Curso 2: Planificación y Auditoría de un Sistema de Gestión de Seguridad de la Información (SGSI con ISO 27001, ENS y LOPDGDD)

En este curso nos centraremos en cómo encarar dos de los servicios principales de que demandan las organizaciones: el plan de implantación y la auditoría interna, cubriendo los aspectos del ENS y la ISO 27001, así como el reflejo de la LOPDGDD en ambas.

Programa de 8 semanas donde profundizaremos primero en la tecnología que debemos conocer para auditar, en el contenido de un Sistema de Gestión de Seguridad de la Información y en el Análisis de Riesgos. Además haremos un repaso a las principales normas ISO de la familia 27000 y al Esquema Nacional de Seguridad.

Reuniendo toda esa información podemos generar un plan de adecuación y un plan de auditoría. En el primero debemos ser capaces de generar un informe que exponga los pasos a realizar para conseguir certificarse en el ENS o en la 27001. La auditoría, por otro lado, debe entenderse como la “fotografía” de la situación de la Seguridad de la información en un momento dado.

Descripción

El nuevo auditor de Seguridad TiC de ser capaz de entender y asimilar un gran abanico de conocimientos que le permitan adaptarlos en la debida forma en cada caso particular. Debe tener los conocimientos técnicos y jurídicos de las normas y leyes implicadas. También debe de ser un excelente gestor de proyectos, de personas y un comunicador eficiente. Poder llevar a cabo estos procesos con competencia y capacidad sólo se puede afrontar desde la base de una formación de carácter avanzado, en un entorno profesional, con recursos docentes de gran interacción y participación, más lógicamente varios años de experiencia poniendo todo lo aprendido en buena práctica.

Los riesgos de seguridad caminan de la mano de los avances tecnológicos. Es necesario comprender la Seguridad de la Información desde una perspectiva integral, que abarque todos los frentes de defensa ante las amenazas. Esta perspectiva se consigue implantando normas de seguridad y cumpliendo la Ley en las organizaciones.

En estos cursos nos proponemos ayudar a las organizaciones a cumplir las normas de seguridad de la información más ampliamente demandadas en España (Esquema Nacional de Seguridad e ISO 27001) y la Ley Orgánica de Protección de Datos desde las perspectivas del consultor y el auditor.

La manera de poner en marcha todo esto pasa por generar un Sistema de gestión de Seguridad de la Información que cumpla con una o dos de las normas mencionadas y con la LOPDGDD.

En APEP hemos generado un itinerario compuesto por un taller intensivo y dos cursos temáticos orientados a los distintos proyectos que se necesitan en las organizaciones:

  1. Taller de implantación de normas ENS /ISO 27001 /LOPDGDD
  2. Curso de Planificación y Auditoría de un SGSI (ENS+ISO27001+LOPDGDD) auditoria + plan de implantación
  3. Curso de Implementación de un SGSI (ENS+ISO27001+LOPDGDD) acompañamiento durante todo el proceso.

En el primer taller se da una visión global de todos los aspectos necesarios para implantar una norma de seguridad, y relacionar las medidas de seguridad de la LOPDGDD con las medidas de la norma. Si has realizado este programa de 3 semanas te será mucho más sencillo seguir los dos cursos siguientes.

El segundo es el curso que nos ocupa, y nos permitirá asegurar los conocimientos y práctica necesarios para poder abordar con competencia dos tipos de proyecto demandados por las organizaciones:

  • la Planificación de un Sistema de Gestión de Seguridad de la Información que se adapte a la organización, y
  • la Auditoría de un Sistema de Gestión de Seguridad de la Información.

El tercer curso nos asegurará adquirir una metodología para ayudar a la organización en el tercer tipo de proyecto que pueden demandarnos:

  • ayudar a implantar el Sistema de Gestión planificado en la organización paso a paso, y pasar las auditorías normativas.

Metodología

De la mano del profesor, como en un tutorial detallado, seguiremos paso a paso la metodología para planificar la implementación y/o auditar un Sistema de Gestión de Seguridad de la Información que cumpla el ENS o la ISO 27001, incorporando las ultimas novedades publicadas en la materia, incluyendo el análisis de riesgos con la herramienta PILAR y verificando la implantación de la LOPDGDD.

  • 9 webinars en directo + grabación complementaria para entender la materia de una manera cercana y directa.
  • Una sección completa con recursos y documentación adicional.
  • Licencia de uso de la herramienta PILAR.
  • Gran interactividad: foros de dudas y participación.
  • Aporte extra de documentación de apoyo y plantillas.
  • Acceso a los contenidos del curso durante un mes después de la finalización para poder asimilar los contenidos.

Objetivos

El objetivo de este curso es proporcionar al alumno una formación intensiva que le permita desarrollar dos competencias fundamentales asociadas a proyectos que las organizaciones demandan:

  • Planificar la implantación de un Sistema de Gestión de Seguridad de la Información que tenga en cuenta la ISO 27001, el Esquema Nacional de Seguridad (ENS) y la LOPDGDD en una organización.
  • Ser capaz de planificar y llevar a cabo una Auditoría de un Sistema de Gestión implantado, con o sin ayuda de un técnico según cada caso.

A la finalización del curso el participante será capaz de:

  • Entender los conceptos tecnológicos esenciales para planificar estrategias y auditar medidas implantadas (con o sin ayuda de un técnico según proceda).
  • Entender los procesos que intervienen en el proyecto de implementación y certificación del Esquema Nacional de Seguridad o de la ISO 27001, y las responsabilidades asociadas, siendo capaces de generar un Plan de Adecuación.
  • Enlazar la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) con las normas ISO 27001 o el ENS.
  • Comprender los problemas de implementación de estas normas debido a la incertidumbre asociada, y entender la metodología de proyectos que debemos seguir.
  • Comprender el rodaje de un SGSI y los registros que debe originar.
  • Entender las fases para llegar a establecer un Plan de Adecuación para implantar un SGSI en una organización.
  • Analizar los riesgos de seguridad de una organización en base a una metodología y proponer el tratamiento de los riesgos residuales.
  • Ser capaz de realizar una auditoría objetiva y asociada a un momento temporal (con o sin ayuda de un técnico según cada caso).
  • Ser capaz de ayudar a la organización en el proceso de auditorías y en la resolución de las No Conformidades encontradas.

A quién está dirigido

El curso está dirigido principalmente a profesionales (consultores de seguridad de la información, auditores, responsables de seguridad de la información, responsables de sistemas TIC, directores de proyecto, delegados de protección de datos, consultores de dirección, miembros de oficinas técnicas o de gestión de proyectos) con responsabilidades de gestión que necesitan enfrentar o deseen adquirir conocimientos de la planificación y/o auditoría de la implementación obligatoria del Esquema Nacional de Seguridad, de la implementación de la ISO 27001 y de la necesaria unificación de la LOPDGDD con ambas.

Programa

UNIDAD INICIAL

  • Presentación del curso
  • Presentación de CASOS PRÁCTICOS
    • Empresa privada
    • Entidad Pública
    • Entidad local (ayuntamiento pequeño)
  • Repaso de conceptos de Seguridad de la Información.

 UNIDAD 1: TECNOLOGÍAS y GESTIÓN DE PROYECTOS 

1.1 TECNOLOGÍAS y HERRAMIENTAS

  • Conceptos básicos de Tecnología
    • Tecnologías innovadoras
    • Control de accesos: LDAP, Directorio Activo
    • Virtualización de redes, máquinas virtuales y contenedores
    • La Nube
  • Criptografía esencial
    • Simétrica y asimétrica
    • Protocolos y algoritmos válidos
    • Certificados, firmas, sellos…
  • Herramientas de software
    • Gestión de tickets y tareas
    • Inventario: CMDB
    • Gestión de Logs
    • Perímetros de seguridad: Firewall, WAF
    • Husmeadores de red, IDS e IPS
    • Gestión de móviles: MDM
    • Antimalware
    • Criptografía
    • Gestión de certificados
  • Herramientas del CCN-CERT

1.2 GESTIÓN DEL PROYECTO

  • Gestión ágil de proyectos con incertidumbre
  • Consejos sobre cómo contratar y gestionar proyectos de este tipo
  • Administraciones Públicas: Contratos y pliegos correctos e incorrectos
  • Información desde el INCIBE y el Centro Criptológico Nacional
  • Herramientas (opcionales) relacionadas con la Gestión de proyectos y su documentación.

UNIDAD 2: UN SGSI PARA GESTIONAR LA NORMA DE SEGURIDAD Y LA LOPDGDD

2.1 NORMAS

  • La norma ISO 27001
  • El Esquema Nacional de Seguridad
    • En las entidades públicas
    • En la empresa privada
  • La LOPDGDD y las medidas de seguridad

2.2 EL SGSI Y SU DOCUMENTACIÓN

  • Recordemos qué es un SGSI
  • Políticas de seguridad y de uso de activos
  • Documentación de contexto
  • RAT (datos personales)
  • Procedimientos de Gestión del SGSI
  • Procedimientos Generales
  • Procedimientos Operativos
  • Instrucciones técnicas y Registros

UNIDAD 3: ANÁLISIS DE RIESGOS CON MAGERIT Y PILAR

  • Valorar los activos
    • Configuraciones de PILAR. Fases
    • Valorar activos esenciales
    • Obtener la Categoría del sistema (para el ENS) desde PILAR
    • Establecer el resto de activos
    • Valoración por dependencias
  • Análisis de Riesgos
    • Fronteras lógicas y físicas
    • Riesgo Potencial
    • Introducir salvaguardas
      • Desde la lista de salvaguardas
      • Desde los Perfiles de seguridad
    • Riesgo actual acumulado y repercutido
  • Análisis de riesgos en Entidades Locales
  • Gestión de Riesgos de Datos Personales con PILAR
    • Análisis de Impacto
    • Perfiles de Seguridad de Protección de Datos Personales
  • Obtención de resultados e informes
    • Informes de cumplimiento
    • Informe INES para el ENS desde Pilar
  • Documentación en el SGSI
    • Análisis de Riesgos
    • Tratamiento de Riesgos

UNIDAD 4: PLAN DE ADECUACIÓN DE UN PROYECTO DE IMPLANTACIÓN (ENS/27001)

  • Inicio del proyecto. Primeros pasos
    • Establecer primer alcance
    • Aspectos legales y normativos en la organización.
    • Integración con otras normas
    • Requisitos de las Partes interesadas
    • Establecer los riesgos y objetivos estratégicos de la organización
    • Establecer los activos esenciales
  • Categorizar el sistema (Esquema Nacional de Seguridad)
  • Realizar el Análisis de Riesgos necesario según el caso
  • Generar la Declaración de Aplicabilidad y el Informe de Insuficiencias
  • Plan de Adecuación.
  • Itinerario de implementación de medidas

UNIDAD 5: REGISTROS DEL SGSI Y AUDITORÍA

5.1: Registros generales del SGSI

  • Objetivos estratégicos de Seguridad
  • Objetivos de Mejora
  • Tratamiento de los riesgos estratégicos
  • Tratamiento de los riesgos resultantes del análisis de riesgos
  • Tratamiento de No Conformidades y Observaciones
  • Indicadores
  • Cambios efectuados en el sistema
  • Informe a la Dirección
  • Auditoría Interna
  • Proceso de certificación
  • CV y cualidades del equipo auditor
  • Consideraciones en primera auditoría, en auditoría de revisión, de renovación y de solución de problemas.
  • Elaborar el Plan de Auditoría
  • Documentación general a solicitar en una auditoría
  • Auditoría de la ISO 27001
    • Puntos 4 al 10 de la norma
    • Controles del anexo (ISO 27002)
  • Auditoría del Esquema
    • Artículos del ENS
    • Marco organizativo
    • Marco operacional
    • Medidas de protección
    • Atención a los cambios desde las guías del CCN

Fechas del curso

31 mayo – 25 julio 2021

Duración

8 semanas / 60 horas

Formato

100% online

Precios

425€ (asociados) 850€ (no asociados) IVA incluido

FUNDAE

Bonificable

Matricularse
Lo que dicen nuestros alumnos

“Un taller magnífico, todo perfecto. La paciencia y el conocimiento de este profesor son encomiables. Durante el taller estaba pendiente de actualizaciones normativas que literalmente se habían publicado el día anterior. Usar paso a paso la herramienta PILAR como en un tutorial ha sido lo mas útil. Tener tiempo extra para poder revisar, asimilar y preguntar es esencial en este tipo de formaciones. ¡Enhorabuena!”

Encuesta Taller 5a edición 

“Felicitaros por disponer de un ponente como Ricardo Sánchez y por, favor, transmitirle mis felicidades también por conseguir hacer de algo tan abstracto y difícil como es el ENS una formación muy práctica, interesante, con trucos y atajos para no morir en el intento y para conseguir los objetivos de la implantación. Ha superado con creces mis expectativas de cualquier otro taller que haya realizado hasta ahora. Enhorabuena!”

“Ha sido un auténtico placer. Una materia tan completa el profesor ha conseguido estructurarla de manera sencilla y comprensible. Faltó más tiempo, simplemente. Gracias”

Encuesta Taller 5a edición 

Docente

Ricardo Sánchez Berbegal

Ricardo Sánchez Berbegal es Ingeniero Técnico en Informática, Máster Oficial en Software Libre y tiene diversos postgrados con el título de Experto Universitario en Seguridad de la Información, Comercio electrónico, Desarrollo de Aplicaciones y Virtualización y Computación en la Nube. En Seguridad de la Información añade también cursos sobre Hacking Ético y Protección de Datos personales. Además, es Auditor Jefe de la ISO 27001 por AENOR.

Ricardo lleva trabajando desde 1988 como informático en diversas facetas de los ambientes de desarrollo de aplicaciones y sistemas para empresas de servicios. Desde el 2012 centra su labor profesional como consultor, formador y auditor en las normas ISO 27001, ISO 22301 y Esquema Nacional de Seguridad respecto a la Seguridad de la Información, en la norma ISO 20000-1 respecto a la Gestión de Procesos TIC y en la Gestión de Proyectos Ágiles con SCRUM.

LinkedIn

Maria Alcolea

Maria Alcolea

Entradas relacionadas

Volver arriba
Buscar