Objetivo del Programa

Sin duda, hoy en día la información es considerada como uno de los activos más preciados dentro de la organización.  El diplomado dará todas las herramientas básicas necesarias para poder implementar los mejores esquemas de protección de la información acordes con los últimos estándares internacionales.

En el mundo digital, en que el  e-commerce y el e-bussiness juegan un papel fundamental en cuanto al intercambio de información y a  la realización  de negocios en un ambiente cada vez más globalizado y competitivo, no cabe la menor duda que existe una gran cantidad de problemas debidos a la inseguridad informática. Organismos internacionales han propuesto normas para ayudar a las entidades a implementar, mejorar y auditar sus esquemas de seguridad informática. En el diplomado de la Universidad Piloto, se revisarán estos esquemas de Gestión de la seguridad de la información (SGSI) a la luz de la norma ISO27001, no sin antes revisar y comprender los principios básicos de la seguridad informática.

Objetivo General

Transmitiremos a los asistentes una actitud realista y consciente de la existencia de riesgos que constantemente amenazan los activos informáticos de una organización y por ende la continuidad del negocio. El diplomado ayudará a aumentar su pericia e idoneidad en el tratamiento del riesgo tecnológico y en la implementación de controles de seguridad.

Objetivos Específicos

Al finalizar el Diplomado el participante habrá desarrollado las capacidades para:

• Entender y analizar la estructura de la seguridad informática de una organización.
• Identificar los riesgos de seguridad informática asociados a la operatividad de la organización.
• Gerenciar y/o implementar las medidas de seguridad informática necesarias para garantizar la continuidad del negocio de la organización.
• Comprender e implementar las normas internacionales de Seguridad Informática.

Contenido

MÓDULO I

Nombre del módulo: Conceptos Básicos de Seguridad 

Objetivos: Introducir al grupo en el tema de la seguridad informática, revisando sus principales componentes. Se darán las bases técnicas para profundizar en los temas que se verán en los siguientes módulos.

Temas principales:

• Conceptos básicos 
•  La triada (CIA),  Conceptos de apoyo. 
• Relación Operatividad-Seguridad-Costo 
• Sistema de Gestión de Seguridad de la Información 
• Clasificación de la Información, Políticas, estándares, lineamientos y procedimientos. 
• Sensibilización en Seguridad Informática.

• Modelos de Control de Acceso; Identificación, Autenticación y Autorización  
• Métodos de Autenticación    Principio de menor privilegio, Control de Acceso Discrecional (DAC), Control de Acceso Mandatorio (MAC), Control de Acceso Basado en Roles (RBAC), Ataques frecuentes a sistemas de control de acceso.
• Criptografía.  
• Esteganografía. 
• Infraestructura de Claves Públicas, PKI
• Laboratorios

MÓDULO II

Nombre del módulo: Seguridad en Redes

Objetivos: Se estudiará en detalle cada uno de los niveles de red, encontrando sus vulnerabilidades y amenazas. Se estudiaran las herramientas apropiadas para controlarlos.

Temas principales 

• Fundamentos de redes

Infraestructura de redes LAN

• Interconexión de redes con protocolo IP
• Protocolos de transporte TCP/UDP
• Intranet, extranet y red de acceso remoto
• Análisis de tráfico y detección de ataques
• Debilidades y vulnerabilidades de los protocolos de red
• Herramientas para análisis de tráfico
• Ataques comunes: sniffing, spoofing, DoS, TCP hijacking
• Mecanismos de seguridad para redes
• Sistemas para detección de intrusos (IDS)
• Firewalls
• Redes Virtuales Privadas (VPN)
• Sistemas de autenticación fuerte
• Seguridad en redes inalámbricas
• Clasificación de redes inalámbricas
• Aplicaciones móviles
• Riesgos y contramedidas
• Modelo de red segura
• Integración de mecanismos de seguridad
• Esquema de aseguramiento perimetral
• Hardening de componentes de red
• Laboratorios

MÓDULO III

Nombre del módulo: Computación Forense, Aspectos legales

Objetivos: Comprender y analizar las conductas y perfiles de los atacantes de los sistemas de computación, Identificando y estableciendo estrategias para tratar un posible cybercrimen

Identificar, manejar y controlar la evidencia digital teniendo en cuenta las consideraciones legales y los estándares internacionales.

Temas principales:

• Introducción; Definiciones y conceptos. Algunas estadísticas mundiales. 
•  Metodología de Respuesta a Incidentes;
•  Preparación del CERT,
•  Detección del Incidente
• Respuesta Inicial. 
• Formulación de estrategias.
•  Recolección y Análisis de la evidencia 
•  Computación Forense; 
•  Conceptos y definiciones
•  Cadena de custodia.
•  Recolección de evidencia 
•  Análisis de la evidencia –
•  Presentación de Informes.
•  Solución del Incidente
• Consideraciones Legales; 
• Delito Informático.
•  Elementos legales para el encuadre de casos.
•  Propiedad Intelectual y Derechos de Autor.  
• Recolección y análisis de la evidencia.
• Laboratorios

MÓDULO IV
Nombre del módulo: Continuidad del Negocio, Gestión de Riesgo y Auditoria Informática

Objetivos: Conocer las mejores prácticas en el manejo de desastres y en la gestión del riesgo. Dar a conocer el rol de un auditor de sistemas. Los últimos esquemas y estándares que se deben seguir. 

Temas principales:

• Continuidad del Negocio
• Bases teóricas
• Etapas preactivas
• El durante de un incidente
• El después de un incidente
• Metodología del DRI
• Análisis y administración del riesgo.
• Sensibilización.
• El estándar ISO27005
• Talleres

MODULO V 

El ESTÁNDAR ISO 27001 

Nombre del módulo: El estándar ISO 27001.

Objetivos: Conocer cuál es el estándar ISO 27001 y cuál es su aplicabilidad en una organización. Se harán recomendaciones sobre su implementación.

• Sistema de Gestión de la Seguridad de la Información (SGSI).
• Establecimiento y gestión del SGSI.
• Auditorías Internas del SGSI.
• Objetivos de Control y Controles.
• Políticas de Seguridad.
• Seguridad Organizacional.
• Clasificación y Control de activos.
• Seguridad del Personal.
• Seguridad Física y del Entorno.
• Gestión de Comunicaciones y operaciones.
• Control de Acceso,
• Desarrollo y mantenimiento de sistemas
• Gestión de la continuidad del negocio.
• Cumplimiento.
• Talleres.