DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014

(1)

DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD

UNIVERSIDAD SEK

2014

1. UNIDAD ORGANIZADORA

Facultad de Ingeniería y Administración 2. NOMBRE DEL PROGRAMA

Diplomado en Gestión IT – Seguridad y Continuidad 3. JUSTIFICACIÓN DEL PROGRAMA

· Baja oferta en el mercado

· Alto Costo de temáticas incluidas

· Necesidad de cumplir con las normativas legales activas.

· Solución a necesidades actuales de las compañías en torno a temas que se han vuelto transversales independiente de la industria

· No hay en el mercado, un diplomado que incluya dentro de su programa los 3 temas de forma integral (Seguridad de la Información / Continuidad de Negocios / Gestión de Servicios

4. OBJETIVO(S) DEL PROGRAMA Objetivo General

Entregar al alumno las técnicas y metodologías para implementar sistemas de Gestión basados en Seguridad de la Información, Continuidad de Negocios y la Gestión de los Servicios de Tecnología

(2)

El Programa se organiza de acuerdo a los siguientes elementos:

Módulos, Créditos y Horas Totales

Módulo Créditos Horas

Seguridad de la Información 1 24 Horas

Continuidad de Negocios 1 24 Horas

Gestión y Continuidad TI (DRP) 1 24 Horas

Administración de Riesgos 1 20 Horas

Seguridad en Telecomunicaciones Redes y Sistemas Operativos

1 18 Horas

Control de Acceso 1 15 Horas

Ataques a la red y Monitoreo 1 15 Horas

Computación Forense 1 15 Horas

Auditoría 1 15 Horas

(3)

5.1. DESCRIPCIÓN DEL PLAN DE ESTUDIO

Módulo 1

Nombre: Seguridad de la Información

Objetivo General: Entender la norma ISO 27001/2, cual es el alcance y los dominios que debe justificar. Objetivos Específicos:

Entendimiento de la Norma

Directrices de las auditorías en ISO 27001

Unidades: Contenidos:

Unidad 1 _{INTRODUCCIÓN Y CONCEPTOS BÁSICOS DE}

SEGURIDAD DE LA INFORMACIÓN · Introducción SGSI

o Historia y evolución de la Norma ISO 27001:2005

o Aspectos generales del proceso de certificación

o Enfoque de proceso

§ Modelo PDCA Aplicado a los Procesos SGSI

o Compatibilidad con otros sistemas de gestión · Alcance o General o Aplicación · Referencias Normativas · Términos y Definiciones

· Sistema de gestión de seguridad la información

o Requerimientos generales o Establecer y manejar el SGSI

§ Establecer el SGSI

§ Implementar y operar el SGSI

§ Monitorear y Revisar el SGSI

(4)

o Requerimientos de documentación § General § Control de documentos § Control de registros · Responsabilidades de la gerencia o Compromiso de la gerencia o Gestión de recursos § Provisión de recursos § Capacitación, conocimiento y capacidad

· Auditorías internas SGSI

· Revisión Gerencial del SGSI o General

o Insumo de la revisión o Resultados de la revisión

· Mejoramiento del SGSI

o Mejoramiento continuo o Acciones correctivas o Acciones preventivas

· Objetivos de control y controles

· Principios OECD y este Estándar Internacional

o Principios OECD y el modelo PDCA Unidad 2 _{BS 25999 / ISO 22.301:2012 – Continuidad del}

Negocio Módulo 2

INTRODUCCIÓN Y CONCEPTOS BÁSICOS DE CONTINUIDAD DEL NEGOCIO

· Introducción SGCN

o Introducción al estándar, BS 25999 / ISO 22.301

(5)

§ Modelo PDCA Aplicado a los Procesos SGCN

· Descripción general de la gestión de continuidad del negocio (BCM)

· Requerimientos generales o Establecer y manejar el SGCN § Establecer el SGCN § Implementar y operar el SGCN § Monitorear y Revisar el SGCN § Mantener y Mejorar el SGCN o Requerimientos de documentación § General § Control de documentos § Control de registros · Responsabilidades de la gerencia o Compromiso de la gerencia o Gestión de recursos § Provisión de recursos § Capacitación, conocimiento y capacidad · Auditorías internas SGCN

· Revisión Gerencial del SGCN o General o Insumo de la revisión o Resultados de la revisión · Mejoramiento del SGCN o Mejoramiento continuo o Acciones correctivas

(6)

o Acciones preventivas

o Principios OECD y el modelo PDCA Módulo 3 _{BS 25777 / ISO 20.000 / ITIL – Gestión y}

Continuidad de TI (DRP) Módulo 3

INTRODUCCIÓN Y CONCEPTOS BÁSICOS DE GESTIÓN Y CONTINUIDAD DE TI.

· Introducción Planes de Recuperación ante Desastres

o Introducción al estándar, BS 25777 / ISO 20.000

o Introducción a Buenas Practicas de Gestión de TI con ITIL

o Enfoque de proceso

§ Modelo PDCA Aplicado a los Procesos SGCN

· Descripción general de la gestión de

continuidad de TI o Planes de Recuperación ante Desastres

· Requerimientos generales

o Establecer y manejar el SGCN

§ Establecer el SGCN

(7)

SGCN § Monitorear y Revisar el SGCN § Mantener y Mejorar el SGCN o Requerimientos de documentación § General § Control de documentos § Control de registros · Responsabilidades de la gerencia o Compromiso de la gerencia o Gestión de recursos § Provisión de recursos § Capacitación, conocimiento y capacidad · Auditorías internas SGCN

· Revisión Gerencial del SGCN o General o Insumo de la revisión o Resultados de la revisión · Mejoramiento del SGCN o Mejoramiento continuo o Acciones correctivas o Acciones preventivas

Principios OECD y el modelo PDCA Módulo 4 _{ADMINISTRACION DE RIESGOS Y}

ESTABLECIMIENTO DE UNA LINEA DE BASE DE SEGURIDAD.

· Modelaje de Amenazas de seguridad de TI

· Administración de Riesgos (OCTAVE)

· Valoración del riesgo, mapas de riesgo

· Estrategias de mitigación del riesgo, criterios de aceptación, evaluación de controles

· Línea de base de seguridad por código de práctica de Seguridad (ISO 27.002)

(8)

· Línea de base de seguridad por objetivos de control (Cobit)

· Línea de base de seguridad por criterios de seguridad (Common Criteria)

Módulo 5 _{SEGURIDAD EN TELECOMUNICACIONES, REDES Y}

SISTEMAS OPERATIVOS

· Conceptos básicos de redes.

· Consideraciones de seguridad para el S.O.

· Dispositivos de E/S

· Dispositivos de Almacenamiento y redes.

· Vpn, tunneling, NAT

· Herramientas de seguridad: firewall, IDS/IPS, proxy.

· Correo electrónico seguro

· Redes inalámbricas seguras

· Protocolos de transmisión

· Seguridad en Web Services

· Seguridad en SOA

· Diseño de sistemas seguros.

Módulo 6 _{CONTROL DE ACCESO}

· Controles Lógicos, administrativos y físicos

· Acceso a los sistemas: Identificación, autenticación, autorización y auditoria

· Mecanismos de control de acceso

· Kerberos

Módulo 7 _{ATAQUES A LA RED Y MONITOREO}

· Herramientas para análisis de tráfico

· Detección de ataques

· Tipos de ataques y contramedidas

· Malware

(9)

· Modelos de redes seguras

Módulo 8 _{COMPUTACIÓN FORENSE}

· Conceptos y definiciones

· Cadena de custodia

· Atención a Incidentes, primeros

respondientes, los rastros y su recolección

· Herramientas forenses

Módulo 9 _AUDITORÍA

· Herramientas de Auditoría

· Norma ISO 19011

Bibliografía Básica Normas ISO 19011-9001-27001-22301

Bibliografía Complementaria

Paper actualizados de las normas 19011-9001-27001-22301 y buenas prácticas de ITIL v3

Sitios Web de Interés:

6. MODALIDAD DE INSTRUCCIÓN

El curso se desarrolla 2 veces por semana, y se dicta por módulo partiendo en el mismo orden planteado anteriormente.

7. METODOLOGÍA DEL PROGRAMA

El curso se desarrolla por medio de charlas interactivas apoyadas de medios electrónicos y audiovisuales. La entrega del curso tiene como objetivo principal que el participante adquiera conocimiento identificando y relacionando las prácticas habituales de la organización con los contenidos del curso.

8. RECURSOS EDUCACIONALES

Proyector, sala de clases habilitada con audio, sillas cómodas por la cantidad de horas que estarán sentados los participantes,

(10)

9. SISTEMA DE EVALUACIÓN DEL PROGRAMA

EL programa se tomará una nota por cada módulo y esta será ponderada para obtener la nota final.

Módulo Ponderación Módulo 1 10% Módulo 2 10% Módulo 3 10% Módulo 4 10% Módulo 5 10% Módulo 6 10% Módulo 7 10% Módulo 8 15% Módulo 9 15% 10.OBTENCIÓN DE LA CERTIFICACIÓN No aplica 11.REQUISITOS DE ADMISIÓN · Curriculum Vitae · Copia CI

· Acreditación de Formación Técnico / Profesional

· Firma Carta Intención

Documentación Obligatoria para todos los Programas

· Fotocopia Cédula de Identidad

· Certificado de Nacimiento

· Ficha de Inscripción