Embed Size (px)
Citation preview
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 1
Certified Chief Information Security Officer (CCISO)
Curso orientado a profesionales que deseen saltar de una gestión tecnológica intermedia a
ejecutivos con habilidades de gestión de alto nivel orientados a la seguridad de la información. Los alumnos recibirán formación desde la gestión de proyectos a la auditoría pasando por
adquisición, finanzas, estrategia y políticas. El programa CCISO ha sido creado para ejecutivos de
seguridad de diferentes negocios convirtiéndose en uno de los más relevantes en el mercado
actualmente.
Objetivos Ofrecer a los asistentes la formación necesaria para ser capaces de:
Conocer el rol de un CISO en una organización
Alinear las necesidades de seguridad de la información con los objetivos y riesgos del
negocio
Conocer las características del dominio de Gobierno
Conocer las características del dominio de Auditoría y Controles
Conocer las características del dominio de Gestión de Proyectos, tecnología y
operaciones
Conocer las características del dominio de Competencias clave de seguridad de la
información
Conocer las características de Planificación Estratégica y Financiera
Duración El curso tiene una duración de 40 horas
Perfil del alumno
Responsables de seguridad
Auditores
Cualquier otro profesional interesado en la seguridad de la información y que ocupe un
cargo de gestión
Temario
DOMINIOS
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 2
Dominio 1: Gobierno (Políticas, Legislación y Cumplimiento)
1. Definiciones
Gobierno (Governance)
Cumplimiento (Compliance)
Privacidad (Privacy)
Gestión de Riesgos
2. Programa de Gestión de Seguridad de la Información
Política de Seguridad
Roles y Responsabilidades de Seguridad
Estándares, guías y frameworks de seguridad
Gestión de riesgos
Arquitectura técnica de seguridad
Clasificación y gestión de activos
Gestión de Seguridad y Operaciones
Resiliencia del Negocio
Formación y Concienciación
Métricas de Seguridad e Informes
Gobierno de la Seguridad de la Información
Cumplimiento de la Seguridad de la Información
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 3
Dominio 2: Controles de Gestión de Seguridad de la Información
y Gestión de Auditoría (Proyectos, Tecnología y Operaciones)
1. Diseño, Despliegue y Gestión de los controles de seguridad
alineados con los objetivos del negocio, la tolerancia al
riesgo y políticas/estándares
Gestión de Riesgos de Seguridad de la Información
Establecimiento del contexto
2. Evaluación de Riesgos de Seguridad de la Información
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
3. Tratamiento de Riesgos
Modificar Riesgos
Retener Riesgos
Evitar Riesgos
Compartir Riesgos
4. Riesgo Residual
5. Aceptación de Riesgos
6. Feedback de Gestión de Riesgos
Comunicación y Consulta de Riesgos
Monitorización y revisión de riesgos
7. Objetivos de Negocio
COBIT 4.1 PO1.2 Business-IT Alignment
COBIT 5.0 AP002 Manage Strategy
8. Tolerencia de Riesgos
9. Políticas y Estándares
10. Tipos de Controles y Objetivos
Introducción
¿Qué hace un control?
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 4
¿Cómo se crea un control?
Dependencia de los controles
Elegir controles
Tipos comunes de controles
o Operacionales
o De personal
o De acceso
o De gestión de activos
11. Implementar frameworks para asegurar controles
12. COBIT (Control Objectives for Information and Related
Technology)
13. Gestionar cambios – BAI06
Dominio
Descripción del proceso
Definición del propósito del proceso
Objetivos y métricas
Matriz RACI
Prácticas, entradas, salidas y actividades de proceso
14. COBIT 4.1 vs COBIT 5
15. ISO 27001/27002
Gestión del cambio
16. Controles automatizados
17. Comprender el proceso de gestión de auditorías
¿Qué es una auditoría?
Estándares de gestión de auditorías y mejores prácticas
Medir la efectividad del proceso de auditoría frente a los objetivos del negocio y la
tolerancia al riesgo
Análisis e interpretación de informes de auditoría
Formulación y planes de remediación
Evaluación de riesgos de controles no efectivos o no existentes
Monitorizar la efectividad de los esfuerzos de remediación
Procesado de informes para los interesados del negocio
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 5
Dominio 3: Gestión – Proyectos y Operaciones
1. El rol del CISO
Evaluar
Planificar
Diseñar
Ejecutar
Métricas e informes
2. Proyectos de Seguridad de la Información
Alinear con los objetivos del negocio
Identificación de interesados en el proyecto
Alineación con la tolerancia de riesgos
Mejores prácticas de ejecución de proyectos Infosec
3. Gestión de operaciones de seguridad
Funciones y habilidades del personal
Planificar la comunicación
Gestión de vendedores
Contabilidad
Integración de los requisitos de seguridad en otros procesos operacionales
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 6
Dominio 4: Competencias clave de Seguridad de la Información
1. Control de Acceso
Diseño del control de acceso
Tipos de control de acceso
Principios de autentificación
Principios de autorización
Administración del acceso
2. Seguridad Física
Análisis de riesgos físicos
Consideraciones de diseño físico
Vigilancia
Personal de seguridad
Auditorías de seguridad física
Monitorización de controles de seguridad física
Seguridad móvil física
3. Recuperación de Desastres
Recuperación de Desastres vs Continuidad del Negocio
Apetito del Riesgo
Dirección de proyecto, alcance y planes de trabajo
Análisis del impacto en el negocio
Equipamientos de recuperación de desastres
Pruebas de recuperación de desastres
Soluciones de copia de seguridad y restauración
Gestión de crisis
4. Seguridad de Red
Planes, estándares y mejores prácticas
Planificación de red
Detección y prevención de intrusión de red
Control de Acceso a la Red (NAC)
Redes Privadas Virtuales (VPN)
Seguridad de red inalámbrica
Asegurar la red
Seguridad VoIP
Modelos de arquitectura de red
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 7
Estándares y protocolos de red
5. Gestión de amenazas y vulnerabilidades
Amenazas humanas
Amenazas físicas / del entorno
Amenazas técnicas
Amenazas naturales
Gestión de vulnerabilidades
Monitorización y alertas
Gestión de parches
Escaneo de vulnerabilidades
Pruebas de penetración
Ingeniería social
Ingeniería social humana
Ingeniería social mediante ordenador
Contramedidas de medios sociales
6. Seguridad de aplicación
Prácticas de Ciclo de Vida de Desarrollo de Sistemas (SDLC)
Fases de SDLC
Top-10 de vulnerabilidades de aplicación
Pruebas de seguridad de aplicación dinámicas y estáticas
Gestión de cambios
Separación de entornos de producción, desarrollo y pruebas
Otras consideraciones SDLC
7. Seguridad de Sistemas
Planes
Mejores prácticas
Fortalecimiento de Sistemas Operativos
Fortalecimiento de bases de datos
Evaluación de vulnerabilidades
Gestión de configuración
Gestión de activos
Control de cambios
Logging
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 8
8. Cifrado
Algoritmos de cifrado
Firmas digitales
Infraestructura de Clave Pública (PKI)
SSL/TLS
Protocolos de seguridad
9. Informática forense y respuesta a incidentes
Desarrollo de procesos de respuesta a incidentes
Procesos de responsabilidades y escalado
Prueba de procedimientos de respuesta a incidentes
Coordinación con la legislación y otras entidades externas
Proceso de informática forense
Cadena de custodia
Recoger y preservar la evidencia digital
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 9
Dominio 5: Planificación Estratégica y Financiera
1. Alineación con los objetivos del negocio y la tolerancia a
riesgos
Cumplimiento como Seguridad
Ética
2. Relaciones entre Seguridad, Cumplimiento y Privacidad
3. Liderazgo
Visibilidad y Accesibilidad
Intimidad
Responsabilidad
Contabilidad
Educación, tutoría (mentoring) y guía
Construcción de equipo
Características de los equipos efectivos
Equivocaciones sobre los equipos
Equipos disfuncionales
Elementos clave de los equipos de alto rendimiento
4. Modelos, frameworks y estándares de una Arquitectura de
Seguridad de Información Empresarial (EISA)
Objetivos EISA
Metodología EISA
SABSA
Framework de Arquitectura del Departamento de Defensa de EE.UU. (DoDAF)
Arquitectura corporativa federal
Framework de Arquitectura Integrada de Cap Gemini
Framework de Arquitectura del Ministerio de Defensa del Reino Unido (MODAF)
Zachman Framework
The Open Group Architecture Framework (TOGAF)
5. Tendencias emergentes en seguridad
Inevitabilidad de incumplimientos
Integración
Sistemas de control
Enfrentamientos
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 10
Big Data – Big Threats (Gran volumen de datos – Grandes amenazas)
Seguridad de Cloud Computing
Consumerización
Dispositivos móviles en la empresa
Ransomware (software de rescate)
Medios sociales
Hacktivismo
Amenaza persistente avanzada
6. Todo sobre los datos (Stradley 2009)
La necesidad de proteger datos e información
¿Cómo ocurre la fuga de datos?
¿Cómo protegerse contra la fuga de datos?
Controles de tecnología para proteger los datos y la información
El DRM – Adivinanza DLP (Conundrum)
Reducir el riesgo de pérdida de datos
Indicadores Clave de Rendimiento (KPI)
7. Certificación de Sistemas y Proceso de Acreditación
Fase 1: Pre-certificación
Fase 2: Iniciación
Fase 3: Certificación de seguridad
Fase 4: Acreditación de seguridad
Fase 5: Mantenimiento
Fase 6: Disposición
8. Planificación de recursos
Empleados a tiempo completo
Recursos de seguridad operacional
Incremento de personal
Marcas de consultoría
Outsourcing
¿Cómo proceder?
9. Planificación Financiera
Desarrollo de casos de negocio para seguridad
Planificación a largo plazo – Road Map
Analizar, pronosticar y desarrollar un presupuesto de gasto de capital
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 11
Analizar, pronosticar y desarrollar un presupuesto de gasto de operación
Retorno de la Inversión (ROI) y análisis coste-beneficio
10. Obtención
Selección de soluciones
Ciclo de vida de compra de tecnología
11. Gestión de vendedores
Pre venta
Post venta
Oficina de gestión de vendedores
12. Proceso de Solicitud de Propuesta (RFP)
Entorno competitivo
Acentuar los aspectos positivos del acuerdo
Decir a los vendedores lo que esperas
Ofrecer la oportunidad a los vendedores de diferenciarse
Asegurar que los vendedores comprenden el entorno completo
Demostrar la importancia del período de transición
Definir claramente la solución a proponer
Habilitar la evaluación del objetivo de las respuestas de los vendedores
Conseguir los términos óptimos, las condiciones y el precio en un entorno
competitivo
Desarrollar un RFP robusto
13. Integrar los requisitos de seguridad en el acuerdo
contractual y en el proceso de obtención
Sección 1: Definiciones
Sección 2: Estándar de atención
Sección 3: Restricciones en la revelación a terceros
Sección 4: Procedimientos de violación de seguridad
Sección 5: Vigilancia del cumplimiento de seguridad
Sección 6: Retorno o destrucción de la información personal
Sección 7: Alivio equitativo
Sección 8: Violación grave
Sección 9: Indemnización
(+34) 91 787 23 00 | www.alhambra-eidos.com | www.formaciontic.com 12
14. Declaración del trabajo
15. Acuerdos de Nivel de Servicio (SLA)
¿Qué es un SLA?
¿Por qué son necesarios los SLA?
¿Qué ofrece un SLA?
¿Cuáles son los componentes clave de un SLA?
Indemnización
¿Es transferible un SLA?
Verificación de niveles de servicio
Monitorización de métricas
Selección de métricas
¿Cuándo debería ser revisado nuestro SLA?
