2018084.- SEGURIDAD LOPD / ENS PARA TIC
CURSO DE SEGURIDAD LOPD / ENS
PARA TIC. COD 84.
Nº DE HORAS FORMACIÓN: 10 horas.
DESTINATARIOS: Personal del Servicio de Tecnología de la Información y de la Comunicación.
HORARIO Y LUGAR:
Martes, 6 de noviembre - Aula de San Clemente
9:00 -> 11:00 Organización de la seguridad y roles en el ENS
12:00 -> 14:00 Organización de la seguridad y roles en el ENS
Miércoles, 7 de noviembre - Aula Informática
9:00 -> 14:00 Sistemas de Gestión de la Seguridad de la Información y Análisis de riesgos
Jueves, 8 de noviembre - Aula Informática
9:00-> 14:00 Sistemas de Gestión de la Seguridad de la Información y Análisis de riesgos
NOTA ACLARATORIA : Cada persona tiene que elegir un turno el día 6 en San Clemente y otro día, 7 u 8, en el aula de informática.
PROGRAMA
Organización de la seguridad y roles en el ENS
- La Administración Electrónica y la Seguridad de la Información. Implicaciones de las nuevas Leyes 39 y 40 de 2015
- Órganos y Organismos de referencia
- Política de seguridad y comisión de seguridad
- Definición de roles, funciones y responsabilidades
- Responsables de la información y servicios
- Responsable de seguridad
- Responsable del sistema
- Ejercicio práctico: Valoración de un servicio en la Diputación de Toledo
Sistemas de Gestión de la Seguridad de la Información
Introducción
- Conceptos básicos. Seguridad de la información
- Qué es un Sistema de Gestión de Seguridad de la Información (SGSI). Beneficios de un SGSI.
- Las Normas ISO. Norma ISO 27001. Contenido de la Norma
Implantación de un SGSI. Modelo PDCA
- Fase Plan
- Fase Do
- Fase Check
- Fase Act
Organización de la Seguridad
- Roles de Seguridad.
- Comité de Seguridad de la Información.
- Alcance del SGSI
- Desarrollo de la Política de Seguridad de la Información
Identificación de activos dentro del alcance
- Tipos de activos: información, servicios, hardware, software, personal, etc.
- Identificación de activos esenciales.
- Valoración de activos. Dimensiones de seguridad.
Análisis de Riesgos
- Conceptos básicos. Metodologías. Herramientas de análisis de riesgos.
- Análisis de riesgos:
- Dependencias entre activos.
- Amenazas. Tipos de amenazas.
- Salvaguardas. Tipo de Salvaguardas. Buenas prácticas ISO 27002
- Determinación y aceptación del Riesgo.
Gestión y tratamiento del riesgo
- Plan de tratamiento de Riesgos
- Declaración de aplicabilidad.
Continuidad de Negocio
- Plan de Continuidad.
- Plan de pruebas del Plan de Continuidad.
Gestión documental asociada al SGSI
- Desarrollo de normativa de seguridad.
- Desarrollo de procedimientos de seguridad e instrucciones técnicas
- Recopilación de evidencias de cumplimiento: registros.
Seguimiento del SGSI
- Revisión por la Dirección.
- Auditoría Interna
- Acciones de Mejora, correctivas y preventivas.
- Monitorización
- Métricas e indicadores
Paralelismo SGSI con ENS
- Cumplimiento del ENS a través de una SGSI acorde a la 27001.
- Controles ISO 27001 vs Controles ENS
- Certificación ENS
Análisis de riesgos
- Conceptos generales
- Proceso de gestión de riesgos
- Elementos de un análisis de riesgos
- Definición de Activos
- Identificación de Amenazas
- Impacto y riesgo
- Salvaguardas
- Tratamiento de los riesgos: Utilización de la herramienta PILAR
- Continuidad de las operaciones
- Caso práctico