Zeharkakoak
E Learning Moodle E Learning SCORM

La seguridad de la información se ha transformado en un factor de suma importancia en los negocios y el ámbito personal. Si bien las problemáticas son diferentes en cada entorno, tienen muchas cosas en común y es fundamental conocer los distintos aspectos que la componen.

Temario

seguridad-de-la-informacionseguridad-de-la-informacion2

CURSO: SEGURIDAD DE LA INFORMACIÓN
Duración: 60 horas
REFERENTE PRODUCTIVO
Cualificación profesional:
Nivel:
Área competencial:
Competencia General:
Relación de unidades y ámbitos de competencia:
REFERENTE EDUCATIVO
Módulo:
Crédito formativo: Seguridad de la información
Capacidades: Analizar los sistemas de gestión de la seguridad de los sistemas informáticos.

Facilitar la gestión directiva y el apoyo a la seguridad de la información.

Gestionar la seguridad de la información desde la organización.

Mantener la seguridad en las aplicaciones de procesamiento informático de la organización y los valores informáticos a los que terceras partes tienen acceso.

Mantener una protección apropiada de los activos de la empresa.

Garantizar que los activos reciben el nivel de protección adecuado.

Reducir los riegos ocasionados por error humano, robo, fraude o mal uso de las instalaciones.

Garantizar que los usuarios conozcan los peligros y amenazas a la información y estén equipados.

para respaldar la normativa de seguridad de la organización en el curso de su trabajo diario.

Reducir el daño ocasionado por los incidentes de seguridad y malos funcionamientos, supervisar y aprender de estos incidentes.

Prevenir accesos no autorizados, daños e interferencias con la propiedad del negocio y la información.

Prevenir la pérdida, daño o situaciones comprometidas de los activos y la interrupción de las actividades del negocio.

Evitar el robo o las situaciones comprometidas para la información y aplicaciones de procesamiento informático.

Garantizar el funcionamiento seguro de las aplicaciones de procesamiento informático.

Reducir el riesgo de fallos en el sistema.

Proteger la integridad del software y la información.

Mantener la integridad y disponibilidad del proceso de la información y los servicios de comunicación.

Garantizar la salvedad de la información en las redes y la protección de la infraestructura de apoyo.

Prevenir daños a los activos e interrupciones de las actividades del negocio.

Prevenir la pérdida, modificación o uso indebido de la información intercambiada entre organizaciones.

Controlar el acceso de los usuarios a la información.

Prevenir el acceso no autorizado de usuarios a los sistemas informáticos.

Fomentar la responsabilidad del usuario en el acceso al sistema informático.

Proteger el acceso de los usuarios a los servicios en red.

Prevenir los accesos de usuarios no autorizados al sistema operativo.

Prevenir el acceso no autorizado de usuarios a las aplicaciones.

Detectar y monitorizar actividades no autorizadas de accesos al sistema.

Garantizar la seguridad de la información cuando se emplea la informática portátil y las utilidades de tele-trabajo.

Garantizar la seguridad interna de los sistemas informáticos (infraestructuras, aplicaciones del negocio y aquellas desarrolladas por los usuarios).

Prevenir la pérdida, modificación o uso indebido de los datos de usuario en los sistemas de aplicación.

Proteger la confidencialidad, autenticidad e integridad de la información.

Garantizar la seguridad del sistema de archivos.

Mantener la seguridad en los procesos de desarrollo y soporte

Contrarrestar las interrupciones del negocio y proteger las actividades y procesos críticos del negocio causados por fallos importantes o catástrofes.

Evitar las infracciones de cualquier ley civil o criminal, reglamento, regulación u obligaciones contractuales de cualquier requisito relacionado con la seguridad.

Garantizar la conformidad de los sistemas con las normativas y estándares de seguridad de la organización.
Contenidos procedimientales: Análisis de los sistemas de gestión de la seguridad de los

sistemas informáticos.

Gestión directiva y apoyo a la seguridad de la información.

Establecimiento de un esquema de gestión para iniciar y controlar la implantación de la seguridad en la organización.

Mantenimiento de las aplicaciones de procesamiento

informático de la organización.

Mantenimiento de una protección apropiada de los activos de la empresa.

Establecimiento del nivel de protección adecuado de activos.

Reducción de riesgos ocasionados por error humano.

Clasificación de las responsabilidades de los usuarios y redactar acuerdos de confidencialidad en los sistemas de información.

Elaboración de planes de formación sobre seguridad para los usuarios.

Formación de los usuarios acerca de los procedimientos de seguridad y el uso correcto de las aplicaciones de procesamiento informático para reducir los posibles riesgos de

seguridad.

Reducción del daño ocasionado por los incidentes de seguridad.

Identificación por parte de los usuarios de los procedimientos de notificación de los distintos tipos de incidentes que pueden

tener algún impacto en la seguridad de los activos.

Establecimiento de un proceso disciplinario formal para aplicar a aquellos empleados que cometan infracciones de

seguridad.

Prevención de accesos no autorizados, daños e interferencias.

Prevención de la pérdida, daño o situaciones comprometidas

de los activos.

Protección contra el robo o situaciones comprometidas para la información y las aplicaciones.

Establecimiento del funcionamiento seguro de las aplicaciones de procesamiento informático.

Reducción del riesgo de fallo del sistema.

Protección de la integridad del software y la información.

Mantenimiento de la integridad y disponibilidad del proceso de la información.

Protección de la información en las redes y de las infraestructuras de apoyo.

Prevención de daños a los activos e interrupción de las   actividades de negocio.

Prevención de la pérdida, modificación o uso indebido de la información.

Control del acceso de los usuarios a la información.

Prevención del acceso no autorizado de usuarios a los

sistemas informáticos.

Protección del acceso:

de los usuarios a los servicios de red

no autorizado al sistema operativo

no autorizado de los usuario a las aplicaciones

Detección y monitorización de actividades no autorizadas.

Establecimiento de sistemas de seguridad para la informática portátil.

Prevención de la pérdida, modificación o uso indebido de los datos de usuario en los sistemas de aplicación.

Protección de la confidencialidad, autenticidad e integridad de la información.

Control de la seguridad de sistema de archivo.

Mantenimiento de la seguridad en los procesos de desarrollo y

soporte.

Protección de las actividades y procesos críticos del negocio

causados por fallos importantes o catástrofes.

Prevención de las infracciones de cualquier ley civil o criminal, reglamento o regulación u obligación contractual de

cualquier requisito relacionado con la seguridad.

Conformidad de los sistemas con las normativas y estándares de seguridad de la organización.
Contenidos conceptuales: Política de seguridad:

Definición

Elementos

Características

Riesgos

Confidencialidad, integridad, disponibilidad

Personas implicadas y responsabilidades

Ejemplos de riesgos

Sistemas de gestión de la seguridad de sistemas informáticos:

Metodologías y estándares

ISO 17799

Magerit

COBRA

Octave

Orange Book

Política de seguridad:

Objetivo, ámbito, propósito, normas, responsabilidades

Propietario, mantenimiento y revisión

Esquemas y foros de gestión de la seguridad en una organización: tipos de organismos,…

Comités multidisciplinarios:

Roles y responsabilidades

Autorizaciones

Procesos de planificación informática

Riesgos relacionados con los accesos de terceros: tipos de acceso, justificación, …

Outsourcing

Inventario de Activos:

Tipos (software, información, hardware, servicios,…)

Propietarios

Responsabilidades

Control y mantenimiento

Clasificación:

Categorías de clasificación

Niveles de protección y confidencialidad

Manipulado y etiquetado.

Tipos de errores y responsabilidades.

Acuerdos de confidencialidad.

Planes de formación sobre seguridad.

Notificación de incidentes, vulnerabilidades y errores de software.

Aprender de los incidentes.

Proceso de penalización a empleados: tipos de procesos disciplinarios.

Perímetro físico de seguridad. Barreras físicas.

Control físico de entrada: derechos de acceso.

Seguridad de oficinas, despachos e instalaciones.

El trabajo en las áreas seguras.

Emplazamiento y protección del equipamiento:

Reducir riesgo de amenazas: robo, agua, fuego, humo,…

Normativas: fumar, comer, beber, …

Fuentes de alimentación y seguridad del cableado.

Mantenimiento de equipos.

Seguridad de los equipos que trabajan fuera de su lugar habitual.

Eliminación o reutilización segura del equipamiento.

Política de mesas y pantallas limpias.

Documentos de procedimientos operacionales: definición de formularios.

Control de cambios de operación.

Procedimientos de gestión de incidentes: análisis, identificación, prevención de incidentes y registros de auditoria.

Instalaciones y aplicaciones de desarrollo vs. las de operación.

Gestión externa de las instalaciones.

Planificación de las necesidades futuras y aceptación del sistema.

Software malicioso: virus, troyanos,…

Copias de seguridad de la información.

Registros del operador y registro de fallos.

Controles de red.

Procedimientos para gestionar los soportes removibles, manipulación de la información y securización de la

información del sistema.

Acuerdos para intercambio de información y software.

Seguridad de los soportes en transito, comercio electrónico, correo electrónico y sistemas públicos.

Políticas de control de accesos.

Registro de usuarios.

Gestión de privilegios.

Técnicas de restricción de acceso a recursos informáticos:

Autentificación

Registro de accesos

Gestión de contraseñas

Revisión de los derechos de accesos

Etc.

Responsabilidades de los usuarios: passwords, equipos desatendidos.

Política sobre el acceso y el uso de los servicios de red.

Control de acceso al sistema operativo: terminales, procedimientos log-on, autenticaciones e identificaciones,

contraseñas, time-out del terminal, ….

Control de acceso a aplicaciones.

Sistemas de monitorización del uso y accesos al sistema: registro de eventos, sincronización de relojes, …

Equipos móviles y tele-trabajo.

Análisis y especificaciones de los requerimientos de seguridad.

Seguridad en sistemas de aplicaciones:

Validación de datos de entrada y salida

Control de procesos internos

Autenticación de mensajes

Políticas en el uso de controles criptográficos:

Cifrado

Firmas digitales

Servicios de no-repudio

Gestión de claves

Seguridad del sistema de archivos:

Control del software de operación

Protección de los sistemas de análisis de datos

Seguridad en los procesos de desarrollo y soporte: revisiones técnicas en los cambios en sistemas operativos y software.

Proceso de la continuidad del negocio

Continuidad del negocio y análisis del impacto.

Redacción e implantación de planes de continuidad.

Esquema de la planificación de la continuidad del negocio.

Comprobando, manteniendo y reasegurando planes de continuidad.

Identificación de la legislación aplicable:

LOPD

LPI

LFE

LSSSICE

Etc.

Derechos de propiedad intelectual.

Salvaguarda de los registros de la organización.

Protección de datos y privacidad de la información personal.

Prevención del mal uso de las aplicaciones de proceso informático.

Regulación de controles criptográficos.

Recolección de evidencias.

Revisiones de la política de seguridad y conformidad técnica.

Controles y protección del sistema de auditoria.
Contenidos actitudinales: Rigurosidad en el estudio y análisis en la aplicación de la normativa.

Rigor en la cumplimentación de la documentación.

Orden y método en el desarrollo , de los procedimientos y gestiones a realizar.

Responsabilidad y autonomía en el trabajo.

Capacidad para adaptarse a nuevas situaciones de trabajo (nueva normativa jurídica, etc.)
Otras consideraciones Para la correcta visualización se debe contar con Firefox versión 2.0