Saltear al contenido principal

Gobierno y gestión de la Ciberseguridad

500,00 IVA incluído

Hay existencias

  • Si eres socio APEP se te aplicará la tarifa correspondiente una vez accedas con tus credenciales en la parte superior izquierda "Iniciar Sesión" o bien en la página de finalización del pago.
    Para "Iniciar Sesión" debes utilizar la dirección de correo electrónico que utilizaste para darte de alta en APEP o tu nombre de usuario.  
    ¿Todavía no te has dado de alta en la web?
    Datos del Alumno:

    Trataremos tus datos para gestionar todos los trámites necesarios para tu inscripción y participación en el curso formativo seleccionado así como para su facturación. Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad escribiéndonos a administracion@apep.es. Más información en la Política de Privacidad

    "NO se aceptarán pagos de matrículas por transferencia bancaria"

Descripción

En los momentos actuales donde la humanidad en su conjunto intenta sobrellevar la crisis sanitaria, social y económica provocada por el COVID-19 (coronavirus), más que nunca es necesario contar con una buena resiliencia en nuestras empresas, organizaciones y hasta en nuestras propias vidas.

Para poder alcanzar ello, desde la perspectiva de la ciberseguridad, es necesario contar con una correcta gobernanza de la seguridad TI de nuestros sistemas de información. En esta edición del curso haremos especial hincapié en aspectos relacionados con la situación de contingencia teniendo en cuenta los distintos ámbitos del curso.

En este curso se desarrollan aspectos avanzados relacionados con la gobernanza y la gestión de la ciberseguridad, incluyendo los aspectos más importantes en relación tanto al ámbito estratégico (gobernanza) como táctico (gestión) de la ciberseguridad.

El contenido del curso incluye numerosos aspectos y controles incluidos en los dominios de la ISO/IEC 27001:2013 (ISO de la Gestión de la Seguridad de la Información) y en la ISO/IEC 38500:2015 (ISO de la Gobernanza de TI), así como la reciente ISO/IEC 27701:2019 (publicada en agosto 2019), siendo una extensión certificable de privacidad de la ISO/IEC 27001:2013). Los contenidos facilitan poder realizar los exámenes de ISACA® para conseguir la certificación CGEIT® (ISACA’s® Certified in the Governance of Enterprise IT) y el certificado de CSX (ISACA’s® Cybersecurity Nexus™ – CSX) debido a que se incluyen temas presentes en ambos exámenes de ISACA®

Dentro del curso veremos conceptos claves de la ciberseguridad como son: gobernanza de TI, análisis y gestión de riesgos, controles de acceso lógico y físico, criptografía, y seguridad operacional y de las comunicaciones.

La clave del programa pasa por integrar los aspectos relevantes para una eficiente gobernanza y gestión de ciberseguridad a través del desarrollo de dominios comentados desde un punto de vista de los aspectos técnicos más relevantes y desde la visión de gobernanza de los sistemas de información.

Este curso complementa Iniciación a la Ciberseguridad (idealmente a ser llevado a cabo a posterioridad de este, aunque no es un requisito necesario hacerlo en dicho orden) impartido también en APEP para con ello completar en forma más amplia el estudio y práctica de la ciberseguridad ya que ambos cursos sumados contemplan la casi totalidad de los dominios de la ISO/IEC 27001:2013 así como otros ámbitos relevantes propios de la ciberseguridad no incluidos en dicha normativa

Objetivos

  • Conseguir conocer las claves para obtener una mejor ciber-resiliencia y adaptación a los momentos de crisis y contingencia donde nuestra actividad se ve impactada y tenemos que hacer las cosas de otra manera.
  • Conocer conceptos y detalles importantes relacionados con la ciberseguridad como son: análisis de riesgos (incluyendo varias metodologías internacionales), gestión de riesgos, criptografía, gobernanza de ciberseguridad, gestión de la ciberseguridad, seguridad operacional, seguridad de las comunicaciones, entre otros.
  • Estar familiarizado con los aspectos principales de estándares internacionales de seguridad de la información como ISO 27001 (clave para la ciber-resiliencia) e ISO 38500.
  • Conocer aspectos relacionados con la gobernanza de la seguridad (acercamiento al gobierno TI, marco de referencia, ciclo de vida, etc.).
  • Conocer los aspectos más relevantes en relación con la realización de análisis de riesgos, conociendo en profundidad la metodología de análisis de riesgos de Magerit v.3 así como los aspectos más relevantes de las metodologías CRAMM, Octave y NIST SP 800-300.
  • Conocer los aspectos fundamentales de la gestión de riesgos, realizando un amplio desarrollo de la ISO 31000 (ISO sobre la gestión de riesgo).
  • Estar familiarizado con los aspectos importantes de la seguridad física (sistemas de control, controles ante la personalización física de atacantes, procedimientos de eliminación de hardware en forma segura, etc.).
  • Conocer conceptos y detalles relacionados la seguridad operacional (antivirus, sistemas de monitorización, sistemas de actualización del sistema operativo y distribución de parches). Gestión del cambio en los sistemas de información. Aspectos principales que debe posee cualquier auditoría, etc.
  • Introducirse en la seguridad de las comunicaciones a través del desarrollo de temas como firewalls, la gestión de la ciberseguridad de las redes, sistemas, aplicaciones y la autoprotección (medidas técnicas).

Competencias

  • Ser capaz de comenzar a utilizar aspectos claves de la gobernanza y la gestión de la ciberseguridad en su propia organización ayudando en este camino en la mejora de la ciber-resiliencia.
  • Poder estar familiarizado con muchos conceptos que le permitirán facilitar la revisión de un informe de auditoría de seguridad (incluso técnicas) y poder ser un interlocutor válido en reuniones con auditores y técnicos en seguridad.
  • Asimilar conceptos básicos de los principales de estándares internacionales de seguridad de la información como son la ISO/IEC 27001:2013 y la ISO/IEC 38500:2015, ISO 31000:2018 y la ISO/IEC 27701:2019.
  • Introducirse en conceptos y temas incluidos en la certificación CGEIT® y el certificado Cybersecurity Fundamentals Certificate (CSX) de ISACA®
  • Mejorar la gestión de la ciberseguridad de su organización en el ámbito de control bajo su responsabilidad, y con ello también en consecuencia mejorar la gestión de la privacidad de la información.
  • Saber identificar los aspectos relevantes para una excelente gobernanza o gestión de tecnología con la ayuda de los estándares de seguridad más relevantes.

Programa

La seguridad debe ser entendida siempre en un sentido amplio y es consecuencia de las interrelaciones existentes en nuestras organizaciones de 3 ámbitos: a) Procesos, b) Personas y c) Sistemas.

Si realizamos una distribución de todos los dominios de la ISO/IEC 27001:2013 (ISO que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información, con sus siglas: SGSI) y otros dominios o ámbitos adicionales que incluye este curso y su relación con los ámbitos comentados anteriormente, podremos tener un esquema como el siguiente:

Referencias sobre el esquema:

  • Los dominios de la ISO/IEC 27001:2013 rodeados con un círculo rojo son los incluidos en el presente curso.
  • Los ámbitos adicionales a dicha ISO incluidos en el curso están comentados en el esquema en el recuadro con borde en rojo
  • Los dominios están agrupados en los 3 ámbitos (procesos, personas y sistemas) por color en función de la mayor relación del dominio con el ámbito. En aquellos dominios que posean una buena relación con 2 ámbitos, el color del borde del dominio concuerda con el color del ámbito que tiene influencia (el color del ámbito determinante determinará el color del relleno).

Unidad 1. Gobierno de TI, ISO 38500 y Ciber-resiliencia

  • Primer acercamiento al Gobierno TI
  • Gobierno TI & Gestión TI
  • Gobierno TI: Marcos de referencia
  • Gobierno TI: Ciclo de vida
  • ISO/IEC 38500:2015 – Conceptos principales
  • ISO/IEC 38500:2015 – 6 Principios básicos
  • ISO/IEC 38500:2015 – Principales propósitos
  • Pasos para crear un Gobierno de la Seguridad de la Información
  • Aspectos principales de la norma ISO/IEC 27701:2019
  • Ciber-resiliencia y riesgo agregado

Unidad 2. Análisis de riesgos 

  • Análisis de Riesgos: Principios generales
  • ISO 31000:2018
  • Análisis de Riesgos: Elementos y sus relaciones
  • Análisis de Riesgos: Metodología MAGERIT v.3
  • Análisis de Riesgos: Determinar los activos relevantes para la organización
  • Análisis de Riesgos: Determinar a qué amenazas están expuestos esos activos
  • Análisis de Riesgos: Determinar las salvaguardas dispuestas
  • Análisis de Riesgos: Estimar el impacto
  • Análisis de Riesgos: Estimar el riesgo

Unidad 3. Metodologías de análisis y gestión de riesgos

  • Análisis de Riesgos: Metodología NIST SP 800-30
  • Análisis de Riesgos: Metodología OCTAVE
  • Análisis de Riesgos: Metodología CRAMM
  • Análisis de Riesgos: Comparativa de las metodologías
  • Gestión de Riesgos: Aspectos generales
  • Gestión de Riesgos: Plan Director de Seguridad

Unidad 4. Controles de acceso lógico, criptografía y seguridad de las comunicaciones

  • Gestión de contraseñas y supervisión de filtrado de las mismas
  • Sistemas de control de acceso lógico
  • Sistemas de identificación y autenticación (análisis de las principales plataformas)
  • Cifrado: concepto y aspectos principales
  • Cifrado de almacenamiento
  • Cifrado de las comunicaciones
  • Firewalls e IPS/IDS (sistema de identificación y bloqueo de accesos no autorizados)
  • Ciberseguridad de redes, sistemas, aplicaciones y datos
  • Autoprotección: medidas y contramedidas

Unidad 5. Seguridad física y medioambiental

  • Sistemas de control de acceso físico
  • Controles ante la personalización física de atacantes
  • Controles sobre la confidencialidad de la información impresa y el puesto de trabajo
  • Procedimiento de eliminación de hardware que contenga datos en forma segura
  • Seguridad en el teletrabajo

Unidad 6. Seguridad operacional

  • Endpoints y gestión de antivirus
  • Sistemas de monitorización y sistemas SIEM
  • Sistemas de actualización de sistema operativo y distribución de aplicaciones
  • Gestión del cambio
  • Aspectos principales que debe poseer cualquier auditoría de seguridad de los sistemas de información
  • Hitos principales de cualquier auditoría de seguridad

Información clave

Fechas del curso
11/05/20 – 21/06/20

Duración
6 semanas / 50 horas

Formato
100% Online

Precios
250€ (asociados) 500€ (no asociados) IVA incluido

Claustro

Ramiro Cid del Corral

Especialista en gestión de la ciberseguridad, protección de datos, plan de continuidad de negocio y gestión de sistemas de información. Licenciado en Sistemas de Información de las Organizaciones por la Universidad de Buenos Aires. Postgrado de Dirección de Empresa por la UPF-Barcelona School of Management.

Ramiro Cid es el IT Security Officer en la región sur de Europa para Linde Group, con más de 20 años de experiencia en gestión de sistemas de información, siendo en los últimos 13 años en ciberseguridad y protección de datos. Cuenta con una amplia experiencia en gestión de proyectos (certificado en Green Belt Lean Six Sigma) proyectos de análisis y gestión de riesgos; creación y mantenimiento de un SGSI (siguiendo la ISO 27001:2013). Desarrollo de DRP y BCP; auditorías y adecuación a la RGPD.

Profesor en APEP en los cursos “Cloud Computing”, “Iniciación a la Ciberseguridad” y “Gobierno y gestión de la Ciberseguridad”, Ramiro es profesor del Master de Cybersecurity Management que se imparte en la UPC (Universidad Politécnica de Cataluña) en el módulo de Análisis y Gestión de Riesgos y Plan de Continuidad de Negocio.

Ponente habitual en eventos en el ICAB (Ilustre Colegio de Abogados de Barcelona) y en organizaciones internacionales como ISACA e itSMF.

Ramiro posee 5 certificaciones (4 en ciberseguridad): CISM®, CGEIT®, ISO 27001 Lead Auditor, ISO 22301 Lead Auditor e ITIL® Foundation siendo miembro, desde 2010 de ISACA, Asociación Internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información.

LinkedIn

 

 

Volver arriba