6.capacitacion y Sensibilizacion Modelo de Seguridad

ENTREGABLE 15: CAPACITACIN -
MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE

GOBIERNO EN LNEA
REA DE INVESTIGACIN Y PLANEACIN

Repblica de Colombia - Derechos Reservados
Bogot, D.C., Diciembre de 2008

CAPACITACIN -
MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA
ESTRATEGIA DE GOBIERNO EN LNEA
FORMATO PRELIMINAR AL DOCUMENTO
PLAN DE CAPACITACIN - MODELO DE SEGURIDAD DE LA INFORMACIN

Ttulo:
PARA LA ESTRATEGIA DE GOBIERNO EN LNEA
Fecha elaboracin
26 Diciembre 2008
aaaa-mm-dd:
CORRESPONDE AL ENTREGABLE 15: PLAN DE CAPACITACIN - MODELO
Sumario: DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO
EN LNEA
Palabras Claves: Manejo de imagen, afiches, logos, folletos
Formato: Lenguaje: Castellano
Dependencia: Investigacin y Planeacin
Documento para
revisin por parte del
Cdigo: Versin: 1 Estado:
Supervisor del
contrato
Categora:
Autor (es): Equipo consultora Digiware
Revis: Juan Carlos Alarcon Firmas:
Aprob: Ing. Hugo Sin Triana
Informacin Adicional:
Ubicacin:
Pgina 2 de 30
CAPACITACIN -
CONTROL DE CAMBIOS
VERSIN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIN

0 17/12/2008 Miguel Angel Duarte. Elaboracin del documento
1 26/12/2008 Equipo del Proyecto Revisin interna conjunta equipo consultora Digiware
Pgina 3 de 30
CAPACITACIN -
TABLA DE CONTENIDO
1. PLAN DE SENSIBILIZACIN ............................................................................................................................ 5
2. PLAN DE CONCIENTIZACIN .......................................................................................................................... 6
3. PLAN DE CAPACITACIN ............................................................................................................................... 8
3.1. CURSOS EN SEGURIDAD DE LA INFORMACIN ...................................................................................................... 8

3.1.1. GESTIONANDO LA SEGURIDAD DE LA INFORMACIN .................................................................................................................................8
3.1.2. ESTNDARES DE SEGURIDAD DE LA INFORMACIN...................................................................................................................................9
3.1.3. EL DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BCP/DRP............................................................................................10
3.1.4. SEGURIDAD EN REDES INALMBRICAS ...................................................................................................................................................12
3.1.5. SEGURIDAD AVANZADA EN W INDOWS Y UNIX.........................................................................................................................................13
3.1.6. TCNICAS AVANZADAS EN ATAQUES Y DEFENSA ...................................................................................................................................14
3.1.7. COMPUTACIN FORENSE .......................................................................................................................................................................16
3.1.8. PREPARACIN PARA LA CERTIFICACIN ETHICAL HACKING (CEH)..........................................................................................................17
3.1.9. ENTRENAMIENTO ISO/IEC 27001:2005 ISMS LEAD AUDITOR ............................................................................................................18
3.1.10. PREPARACIN A LA CERTIFICACIN CISSP .....................................................................................................................................27
3.2. TALLERES PRCTICOS.................................................................................................................................... 29
4. ANEXOS MATERIALES DE CAPACITACIN Y SENSIBILIZACIN ....................................................................... 30
Pgina 4 de 30
CAPACITACIN -
1. PLAN DE SENSIBILIZACIN
Porque necesitamos un plan de sensibilizacion en seguridad de la informacin?
Existe la mentalidad que no hay nada importante por proteger en su computador.
Existe el concepto errado que la tecnologa por si misma puede resolver sus problemas de
seguridad.
Continuamente se generan nuevos mtodos de Ingeniera Social que mediante engaos buscan
obtener informacin confidencial.
Debemos conocer tanto las amenazas externas como las internas.
Debido a todas estas razones, el plan de sensibilizacion para el nuevo modelo de seguridad de la
informacin para la estrategia de Gobierno en Lnea, es, lograr que las personas conozcan los motivos y
razones que generan los diferentes tipos de incidentes en seguridad de la informacin que existen
alrededor de cada uno y acojan las debidas precauciones recomendadas a travs medios de
concienciacin y sensibilizacin.
Esta presentacin se puede dar a aconocer por medio de los cursos preparese 2009.
Para el desarrollo de este plan, se pretende involucrar a todos los funcionarios pblicos, ISP, cafs internet
y usuarios de Gobierno en Lnea, con el fin de vincular a todas estas entidades y personas a que
conozcan el modelo de seguridad de la informacin para la estrategia de Gobierno en Lnea.
Conjuntamente, este plan de sensibilizacin, esta reforzado por las capacitaciones que se dictarn
abarcando temas especializados en seguridad de la informacin, p. ej.: Anlisis de riesgos, Modelo de
seguridad SGSI, Planes de concientizacin, Planes de respuesta ante incidentes, Planes de continuidad
del negocio, etc. las cuales estn especificadas con ms detalle en el punto 3 de capacitacin dentro de
este documento.
Ver Anexo presentacin para sensibilizacin.ppt
Pgina 5 de 30
CAPACITACIN -
2. PLAN DE CONCIENTIZACIN
La gran mayora de las personas, desconoce sobre temas de seguridad de la informacin y, en especial, el
alcance del tema. Quin no ha escuchado alguna vez las preguntas; pero cmo, seguridad de la
informacin tambin se encarga de la seguridad fsica? Qu tiene que ver seguridad de la informacin
con los papeles impresos? Cmo, seguridad de la informacin no es lo mismo que seguridad
informtica?
Hoy, ms del 80% de los ataques provienen desde el interior de las propias empresas (empleados
descontentos, fraude interno, accesos no autorizados, falta de motivacin, carencia de entrenamiento
organizacional) y, a travs de la ingeniera social. Esto se debe a que resulta ms fcil obtener la
contrasea de un usuario en la red de la entidad, que vulnerar los sistemas de seguridad y cifrado.
Asimismo, con tan slo recorrer un par de puestos de trabajo, se pueden encontrar contraseas escritas y
pegadas en la pantalla o debajo del teclado.
Las alternativas que se recomiendan utilizar para que el plan de concientizacin sea factible son:
Folletos
Carteles
Material BTL
Material POP
Uso de tecnoligia
Presentaciones de Capacitacin.
La campaa de concientizacin a los diferentes grupos objetivo definidos, tendr una duracin mnima de
12 meses, que iniciarn con la campaa de sensibilizacin (ver captulo 1), y despus, se desarrollar un
apoyo por medio de los afiches en paraderos para dar a conocer masivamente la campaa para el pblico
en general.
En cuanto a los folletos, se recomienda entregarlos en los recibos de los proveedores de internet como los
ISP, ya que ese es un medio muy utilizado y extremadamente efectivo debido a que los usuarios miran
siempre el recibo. Esto puede ser cambiado peridicamente por el juego que se encuentra anexo en los
materiales diseados como el Rompecocos ya que es dinmico, y da consejos tiles y eficaces. Los
concejos pueden ser renovados frecuentemente para que los usuarios conozcan paulatinamente sobre el
avance de la campaa.
Pgina 6 de 30
CAPACITACIN -
Los fondos de pantalla tambin pueden ser dados a conocer por medio de la pgina de internet de
Gobierno en Lnea para que las personas los puedan descargar e instalar en sus computadores. Para los
proveedores de internet, se pueden entregar 3 fondos de pantalla que pueden ser cambiados cada mes
para que las personas conozcan cosas diferentes sobre el modelo de seguridad de la informacin.
Las presentaciones tambin pueden ser descargadas desde la pgina de internet para que las usuarios
profundicen y aprendan ms sobre el tema, as mismo, los cursos de capacitacin pueden ser dictados
para toda clase de proveedores de internet de forma que mejoren la seguridad de la informacin se de sus
empresas y conozcan mas sobre el modelo de seguridad de la informacin; estas capacitaciones estn
especificadas en el siguiente captulo con sus contenidos, duracin y desarrollo.
Los folletos, sern distribuidos en los caf internet de la misma manera que ser distribuido el medio BTL;
de este modo, los usuarios que no tienen acceso a un servicio de internet desde el hogar, tambin sern
beneficiados y sern conocedores del modelo de seguridad de la informacin.
Como recomendacin adicional para todos los establecimientos proveedores de internet como son los caf
internet y telecentros, se recomienda que ellos tambin asistan a los cursos de capacitacin, en el mismo,
se les dar un certificado de asistencia para que los administradores y propietarios dichos
establecimientos, se hagan partcipes y a la vez, divulgadores de la campaa de seguridad de la
informacin.
Pgina 7 de 30
CAPACITACIN -
3. Plan de Capacitacin
3.1. Cursos en Seguridad de la Informacin:
Se propone desarrollar los siguientes cursos de capacitacin en seguridad de la informacin:
3.1.1. Gestionando la Seguridad de la Informacin
Duracin: 2 das (16 horas)
Descripcin:
El curso ayudar a las empresas a definir, organizar y formalizar el conocimiento referente al Sistema de
Gestin de Seguridad de la Informacin SGSI propuesto por las normas ISO/IEC 17799, ISO/IEC 27001,
ISO/IEC 27002 y BS 7799, instruyendo a los participantes en las estrategias de implementacin y
evaluacin para llevar a la organizacin a un nivel apropiado de seguridad de la informacin y estar
preparados para buscar la certificacin de la compaa.
A quin est dirigido ?
Gerentes o Directores de informtica o tecnologa.

Gerentes o Directores que tengan a cargo el tema de Seguridad de la Informacin.
Profesionales que actualmente desempeen labores de Seguridad de la Informacin.
Personal de cualquier organizacin que actualmente estn trabajando algn tema de Seguridad de
la Informacin.
Profesionales que actualmente desempeen labores de auditora.
Pre-requisitos:
Conocimientos bsicos en Seguridad de la Informacin, definiciones.

Conocimientos bsicos en la norma ISO /IEC 27001
Conocimientos bsicos en informtica y tecnologa.
Pgina 8 de 30
CAPACITACIN -
Conocimientos en anlisis de riesgos
Conocimientos adquiridos en el curso:
Fundamentos de Seguridad de la Informacin.

Introduccin a la Norma ISO 17799, ISO/IEC 27002.
Introduccin a la Norma BS 7799-2, ISO/IEC 27001.
El Sistema de Gestin de Seguridad de la Informacin SGSI.
Los Dominios de Control.
Identificacin de la aplicabilidad de los mecanismos de control.
Definicin e implementacin de la estrategia.
El proceso de Anlisis de Riesgos.
Factores crticos de xito en la implementacin del SGSI.
Temas de los talleres prcticos:
Anlisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001).

Identificacin de controles de la norma aplicables a riesgos identificados.
Desarrollo de una declaracin de aplicabilidad.
Valoracin de la implementacin del SGSI.
Auditoria de cumplimiento BS 7799-2 y ISO/IEC 27001.
3.1.2. Estndares de Seguridad de la Informacin
Descripcin:
El curso ayuda a las empresas a comprender el alcance y objetivos de los principales estndares de
Gobierno, Seguridad, Control y Auditoria de TI, brindando a los asistentes un conocimiento general de los
estndares ASNZ 4360, ITIL, ISO27000, NIST 800-14, NIST 800-34, CONCT, COBIT, COSO, SARBANES
OXLEY, PMBOK, con nfasis en los elementos fundamentales de cada uno de ellos. Al final del curso los
asistentes tendrn un conocimiento ms claro de cada estndar y contarn con una hoja de trabajo que
facilite su comparacin y seleccin de acuerdo con las expectativas de cada organizacin.
A quin est dirigido:
Gerentes o directores de informtica o tecnologa

Responsables por la Seguridad de la Informacin
Gerentes de Riesgo
Gerentes de control interno o auditoria interna
Auditores de sistemas
Gerentes y responsables por la planificacin de la continuidad del negocio
Pgina 9 de 30
CAPACITACIN -
Prerrequisititos:
Conocimientos bsicos en seguridad de la informacin

Conocimientos bsicos en anlisis de riesgos
Conocimientos bsicos en auditoria
Objetivos, alcances y puntos esenciales de cada estndar mencionado

Elementos necesarios para la comparacin de estndares
Construccin de una hoja de trabajo para la comparacin de estndares
Diferentes alternativas para articular las necesidades organizacionales en cuanto a gestin de
riesgos, seguridad de la informacin y auditoria.
Riesgos de no utilizar estndares y mejores prcticas

Construccin de la hoja de trabajo para comparacin de estndares
Identificacin de rutas alternativas para la implementacin de estndares
3.1.3. El Desarrollo de un Plan de Continuidad del Negocio BCP/DRP
Descripcin:
El curso ayuda a las empresas a conocer y organizar de una mejor forma el proceso de implementacin de
un plan de continuidad del negocio, brindando a los asistentes importantes conocimientos y una serie de
pautas claves que debe seguir el Lder de BCP para la proteccin efectiva de la informacin de la
organizacin, as como el personal y dems recursos, en caso de ocurrir un desastre. De igual forma se
revisarn ejemplos y prcticas recomendadas para implementar planes de continuidad del negocio. Al final
del curso los asistentes tendrn un conocimiento ms profundo sobre la prctica real, la implementacin
de polticas, el ciclo de vida de un BCP y el rol que el Lder de BCP desempea en el mismo.
Pgina 10 de 30
CAPACITACIN -
Gerentes o directores de informtica o tecnologa.

Gerentes o Directores que tengan a cargo el tema de Seguridad de la Informacin.
Personal de cualquier organizacin que actualmente estn trabajando algn tema de Seguridad de
la Informacin.
Profesionales que actualmente estn trabajando el tema de continuidad del negocio y/o
recuperacin ante desastres.
Profesionales de cualquier rea de una compaa.
Pre-requisitos:
Conocimientos bsicos en manejo de riesgos.

Conocimientos bsicos sobre procesos.
La teora bsica de BCP/DRP.

Planes de contingencia y recuperacin ante desastres (DRP).
La teora bsica de BIA/RIA.
La teora bsica de RTO/RPO/MAO/FTL.
Mantenimiento y Entrenamiento.
Estrategias de continuidad del Negocio.
Desarrollo e Implementacin.
Prcticas, Mantenimiento y Auditoria.
Planeacin de un BCP.
Anlisis de riesgos (RIA).
Anlisis de Impactos (BIA).
Desarrollo de estrategias.
Desarrollo de un BCP.
Concientizacin y capacitacin.
Prueba y ejercicio.
Mantenimiento y actualizacin.
Planes de evacuacin y manejo de crisis.
Pgina 11 de 30
CAPACITACIN -
3.1.4. Seguridad en Redes Inalmbricas
Duracin: 16 Horas (2 das)
Descripcin:
Es un curso terico-prctico en el cual se busca explorar el funcionamiento bsico de redes inalmbricas,

sus problemas de seguridad y las mejores prcticas de seguridad en estas redes. En la parte terica se
desarrolla una introduccin detallada a los aspectos bsicos de funcionamiento de redes inalmbricas. En
la parte prctica se busca evidenciar los problemas de seguridad existentes en las redes inalmbricas y
generar recomendaciones para mantener redes seguras dentro de un ambiente funcional.
Gerentes o directores de informtica o tecnologa.

Gerentes o directores que tengan a cargo el tema de Seguridad de la Informacin..
Personal de cualquier organizacin que actualmente estn trabajando algn tema de seguridad de
la Informacin.
Gerentes o directores del rea de telecomunicaciones.
Profesionales que actualmente desempeen labores en el rea de Telecomunicaciones.
Administradores de redes.
Profesionales que actualmente desempeen labores en el rea de IT.
Pre-requisitos:
Conocimientos bsicos en redes Inalmbricas y comunicaciones, definiciones.

Conocimientos bsicos en informtica y tecnologa.
Conocimientos bsicos de Linux.
Conocimientos bsicos de Windows.
Curso Bsico de Seguridad de la Informacin.
Conceptos bsicos y avanzados de redes inalmbricas.

Conceptos bsicos y avanzados de seguridad en redes inalmbricas.
Vulnerabilidades en protocolos, procesos y autenticacin.
Tcnicas de ataque comunes.
Tcnicas de aseguramiento de redes inalmbricas.
Comandos y herramientas comnmente utilizadas.
Pgina 12 de 30
CAPACITACIN -
Acerca de los laboratorios:
Cada participante tiene asignado un PC donde a medida que se va abordando cada tema puede ir
revisando sus aspectos asociados, en plataformas Linux y Windows.
Cada uno de los laboratorios diseados para este curso se encuentran organizados para evidenciar de
forma prctica las vulnerabilidades existentes en redes inalmbricas, cmo explotar estas vulnerabilidades
y busca la comprensin por parte de los participantes de las mejores prcticas de seguridad para
implementar una apropiada configuracin dentro de las redes, evitando las posibilidades de ataques,
prdida de informacin o negacin de servicios.
3.1.5. Seguridad Avanzada en Windows y Unix
Descripcin:
Este curso profundiza en los problemas de seguridad de las plataformas de sistemas operacionales con
ms instalaciones a nivel mundial: Windows y Unix. No slo se examinan los problemas sino las
principales herramientas de seguridad que debe conocer todo administrador para asegurar estas
plataformas y mitigar los riesgos de seguridad de la informacin.
Administradores de servidores Windows y Unix

Oficiales de seguridad de la informacin
Programadores de aplicaciones que funcionen en estas plataformas
Personal tcnico y/o soporte Windows o Unix
Prerrequisititos:
Conocimientos bsicos de Windows y Unix (comandos, sistema de archivos, usuarios)

Conocimiento en aplicaciones Windows
Conocimientos de redes y comunicaciones
Curso bsico de seguridad de la informacin
Pgina 13 de 30
CAPACITACIN -
Conceptos de seguridad en sistemas operacionales

Nivel C2 de seguridad de sistemas operacionales
Conceptos avanzados de seguridad en Windows y Unix
Tcnicas de ataques comunes a plataformas Windows y Unix
Vulnerabilidades en protocolos, puertos y servicios
Vulnerabilidades asociadas a las instalaciones por defecto
Administracin de usuarios, contraseas y permisos
Configuracin segura de servidores Web, Correo, DNS
Configuracin y uso de herramientas de deteccin y monitoreo
Cada participante tiene asignado un PC donde a medida que se abordan los tema se revisan los aspectos
asociados.
Se puede contar con laboratorios prcticos como:
Escalamiento de privilegios
Ataques a los servicios ms comunes
Ataques y aseguramiento de IIS
Sniffers
Encripcin de archivos
Configuracin de IDS
Configuracin de control de acceso
Debilidades asociadas a cada arquitectura
Aseguramiento de servidores
Comandos y herramientas comnmente utilizadas
3.1.6. Tcnicas Avanzadas en Ataques y Defensa
Duracin: 40 horas (5 das)
Descripcin:
Curso terico prctico que busca brindar a un oficial de Seguridad de la Informacin o administrador de
red la habilidad para implementar tecnologas avanzadas de seguridad para la proteccin de la
infraestructura tecnolgica de su empresa. Se conocern tcnicas y herramientas enfocadas a distintos
tipos de sistemas operativos y aplicaciones. El curso inicia identificando la forma de operacin de un
intruso, sus tcticas, desde las ms comunes y sencillas, hasta aquellas tcnicas y estrategias de ataque
Pgina 14 de 30
CAPACITACIN -
ms elaboradas, posteriormente se aprendern los mecanismos de defensa con los cuales se puede
detener a un intruso.
Administradores de Firewalls, IDS, redes, sistemas y aplicaciones.

Personal de Seguridad de la Informacin.
Oficiales de Seguridad de la Informacin.
Pre-requisitos:
Buen entendimiento en redes y TCP/IP.

Conocimientos bsicos de programacin en C.
Buen entendimiento prctico de plataformas Windows (95/98/ME/XP/2000/2003) y de aplicaciones
asociadas.
Buen entendimiento prctico y manejo bsico de plataformas Unix (Mandriva, Redhat, SuSe) y de
aplicaciones asociadas.
Conocimientos conceptuales bsicos de Seguridad de la Informacin.
Conocimientos conceptuales sobre Firewalls, IDS y otras tecnologas de seguridad.
Evolucin de la Seguridad de la Informacin.

Cmo identificar y comprender los tipos de ataques existentes en la actualidad.
Entender y utilizar las herramientas empleadas por los intrusos para diferentes sistemas operativos
(Unix, Windows).
Cmo poner en prctica las tcnicas de ataques mediante laboratorios guiados.
Conocer en profundidad las estrategias de ataques.
Deteccin de herramientas en un sistema atacado.
Deteccin en lnea de ataques.
Cmo engaar a los intrusos.
Implementacin de herramientas de defensa.
Diseo e implementacin de arquitecturas de defensa.
Desde el inicio del curso hasta el final, se disearn e implementarn diferentes arquitecturas de
ataque y defensa, donde se incluirn diversos temas, entre otros:
Recoleccin de informacin
Sniffers
ARP Spoofing
TCP- Hijacking
Buffer Overflows
Puertas Traseras
Deteccin de herramientas en un sistema atacado
Configuracin de alertas
Configuracin de IDS
Pgina 15 de 30
CAPACITACIN -
Configuracin de honeypots
Monitoreo y registro del sistema.
Implementacin de mecanismos de defensa en redes, sistemas operativos y aplicaciones
3.1.7. Computacin Forense
Duracin: 5 das (40 horas).
Descripcin:
Es un curso terico-prctico que presenta las tcnicas utilizadas en la recoleccin, preservacin,

manipulacin y anlisis de evidencia digital relacionada con delitos informticos. Proporciona al
participante una visin clara sobre aspectos importantes de la prctica forense como dnde buscar
evidencia y de qu manera analizarla con altas probabilidades de xito y minimizacin de la alteracin de
la misma. Adicionalmente se presenta el enfoque hacia la implementacin de mejores prcticas en el
manejo de incidentes de seguridad de la informacin.
Miembros de grupos de respuesta a incidentes de Seguridad de la Informacin.

Oficiales de Organismos de Seguridad de la Repblica, encargados de conducir investigaciones
relacionadas con delitos informticos.
Investigadores forenses encargados de recolectar y/o analizar evidencia digital.
Conocimientos adquiridos en el Curso:
Conceptos bsicos de computacin forense.

Teora de los diferentes sistemas de archivos.
Tipos de delitos informticos.
Identificacin y mejores prcticas en la respuesta a incidentes.
Mtodos de almacenamiento en medios voltiles y no-voltiles.
Qu evidencia recolectar y dnde hacerlo.
Tcnicas de recoleccin de evidencia digital.
Manipulacin y preservacin de la evidencia digital.
Procedimientos de anlisis de evidencia digital.
Elaboracin de informes.
Cada participante tendr asignado un PC donde a medida que se va abordando cada tema puede ir
revisando sus aspectos asociados.
Disear laboratorios especiales para los siguientes temas:
Pgina 16 de 30
CAPACITACIN -
Lectura de lneas de tiempo.

Tcnicas de recoleccin de evidencia digital (en Host y en Red).
Procedimientos de anlisis de evidencia digital.
Pre-requisitos:
Conocimiento de sistemas operativos Unix (utilizacin, comandos).

Conocimiento de sistemas de archivos (Conceptos bsicos de EXT2/3, FAT12/16/32, NTFS).
Alto nivel tcnico en general. Bases numricas, Conceptos de TCP/IP, Conceptos de Redes,
Conceptos de IDS (Sistemas de Deteccin de Intrusos), entre otros.
3.1.8. Preparacin para la Certificacin Ethical Hacking (CEH).
Duracin: 5 das (40 horas, el ltimo da es el simulacro del examen)
Descripcin:
Curso terico - prctico en el que el asistente adquiere conocimientos avanzados de Hacking contra
diferentes plataformas como Windows 2003 Server, Windows Vista, Linux y dispositivos de red.
A quien est dirigido:
Ingenieros de Sistemas
Ingenieros Electrnicos
Administradores de Red
Profesionales de Seguridad de la Informacin
Prerrequisitos:
Conocimientos bsicos de seguridad

Conocimientos bsicos de Linux
Cada asistente desarrolla la habilidad de realizar evaluaciones cuantitativas y mediciones de las

amenazas que pueden afectar los activos de la informacin. Se adquirirn las destrezas para descubrir
los puntos ms vulnerables de la organizacin mediante tcnicas reales de Hacking aprendidas en el
curso.
Pgina 17 de 30
CAPACITACIN -
Contenido del curso:
Da 1 - Reconocimiento de red y Test de Penetracin
Da 2 - Explotacin remota de vulnerabilidades y Ataques a autenticacin de password
Da 3 - Acceso extendido y Penetracin profunda a los objetivos
Da 4 - Ataques a infraestructura de red, Ataques Inalmbricos, Remocin de evidencia
Da 5 - Hacking a aplicaciones Web y simulacro examen
3.1.9. Entrenamiento ISO/IEC 27001:2005 ISMS Lead Auditor
Objetivo:
Este curso de 5 das (el sexto da corresponde al examen de certificacin) brinda el entendimiento
y conocimiento de los sistemas de administracin de informacin de terceras partes. Dado que el
objetivo de una auditoria no es el hallazgo de no conformidades, sino la identificacin de
oportunidades de mejora, este curso le permite desarrollar las habilidades para planear, estructurar
y conducir una auditoria efectiva y para evaluar y comunicar los hallazgos. El curso est diseado
para seguir las etapas de una auditoria en la prctica, incluyendo simulacros de entrevistas de
auditoras y los roles que son jugados en las reuniones de cierre.
Estructura de curso:
Antecedentes y visin general de la norma ISO/IEC 27001 y otros Estndares de Seguridad de la

Informacin.
Introduccin e implementacin de un sistema de auditora y el rol del auditor en el proceso.
Gestin del rol en la revisin de riesgos y la efectividad en general del Sistema de Gestin de
Seguridad de la Informacin
Planeacin y manejo de un proceso basado en auditoria:
Recursos y tiempo
Uso de checklists
Seleccin de grupos de auditoria
Conduciendo una auditoria destrezas, tcnicas y competencias del auditor:
Evaluacin del significado de los hallazgos encontrados en una auditoria
Comunicacin y presentacin de reportes de auditoria
No conformidades y mejoramiento de la seguridad como resultado de las acciones correctivas
Pgina 18 de 30
CAPACITACIN -
Manejo de la evaluacin de la tercera parte y el proceso de certificacin.
Beneficios de la certificacin:
Desarrollo de competencias para la evaluacin del manejo de riesgos y controles esenciales para
el Sistema de Gestin de Seguridad de la Informacin.
Entendimiento del rol de los auditados en el Sistema de Gestin de la Seguridad de la Informacin
y el rol de los auditores para promover el mejoramiento contino.
Habilidades para el total entendimiento de cmo las terceras partes perciben el Sistema de Gestin
de Seguridad de la Informacin y su cumplimiento para la certificacin.
Colaboracin de los auditores para crear un ambiente que conduzca a la excelencia.
A quien est dirigido:
Profesionales que deseen certificarse como ISMS Auditores Lideres registrados.

Profesionales que lideren el tema de la certificacin de sus organizaciones en el Estndar ISO/IEC
27001:2005
Es prerrequisito el conocimiento de la norma ISO/IEC 27001:2005 para el completo entendimiento
de los principios desarrollados en este curso.
Metodologa:
Este es un curso altamente participativo basado en una serie de sesiones usando tutoras, casos
de estudio, talleres interactivos y discusiones abiertas, generando un ambiente prctico que provee
una nica oportunidad para guiar y entrenar al participante.
Agenda:
Da 1 Tema Observaciones
08:30 registro
09:00 Modulo 1 Bienvenida e introduccin Resumen de la estructura

del curso
Tutora: Gestin de la Una visin al Sistema de

Seguridad de la Gestin de la Seguridad
Pgina 19 de 30
CAPACITACIN -
Modulo 2 Informacin
Tutora: Visin de la Discusin en el marco de

Auditoria una auditoria, incluyendo
auditores de primera,
segunda y tercera parte
para asegurar un
entendimiento comn de lo
que es un auditor,
Modulo 3 terminologa y estndares.
Tutora: Estndares en la Una mirada a algunos de

Gestin de la Seguridad los principales
de la Informacin requerimientos del Sistema
de Gestin Seguridad de
la Informacin: Estndares
Modulo 4 y Controles
12:30 Almuerzo
13:15 Modulo 6 Taller: Auditoria Prctica Ejercicio prctico usando

la norma e identificando
los controles usados
Estndares en la Gestin Continuacin: incluyendo

de la Seguridad de la los controles y sumarios
Modulo 5 Informacin
Tutora: Evaluacin del Mirada al inventario de

riesgo activos, amenazas,
vulnerabilidades, proceso
de clculo y valoracin del
riesgo
Modulo 6A
Taller: Evaluacin del Ejercicio prctico diseado

para evaluar el inventario
de activos y el proceso de
Pgina 20 de 30
CAPACITACIN -
Riesgo valoracin del riesgo
Modulo 6B
Tutora: Manejo del Riesgo Perspectiva general del

tratamiento y proceso de
Modulo 6C del riesgo
Taller: Manejo del Riesgo Ejercicio prctico para

evaluar el proceso de
Modulo 6D manejo del riesgo y
generacin de reportes.
Tutora: Documentacin de Mirada a las polticas del

los Sistemas de Gestin Sistema de Gestin de
de Seguridad de la Seguridad, procedimientos
Informacin y documentacin
Modulo 7
Modulo 19 Tutora: Sesin Informativa Introduccin y discusin

Parte 1 del examen
18:30 Cierre
08:30 Modulo 8 Taller: Documento de Estudio de la

Studio: Sistema de documentacin del
Gestin de la Seguridad Sistema de Gestin de la
Seguridad de la
Pgina 21 de 30
CAPACITACIN -
Informacin
Tutora: Planeacin de una Discusin sobre los puntos

Auditoria de consideracin en la
Modulo 9 planeacin de una
auditoria
Taller: Planeando una Sesin prctica para el

Auditoria desarrollo de un plan de
Modulo 10 auditora.
Modulo 11 Tutora: Checklists Discusin para

efectivamente preparar y
usar las notas de pre-
auditoria y los checklists
para el logro de objetivos.
12:30 Almuerzo
13:15 Modulo 12 Taller: Preparando Prctica para el desarrollo

checklists y uso de checklists
Tutora: Apertura de Discusin acerca de los

Reuniones puntos requeridos para
Modulo 13 cubrir la reunin de
apertura
Modulo 14 Taller: Apertura de Ejercicio de rol: ejecucin

Reuniones de la reunin de apertura
Tutora: Tcnicas de Discusin de entrevistas,

Auditoria preguntas y tcnicas de
Modulo 15 toma de notas
Pgina 22 de 30
CAPACITACIN -
Taller: Estudio de caso de Ejercicio prctico:

Auditoria Parte 1 Introduccin a un caso de
Modulo 16 estudio
Taller: Trascripcin de no Ejercicio prctico de

conformidades - 1 introduccin a las no
Modulo 17 conformidades
18:30 Cierre
08:30 Modulo 18 Taller: Estudio de Caso de Caso de Estudio 1

Auditoria - Parte 2 preparacin de la segunda
parte
Modulo 18 Taller: Estudio de Caso de Retroalimentacin 2

Auditoria - Parte 2
12:30 Almuerzo
13:15 Modulo 22 Tutora: Trascripcin de no Discusin para preparar un

Conformidades histrico de hallazgos
Modulo 23 Taller: Escritura de No Practica de escritura de no

Conformidades Parte 2 conformidades
Pgina 23 de 30
CAPACITACIN -
Tutora: Tcnicas de Prctica en la preparacin

Auditoria de la declaracin de
Modulo 20 hallazgos
Modulo 21 Taller: Tcnicas de

Auditoria
Modulo 19 Sesin Informativa Informacin acerca del

examen
Modulo 24 Caso de estudio 2 Parte Preparacin del rol jugado

1 en el caso de estudio 2
Modulo 24 Caso de estudio 2 Parte Retroalimentacin

1
18:30 Cierre
08:30 Modulo 25 Caso de Auditoria 2 - Parte Preparacin para el resto

2 del caso de estudio 2
Modulo 25 Caso de Auditoria 2 - Parte Estudio y retroalimentacin

2 del caso de estudio 2
12:30 Almuerzo
Pgina 24 de 30
CAPACITACIN -
13:15 Modulo 26 Tutora: Reuniones de Discusin para planear y

Cierre presentar una reunin de
cierre
Discusin de los
principales puntos que
Modulo 27 Tutora: Reportes deben ser incluidos en los
reportes y documentos de
una auditoria
Taller: Resumen de la Ejercicio prctico para

auditoria Parte 1 preparar reportes de
Modulo 32 auditoria
Modulo 29 Taller: Cierre de Auditorias Ejercicios prcticos de

Parte 1 juego de rol en las
reuniones de cierre
preparacin
Modulo 29 Taller: Reuniones de cierre Retroalimentacin de

Parte 2 reuniones de cierre
18:30 Cierre
08:30 Modulo 30 Tutora: Seguimiento y Discusin de los aspectos

acciones correctivas a ser cubiertos en las
auditorias de no
conformidades y
seguimiento a las acciones
Pgina 25 de 30
CAPACITACIN -
correctivas
Modulo 34 Taller: Seguimiento y Ejercicio prctico en el

Acciones Correctivas anlisis y efectividad de
acciones correctivas y
previa retroalimentacin
Modulo 32 Taller: resumen de Ejercicio para dar

Auditoria Parte 2 finalizacin a un resumen
de auditoria
Modulo 33 Tutora: Una perspectiva a Una mirada a las

las auditorias de de auditorias de primera
primera, segunda y tercera parte.
parte
12:30 Almuerzo
13:15 Administracin -Examen
17:00 Cierre
NOTA: El sexto da corresponde al desarrollo del examen de certificacin.
Pgina 26 de 30
CAPACITACIN -
3.1.10. Preparacin a la Certificacin CISSP
Qu es la Certificacin CISSP?
CISSP es la certificacin en Seguridad de la Informacin ms reconocida a nivel mundial y es avalada

por el (ISC)2, International Information Systems Security Certification Consortium.
Fue diseada con el fin de reconocer una maestra de conocimientos y experiencia en Seguridad de la
Informacin con una tica comprobada en el desarrollo de la profesin.
El (ISC)2, International Information Systems Security Certification Consortium (https://www.isc2.org), es

una organizacin sin nimo de lucro que se encarga de:
Mantener el Common Body of Knowledge en Seguridad de la Informacin.

Certificar profesionales en un estndar internacional de Seguridad de la Informacin.
Administrar los programas de entrenamiento y certificacin.
Garantizar la vigencia de las certificaciones a travs de programas de capacitacin continua.
Requisitos de certificacin CISSP:
1. Firmar el Cdigo de tica del ISC2

2. Certificar experiencia de mnimo 4 aos en el rea de Seguridad de la Informacin en algn
dominio del CBK o certificar la misma experiencia por 3 aos adicionando un ttulo profesional
3. Contestar afirmativamente el 70% de un examen de 250 preguntas de opcin mltiple,
relacionadas con los 10 dominios del CBK (Common Body of Knowledge) y que deben ser
resueltas en un periodo de 6 horas
4. Contar con un aval de un tercero calificado (CISSP activo o empleador) referenciando al candidato
a CISSP
Mayor informacin:
https://www.isc2.org/cgi-bin/content.cgi?category=1187
Pgina 27 de 30
CAPACITACIN -
Quin debera asistir:
Directores o gerentes de tecnologa, directores y oficiales de seguridad de la Informacin y personal

responsable en temas de seguridad de la Informacin dentro de la organizacin.
Contenido del Curso:
Los temas del curso son los contenidos en el Common Body of Knowledge (CBK):
Dominio 1: Access Control
Dominio 2: Application Security
Dominio 3: Business Continuity Planning and Disaster Recovery Planning
Dominio 4: Cryptography
Dominio 5: Information Security and Risk Management
Dominio 6: Legal, Regulations, Compliance and Investigation
Dominio 7: Operations Security
Dominio 8: Physical (Enviromental) Security
Dominio 9: Security Architecture and Design
Dominio 10: Telecommunications and Network Security
Pgina 28 de 30
CAPACITACIN -
Beneficios de la certificacin para la empresa:

Permite contar con profesionales certificados con el conocimiento adecuado para establecer las
mejores prcticas de seguridad en la compaa.
El conocimiento certificado del Common Body of Knowledge (CBK) provee una gran capacidad
para la definicin de soluciones adecuadas para la organizacin.
La certificacin brinda un mayor nivel de credibilidad a las empresas en materia de Seguridad de la
Informacin.
Permite la administracin de riesgos de una organizacin, desde una perspectiva de negocio y
tecnologa.
Beneficios de la certificacin para el profesional:

Garantiza un alto nivel de conocimientos en Seguridad de la Informacin
Marca un diferencial entre profesionales dedicados a Seguridad de la Informacin
Reafirma un compromiso tico como profesional de Seguridad de la Informacin.
3.2. Talleres prcticos:
Se propone desarrollar los siguientes talleres en seguridad de la informacin:
Anlisis de riesgos.
Modelo de seguridad.
Planes de concientizacin.
Planes de seguridad.
Pgina 29 de 30
CAPACITACIN -
4. ANEXOS MATERIALES DE CAPACITACIN Y SENSIBILIZACIN
Se entregan adjuntos con este documento, los diseos en formato electrnico de los materiales de
capacitacin y sensibilizacin elaborados en la presente consultora.
Ver Carpeta 6. Capacitacin - Material de capacitacion y sensibilizacion en el CD-ROM entregado.
Pgina 30 de 30

6.capacitacion y Sensibilizacion Modelo de Seguridad

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

6.capacitacion y Sensibilizacion Modelo de Seguridad

Caricato da

Copyright:

Formati disponibili

ENTREGABLE 15: CAPACITACIN -

MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE

REA DE INVESTIGACIN Y PLANEACIN

Bogot, D.C., Diciembre de 2008

FORMATO PRELIMINAR AL DOCUMENTO

PLAN DE CAPACITACIN - MODELO DE SEGURIDAD DE LA INFORMACIN

Palabras Claves: Manejo de imagen, afiches, logos, folletos

Formato: Lenguaje: Castellano

Dependencia: Investigacin y Planeacin

Autor (es): Equipo consultora Digiware

Revis: Juan Carlos Alarcon Firmas:

Aprob: Ing. Hugo Sin Triana

VERSIN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIN

1. PLAN DE SENSIBILIZACIN ............................................................................................................................ 5

2. PLAN DE CONCIENTIZACIN .......................................................................................................................... 6

3. PLAN DE CAPACITACIN ............................................................................................................................... 8

3.1. CURSOS EN SEGURIDAD DE LA INFORMACIN ...................................................................................................... 8

4. ANEXOS MATERIALES DE CAPACITACIN Y SENSIBILIZACIN ....................................................................... 30

Porque necesitamos un plan de sensibilizacion en seguridad de la informacin?

Existe la mentalidad que no hay nada importante por proteger en su computador.

Debemos conocer tanto las amenazas externas como las internas.

Ver Anexo presentacin para sensibilizacin.ppt

3.1. Cursos en Seguridad de la Informacin:

Se propone desarrollar los siguientes cursos de capacitacin en seguridad de la informacin:

3.1.1. Gestionando la Seguridad de la Informacin

Duracin: 2 das (16 horas)

A quin est dirigido ?

Gerentes o Directores de informtica o tecnologa.

Conocimientos bsicos en Seguridad de la Informacin, definiciones.

Conocimientos en anlisis de riesgos

Conocimientos adquiridos en el curso:

Fundamentos de Seguridad de la Informacin.

Temas de los talleres prcticos:

Anlisis de riesgos (enfoque ISO/IEC 17799 y ISO/IEC 27001).

3.1.2. Estndares de Seguridad de la Informacin

Duracin: 2 das (16 horas)

A quin est dirigido:

Gerentes o directores de informtica o tecnologa

Conocimientos bsicos en seguridad de la informacin

Conocimientos adquiridos en el curso:

Objetivos, alcances y puntos esenciales de cada estndar mencionado

Temas de los talleres prcticos:

Riesgos de no utilizar estndares y mejores prcticas

3.1.3. El Desarrollo de un Plan de Continuidad del Negocio BCP/DRP

Duracin: 2 das (16 horas)

A quin est dirigido:

Gerentes o directores de informtica o tecnologa.

Conocimientos bsicos en manejo de riesgos.

Conocimientos adquiridos en el curso:

La teora bsica de BCP/DRP.

Temas de los talleres prcticos:

3.1.4. Seguridad en Redes Inalmbricas

Duracin: 16 Horas (2 das)

Es un curso terico-prctico en el cual se busca explorar el funcionamiento bsico de redes inalmbricas,

A quin est dirigido:

Gerentes o directores de informtica o tecnologa.

Conocimientos bsicos en redes Inalmbricas y comunicaciones, definiciones.

Conocimientos adquiridos en el curso:

Conceptos bsicos y avanzados de redes inalmbricas.

Acerca de los laboratorios:

3.1.5. Seguridad Avanzada en Windows y Unix

Duracin: 5 das (40 horas)

A quin est dirigido: