www.auditoria.com.mx ASI-Cursos@auditoria.com.mx Derechos Reservados 2001 © Auditoría y Seguridad Informática SA CV

CURSOS DE AUDITORIA, CONTROL Y SEGURIDAD INFORMATICA

Preparación CISSP

Duración: 5 días

Curso para los profesionales de sistemas ocupados en tareas de Seguridad de la Información y que están interesados en presentar el riguroso examen de certificación CISSP (Certified Information Systems Security Professional), la más importante en el campo de la Seguridad de la Información, y que extiende la (ISC)

2 (International

Information Systems Security Certification Consortium, Inc.), a nivel mundial. El Curso Preparación CISSP contempla la preparación del alumno en los dominios del

CBK (Common Body of Knowledge) para el CISSP, con temas claves del ámbito de la seguridad de la información, con el objetivo de que el alumno pueda presentar el riguroso examen de 250 preguntas de selección múltiple que realiza el (ISC)

2, la única entidad independiente autorizada para extender la certificación

CISSP (Certified Information Systems Security Professional), la más importante en este campo a nivel mundial. Asistir al Curso Preparación CISSP no está condicionado a presentar el examen CISSP, ya que el contenido temático que se imparte sirve a los profesionales de TI que desean introducirse en el tema de la seguridad informática y que por el momento no deseen aplicar el examen o no cumplan con los requisitos para la certificación. Dado el enfoque y materias tratadas, el Curso Preparación CISSP representa no sólo una buena preparación para encaminarse a obtener la certificación CISSP, sino también una excelente oportunidad para que cualquier profesional o encargado del resguardo de los activos de información de una empresa, pueda perfeccionarse en sus conocimientos de seguridad informática. Impartido por expertos en seguridad informática, el Curso Preparación CISSP contempla los siguientes módulos, con el contenido temático que se indica:

1. Control de Acceso

Conceptos y metodologías para el control de acceso a los sistemas. Visto como el conjunto de mecanismos

que permite a los administradores de sistemas especificar lo que los usuarios pueden hacer, qué recursos

pueden acceder, y qué operaciones pueden realizar en el sistema; en el control de acceso se estudian las

técnicas de control de acceso y las medidas detectivas y correctivas para entender los riesgos y

vulnerabilidades de los sistemas.

Áreas Claves de Conocimiento:

Conceptos, metodologías y técnicas de control de acceso.

Ataques al control de acceso.

Evaluación de la efectividad de los controles de acceso.

Ciclo de vida del aprovisionamiento de la identificación y el acceso.

2. Seguridad de Desarrollo de Software Entender la seguridad y los controles en el proceso del ciclo de vida del desarrollo de software y los conceptos utilizados para asegurar la integridad, seguridad y disponibilidad de los datos y de las aplicaciones.

Áreas Claves de Conocimiento: Seguridad en el ciclo de vida del desarrollo de software. Controles de seguridad y del ambiente. Evaluar la efectividad de la seguridad del software.

3. Continuidad del Negocio y Plan de Recuperación de Desastres

Orientado hacia la preservación del negocio por una interrupción mayor de las operaciones normales del

negocio. El BCP (Business Continuity Plan) y el DRP (Disaster Recovery Plan) involucran la preparación,

prueba y actualización de las acciones específicas para proteger los procesos críticos del negocio contra los

efectos de fallos mayores del sistema y de la red, o de desastres.

Preparación CISSP

www.auditoria.com.mx ASI-Cursos@auditoria.com.mx Derechos Reservados 2001 © Auditoría y Seguridad Informática SA CV

Áreas Claves de Conocimiento:

Requerimientos de continuidad del negocio.

Análisis de impacto del negocio.

Estrategia de recuperación.

Proceso de recuperación de desastres.

Ejercitar, evaluar y mantener el plan.

4. Criptografía Principios, medios y métodos para encubrir la información para asegurar su integridad, confidencialidad y autenticidad. Conceptos básicos sobre criptografía, algoritmos de llave pública y privada en términos de sus aplicaciones y usos, distribución y gestión de llaves, y métodos de ataque; construcción y uso de firmas digitales para proporcionar autenticidad de las transacciones electrónicas y el no repudio de las partes involucradas; organización y gestión de infraestructuras de llave pública (PKI) y la distribución y gestión de certificados digitales.

Áreas Claves de Conocimiento: Aplicación y uso de la criptografía. Ciclo de vida criptográfico. Conceptos de encripción. Procesos de gestión de llaves. Firmas digitales. No-repudio. Métodos de ataques criptoanalíticos. Criptografía en la seguridad de la red. Criptografía en la seguridad de la aplicación. PKI (Public Key Infrastructure). Certificados. Alternativas para ocultar la información.

5. Gobierno de la Seguridad de la Información y Gestión de Riesgos Identificar los activos de información de la organización; y desarrollar, documentar, implementar y actualizar las políticas, estándares, procedimientos y lineamientos para asegurar la confidencialidad, integridad y disponibilidad de la información. Entender la planeación, organización, roles y responsabilidades de las personas en la identificación y aseguramiento de los activos de información. Entender las prácticas y herramientas de gestión de riesgos para implementar medidas y controles efectivos de seguridad.

Áreas Claves de Conocimiento: Alineación de la función de seguridad de la información con los objetivos, misión y metas de la

organización. Gobierno de seguridad de la información. Conceptos de confidencialidad, integridad y disponibilidad de la información. Política de seguridad. Ciclo de vida de la información. Gobierno de terceras partes. Conceptos de gestión de riesgos. Seguridad del personal. Gestión de la educación, entrenamiento y sensibilización sobre la seguridad de la información. Gestión de la función de seguridad.

6. Legal, Regulación, Investigación y Cumplimiento Conocer el comportamiento ético y el cumplimiento con los marcos normativos. Conocer los aspectos legales relacionados con delitos informáticos; los métodos y técnicas de investigación para determinar si el delito se ha cometido; los métodos para obtener y preservar la evidencia del delito; y, los medios para estar en cumplimiento.

Áreas Claves de Conocimiento: Aspectos legales sobre seguridad de la información. Ética profesional.

Preparación CISSP

www.auditoria.com.mx ASI-Cursos@auditoria.com.mx Derechos Reservados 2001 © Auditoría y Seguridad Informática SA CV

Investigación de incidentes de seguridad. Procedimientos forenses. Requerimientos y procedimientos de cumplimiento.

7. Operaciones de Seguridad Los controles sobre hardware, medios y los operadores con privilegios de acceso a estos recursos. Conocer los recursos que deben ser protegidos, los privilegios que deben ser restringidos, los mecanismos de control disponibles, las posibilidades de abuso o uso indebido de acceso, los controles apropiados, y los principios de buenas prácticas. La auditoria y el monitoreo son los mecanismos, herramientas y medios que permiten la identificación de los eventos de seguridad y de las acciones subsecuentes para identificar los elementos clave y reportar la información pertinente a la persona, grupo o proceso apropiado.

Áreas Claves de Conocimiento: Conceptos de las operaciones de seguridad. Protección de recursos. Gestión de respuesta a incidentes. Medidas preventivas contra ataques. Gestión de vulnerabilidades y actualizaciones. Gestión de la configuración y cambios. Requerimientos de tolerancia a fallos y de resistencia del sistema.

8. Seguridad Física (Ambiental)

Conocer los elementos involucrados en la selección de un sitio seguro, su diseño y configuración, y los

métodos para asegurar las instalaciones contra el acceso no autorizado, el robo de equipo e información, y

las medidas ambientales y de seguridad necesarias para proteger a las personas, las instalaciones y sus

recursos. Trata con las amenazas, vulnerabilidades y las contramedidas que pueden ser usadas para

proteger de forma física los recursos y la información sensitiva de la organización.

Áreas Claves de Conocimiento:

Consideraciones de diseño del site e instalaciones.

Perímetro de seguridad.

Seguridad interna.

Seguridad de las instalaciones.

Seguridad de los equipos.

Privacidad y seguridad del personal.

9. Arquitectura y Diseño de Seguridad Conceptos, principios, estructuras y estándares usados para diseñar, implementar, monitorear y asegurar sistemas operativos, equipos, redes, aplicaciones y aquellos controles utilizados para aplicar distintos niveles de confidencialidad, integridad y confidencialidad. Entender la práctica de alinear los procesos de seguridad con los objetivos principales y la dirección estratégica de la organización. Entender los modelos de seguridad en términos de confidencialidad, integridad, flujo de información; perfiles de protección Common Criteria (CC); plataformas técnicas en términos de hardware, firmware y software; y, técnicas de seguridad del sistema en términos de controles preventivos, detectivos y correctivos.

Áreas Claves de Conocimiento: Conceptos de modelos de seguridad. Componentes de los modelos de evaluación de la seguridad de los sistemas de información. Capacidad de seguridad de los sistemas de información. Vulnerabilidades de las arquitecturas de seguridad. Amenazas y vulnerabilidades del sistema y del software. Principios de las contramedidas.

10. Seguridad de Redes y Telecomunicaciones Comprende las estructuras, técnicas, protocolos de transporte y medidas de seguridad utilizadas para proporcionar integridad, disponibilidad, confidencialidad y autenticación para las transmisiones en redes de comunicaciones privadas y públicas. Entender la seguridad de las comunicaciones y redes, en lo que se refiere a las comunicaciones de datos en redes de áreas local y amplia; acceso remoto; configuraciones de

Preparación CISSP

www.auditoria.com.mx ASI-Cursos@auditoria.com.mx Derechos Reservados 2001 © Auditoría y Seguridad Informática SA CV

Internet/Intranet/Extranet; uso de equipos y protocolos de red, así como de las técnicas para prevenir y detectar ataques basados en la red.

Áreas Claves de Conocimiento: Arquitectura y diseño de redes seguras. Componentes de redes seguras. Canales de comunicación segura. Ataques de red.

Usted recibirá

Material de apuntes y Libro Guía.

Entrenamiento intensivo durante 5 días para presentar el examen de una de las

certificaciones más importantes de Seguridad de la Información.

Transferencia de conocimientos de instructores expertos en seguridad.

Casos de Estudio.

Simulación de examen.

Apoyo por correo electrónico una vez terminado el curso hasta la fecha del

examen. El nivel de conocimiento exigido para aprobar el examen CISSP es alto. Es un proceso que lleva seis horas y consiste en responder a 250 preguntas de opción múltiple, cada una con cuatro opciones de respuesta (sólo una verdadera). Los porcentajes de aprobación son alrededor del 20% más altos para aquéllos que atienden a seminarios de preparación al CISSP, como el Curso Preparación CISSP, en comparación a aquellos que estudian por su cuenta.

Metodología

A través de sesiones presenciales y grupos de discusión, los participantes logran un conocimiento aplicado de

las materias tratadas, aprovechando la amplia experiencia acumulada de los instructores en el liderazgo de

proyectos específicos del tema seguridad informática. Ventajas del curso Preparación CISSP

El curso fue diseñado en conjunto por consultores con la certificación CISSP y no en forma disgregada, para evitar repeticiones innecesarias de algunos temas en pro del tiempo y la eficiencia del curso.

Los profesores son Consultores en Seguridad Informática, certificados CISSP, lo cual permite una fluida comunicación para la atención de consultas, dudas, material adicional, ya sea por teléfono o por correo electrónico.

Al dictarse el curso en sólo una semana, permite a los alumnos no perder el hilo conductor de los temas tratados, y a la vez los conocimientos están más "presentes" o "frescos" en la mente de los alumnos.

Requisitos para presentar el Examen CISSP

Registrarse para el examen y pagar la cuota correspondiente.

Contar con un mínimo de cinco años de experiencia laboral como profesional en seguridad en dos o

más de los diez dominios del CBK del CISSP; o cuatro años de experiencia laboral como profesional en

seguridad en dos o más de los diez dominios del CBK del CISSP más un título universitario.

Estar de acuerdo con el Código de Ética del (ISC)2.

Responder con éxito cuatro preguntas sobre antecedentes penales.

Es un curso muy completo. Ayuda a saber cómo estás, en qué aspectos hace falta mejorar para antes de presentar el examen.

Valther Galván. Deloitte.

El curso es realmente bueno, el instructor te da la preparación, material y herramientas necesarias para obtener buenos resultados en el examen, fue de gran ayuda en mi certificación.

Américo Castillo. CFE.

Informes e inscripciones AUDITORIA Y SEGURIDAD INFORMATICA SA DE CV

Teléfonos: (55) 5766-1880; (55) 8421-8448 Correo electrónico: ASI-Cursos@auditoria.com.mx

Internet: http://www.auditoria.com.mx/preparacion-cissp

ASI Auditores es proveedor de servicios profesionales de auditoría, control y seguridad de la información. Provee servicios para el análisis y mejora de los procesos, incluyendo el diseño y desarrollo de políticas de seguridad informática. Además suministra soluciones de software para la protección de los sistemas de información, su confidencialidad, integridad y disponibilidad.