PARTE I. LA SEGURIDAD DE LA INFORMACIÓN
TEMA 1: NATURALEZA Y DESARROLLO DE LA SEGURIDAD DE LA INFORMACIÓN
-
- La sociedad de la información
-
- ¿Qué es la seguridad de la información?
-
- Importancia de la seguridad de la información
-
- Principios básicos de seguridad de la información: confidencialidad, integridad y disponibilidaD
-
- Principio Básico de Confidencialidad
-
- Principio Básico de Integridad
-
- Disponibilidad
-
- Descripción de los riesgos de la seguridad
-
- Selección de controles
-
- Factores de éxito en la seguridad de la información
TEMA 2: NORMATIVA ESENCIAL SOBRE SEGURIDAD DE LA INFORMACIÓN
-
- Marco legal y jurídico de la seguridad de la información
-
- Normativa comunitaria sobre seguridad de la información
-
- Planes de acción para la utilización más segura de Internet
-
- Estrategias para una sociedad de la información más segura
-
- Ataques contra los sistemas de información
-
- La lucha contra los delitos informáticos
-
- La Agencia Europea de Seguridad de las Redes y de la información (ENISA)
-
- Normas sobre gestión de la seguridad de la información: Familia de Normas ISO 27000
-
- Familia de Normas ISO 27000
-
- Norma ISO/IEC 27002:2009
-
- Legislación española sobre sistemas de seguridad de la información
-
- La protección de datos de carácter persona
-
- La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
-
- El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal
-
- La Agencia Española de Protección de Datos
-
- El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
-
- La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
-
- La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico
-
- La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones
-
- La Ley 59/2003, de 19 de diciembre, de firma electrónica
-
- La Ley de propiedad intelectual
-
- La Ley de propiedad industrial
TEMA 3: BUENAS PRÁCTICAS EN SEGURIDAD DE LA INFORMACIÓN: NORMA ISO/IEC 27002
-
- Aproximación a la norma ISO/IEC 27002
-
- Alcance de la Norma ISO/IEC 27002
-
- Estructura de la Norma ISO/IEC 27002
-
- Las cláusulas del control de seguridad
-
- Las principales categorías de sistemas de seguridad
-
- Evaluación y tratamiento de los riesgos de sistemas de seguridad
-
- Evaluación de los riesgos de sistemas de seguridad
-
- Tratamiento de los riesgos de sistemas de seguridad
TEMA 4: POLÍTICA DE SEGURIDAD, ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE ACTIVOS
-
- Política de seguridad de la información 77
-
- Etapas en el desarrollo de una política de seguridad de la información
-
- Características esenciales de una política de seguridad de la información
-
- Documento de política de la seguridad de la información
-
- Revisión de la política de seguridad de la información
-
- Organización de la seguridad de la información
-
- Organización interna de la seguridad de la información
-
- Compromiso de la dirección con la seguridad de la información
-
- Coordinación de la seguridad de la información
-
- Asignación de responsabilidad de seguridad de la información
-
- Autorización de procesos para facilidades procesadoras de la información
-
- Acuerdos de confidencialidad para la protección de la información
-
- Contacto con las autoridades y con grupos de interés especial en los incidentes de seguridad
-
- Revisión independiente de la seguridad de la información
-
Grupos o personas externas: el control de acceso a terceros
-
- Identificación de los riesgos de seguridad relacionados con personas externas
-
- Tratamiento de la seguridad de la información en las relaciones con los clientes
-
- Tratamiento de la seguridad de la información en acuerdos con terceros
-
- Clasificación y control de activos de seguridad de la información
-
- Responsabilidad por los activos de seguridad de la información
-
- Inventario de los activos de seguridad de la información
-
- Propiedad de los activos de seguridad de la información
-
- Uso aceptable de los activos de seguridad de la información
-
- Clasificación de la información
-
- Lineamientos de clasificación de la información
-
- Etiquetado y manejo de información
TEMA 5: SEGURIDAD FÍSICA, AMBIENTAL Y DE LOS RECURSOS HUMANOS
-
- Seguridad de la información ligada a los recursos humanos
-
- Medidas de seguridad de la información antes del empleo
-
- Establecimiento de roles y responsabilidades de los candidatos
-
- Investigación de antecedentes de los candidatos para el empleo
-
- Términos y condiciones del empleo
-
- Medidas de seguridad de la información durante el empleo
-
- Responsabilidades de la gerencia o dirección de la organización
-
- Conocimiento, educación y capacitación en seguridad de la información
-
- Incumplimiento de las previsiones relativas a la seguridad de la información: el proceso disciplinario
-
- Seguridad de la información en la finalización de la relación laboral o cambio de puesto de trabajo
-
- Responsabilidades de terminación
-
- Devolución de los activos
-
- Cancelación de los derechos de acceso a la información
-
- Seguridad de la información ligada a la seguridad física y ambiental o del entorno
-
- Las áreas seguras
-
- El perímetro de seguridad física
-
- Los controles de ingreso físico
-
- Aseguramiento de oficinas, locales, habitaciones y medios
-
- Protección contra amenazas internas y externas a la información
-
- El trabajo en áreas aseguradas
-
- Control y aislamiento de áreas de carga y descarga
-
- Los equipos de seguridad
-
- Seguridad en el emplazamiento y protección de equipos
-
- Instalaciones de suministro seguras
-
- Protección del cableado de energía y telecomunicaciones
-
- Mantenimiento de los equipos
-
- Seguridad de los equipos fuera de las instalaciones
-
- Reutilización o retirada segura de equipos
-
- Retirada de materiales propiedad de la empresa
TEMA 6: GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES
-
Aproximación a la gestión de las comunicaciones y operaciones
-
Procedimientos y responsabilidades operacionales
-
- Documentación de los procesos de operación
-
- La gestión de cambios en los medios y sistemas de procesamiento de información
-
- Segregación de tareas o deberes para reducir las modificaciones no autorizadas
-
- Separación de los recursos de desarrollo, prueba y operación para reducir los riesgos de acceso no autorizado
-
Gestión de la prestación de servicios de terceras partes
-
- Provisión o entrega del servicio
-
- Supervisión y revisión de los servicios prestados por terceros
-
- Gestión de cambios en los servicios prestados por terceros
-
Planificación y aceptación del sistema
-
- Gestión de capacidades de los sistemas
-
- Aceptación del sistema de información nuevo o actualizado
-
Protección contra códigos maliciosos y móviles
-
- Controles contra el código malicioso
-
- Control contra códigos móviles
-
Copias de seguridad de la información
-
Gestión de la seguridad de la red
-
- Los controles de red
-
- La seguridad de los servicios de red
-
Gestión de medios
-
- Gestión de medios removibles o extraíbles
-
- Eliminación de soportes o medios
-
- Procedimientos para el manejo de la información
-
- La seguridad de la documentación del sistema
-
El intercambio de información
-
- Políticas y procedimientos de intercambio de información
-
- Acuerdos de intercambio de información y software
-
- Seguridad de los soportes físicos en tránsito
-
- Seguridad de la información en el uso de la mensajería electrónica
-
- Los sistemas de información empresariales
-
Los servicios de comercio electrónico
-
- Información relativa al comercio electrónico
-
- Las transacciones en línea
-
- La seguridad de la información puesta a disposición pública
-
- Supervisión para la detección de actividades no autorizadas
-
- Registro de incidencias o de auditoría
-
- Supervisión del uso del sistema
-
- La protección de la información de los registros
-
- Mantenimiento de los registros del administrador del sistema y del operador
-
- El registro de fallos
-
- Sincronización de reloj entre los equipos
TEMA 7: EL CONTROL DE ACCESOS A LA INFORMACIÓN
-
- El control de accesos: generalidades, alcance y objetivos
-
- Requisitos de negocio para el control de accesos
-
- Política de control de acceso
-
- Gestión de acceso de usuario
-
- Registro del usuario
-
- Gestión o administración de privilegios
-
- Gestión de contraseñas de usuario
-
- Revisión de los derechos de acceso de usuario
-
-Responsabilidades del usuario
-
- El uso de contraseñas
-
- Protección de equipos desatendidos
-
- Política de puesto de trabajo despejado y pantalla limpia
-
-Control de acceso a la red
-
- La política de uso de los servicios en red
-
- Autentificación de los usuarios de conexiones externas
-
- Identificación de equipos en las redes
-
- Diagnóstico remoto y protección de los puertos de configuración
-
- Segregación de las redes
-
- Control de la conexión a la red
-
- El control de routing o encaminamiento de red
-
- Control de acceso al sistema operativo
-
- Procedimientos seguros de inicio de sesión
-
- Identificación y autentificación del usuario
-
- El sistema de gestión de contraseñas
-
- El uso de los recursos del sistema
-
- La desconexión automática de sesión
-
- Limitación del tiempo de conexión
-
- Control de acceso a las aplicaciones y a la información
-
- Restricciones del acceso a la información3
-
- Aislamiento de sistemas sensibles
-
- Informática móvil y teletrabajo
-
- Los ordenadores portátiles y las comunicaciones móviles
-
- El teletrabajo
TEMA 8: ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
-
- Objetivos del desarrollo y mantenimiento de sistemas de información
-
- Requisitos de seguridad de los sistemas de información
-
- Tratamiento correcto de la información en las aplicaciones
-
- Validación de los datos de entrada
-
- El control de procesamiento interno
-
- La integridad de los mensajes
-
- Validación de los datos de salida
-
- Controles criptográficos
-
- Política de uso de los controles criptográficos
-
- Gestión de claves
-
- Seguridad de los archivos del sistema
-
- Control del software en explotación
-
- Protección de los datos de prueba en el sistema
-
- El control de acceso al código fuente de los programas
-
- Seguridad de los procesos de desarrollo y soporte
-
- Procedimientos para el control de cambios
-
- Revisión técnica de aplicaciones tras efectuar cambios en el sistema operativo
-
- Restricciones a los cambios en los paquetes de software
-
- Las fugas de información
-
- Desarrollo de software por terceros
-
- Gestión de la vulnerabilidad técnica
TEMA 9: GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Y DE LA CONTINUIDAD DEL NEGOCIO
-
- La gestión de incidentes en la seguridad de la información
-
- Notificación de eventos y puntos débiles en la seguridad de la información
-
- Notificación de los eventos en la seguridad de la información
-
- Notificación de puntos débiles de la seguridad
-
- Gestión de incidentes y mejoras en la seguridad de la información
-
- Responsabilidades y procedimientos
-
- Aprendizaje de los incidentes de seguridad de la información
-
- Recopilación de evidencias
-
- Gestión de la continuidad del negocio
-
- Aspectos de la seguridad de la información en la gestión de la continuidad del negocio
-
- Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio
-
- Continuidad del negocio y evaluación de riesgos 237
-
- Desarrollo e implantación de planes de continuidad del negocio que incluyan la seguridad de la información
-
- Marco de referencia para la planificación de la continuidad del negocio
-
- Pruebas, mantenimiento y reevaluación de los planes de continuidad
TEMA 10: CUMPLIMIENTO DE LAS PREVISIONES LEGALES Y TÉCNICAS
-
- Cumplimiento de los requisitos legales
-
- Normativa aplicable
-
- Derechos de propiedad intelectual
-
- Protección de registros organizacionales
-
- Privacidad de la información personal
-
- Prevención del mal uso de los medios de procesamiento de la información
-
- Regulación de los controles criptográficos
-
- Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico
-
- Cumplimiento de las políticas y estándares de seguridad
-
- Verificación del cumplimiento técnico
-
- Consideraciones de la auditoría de los sistemas de información
-
- Controles de auditoría de los sistemas de información
-
- Protección de las herramientas de auditoría de los sistemas de información
PARTE II. EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
TEMA 11: LA NORMA UNE-EN-ISO/IEC 27001:2014
-
Objeto y ámbito de aplicación
-
Relación con la Norma ISO/IEC 27002:2009
-
Definiciones y términos de referencia
-
Beneficios aportados por un sistema de seguridad de la información
-
Introducción a los sistemas de gestión de seguridad de la información
TEMA 12: IMPLANTACIÓN DEL SISTEMA DE SEGURIDAD EN LA ORGANIZACIÓN
-
Contexto
-
Liderazgo
-
- Acciones para tratar los riesgos y oportunidades
-
- Objetivos de seguridad de la información y planificación para su consecución
-
Soporte
TEMA 13: SEGUIMIENTO DE LA IMPLANTACIÓN DEL SISTEMA
-
Operación
-
Evaluación del desempeño
-
- Seguimiento, medición, análisis y evaluación
-
- Auditoría interna
-
- Revisión por la dirección
-
Mejora
-
- No conformidad y acciones correctivas
-
- Mejora continua