AENOR España

​Gobierno y gestión de sistemas de seguridad de la información y Ciberseguridad. Live Training 8 horas

Objetivos específicos del curso:

• Conocer el ecosistema digital de AENOR. Modelo de Ciberseguridad y Privacidad de AENOR.
• Comprender con ejemplos prácticos los Fundamentos del Sistema de gestión de seguridad de la información.
• Comprender los Fundamentos que describen los marcos de referencia orientados a la Seguridad de la información con análisis de casos.
• Conocer el sistema de gestión aplicado a la organización y detección de necesidades de seguridad.
• Ejercitar los procesos de gestión e instrumentos que dan cumplimiento a los requisitos normativos ISO27001.
  

Contenido

• El ecosistema digital de AENOR. Modelo de Ciberseguridad y Privacidad de AENOR
• Introducción al Gobierno y Gestión de Sistema de Seguridad de la Información y Ciberseguridad.
• Introducción a la Seguridad de la información
• Marco conceptual, fundamentos básicos, términos y definiciones.
• Introducción a la gestión de la seguridad de la Información.
• El Sistema de gestión de seguridad de la información y sus procesos
• ISO 27001 y el SGSI
• Anexo A: Dominios, objetivos y controles
• Normativas y leyes asociadas a la Seguridad de la Información
• ISO 27001 como herramienta para la gestión de los riesgos de sistemas de información. Contexto práctico.
• Objetivos de control y controles de seguridad de la información. Contexto práctico.
  
  

​Fundamentos de la gestión de la seguridad de la información. On-line 8 horas

Objetivo:

• Conocer los fundamentos y conceptos generales de la gestión de la seguridad de la información
• Obtener una visión general y una comprensión de la Norma ISO/IEC 27002
• Analizar las ventajas de implantar un sistema de gestión de la seguridad de la información
  

Contenido:

1. Conceptos de la seguridad de la información y de su gestión
2. Origen y evolución de las normas de seguridad de la información relacionadas con la Norma ISO/IEC 27002
3. Entendimiento del contenido de la Norma ISO/IEC 27002
4. Iniciación a la implementación de un sistema de gestión de seguridad de la información fundamentado sobre el análisis y gestión de riesgos
5. Criterios de éxito para la gestión efectiva y práctica de la seguridad de la información
6. Actividades prácticas

​Implantación de un sistema de gestión de la seguridad de la información ISO 27001. 15 horas online

Objetivo:

• Conocer y aplicar los métodos y procesos de la gestión de la seguridad de la información y aprender a realizar las acciones que permitan implementar un sistema de gestión de la seguridad de la información.
  

Contenido:

1. Identificación de los elementos de actuación de las Normas ISO/IEC 27002 e ISO/IEC 27001
2. Marco de procesos para definir un SGSI (Sistema de Gestión de la Seguridad de la Información) según la Norma ISO/IEC 27001
3. Estudio de los procesos y elementos de un análisis y gestión del riesgo
4. Políticas, organización y concienciación  para un SGSI
5. Definición del alcance y ámbito de un SGSI
6. Planificación para la implementación del sistema de gestión de la información según la Norma ISO/IEC 27001
   
1. Análisis diferencial, análisis de riesgos, plan de tratamiento de riesgos
7. Recomendaciones para la implementación
8. Actividades prácticas
   

​Auditoría de sistemas de gestión de la información ISO 27001. 15 horas online

Objetivo:

• Entender la justificación de las auditorías de sistemas de gestión de la seguridad de la información
• Adquirir los conocimientos necesarios para la planificación y realización de auditorías de sistemas de gestión de la seguridad de la información ISO/IEC 27001
• Conocer tanto las técnicas como la metodología en las auditorías de sistemas de gestión de la seguridad de la información
• Definir las responsabilidades de las personas implicadas
• Conocer el proceso de certificación
  

Contenido:

1. Razones y objetivos para la realización de auditoría de un sistema de gestión de la seguridad de la información
2. Normas aplicables a la auditoría de un sistema de gestión de la seguridad de la información: ISO/IEC 27002, ISO/IEC 27001 e ISO 19011
3. Auditoría de un sistema de gestión de la seguridad de la información: definición y tipos de auditoría
4. Procesos y fases de la metodología que hay que seguir en las auditorías de un sistema de gestión de la seguridad de la información:
1. Planificación, desarrollo y elaboración de informes
2. Responsabilidades
5. Proceso de certificación

Caso práctico basado en la simulación de una auditoría

​Gestión de riesgos en seguridad de la información. 15 horas online

Objetivo:

Adquirir la capacidad para realizar y planificar una identificación y valoración de riesgos de los sistemas de información de una organización en línea con los requisitos de la Norma ISO/IEC 27001.

Contenido:

1. Revisión de la importancia del proceso de análisis y gestión de riesgos en el contexto de un sistema de gestión de la seguridad de la información (SGSI)
2. Normas aplicables al proceso (UNE 71504, ISO/IEC 27005, ISO/IEC 31000)
3. Análisis de los riesgos:
1. Procesos de identificación y valoración de riesgos
2. Valoración de impactos, amenazas y riesgos (matriz)
4. Gestión de los riesgos:
1. Procesos de selección de controles (criterios y objetivos)
2. Evaluación del riesgo residual
5. Desarrollo de un proyecto de análisis y gestión de riesgos
6. Realización de un caso práctico a lo largo del curso
   

​Indicadores y concienciación en seguridad de la información. Live training 8 horas

Objetivo:

• Conocer los fundamentos y conceptos generales para la definición de métricas e indicadores en seguridad de la información
• Analizar razones y métodos para la definición de métricas adecuadas a la organización y a sus objetivos de seguridad
• Describir los diversos componentes que forman parte de un programa de formación y concienciación
• Conocer los diferentes medios para proporcionar una concienciación eficaz sobre seguridad de la información a todo el personal

Contenido:

• Conceptos y fundamentos en métricas e indicadores en seguridad de la información
• Relación con las normas de gestión de la seguridad de la información
• Prácticas para la definición de métricas e indicadores de seguridad de la información en base a los objetivos de control del anexo A de la ISO 27001
• Introducción y conceptos básicos en concienciación en seguridad de la información
• El método del programa de concienciación con sus 4 fases:
• Fase 1: Medir los conocimientos del personal
• Fase 2: Establecer objetivos y metas
• Fase 3: Desarrollar el plan
• Fase 4: Implantar y controlar el plan
• Definir mensajes clave, con los medios adecuados y su diseño
  

Objetivo:

• Conocer los fundamentos y conceptos generales sobre ciberseguridad
• Analizar los riesgos inherentes a los ciberataques
• Conocer las normas ISO e internacionales de aplicación con sus principales líneas de protección

Contenido:

• Definición, conceptos y ámbito de aplicación de la Ciberseguridad. Ciberseguridad en la nube. Ciberseguridad industrial.
• Redes/aplicaciones, cloud computing y sistemas de control industrial (ICS)
• Identificación de los principales tipos de ataques y su motivación:
• DoS (denegación de servicios), software malicioso, locked-in, etc.
• Identificación y análisis de las normas internacionales aplicables:
•  ISO, NERC, NIST
• Análisis de las principales líneas de actuación a implementar

Identificación de los contactos a establecer para protegerse

Objetivo:

Analizar los principales riesgos jurídicos relacionados con la gestión de la seguridad de la información en una entidad, identificando el marco normativo básico, a efectos del cumplimiento del Control A.18 de la ISO/IEC 27002

Contenido:

• Análisis de controles y medidas de contenido jurídico recogidos en la Norma ISO/IEC 27002
• Riesgos jurídicos asociados a la protección de datos personales. Especial referencia al nuevo Reglamento Europeo de Protección de Datos
• Riesgos jurídicos asociados al comercio electrónico y la contratación por vía electrónica
• Riesgos asociados al uso de redes sociales
• Prevención ante la ciberdelincuencia. Análisis desde el punto de vista de la Directiva NIS
• Medidas de protección jurídica para los activos de propiedad intelectual, industrial y la gestión del "Know-How"
• La protección jurídica de la información: evidencias electrónicas y seguridad
• Aproximación al concepto de Compliance y su vinculación con la seguridad de la información
• Novedades legislativas
  

• Norma UNE-ISO/IEC 27001:2017 Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Requisitos
• La Norma UNE-ISO/IEC 27002:2017 Tecnología de la Información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información
• Norma UNE 71504:2008 Metodología de análisis y gestión de riesgos para los sistemas de información.
• Norma UNE 71501-1:2001 IN Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI
• Norma UNE 71501-2:2001 IN Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 2: Gestión y planificación de la seguridad de TI
• Norma UNE 71501-3:2001 IN Tecnología de la información (TI). Guía para la gestión de la seguridad de TI. Parte 3: Técnicas para la gestión de la seguridad de TI
• La Norma UNE-EN ISO 19011:2018 Directrices para la auditoría de los sistemas de gestión
• La Norma UNE 66175:2003 Sistemas de gestión de la calidad. Guía para la implantación de sistemas de indicadores