EENNTTRREEGGAABBLLEE 1155:: CCAAPPAACCIITTAACCIIÓÓNN -- MMOODDEELLOO DDEE SSEEGGUURRIIDDAADD DDEE LLAA IINNFFOORRMMAACCIIÓÓNN PPAARRAA LLAA EESSTTRRAATTEEGGIIAA DDEE
GGOOBBIIEERRNNOO EENN LLÍÍNNEEAA
ÁREA DE INVESTIGACIÓN Y PLANEACIÓN © República de Colombia - Derechos Reservados
Bogotá, D.C., Diciembre de 2008
Página 2 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
FFOORRMMAATTOO PPRREELLIIMMIINNAARR AALL DDOOCCUUMMEENNTTOO
Título: PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Fecha elaboración aaaa-mm-dd:
26 – Diciembre – 2008
Sumario: CORRESPONDE AL ENTREGABLE 15: PLAN DE CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Palabras Claves: Manejo de imagen, afiches, logos, folletos
Formato: Lenguaje: Castellano
Dependencia: Investigación y Planeación
Código: Versión: 1 Estado:
Documento para revisión por parte del Supervisor del contrato
Categoría:
Autor (es): Equipo consultoría Digiware
Revisó: Juan Carlos Alarcon
Aprobó: Ing. Hugo Sin Triana
Firmas:
Información Adicional:
Ubicación:
Página 3 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
CCOONNTTRROOLL DDEE CCAAMMBBIIOOSS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN 0 17/12/2008 Miguel Angel Duarte. Elaboración del documento 1 26/12/2008 Equipo del Proyecto Revisión interna conjunta equipo consultoría Digiware
Página 4 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
TTAABBLLAA DDEE CCOONNTTEENNIIDDOO
1. PLAN DE SENSIBILIZACIÓN ............................................................................................................................ 5
2. PLAN DE CONCIENTIZACIÓN.......................................................................................................................... 6
3. PLAN DE CAPACITACIÓN ............................................................................................................................... 8
3.1. CURSOS EN SEGURIDAD DE LA INFORMACIÓN...................................................................................................... 8 3.1.1. GESTIONANDO LA SEGURIDAD DE LA INFORMACIÓN .................................................................................................................................8 3.1.2. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN...................................................................................................................................9 3.1.3. EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BCP/DRP............................................................................................10 3.1.4. SEGURIDAD EN REDES INALÁMBRICAS ...................................................................................................................................................12 3.1.5. SEGURIDAD AVANZADA EN WINDOWS Y UNIX.........................................................................................................................................13 3.1.6. TÉCNICAS AVANZADAS EN ATAQUES Y DEFENSA ...................................................................................................................................14 3.1.7. COMPUTACIÓN FORENSE .......................................................................................................................................................................16 3.1.8. PREPARACIÓN PARA LA CERTIFICACIÓN ETHICAL HACKING (CEH)..........................................................................................................17 3.1.9. ENTRENAMIENTO ISO/IEC 27001:2005 ISMS LEAD AUDITOR ............................................................................................................18 3.1.10. PREPARACIÓN A LA CERTIFICACIÓN CISSP® .....................................................................................................................................27
3.2. TALLERES PRÁCTICOS.................................................................................................................................... 29
4. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN ....................................................................... 30
Página 5 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
1. PLAN DE SENSIBILIZACIÓN
¿Porque necesitamos un plan de sensibilizacion en seguridad de la información?
• Existe la mentalidad que no hay nada importante por proteger en su computador.
• Existe el concepto errado que la tecnología por si misma puede resolver sus problemas de seguridad.
• Continuamente se generan nuevos métodos de “Ingeniería Social” que mediante engaños buscan obtener información confidencial.
• Debemos conocer tanto las amenazas externas como las internas.
Debido a todas estas razones, el plan de sensibilizacion para el nuevo modelo de seguridad de la información para la estrategia de Gobierno en Línea, es, lograr que las personas conozcan los motivos y razones que generan los diferentes tipos de incidentes en seguridad de la información que existen alrededor de cada uno y acojan las debidas precauciones recomendadas a través medios de concienciación y sensibilización.
Esta presentación se puede dar a aconocer por medio de los cursos preparese 2009.
Para el desarrollo de este plan, se pretende involucrar a todos los funcionarios públicos, ISP, cafés internet y usuarios de Gobierno en Línea, con el fin de vincular a todas estas entidades y personas a que conozcan el modelo de seguridad de la información para la estrategia de Gobierno en Línea.
Conjuntamente, este plan de sensibilización, esta reforzado por las capacitaciones que se dictarán abarcando temas especializados en seguridad de la información, p. ej.: Análisis de riesgos, Modelo de seguridad SGSI, Planes de concientización, Planes de respuesta ante incidentes, Planes de continuidad del negocio, etc. las cuales están especificadas con más detalle en el punto 3 de capacitación dentro de este documento.
Ver Anexo presentación para sensibilización.ppt
Página 6 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
2. PLAN DE CONCIENTIZACIÓN
La gran mayoría de las personas, desconoce sobre temas de seguridad de la información y, en especial, el alcance del tema. Quién no ha escuchado alguna vez las preguntas; ¿pero cómo, seguridad de la información también se encarga de la seguridad física? ¿Qué tiene que ver seguridad de la información con los papeles impresos? ¿Cómo, seguridad de la información no es lo mismo que seguridad informática?
Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento organizacional) y, a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la contraseña de un usuario en la red de la entidad, que vulnerar los sistemas de seguridad y cifrado. Asimismo, con tan sólo recorrer un par de puestos de trabajo, se pueden encontrar contraseñas escritas y pegadas en la pantalla o debajo del teclado. Las alternativas que se recomiendan utilizar para que el plan de concientización sea factible son:
• Folletos
• Carteles
• Material BTL
• Material POP
• Uso de tecnoligia
• Presentaciones de Capacitación.
La campaña de concientización a los diferentes grupos objetivo definidos, tendrá una duración mínima de 12 meses, que iniciarán con la campaña de sensibilización (ver capítulo 1), y después, se desarrollará un apoyo por medio de los afiches en paraderos para dar a conocer masivamente la campaña para el público en general.
En cuanto a los folletos, se recomienda entregarlos en los recibos de los proveedores de internet como los ISP, ya que ese es un medio muy utilizado y extremadamente efectivo debido a que los usuarios miran siempre el recibo. Esto puede ser cambiado periódicamente por el juego que se encuentra anexo en los materiales diseñados como el “Rompecocos” ya que es dinámico, y da consejos útiles y eficaces. Los concejos pueden ser renovados frecuentemente para que los usuarios conozcan paulatinamente sobre el avance de la campaña.
Página 7 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Los fondos de pantalla también pueden ser dados a conocer por medio de la página de internet de Gobierno en Línea para que las personas los puedan descargar e instalar en sus computadores. Para los proveedores de internet, se pueden entregar 3 fondos de pantalla que pueden ser cambiados cada mes para que las personas conozcan cosas diferentes sobre el modelo de seguridad de la información.
Las presentaciones también pueden ser descargadas desde la página de internet para que las usuarios profundicen y aprendan más sobre el tema, así mismo, los cursos de capacitación pueden ser dictados para toda clase de proveedores de internet de forma que mejoren la seguridad de la información se de sus empresas y conozcan mas sobre el modelo de seguridad de la información; estas capacitaciones están especificadas en el siguiente capítulo con sus contenidos, duración y desarrollo.
Los folletos, serán distribuidos en los café internet de la misma manera que será distribuido el medio BTL; de este modo, los usuarios que no tienen acceso a un servicio de internet desde el hogar, también serán beneficiados y serán conocedores del modelo de seguridad de la información.
Como recomendación adicional para todos los establecimientos proveedores de internet como son los café internet y telecentros, se recomienda que ellos también asistan a los cursos de capacitación, en el mismo, se les dará un certificado de asistencia para que los administradores y propietarios dichos establecimientos, se hagan partícipes y a la vez, divulgadores de la campaña de seguridad de la información.
Página 8 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
3. Plan de Capacitación
3.1. Cursos en Seguridad de la Información:
Se propone desarrollar los siguientes cursos de capacitación en seguridad de la información:
3.1.1. Gestionando la Seguridad de la Información
Duración: 2 días (16 horas)
Descripción:
El curso ayudará a las empresas a definir, organizar y formalizar el conocimiento referente al Sistema de Gestión de Seguridad de la Información – SGSI propuesto por las normas ISO/IEC 17799, ISO/IEC 27001, ISO/IEC 27002 y BS 7799, instruyendo a los participantes en las estrategias de implementación y evaluación para llevar a la organización a un nivel apropiado de seguridad de la información y estar preparados para buscar la certificación de la compañía.
A quién está dirigido ?
• Gerentes o Directores de informática o tecnología. • Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información. • Profesionales que actualmente desempeñen labores de Seguridad de la Información. • Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de
la Información. • Profesionales que actualmente desempeñen labores de auditoría.
Pre-requisitos:
• Conocimientos básicos en Seguridad de la Información, definiciones. • Conocimientos básicos en la norma ISO /IEC 27001 • Conocimientos básicos en informática y tecnología.
Página 9 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
• Conocimientos en análisis de riesgos
Conocimientos adquiridos en el curso:
• Fundamentos de Seguridad de la Información. • Introducción a la Norma ISO 17799, ISO/IEC 27002. • Introducción a la Norma BS 7799-2, ISO/IEC 27001. • El Sistema de Gestión de Seguridad de la Información – SGSI. • Los Dominios de Control. • Identificación de la aplicabilidad de los mecanismos de control. • Definición e implementación de la estrategia. • El proceso de Análisis de Riesgos. • Factores críticos de éxito en la implementación del SGSI.
Temas de los talleres prácticos:
• Análisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001). • Identificación de controles de la norma aplicables a riesgos identificados. • Desarrollo de una declaración de aplicabilidad. • Valoración de la implementación del SGSI. • Auditoria de cumplimiento BS 7799-2 y ISO/IEC 27001.
3.1.2. Estándares de Seguridad de la Información
Duración: 2 días (16 horas)
Descripción:
El curso ayuda a las empresas a comprender el alcance y objetivos de los principales estándares de Gobierno, Seguridad, Control y Auditoria de TI, brindando a los asistentes un conocimiento general de los estándares ASNZ 4360, ITIL, ISO27000, NIST 800-14, NIST 800-34, CONCT, COBIT, COSO, SARBANES OXLEY, PMBOK, con énfasis en los elementos fundamentales de cada uno de ellos. Al final del curso los asistentes tendrán un conocimiento más claro de cada estándar y contarán con una hoja de trabajo que facilite su comparación y selección de acuerdo con las expectativas de cada organización.
A quién está dirigido:
• Gerentes o directores de informática o tecnología • Responsables por la Seguridad de la Información • Gerentes de Riesgo • Gerentes de control interno o auditoria interna • Auditores de sistemas • Gerentes y responsables por la planificación de la continuidad del negocio
Página 10 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Prerrequisititos:
• Conocimientos básicos en seguridad de la información • Conocimientos básicos en análisis de riesgos • Conocimientos básicos en auditoria
Conocimientos adquiridos en el curso:
• Objetivos, alcances y puntos esenciales de cada estándar mencionado • Elementos necesarios para la comparación de estándares • Construcción de una hoja de trabajo para la comparación de estándares • Diferentes alternativas para articular las necesidades organizacionales en cuanto a gestión de
riesgos, seguridad de la información y auditoria.
Temas de los talleres prácticos:
• Riesgos de no utilizar estándares y mejores prácticas • Construcción de la hoja de trabajo para comparación de estándares • Identificación de rutas alternativas para la implementación de estándares
3.1.3. El Desarrollo de un Plan de Continuidad del Negocio BCP/DRP
Duración: 2 días (16 horas)
Descripción:
El curso ayuda a las empresas a conocer y organizar de una mejor forma el proceso de implementación de un plan de continuidad del negocio, brindando a los asistentes importantes conocimientos y una serie de pautas claves que debe seguir el Líder de BCP para la protección efectiva de la información de la organización, así como el personal y demás recursos, en caso de ocurrir un desastre. De igual forma se revisarán ejemplos y prácticas recomendadas para implementar planes de continuidad del negocio. Al final del curso los asistentes tendrán un conocimiento más profundo sobre la práctica real, la implementación de políticas, el ciclo de vida de un BCP y el rol que el Líder de BCP desempeña en el mismo.
Página 11 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
A quién está dirigido:
• Gerentes o directores de informática o tecnología. • Gerentes o Directores que tengan a cargo el tema de Seguridad de la Información. • Profesionales que actualmente desempeñen labores de Seguridad de la Información. • Personal de cualquier organización que actualmente estén trabajando algún tema de Seguridad de
la Información. • Profesionales que actualmente desempeñen labores de auditoría. • Profesionales que actualmente estén trabajando el tema de continuidad del negocio y/o
recuperación ante desastres. • Profesionales de cualquier área de una compañía.
Pre-requisitos:
� Conocimientos básicos en manejo de riesgos. � Conocimientos básicos sobre procesos.
Conocimientos adquiridos en el curso:
� La teoría básica de BCP/DRP. � Planes de contingencia y recuperación ante desastres (DRP). � La teoría básica de BIA/RIA. � La teoría básica de RTO/RPO/MAO/FTL. � Mantenimiento y Entrenamiento. � Estrategias de continuidad del Negocio. � Desarrollo e Implementación. � Prácticas, Mantenimiento y Auditoria.
Temas de los talleres prácticos:
• Planeación de un BCP. • Análisis de riesgos (RIA). • Análisis de Impactos (BIA). • Desarrollo de estrategias. • Desarrollo de un BCP. • Concientización y capacitación. • Prueba y ejercicio. • Mantenimiento y actualización. • Planes de evacuación y manejo de crisis.
Página 12 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
3.1.4. Seguridad en Redes Inalámbricas
Duración: 16 Horas (2 días)
Descripción:
Es un curso teórico-práctico en el cual se busca explorar el funcionamiento básico de redes inalámbricas, sus problemas de seguridad y las mejores prácticas de seguridad en estas redes. En la parte teórica se desarrolla una introducción detallada a los aspectos básicos de funcionamiento de redes inalámbricas. En la parte práctica se busca evidenciar los problemas de seguridad existentes en las redes inalámbricas y generar recomendaciones para mantener redes seguras dentro de un ambiente funcional.
A quién está dirigido:
• Gerentes o directores de informática o tecnología. • Gerentes o directores que tengan a cargo el tema de Seguridad de la Información.. • Profesionales que actualmente desempeñen labores de Seguridad de la Información. • Personal de cualquier organización que actualmente estén trabajando algún tema de seguridad de
la Información. • Profesionales que actualmente desempeñen labores de auditoría. • Gerentes o directores del área de telecomunicaciones. • Profesionales que actualmente desempeñen labores en el área de Telecomunicaciones. • Administradores de redes. • Profesionales que actualmente desempeñen labores en el área de IT.
Pre-requisitos:
• Conocimientos básicos en redes Inalámbricas y comunicaciones, definiciones. • Conocimientos básicos en informática y tecnología. • Conocimientos básicos de Linux. • Conocimientos básicos de Windows. • Curso Básico de Seguridad de la Información.
Conocimientos adquiridos en el curso:
• Conceptos básicos y avanzados de redes inalámbricas. • Conceptos básicos y avanzados de seguridad en redes inalámbricas. • Vulnerabilidades en protocolos, procesos y autenticación. • Técnicas de ataque comunes. • Técnicas de aseguramiento de redes inalámbricas. • Comandos y herramientas comúnmente utilizadas.
Página 13 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Acerca de los laboratorios:
Cada participante tiene asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados, en plataformas Linux y Windows.
Cada uno de los laboratorios diseñados para este curso se encuentran organizados para evidenciar de forma práctica las vulnerabilidades existentes en redes inalámbricas, cómo explotar estas vulnerabilidades y busca la comprensión por parte de los participantes de las mejores prácticas de seguridad para implementar una apropiada configuración dentro de las redes, evitando las posibilidades de ataques, pérdida de información o negación de servicios.
3.1.5. Seguridad Avanzada en Windows y Unix
Duración: 5 días (40 horas)
Descripción:
Este curso profundiza en los problemas de seguridad de las plataformas de sistemas operacionales con más instalaciones a nivel mundial: Windows y Unix. No sólo se examinan los problemas sino las principales herramientas de seguridad que debe conocer todo administrador para asegurar estas plataformas y mitigar los riesgos de seguridad de la información.
A quién está dirigido:
• Administradores de servidores Windows y Unix • Oficiales de seguridad de la información • Programadores de aplicaciones que funcionen en estas plataformas • Personal técnico y/o soporte Windows o Unix
Prerrequisititos:
• Conocimientos básicos de Windows y Unix (comandos, sistema de archivos, usuarios) • Conocimiento en aplicaciones Windows • Conocimientos de redes y comunicaciones • Curso básico de seguridad de la información
Página 14 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Conocimientos adquiridos en el curso:
• Conceptos de seguridad en sistemas operacionales • Nivel C2 de seguridad de sistemas operacionales • Conceptos avanzados de seguridad en Windows y Unix • Técnicas de ataques comunes a plataformas Windows y Unix • Vulnerabilidades en protocolos, puertos y servicios • Vulnerabilidades asociadas a las instalaciones por defecto • Administración de usuarios, contraseñas y permisos • Configuración segura de servidores Web, Correo, DNS • Configuración y uso de herramientas de detección y monitoreo
Temas de los talleres prácticos:
Cada participante tiene asignado un PC donde a medida que se abordan los tema se revisan los aspectos asociados.
Se puede contar con laboratorios prácticos como:
• Escalamiento de privilegios • Ataques a los servicios más comunes • Ataques y aseguramiento de IIS • Sniffers • Encripción de archivos • Configuración de IDS • Configuración de control de acceso • Debilidades asociadas a cada arquitectura • Aseguramiento de servidores • Comandos y herramientas comúnmente utilizadas
3.1.6. Técnicas Avanzadas en Ataques y Defensa
Duración: 40 horas (5 días)
Descripción:
Curso teórico práctico que busca brindar a un oficial de Seguridad de la Información o administrador de red la habilidad para implementar tecnologías avanzadas de seguridad para la protección de la infraestructura tecnológica de su empresa. Se conocerán técnicas y herramientas enfocadas a distintos tipos de sistemas operativos y aplicaciones. El curso inicia identificando la forma de operación de un intruso, sus tácticas, desde las más comunes y sencillas, hasta aquellas técnicas y estrategias de ataque
Página 15 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
más elaboradas, posteriormente se aprenderán los mecanismos de defensa con los cuales se puede detener a un intruso.
A quién está dirigido:
� Administradores de Firewalls, IDS, redes, sistemas y aplicaciones. � Personal de Seguridad de la Información. � Oficiales de Seguridad de la Información.
Pre-requisitos:
� Buen entendimiento en redes y TCP/IP. � Conocimientos básicos de programación en C. � Buen entendimiento práctico de plataformas Windows (95/98/ME/XP/2000/2003) y de aplicaciones
asociadas. � Buen entendimiento práctico y manejo básico de plataformas Unix (Mandriva, Redhat, SuSe) y de
aplicaciones asociadas. � Conocimientos conceptuales básicos de Seguridad de la Información. � Conocimientos conceptuales sobre Firewalls, IDS y otras tecnologías de seguridad.
Conocimientos adquiridos en el curso:
• Evolución de la Seguridad de la Información. • Cómo identificar y comprender los tipos de ataques existentes en la actualidad. • Entender y utilizar las herramientas empleadas por los intrusos para diferentes sistemas operativos
(Unix, Windows). • Cómo poner en práctica las técnicas de ataques mediante laboratorios guiados. • Conocer en profundidad las estrategias de ataques. • Detección de herramientas en un sistema atacado. • Detección en línea de ataques. • Cómo engañar a los intrusos. • Implementación de herramientas de defensa. • Diseño e implementación de arquitecturas de defensa.
Acerca de los laboratorios:
Desde el inicio del curso hasta el final, se diseñarán e implementarán diferentes arquitecturas de ataque y defensa, donde se incluirán diversos temas, entre otros:
� Recolección de información � Sniffers � ARP Spoofing � TCP- Hijacking � Buffer Overflows � Puertas Traseras � Detección de herramientas en un sistema atacado � Configuración de alertas � Configuración de IDS
Página 16 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
� Configuración de honeypots � Monitoreo y registro del sistema. � Implementación de mecanismos de defensa en redes, sistemas operativos y aplicaciones
3.1.7. Computación Forense
Duración: 5 días (40 horas).
Descripción:
Es un curso teórico-práctico que presenta las técnicas utilizadas en la recolección, preservación, manipulación y análisis de evidencia digital relacionada con delitos informáticos. Proporciona al participante una visión clara sobre aspectos importantes de la práctica forense como dónde buscar evidencia y de qué manera analizarla con altas probabilidades de éxito y minimización de la alteración de la misma. Adicionalmente se presenta el enfoque hacia la implementación de mejores prácticas en el manejo de incidentes de seguridad de la información.
A quién está dirigido:
� Miembros de grupos de respuesta a incidentes de Seguridad de la Información. � Oficiales de Organismos de Seguridad de la República, encargados de conducir investigaciones
relacionadas con delitos informáticos. � Investigadores forenses encargados de recolectar y/o analizar evidencia digital.
Conocimientos adquiridos en el Curso:
� Conceptos básicos de computación forense. � Teoría de los diferentes sistemas de archivos. � Tipos de delitos informáticos. � Identificación y mejores prácticas en la respuesta a incidentes. � Métodos de almacenamiento en medios volátiles y no-volátiles. � Qué evidencia recolectar y dónde hacerlo. � Técnicas de recolección de evidencia digital. � Manipulación y preservación de la evidencia digital. � Procedimientos de análisis de evidencia digital. � Elaboración de informes.
Acerca de los laboratorios:
Cada participante tendrá asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados.
Diseñar laboratorios especiales para los siguientes temas:
Página 17 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
� Lectura de líneas de tiempo. � Técnicas de recolección de evidencia digital (en Host y en Red). � Procedimientos de análisis de evidencia digital.
Pre-requisitos:
� Conocimiento de sistemas operativos Unix (utilización, comandos). � Conocimiento de sistemas de archivos (Conceptos básicos de EXT2/3, FAT12/16/32, NTFS). � Alto nivel técnico en general. Bases numéricas, Conceptos de TCP/IP, Conceptos de Redes,
Conceptos de IDS (Sistemas de Detección de Intrusos), entre otros.
3.1.8. Preparación para la Certificación Ethical Hacking (CEH).
Duración: 5 días (40 horas, el último día es el simulacro del examen)
Descripción:
Curso teórico - práctico en el que el asistente adquiere conocimientos avanzados de Hacking contra diferentes plataformas como Windows 2003 Server, Windows Vista, Linux y dispositivos de red.
A quien está dirigido:
� Ingenieros de Sistemas � Ingenieros Electrónicos � Administradores de Red � Profesionales de Seguridad de la Información
Prerrequisitos:
� Conocimientos básicos de seguridad � Conocimientos básicos de Linux
Conocimientos adquiridos en el curso:
Cada asistente desarrolla la habilidad de realizar evaluaciones cuantitativas y mediciones de las amenazas que pueden afectar los activos de la información. Se adquirirán las destrezas para descubrir los puntos más vulnerables de la organización mediante técnicas reales de Hacking aprendidas en el curso.
Página 18 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Contenido del curso:
Día 1 - Reconocimiento de red y Test de Penetración
Día 2 - Explotación remota de vulnerabilidades y Ataques a autenticación de password
Día 3 - Acceso extendido y Penetración profunda a los objetivos
Día 4 - Ataques a infraestructura de red, Ataques Inalámbricos, Remoción de evidencia
Día 5 - Hacking a aplicaciones Web y simulacro examen
3.1.9. Entrenamiento ISO/IEC 27001:2005 ISMS Lead Auditor
Objetivo:
� Este curso de 5 días (el sexto día corresponde al examen de certificación) brinda el entendimiento y conocimiento de los sistemas de administración de información de terceras partes. Dado que el objetivo de una auditoria no es el hallazgo de no conformidades, sino la identificación de oportunidades de mejora, este curso le permite desarrollar las habilidades para planear, estructurar y conducir una auditoria efectiva y para evaluar y comunicar los hallazgos. El curso está diseñado para seguir las etapas de una auditoria en la práctica, incluyendo simulacros de entrevistas de auditorías y los roles que son jugados en las reuniones de cierre.
Estructura de curso:
� Antecedentes y visión general de la norma ISO/IEC 27001 y otros Estándares de Seguridad de la Información.
� Introducción e implementación de un sistema de auditoría y el rol del auditor en el proceso. � Gestión del rol en la revisión de riesgos y la efectividad en general del Sistema de Gestión de
Seguridad de la Información � Planeación y manejo de un proceso basado en auditoria: � Recursos y tiempo � Uso de checklists � Selección de grupos de auditoria � Conduciendo una auditoria – destrezas, técnicas y competencias del auditor: � Evaluación del significado de los hallazgos encontrados en una auditoria � Comunicación y presentación de reportes de auditoria � No conformidades y mejoramiento de la seguridad como resultado de las acciones correctivas
Página 19 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
� Manejo de la evaluación de la tercera parte y el proceso de certificación.
Beneficios de la certificación:
� Desarrollo de competencias para la evaluación del manejo de riesgos y controles esenciales para el Sistema de Gestión de Seguridad de la Información.
� Entendimiento del rol de los auditados en el Sistema de Gestión de la Seguridad de la Información y el rol de los auditores para promover el mejoramiento continúo.
� Habilidades para el total entendimiento de cómo las terceras partes perciben el Sistema de Gestión de Seguridad de la Información y su cumplimiento para la certificación.
� Colaboración de los auditores para crear un ambiente que conduzca a la excelencia.
A quien está dirigido:
� Profesionales que deseen certificarse como ISMS Auditores Lideres registrados. � Profesionales que lideren el tema de la certificación de sus organizaciones en el Estándar ISO/IEC
27001:2005 � Es prerrequisito el conocimiento de la norma ISO/IEC 27001:2005 para el completo entendimiento
de los principios desarrollados en este curso.
Metodología:
� Este es un curso altamente participativo basado en una serie de sesiones usando tutorías, casos de estudio, talleres interactivos y discusiones abiertas, generando un ambiente práctico que provee una única oportunidad para guiar y entrenar al participante.
Agenda:
Día 1 Tema Observaciones
08:30 registro
09:00 Modulo 1 Bienvenida e introducción Resumen de la estructura del curso
Tutoría: Gestión de la Seguridad de la
Una visión al Sistema de Gestión de la Seguridad
Página 20 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Modulo 2 Información
Modulo 3
Tutoría: Visión de la Auditoria
Discusión en el marco de una auditoria, incluyendo auditores de primera, segunda y tercera parte para asegurar un entendimiento común de lo que es un auditor, terminología y estándares.
Modulo 4
Tutoría: Estándares en la Gestión de la Seguridad de la Información
Una mirada a algunos de los principales requerimientos del Sistema de Gestión Seguridad de la Información: Estándares y Controles
12:30 Almuerzo
13:15 Modulo 6 Taller: Auditoria Práctica Ejercicio práctico usando la norma e identificando los controles usados
Modulo 5
Estándares en la Gestión de la Seguridad de la Información
Continuación: incluyendo los controles y sumarios
Modulo 6A
Tutoría: Evaluación del riesgo
Mirada al inventario de activos, amenazas, vulnerabilidades, proceso de cálculo y valoración del riesgo
Taller: Evaluación del Ejercicio práctico diseñado para evaluar el inventario de activos y el proceso de
Página 21 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Modulo 6B
Riesgo valoración del riesgo
Modulo 6C
Tutoría: Manejo del Riesgo Perspectiva general del tratamiento y proceso de del riesgo
Modulo 6D
Taller: Manejo del Riesgo Ejercicio práctico para evaluar el proceso de manejo del riesgo y generación de reportes.
Modulo 7
Tutoría: Documentación de los Sistemas de Gestión de Seguridad de la Información
Mirada a las políticas del Sistema de Gestión de Seguridad, procedimientos y documentación
Modulo 19 Tutoría: Sesión Informativa Parte 1
Introducción y discusión del examen
18:30 Cierre
Día 2 Tema Observaciones
08:30 Modulo 8 Taller: Documento de Studio: Sistema de Gestión de la Seguridad
Estudio de la documentación del Sistema de Gestión de la Seguridad de la
Página 22 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Información
Modulo 9
Tutoría: Planeación de una Auditoria
Discusión sobre los puntos de consideración en la planeación de una auditoria
Modulo 10
Taller: Planeando una Auditoria
Sesión práctica para el desarrollo de un plan de auditoría.
Modulo 11 Tutoría: Checklists Discusión para efectivamente preparar y usar las notas de pre-auditoria y los checklists para el logro de objetivos.
12:30 Almuerzo
13:15 Modulo 12 Taller: Preparando checklists
Práctica para el desarrollo y uso de checklists
Modulo 13
Tutoría: Apertura de Reuniones
Discusión acerca de los puntos requeridos para cubrir la reunión de apertura
Modulo 14 Taller: Apertura de Reuniones
Ejercicio de rol: ejecución de la reunión de apertura
Modulo 15
Tutoría: Técnicas de Auditoria
Discusión de entrevistas, preguntas y técnicas de toma de notas
Página 23 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Modulo 16
Taller: Estudio de caso de Auditoria – Parte 1
Ejercicio práctico: Introducción a un caso de estudio
Modulo 17
Taller: Trascripción de no conformidades - 1
Ejercicio práctico de introducción a las no conformidades
18:30 Cierre
Día 3 Tema Observaciones
08:30 Modulo 18 Taller: Estudio de Caso de Auditoria - Parte 2
Caso de Estudio 1 – preparación de la segunda parte
Modulo 18 Taller: Estudio de Caso de Auditoria - Parte 2
Retroalimentación 2
12:30 Almuerzo
13:15 Modulo 22 Tutoría: Trascripción de no Conformidades
Discusión para preparar un histórico de hallazgos
Modulo 23 Taller: Escritura de No Conformidades – Parte 2
Practica de escritura de no conformidades
Página 24 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Modulo 20
Tutoría: Técnicas de Auditoria
Práctica en la preparación de la declaración de hallazgos
Modulo 21 Taller: Técnicas de Auditoria
Modulo 19 Sesión Informativa Información acerca del examen
Modulo 24 Caso de estudio 2 –Parte 1
Preparación del rol jugado en el caso de estudio 2
Modulo 24 Caso de estudio 2 – Parte 1
Retroalimentación
18:30 Cierre
Día 4 Tema Observaciones
08:30 Modulo 25 Caso de Auditoria 2 - Parte 2
Preparación para el resto del caso de estudio 2
Modulo 25 Caso de Auditoria 2 - Parte 2
Estudio y retroalimentación del caso de estudio 2
12:30 Almuerzo
Página 25 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
13:15 Modulo 26 Tutoría: Reuniones de Cierre
Discusión para planear y presentar una reunión de cierre
Modulo 27
Tutoría: Reportes
Discusión de los principales puntos que deben ser incluidos en los reportes y documentos de una auditoria
Modulo 32
Taller: Resumen de la auditoria Parte 1
Ejercicio práctico para preparar reportes de auditoria
Modulo 29 Taller: Cierre de Auditorias Parte 1
Ejercicios prácticos de juego de rol en las reuniones de cierre – preparación
Modulo 29 Taller: Reuniones de cierre – Parte 2
Retroalimentación de reuniones de cierre
18:30 Cierre
Día 5 Tema Observaciones
08:30 Modulo 30 Tutoría: Seguimiento y acciones correctivas
Discusión de los aspectos a ser cubiertos en las auditorias de no conformidades y seguimiento a las acciones
Página 26 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
correctivas
Modulo 34 Taller: Seguimiento y Acciones Correctivas
Ejercicio práctico en el análisis y efectividad de acciones correctivas y previa retroalimentación
Modulo 32 Taller: resumen de Auditoria Parte 2
Ejercicio para dar finalización a un resumen de auditoria
Modulo 33 Tutoría: Una perspectiva a las auditorias de de primera, segunda y tercera parte
Una mirada a las auditorias de primera parte.
12:30 Almuerzo
13:15 Administración -Examen
17:00 Cierre
� NOTA: El sexto día corresponde al desarrollo del examen de certificación.
Página 27 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
3.1.10. Preparación a la Certificación CISSP®
Duración: 5 días (40 horas)
Qué es la Certificación CISSP®?
CISSP® es la certificación en Seguridad de la Información más reconocida a nivel mundial y es avalada por el (ISC)2, International Information Systems Security Certification Consortium.
Fue diseñada con el fin de reconocer una maestría de conocimientos y experiencia en Seguridad de la Información con una ética comprobada en el desarrollo de la profesión.
El (ISC)2, International Information Systems Security Certification Consortium (https://www.isc2.org), es una organización sin ánimo de lucro que se encarga de:
� Mantener el “Common Body of Knowledge” en Seguridad de la Información. � Certificar profesionales en un estándar internacional de Seguridad de la Información. � Administrar los programas de entrenamiento y certificación. � Garantizar la vigencia de las certificaciones a través de programas de capacitación continua.
Requisitos de certificación CISSP®:
1. Firmar el Código de Ética del ISC2 2. Certificar experiencia de mínimo 4 años en el área de Seguridad de la Información en algún
dominio del CBK o certificar la misma experiencia por 3 años adicionando un título profesional 3. Contestar afirmativamente el 70% de un examen de 250 preguntas de opción múltiple,
relacionadas con los 10 dominios del CBK (Common Body of Knowledge) y que deben ser resueltas en un periodo de 6 horas
4. Contar con un aval de un tercero calificado (CISSP activo o empleador) referenciando al candidato a CISSP®
Mayor información:
https://www.isc2.org/cgi-bin/content.cgi?category=1187
Página 28 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Quién debería asistir:
Directores o gerentes de tecnología, directores y oficiales de seguridad de la Información y personal responsable en temas de seguridad de la Información dentro de la organización.
Contenido del Curso:
Los temas del curso son los contenidos en el Common Body of Knowledge (CBK):
Dominio 1: Access Control
Dominio 2: Application Security
Dominio 3: Business Continuity Planning and Disaster Recovery Planning
Dominio 4: Cryptography
Dominio 5: Information Security and Risk Management
Dominio 6: Legal, Regulations, Compliance and Investigation
Dominio 7: Operations Security
Dominio 8: Physical (Enviromental) Security
Dominio 9: Security Architecture and Design
Dominio 10: Telecommunications and Network Security
Página 29 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Beneficios de la certificación para la empresa:
� Permite contar con profesionales certificados con el conocimiento adecuado para establecer las mejores prácticas de seguridad en la compañía.
� El conocimiento certificado del “Common Body of Knowledge (CBK)” provee una gran capacidad para la definición de soluciones adecuadas para la organización.
� La certificación brinda un mayor nivel de credibilidad a las empresas en materia de Seguridad de la Información.
� Permite la administración de riesgos de una organización, desde una perspectiva de negocio y tecnología.
Beneficios de la certificación para el profesional:
� Garantiza un alto nivel de conocimientos en Seguridad de la Información � Marca un diferencial entre profesionales dedicados a Seguridad de la Información � Reafirma un compromiso ético como profesional de Seguridad de la Información.
3.2. Talleres prácticos:
Se propone desarrollar los siguientes talleres en seguridad de la información:
• Análisis de riesgos. • Modelo de seguridad. • Planes de concientización. • Planes de seguridad.
Página 30 de 30
CAPACITACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
4. ANEXOS MATERIALES DE CAPACITACIÓN Y SENSIBILIZACIÓN
Se entregan adjuntos con este documento, los diseños en formato electrónico de los materiales de capacitación y sensibilización elaborados en la presente consultoría. Ver Carpeta “6. Capacitación - Material de capacitacion y sensibilizacion” en el CD-ROM entregado.