03-6a Master en Auditoria en Sistemas, Gestión, Seguridad de la Información ISO -iec 17799- ISO 27001

Qualityoffice10 (Escuela de Negocios)

900 
IVA inc.
¿Quieres hablar gratis con un asesor sobre este curso?
Compara este curso con otros similares
Ver más cursos similares

Información importante

  • Master
  • A distancia
  • 120 horas de estudio
Descripción

Objetivo del curso: CONVIERTETE EN GESTOR Y CONSULTOR EXPERTO avalado por este MASTER y desarróllate profesionalmente asesorando a todo tipo de empresas y organizaciones en seguridad de los sistemas de información Para Gestionar la seguridad de los sistemas de información en todo tipo de organizaciones".
Dirigido a: Profesionales de tecnologias de la información, Ingenieros y licenciados en teconlogías de la información, empresas de consultaria, expertos en TIC, Personal técnico y jefes de seguridad de sistemas de información en sus organizaciones Personal técnico y jefes de seguridad de sistemas de información en sus organizaciones

Información importante

Requisitos: Estudios universitarios o experiencia profesional

Certificado de asistencia otorgado por Qualityoffice10 (Escuela de Negocios)

Opiniones

No hay opiniones de este curso todavía

¿Qué aprendes en este curso?

Auditoría informática
Derecho informático
Proyectos informáticos
Administración electrónica
Derecho de seguros
Aplicaciones informáticas de gestión
Normas ISO

Temario


================================================================================

Norma ISO 27001-2005

Sistema de Gestión de la Seguridad de la Información (SGSI)

Requisitos Generales

Establecer y gestionar un SGSI

Establecer el SGSI

Implantar y aplicar el SGSI

Seguimiento y revisión del SGSI

Mantenimiento y mejora del SGSI

Requisitos de la documentación

General

Control de Documentos

Control de los Registros


Responsabilidad de la Dirección

Compromiso de la Dirección

Gestión de los recursos

Provisión de los recursos

Entrenamiento, concienciación y competencia

Auditorías internas del SGSI

Revisión del SGSI por la Dirección

General

Entradas a la revisión

Salidas del proceso de revisión

Mejora del SGSI

Mejora continua

Acción correctiva

Acción preventiva



ISO 17779-2005


EVALUACION Y TRATAMIENTO DE RIESGO

Evaluar los riesgos de seguridad

Tratamiento de riesgos de seguridad


POLÍTICA DE SEGURIDAD

Política de seguridad de la información

Documento de política de seguridad de la información

Revisión de la política de seguridad de la información


ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Organización interna

Compromiso de administración para la seguridad de la información

Coordinación de la seguridad de la información

Asignación de responsabilidades de seguridad de la información

Proceso de autorización para instalaciones de informática

Acuerdos de confidencialidad

Poner en contacto con autoridades

Contacto con grupos de interés especiales

Revisión independiente de seguridad de la información

Partes externas

Identificación de riesgos relacionados a partes externas

Dirigir la seguridad cuando se trata con clientes

Dirección de seguridad en acuerdos de terceras partes


ADMINISTRACION DE ACTIVO

Responsabilidad de activo

Inventario de activo

Propiedad de activo

Empleo aceptable de activo

Clasificación de información

Lineamientos de clasificación

Etiquetaje de Información y manejo


Seguridad de recursos humanos

Antes de desarrollar

Papeles y responsabilidades

Selección

Términos y condiciones de empleo

Durante el empleo

Administración de responsabilidades

Conciencia de la seguridad de la información, educación y entrenamiento

Proceso disciplinario

Termino o cambio de empleo

Terminación de responsabilidades

Vuelta de activo

Retiro de derechos de acceso


Seguridad física y ambiental

Áreas seguras

Perímetro de seguridad físico

Controles de entrada físicos

Asegurando oficinas, cuartos e instalaciones

Protección contra amenazas externas y ambientales

Funcionamiento en áreas seguras

Acceso público, entrega, y áreas que cargan

Seguridad de equipo

Emplazamiento de equipo y protección

Utilidades de apoyo

Cablegrafiar de seguridad

Mantenimiento de equipo

Seguridad de equipo fuera de la organización

Disposición segura o reutilización de equipo

Retiro de propiedad


GESTIÓN DE COMUNICACIONES Y OPERACIONES

Operaciones y responsabilidades operativas

Documentación de los procedimientos operativos

Control de cambios

Separación de obligaciones

Separación entre instalaciones de desarrollo e instalaciones operativas

Administración de entrega de servicios de terceros

Servicios de entrega

Monitoreo y revisión de entrega de servicios de terceros

Administración de cambios de entrega de servicios de terceros

Planeación y aprobación de sistemas

Planificación de la capacidad

Aprobación del sistema

Protección contra software malicioso

Controles contra software malicioso Controles contra software malicioso

Back-up (Respaldo)

respaldo de información

Administración de seguridad de la red

Controles de redes

Seguridad de servicios de red

Manejo de los medios de comunicación

Administración de medio removibles

La disposición de medios

procedimiento de manejo de información

Seguridad de la documentación del sistema

Intercambio de información

Políticas de cambio de información y procedimientos

Acuerdo de intercambio

Seguridad de medios de transito

Correo electrónico

Sistema de información de negocio

Servicios de comercio electrónico

Comercio electrónico

Transacciones en línea

Información publica disponible

Monitoreo

Registro de auditoria

Monitoreo del sistema de usuarios

Protección de la información del registro

Registros del administrador y del operador

Registro de averías

Sincronizaciones del reloj


CONTROL DE ACCESOS

Requerimientos del negocio para el control de accesos

Política de control de accesos

Administración de acceso del usuario

Registro del usuario

Administración del privilegio

Administración de contraseña de usuario

Revisión de derechos de acceso de usuario

Responsabilidades del usuario

Uso de la contraseña

Equipo del usuario desatendido

Escritorio claro y la política de la pantalla clara

Control de acceso de red

Política en el uso de servicios de la red

Autenticación del usuario para las conexiones externas

Identificación de equipo en redes

Diagnóstico remoto y protección de puerto de configuración

Segregación en redes

Control de conexión de red

Control del encaminamiento de la red

Control de acceso del sistema operativo

Seguro de los procedimientos de la conexión a la comunicación

Identificación y autentificación de usuario

Sistema de administración de la contraseña

Uso de las utilidades de sistema

Sesión fuera de tiempo

Limitación del tiempo de conexión

Aplicación e información del control de acceso

Restricción del acceso de información

Aislamiento sensible del sistema

Computación móvil y el Teleworking

Computación y comunicaciones móviles

Teleworking

DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Requerimientos de seguridad de los sistemas

Análisis y especificaciones de los requerimientos de seguridad Seguridad en los sistemas de aplicación Validación de datos de entrada Controles de procesamiento interno Autenticación de mensajes Validación de los datos de salida Controles criptográficos Política de utilización de controles criptográficos

Administración de claves

Seguridad de los archivos del sistema

Protección de los dato de prueba del sistema

Control de acceso a código fuente del programa

Seguridad en el desarrollo y soporte de procesos

Procedimientos de control de cambios

Revisión técnica de aplicaciones después de cambio del sistema operativo

Restricciones sobre cambios en paquetes de software

Escape de información

Desarrollo externo de software

Administración de la vulnerabilidad técnica

Control de vulnerabilidades técnicas


Administración de incidentes de la seguridad de información

Informar de la debilidad y eventos de la seguridad de la información

Informar de eventos de la seguridad de la información

Informar de debilidad de la información

Administración y mejoras de incidentes de seguridad de la información

Responsabilidades y procedimientos

Aprende de los incidentes de seguridad de la información

Colección de la evidencia


Administración de la continuidad de los negocios

Aspectos de la administración de la seguridad de la continuidad de los negocios

Proceso de la administración de continuidad de negocio

Continuidad de negocio y valoración de riesgo

Desarrollar e Implementar planes de continuidad incluyendo seguridad de la información

Marco para la planificación de la continuidad del negocio

Prueba, mantenimiento y revaloración de los planes de continuidad de negocio


Cumplimiento

Cumplimiento de requisitos legales

Identificación de la legislación aplicable Derechos de propiedad intelectual (DPI)

Protección de los registros de la organización

Seguridad de la información y privacidad de la información

Prevención del uso inadecuado de los recursos de procesamiento de información

Regulación de controles criptográficos

Cumplimiento con las políticas y normas de seguridad, y cumplimiento técnico

Cumplimiento de políticas y normas de seguridad

Verificación del cumplimiento técnico

Consideraciones de auditoria de sistemas de información

Controles de auditoria de sistemas Protección de las herramientas de auditoria de sistemas



La Auditoría de Los Sistemas de Seguridad de la información ISO 27001

Definición y tipos de auditorias de los Sistemas de Gestión de Seguridad de la Información
Principios fundamentales de la ley 15/999 de seguridad de la información
Principios fundamentales para la seguridad de la información y
Criterios de auditoría de seguridad de seguridad de la información.
Casos prácticos.
Programa de auditoría.

Plan de auditoría.

Selección de los auditores.
Preparación y utilización de listas de comprobación


Etapas de la Auditoria

Reunión Inicial

Fuentes de Información.
Técnicas para la obtención de la información para las entrevistas.
Comunicación.

Comprobaciones a realizar

Observación de procesos, recursos, locales, etc.

Verificación de las medidas de seguridad

Verificación de los requisitos de la norma ISO 27001

Recogida de evidencias objetivas.

Análisis de los datos obtenidos y resultados
Documentación de las observaciones. Registro de INCIDENCIAS y No-conformidades.
Acciones correctoras / preventivas.

Propuesta de mejora
Reunión de cierre.

Informes de las Auditorias de Seguridad de la información

INFORME DE AUDITORIA: Estructura, índice y contenido, requisitos legales para el informe de auditoria.

Requisitos legales para el informe de auditoria

Estructura del Informe

Preparación del informe.
Contenido del informe.
Distribución del informe.
Retención del informe.
Confidencialidad.

Seguimiento de los resultados de las Auditorias de Seguridad de la información

Repetición de las Auditorias.
Seguimiento de las acciones correctoras y medidas complementarias.

Las personas que participan en la Auditoria de seguridad de la información.

El responsable del Fichero. Funciones y Responsabilidades

El responsable de Seguridad. Funciones y Responsabilidades.

EL equipo Auditor. Funciones y responsabilidades
Características y cualidades y profesionales de los auditores. Comportamiento del Auditor durante la auditoria.
La comunicación durante la auditoria: preguntas. La expresión oral y escrita.
Cómo actuar ante una auditoría: Actitudes y comportamiento de los auditados


Proyectos y prácticas para reforzar la comprensión y análisis exhaustivo de los requisitos de la norma ISO 27001


Tareas para la gestión de un programa de auditorias de seguridad de la información de desde un punto de vista práctico aplicado a su organización.


Práctica de diseño un plan de auditoria real, para su empresa, o en una empresa externa


Tareas, que le ayudarán a combinar los conceptos sobre realización de auditorias

Prácticas sobre interpretación de situaciones de auditoria de seguridad de la información: cumplimentar informes de incidencias, cumplimentar el informe de Auditoria, etc. Tarea útil para saber cómo interpretar situaciones de incumplimiento, sanciones que llevarían aparejadas, realización de propuestas de soluciones y acciones correctivas.


Tareas para afianzar el conocimiento e interpretación de las normas, leyes y medidas de seguridad, para distinguir entre requisitos y recomendaciones así como para aprender a expresar las evidencias de que un requisito o criterios de auditoria lo es realmente.


PROGRAMA DE AUDITORIAS correspondiente a su empresa y con los Procedimientos, Planes y formularios rellenados y aplicados a su organización.


Información adicional

Prácticas en empresa: Realizar un proyecto de implantación.

Compara este curso con otros similares
Ver más cursos similares