Cursos IT Management   

  Curso gratis

Logo ISO 27000

Imprimir

||  IT Security Management

ISO/IEC 27000. Gestión e Implementación de la Seguridad de la Información

OBJETIVOS
La información como activo empresarial y el uso creciente de las redes internas, externas e Internet han convertido la protección de la información en una actividad crucial para garantizar la continuidad y el funcionamiento óptimo de una organización.
El estándar internacional Código de Buenas Prácticas para la Seguridad de la Información ISO/IEC 27000:2005 estructura la organización de la seguridad de la información, por lo que constituye el punto de partida sobre el que se basa este curso.
Este curso cubre los conceptos básicos para evaluar la seguridad de la información y su coherencia, así como los aspectos organizativos y de gestión de la seguridad de la información.

PÚBLICO OBJETIVO
Este curso está dirigido a profesionales encargados de gestionar la seguridad de la información en su organización, ya que proporciona las medidas necesarias para controlar y proteger dicha información.

DURACIÓN
Este curso tiene una duración de 15 horas.

[ Temario ]

Fundamentos de la seguridad de información

  • Seguridad de la información como activo estratégico
  • Naturaleza de las amenazas para la seguridad de información
  • Disponibilidad, integridad y confidencialidad
  • El sistema de gestión de seguridad de la información

Introducción a los estándares internacionales de seguridad de información

  • Beneficios de la certificación
  • La serie de estándares ISO/IEC 27000
    - Aplicabilidad de los estándares
  • Un enfoque hacia procesos mediante el modelo PDCA
  • Estructuración de la implantación de controles técnicos
    - Integración con otros sistemas de calidad
    - Principios de documentación
    - Comunicación y gestión de cambio
  • Sistemas de medición y mejora continua

Organización de la Seguridad de la Información

  • Impacto en la Organización Interna
  • Definición de un grupo de proyecto para ISO 27001
    - Miembros
    - Director del proyecto
    - Asignación de responsabilidades y propiedad de decisiones
  • Autorización del proceso
  • Tratamiento de la seguridad cuando se lidia con clientes y entidades externas
  • Valoración de Costes y Monitorización del Progreso según las políticas y alcance de Seguridad de la Información

Evaluación y Análisis de Riesgos

  • Establecimiento de requisitos de políticas de seguridad
  • Selección de controles y herramientas de evaluación de riesgo e impacto en el negocio
  • Identificación de riesgos relacionados con agentes externos
  • Sistemas de medición de desempeño para la Gestión de Riesgos

Gestión Activos

  • Propiedad, inventario y criterios de uso de los activos
  • Procedimiento para clasificación de la información
    - Títulos unificados y etiquetado de la información

Seguridad recursos humanos

  • Establecimiento de roles y responsabilidades en la gestión de personas
  • Aplicabilidad de los términos y condiciones de empleo
  • Devolución de activos y traspaso de los derechos de acceso

Seguridad en el entorno físico

  • Incrementar la inmunidad de la infraestructura frente a amenazas
    - Controles de acceso físico
    - Áreas seguras
  • Gestión de la Configuración en equipos dentro del ámbito de la Seguridad
    - Servicios públicos de apoyo
    - Mantenimiento y seguridad de equipos externos
    - Equipos retirados, reutilizados y desincorporados

Gestión de operaciones y comunicaciones

  • Documentación de los procesos operativos
  • La Gestión de Cambio en el entorno de operaciones
  • Diferenciación de recursos de desarrollo, prueba y operación
  • Gestión de la prestación de servicios de terceros
    - Monitorización y revisión
    - Gestión de cambios
  • Planificación, aceptación y Gestión de la Capacidad
  • Controles contra código malicioso, virus informáticos y políticas de respaldo
  • Gestión de seguridad en la red y manipulación de medios
  • Políticas y procedimientos para el intercambio de información
  • Temas y tecnologías relacionadas con el comercio electrónico
  • Riesgos de seguridad en correo electrónico y utilización de Internet

Control de accesos

  • Definición de políticas de control de accesos y configuración de sistemas
  • Gestión de privilegios y responsabilidades del usuario
  • Aplicaciones de la seguridad en entornos de redes y sistemas operativos
    - Identificación, autenticación y sistema de gestión de contraseñas
    - Privilegios para las utilidades del sistema
    - Cierre de sesión por inactividad (time-out)
    - Informática y comunicaciones móviles y tele-trabajo

Adquisición, desarrollo y mantenimiento de los Sistemas de Información

  • Análisis y especificación de necesidades de seguridad
    - Validación de datos de entrada
    - Control de procesamiento interno
    - Integridad de mensajes
    - Validación de datos de salida
  • Políticas de Control Criptográfico
  • Gestión de claves y firmas digitales
  • Seguridad en los procesos de desarrollo y soporte
    - Control de acceso al código fuente
    - Procedimientos de control de cambios
    - Gestión de vulnerabilidades técnicas

Monitorización y Gestión de Incidencias de la Seguridad de la Información

  • Gestión de la seguridad de la información por medio de eventos. 
  • Generación de informes y construcción de conocimiento a partir de incidencias que se han producido en el pasado

Gestión de la continuidad de la actividad empresarial

  • Institucionalización de la seguridad de información dentro del proceso de Continuidad en nuestra organización
  • La evaluación de riesgos dentro del marco de la Gestión de la Continuidad
  • Elaboración y revisión continua de un plan de continuidad como requisito empresarial

Conformidad y Auditoría de ISO 27001

  • Identificación y cumplimiento de la legislación a aplicar
  • Protección, prevención y regulación de controles
  • Selección de auditores, preparación y auditoría inicial
  • Factores clave de éxito en una auditoría de la ISO 27001