Portal del Gobierno de La Rioja

La actividad económica de prácticamente cualquier empresa se sustenta, hoy en día, en distintas herramientas tecnológicas, y la transformación digital sitúa la tecnología como eje transversal sobre el que poder sustentar los procesos de negocio, la orientación al cliente, y la interconexión de todos los departamentos y áreas internas de la empresa.

La implantación y uso cada vez mayor de tecnología lleva aparejados una serie de riesgos y amenazas que deben conocerse y combatirse para evitar sus efectos negativos. Se trata de los ciberriesgos, que pueden ser de muy diversa índole, y que en muchas ocasiones no son abordados en profundidad por una gran parte de las empresas. De cómo prevenir estos riesgos, para evitarlos o minimizar su impacto, se encarga la seguridad informática o ciberseguridad.

Objetivos del curso

Al finalizar el curso, el alumno será capaz de implementar la seguridad informática en su empresa como un proceso de negocio más:

• Identificando y gestionando de manera integral las amenazas más actuales para las empresas.
• Entendiendo e implementando el concepto de análisis y gestión del riesgo.
• Cambiando el comportamiento de los empleados, construyendo una cultura consciente de la seguridad en la empresa.
• Gestionando eficazmente proyectos de seguridad, y el personal técnico que lo sustenta.

Perfil del alumno

• Responsables de negocio que necesitan una comprensión de la seguridad informática desde una perspectiva de gestión, comprendiendo la información transmitida desde los departamentos de IT.
• Profesionales de seguridad que gestionan o participan en proyectos.
• Cualquier persona interesada en el ámbito de la ciberseguridad.

Material necesario

Los alumnos deberán disponer de la distribución de seguridad Kali Linux montada sobre su herramienta de virtualización preferida (VirtualBox o VMware).

Contenido

Introducción.

Amenazas actuales para empresas:

• Ingeniería social (phishing, smishing, vishing, redes sociales).
  • Phishing: las Amenazas a través del correo electrónico; del SPAM al BEC (Business Email Compromise o timo del CEO).
  • Vishing: las amenazas a través de las llamadas telefónicas a las empresas.
  • Smishing: las amenazas sobre los smartphones para las empresas.
• Entornos cloud.
  • Ciberseguridad de los diferentes servicios en la nube (Azure, AWS, Google).
• Shadow IT.
  • Definición.
  • Políticas BYOD aprobadas en vuestras empresas.
  • Taller práctico: ¿estamos promoviendo el Shadow IT en nuestras empresas? Ejemplos de malas prácticas.
• Malware.
  • Tipos de malware.
  • ¿A quién afecta el malware y cómo se puede saber si se está infectado?
  • Medidas preventivas frente al malware.
  • Uso prudente de aplicaciones de Internet.
  • ¿Cómo se puede eliminar el software malicioso?
  • Taller práctico: modelado del malware Emotet, la peor amenaza de malware del último año.
• Cryptojacking.
  • Qué es Blockchain.
  • ¿Cómo funciona?
  • Wallets.
  • ¿Para qué sirve la tecnología Blockchain?
  • Cryptojacking
  • Qué es el cryptojacking.
  • Cómo funciona.
  • Consecuencias para los sistemas informáticos.
  • Cómo protegerse del cryptojacking.
  • Taller práctico: instalación y uso de extensiones del navegador "No Coin" y "MinerBlock".
• Ataques IoT y DDOS.
  • Conceptos sobre IoT y Big Data.
  • Seguridad, interoperabilidad y manejabilidad en IoT.
  • Taller práctico: uso de la herramienta web Shodan para la búsqueda de dispositivos IoT inseguros
• Insiders.
  • Definiciones.
  • Motivaciones de los insiders.
  • Riesgo percibido vs riesgo real.
  • Subestimando los ataques de insiders.
  • Recomendaciones para prevenir los riesgos insiders.
  • Taller práctico: comentando la amenaza insider en vuestras empresas, ¿qué amenaza podría suponer?

Marcos de seguridad:

• Esquema Nacional de Seguridad, la herramienta de la Administración Pública, y la adecuación de los proveedores.
• NIST CSF.
• ISO27001, como marco de seguridad referente del mercado.

Comprendiendo y gestionando el ciberriesgo.

• Conceptos sobre riesgo.
• Definiendo el apetito por el riesgo de la empresa.
• Evaluación y gestión de riesgos:
  • Identificación de activos de información.
  • Vulnerabilidades de los activos.
  • Relación de amenazas.
  • Valoración de impactos.
  • Cálculo de probabilidades.
  • Medidas de seguridad o salvaguardas
  • Taller práctico: realizando un breve análisis y evaluación de riesgos según MAGERIT

Detectando y respondiendo a los ataques.

• Gestión de incidentes a través de un proceso PICERL (Preparación, Identificación, Contención, Erradicación, Recuperación y Lecciones aprendidas).
  • Conceptos sobre gestión de incidentes de seguridad de la información.
  • Eventos vs incidentes.
  • Tipos de incidentes, intencionados y no intencionados.
  • Centros de Operaciones de Seguridad o SOC.
  • Estableciendo un sistema de gestión de incidentes
  • CERTs como apoyo en la gestión de incidentes.
  • Errores comunes en la gestión de incidentes.
• Continuidad de negocio
  • Conceptos sobre continuidad de negocio.

Concienciación sobre ciberseguridad.

• Estableciendo un programa de capacitación, formación y concienciación en la empresa.
  • Detectando las necesidades del personal.
  • Permitiendo que el personal identifique los riesgos.
  • El empleado como primera línea de defensa.
• Gestión de proyectos de ciberseguridad.
  • ¿Qué están haciendo las empresas?
  • ¿Cuál es la relación entre la ciberseguridad y la gestión de proyectos?
  • Ventajas de aprovechar la gestión de proyectos en proyectos de ciberseguridad

Fechas y horarios

Fechas: del 24 al 28 de mayo de 2021

Horario: de 16:30 a 18:30

Horas: 10

Profesor

Óscar León García

Metodología

Curso online síncrono por videoconferencia

Inscripciones

El curso es gratuito, financiado por el Gobierno de La Rioja. La inscripción no garantiza la obtención de plaza en el curso, en caso de tener más inscripciones que plazas se hará una selección de los alumnos. Los alumnos deberán confirmar su asistencia una vez seleccionados.

Inscripción