DIPLOMADO EN SEGURIDAD INFORMÁTICA

Con énfasis en la norma ISO 27001 (Certificado Auditor Interno)

 

MOTIVACIÓN

Es muy probable que, en nuestro país, cuando escuchamos los términos cibercrimen y ciberterrorismo los asociemos a algo indefinido y lejano que poco tiene que ver con la realidad de nuestra nación; de sus empresas, de su industria, de su banca y de sus servicios. La realidad es otra!. El cibercrimen y el ciberterrorismo están más cerca de nuestras entidades y de nosotros de lo que creemos.  El ciberterrorismo es la nueva  cara del terrorismo, usa  la red Internet para atacar en forma contundente la infraestructura digital de una nación y desinformar de manera sistemática a sus ciudadanos. Los ciberterroristas son criminales con conocimientos técnicos que, por diversos motivos, intentan  colapsar la operación de un estado atacando, uno a uno o todos a la vez, los pilares económicos, financieros, industriales, de comunicaciones y de operaciones de gobierno, bien sea a través de la infraestructura tecnológica o de manejo de información.

De otra parte es evidente que ahora tenemos delincuencia organizada que utiliza los medios electrónicos para perpetrar sus actividades delictivas. Estos cibercriminales suplantan tarjetas de crédito, manipulan o alteran  información,  acceden a información confidencial y roban cuentas bancarias en forma masiva, entre otras acciones. Esta información hace parte de las noticias del  día a día en el mundo y de manera no visible en nuestro país. ¿Somos conscientes de eso?

Sin duda, el cibercrimen también se da al interior de las entidades financieras. Este  puede ser perpetrado por una persona que trabaja en esa entidad y que está autorizado para acceder a su red de datos y a sus equipos. Estos tipos de ataques son excesivamente costosos para la entidad, tanto desde el punto de vista financiero como de imagen.

Detectar el autor de una conducta punible en medios informáticos y procesarlo es una de las tareas más difíciles que enfrentan las áreas de seguridad, de auditoría y de control interno de una organización, sin mencionar las dudas e inquietudes que genera en el operador de justicia nacional e internacional.

Conocer el atacante, su motivación, su técnica y sus métodos es probablemente la mejor forma de reducir la probabilidad de que una de nuestras entidades sea víctima de estas dos amenazas: el cibercrimen y el ciberterrorismo.

Estamos preparados y  con el conocimiento suficiente para enfrentar estas amenazas?.

Consientes de lo anterior hemos  venido programando este diplomado que le permitirá a los participantes identificar claramente estos tipos de amenazas e implementar las medidas apropiadas, tanto técnicas como de gestión,  para contrarrestarlos.

OBJETIVO GENERAL

Sin duda, hoy en día la información es considerada como uno de los activos más preciados dentro de la organización.  El diplomado dará todas las herramientas básicas necesarias para poder implementar los mejores  esquemas de protección de la información acordes con los últimos estándares internacionales.

En el mundo digital, en que el  e-commerce y el e-bussiness juegan un papel fundamental en cuanto al intercambio de información y a  la realización  de negocios en un ambiente cada vez más globalizado y competitivo, no cabe la menor duda que existe una gran cantidad de problemas debidos a la inseguridad informática. Organismos internacionales han propuesto normas para ayudar a las entidades a implementar, mejorar y auditar sus esquemas de seguridad Informática. En el diplomado de la Universidad Piloto, se revisaran estos esquemas de Gestión de la seguridad de la información (SGSI) a la luz de la norma ISO27001, no sin antes revisar y comprender los principios básicos de la seguridad informática.

Transmitiremos a los asistentes una  actitud realista y consciente de la existencia de riesgos que constantemente amenazan los  activos informáticos de una organización y por ende la continuidad del negocio. El diplomado ayudará a aumentar su pericia e idoneidad en el tratamiento del riesgo tecnológico y en la implementación de controles de seguridad

Terminado el diplomado queremos que nuestros estudiantes obtengan los conocimientos necesarios para convertirse en auditores internos del estándar ISO27001.

DIRIGIDO A

Profesionales en Ingeniería de Sistemas de Información, profesionales que estén iniciando su labor en seguridad informática, Auditores de Sistemas de Información, Jefes, Directores o Gerentes de áreas de TI y en general a todos aquellos profesionales del área de tecnología informática interesados en  profundizar sus conocimientos en el área.

COMPOSICION DEL DIPLOMADO

  1. Conceptos Básicos de Seguridad. Objetivos: Introducir al grupo en el tema de la seguridad informática, revisando sus principales componentes. Se darán las bases técnicas para profundizar en los temas que se verán en los siguientes módulos.
  2. El estándar ISO 27001 (BS7799 – ISO17799).Objetivos: Conocer cual es el estándar ISO 27001 y cual es su aplicabilidad en una organización. Se harán recomendaciones sobre su implementación.
  3. Seguridad en Redes.Objetivos: Se estudiará en detalle cada uno de los niveles de red, encontrando sus vulnerabilidades y amenazas. Se estudiaran las herramientas apropiadas para controlarlos.
  4. Computación Forense, Aspectos legales. Objetivos: Comprender y analizar las conductas y perfiles de los atacantes de los sistemas de computación, Identificando y estableciendo estrategias para tratar un posible cybercrimen. Identificar, manejar y controlar la evidencia digital teniendo en cuenta las consideraciones legales y los estándares internacionales
  5. Continuidad del Negocio y Gestión de Riesgo. Objetivos: Conocer las mejores practicas en el manejo de desastres y en la gestión del riesgo. Se estudiaran las últimas metodologías y los estándares internacionales sobre estos dos importantes temas.
  6. Seguridad en Bases de datos y sistemas web. Objetivos: Revisar las fortalezas y  debilidades de la infraestructura que soporta la plataforma web.

METODOLOGÍA DE ENSEÑANZA

Sigue el esquema de  cátedra presencial, con la participación activa de cada estudiante. Se revisaran  casos reales y se entregara material de apoyo y estudio.  Los laboratorios y talleres ayudarán a comprender aún más, el contenido del curso.

MÓDULO I
Nombre del módulo: Conceptos Básicos de Seguridad

Objetivos: Introducir al grupo en el tema de la seguridad informática, revisando sus principales componentes. Se darán las bases técnicas para profundizar en los temas que se verán en los siguientes módulos.

Temas principales:

  • Conceptos básicos
    •  La triada (CIA),  Conceptos de apoyo.
    • Relación Operatividad-Seguridad-Costo
    • Sistema de Gestión de Seguridad de la Información
    • Clasificación de la Información,  Políticas, estándares, lineamientos y procedimientos.
    • Sensibilización en Seguridad Informática.
  • Modelos de Control de Acceso;  Identificación, Autenticación y Autorización
  • Métodos de Autenticación    Principio de menor privilegio, Control de Acceso Discrecional (DAC),  Control de Acceso Mandatorio (MAC), Control de Acceso Basado en Roles (RBAC),  Ataques frecuentes a sistemas de control de acceso.
  • Criptografía.
  • Estenografía.
  • Infraestructura de Claves Públicas, PKI
  • Seguridad en bases de datos y sistemas Web.
  • Laboratorios

MÓDULO II
Nombre del módulo: Seguridad en Redes

Objetivos: Se estudiará en detalle cada uno de los niveles de red, encontrando sus vulnerabilidades y amenazas. Se estudiaran las herramientas apropiadas para controlarlos.

Temas principales

  • Fundamentos de redes

Infraestructura de redes LAN

  • Interconexión de redes con protocolo IP
  • Protocolos de transporte TCP/UDP
  • Intranet, extranet y red de acceso remoto
  • Análisis de tráfico y detección de ataques
    • Debilidades y vulnerabilidades de los protocolos de red
    • Herramientas para análisis de tráfico
    • Ataques comunes: sniffing, spoofing, DoS, TCP hijacking
  • Mecanismos de seguridad para redes
    • Sistemas para detección de intrusos (IDS)
    • Firewalls
    • Redes Virtuales Privadas (VPN)
    • Sistemas de autenticación fuerte
  • Seguridad en redes inalámbricas
    • Clasificación de redes inalámbricas
    • Aplicaciones móviles
    • Riesgos y contramedidas
  • Modelo de red segura
    • Integración de mecanismos de seguridad
    • Esquema de aseguramiento perimetral
    • Hardening de componentes de red
  • Laboratorios

MÓDULO III

Nombre del módulo: Computación Forense, Aspectos legales

Objetivos: Comprender y analizar las conductas y perfiles de los atacantes de los sistemas de computación, Identificando y estableciendo estrategias para tratar un posible cybercrimen

Identificar, manejar y controlar la evidencia digital teniendo en cuenta las consideraciones legales y los estándares internacionales.

Temas principales:

  • Introducción; Definiciones y conceptos. Algunas estadísticas mundiales.
  •  Metodología de Respuesta a Incidentes;
  •  Preparación del CERT,
  •  Detección del Incidente
    • Respuesta Inicial.
    • Formulación de estrategias.
  •  Recolección  y Análisis de la evidencia
  •  Computación Forense;
    •  Conceptos y definiciones
    •  Cadena de custodia.
    •  Recolección de evidencia
    •  Análisis de la evidencia –
    •  Presentación de Informes.
    •  Solución del Incidente
  • Consideraciones Legales;
    • Delito Informático.
    •  Elementos legales para el encuadre de casos.
    •  Propiedad Intelectual y Derechos de Autor.
    • Recolección y análisis de la evidencia.
  • Laboratorios

MÓDULO IV
Nombre del módulo: Continuidad del Negocio,  Gestión de Riesgo y Auditoria Informática

Objetivos: Conocer las mejores practicas en el manejo de desastres y en la gestión del riesgo. Dar a conocer el rol  de un auditor de sistemas. Los últimos esquemas y estándares que se deben  seguir.

Temas principales:

  • Continuidad del Negocio
    • Bases teóricas
    • Etapas preactivas
    • El durante de un incidente
    • El después de un incidente
    • Metodología del DRI
    • Análisis y administración del riesgo.
      • Sensibilización.
      • El estándar ISO27005
      • La norma técnica Colombiana NTC 5254
  • Talleres

MODULO V

El ESTÁNDAR ISO 27001 (BS7799 – ISO17799) Y CERTIFICACIÓN DE AUDITOR INTERNO.

Nombre del modulo: El estándar ISO 27001 (BS7799 – ISO17799).

Objetivos: Conocer cuál es el estándar ISO 27001 y cuál es su aplicabilidad en una organización. Se harán recomendaciones sobre su implementación.

  • Sistema de Gestión de la Seguridad de la Información (SGSI).
  • Establecimiento y gestión del SGSI.
  • Auditorías Internas del SGSI.
  • Objetivos de Control y Controles.
    • Políticas de Seguridad.
    • Seguridad Organizacional.
    • Clasificación y Control de activos.
    • Seguridad del Personal.
    • Seguridad Física y del Entorno.
    • Gestión de Comunicaciones y operaciones.
    • Control de Acceso,
    • Desarrollo y mantenimiento de sistemas
    • Gestión de la continuidad del negocio.
    • Cumplimiento.
    • Talleres.
  • Preparación para la Certificación Auditor Interno ISO 2700

 

DOCENTES

William F. Halaby. Ingeniero de Sistemas y Computación de la Universidad de los Andes, Magíster en Ingeniería de Sistemas y Computación de la misma Universidad con tesis en el área de Sistemas Organizacionales, egresado de programa de Alta Gerencia en Logística y Redes de Mercadeo de la Universidad de los Andes en asocio con Georgetown University; certificado como Project Management Professional (PMP). Certificado CISPP. Catedrático de las Universidades Externado de Colombia, UDI de Bucaramanga  . En la actualidad se desempeña como Jefe de Administración y Cumplimento del Departamento de Seguridad Informática del Banco de la República.

Javier Enrique Lozano.  Ingeniero Electrónico de la Universidad Javeriana. Especialista en Telemática de la Universidad de los Andes. Master of Science in Telecommunications Universidad de Maryland, College Park, MD, USA. Cisco Certified Network Associate CCNA. Ingeniero Consultor – Departamento de Tecnología Informática Banco de la República. Profesor Universitario.

Fabián Alejandro Molina: Ingeniero de Sistemas y Computación de la Universidad del Norte. Magíster en Ingeniería de Sistemas y Computación de la Universidad de los Andes. Certified Information Systems Security Professional (CISSP). Checkpoint Certified Security Administrator (CCSA). Checkpoint Certified Security Expert (CCSE). Ingeniero Especializado de la Unidad de Seguridad Informática del Banco de la República. Catedrático en las Universidades Javeriana y Sergio Arboleda.

Jorge Alberto Medina Villalobos. Ingeniero Electrónico de la Universidad Industrial de Santander. Postgrado en telecomunicaciones de la misma Universidad. Especialista en Derecho Informático de la Universidad Externado de Colombia. Certified Information Systems Security Professional (CISSP).  Desde hace varios años trabaja como Ingeniero especialista en seguridad en la Unidad de Seguridad Informática del Banco de la República. Catedrático de seguridad informática de la Universidad Javeriana. Catedrático del Diplomado en Seguridad Informática de la Universidad Sergio Arboleda

Sandra Camacho. Ingeniería de sistemas y Computación de la Universidad de los Andes. Maestría en Sistemas y Computación de la Universidad de los Andes.  CBCP en Boston USA., CBCP – ITIL – PMP – Auditor ISO 27001:2005 e ISO 9001:2008.   18 años de experiencia en Seguridad Informática, entidades de certificación PKI, Administración de Riesgos de seguridad informática, Implantación de Políticas y estándares de Seguridad Informática, Planes de Continuidad del Negocio y Planes de continuidad tecnológica, entre otros. Directora de la Unidad de Soporte y Continuidad Informática del Banco de la República.

John Mario Pérez. Ingeniero de sistemas Universidad Nacional de Colombia. MS in Technology Management National University, Sand Diego California. Auditor Senior Banco de la Republica. Catedrático en temas de auditoría y control fiscal de las Universidades del Rosario, Santo Tomas, Católica de Colombia y Piloto.

Fernando Palacios Wills: Ingeniero de Sistemas y Computación de la Universidad de los Andes. Especialista en redes de la Universidad de los Andes. Ex Director de la Unidad de Protección de Información del Banco de la Republica. Catedrático de las Universidades Javeriana, Sergio Arboleda y Piloto en las áreas de Gestion del Riesgo y Continuidad del Negocio. Director de Proyectos de Grado. Risk management consultant y Gerente Técnico de  Estéganos International Group.

Guillermo Molina León. Ingeniero de Sistemas con Magíster en Auditoría de Sistemas y Computación, especialista en Negocios Electrónicos, Magíster en Ingeniería de Sistemas ©, Certificado “Project Management Professional (PMP)” otorgada por el Project Management Institute (PMI) y “Certified Information Systems Security Professional (CISSP)” otorgada por (ISC)2, con experiencia en Gerencia y administración de proyectos en tecnología, seguridad informática, arquitectura empresarial e integración,  diseño e implementación de Arquitecturas orientadas a servicios. Profesor de cátedra desde hace más de 19 años en diferentes Universidades e institutos de investigación a nivel Nacional e Internacional, en las áreas de pregrado, postgrado y educación continuada, en las temáticas de Gerencia de Proyectos, Seguridad Informática y Negocios Electrónicos.

Ivan Reyes Gomez. Ingeniero de Sistemas y Computación de la Universidad de los Andes, Magíster en Ingeniería de Sistemas y Computación de la misma Universidad. Miembro del comité académico del capítulo “Systemic Thinking in Information Systems” del 2003 AMCIS (Americas Conference On Information Systems). Miembro del comité de revisión académica para la publicación del libro “Critical Reflections on Information Systems: A Systemic Approach”. Idea Group Publishing, 2002. Catedrático de las Universidades EAN, Sabana y Sergio Arboleda. Auditor Senior en el Área de Auditoria del Banco de la República.

Mario Pratto. Ingeniero de Sistemas de la Escuela de Administración de Negocios. Especialista en gestión para el desarrollo empresarial. – ITSERVICES ITIL – Managament systems – IT Services – Auditor líder de certificación en sistemas de gestión de seguridad de la información (iso27001) – BSI British Standards Insitute BS ISO/IEC 27001:2005 Avalado Por IRCAInternacional Register Of Certificated Auditors – U.S.A.Auditor lider de certificación en sistemas de gestión de calidad -(ISO 9001:2000) QMS Auditor LEAD – BVQI de Colombia Ltda. –2000 Avalado Por IRCA Internacional Register Of Certificated Auditors – U.S.A.Auditor líder de certificación en sistemas de gestión ambiental (ISO 14.000) environmental managment systems. Auditor / Lead Auditor IRCA EMS  – BVQI de Colombia Ltda. – 2005 Avalado Por IRCA Internacional Register Of Certificated Auditors – U.S.A.

INFORMACIÓN: SOBRE HORARIO, COSTOS Y FINANCIACIÓN AQUÍ

 

Contáctenos

Dirección de Postgrados – Universidad Piloto de Colombia
• Lunes a Viernes de 8 a 5 p.m
Calle 45 A No. 9-17 – postgrados@unipiloto.edu.co

PBX: 2324122

  “La Universidad se reserva el derecho de apertura o aplazamiento de los cursos, seminarios, diplomados y especializaciones en caso de no contar con el número mínimo de inscritos. El grupo docente estará sujeto a cambios según disponibilidad de su agenda al igual que el cronograma de actividades académicas»

 

 

 

Share