevantes en relación con la realización de análisis de riesgos, conociendo en profundidad la metodología de análisis de riesgos de Magerit v.3 así como los aspectos más relevantes de las metodologías CRAMM, Octave y NIST SP 800-300.
  • Conocer los aspectos fundamentales de la gestión de riesgos, realizando un amplio desarrollo de la ISO 31000 (ISO sobre la gestión de riesgo).
  • Estar familiarizado con los aspectos importantes de la seguridad física (sistemas de control, controles ante la personalización física de atacantes, procedimientos de eliminación de hardware en forma segura, etc.).
  • Conocer conceptos y detalles relacionados la seguridad operacional (antivirus, sistemas de monitorización, sistemas de actualización del sistema operativo y distribución de parches). Gestión del cambio en los sistemas de información. Aspectos principales que debe posee cualquier auditoría, etc.
  • Introducirse en la seguridad de las comunicaciones a través del desarrollo de temas como firewalls, la gestión de la ciberseguridad de las redes, sistemas, aplicaciones y la autoprotección (medidas técnicas).

Competencias

  • Ser capaz de comenzar a utilizar aspectos claves de la gobernanza y la gestión de la ciberseguridad en su propia organización.
  • Poder estar familiarizado con muchos conceptos que le permitirán facilitar la revisión de un informe de auditoría de seguridad (incluso técnicas) y poder ser un interlocutor válido en reuniones con auditores y técnicos en seguridad.
  • Asimilar conceptos básicos de los principales de estándares internacionales de seguridad de la información como son la ISO/IEC 27001:2013 y la ISO/IEC 38500:2015 y la ISO 31000:2018.
  • Introducirse en conceptos y temas incluidos en la certificación CGEIT® y el certificado Cybersecurity Fundamentals Certificate (CSX) de ISACA®
  • Mejorar la gestión de la ciberseguridad de su organización en el ámbito de control bajo su responsabilidad, y con ello también en consecuencia mejorar la gestión de la privacidad de la información.
  • Saber identificar los aspectos relevantes para una excelente gobernanza o gestión de tecnología con la ayuda de los estándares de seguridad más relevantes.
Programa

La seguridad debe ser entendida siempre en un sentido amplio y es consecuencia de las interrelaciones existentes en nuestras organizaciones de 3 ámbitos: a) Procesos, b) Personas y c) Sistemas.

Si realizamos una distribución de todos los dominios de la ISO/IEC 27001:2013 (ISO que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información, con sus siglas: SGSI) y otros dominios o ámbitos adicionales que incluye este curso y su relación con los ámbitos comentados anteriormente, podremos tener un esquema como el siguiente:

Referencias sobre el esquema:

  • Los dominios de la ISO/IEC 27001:2013 rodeados con un círculo rojo son los incluidos en el presente curso.
  • Los ámbitos adicionales a dicha ISO incluidos en el curso están comentados en el esquema en el recuadro con borde en rojo
  • Los dominios están agrupados en los 3 ámbitos (procesos, personas y sistemas) por color en función de la mayor relación del dominio con el ámbito. En aquellos dominios que posean una buena relación con 2 ámbitos, el color del borde del dominio concuerda con el color del ámbito que tiene influencia (el color del ámbito determinante determinará el color del relleno).

Unidad 1. Gobierno de TI e ISO 38500

  • Primer acercamiento al Gobierno TI
  • Gobierno TI & Gestión TI
  • Gobierno TI: Marcos de referencia
  • Gobierno TI: Ciclo de vida
  • ISO/IEC 38500:2015 – Conceptos principales
  • ISO/IEC 38500:2015 – 6 Principios básicos
  • ISO/IEC 38500:2015 – Principales propósitos
  • Pasos para crear un Gobierno de la Seguridad de la Información
  • Aspectos principales de la norma ISO/IEC 27701:2019

Unidad 2. Análisis de riesgos

  • Análisis de Riesgos: Principios generales
  • ISO 31000:2018
  • Análisis de Riesgos: Elementos y sus relaciones
  • Análisis de Riesgos: Metodología MAGERIT v.3
  • Análisis de Riesgos: Desarrollo de las fases

Unidad 3. Metodologías de análisis y gestión de riesgos

  • Análisis de Riesgos: Metodología NIST SP 800-30
  • Análisis de Riesgos: Metodología OCTAVE
  • Análisis de Riesgos: Metodología CRAMM
  • Análisis de Riesgos: Comparativa de las metodologías
  • Gestión de Riesgos: Aspectos generales
  • Gestión de Riesgos: Plan Director de Seguridad

Unidad 4. Controles de acceso lógico, criptografía y seguridad de las comunicaciones

  • Gestión de contraseñas y supervisión de filtrado de las mismas
  • Sistemas de control de acceso lógico
  • Sistemas de identificación y autenticación (análisis de las principales plataformas)
  • Cifrado: concepto y aspectos principales
  • Cifrado de almacenamiento
  • Cifrado de las comunicaciones
  • Firewalls e IPS/IDS (sistema de identificación y bloqueo de accesos no autorizados)
  • Ciberseguridad de redes, sistemas, aplicaciones y datos
  • Autoprotección: medidas y contramedidas

Unidad 5. Seguridad física y medioambiental

  • Sistemas de control de acceso físico
  • Controles ante la personalización física de atacantes
  • Controles sobre la confidencialidad de la información impresa y el puesto de trabajo
  • Procedimiento de eliminación de hardware que contenga datos en forma segura

Unidad 6. Seguridad operacional

  • Endpoints y gestión de antivirus
  • Sistemas de monitorización y sistemas SIEM
  • Sistemas de actualización de sistema operativo y distribución de aplicaciones
  • Gestión del cambio
  • Aspectos principales que debe poseer cualquier auditoría de seguridad de los sistemas de información
  • Hitos principales de cualquier auditoría de seguridad
Fechas del curso

11/05/20 – 21/06/20

 

Duración

6 semanas / 50 horas

 

Formato

100% Online

 

Precios

250€ (asociados) 500€ (no asociados) IVA incluido

 

Ramiro Cid del Corral

Especialista en gestión de la ciberseguridad, protección de datos, plan de continuidad de negocio y gestión de sistemas de información. Licenciado en Sistemas de Información de las Organizaciones por la Universidad de Buenos Aires. Postgrado de Dirección de Empresa por la Universidad Pompeu Fabra.

Ramiro Cid es el IT Security Officer en la región sur de Europa para Linde Group, con 20 años de experiencia en gestión de sistemas de información, siendo en los últimos 13 años en ciberseguridad y protección de datos. Cuenta con una amplia experiencia en gestión de proyectos (certificado en Green Belt Lean Six Sigma) proyectos de análisis y gestión de riesgos; creación y mantenimiento de un SGSI (siguiendo la ISO 27001:2013). Desarrollo de DRP y BCP; auditorías y adecuación a la RGPD.

Profesor en la APEP en los cursos “Cloud Computing”, “Iniciación a la Ciberseguridad” y “Gobierno y gestión de la Ciberseguridad”, Ramiro es profesor del Master de Cybersecurity Management que se imparte en la UPC (Universidad Politécnica de Cataluña) en el módulo de Análisis y Gestión de Riesgos y Plan de Continuidad de Negocio.

Ponente habitual en eventos en el ICAB (Ilustre Colegio de Abogados de Barcelona) y en organizaciones internacionales como ISACA e itSMF.

Ramiro posee 5 certificaciones (4 en ciberseguridad): CISM®, CGEIT®, ISO 27001 Lead Auditor, ISO 22301 Lead Auditor e ITIL® Foundation siendo miembro, desde 2010 de ISACA, Asociación Internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información.

LinkedIn

Twitter @ramirocid

 

Volver arriba