La certificación CISSP (Certified Information Systems Security Professional) es una credencial de renombre global en el ámbito de la seguridad de la información, otorgada por la organización (ISC)² (International Information Systems Security Consortium). Esta certificación valida el conocimiento y las habilidades de la persona para el diseño, la implementación y la administración de sistemas de seguridad de la información que protejan a las organizaciones contra ataques cada vez más sofisticados.

Este curso abarca temáticas como cumplimientos, leyes y reglamentos, continuidad del negocio, protección de la seguridad de activos, ingeniería y administración de la seguridad, control de acceso y gestión de identidad, y evaluación de seguridad.

El curso está diseñado por competencias y alineado con el marco de habilidades SFIA 8, por lo que se propone que los estudiantes logren responder a un nivel de habilidad 3 en el área de Seguridad de la Información (SCTY), de manera que apliquen y mantengan controles de seguridad específicos según la política de la organización y las valoraciones de riesgos locales, identifiquen los riesgos que surgen de potenciales arquitecturas de soluciones técnicas y planteen soluciones o contramedidas alternativas para mitigar los riesgos.

Contenidos

Tema 1. Gestión de seguridad y riesgos
-Conceptos de confidencialidad, integridad y disponibilidad.
-Principios de gobernanza de la seguridad.
-Cumplimiento, cuestiones legales y regulatorias.
-Ética profesional.
-Políticas, estándares, procedimientos y directrices de seguridad.
-Requerimientos para la continuidad del negocio.
-Políticas de seguridad del personal.
-Conceptos de gestión de riesgo.
-Modelado de amenazas.
-Consideraciones de riesgo.
-Educación, capacitación y concienciación en seguridad.

Tema 2. Seguridad de activos
-Clasificación de la información y de activos.
-Propiedad.
-Protección de la privacidad.
-Retención apropiada.
-Controles de seguridad de los datos.
-Requisitos de manejo (marcado, etiquetas, almacenamiento).

Tema 3. Ingeniería de seguridad
-Procesos de ingeniería usando principios de diseño seguro.
-Conceptos básicos de modelos de seguridad.
-Modelos de evaluación de seguridad.
-Capacidades de seguridad de sistemas de información.
-Vulnerabilidades de las arquitecturas de seguridad, del diseño y de los elementos de las soluciones de seguridad.
-Vulnerabilidades de los sistemas basados en la web y de los sistemas móviles.
-Vulnerabilidades de los dispositivos integrados y de sistemas ciber-físicos.
-Criptografía.
-Principios de seguridad para diseño de sitios e instalaciones.
-Seguridad física.

Tema 4. Seguridad de comunicaciones y redes
-Diseño de la arquitectura de red segura.
-Componentes de red segura.
-Canales de comunicación segura.
-Ataques de red.

Tema 5. Gestión de identidad y acceso
-Control de activos físicos y lógicos.
-Identificación y autenticación de personas y dispositivos.
-Identidad como servicio.
-Servicios de identidad de terceros.
-Ataques a controles de acceso.
-Ciclo de vida del aprovisionamiento de identidad y acceso.

Tema 6. Evaluación y pruebas de seguridad
-Estrategias de evaluación y pruebas.
-Datos de proceso de seguridad.
-Pruebas de control de seguridad.
-Resultados de pruebas.
-Vulnerabilidades de arquitecturas de seguridad.

Tema 7. Operaciones de seguridad
-Apoyo a las investigaciones y requisitos.
-Registro y seguimiento de las actividades.
-Aprovisionamiento de recursos.
-Conceptos básicos de operaciones de seguridad.
-Técnicas para la protección de recursos.
-Gestión de incidentes.
-Medidas de prevención.
-Gestión de correcciones y vulnerabilidades.
-Procesos de gestión de cambios.
-Estrategias de recuperación.
-Planes y procesos para la recuperación de desastres.
-Planificación y ejercicios de continuidad del negocio.
-Seguridad física.
-Preocupaciones de seguridad del personal.

Tema 8. Seguridad en el desarrollo de software
-Seguridad en el ciclo de vida de desarrollo del software.
-Controles de seguridad del ambiente de desarrollo.
-Efectividad de la seguridad del software.
-Impacto en la seguridad del software adquirido.

Metodología de Aprendizaje

La educación actual suele limitar a estudiantes, forzándoles a absorber contenidos en lugar de fomentar la solución colectiva de problemas. En CENFOTEC, buscamos modificar este enfoque mediante nuestra metodología de aprendizaje constructivista llamada 40-40-20.

La técnica 40-40-20 divide el tiempo de clase: 40% el profesor da un charla para inducir al pensamiento autónomo basado en conceptos clave; el siguiente 40% para resolver retos individuales o en grupo, que exigen exploración, donde el docente es un facilitador; y el 20% restante para una discusión guiada por el profesorado. Para mantener la atención, consideramos 1 hora lectiva como 50 minutos, especialmente en cursos de 3-4 horas.

Adicionalmente el estudiante deberá dedicar una cantidad de horas adicionales para completar retos extraclase que el profesor le asigne.