MÓDULO 1. PROTECCIÓN DE DATOS PERSONALES UNIDAD DIDÁCTICA 1. MARCO NORMATIVO DE LA PROTECCIÓN DE DATOS PERSONALES Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados Ley Federal de Protección de Datos Personales en Posesión de los Particulares Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados Lineamientos Generales de Protección de Datos Personales para el Sector Público Evolución normativa de la protección de datos personales en México UNIDAD DIDÁCTICA 2. IMPORTANCIA DE LA PROTECCIÓN DE DATOS La protección de datos como derecho fundamental Importancia de la protección de datos personales Autoridades y modelos de regulación de protección de datos personales Sujetos obligados La confidencialidad UNIDAD DIDÁCTICA 3. PRINCIPIOS DE LA PROTECCIÓN DE DATOS Licitud Consentimiento Información Calidad Finalidad Lealtad 7.Proporcionalidad Responsabilidad UNIDAD DIDÁCTICA 4. DERECHOS DE LOS TITULARES DE DATOS PERSONALES Los derechos ARCO Derecho de Acceso Derecho de Rectificación Derecho de Cancelación Derecho de Oposición UNIDAD DIDÁCTICA 5. EJERCICIO DE LOS DERECHOS ARCO Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición Responsable de los datos Plazo para las comunicaciones UNIDAD DIDÁCTICA 6. TRANSFERENCIA DE DATOS Transferencias nacionales Transferencias internacionales UNIDAD DIDÁCTICA 7. LAS AUTORIDADES El instituto Las autoridades reguladoras UNIDAD DIDÁCTICA 8. PROCEDIMIENTO DE PROTECCIÓN DE DERECHOS Inicio del procedimiento La solicitud de protección de datos La resolución en el procedimiento de protección de derechos UNIDAD DIDÁCTICA 9. PROCEDIMIENTO DE VERIFICACIÓN Cumplimiento de las previsiones normativas Acceso a la información y documentación UNIDAD DIDÁCTICA 10. INFRACCIONES Y SANCIONES Procedimiento de imposición de sanciones Tipos de infracciones Determinaciones de las sanciones Delitos en Materia del Tratamiento Indebido de Datos Personales MÓDULO 2. TRANSPARENCIA Y ACCESO A LA INFORMACIÓN UNIDAD DIDÁCTICA 1. EL DEBER DE TRANSPARENCIA ¿Qué es la transparencia? Rendición de cuentas e información Promoción de la transparencia y el acceso a la información desde el gobierno Transparencia proactiva UNIDAD DIDÁCTICA 2. ACCESO A LA INFORMACIÓN PÚBLICA ¿Qué es el derecho de Acceso a la información pública? Solicitud de acceso y requisitos UNIDAD DIDÁCTICA 3. NORMATIVA SOBRE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN La Ley General de Transparencia y Acceso a la Información Pública Sujetos Obligados Obligaciones de transparencia Medidas para asegurar el acceso a la información UNIDAD DIDÁCTICA 4. PRINCIPIOS EN MATERIA DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN Principios rectores de los Organismos garantes Principios en Materia de Transparencia y Acceso a la Información Pública Determinación de los Sujetos obligados a transparentar y permitir el acceso a su información y proteger los datos personales Obligaciones impuestas UNIDAD DIDÁCTICA 5. RESPONSABLES EN MATERIA DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN 1. Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales Los Organismos garantes Los Comités de Transparencia Las Unidades de Transparencia El Consejo Consultivo de los Organismos garantes UNNIDAD DIDÁCTICA 6. OBLIGACIONES DE TRANSPARENCIA Obligaciones de transparencia Obligaciones de transparencia comunes Obligaciones de transparencia específicas de los sujetos obligados Obligaciones específicas de las personas físicas o morales que reciben y ejercen recursos públicos o ejercen actos de autoridad Obligaciones específicas en materia energética Verificación de las obligaciones de transparencia La denuncia por incumplimiento a las obligaciones de transparencia UNIDAD DIDÁCTICA 7. INFORMACIÓN CLASIFICADA Disposiciones generales de la clasificación y desclasificación de la información Información Reservada Información confidencial UNIDAD DIDÁCTICA 8. PROCEDIMIENTOS DE ACCESO A LA INFORMACIÓN PÚBLICA Procedimiento de Acceso a la Información Cuotas de acceso a la información Recurso de Revisión ante los Organismos garantes Recurso de Inconformidad ante el Instituto Los Recursos de Revisión UNIDAD DIDÁCTICA 9. MEDIDAS DE APREMIO Y SANCIONES Medidas de apremio Sanciones por incumplimiento de obligaciones MÓDULO 3. AUDITORÍA DE SEGURIDAD INFORMÁTICA UNIDAD DIDÁCTICA 1. CRITERIOS GENERALES COMÚNMENTE ACEPTADOS SOBRE AUDITORÍA INFORMÁTICA Código deontológico de la función de auditoría Relación de los distintos tipos de auditoría en el marco de los sistemas de información Criterios a seguir para la composición del equipo auditor Tipos de pruebas a realizar en el marco de la auditoría, pruebas sustantivas y pruebas de cumplimiento Tipos de muestreo a aplicar durante el proceso de auditoría Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools) Explicación de los requerimientos que deben cumplir los hallazgos de auditoría Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas UNIDAD DIDÁCTICA 2. ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN Introducción al análisis de riesgos Principales tipos de vulnerabilidades, fallos de programa, programas maliciosos y su actualización permanente, así como criterios de programación segura Particularidades de los distintos tipos de código malicioso Principales elementos del análisis de riesgos y sus modelos de relaciones Metodologías cualitativas y cuantitativas de análisis de riesgos Identificación de los activos involucrados en el análisis de riesgos y su valoración Identificación de las amenazas que pueden afectar a los activos identificados previamente Análisis e identificación de las vulnerabilidades existentes en los sistemas de información que permitirían la materialización de amenazas, incluyendo el análisis local, análisis remoto de caja blanca y de caja negra Optimización del proceso de auditoría y contraste de vulnerabilidades e informe de auditoría Identificación de las medidas de salvaguarda existentes en el momento de la realización del análisis de riesgos y su efecto sobre las vulnerabilidades y amenazas Establecimiento de los escenarios de riesgo entendidos como pares activo-amenaza susceptibles de materializarse Determinación de la probabilidad e impacto de materialización de los escenarios Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza Determinación por parte de la organización de los criterios de evaluación del riesgo, en función de los cuales se determina si un riesgo es aceptable o no Relación de las distintas alternativas de gestión de riesgos Guía para la elaboración del plan de gestión de riesgos Exposición de la metodología NIST SP 800-30 Exposición de la metodología Magerit versión 2 UNIDAD DIDÁCTICA 3. USO DE HERRAMIENTAS PARA LA AUDITORÍA DE SISTEMAS Herramientas del sistema operativo tipo Ping, Traceroute, etc Herramientas de análisis de red, puertos y servicios tipo Nmap, Netcat, NBTScan, etc Herramientas de análisis de vulnerabilidades tipo Nessus Analizadores de protocolos tipo WireShark, DSniff, Cain & Abel, etc Analizadores de páginas web tipo Acunetix, Dirb, Parosproxy, etc Ataques de diccionario y fuerza bruta tipo Brutus, John the Ripper, etc UNIDAD DIDÁCTICA 4. DESCRIPCIÓN DE LOS ASPECTOS SOBRE CORTAFUEGOS EN AUDITORÍAS DE SISTEMAS INFORMÁTICOS Principios generales de cortafuegos Componentes de un cortafuegos de red Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad Arquitecturas de cortafuegos de red UNIDAD DIDÁCTICA 5. GUÍAS PARA LA EJECUCIÓN DE LAS DISTINTAS FASES DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN Guía para la auditoría de la documentación y normativa de seguridad existente en la organización auditada Guía para la elaboración del plan de auditoría Guía para las pruebas de auditoría Guía para la elaboración del informe de auditoría MÓDULO 4. GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN LA EMPRESA UNIDAD DIDÁCTICA 1. INTRODUCCIÓN A LA SEGURIDAD Introducción a la seguridad de información Modelo de ciclo de vida de la seguridad de la información Confidencialidad, integridad y disponibilidad. Principios de protección de la seguridad de la información Tácticas de ataque Concepto de hacking Árbol de ataque Lista de amenazas para la seguridad de la información Vulnerabilidades Vulnerabilidades en sistemas Windows Vulnerabilidades en aplicaciones Vulnerabilidades en sistemas Unix y Mac OS Buenas prácticas y salvaguardas para la seguridad de la red Recomendaciones para la seguridad de su red UNIDAD DIDÁCTICA 2. POLÍTICAS DE SEGURIDAD Introducción a las políticas de seguridad ¿Por qué son importantes las políticas? Qué debe de contener una política de seguridad Lo que no debe contener una política de seguridad Cómo conformar una política de seguridad informática 6.Hacer que se cumplan las decisiones sobre estrategia y políticas UNIDAD DIDÁCTICA 3. AUDITORÍA Y NORMATIVA DE SEGURIDAD Introducción a la auditoría de seguridad de la información y a los sistemas de gestión de seguridad de la información Ciclo del sistema de gestión de seguridad de la información Seguridad de la información Definiciones y clasificación de los activos Seguridad humana, seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Gestión de continuidad del negocio UNIDAD DIDÁCTICA 4. ESTRATEGIAS DE SEGURIDAD Menor privilegio Defensa en profundidad Punto de choque El eslabón más débil Postura de fallo seguro Postura de negación establecida: lo que no está prohibido Postura de permiso establecido: lo que no está permitido Participación universal Diversificación de la defensa Simplicidad UNIDAD DIDÁCTICA 5. EXPLORACIÓN DE LAS REDES Exploración de la red Inventario de una red. Herramientas del reconocimiento NMAP Y SCANLINE Reconocimiento. Limitar y explorar Reconocimiento. Exploración Reconocimiento. Enumerar UNIDAD DIDÁCTICA 6. ATAQUES REMOTOS Y LOCALES Clasificación de los ataques Ataques remotos en UNIX Ataques remotos sobre servicios inseguros en UNIX Ataques locales en UNIX ¿Qué hacer si recibimos un ataque? MÓDULO 5. GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA UNIDAD DIDÁCTICA 1. SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSIONES (IDSIPS) Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención Identificación y caracterización de los datos de funcionamiento del sistema Arquitecturas más frecuentes de los IDS Relación de los distintos tipos de IDS/IPS por ubicación y funcionalidad Criterios de seguridad para el establecimiento de la ubicación de los IDS/IPS Definición de políticas de corte de intentos de intrusión en los IDS/IPS Análisis de los eventos registrados por el IDS/IPS Relación de los registros de auditoría del IDS/IPS Establecimiento de los niveles requeridos de actualización, monitorización y pruebas del IDS/IPS UNIDAD DIDÁCTICA 2. RESPUESTA ANTE INCIDENTES DE SEGURIDAD Procedimiento de recolección de información relacionada con incidentes de seguridad Exposición de las distintas técnicas y herramientas utilizadas para el análisis y correlación de información y eventos de seguridad Proceso de verificación de la intrusión Naturaleza y funciones de los organismos de gestión de incidentes tipo CERT nacionales e internacionales Establecimiento de las responsabilidades Categorización de los incidentes derivados de intentos de intrusión Establecimiento del proceso de detección y herramientas de registro de incidentes Establecimiento del nivel de intervención requerido en función del impacto previsible Establecimiento del proceso de resolución y recuperación de los sistemas Proceso para la comunicación del incidente a terceros UNIDAD DIDÁCTICA 3. CONTROL MALWARE Sistemas de detección y contención de Malware Herramientas de control de Malware Criterios de seguridad para la configuración de las herramientas de protección frente a Malware Determinación de los requerimientos y técnicas de actualización de las herramientas de protección frente a Malware Relación de los registros de auditoría de las herramientas de protección frente a Malware Establecimiento de la monitorización y pruebas de las herramientas de protección frente a Malware Análisis de Malware mediante desensambladores y entornos de ejecución controlada UNIDAD DIDÁCTICA 4. ANÁLISIS FORENSE INFORMÁTICO Conceptos generales y objetivos del análisis forense Exposición del Principio de Locard Guía para la recogida de evidencias electrónicas Guía para el análisis de las evidencias electrónicas recogidas Guía para la selección de las herramientas de análisis forense MÓDULO 6. CIBERDELITOS UNIDAD DIDÁCTICA 1. PRIVACIDAD Y PROTECCIÓN DE DATOS ¿Por qué es importante la privacidad? Privacidad y Seguridad Ciberdelitos que comprometen la privacidad Normativa sobre privacidad y protección de datos UNIDAD DIDÁCTICA 2. PROPIEDAD INTELECTUAL ¿Qué es la propiedad intelectual? Tipos de propiedad intelectual Teorías criminológicas en delitos contra la propiedad intelectual por medios cibernéticos UNIDAD DIDÁCTICA 3. DELINCUENCIA ORGANIZADA Delincuencia cibernética organizada y actores que intervienen Perfil de los grupos delictivos Actividades de los ciberdelitos organizados Prevención de este tipo de ciberdelitos UNIDAD DIDÁCTICA 4. TRATA DE PERSONAS Y TRÁFICO ILÍCITO DE INMIGRANTES ¿La tecnología facilita este tipo de delitos? Trata de personas y tráfico ilícito de inmigrantes como ciberdelito organizado UNIDAD DIDÁCTICA 5. CIBERDELITOS CONTRA LAS PERSONAS Explotación y abuso sexual infantil Hostigamiento Acoso Violencia de género UNIDAD DIDÁCTICA 6. CIBERTERRORISMO Hacktivismo Ciberespionaje Ciberterrorismo Guerra cibernética La guerra de la información, la desinformación y el fraude electoral