Saltear al contenido principal

Curso 2: Planificación y Auditoría de un Sistema de Gestión de Seguridad de la Información (SGSI con ISO 27001, ENS y LOPDGDD)

850,00 IVA incluído

Hay existencias

  • Si eres socio APEP se te aplicará la tarifa correspondiente una vez accedas con tus credenciales en la parte superior izquierda "Iniciar Sesión" o bien en la página de finalización del pago.
    Para "Iniciar Sesión" debes utilizar la dirección de correo electrónico que utilizaste para darte de alta en APEP o tu nombre de usuario.  
    ¿Todavía no te has dado de alta en la web?
    Datos del Alumno:

    Trataremos tus datos para gestionar todos los trámites necesarios para tu inscripción y participación en el curso formativo seleccionado así como para su facturación. Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad escribiéndonos a administracion@apep.es. Más información en la Política de Privacidad

    "NO se aceptarán pagos de matrículas por transferencia bancaria"

Descripción

En este curso nos centraremos en cómo encarar dos de los servicios principales de que demandan las organizaciones: el plan de implantación y la auditoría interna, cubriendo los aspectos del ENS y la ISO 27001, así como el reflejo de la LOPDGDD en ambas.

Programa de 8 semanas donde profundizaremos primero en la tecnología que debemos conocer para auditar, en el contenido de un Sistema de Gestión de Seguridad de la Información y en el Análisis de Riesgos. Además haremos un repaso a las principales normas ISO de la familia 27000 y al Esquema Nacional de Seguridad.

Reuniendo toda esa información podemos generar un plan de adecuación y un plan de auditoría. En el primero debemos ser capaces de generar un informe que exponga los pasos a realizar para conseguir certificarse en el ENS o en la 27001. La auditoría, por otro lado, debe entenderse como la “fotografía” de la situación de la Seguridad de la información en un momento dado.

Descripción

El nuevo auditor de Seguridad TiC de ser capaz de entender y asimilar un gran abanico de conocimientos que le permitan adaptarlos en la debida forma en cada caso particular. Debe tener los conocimientos técnicos y jurídicos de las normas y leyes implicadas. También debe de ser un excelente gestor de proyectos, de personas y un comunicador eficiente. Poder llevar a cabo estos procesos con competencia y capacidad sólo se puede afrontar desde la base de una formación de carácter avanzado, en un entorno profesional, con recursos docentes de gran interacción y participación, más lógicamente varios años de experiencia poniendo todo lo aprendido en buena práctica.

Los riesgos de seguridad caminan de la mano de los avances tecnológicos. Es necesario comprender la Seguridad de la Información desde una perspectiva integral, que abarque todos los frentes de defensa ante las amenazas. Esta perspectiva se consigue implantando normas de seguridad y cumpliendo la Ley en las organizaciones.

En estos cursos nos proponemos ayudar a las organizaciones a cumplir las normas de seguridad de la información más ampliamente demandadas en España (Esquema Nacional de Seguridad e ISO 27001) y la Ley Orgánica de Protección de Datos desde las perspectivas del consultor y el auditor.

La manera de poner en marcha todo esto pasa por generar un Sistema de gestión de Seguridad de la Información que cumpla con una o dos de las normas mencionadas y con la LOPDGDD.

En APEP hemos generado un itinerario compuesto por un taller intensivo y dos cursos temáticos orientados a los distintos proyectos que se necesitan en las organizaciones:

  1. Taller de implantación de normas ENS /ISO 27001 /LOPDGDD
  2. Curso de Planificación y Auditoría de un SGSI (ENS+ISO27001+LOPDGDD) auditoria + plan de implantación
  3. Curso de Implementación de un SGSI (ENS+ISO27001+LOPDGDD) acompañamiento durante todo el proceso.

En el primer taller se da una visión global de todos los aspectos necesarios para implantar una norma de seguridad, y relacionar las medidas de seguridad de la LOPDGDD con las medidas de la norma. Si has realizado este programa de 3 semanas te será mucho más sencillo seguir los dos cursos siguientes.

El segundo es el curso que nos ocupa, y nos permitirá asegurar los conocimientos y práctica necesarios para poder abordar con competencia dos tipos de proyecto demandados por las organizaciones:

  • la Planificación de un Sistema de Gestión de Seguridad de la Información que se adapte a la organización, y
  • la Auditoría de un Sistema de Gestión de Seguridad de la Información.

El tercer curso nos asegurará adquirir una metodología para ayudar a la organización en el tercer tipo de proyecto que pueden demandarnos:

  • ayudar a implantar el Sistema de Gestión planificado en la organización paso a paso, y pasar las auditorías normativas.

Objetivos

El objetivo de este curso es proporcionar al alumno una formación intensiva que le permita desarrollar dos competencias fundamentales asociadas a proyectos que los clientes demandan:

  • Planificar la implantación de un Sistema de Gestión de Seguridad de la Información que tenga en cuenta la ISO 27001, el Esquema Nacional de Seguridad (ENS) y la LOPDGDD en una organización.
  • Ser capaz de planificar y llevar a cabo una Auditoría de un Sistema de Gestión implantado, con o sin ayuda de un técnico según cada caso.

A la finalización del curso el participante será capaz de:

  • Entender los conceptos tecnológicos esenciales para planificar estrategias y auditar medidas implantadas (con o sin ayuda de un técnico según proceda).
  • Entender los procesos que intervienen en el proyecto de implementación y certificación del Esquema Nacional de Seguridad o de la ISO 27001, y las responsabilidades asociadas, siendo capaces de generar un Plan de Adecuación.
  • Enlazar la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) con las normas ISO 27001 o el ENS.
  • Comprender los problemas de implementación de estas normas debido a la incertidumbre asociada, y entender la metodología de proyectos que debemos seguir.
  • Comprender el rodaje de un SGSI y los registros que debe originar.
  • Entender las fases para llegar a establecer un Plan de Adecuación para implantar un SGSI en una organización.
  • Analizar los riesgos de seguridad de una organización en base a una metodología y proponer el tratamiento de los riesgos residuales.
  • Ser capaz de realizar una auditoría objetiva y asociada a un momento temporal (con o sin ayuda de un técnico según cada caso).
  • Ser capaz de ayudar a la organización en el proceso de auditorías y en la resolución de las No Conformidades encontradas.

Programa

UNIDAD INICIAL

  • Presentación del curso
  • Presentación de CASOS PRÁCTICOS
    • Empresa privada
    • Entidad Pública
    • Entidad local (ayuntamiento pequeño)
  • Repaso de conceptos de Seguridad de la Información.

UNIDAD 1: TECNOLOGÍAS y GESTIÓN DE PROYECTOS 

1.1 TECNOLOGÍAS y HERRAMIENTAS

  • Conceptos básicos de Tecnología
    • Tecnologías innovadoras
    • Control de accesos: LDAP, Directorio Activo
    • Virtualización de redes, máquinas virtuales y contenedores
    • La Nube
  • Criptografía esencial
    • Simétrica y asimétrica
    • Protocolos y algoritmos válidos
    • Certificados, firmas, sellos…
  • Herramientas de software
    • Gestión de tickets y tareas
    • Inventario: CMDB
    • Gestión de Logs
    • Perímetros de seguridad: Firewall, WAF
    • Husmeadores de red, IDS e IPS
    • Gestión de móviles: MDM
    • Antimalware
    • Criptografía
    • Gestión de certificados
  • Herramientas del CCN-CERT

1.2 GESTIÓN DEL PROYECTO

  • Gestión ágil de proyectos con incertidumbre
  • Consejos sobre cómo contratar y gestionar proyectos de este tipo
  • Administraciones Públicas: Contratos y pliegos correctos e incorrectos
  • Información desde el INCIBE y el Centro Criptológico Nacional
  • Herramientas (opcionales) relacionadas con la Gestión de proyectos y su documentación.

UNIDAD 2: UN SGSI PARA GESTIONAR LA NORMA DE SEGURIDAD Y LA LOPDGDD

2.1 NORMAS

  • La norma ISO 27001
  • El Esquema Nacional de Seguridad
    • En las entidades públicas
    • En la empresa privada
  • La LOPDGDD y las medidas de seguridad

2.2 EL SGSI Y SU DOCUMENTACIÓN

  • Recordemos qué es un SGSI
  • Políticas de seguridad y de uso de activos
  • Documentación de contexto
  • RAT (datos personales)
  • Procedimientos de Gestión del SGSI
  • Procedimientos Generales
  • Procedimientos Operativos
  • Instrucciones técnicas y Registros

UNIDAD 3: ANÁLISIS DE RIESGOS CON MAGERIT Y PILAR

  • Valorar los activos
    • Configuraciones de PILAR. Fases
    • Valorar activos esenciales
    • Obtener la Categoría del sistema (para el ENS) desde PILAR
    • Establecer el resto de activos
    • Valoración por dependencias
  • Análisis de Riesgos
    • Fronteras lógicas y físicas
    • Riesgo Potencial
    • Introducir salvaguardas
      • Desde la lista de salvaguardas
      • Desde los Perfiles de seguridad
    • Riesgo actual acumulado y repercutido
  • Análisis de riesgos en Entidades Locales
  • Gestión de Riesgos de Datos Personales con PILAR
    • Análisis de Impacto
    • Perfiles de Seguridad de Protección de Datos Personales
  • Obtención de resultados e informes
    • Informes de cumplimiento
    • Informe INES para el ENS desde Pilar
  • Documentación en el SGSI
    • Análisis de Riesgos
    • Tratamiento de Riesgos

UNIDAD 4: PLAN DE ADECUACIÓN DE UN PROYECTO DE IMPLANTACIÓN (ENS/27001)

  • Inicio del proyecto. Primeros pasos
    • Establecer primer alcance
    • Aspectos legales y normativos en la organización.
    • Integración con otras normas
    • Requisitos de las Partes interesadas
    • Establecer los riesgos y objetivos estratégicos de la organización
    • Establecer los activos esenciales
  • Categorizar el sistema (Esquema Nacional de Seguridad)
  • Realizar el Análisis de Riesgos necesario según el caso
  • Generar la Declaración de Aplicabilidad y el Informe de Insuficiencias
  • Plan de Adecuación.
  • Itinerario de implementación de medidas

UNIDAD 5: REGISTROS DEL SGSI Y AUDITORÍA

5.1: Registros generales del SGSI

  • Objetivos estratégicos de Seguridad
  • Objetivos de Mejora
  • Tratamiento de los riesgos estratégicos
  • Tratamiento de los riesgos resultantes del análisis de riesgos
  • Tratamiento de No Conformidades y Observaciones
  • Indicadores
  • Cambios efectuados en el sistema
  • Informe a la Dirección
  • Auditoría Interna
  • Proceso de certificación
  • CV y cualidades del equipo auditor
  • Consideraciones en primera auditoría, en auditoría de revisión, de renovación y de solución de problemas.
  • Elaborar el Plan de Auditoría
  • Documentación general a solicitar en una auditoría
  • Auditoría de la ISO 27001
    • Puntos 4 al 10 de la norma
    • Controles del anexo (ISO 27002)
  • Auditoría del Esquema
    • Artículos del ENS
    • Marco organizativo
    • Marco operacional
    • Medidas de protección
    • Atención a los cambios desde las guías del CCN

Más información

Fechas del curso
31 de mayo al 25 de julio 2021

Duración
8 semanas – 60 horas lectivas

Formato
100% online

Precios
425€ (asociados) 850€ (no asociados) IVA incluido

A quién está dirigido

El curso está dirigido principalmente a profesionales (consultores de seguridad de la información, auditores, responsables de seguridad de la información, responsables de sistemas TIC, directores de proyecto, delegados de protección de datos, consultores de dirección, miembros de oficinas técnicas o de gestión de proyectos) con responsabilidades de gestión que necesitan enfrentar o deseen adquirir conocimientos de la planificación y/o auditoría de la implementación obligatoria del Esquema Nacional de Seguridad, de la implementación de la ISO 27001 y de la necesaria unificación de la LOPDGDD con ambas.

Claustro

Ricardo Sánchez Berbegal

Ricardo Sánchez Berbegal es Ingeniero Técnico en Informática, Máster Oficial en Software Libre y tiene diversos postgrados con el título de Experto Universitario en Seguridad de la Información, Comercio electrónico, Desarrollo de Aplicaciones y Virtualización y Computación en la Nube. En Seguridad de la Información añade también cursos sobre Hacking Ético y Protección de Datos personales. Además, es Auditor Jefe de la ISO 27001 por AENOR.

Ricardo lleva trabajando desde 1988 como informático en diversas facetas de los ambientes de desarrollo de aplicaciones y sistemas para empresas de servicios. Desde el 2012 centra su labor profesional como consultor, formador y auditor en las normas ISO 27001, ISO 22301 y Esquema Nacional de Seguridad respecto a la Seguridad de la Información, en la norma ISO 20000-1 respecto a la Gestión de Procesos TIC y en la Gestión de Proyectos Ágiles con SCRUM.

LinkedIn

Metodologia

De la mano del profesor, como en un tutorial detallado, seguiremos paso a paso la metodología para planificar la implementación y/o auditar un Sistema de Gestión de Seguridad de la Información que cumpla el ENS o la ISO 27001, incorporando las ultimas novedades publicadas en la materia, incluyendo el análisis de riesgos con la herramienta PILAR y verificando la implantación de la LOPDGDD.

  • 9 webinars en directo + grabación complementaria para entender la materia de una manera cercana y directa.
  • Una sección completa con recursos y documentación adicional.
  • Licencia de uso de la herramienta PILAR.
  • Gran interactividad: foros de dudas y participación.
  • Aporte extra de documentación de apoyo y plantillas.
  • Acceso a los contenidos del curso durante un mes después de la finalización para poder asimilar los contenidos.
Volver arriba
×Close search
Buscar