Capacitacion y Sensibilizacion Modelo de Seguridad

EENNTTRREEGGAABBLLEE 1155:: CCAAPPAACCIITTAACCIINN -- MMOODDEELLOO DDEE SSEEGGUURRIIDDAADD DDEE LLAA IINNFFOORRMMAACCIINN PPAARRAA LLAA EESSTTRRAATTEEGGIIAA DDEE

GGOOBBIIEERRNNOO EENN LLNNEEAA

REA DE INVESTIGACIN Y PLANEACIN Repblica de Colombia - Derechos Reservados

Bogot, D.C., Diciembre de 2008

Pgina 2 de 42

CAPACITACIN - MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA

ESTRATEGIA DE GOBIERNO EN LNEA

FFOORRMMAATTOO PPRREELLIIMMIINNAARR AALL DDOOCCUUMMEENNTTOO

Ttulo: PLAN DE CAPACITACIN - MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA Fecha elaboracin aaaa-mm-dd: 26 Diciembre 2008

Sumario: CORRESPONDE AL ENTREGABLE 15: PLAN DE CAPACITACIN - MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA

Palabras Claves: Manejo de imagen, afiches, logos, folletos

Formato: Lenguaje: Castellano

Dependencia: Investigacin y Planeacin

Cdigo: Versin: 1 Estado:

Documento para revisin por parte del Supervisor del contrato

Categora:

Autor (es): Equipo consultora Digiware

Revis: Juan Carlos Alarcon

Aprob: Ing. Hugo Sin Triana

Firmas:

Informacin Adicional:

Ubicacin:

Pgina 3 de 42



CCOONNTTRROOLL DDEE CCAAMMBBIIOOSS VERSIN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIN 0 17/12/2008 Miguel Angel Duarte. Elaboracin del documento 1 26/12/2008 Equipo del Proyecto Revisin interna conjunta equipo consultora Digiware

Pgina 4 de 42



TTAABBLLAA DDEE CCOONNTTEENNIIDDOO

1. PLAN DE SENSIBILIZACIN ............................................................................................................................ 5

1.1. PLAN DE SENSIBILIZACIN ............................................................................................................................... 7 1.1.1. OBJETIVOS ESPECFICOS ............................................................................................................................................7 1.1.2. CAMPAAS DE SEGURIDAD DE LA INFORMACIN............................................................................................................7 1.1.3. LOGOTIPO ...............................................................................................................................................................8

1.2. INSTRUMENTOS DE SENSIBILIZACIN ............................................................................................................... 10 1.2.1. AFICHES................................................................................................................................................................10 1.2.2. FOLLETOS..............................................................................................................................................................13 1.2.3. MEDIO BTL...........................................................................................................................................................15 1.2.4. FONDOS DE PANTALLA ............................................................................................................................................16 1.2.5. RECORDATORIOS....................................................................................................................................................18 1.2.6. PRESENTACIONES ...................................................................................................................................................19

2. PLAN DE CAPACITACIN ............................................................................................................................. 20

2.1. CURSOS EN SEGURIDAD DE LA INFORMACIN..............................................................................................................20 2.1.1. GESTIONANDO LA SEGURIDAD DE LA INFORMACIN.....................................................................................................20 2.1.2. ESTNDARES DE SEGURIDAD DE LA INFORMACIN .......................................................................................................21 2.1.3. EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BCP/DRP ........................................................................22 2.1.4. SEGURIDAD EN REDES INALMBRICAS........................................................................................................................24 2.1.5. SEGURIDAD AVANZADA EN WINDOWS Y UNIX ............................................................................................................25 2.1.6. TCNICAS AVANZADAS EN ATAQUES Y DEFENSA ..........................................................................................................26 2.1.7. COMPUTACIN FORENSE.........................................................................................................................................28 2.1.8. PREPARACIN PARA LA CERTIFICACIN ETHICAL HACKING (CEH). ..................................................................................29 2.1.9. ENTRENAMIENTO ISO/IEC 27001:2005 ISMS LEAD AUDITOR ....................................................................................30 2.1.10. PREPARACIN A LA CERTIFICACIN CISSP ................................................................................................................39 2.2. TALLERES PRCTICOS...............................................................................................................................................41

3. ANEXOS MATERIALES DE CAPACITACIN Y SENSIBILIZACIN ....................................................................... 42

Pgina 5 de 42



1. PLAN DE SENSIBILIZACIN

La gran mayora de las personas, desconoce sobre temas de seguridad de la informacin y, en especial, el alcance del tema. Quin no ha escuchado alguna vez las preguntas; pero cmo, seguridad de la informacin tambin se encarga de la seguridad fsica? Qu tiene que ver seguridad de la informacin con los papeles impresos? Cmo, seguridad de la informacin no es lo mismo que seguridad informtica?

Hoy, ms del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivacin, carencia de entrenamiento organizacional) y, a travs de la ingeniera social. Esto se debe a que resulta ms fcil obtener la contrasea de un usuario en la red de la entidad, que vulnerar los sistemas de seguridad y cifrado. Asimismo, con tan slo recorrer un par de puestos de trabajo, se pueden encontrar contraseas escritas y pegadas en la pantalla o debajo del teclado. Las alternativas que se recomiendan utilizar para que el plan de sensibilizacin sea factible son:

Folletos

Carteles

Material BTL

Material POP

Uso de tecnoligia

Presentaciones de Capacitacin.

La campaa de sensibilizacin a los diferentes grupos objetivo definidos, tendr una duracin mnima de 12 meses, que iniciarn con el plan de sensibilizacin (ver captulo 1.1), y despus, se desarrollar un apoyo por medio de los afiches y folletos para dar a conocer masivamente la campaa para el pblico en general.

En cuanto a los folletos, se recomienda entregarlos en los recibos de los proveedores de Internet como los ISP, ya que ese es un medio muy utilizado y extremadamente efectivo debido a que los usuarios miran siempre el recibo. Esto puede ser cambiado peridicamente por el juego que se encuentra anexo en los materiales diseados como el Rompecocos, ver numeral 1.2.3 y en el numeral 4 del presente

Pgina 6 de 42



documento, ya que es dinmico, y da consejos tiles y eficaces. Los concejos pueden ser renovados frecuentemente para que los usuarios conozcan paulatinamente sobre el avance de la campaa.

Los fondos de pantalla tambin pueden ser dados a conocer por medio de la pgina de Internet de Gobierno en Lnea para que las personas los puedan descargar e instalar en sus computadores. Para los proveedores de Internet, se pueden entregar 3 fondos de pantalla que pueden ser cambiados cada mes para que las personas conozcan cosas diferentes sobre el modelo de seguridad de la informacin.

Las presentaciones tambin pueden ser descargadas desde la pgina de Internet para que las usuarios profundicen y aprendan ms sobre el tema, as mismo, los cursos de capacitacin pueden ser dictados para toda clase de proveedores de Internet de forma que mejoren la seguridad de la informacin se de sus empresas y conozcan mas sobre el modelo de seguridad de la informacin; estas capacitaciones estn especificadas en el siguiente captulo con sus contenidos, duracin y desarrollo.

Los folletos, sern distribuidos en los caf Internet de la misma manera que ser distribuido el medio BTL; de este modo, los usuarios que no tienen acceso a un servicio de Internet desde el hogar, tambin sern beneficiados y sern conocedores del modelo de seguridad de la informacin.

Como recomendacin adicional para todos los establecimientos proveedores de Internet como son los caf Internet y Telecentros, se recomienda que ellos tambin asistan a los cursos de capacitacin, en el mismo, se les dar un certificado de asistencia para que los administradores y propietarios dichos establecimientos, se hagan partcipes y a la vez, divulgadores de la campaa de seguridad de la informacin.

Porque necesitamos un plan de sensibilizacion en seguridad de la informacin?

Existe la mentalidad que no hay nada importante por proteger en su computador.

Existe el concepto errado que la tecnologa por si misma puede resolver sus problemas de seguridad.

Continuamente se generan nuevos mtodos de Ingeniera Social que mediante engaos buscan obtener informacin confidencial.

Debemos conocer tanto las amenazas externas como las internas.

Debido a todas estas razones, el plan de sensibilizacion para el nuevo modelo de seguridad de la informacin para la estrategia de Gobierno en Lnea, es, lograr que las personas conozcan los motivos y razones que generan los diferentes tipos de incidentes en seguridad de la informacin que existen alrededor de cada uno y acojan las debidas precauciones recomendadas a travs medios de concienciacin y sensibilizacin.

Esta presentacin se puede dar a aconocer por medio de los cursos preparese 2009.

Pgina 7 de 42



Para el desarrollo de este plan, se pretende involucrar a todos los funcionarios pblicos, ISP, cafs internet y usuarios de Gobierno en Lnea, con el fin de vincular a todas estas entidades y personas a que conozcan el modelo de seguridad de la informacin para la estrategia de Gobierno en Lnea.

Conjuntamente, este plan de sensibilizacin, esta reforzado por las capacitaciones que se dictarn abarcando temas especializados en seguridad de la informacin, p. ej.: Anlisis de riesgos, Modelo de seguridad SGSI, Planes de sensibilizacin, Planes de respuesta ante incidentes, Planes de continuidad del negocio, etc. las cuales estn especificadas con ms detalle en el punto 3 de capacitacin dentro de este documento.

Ver Anexo presentacin para sensibilizacin.ppt

1.1. Plan de Sensibilizacin:

Disear la campaa, estrategia de sensibilizacin, divulgacin y concienciacin sobre el nuevo MODELO DE SEGURIDAD DE LA INFORMACION PARA LA ESTRATEGIA DE GOBIERNO EN LNEA, creando un compromiso y un impacto positivo en las entidades del Gobierno y en las entidades privadas que pertenezcan a la cadena de prestacin de servicios de Gobierno en Lnea, como los ISP, los Caf Internet, Telecentros y Compartel, adems de la comunidad acadmica y los ciudadanos en general.

1.1.1. Objetivos Especficos

Disear la campaa de sensibilizacin y capacitacin con los medios de comunicacin que se propongan.

Profundizar los conocimientos tcnicos sobre seguridad de la informacin a los usuarios de

Gobierno en Lnea y las empresas objetivo que implementen el modelo de seguridad.

Contribuir a motivar el compromiso de los funcionarios pblicos, ISP, cafs Internet y usuarios de Gobierno en Lnea, con el modelo de Seguridad de la informacin.

Sensibilizar a los ciudadanos sobre los riesgos en la seguridad de la informacin y cuales deben

ser las principales medidas de higiene a tener en cuenta a la hora de realizar trmites y transacciones por Internet.

1.1.2. Campaas de seguridad de la informacin:

Son campaas peridicas en donde se dedica un periodo de tiempo a divulgar un tema especfico del Plan de sensibilizacin.

Temas y Niveles de Campaa:

Pgina 8 de 42



Nivel Bsico

Dirigido a todos los usuarios de Gobierno en Lnea y ciudadanos en general; desarrollado con conceptos bsicos.

Contraseas Seguras Internet Seguro Seguridad fsica

Nivel Tcnico

Dirigido a los profesionales y usuarios de Gobierno en Lnea con temas ms tcnicos, mayor grado de profundizacin y complejidad en el rea de la seguridad de la informacin.

Contraseas Seguras Internet Seguro Ingeniera Social Seguridad fsica

Nivel Jurdico

Dirigido a los profesionales y/o directivos con una profundizacin ms amplia en las nuevas leyes y regulaciones ms relevantes a tener en cuenta en un modelo de seguridad de la informacin, como la Ley 1266 de 2008 de Habeas Data y la Ley 1273 sobre Delitos Informticos.

Delito Informtico Computacin forense Atencin a incidentes

1.1.3. Logotipo:

El logotipo ser el principal elemento de diferenciacin como campaa de sensibilizacin, ubicar espacialmente al espectador dentro del contexto del Modelo de Seguridad de la informacin, y de su importancia como componente activo en la Estrategia de Gobierno en Lnea.

El logotipo se incorporar como un trabajo de diseo que puede ser utilizado en la papelera, en afiches, carteles, en publicidad de prensa, merchandising, etc.

Pgina 9 de 42



Las propuestas para el logotipo son las siguientes:

La llave y la cerradura representan la clave para ingresar al Modelo de Seguridad de la Informacin, haciendo referencia directa a los ciudadanos y usuarios de Gobierno en Lnea como parte significativa de la estrategia de seguridad.

El nombre est integrado con el logo creando as el logotipo de la campaa, imagen y frase concisa. La palabra clave representa que el usuario es el encargado de su seguridad y es responsable de protegerse por medio de recomendaciones en higiene de seguridad que se mencionan en la documentacin del proyecto (ver documento Modelo Seguridad - SANSI SGSI, numeral 5.7).

Colores:

Los colores utilizados son los mismos que representan a nuestro pas, son utilizados como smbolo de patriotismo hacia el nuevo Modelo de Seguridad de la Informacin.

Amarillo: Es el color que genera la atencin del usuario, el que capta todos sus sentidos; debido a que esta en contraposicin con el negro, este color es el primero en generar atencin.

Azul: Este es el que le da estabilidad a esta combinacin de colores, ya que este color es el que genera la confianza y tranquilidad para el usuario.

Pgina 10 de 42



Rojo: Este color asocia al usuario con la precaucin y fuerza. Est asociado con el amarillo y azul para generar confianza y as no creer que sea prohibido interactuar con el Modelo de Seguridad de la Informacin.

Negro: El negro es el toque de poder, autoridad y fortaleza que se le quiere dar al Modelo de Seguridad de la Informacin.

1.2. Instrumentos de Sensibilizacin

1.2.1. Afiches

Objetivo

Posicionamiento y continuidad visual de la campaa de sensibilizacin, divulgando los temas del Modelo de Seguridad de la Informacin bsicos para entidades del Gobierno, ISP, cafs Internet y usuarios de la Estrategia de Gobierno en Lnea.

Objetivos Especficos

Abrir la campaa y darla a conocer. Captar la atencin de los funcionarios y poblacin en general para que interacten con el

Modelo de Seguridad. Relacionar e interactuar la campaa con el programa de capacitacin PREPRESE de la

Estrategia de Gobierno en Lnea. Relacionar los afiches con los comportamientos que se buscan en cada uno de las personas

como pieza fundamental en el nuevo Modelo de Seguridad de la Informacin. Sensibilizar y capacitar a travs de las imgenes y el texto de los instrumentos.

Tiempo

Los afiches se colocarn al inicio de la campaa dando a conocer lo que se quiere hacer para que las personas se familiaricen con el nuevo Modelo de Seguridad de la Informacin; la idea es que se cambien cada mes con nuevos enunciados para que las personas tengan en cuenta las principales prevenciones, peligros y factores relacionados con la seguridad de la informacin.

A continuacin, se explican los afiches propuestos para la campaa:

Pgina 11 de 42



Este afiche quiere dar a conocer de una forma grafica a las personas, los errores en que generalmente incurren con su informacin personal; con esto se trata de sensibilizar sobre los principales factores de la seguridad de la informacin como son la confidencialidad, la integridad y la disponibilidad.

Este afiche se hace para prevenir a las personas que no deben dejar que cualquier persona manipule su computador ya sea personal o el de la empresa ya que el usuario puede verse expuesto a fraudes, prdida de datos, modificacin de informacin, divulgacin de informacin privada, entre otros peligros.

Pgina 12 de 42



Este afiche es para recordar a las personas que no deben abrir adjuntos que lleguen a su computador va correo electrnico proveniente de personas desconocidas o por medio de pginas no solicitadas.

Este afiche es para recordar a las personas, de una manera diferente, que deben cerrar la sesin de su computador cuando no se encuentren en el puesto de trabajo. Esto evitar que personas ajenas realicen acciones no autorizadas o peligrosas desde el mismo.

Pgina 13 de 42



En este afiche se quiere transmitir a las personas lo importante que es para la empresa o para ellas mismas, la informacin que poseen en su computador. Se quiere llamar, de una manera diferente, la atencin y curiosidad de las personas.

1.2.2. Folletos

Objetivo

Ofrecer informacin masiva ms detallada sobre los aspectos ms relevantes del Modelo de Seguridad.


Conceptos claves en forma breve sobre la seguridad de la Informacin y las principales recomendaciones para que el Modelo de Seguridad de la Informacin sea utilizado por las entidades y la comunidad en general.

Desarrollo de textos con una secuencia lgica de adquisicin de conocimientos y comprensin de los mismos.

Profundizar sobre las principales polticas y controles del Modelo de Seguridad de la Informacin en las entidades y ms adelante, en los usuarios de Gobierno en Lnea.

Aconsejar sobre una adecuada higiene de la informacin.

Tiempo

Los folletos sern distribuidos al mismo tiempo que se lancen los primeros afiches de la campaa, con esto se le da apoyo y un impacto ms proporcionado. A continuacin, se presenta la propuesta de los folletos reaizados:

Pgina 14 de 42



Pgina 15 de 42



1.2.3. Medio BTL

Tiene los mismos objetivos que los folletos; la informacin de este es tener un contacto directo y a la vez dinmico, para que las personas interacten con el Modelo de Seguridad de la Informacin, esto har que la recordacin sea mayor.

Tiempo

Este medio ser lanzado como medio de apoyo a la campaa junto con los folletos.

Pgina 16 de 42



Nombre

Rompecocos. El objetivo de este juego, que se les dar a las personas, es que tengan recordacin de las principales ideas relacionadas con la seguridad de la informacin por medio del juego:

1.2.4. Fondos de Pantalla

Las entidades y sus funcionarios, son el grupo objetivo de la campaa de sensibilizacin propuesta. El computador o porttil, es la herramienta esencial para el desarrollo de sus labores.

Objetivo

Pgina 17 de 42



Disear e implementar los fondos de pantalla propuestos para ser instalados en los computadores de los funcionarios en las entidades objetivo, ya que este es el medio de contacto ms directo para crear conciencia de la seguridad de la informacin, valindose de elementos visuales que servirn principalmente para sensibilizar y reforzar los principios bsicos de la seguridad de la informacin.


Unir los elementos ms importantes de las piezas grficas y sus conceptos en una sola idea dinmica.

Proteger la informacin sensitiva de las estaciones de trabajo. Reforzar los conceptos bsicos de Seguridad de la Informacin.

Estructura

Unidad de campaa. Graficas y textos de los afiches y folletos, con los conceptos ms relevantes de cada uno, en

un entorno dinmico.

Pgina 18 de 42



1.2.5. Recordatorios

Creacin de contraseas seguras

Objetivo

Elementos de sensibilizacin que sern entregados a las personas que asistan a las capacitaciones, estas son de uso personal, con el fin que ellos puedan crear contraseas seguras tanto en su ambiente laboral como en su vida cotidiana.

ESPECIFICACIONES

Juego Rubik con un papel para decirles a las personas que las claves tienen que ser mnimo de ocho dgitos y alfanumricas, estos cubos llevaran letras y nmeros surtidos.

Pgina 19 de 42



1.2.6. Presentaciones

Objetivo

Material de divulgacin y estudio con conceptos tcnicos del Modelo de Seguridad de la Informacin.


Plasmar con mayor profundidad conceptos, definiciones y explicaciones tcnicas del Modelo

de Seguridad de la Informacin implementado para la Estrategia de Gobierno en Lnea. Facilitar a la Estrategia de Gobierno en Lnea, la difusin y el entendimiento del Modelo de

Seguridad de la Informacin implementado en las entidades objetivo.

Especificaciones Todos los elementos se entregan es su formato original, ver numeral 4 del presente

documento para mayor informacin. Afiches: Adobe Photoshop. Fondos de pantalla: Adobe Photoshop. Logos: Adobe Illustrator. Material BTL: Freehand MX. Recordatorio: Freehand MX

Pgina 20 de 42



2. PLAN DE CAPACITACIN

2.1. Cursos en Seguridad de la Informacin:

Se propone desarrollar los siguientes cursos de capacitacin en seguridad de la informacin:

2.1.1. Gestionando la Seguridad de la Informacin

Duracin: 2 das (16 horas)

Descripcin:

El curso ayudar a las empresas a definir, organizar y formalizar el conocimiento referente al Sistema de Gestin de Seguridad de la Informacin SGSI propuesto por las normas ISO/IEC 17799, ISO/IEC 27001, ISO/IEC 27002 y BS 7799, instruyendo a los participantes en las estrategias de implementacin y evaluacin para llevar a la organizacin a un nivel apropiado de seguridad de la informacin y estar preparados para buscar la certificacin de la compaa.

A quin est dirigido ?

Gerentes o Directores de informtica o tecnologa. Gerentes o Directores que tengan a cargo el tema de Seguridad de la Informacin. Profesionales que actualmente desempeen labores de Seguridad de la Informacin. Personal de cualquier organizacin que actualmente estn trabajando algn tema de Seguridad de

la Informacin. Profesionales que actualmente desempeen labores de auditora.

Pre-requisitos:

Pgina 21 de 42



Conocimientos bsicos en Seguridad de la Informacin, definiciones. Conocimientos bsicos en la norma ISO /IEC 27001 Conocimientos bsicos en informtica y tecnologa. Conocimientos en anlisis de riesgos

Conocimientos adquiridos en el curso:

Fundamentos de Seguridad de la Informacin. Introduccin a la Norma ISO 17799, ISO/IEC 27002. Introduccin a la Norma BS 7799-2, ISO/IEC 27001. El Sistema de Gestin de Seguridad de la Informacin SGSI. Los Dominios de Control. Identificacin de la aplicabilidad de los mecanismos de control. Definicin e implementacin de la estrategia. El proceso de Anlisis de Riesgos. Factores crticos de xito en la implementacin del SGSI.

Temas de los talleres prcticos:

Anlisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001). Identificacin de controles de la norma aplicables a riesgos identificados. Desarrollo de una declaracin de aplicabilidad. Valoracin de la implementacin del SGSI. Auditoria de cumplimiento BS 7799-2 y ISO/IEC 27001.

2.1.2. Estndares de Seguridad de la Informacin


Descripcin:

El curso ayuda a las empresas a comprender el alcance y objetivos de los principales estndares de Gobierno, Seguridad, Control y Auditoria de TI, brindando a los asistentes un conocimiento general de los estndares ASNZ 4360, ITIL, ISO27000, NIST 800-14, NIST 800-34, CONCT, COBIT, COSO, SARBANES OXLEY, PMBOK, con nfasis en los elementos fundamentales de cada uno de ellos. Al final del curso los asistentes tendrn un conocimiento ms claro de cada estndar y contarn con una hoja de trabajo que facilite su comparacin y seleccin de acuerdo con las expectativas de cada organizacin.

A quin est dirigido:

Gerentes o directores de informtica o tecnologa Responsables por la Seguridad de la Informacin Gerentes de Riesgo Gerentes de control interno o auditoria interna

Pgina 22 de 42



Auditores de sistemas Gerentes y responsables por la planificacin de la continuidad del negocio

Prerrequisititos:

Conocimientos bsicos en seguridad de la informacin Conocimientos bsicos en anlisis de riesgos Conocimientos bsicos en auditoria


Objetivos, alcances y puntos esenciales de cada estndar mencionado Elementos necesarios para la comparacin de estndares Construccin de una hoja de trabajo para la comparacin de estndares Diferentes alternativas para articular las necesidades organizacionales en cuanto a gestin de

riesgos, seguridad de la informacin y auditoria.


Riesgos de no utilizar estndares y mejores prcticas Construccin de la hoja de trabajo para comparacin de estndares Identificacin de rutas alternativas para la implementacin de estndares

2.1.3. El Desarrollo de un Plan de Continuidad del Negocio BCP/DRP


Descripcin:

El curso ayuda a las empresas a conocer y organizar de una mejor forma el proceso de implementacin de un plan de continuidad del negocio, brindando a los asistentes importantes conocimientos y una serie de pautas claves que debe seguir el Lder de BCP para la proteccin efectiva de la informacin de la organizacin, as como el personal y dems recursos, en caso de ocurrir un desastre. De igual forma se revisarn ejemplos y prcticas recomendadas para implementar planes de continuidad del negocio. Al final del curso los asistentes tendrn un conocimiento ms profundo sobre la prctica real, la implementacin de polticas, el ciclo de vida de un BCP y el rol que el Lder de BCP desempea en el mismo.

Pgina 23 de 42




Gerentes o directores de informtica o tecnologa. Gerentes o Directores que tengan a cargo el tema de Seguridad de la Informacin. Profesionales que actualmente desempeen labores de Seguridad de la Informacin. Personal de cualquier organizacin que actualmente estn trabajando algn tema de Seguridad de

la Informacin. Profesionales que actualmente desempeen labores de auditora. Profesionales que actualmente estn trabajando el tema de continuidad del negocio y/o

recuperacin ante desastres. Profesionales de cualquier rea de una compaa.

Pre-requisitos:

Conocimientos bsicos en manejo de riesgos. Conocimientos bsicos sobre procesos.


La teora bsica de BCP/DRP. Planes de contingencia y recuperacin ante desastres (DRP). La teora bsica de BIA/RIA. La teora bsica de RTO/RPO/MAO/FTL. Mantenimiento y Entrenamiento. Estrategias de continuidad del Negocio. Desarrollo e Implementacin. Prcticas, Mantenimiento y Auditoria.


Planeacin de un BCP. Anlisis de riesgos (RIA). Anlisis de Impactos (BIA). Desarrollo de estrategias. Desarrollo de un BCP. Sensibilizacin y capacitacin. Prueba y ejercicio. Mantenimiento y actualizacin. Planes de evacuacin y manejo de crisis.

Pgina 24 de 42



2.1.4. Seguridad en Redes Inalmbricas

Duracin: 16 Horas (2 das)

Descripcin:

Es un curso terico-prctico en el cual se busca explorar el funcionamiento bsico de redes inalmbricas, sus problemas de seguridad y las mejores prcticas de seguridad en estas redes. En la parte terica se desarrolla una introduccin detallada a los aspectos bsicos de funcionamiento de redes inalmbricas. En la parte prctica se busca evidenciar los problemas de seguridad existentes en las redes inalmbricas y generar recomendaciones para mantener redes seguras dentro de un ambiente funcional.


Gerentes o directores de informtica o tecnologa. Gerentes o directores que tengan a cargo el tema de Seguridad de la Informacin.. Profesionales que actualmente desempeen labores de Seguridad de la Informacin. Personal de cualquier organizacin que actualmente estn trabajando algn tema de seguridad de

la Informacin. Profesionales que actualmente desempeen labores de auditora. Gerentes o directores del rea de telecomunicaciones. Profesionales que actualmente desempeen labores en el rea de Telecomunicaciones. Administradores de redes. Profesionales que actualmente desempeen labores en el rea de IT.

Pre-requisitos:

Conocimientos bsicos en redes Inalmbricas y comunicaciones, definiciones. Conocimientos bsicos en informtica y tecnologa. Conocimientos bsicos de Linux. Conocimientos bsicos de Windows. Curso Bsico de Seguridad de la Informacin.


Conceptos bsicos y avanzados de redes inalmbricas. Conceptos bsicos y avanzados de seguridad en redes inalmbricas. Vulnerabilidades en protocolos, procesos y autenticacin. Tcnicas de ataque comunes. Tcnicas de aseguramiento de redes inalmbricas. Comandos y herramientas comnmente utilizadas.

Pgina 25 de 42



Acerca de los laboratorios:

Cada participante tiene asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados, en plataformas Linux y Windows.

Cada uno de los laboratorios diseados para este curso se encuentran organizados para evidenciar de forma prctica las vulnerabilidades existentes en redes inalmbricas, cmo explotar estas vulnerabilidades y busca la comprensin por parte de los participantes de las mejores prcticas de seguridad para implementar una apropiada configuracin dentro de las redes, evitando las posibilidades de ataques, prdida de informacin o negacin de servicios.

2.1.5. Seguridad Avanzada en Windows y Unix


Descripcin:

Este curso profundiza en los problemas de seguridad de las plataformas de sistemas operacionales con ms instalaciones a nivel mundial: Windows y Unix. No slo se examinan los problemas sino las principales herramientas de seguridad que debe conocer todo administrador para asegurar estas plataformas y mitigar los riesgos de seguridad de la informacin.


Administradores de servidores Windows y Unix Oficiales de seguridad de la informacin Programadores de aplicaciones que funcionen en estas plataformas Personal tcnico y/o soporte Windows o Unix

Prerrequisititos:

Conocimientos bsicos de Windows y Unix (comandos, sistema de archivos, usuarios) Conocimiento en aplicaciones Windows Conocimientos de redes y comunicaciones Curso bsico de seguridad de la informacin

Pgina 26 de 42




Conceptos de seguridad en sistemas operacionales Nivel C2 de seguridad de sistemas operacionales Conceptos avanzados de seguridad en Windows y Unix Tcnicas de ataques comunes a plataformas Windows y Unix Vulnerabilidades en protocolos, puertos y servicios Vulnerabilidades asociadas a las instalaciones por defecto Administracin de usuarios, contraseas y permisos Configuracin segura de servidores Web, Correo, DNS Configuracin y uso de herramientas de deteccin y monitoreo


Cada participante tiene asignado un PC donde a medida que se abordan los tema se revisan los aspectos asociados.

Se puede contar con laboratorios prcticos como:

Escalamiento de privilegios Ataques a los servicios ms comunes Ataques y aseguramiento de IIS Sniffers Encripcin de archivos Configuracin de IDS Configuracin de control de acceso Debilidades asociadas a cada arquitectura Aseguramiento de servidores Comandos y herramientas comnmente utilizadas

2.1.6. Tcnicas Avanzadas en Ataques y Defensa

Duracin: 40 horas (5 das)

Descripcin:

Curso terico prctico que busca brindar a un oficial de Seguridad de la Informacin o administrador de red la habilidad para implementar tecnologas avanzadas de seguridad para la proteccin de la infraestructura tecnolgica de su empresa. Se conocern tcnicas y herramientas enfocadas a distintos

Pgina 27 de 42



tipos de sistemas operativos y aplicaciones. El curso inicia identificando la forma de operacin de un intruso, sus tcticas, desde las ms comunes y sencillas, hasta aquellas tcnicas y estrategias de ataque ms elaboradas, posteriormente se aprendern los mecanismos de defensa con los cuales se puede detener a un intruso.


Administradores de Firewalls, IDS, redes, sistemas y aplicaciones. Personal de Seguridad de la Informacin. Oficiales de Seguridad de la Informacin.

Pre-requisitos:

Buen entendimiento en redes y TCP/IP. Conocimientos bsicos de programacin en C. Buen entendimiento prctico de plataformas Windows (95/98/ME/XP/2000/2003) y de aplicaciones

asociadas. Buen entendimiento prctico y manejo bsico de plataformas Unix (Mandriva, Redhat, SuSe) y de

aplicaciones asociadas. Conocimientos conceptuales bsicos de Seguridad de la Informacin. Conocimientos conceptuales sobre Firewalls, IDS y otras tecnologas de seguridad.


Evolucin de la Seguridad de la Informacin. Cmo identificar y comprender los tipos de ataques existentes en la actualidad. Entender y utilizar las herramientas empleadas por los intrusos para diferentes sistemas operativos

(Unix, Windows). Cmo poner en prctica las tcnicas de ataques mediante laboratorios guiados. Conocer en profundidad las estrategias de ataques. Deteccin de herramientas en un sistema atacado. Deteccin en lnea de ataques. Cmo engaar a los intrusos. Implementacin de herramientas de defensa. Diseo e implementacin de arquitecturas de defensa.


Desde el inicio del curso hasta el final, se disearn e implementarn diferentes arquitecturas de ataque y defensa, donde se incluirn diversos temas, entre otros:

Recoleccin de informacin Sniffers ARP Spoofing TCP- Hijacking Buffer Overflows Puertas Traseras Deteccin de herramientas en un sistema atacado

Pgina 28 de 42



Configuracin de alertas Configuracin de IDS Configuracin de honeypots Monitoreo y registro del sistema. Implementacin de mecanismos de defensa en redes, sistemas operativos y aplicaciones

2.1.7. Computacin Forense

Duracin: 5 das (40 horas).

Descripcin:

Es un curso terico-prctico que presenta las tcnicas utilizadas en la recoleccin, preservacin, manipulacin y anlisis de evidencia digital relacionada con delitos informticos. Proporciona al participante una visin clara sobre aspectos importantes de la prctica forense como dnde buscar evidencia y de qu manera analizarla con altas probabilidades de xito y minimizacin de la alteracin de la misma. Adicionalmente se presenta el enfoque hacia la implementacin de mejores prcticas en el manejo de incidentes de seguridad de la informacin.


Miembros de grupos de respuesta a incidentes de Seguridad de la Informacin. Oficiales de Organismos de Seguridad de la Repblica, encargados de conducir investigaciones

relacionadas con delitos informticos. Investigadores forenses encargados de recolectar y/o analizar evidencia digital.

Conocimientos adquiridos en el Curso:

Conceptos bsicos de computacin forense. Teora de los diferentes sistemas de archivos. Tipos de delitos informticos. Identificacin y mejores prcticas en la respuesta a incidentes. Mtodos de almacenamiento en medios voltiles y no-voltiles. Qu evidencia recolectar y dnde hacerlo. Tcnicas de recoleccin de evidencia digital. Manipulacin y preservacin de la evidencia digital. Procedimientos de anlisis de evidencia digital. Elaboracin de informes.


Cada participante tendr asignado un PC donde a medida que se va abordando cada tema puede ir revisando sus aspectos asociados.

Pgina 29 de 42



Disear laboratorios especiales para los siguientes temas:

Lectura de lneas de tiempo. Tcnicas de recoleccin de evidencia digital (en Host y en Red). Procedimientos de anlisis de evidencia digital.

Pre-requisitos:

Conocimiento de sistemas operativos Unix (utilizacin, comandos). Conocimiento de sistemas de archivos (Conceptos bsicos de EXT2/3, FAT12/16/32, NTFS). Alto nivel tcnico en general. Bases numricas, Conceptos de TCP/IP, Conceptos de Redes,

Conceptos de IDS (Sistemas de Deteccin de Intrusos), entre otros.

2.1.8. Preparacin para la Certificacin Ethical Hacking (CEH).

Duracin: 5 das (40 horas, el ltimo da es el simulacro del examen)

Descripcin:

Curso terico - prctico en el que el asistente adquiere conocimientos avanzados de Hacking contra diferentes plataformas como Windows 2003 Server, Windows Vista, Linux y dispositivos de red.

A quien est dirigido:

Ingenieros de Sistemas Ingenieros Electrnicos Administradores de Red Profesionales de Seguridad de la Informacin

Prerrequisitos:

Conocimientos bsicos de seguridad Conocimientos bsicos de Linux


Cada asistente desarrolla la habilidad de realizar evaluaciones cuantitativas y mediciones de las amenazas que pueden afectar los activos de la informacin. Se adquirirn las destrezas para descubrir los puntos ms vulnerables de la organizacin mediante tcnicas reales de Hacking aprendidas en el curso.

Pgina 30 de 42



Contenido del curso:

Da 1 - Reconocimiento de red y Test de Penetracin

Da 2 - Explotacin remota de vulnerabilidades y Ataques a autenticacin de password

Da 3 - Acceso extendido y Penetracin profunda a los objetivos

Da 4 - Ataques a infraestructura de red, Ataques Inalmbricos, Remocin de evidencia

Da 5 - Hacking a aplicaciones Web y simulacro examen

2.1.9. Entrenamiento ISO/IEC 27001:2005 ISMS Lead Auditor

Objetivo:

Este curso de 5 das (el sexto da corresponde al examen de certificacin) brinda el entendimiento y conocimiento de los sistemas de administracin de informacin de terceras partes. Dado que el objetivo de una auditoria no es el hallazgo de no conformidades, sino la identificacin de oportunidades de mejora, este curso le permite desarrollar las habilidades para planear, estructurar y conducir una auditoria efectiva y para evaluar y comunicar los hallazgos. El curso est diseado para seguir las etapas de una auditoria en la prctica, incluyendo simulacros de entrevistas de auditoras y los roles que son jugados en las reuniones de cierre.

Estructura de curso:

Antecedentes y visin general de la norma ISO/IEC 27001 y otros Estndares de Seguridad de la Informacin.

Introduccin e implementacin de un sistema de auditora y el rol del auditor en el proceso. Gestin del rol en la revisin de riesgos y la efectividad en general del Sistema de Gestin de

Seguridad de la Informacin Planeacin y manejo de un proceso basado en auditoria: Recursos y tiempo Uso de checklists Seleccin de grupos de auditoria Conduciendo una auditoria destrezas, tcnicas y competencias del auditor: Evaluacin del significado de los hallazgos encontrados en una auditoria Comunicacin y presentacin de reportes de auditoria No conformidades y mejoramiento de la seguridad como resultado de las acciones correctivas

Pgina 31 de 42



Manejo de la evaluacin de la tercera parte y el proceso de certificacin.

Beneficios de la certificacin:

Desarrollo de competencias para la evaluacin del manejo de riesgos y controles esenciales para el Sistema de Gestin de Seguridad de la Informacin.

Entendimiento del rol de los auditados en el Sistema de Gestin de la Seguridad de la Informacin y el rol de los auditores para promover el mejoramiento contino.

Habilidades para el total entendimiento de cmo las terceras partes perciben el Sistema de Gestin de Seguridad de la Informacin y su cumplimiento para la certificacin.

Colaboracin de los auditores para crear un ambiente que conduzca a la excelencia.

A quien est dirigido:

Profesionales que deseen certificarse como ISMS Auditores Lideres registrados. Profesionales que lideren el tema de la certificacin de sus organizaciones en el Estndar ISO/IEC

27001:2005 Es prerrequisito el conocimiento de la norma ISO/IEC 27001:2005 para el completo entendimiento

de los principios desarrollados en este curso.

Metodologa:

Este es un curso altamente participativo basado en una serie de sesiones usando tutoras, casos de estudio, talleres interactivos y discusiones abiertas, generando un ambiente prctico que provee una nica oportunidad para guiar y entrenar al participante.

Agenda:

Da 1 Tema Observaciones

08:30 registro

09:00 Modulo 1 Bienvenida e introduccin Resumen de la estructura del curso

Tutora: Gestin de la Seguridad de la

Una visin al Sistema de Gestin de la Seguridad

Pgina 32 de 42



Modulo 2 Informacin

Modulo 3

Tutora: Visin de la Auditoria

Discusin en el marco de una auditoria, incluyendo auditores de primera, segunda y tercera parte para asegurar un entendimiento comn de lo que es un auditor, terminologa y estndares.

Modulo 4

Tutora: Estndares en la Gestin de la Seguridad de la Informacin

Una mirada a algunos de los principales requerimientos del Sistema de Gestin Seguridad de la Informacin: Estndares y Controles

12:30 Almuerzo

13:15 Modulo 6 Taller: Auditoria Prctica Ejercicio prctico usando la norma e identificando los controles usados

Modulo 5

Estndares en la Gestin de la Seguridad de la Informacin

Continuacin: incluyendo los controles y sumarios

Modulo 6A

Tutora: Evaluacin del riesgo

Mirada al inventario de activos, amenazas, vulnerabilidades, proceso de clculo y valoracin del riesgo

Taller: Evaluacin del Ejercicio prctico diseado para evaluar el inventario de activos y el proceso de

Pgina 33 de 42



Modulo 6B

Riesgo valoracin del riesgo

Modulo 6C

Tutora: Manejo del Riesgo Perspectiva general del tratamiento y proceso de del riesgo

Modulo 6D

Taller: Manejo del Riesgo Ejercicio prctico para evaluar el proceso de manejo del riesgo y generacin de reportes.

Modulo 7

Tutora: Documentacin de los Sistemas de Gestin de Seguridad de la Informacin

Mirada a las polticas del Sistema de Gestin de Seguridad, procedimientos y documentacin

Modulo 19 Tutora: Sesin Informativa Parte 1

Introduccin y discusin del examen

18:30 Cierre


08:30 Modulo 8 Taller: Documento de Studio: Sistema de Gestin de la Seguridad

Estudio de la documentacin del Sistema de Gestin de la Seguridad de la

Pgina 34 de 42



Informacin

Modulo 9

Tutora: Planeacin de una Auditoria

Discusin sobre los puntos de consideracin en la planeacin de una auditoria

Modulo 10

Taller: Planeando una Auditoria

Sesin prctica para el desarrollo de un plan de auditora.

Modulo 11 Tutora: Checklists Discusin para efectivamente preparar y usar las notas de pre-auditoria y los checklists para el logro de objetivos.

12:30 Almuerzo

13:15 Modulo 12 Taller: Preparando checklists

Prctica para el desarrollo y uso de checklists

Modulo 13

Tutora: Apertura de Reuniones

Discusin acerca de los puntos requeridos para cubrir la reunin de apertura

Modulo 14 Taller: Apertura de Reuniones

Ejercicio de rol: ejecucin de la reunin de apertura

Modulo 15

Tutora: Tcnicas de Auditoria

Discusin de entrevistas, preguntas y tcnicas de toma de notas

Pgina 35 de 42



Modulo 16

Taller: Estudio de caso de Auditoria Parte 1

Ejercicio prctico: Introduccin a un caso de estudio

Modulo 17

Taller: Trascripcin de no conformidades - 1

Ejercicio prctico de introduccin a las no conformidades

18:30 Cierre


08:30 Modulo 18 Taller: Estudio de Caso de Auditoria - Parte 2

Caso de Estudio 1 preparacin de la segunda parte

Modulo 18 Taller: Estudio de Caso de Auditoria - Parte 2

Retroalimentacin 2

12:30 Almuerzo

13:15 Modulo 22 Tutora: Trascripcin de no Conformidades

Discusin para preparar un histrico de hallazgos

Modulo 23 Taller: Escritura de No Conformidades Parte 2

Practica de escritura de no conformidades

Pgina 36 de 42



Modulo 20

Tutora: Tcnicas de Auditoria

Prctica en la preparacin de la declaracin de hallazgos

Modulo 21 Taller: Tcnicas de Auditoria

Modulo 19 Sesin Informativa Informacin acerca del examen

Modulo 24 Caso de estudio 2 Parte 1

Preparacin del rol jugado en el caso de estudio 2

Modulo 24 Caso de estudio 2 Parte 1

Retroalimentacin

18:30 Cierre


08:30 Modulo 25 Caso de Auditoria 2 - Parte 2

Preparacin para el resto del caso de estudio 2

Modulo 25 Caso de Auditoria 2 - Parte 2

Estudio y retroalimentacin del caso de estudio 2

12:30 Almuerzo

Pgina 37 de 42



13:15 Modulo 26 Tutora: Reuniones de Cierre

Discusin para planear y presentar una reunin de cierre

Modulo 27

Tutora: Reportes

Discusin de los principales puntos que deben ser incluidos en los reportes y documentos de una auditoria

Modulo 32

Taller: Resumen de la auditoria Parte 1

Ejercicio prctico para preparar reportes de auditoria

Modulo 29 Taller: Cierre de Auditorias Parte 1

Ejercicios prcticos de juego de rol en las reuniones de cierre preparacin

Modulo 29 Taller: Reuniones de cierre Parte 2

Retroalimentacin de reuniones de cierre

18:30 Cierre


08:30 Modulo 30 Tutora: Seguimiento y acciones correctivas

Discusin de los aspectos a ser cubiertos en las auditorias de no conformidades y seguimiento a las acciones

Pgina 38 de 42



correctivas

Modulo 34 Taller: Seguimiento y Acciones Correctivas

Ejercicio prctico en el anlisis y efectividad de acciones correctivas y previa retroalimentacin

Modulo 32 Taller: resumen de Auditoria Parte 2

Ejercicio para dar finalizacin a un resumen de auditoria

Modulo 33 Tutora: Una perspectiva a las auditorias de de primera, segunda y tercera parte

Una mirada a las auditorias de primera parte.

12:30 Almuerzo

13:15 Administracin -Examen

17:00 Cierre

NOTA: El sexto da corresponde al desarrollo del examen de certificacin.

Pgina 39 de 42



2.1.10. Preparacin a la Certificacin CISSP


Qu es la Certificacin CISSP?

CISSP es la certificacin en Seguridad de la Informacin ms reconocida a nivel mundial y es avalada por el (ISC)2, International Information Systems Security Certification Consortium.

Fue diseada con el fin de reconocer una maestra de conocimientos y experiencia en Seguridad de la Informacin con una tica comprobada en el desarrollo de la profesin.

El (ISC)2, International Information Systems Security Certification Consortium (https://www.isc2.org), es una organizacin sin nimo de lucro que se encarga de:

Mantener el Common Body of Knowledge en Seguridad de la Informacin. Certificar profesionales en un estndar internacional de Seguridad de la Informacin. Administrar los programas de entrenamiento y certificacin. Garantizar la vigencia de las certificaciones a travs de programas de capacitacin continua.

Requisitos de certificacin CISSP:

1. Firmar el Cdigo de tica del ISC2 2. Certificar experiencia de mnimo 4 aos en el rea de Seguridad de la Informacin en algn

dominio del CBK o certificar la misma experiencia por 3 aos adicionando un ttulo profesional 3. Contestar afirmativamente el 70% de un examen de 250 preguntas de opcin mltiple,

relacionadas con los 10 dominios del CBK (Common Body of Knowledge) y que deben ser resueltas en un periodo de 6 horas

4. Contar con un aval de un tercero calificado (CISSP activo o empleador) referenciando al candidato a CISSP

Mayor informacin:

https://www.isc2.org/cgi-bin/content.cgi?category=1187

Pgina 40 de 42



Quin debera asistir:

Directores o gerentes de tecnologa, directores y oficiales de seguridad de la Informacin y personal responsable en temas de seguridad de la Informacin dentro de la organizacin.

Contenido del Curso:

Los temas del curso son los contenidos en el Common Body of Knowledge (CBK):

Dominio 1: Access Control

Dominio 2: Application Security

Dominio 3: Business Continuity Planning and Disaster Recovery Planning

Dominio 4: Cryptography

Dominio 5: Information Security and Risk Management

Dominio 6: Legal, Regulations, Compliance and Investigation

Dominio 7: Operations Security

Dominio 8: Physical (Enviromental) Security

Dominio 9: Security Architecture and Design

Dominio 10: Telecommunications and Network Security

Pgina 41 de 42



Beneficios de la certificacin para la empresa:

Permite contar con profesionales certificados con el conocimiento adecuado para establecer las mejores prcticas de seguridad en la compaa.

El conocimiento certificado del Common Body of Knowledge (CBK) provee una gran capacidad para la definicin de soluciones adecuadas para la organizacin.

La certificacin brinda un mayor nivel de credibilidad a las empresas en materia de Seguridad de la Informacin.

Permite la administracin de riesgos de una organizacin, desde una perspectiva de negocio y tecnologa.

Beneficios de la certificacin para el profesional:

Garantiza un alto nivel de conocimientos en Seguridad de la Informacin Marca un diferencial entre profesionales dedicados a Seguridad de la Informacin Reafirma un compromiso tico como profesional de Seguridad de la Informacin.

2.2. Talleres prcticos:

Se propone desarrollar los siguientes talleres en seguridad de la informacin:

Anlisis de riesgos. Modelo de seguridad. Planes de sensibilizacin. Planes de seguridad.

Pgina 42 de 42



3. ANEXOS MATERIALES DE CAPACITACIN Y SENSIBILIZACIN

Se entregan adjuntos con este documento, los diseos en formato electrnico de los materiales y sus contenidos relacionados con la campaa de capacitacin y sensibilizacin elaborados en la presente consultora. Ver Carpeta 6. Capacitacin - Material de capacitacion y sensibilizacion en el CD-ROM entregado.

Capacitacion y Sensibilizacion Modelo de Seguridad

Documents

Transcript of Capacitacion y Sensibilizacion Modelo de Seguridad