Diplomado en Gestión estratégica de la ciberseguridad (online)

La ciberseguridad es un tema relevante a nivel mundial, tanto para el sector público, como en el privado. El sector público está impulsando fuertemente la agenda de ciberseguridad y el sector privado está enfatizando el tema, no sólo por las regulaciones que vendrán a futuro, sino también para resguardar sus principales activos como lo son sus datos, su imagen y reputación, con la consecuente capacidad para mantener la relación en el largo plazo con sus clientes.

El Diplomado en Gestión estratégica de la ciberseguridad permitirá a los participantes comprender y utilizar los pilares fundamentales sobre los cuales se basa una adecuada administración de la ciberseguridad a nivel estratégico, tales como el rol del gobierno corporativo, las normas y los aspectos legales nacionales e internacionales, las metodologías, modelos y mejores prácticas para integrar la gestión de los riesgos y el cumplimiento de la ciberseguridad en toda la organización.

La administración de la ciberseguridad requiere, evidentemente, del desarrollo de capacidades técnicas para la prevención y respuesta frente ataques, lo que este diplomado contempla a nivel de aquellos fundamentos y métodos que son necesarios tener en consideración para cumplir con este objetivo. No obstante, y este es el aporte distintivo de este diplomado, es indispensable que la ciberseguridad se vuelva un ámbito de gestión que esté presente en todos los niveles de la organización.

La metodología de enseñanza y aprendizaje para este diplomado consiste en técnicas metodológicas activas, donde el participante puede interactuar con sus pares y profesor-tutor a través de los recursos tecnológicos que provee la plataforma educativa virtual provista para el diplomado. Además, cada curso contará con dos clases sincrónicas en formato streaming. 

Todos aquellos profesionales (auditores, oficiales de seguridad, gerentes de riesgos, gerentes de tecnologías de información, abogados, etc.) que sean responsables por la protección de la información y el ciberespacio. También está dirigido a aquellos profesionales que asesoran a las empresas en el diseño de sus estrategias de gestión de la ciberseguridad.

Integrar la gestión estratégica de la ciberseguridad mediante la aplicación de modelos y metodologías fundamentales para el gobierno, la gestión de riesgos, el cumplimiento normativo y la respuesta a incidentes.

Se recomienda que los participantes cuenten con alguno de los siguientes estudios o certificaciones:
– Licenciatura en ciencias de la ingeniería o título profesional universitario de ingeniería civil informática, civil industrial, o en una disciplina afín a la ingeniería civil informática.
– Título técnico en una disciplina afín a la informática con experiencia laboral de al menos 2 años en el área o áreas afines.
– Profesionales de otras disciplinas (abogados o auditores) que tengan experiencia o posean certificaciones en gestión o auditoría en gobierno, gestión de riesgos y cumplimiento de ciberseguridad.

Al final del curso podrás:
– Identificar información relevante de los modelos que son necesarios para la implementación del gobierno empresarial y la gestión de riesgos y de la ciberseguridad.
– Reconocer los procesos que son clave para la gestión de la ciberseguridad.
– Diseñar una estructura organizacional orientada a la gestión de riesgos y de la ciberseguridad, aplicando los modelos de implementación de la gestión gobierno organizacional.
– Usar herramientas para el desarrollo de la calidad en la ejecución de la ciberseguridad estratégica.

Contenidos:
Modelos de implementación para la gestión de riesgos y ciberseguridad
Parte I: Modelos de implementación de gobierno organizacional y ciberseguridad.
– GRC; gobierno, riesgo y cumplimiento.
– Revisión de modelos de gobierno; COBIT, TI (ISO 38000) y seguridad de la -información (ISO 27014).
– Descripción, implementación y herramientas – IS0 27014.
– Algunos modelos de referencia de protección y servicios cloud.

Parte II: Procesos relevantes para la gestión de riesgos y ciberseguridad.
– Monitoreo y comunicación de incidentes.
– Formación y concientización.
– Gestión de usuarios y accesos.
– Inventario de activos.
– Corrección y gestión de vulnerabilidades.

Talleres para la gestión de riesgos y ciberseguridad
– Taller de diseño de estructura organizacional para la gestión de riesgos y ciberseguridad.
– Taller de incorporación de procesos para la gestión de riesgos y ciberseguridad.
– Taller de gestión de riesgos en ciberseguridad.
– Taller de definición de metas cruciales.

Al final del curso podrás:
– Reconocer la metodología de trabajo propuesta por la Norma ISO/IEC 27035.
– Identificar información clave sobre los fundamentos y las metodologías de desarrollo de software seguro.
– Aplicar los fundamentos y las metodologías de ethical hacking para su correcta ejecución.
– Aplicar los fundamentos y las metodologías de análisis forense, para su correcta ejecución.
– Utilizar marcos de trabajo y estándares internacionales para la gestión de incidentes de ciberseguridad (NIST SP 800-21 revisión 2).
– Utilizar marcos de trabajo y estándares internacionales para la gestión de incidentes de ciberseguridad (CSIRT).

Contenidos:
Fundamentos y metodologías de ethical hacking, análisis forense y desarrollo de software seguro
– Revisión de conceptos y definiciones incluidos en la Norma ISO/IEC 27035.
– Metodología de trabajo propuesta por la Norma ISO/IEC 27035.
– Análisis de plantillas para los reportes de manejo de incidente propuestos por la Norma ISO/IEC 27035.
– Conceptos y metodologías principales de desarrollo de software seguro.
– Evaluación de la ejecución de prácticas de desarrollo de software seguro y sus metodologías.
– Conceptos y metodologías principales de ethical hacking.
– Evaluación de la ejecución de la técnica de ethical hacking y sus metodologías.
– Conceptos y metodologías principales de análisis forense.
– Evaluación de la ejecución de la técnica de análisis forense y sus metodologías.

Marcos referenciales para la gestión de incidentes de ciberseguridad
– Historia, evolución y panorama actual de los incidentes de ciberseguridad.
– Conceptos de gestión de incidentes de ciberseguridad y marcos de trabajo recomendados.
– Análisis de las etapas en la metodología propuesta por el Computer Security Incident Handling Guide basado en NIST SP 800-61 revisión 2.
– Descripción de las actividades Post Incident y retroalimentación a otros procesos de ciberseguridad.
– Conceptos CERT, CSIRT, y su interacción en el ecosistema de la ciberseguridad.
– Análisis de algunos CSIRT existentes a nivel mundial.
– Revisión de las mejores prácticas para la planificación e implementación de un CSIRT Descripción de Securitity Operation Center (SOC) y las herramientas necesarias para monitoreo de indicadores de compromiso.

Al final del curso podrás:
– Identificar los conceptos que son relevantes para la gestión estratégica de la ciberseguridad.
– Aplicar fundamentos y metodologías para la gestión de incidentes de ciberseguridad utilizando estándares internacionales.
– Distinguir los principales marcos de trabajo y estándares actuales para la gestión de la ciberseguridad.
– Utilizar herramientas y modelos para la implementación del gobierno corporativo y la gestión de riesgos y ciberseguridad.
– Aplicar prácticas de seguridad cibernética en el contexto del gobierno organizacional.
– Evaluar los riesgos y desarrollar planes de respuesta para la prevención y manejo de incidentes de ciberseguridad.

Contenidos:
Introducción a la gestión de la ciberseguridad: Conceptos, dominios y controles de seguridad de la información y ciberseguridad: Conceptos de la ciberseguridad; Dominios de la seguridad de la información; Controles críticos.

Marcos de trabajo, estándares asociados a la gestión de la seguridad de la información: Marcos de trabajo y estándares de ciberseguridad; Indicadores como elementos de control; Riesgos, vulnerabilidades y amenazas.

Rol del gobierno corporativo de la ciberseguridad: El gobierno corporativo; Gobierno de ciberseguridad; Características del gobierno de ciberseguridad; Roles y responsabilidades.

Introducción a los aspectos legales de la gestión de la ciberseguridad: Tecnologías de la información y regulación; Regulación y empresa; ¿Cómo regular estos temas?.

Aspectos legales en la gestión de la ciberseguridad parte I: Delitos informáticos, conceptos, características e impacto en la ciberseguridad: Delitos informáticos; Política Nacional de Ciberseguridad; Ley 21.459: sobre delitos informáticos.

Aspectos legales en la gestión de la ciberseguridad parte II: Protección de datos personales, normas nacionales e internacionales: Ley N°19.628: Protección de la vida privada; Derechos del titular de los datos personales; Reforma ley 20.575: “Ley Dicom”; Proyecto de Ley de reforma a la Protección de Datos; La clave para la empresa hoy: Fuga de información vs. vulneración de derechos; Sanciones; Reglamento Europeo de Protección de Datos (RGPD o GDPR).

Al final del curso podrás:
– Identificar información clave para la integración de las estrategias y prácticas requeridas para el gobierno, gestión de riesgos y cumplimiento de la ciberseguridad.
– Seleccionar las estrategias que son necesarias para el análisis y gestión de riesgos e identificación de brechas de ciberseguridad.
– Aplicar prácticas que son requeridas para la incorporación de la gestión de riesgos y ciberseguridad dentro del contexto del gobierno organizacional.
– Utilizar las lecciones aprendidas para fortalecer la infraestructura crítica a partir de los aportes de los estándares aplicables NIST (National Institute of Standards and Technology) y PCI-DSS (Payment Card Industry Data Security Standard).
– Diferenciar las prácticas de cumplimiento de ciberseguridad en cuanto al diseño de un marco de control, la evaluación del quehacer de la organización, y las estrategias de planificación para la reducción de brechas de seguridad.

Contenidos:
Integración del gobierno, gestión de riesgos y cumplimiento de la ciberseguridad. Parte I: Estrategias de gestión de riesgos: Gestión de riesgos; Proceso de gestión de riesgos; Mejora continua; Levantamiento de procesos.

Integración del gobierno, gestión de riesgos y cumplimiento de la ciberseguridad. Parte II: Incorporación de prácticas. de gestión de riesgos y ciberseguridad dentro del gobierno organizacional: Identificación y valorización de activos; Amenazas y vulnerabilidades; Riesgo inherente; Identificación y evaluación de controles; Tratamiento de riesgos; Aspectos de riesgos de ciberseguridad; Evaluación de riesgos de ciberseguridad.

Integración del gobierno, gestión de riesgos y cumplimiento de la ciberseguridad. Parte III: Fortaleciendo la infraestructura y prácticas operativas: Conceptos de SCADA e infraestructura crítica de la información; Ciberseguridad industrial; PCI; SWIFT.

Cumplimiento de prácticas de ciberseguridad. Diseño de un marco para el control de la Ciberseguridad: Seguridad de la información, ISO 27001; ISO 27032; NIST CSF Ciberseguridad; CIS Controls 20 – Center Internet Security; Otro aspecto de evaluación.

Cumplimiento de prácticas de ciberseguridad. Evaluación de las prácticas de ciberseguridad en el quehacer de la organización: Directrices y Controles ISO 27032; Funciones NIST CSF Ciberseguridad.

Cumplimiento de prácticas de ciberseguridad. Estrategias de planificación para la reducción de brechas de seguridad: CIS CSC 20 – 29 Familias de controles; Ciberseguridad – Pequeñas empresas; Fundamentos de servicios y seguridad en cloud.