ENTREGABLE 15: CAPACITACIÓN - Inicio - Estrategia …programa.gobiernoenlinea.gov.co/.../6.Capacitacion...de_Seguridad.pdf · Asimismo, con tan sólo recorrer un par de puestos de

EENNTTRREEGGAABBLLEE 1155:: CCAAPPAACCIITTAACCIIÓÓNN -- MMOODDEELLOO DDEE SSEEGGUURRIIDDAADD DDEE LLAA IINNFFOORRMMAACCIIÓÓNN PPAARRAA LLAA EESSTTRRAATTEEGGIIAA DDEE

GGOOBBIIEERRNNOO EENN LLÍÍNNEEAA

ÁREA DE INVESTIGACIÓN Y PLANEACIÓN © República de Colombia - Derechos Reservados

Bogotá, D.C., Diciembre de 2008

Página 2 de 30

CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA

ESTRATEGIA DE GOBIERNO EN LÍNEA

FFOORRMMAATTOO PPRREELLIIMMIINNAARR AALL DDOOCCUUMMEENNTTOO

Título: PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA

Fecha elaboración aaaa-mm-dd:

26 – Diciembre – 2008

Sumario: CORRESPONDE AL ENTREGABLE 15: PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA

Palabras Claves: Manejo de imagen, afiches, logos, folletos

Formato: Lenguaje: Castellano

Dependencia: Investigación y Planeación

Código: Versión: 1 Estado:

Documento para revisión por parte del Supervisor del contrato

Categoría:

Autor (es): Equipo consultoría Digiware

Revisó: Juan Carlos Alarcon

Aprobó: Ing. Hugo Sin Triana

Firmas:

Información Adicional:

Ubicación:

Página 3 de 30



CCOONNTTRROOLL DDEE CCAAMMBBIIOOSS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN 0 17/12/2008 Miguel Angel Duarte. Elaboración del documento 1 26/12/2008 Equipo del Proyecto Revisión interna conjunta equipo consultoría Digiware

Página 4 de 30



TTAABBLLAA DDEE CCOONNTTEENNIIDDOO

1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................ 5

2. PLAN DE CONCIENTIZACIÓN.......................................................................................................................... 6

3. PLAN DE CAPACITACIÓN ............................................................................................................................... 8

3.1. CURSOS EN SEGURIDAD DE LA INFORMACIÓN...................................................................................................... 8 3.1.1. GESTIONANDO LA SEGURIDAD DE LA INFORMACIÓN .................................................................................................................................8 3.1.2. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN...................................................................................................................................9 3.1.3. EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BCP/DRP............................................................................................10 3.1.4. SEGURIDAD EN REDES INALÁMBRICAS ...................................................................................................................................................12 3.1.5. SEGURIDAD AVANZADA EN WINDOWS Y UNIX.........................................................................................................................................13 3.1.6. TÉCNICAS AVANZADAS EN ATAQUES Y DEFENSA ...................................................................................................................................14 3.1.7. COMPUTACIÓN FORENSE .......................................................................................................................................................................16 3.1.8. PREPARACIÓN PARA LA CERTIFICACIÓN ETHICAL HACKING (CEH)..........................................................................................................17 3.1.9. ENTRENAMIENTO ISO/IEC 27001:2005 ISMS LEAD AUDITOR ............................................................................................................18 3.1.10. PREPARACIÓN A LA CERTIFICACIÓN CISSP® .....................................................................................................................................27

3.2. TALLERES PRÁCTICOS.................................................................................................................................... 29

4. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN ....................................................................... 30

Página 5 de 30



1. PLAN DE SENSIBILIZACIÓN

¿Porque necesitamos un plan de sensibilizacion en seguridad de la información?

• Existe la mentalidad que no hay nada importante por proteger en su computador.

• Existe el concepto errado que la tecnología por si misma puede resolver sus problemas de seguridad.

• Continuamente se generan nuevos métodos de “Ingeniería Social” que mediante engaños buscan obtener información confidencial.

• Debemos conocer tanto las amenazas externas como las internas.

Debido a todas estas razones, el plan de sensibilizacion para el nuevo modelo de seguridad de la información para la estrategia de Gobierno en Línea, es, lograr que las personas conozcan los motivos y razones que generan los diferentes tipos de incidentes en seguridad de la información que existen alrededor de cada uno y acojan las debidas precauciones recomendadas a través medios de concienciación y sensibilización.

Esta presentación se puede dar a aconocer por medio de los cursos preparese 2009.

Para el desarrollo de este plan, se pretende involucrar a todos los funcionarios públicos, ISP, cafés internet y usuarios de Gobierno en Línea, con el fin de vincular a todas estas entidades y personas a que conozcan el modelo de seguridad de la información para la estrategia de Gobierno en Línea.

Conjuntamente, este plan de sensibilización, esta reforzado por las capacitaciones que se dictarán abarcando temas especializados en seguridad de la información, p. ej.: Análisis de riesgos, Modelo de seguridad SGSI, Planes de concientización, Planes de respuesta ante incidentes, Planes de continuidad del negocio, etc. las cuales están especificadas con más detalle en el punto 3 de capacitación dentro de este documento.

Ver Anexo presentación para sensibilización.ppt

Página 6 de 30



2. PLAN DE CONCIENTIZACIÓN

La gran mayoría de las personas, desconoce sobre temas de seguridad de la información y, en especial, el alcance del tema. Quién no ha escuchado alguna vez las preguntas; ¿pero cómo, seguridad de la información también se encarga de la seguridad física? ¿Qué tiene que ver seguridad de la información con los papeles impresos? ¿Cómo, seguridad de la información no es lo mismo que seguridad informática?

Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento organizacional) y, a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la contraseña de un usuario en la red de la entidad, que vulnerar los sistemas de seguridad y cifrado. Asimismo, con tan sólo recorrer un par de puestos de trabajo, se pueden encontrar contraseñas escritas y pegadas en la pantalla o debajo del teclado. Las alternativas que se recomiendan utilizar para que el plan de concientización sea factible son:

• Folletos

• Carteles

• Material BTL

• Material POP

• Uso de tecnoligia

• Presentaciones de Capacitación.

La campaña de concientización a los diferentes grupos objetivo definidos, tendrá una duración mínima de 12 meses, que iniciarán con la campaña de sensibilización (ver capítulo 1), y después, se desarrollará un apoyo por medio de los afiches en paraderos para dar a conocer masivamente la campaña para el público en general.

En cuanto a los folletos, se recomienda entregarlos en los recibos de los proveedores de internet como los ISP, ya que ese es un medio muy utilizado y extremadamente efectivo debido a que los usuarios miran siempre el recibo. Esto puede ser cambiado periódicamente por el juego que se encuentra anexo en los materiales diseñados como el “Rompecocos” ya que es dinámico, y da consejos útiles y eficaces. Los concejos pueden ser renovados frecuentemente para que los usuarios conozcan paulatinamente sobre el avance de la campaña.

Página 7 de 30



Los fondos de pantalla también pueden ser dados a conocer por medio de la página de internet de Gobierno en Línea para que las personas los puedan descargar e instalar en sus computadores. Para los proveedores de internet, se pueden entregar 3 fondos de pantalla que pueden ser cambiados cada mes para que las personas conozcan cosas diferentes sobre el modelo de seguridad de la información.

Las presentaciones también pueden ser descargadas desde la página de internet para que las usuarios profundicen y aprendan más sobre el tema, así mismo, los cursos de capacitación pueden ser dictados para toda clase de proveedores de internet de forma que mejoren la seguridad de la información se de sus empresas y conozcan mas sobre el modelo de seguridad de la información; estas capacitaciones están especificadas en el siguiente capítulo con sus contenidos, duración y desarrollo.

Los folletos, serán distribuidos en los café internet de la misma manera que será distribuido el medio BTL; de este modo, los usuarios que no tienen acceso a un servicio de internet desde el hogar, también serán beneficiados y serán conocedores del modelo de seguridad de la información.

Como recomendación adicional para todos los establecimientos proveedores de internet como son los café internet y telecentros, se recomienda que ellos también asistan a los cursos de capacitación, en el mismo, se les dará un certificado de asistencia para que los administradores y propietarios dichos establecimientos, se hagan partícipes y a la vez, divulgadores de la campaña de seguridad de la información.

Página 8 de 30



3. Plan de Capacitación

3.1. Cursos en Seguridad de la Información:

Se propone desarrollar los siguientes cursos de capacitación en seguridad de la información:

3.1.1. Gestionando la Seguridad de la Información

Duración: 2 días (16 horas)

Descripción:

El curso ayudará a las empresas a definir, organizar y formalizar el conocimiento referente al Sistema de Gestión de Seguridad de la Información – SGSI propuesto por las normas ISO/IEC 17799, ISO/IEC 27001, ISO/IEC 27002 y BS 7799, instruyendo a los participantes en las estrategias de implementación y evaluación para llevar a la organización a un nivel apropiado de seguridad de la información y estar preparados para buscar la certificación de la compañía.

A quién está dirigido ?

• Gerentes o Directores de informática o tecnología. • Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información. • Profesionales que actualmente desempeñen labores de Seguridad de la Información. • Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de

la Información. • Profesionales que actualmente desempeñen labores de auditoría.

Pre-requisitos:

• Conocimientos básicos en Seguridad de la Información, definiciones. • Conocimientos básicos en la norma ISO /IEC 27001 • Conocimientos básicos en informática y tecnología.

Página 9 de 30



• Conocimientos en análisis de riesgos

Conocimientos adquiridos en el curso:

• Fundamentos de Seguridad de la Información. • Introducción a la Norma ISO 17799, ISO/IEC 27002. • Introducción a la Norma BS 7799-2, ISO/IEC 27001. • El Sistema de Gestión de Seguridad de la Información – SGSI. • Los Dominios de Control. • Identificación de la aplicabilidad de los mecanismos de control. • Definición e implementación de la estrategia. • El proceso de Análisis de Riesgos. • Factores críticos de éxito en la implementación del SGSI.

Temas de los talleres prácticos:

• Análisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001). • Identificación de controles de la norma aplicables a riesgos identificados. • Desarrollo de una declaración de aplicabilidad. • Valoración de la implementación del SGSI. • Auditoria de cumplimiento BS 7799-2 y ISO/IEC 27001.

3.1.2. Estándares de Seguridad de la Información


Descripción:

El curso ayuda a las empresas a comprender el alcance y objetivos de los principales estándares de Gobierno, Seguridad, Control y Auditoria de TI, brindando a los asistentes un conocimiento general de los estándares ASNZ 4360, ITIL, ISO27000, NIST 800-14, NIST 800-34, CONCT, COBIT, COSO, SARBANES OXLEY, PMBOK, con énfasis en los elementos fundamentales de cada uno de ellos. Al final del curso los asistentes tendrán un conocimiento más claro de cada estándar y contarán con una hoja de trabajo que facilite su comparación y selección de acuerdo con las expectativas de cada organización.

A quién está dirigido:

• Gerentes o directores de informática o tecnología • Responsables por la Seguridad de la Información • Gerentes de Riesgo • Gerentes de control interno o auditoria interna • Auditores de sistemas • Gerentes y responsables por la planificación de la continuidad del negocio

Página 10 de 30



Prerrequisititos:

• Conocimientos básicos en seguridad de la información • Conocimientos básicos en análisis de riesgos • Conocimientos básicos en auditoria


• Objetivos, alcances y puntos esenciales de cada estándar mencionado • Elementos necesarios para la comparación de estándares • Construcción de una hoja de trabajo para la comparación de estándares • Diferentes alternativas para articular las necesidades organizacionales en cuanto a gestión de

riesgos, seguridad de la información y auditoria.


• Riesgos de no utilizar estándares y mejores prácticas • Construcción de la hoja de trabajo para comparación de estándares • Identificación de rutas alternativas para la implementación de estándares

3.1.3. El Desarrollo de un Plan de Continuidad del Negocio BCP/DRP


Descripción:

El curso ayuda a las empresas a conocer y organizar de una mejor forma el proceso de implementación de un plan de continuidad del negocio, brindando a los asistentes importantes conocimientos y una serie de pautas claves que debe seguir el Líder de BCP para la protección efectiva de la información de la organización, así como el personal y demás recursos, en caso de ocurrir un desastre. De igual forma se revisarán ejemplos y prácticas recomendadas para implementar planes de continuidad del negocio. Al final del curso los asistentes tendrán un conocimiento más profundo sobre la práctica real, la implementación de políticas, el ciclo de vida de un BCP y el rol que el Líder de BCP desempeña en el mismo.

Página 11 de 30




• Gerentes o directores de informática o tecnología. • Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información. • Profesionales que actualmente desempeñen labores de Seguridad de la Información. • Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de

la Información. • Profesionales que actualmente desempeñen labores de auditoría. • Profesionales que actualmente estén trabajando el tema de continuidad del negocio y/o

recuperación ante desastres. • Profesionales de cualquier área de una compañía.

Pre-requisitos:

� Conocimientos básicos en manejo de riesgos. � Conocimientos básicos sobre procesos.


� La teoría básica de BCP/DRP. � Planes de contingencia y recuperación ante desastres (DRP). � La teoría básica de BIA/RIA. � La teoría básica de RTO/RPO/MAO/FTL. � Mantenimiento y Entrenamiento. � Estrategias de continuidad del Negocio. � Desarrollo e Implementación. � Prácticas, Mantenimiento y Auditoria.


• Planeación de un BCP. • Análisis de riesgos (RIA). • Análisis de Impactos (BIA). • Desarrollo de estrategias. • Desarrollo de un BCP. • Concientización y capacitación. • Prueba y ejercicio. • Mantenimiento y actualización. • Planes de evacuación y manejo de crisis.

Página 12 de 30



3.1.4. Seguridad en Redes Inalámbricas

Duración: 16 Horas (2 días)

Descripción:

Es un curso teórico-práctico en el cual se busca explorar el funcionamiento básico de redes inalámbricas, sus problemas de seguridad y las mejores prácticas de seguridad en estas redes. En la parte teórica se desarrolla una introducción detallada a los aspectos básicos de funcionamiento de redes inalámbricas. En la parte práctica se busca evidenciar los problemas de seguridad existentes en las redes inalámbricas y generar recomendaciones para mantener redes seguras dentro de un ambiente funcional.


• Gerentes o directores de informática o tecnología. • Gerentes o directores que tengan a cargo el tema de Seguridad de la Información.. • Profesionales que actualmente desempeñen labores de Seguridad de la Información. • Personal de cualquier organización que actualmente estén trabajando algún tema de seguridad de

la Información. • Profesionales que actualmente desempeñen labores de auditoría. • Gerentes o directores del área de telecomunicaciones. • Profesionales que actualmente desempeñen labores en el área de Telecomunicaciones. • Administradores de redes. • Profesionales que actualmente desempeñen labores en el área de IT.

Pre-requisitos:

• Conocimientos básicos en redes Inalámbricas y comunicaciones, definiciones. • Conocimientos básicos en informática y tecnología. • Conocimientos básicos de Linux. • Conocimientos básicos de Windows. • Curso Básico de Seguridad de la Información.


• Conceptos básicos y avanzados de redes inalámbricas. • Conceptos básicos y avanzados de seguridad en redes inalámbricas. • Vulnerabilidades en protocolos, procesos y autenticación. • Técnicas de ataque comunes. • Técnicas de aseguramiento de redes inalámbricas. • Comandos y herramientas comúnmente utilizadas.

Página 13 de 30



Acerca de los laboratorios:

Cada participante tiene asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados, en plataformas Linux y Windows.

Cada uno de los laboratorios diseñados para este curso se encuentran organizados para evidenciar de forma práctica las vulnerabilidades existentes en redes inalámbricas, cómo explotar estas vulnerabilidades y busca la comprensión por parte de los participantes de las mejores prácticas de seguridad para implementar una apropiada configuración dentro de las redes, evitando las posibilidades de ataques, pérdida de información o negación de servicios.

3.1.5. Seguridad Avanzada en Windows y Unix


Descripción:

Este curso profundiza en los problemas de seguridad de las plataformas de sistemas operacionales con más instalaciones a nivel mundial: Windows y Unix. No sólo se examinan los problemas sino las principales herramientas de seguridad que debe conocer todo administrador para asegurar estas plataformas y mitigar los riesgos de seguridad de la información.


• Administradores de servidores Windows y Unix • Oficiales de seguridad de la información • Programadores de aplicaciones que funcionen en estas plataformas • Personal técnico y/o soporte Windows o Unix

Prerrequisititos:

• Conocimientos básicos de Windows y Unix (comandos, sistema de archivos, usuarios) • Conocimiento en aplicaciones Windows • Conocimientos de redes y comunicaciones • Curso básico de seguridad de la información

Página 14 de 30




• Conceptos de seguridad en sistemas operacionales • Nivel C2 de seguridad de sistemas operacionales • Conceptos avanzados de seguridad en Windows y Unix • Técnicas de ataques comunes a plataformas Windows y Unix • Vulnerabilidades en protocolos, puertos y servicios • Vulnerabilidades asociadas a las instalaciones por defecto • Administración de usuarios, contraseñas y permisos • Configuración segura de servidores Web, Correo, DNS • Configuración y uso de herramientas de detección y monitoreo


Cada participante tiene asignado un PC donde a medida que se abordan los tema se revisan los aspectos asociados.

Se puede contar con laboratorios prácticos como:

• Escalamiento de privilegios • Ataques a los servicios más comunes • Ataques y aseguramiento de IIS • Sniffers • Encripción de archivos • Configuración de IDS • Configuración de control de acceso • Debilidades asociadas a cada arquitectura • Aseguramiento de servidores • Comandos y herramientas comúnmente utilizadas

3.1.6. Técnicas Avanzadas en Ataques y Defensa

Duración: 40 horas (5 días)

Descripción:

Curso teórico práctico que busca brindar a un oficial de Seguridad de la Información o administrador de red la habilidad para implementar tecnologías avanzadas de seguridad para la protección de la infraestructura tecnológica de su empresa. Se conocerán técnicas y herramientas enfocadas a distintos tipos de sistemas operativos y aplicaciones. El curso inicia identificando la forma de operación de un intruso, sus tácticas, desde las más comunes y sencillas, hasta aquellas técnicas y estrategias de ataque

Página 15 de 30



más elaboradas, posteriormente se aprenderán los mecanismos de defensa con los cuales se puede detener a un intruso.


� Administradores de Firewalls, IDS, redes, sistemas y aplicaciones. � Personal de Seguridad de la Información. � Oficiales de Seguridad de la Información.

Pre-requisitos:

� Buen entendimiento en redes y TCP/IP. � Conocimientos básicos de programación en C. � Buen entendimiento práctico de plataformas Windows (95/98/ME/XP/2000/2003) y de aplicaciones

asociadas. � Buen entendimiento práctico y manejo básico de plataformas Unix (Mandriva, Redhat, SuSe) y de

aplicaciones asociadas. � Conocimientos conceptuales básicos de Seguridad de la Información. � Conocimientos conceptuales sobre Firewalls, IDS y otras tecnologías de seguridad.


• Evolución de la Seguridad de la Información. • Cómo identificar y comprender los tipos de ataques existentes en la actualidad. • Entender y utilizar las herramientas empleadas por los intrusos para diferentes sistemas operativos

(Unix, Windows). • Cómo poner en práctica las técnicas de ataques mediante laboratorios guiados. • Conocer en profundidad las estrategias de ataques. • Detección de herramientas en un sistema atacado. • Detección en línea de ataques. • Cómo engañar a los intrusos. • Implementación de herramientas de defensa. • Diseño e implementación de arquitecturas de defensa.


Desde el inicio del curso hasta el final, se diseñarán e implementarán diferentes arquitecturas de ataque y defensa, donde se incluirán diversos temas, entre otros:

� Recolección de información � Sniffers � ARP Spoofing � TCP- Hijacking � Buffer Overflows � Puertas Traseras � Detección de herramientas en un sistema atacado � Configuración de alertas � Configuración de IDS

Página 16 de 30



� Configuración de honeypots � Monitoreo y registro del sistema. � Implementación de mecanismos de defensa en redes, sistemas operativos y aplicaciones

3.1.7. Computación Forense

Duración: 5 días (40 horas).

Descripción:

Es un curso teórico-práctico que presenta las técnicas utilizadas en la recolección, preservación, manipulación y análisis de evidencia digital relacionada con delitos informáticos. Proporciona al participante una visión clara sobre aspectos importantes de la práctica forense como dónde buscar evidencia y de qué manera analizarla con altas probabilidades de éxito y minimización de la alteración de la misma. Adicionalmente se presenta el enfoque hacia la implementación de mejores prácticas en el manejo de incidentes de seguridad de la información.


� Miembros de grupos de respuesta a incidentes de Seguridad de la Información. � Oficiales de Organismos de Seguridad de la República, encargados de conducir investigaciones

relacionadas con delitos informáticos. � Investigadores forenses encargados de recolectar y/o analizar evidencia digital.

Conocimientos adquiridos en el Curso:

� Conceptos básicos de computación forense. � Teoría de los diferentes sistemas de archivos. � Tipos de delitos informáticos. � Identificación y mejores prácticas en la respuesta a incidentes. � Métodos de almacenamiento en medios volátiles y no-volátiles. � Qué evidencia recolectar y dónde hacerlo. � Técnicas de recolección de evidencia digital. � Manipulación y preservación de la evidencia digital. � Procedimientos de análisis de evidencia digital. � Elaboración de informes.


Cada participante tendrá asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados.

Diseñar laboratorios especiales para los siguientes temas:

Página 17 de 30



� Lectura de líneas de tiempo. � Técnicas de recolección de evidencia digital (en Host y en Red). � Procedimientos de análisis de evidencia digital.

Pre-requisitos:

� Conocimiento de sistemas operativos Unix (utilización, comandos). � Conocimiento de sistemas de archivos (Conceptos básicos de EXT2/3, FAT12/16/32, NTFS). � Alto nivel técnico en general. Bases numéricas, Conceptos de TCP/IP, Conceptos de Redes,

Conceptos de IDS (Sistemas de Detección de Intrusos), entre otros.

3.1.8. Preparación para la Certificación Ethical Hacking (CEH).

Duración: 5 días (40 horas, el último día es el simulacro del examen)

Descripción:

Curso teórico - práctico en el que el asistente adquiere conocimientos avanzados de Hacking contra diferentes plataformas como Windows 2003 Server, Windows Vista, Linux y dispositivos de red.

A quien está dirigido:

� Ingenieros de Sistemas � Ingenieros Electrónicos � Administradores de Red � Profesionales de Seguridad de la Información

Prerrequisitos:

� Conocimientos básicos de seguridad � Conocimientos básicos de Linux


Cada asistente desarrolla la habilidad de realizar evaluaciones cuantitativas y mediciones de las amenazas que pueden afectar los activos de la información. Se adquirirán las destrezas para descubrir los puntos más vulnerables de la organización mediante técnicas reales de Hacking aprendidas en el curso.

Página 18 de 30



Contenido del curso:

Día 1 - Reconocimiento de red y Test de Penetración

Día 2 - Explotación remota de vulnerabilidades y Ataques a autenticación de password

Día 3 - Acceso extendido y Penetración profunda a los objetivos

Día 4 - Ataques a infraestructura de red, Ataques Inalámbricos, Remoción de evidencia

Día 5 - Hacking a aplicaciones Web y simulacro examen

3.1.9. Entrenamiento ISO/IEC 27001:2005 ISMS Lead Auditor

Objetivo:

� Este curso de 5 días (el sexto día corresponde al examen de certificación) brinda el entendimiento y conocimiento de los sistemas de administración de información de terceras partes. Dado que el objetivo de una auditoria no es el hallazgo de no conformidades, sino la identificación de oportunidades de mejora, este curso le permite desarrollar las habilidades para planear, estructurar y conducir una auditoria efectiva y para evaluar y comunicar los hallazgos. El curso está diseñado para seguir las etapas de una auditoria en la práctica, incluyendo simulacros de entrevistas de auditorías y los roles que son jugados en las reuniones de cierre.

Estructura de curso:

� Antecedentes y visión general de la norma ISO/IEC 27001 y otros Estándares de Seguridad de la Información.

� Introducción e implementación de un sistema de auditoría y el rol del auditor en el proceso. � Gestión del rol en la revisión de riesgos y la efectividad en general del Sistema de Gestión de

Seguridad de la Información � Planeación y manejo de un proceso basado en auditoria: � Recursos y tiempo � Uso de checklists � Selección de grupos de auditoria � Conduciendo una auditoria – destrezas, técnicas y competencias del auditor: � Evaluación del significado de los hallazgos encontrados en una auditoria � Comunicación y presentación de reportes de auditoria � No conformidades y mejoramiento de la seguridad como resultado de las acciones correctivas

Página 19 de 30



� Manejo de la evaluación de la tercera parte y el proceso de certificación.

Beneficios de la certificación:

� Desarrollo de competencias para la evaluación del manejo de riesgos y controles esenciales para el Sistema de Gestión de Seguridad de la Información.

� Entendimiento del rol de los auditados en el Sistema de Gestión de la Seguridad de la Información y el rol de los auditores para promover el mejoramiento continúo.

� Habilidades para el total entendimiento de cómo las terceras partes perciben el Sistema de Gestión de Seguridad de la Información y su cumplimiento para la certificación.

� Colaboración de los auditores para crear un ambiente que conduzca a la excelencia.

A quien está dirigido:

� Profesionales que deseen certificarse como ISMS Auditores Lideres registrados. � Profesionales que lideren el tema de la certificación de sus organizaciones en el Estándar ISO/IEC

27001:2005 � Es prerrequisito el conocimiento de la norma ISO/IEC 27001:2005 para el completo entendimiento

de los principios desarrollados en este curso.

Metodología:

� Este es un curso altamente participativo basado en una serie de sesiones usando tutorías, casos de estudio, talleres interactivos y discusiones abiertas, generando un ambiente práctico que provee una única oportunidad para guiar y entrenar al participante.

Agenda:

Día 1 Tema Observaciones

08:30 registro

09:00 Modulo 1 Bienvenida e introducción Resumen de la estructura del curso

Tutoría: Gestión de la Seguridad de la

Una visión al Sistema de Gestión de la Seguridad

Página 20 de 30



Modulo 2 Información

Modulo 3

Tutoría: Visión de la Auditoria

Discusión en el marco de una auditoria, incluyendo auditores de primera, segunda y tercera parte para asegurar un entendimiento común de lo que es un auditor, terminología y estándares.

Modulo 4

Tutoría: Estándares en la Gestión de la Seguridad de la Información

Una mirada a algunos de los principales requerimientos del Sistema de Gestión Seguridad de la Información: Estándares y Controles

12:30 Almuerzo

13:15 Modulo 6 Taller: Auditoria Práctica Ejercicio práctico usando la norma e identificando los controles usados

Modulo 5

Estándares en la Gestión de la Seguridad de la Información

Continuación: incluyendo los controles y sumarios

Modulo 6A

Tutoría: Evaluación del riesgo

Mirada al inventario de activos, amenazas, vulnerabilidades, proceso de cálculo y valoración del riesgo

Taller: Evaluación del Ejercicio práctico diseñado para evaluar el inventario de activos y el proceso de

Página 21 de 30



Modulo 6B

Riesgo valoración del riesgo

Modulo 6C

Tutoría: Manejo del Riesgo Perspectiva general del tratamiento y proceso de del riesgo

Modulo 6D

Taller: Manejo del Riesgo Ejercicio práctico para evaluar el proceso de manejo del riesgo y generación de reportes.

Modulo 7

Tutoría: Documentación de los Sistemas de Gestión de Seguridad de la Información

Mirada a las políticas del Sistema de Gestión de Seguridad, procedimientos y documentación

Modulo 19 Tutoría: Sesión Informativa Parte 1

Introducción y discusión del examen

18:30 Cierre


08:30 Modulo 8 Taller: Documento de Studio: Sistema de Gestión de la Seguridad

Estudio de la documentación del Sistema de Gestión de la Seguridad de la

Página 22 de 30



Información

Modulo 9

Tutoría: Planeación de una Auditoria

Discusión sobre los puntos de consideración en la planeación de una auditoria

Modulo 10

Taller: Planeando una Auditoria

Sesión práctica para el desarrollo de un plan de auditoría.

Modulo 11 Tutoría: Checklists Discusión para efectivamente preparar y usar las notas de pre-auditoria y los checklists para el logro de objetivos.

12:30 Almuerzo

13:15 Modulo 12 Taller: Preparando checklists

Práctica para el desarrollo y uso de checklists

Modulo 13

Tutoría: Apertura de Reuniones

Discusión acerca de los puntos requeridos para cubrir la reunión de apertura

Modulo 14 Taller: Apertura de Reuniones

Ejercicio de rol: ejecución de la reunión de apertura

Modulo 15

Tutoría: Técnicas de Auditoria

Discusión de entrevistas, preguntas y técnicas de toma de notas

Página 23 de 30



Modulo 16

Taller: Estudio de caso de Auditoria – Parte 1

Ejercicio práctico: Introducción a un caso de estudio

Modulo 17

Taller: Trascripción de no conformidades - 1

Ejercicio práctico de introducción a las no conformidades

18:30 Cierre


08:30 Modulo 18 Taller: Estudio de Caso de Auditoria - Parte 2

Caso de Estudio 1 – preparación de la segunda parte

Modulo 18 Taller: Estudio de Caso de Auditoria - Parte 2

Retroalimentación 2

12:30 Almuerzo

13:15 Modulo 22 Tutoría: Trascripción de no Conformidades

Discusión para preparar un histórico de hallazgos

Modulo 23 Taller: Escritura de No Conformidades – Parte 2

Practica de escritura de no conformidades

Página 24 de 30



Modulo 20

Tutoría: Técnicas de Auditoria

Práctica en la preparación de la declaración de hallazgos

Modulo 21 Taller: Técnicas de Auditoria

Modulo 19 Sesión Informativa Información acerca del examen

Modulo 24 Caso de estudio 2 –Parte 1

Preparación del rol jugado en el caso de estudio 2

Modulo 24 Caso de estudio 2 – Parte 1

Retroalimentación

18:30 Cierre


08:30 Modulo 25 Caso de Auditoria 2 - Parte 2

Preparación para el resto del caso de estudio 2

Modulo 25 Caso de Auditoria 2 - Parte 2

Estudio y retroalimentación del caso de estudio 2

12:30 Almuerzo

Página 25 de 30



13:15 Modulo 26 Tutoría: Reuniones de Cierre

Discusión para planear y presentar una reunión de cierre

Modulo 27

Tutoría: Reportes

Discusión de los principales puntos que deben ser incluidos en los reportes y documentos de una auditoria

Modulo 32

Taller: Resumen de la auditoria Parte 1

Ejercicio práctico para preparar reportes de auditoria

Modulo 29 Taller: Cierre de Auditorias Parte 1

Ejercicios prácticos de juego de rol en las reuniones de cierre – preparación

Modulo 29 Taller: Reuniones de cierre – Parte 2

Retroalimentación de reuniones de cierre

18:30 Cierre


08:30 Modulo 30 Tutoría: Seguimiento y acciones correctivas

Discusión de los aspectos a ser cubiertos en las auditorias de no conformidades y seguimiento a las acciones

Página 26 de 30



correctivas

Modulo 34 Taller: Seguimiento y Acciones Correctivas

Ejercicio práctico en el análisis y efectividad de acciones correctivas y previa retroalimentación

Modulo 32 Taller: resumen de Auditoria Parte 2

Ejercicio para dar finalización a un resumen de auditoria

Modulo 33 Tutoría: Una perspectiva a las auditorias de de primera, segunda y tercera parte

Una mirada a las auditorias de primera parte.

12:30 Almuerzo

13:15 Administración -Examen

17:00 Cierre

� NOTA: El sexto día corresponde al desarrollo del examen de certificación.

Página 27 de 30



3.1.10. Preparación a la Certificación CISSP®


Qué es la Certificación CISSP®?

CISSP® es la certificación en Seguridad de la Información más reconocida a nivel mundial y es avalada por el (ISC)2, International Information Systems Security Certification Consortium.

Fue diseñada con el fin de reconocer una maestría de conocimientos y experiencia en Seguridad de la Información con una ética comprobada en el desarrollo de la profesión.

El (ISC)2, International Information Systems Security Certification Consortium (https://www.isc2.org), es una organización sin ánimo de lucro que se encarga de:

� Mantener el “Common Body of Knowledge” en Seguridad de la Información. � Certificar profesionales en un estándar internacional de Seguridad de la Información. � Administrar los programas de entrenamiento y certificación. � Garantizar la vigencia de las certificaciones a través de programas de capacitación continua.

Requisitos de certificación CISSP®:

1. Firmar el Código de Ética del ISC2 2. Certificar experiencia de mínimo 4 años en el área de Seguridad de la Información en algún

dominio del CBK o certificar la misma experiencia por 3 años adicionando un título profesional 3. Contestar afirmativamente el 70% de un examen de 250 preguntas de opción múltiple,

relacionadas con los 10 dominios del CBK (Common Body of Knowledge) y que deben ser resueltas en un periodo de 6 horas

4. Contar con un aval de un tercero calificado (CISSP activo o empleador) referenciando al candidato a CISSP®

Mayor información:

https://www.isc2.org/cgi-bin/content.cgi?category=1187

Página 28 de 30



Quién debería asistir:

Directores o gerentes de tecnología, directores y oficiales de seguridad de la Información y personal responsable en temas de seguridad de la Información dentro de la organización.

Contenido del Curso:

Los temas del curso son los contenidos en el Common Body of Knowledge (CBK):

Dominio 1: Access Control

Dominio 2: Application Security

Dominio 3: Business Continuity Planning and Disaster Recovery Planning

Dominio 4: Cryptography

Dominio 5: Information Security and Risk Management

Dominio 6: Legal, Regulations, Compliance and Investigation

Dominio 7: Operations Security

Dominio 8: Physical (Enviromental) Security

Dominio 9: Security Architecture and Design

Dominio 10: Telecommunications and Network Security

Página 29 de 30



Beneficios de la certificación para la empresa:

� Permite contar con profesionales certificados con el conocimiento adecuado para establecer las mejores prácticas de seguridad en la compañía.

� El conocimiento certificado del “Common Body of Knowledge (CBK)” provee una gran capacidad para la definición de soluciones adecuadas para la organización.

� La certificación brinda un mayor nivel de credibilidad a las empresas en materia de Seguridad de la Información.

� Permite la administración de riesgos de una organización, desde una perspectiva de negocio y tecnología.

Beneficios de la certificación para el profesional:

� Garantiza un alto nivel de conocimientos en Seguridad de la Información � Marca un diferencial entre profesionales dedicados a Seguridad de la Información � Reafirma un compromiso ético como profesional de Seguridad de la Información.

3.2. Talleres prácticos:

Se propone desarrollar los siguientes talleres en seguridad de la información:

• Análisis de riesgos. • Modelo de seguridad. • Planes de concientización. • Planes de seguridad.

Página 30 de 30



4. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN

Se entregan adjuntos con este documento, los diseños en formato electrónico de los materiales de capacitación y sensibilización elaborados en la presente consultoría. Ver Carpeta “6. Capacitación - Material de capacitacion y sensibilizacion” en el CD-ROM entregado.

Documents

ENTREGABLE 15: CAPACITACIÓN - Inicio - Estrategia …programa.gobiernoenlinea.gov.co/.../6.Capacitacion...de_Seguridad.pdf · Asimismo, con tan sólo recorrer un par de puestos de