Unidad :Introducción, Cuestionarios y pruebas para establecer el nivel inicial de los PARTICIPANTES en relación con– la legislación y requisitos aplicables para las empresas derivados de la
Seguridad de la información , Sociedad de la Información, las nuevas tecnologías,– los contratos informáticos,– los contratos electrónicos, la Firma
electrónica,– la Ley de
PROTECCIÓN DE DATOS,– la LSSICE,– el comercio electrónico, etc...Preparación del programa común y de la personalización necesaria para cada alumno.Unidad – La contratación en la sociedad de la información– Tipos de contratos: Contratos informáticos y contratos electrónicos– LegislaciónUnidad 3– Preparación del contrato– Realización y ejecución del contrato– Resolución del contratoUnidad Contratos informáticos de. – housing,– hosting– Diseñadores y Desarrolladores de software– Implantación de software– Uso de software– Mantenimiento y servicio postventa de software– Distribución de software– Servicios generales informáticos– Acceso a datos personales– Cesión de datos personalesContratos electrónicos de – Comercio electrónico,– Tratamiento de datos en Internet– Intercambio electrónico de datosUnidad – Conceptos, definiciones y aspectos generales de la Ley Orgánica 15/1999 de Protección de datos de carácter personal.– Ámbito de aplicación,– Objeto de la Ley,– Dato Personal,– Huella digital,– Empresarios Individuales,– Correo Electrónico. Etc.Unidad 6– Alcance de la LOPD– Etapas para la Implantación de la LOPD en una empresa: Factores organizativos, económicos, culturales, sectoriales,– implantación, Identificación y Organización de los Ficheros para la implantación de la LOPD etc. Tipos de DATOS Y FINALIDADESLOPD.Unidad – Directrices para el
Diseño, redacción e implantación del Documento de Seguridad de la Empresa.– Política de Protección de Datos.Unidad – Información en la recogida de datos– Consentimiento de los afectados– Derechos de los Interesados• Derecho de acceso,• Derecho de rectificación y cancelación• Derecho de oposición• Derecho de impugnación de valores• Derecho de consulta al Registro de Protección de Datos• Formularios para el ejercicio de los derechos– Derechos y obligaciones de los trabajadores de la propia empresa u organizaciónUnidad – Seguimiento, Adaptación de la Implantación del Documento de
Seguridad.Unidad La Agencia de Protección de Datos. Inspecciones de la Agencia de
Protección de Datos. R gimen sancionador. Procedimiento Sancionador Unidad : Buenas PracticasBUENAS PRACTICAS EN LA PROTECCIÓN DE DATOS Unidad : SEGURIDAD DE LA INFORMACIONISO/IEC 27000 • Sistema de gestión de la seguridad de la informaciónqué es un SGSI; enfoque basado en la gestión por procesosImportancia del SGSI; cómo establecer, poner en marcha, vigilar, revisar, mantener y mejorar el SGSI; factores fundamentales de éxito de un SGSI; beneficios de la familia de normas SGSI. • Familia de normas SGSI normas que describen una visión global y terminología; normas que especifican requerimientos; guías generales; guías específicas por sector. • Formas verbales en la expresión de las disposiciones • Términos por categoría ISO/IEC 27001:2005• Sistema de gestión de la seguridad de la informaciónCómo establecer, implementar, monitorizar, revisar, mantener y mejorar el SGSI; requerimientos de documentación y su control. • Responsabilidades de la DirecciónEn cuanto a compromiso con el SGSI, provisión de recursos y formación y concienciación del personal. • Auditorías internas del SGSICómo realizar las auditorías internas de control. • Revisión del SGSI por la direcciónCómo gestionar el proceso de revisión constante del SGSI. • Mejora de SGSI Mejora continua, acciones correctoras y acciones preventivas. • Resumen de controlesAnexo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 7799:200 • Relación con los Principios de la OCDECorrespondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. • Correspondencia con otras normasTabla de correspondencia de puntos con ISO 9001 y 14001ISO/IEC 27002 • Evaluación y tratamiento del riesgoIndicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información. • Política de
seguridad: Documento de política de seguridad y su gestión. Política de seguridad de la información Documento de política de seguridad de la información Revisión de la política de seguridad de la información • Organización de la Seguridad de InformaciónOrganización interna; organización externa. Estructura para la seguridad de la información Comité de gestión de seguridad de la información Coordinación de seguridad de la información Asignación de responsabilidades para la seguridad de la información Proceso de autorización de recursos para el tratamiento de la información Acuerdos de confidencialidad Contacto con las autoridades Contacto con organizaciones de especial interés Revisión independiente de la seguridad de la información Terceros Identificación de los riesgos derivados del acceso de terceros Tratamiento de la seguridad en la relación con los clientes Tratamiento de la seguridad en contratos con terceros • Gestión de activos: Responsabilidad sobre los activos; clasificación de la información. Responsabilidad sobre los activos. Inventario de activos. Responsable de los activos. Acuerdos sobre el uso aceptable de los activos. Clasificación de la información Directrices de clasificación. Marcado y tratamiento de la información. • Seguridad ligada a los
recursos humanos: Anterior al empleo; durante el empleo; finalización o cambio de empleo. Seguridad en la definición del trabajo y los recursos. Inclusión de la seguridad en las responsabilidades laborales. Selección y política de personal. Términos y condiciones de la relación laboral. Seguridad en el desempeño de las funciones del empleo. Supervisión de las obligaciones. Formación y capacitación en seguridad de la información. Procedimiento disciplinario. Finalización o cambio del puesto de trabajo. Cese de responsabilidades. Restitución de activos. Cancelación de permisos de acceso. •
Seguridad física y del entorno: Áreas seguras; seguridad de los equipos. Áreas seguras. Perímetro de seguridad física. Controles físicos de entrada. Seguridad de oficinas, despachos y recursos. Protección contra amenazas externas y del entorno. El trabajo en áreas seguras. Áreas aisladas de carga y descarga. Seguridad de los equipos. Instalación y protección de equipos. Suministro eléctrico. Seguridad del cableado. Mantenimiento de equipos. Seguridad de equipos fuera de los locales de la Organización. Seguridad en la reutilización o eliminación de equipos. Traslado de activos. • Gestión de comunicaciones y operaciones: Procedimientos y responsabilidades de operación; gestión de servicios de terceras partes; planificación y aceptación del sistema; protección contra software malicioso; backup; gestión de seguridad de
redes; utilización de soportes de información; intercambio de información y software; servicios de comercio electrónico; monitorización. Procedimientos y responsabilidades de operación. Documentación de procedimientos operativos. Control de cambios operacionales. Segregación de tareas. Separación de los recursos para desarrollo y producción. Supervisión de los servicios contratados a terceros. Prestación de servicios. Monitorización y revisión de los servicios contratados. Gestión de los cambios en los servicios contratados. Planificación y aceptación del sistema. Planificación de capacidades. Aceptación del sistema. Protección contra software malicioso y código móvil. Medidas y controles contra software malicioso. Medidas y controles contra código móvil. Gestión interna de soportes y recuperación. Recuperación de la información. Gestión de redes. Controles de red. Seguridad en los servicios de red. Utilización y seguridad de los soportes de información. Gestión de soportes extraíbles. Eliminación de soportes. Procedimientos de utilización de la información. Seguridad de la documentación de sistemas. Intercambio de información y software. Acuerdos para intercambio de información y software.
Seguridad de soportes en tránsito. Mensajería
electrónica. Interconexión de sistemas con información de negocio Sistemas de información empresariales. Servicios de comercio electrónico. Seguridad en comercio electrónico. Seguridad en transacciones en línea. Seguridad en información pública. Monitorización Registro de incidencias. Seguimiento del uso de los sistemas. Protección de los registros de incidencias. Diarios de operación del administrador y operador. Registro de fallos. Sincronización de reloj.• Control de accesos: Requisitos de negocio para el control de accesos; gestión de acceso de usuario; responsabilidades del usuario; control de acceso en red; control de acceso al sistema operativo; control de acceso a las aplicaciones e informaciones;
informática y conexión móvil. Requisitos de negocio para el control de accesos. Política de control de accesos. Gestión de acceso de usuario. Registro de usuario. Gestión de privilegios. Gestión de contraseñas de usuario. Revisión de los derechos de acceso de los usuarios. Responsabilidades del usuario. Uso de contraseña. Equipo informático de usuario desatendido. Políticas para escritorios y monitores sin información. Control de acceso en red. Política de uso de los servicios de red. Autenticación de usuario para conexiones externas. Autenticación de nodos de la red. Protección a puertos de diagnóstico remoto. Segregación en las
redes. Control de conexión a las redes. Control de encaminamiento en la red. Control de acceso al sistema operativo. Procedimientos de conexión de terminales. Identificación y autenticación de usuario. Sistema de gestión de contraseñas. Uso de los servicios del sistema. Desconexión automática de terminales. Limitación del tiempo de conexión. Control de acceso a las aplicaciones. Restricción de acceso a la información. Aislamiento de sistemas sensibles. Informática móvil y tele trabajo. Informática móvil. Tele trabajo. • Adquisición, desarrollo y mantenimiento de sistemas de información:Requisitos de
seguridad de los sistemas de información; procesamiento correcto en aplicaciones; controles criptográficos; seguridad de los ficheros del sistema; seguridad en los procesos de desarrollo y soporte; gestión de vulnerabilidades técnicas. Requisitos de seguridad de los sistemas. Análisis y especificación de los requisitos de seguridad. Seguridad de las aplicaciones del sistema. Validación de los datos de entrada. Control del proceso interno. Autenticación de mensajes. Validación de los datos de salida. Controles criptográficos. Política de uso de los controles criptográficos. Cifrado. Seguridad de los ficheros del sistema. Control del software en explotación. Protección de los datos de prueba del sistema. Control de acceso a la librería de programas fuente. Seguridad en los procesos de desarrollo y soporte. Procedimientos de control de cambios. Revisión técnica de los cambios en el sistema operativo. Restricciones en los cambios a los paquetes de software. Canales encubiertos y código Troyano. Desarrollo externalizado del software. Gestión de las vulnerabilidades técnicas. Control de las vulnerabilidades técnicas.• Gestión de incidentes de seguridad: Comunicación de eventos y puntos débiles de seguridad de la información; gestión de incidentes y mejoras de seguridad de la información. Comunicación de eventos y debilidades en la seguridad de la información. Comunicación de eventos en seguridad. Comunicación de debilidades en seguridad. Gestión de incidentes y mejoras en la seguridad de la información. Identificación de responsabilidades y procedimientos. Evaluación de incidentes en seguridad. Recogida de pruebas. • Gestión de continuidad del negocio: Aspectos de la seguridad de la información en la gestión de continuidad del negocio. Aspectos de la gestión de continuidad del negocio. Proceso de la gestión de continuidad del negocio. Continuidad del negocio y análisis de impactos. Redacción e implantación de planes de continuidad. Marco de planificación para la continuidad del negocio. Prueba, mantenimiento y reevaluación de planes de continuidad.• Conformidad: Con los requisitos legales; políticas de
seguridad y normas de conformidad y conformidad técnica; consideraciones sobre la auditoría de sistemas de información Conformidad con los requisitos legales. Identificación de la legislación aplicable. Derechos de
propiedad intelectual (IPR). Salvaguarda de los registros de la Organización.
Protección de datos de carácter personal y de la intimidad de las personas. Evitar mal uso de los dispositivos de tratamiento de la información. Reglamentación de los controles de cifrados. Revisiones de la política de seguridad y de la conformidad técnica. Conformidad con la política de seguridad. Comprobación de la conformidad técnica. Consideraciones sobre la auditoria de sistemas. Controles de auditoria de sistemas. Protección de las herramientas de auditoria de sistemas.ISO/IEC 27005 Directrices para la gestión del riesgo en la seguridad de la información. Aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.• Fundamentos del proceso de gestión de riesgos (ISRM): cómo evaluar y tratar los riesgos de seguridad de la información. • Establecimiento del contexto • Evaluación de riesgos (ISRA)• Tratamiento de riesgos• Aceptación del riesgo• Comunicación del riesgo • Monitorización y revisión del riesgo • ámbito del proceso • Valoración de activos y evaluación de impacto • Ejemplos de amenazas más comunes• Vulnerabilidades y métodos de evaluación• Aproximación a ISRA • CONSIDERACIONES DE AUDITORIA DE SISTEMASUnidad : Auditoria de Seguridad de la Información y de Protección de Datos– Auditoria de Seguridad y Protección de Datos.– Tipos de Auditoria de Seguridad,– Criterios de Auditoria,– Objetivos de la auditoria de protección de datos– Evidencias de Auditoria,– Técnicas y Estrategias de Auditoria utilizadas en protección de datos– Diseñar el Programa de Auditoria,– Plan de Auditoria,– Realización de las Auditorias:Reunión Inicial, Etapas, Comprobaciones a realizar, obtención de la información, Entrevistas, verificación de las medidas de
seguridad, verificación de los requisitos de la LOPD, Análisis de los datos obtenidos y resultados, Registro de INCIDENCIAS, INFORME DE AUDITORIA: Estructura, índice y contenido, requisitos legales para el informe de auditoria, – Los responsables del fichero, de seguridad, etc. y su papel en la auditoria y en el informe de auditoria.Unidad: Firma
electrónica– Ley de firma electrónica– Ley General de Telecomunicaciones– LSSICEUnidad : Factura electrónica
