La actividad económica de prácticamente cualquier empresa se sustenta, hoy en día, en distintas herramientas tecnológicas, y la transformación digital sitúa la tecnología como eje transversal sobre el que poder sustentar los procesos de negocio, la orientación al cliente, y la interconexión de todos los departamentos y áreas internas de la empresa.
La implantación y uso cada vez mayor de tecnología lleva aparejados una serie de riesgos y amenazas que deben conocerse y combatirse para evitar sus efectos negativos. Se trata de los ciberriesgos, que pueden ser de muy diversa índole, y que en muchas ocasiones no son abordados en profundidad por una gran parte de las empresas. De cómo prevenir estos riesgos, para evitarlos o minimizar su impacto, se encarga la seguridad informática o ciberseguridad.
Objetivos
Al finalizar el curso, el alumno será capaz de implementar la seguridad informática en su empresa como un proceso de negocio más:
- Identificando y gestionando de manera integral las amenazas más actuales para las empresas.
- Entendiendo e implementando el concepto de análisis y gestión del riesgo.
- Cambiando el comportamiento de los empleados, construyendo una cultura consciente de la seguridad en la empresa.
- Gestionando eficazmente proyectos de seguridad, y el personal técnico que lo sustenta.
Dirigido a
- Responsables de negocio que necesitan una comprensión de la seguridad informática desde una perspectiva de gestión, comprendiendo la información transmitida desde los departamentos de IT.
- Profesionales de seguridad que gestionan o participan en proyectos.
- Cualquier persona interesada en el ámbito de la ciberseguridad.
Materiales que utilizar durante la formación
Los alumnos deberán disponer de la distribución de seguridad Kali Linux montada sobre su herramienta de virtualización preferida (VirtualBox o VMware).
Temario
1ª JORNADA
- Amenazas actuales para empresas:
- Phishing: las Amenazas a través del correo electrónico; del SPAM al BEC (Business Email Compromise o timo del CEO). (1 hora)
- SPAM.
- Phishing.
- Spear Phishing.
- Business Email Compromise.
- Taller práctico: creación y envío de mail de phishing con Gophish. Material: software Gophish, a montar sobre la distribución Kali Linux.
- Vishing: las amenazas a través de las llamadas telefónicas a las empresas.
- Ejemplos de técnicas habituales utilizadas por los ciberdelincuentes.
- Taller práctico: realización de llamadas desde números falsificados con herramienta de Call ID Spoofing. (15 minutos). Material: el instructor realizará una demostración a los alumnos, al ser herramientas de pago.
- Smishing: las amenazas sobre los smartphones para las empresas.
- Smishing o timos por SMS.
- SIM Swapping.
- Taller práctico: envío de SMS falsificados con herramienta de Call ID Spoofing. (15 minutos). Material: el instructor realizará una demostración a los alumnos, al ser herramientas de pago.
2ª JORNADA
-
- Entornos cloud
- Ciberseguridad de los diferentes servicios en la nube (Azure, AWS, Google).
- Shadow IT.
- Definición.
- Políticas BYOD aprobadas en vuestras empresas.
- Taller práctico: ¿estamos promoviendo el Shadow IT en nuestras empresas? Ejemplos de malas prácticas.
- Malware.
- Tipos de malware:
- Virus.
- Gusanos.
- Troyanos.
- Spyware.
- Herramientas de administración remota (RAT).
- Ransomware.
- Rogueware.
- Fileless malware.
- ¿A quién afecta el malware y cómo se puede saber si se está infectado?
- Medidas preventivas frente al malware.
- Uso prudente de aplicaciones de Internet.
- ¿Cómo se puede eliminar el software malicioso?
- Taller práctico: modelado del malware Emotet, la peor amenaza de malware del último año.
3ª JORNADA
-
- Cryptojacking.
- Qué es Blockchain.
- ¿Cómo funciona?
- Wallets.
- ¿Para qué sirve la tecnología Blockchain?
- Cryptojacking
- Qué es el cryptojacking.
- Cómo funciona.
- Consecuencias para los sistemas informáticos.
- Cómo protegerse del cryptojacking.
- Taller práctico: instalación y uso de extensiones del navegador "No Coin" y "MinerBlock". Material: extensiones de navegadores "No Coin" y "MinerBlock" a descargar desde internet para instalar en el navegador utilizado por cada alumno de la formación.
- Ataques IoT y DDOS.
- Conceptos sobre IoT y Big Data.
- Seguridad, interoperabilidad y manejabilidad en IoT.
- Taller práctico: uso de la herramienta web Shodan para la búsqueda de dispositivos IoT inseguros. Material: equipo del alumno con acceso a internet para acceder a la web https://www.shodan.io/
- Insiders.
- Definiciones.
- Motivaciones de los insiders.
- Riesgo percibido vs riesgo real.
- Subestimando los ataques de insiders.
- Recomendaciones para prevenir los riesgos insiders.
- Taller práctico: comentando la amenaza insider en vuestras empresas, ¿qué amenaza podría suponer?
4ª JORNADA
-
- Marcos de seguridad:
- Esquema Nacional de Seguridad, la herramienta de la Administración Pública, y la adecuación de los proveedores.
- NIST CSF.
- ISO27001, como marco de seguridad referente del mercado.
- Comprendiendo y gestionando el ciberriesgo.
- Conceptos sobre riesgo.
- Definiendo el apetito por el riesgo de la empresa.
- Evaluación y gestión de riesgos:
- Identificación de activos de información.
- Vulnerabilidades de los activos.
- Relación de amenazas.
- Valoración de impactos.
- Cálculo de probabilidades.
- Medidas de seguridad o salvaguardas:
- Taller práctico: realizando un breve análisis y evaluación de riesgos según MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). Material necesario: Libros 1, 2 y 3 de MAGERIT (los aporta el instructor en PDF a los alumnos).
5ª JORNADA
-
- Detectando y respondiendo a los ataques.
- Gestión de incidentes a través de un proceso PICERL (Preparación, Identificación, Contención, Erradicación, Recuperación y Lecciones aprendidas).
- Conceptos sobre gestión de incidentes de seguridad de la información.
- Eventos vs incidentes.
- Tipos de incidentes, intencionados y no intencionados.
- Centros de Operaciones de Seguridad o SOC.
- Estableciendo un sistema de gestión de incidentes:
- Implementando sistemas de detección y reacción.
- Registrando los incidentes de seguridad.
- Resolviendo los incidentes de seguridad de manera coordinada.
- Recopilando evidencias.
- Aprendiendo de los incidentes de seguridad.
- CERTs como apoyo en la gestión de incidentes.
- Errores comunes en la gestión de incidentes.
- Continuidad de negocio. (30 minutos)
- Conceptos sobre continuidad de negocio.
- Plan de Continuidad de Negocio para los procesos.
- Plan de Recuperación de Desastres para IT.
- Análisis de Impacto en el Negocio o BIA.
- RTO (Recovery Time Objective), RPO (Recovery Point Objective), ROL (Revised Operating Level) y MTD (Maximum Tolerable Downtime).
- Planificando la continuidad de negocio.
- Concienciación sobre ciberseguridad.
- Estableciendo un programa de capacitación, formación y concienciación en la empresa.
- Detectando las necesidades del personal.
- Permitiendo que el personal identifique los riesgos.
- El empleado como primera línea de defensa.
- Gestión de proyectos de ciberseguridad. (30 minutos)
- ¿Qué están haciendo las empresas?
- ¿Cuál es la relación entre la ciberseguridad y la gestión de proyectos?
- Ventajas de aprovechar la gestión de proyectos en proyectos de ciberseguridad.
Evaluación final
Cuestionario para completar por los alumnos sobre los conocimientos adquiridos en la formación
Fechas y horarios
Fechas: Del 29 de junio al 3 de julio de 2020
Horario: De 16:30 a 18:30
Horas: 10
Inscripciones
El curso es gratuito, financiado por el Gobierno de La Rioja. La inscripción no garantiza la obtención de plaza en el curso, en caso de tener más inscripciones que plazas se hará una selección de los alumnos. Los alumnos deberán confirmar su asistencia una vez seleccionados.
Inscripción