Revista LAN & WAN - Redes de computadores, networking y telecomunicaciones, LAN, WAN. Seguridad Informática, auditoría y certificación. Cursos y seminarios, consultoría.
REVISTA LAN & WAN - Internetworking Magazine
Desde 1993 LAN & WAN® es el medio de información, formación y orientación para especialistas y gerentes en las más nuevas tecnologías de redes de computadores, Internet, telecomunicaciones, seguridad y auditoría informatica.
TEMARIOS DE CURSOS Y SEMINARIOS
• Estos cursos pueden ser organizados por empresas y también dados in-company en Argentina y otros países de habla hispana.
• Se puede solicitar mayor información a Cursos
GESTION Y AUDITORIA DE RIESGOS Y SEGURIDAD DE LA INFORMACION
Taller de implementación trabajando con una experiencia real
¿Sabía Ud. que…
• Las normas de seguridad de la información no son precisamente técnicas sino que se extienden a todas las actividades de una empresa con fuerte raíz en el paradigma de un buen Corporate Governance?
• La implementación de la norma de alcance universal ISO 27002 (anteriormente 17799) por medio de la ISO 27001 le garantiza el aseguramiento de sus operaciones corporativas y de e-commerce, porque los riesgos con que tratan se apoyan en la criticidad de los procesos y funciones de negocio?
• Las inversiones en seguridad de la información pueden justificarse adecuadamente gracias a una adecuada metodología para el cálculo del ROSI (Retorno Sobre la Inversión de Seguridad)?
• Además, tal implementación se armoniza con las normas de Gestión de Calidad (ISO 9001), Ambiental (ISO 14001), y de Seguridad e Higiene Ocupacional (OHSAS 18001)?
• El mapeado de algunos controles de las normas de seguridad permite: satisfacer requisitos de Continuidad de Negocios en cuanto a disponibilidad, integridad y confidencialidad de los activos corporativos; dar conformidad a la Sección 404 (a) de Sarbanes-Oxley; reducir los riesgos operacionales que bajo Basilea II implican un aumento del capital inmovilizado que deben mantener las entidades financieras; y dar cumplimiento a la protección de datos personales?
Las nuevas posibilidades de negocios electrónicos, las ventajas competitivas y de cumplimiento de leyes y regulaciones, y la necesidad y conveniencia del análisis de riesgos de negocios, abonan la problemática de la nueva era de las interrelaciones holísticas de un sistema de gestión de seguridad de la información: riesgos, normas de seguridad y relaciones con otros sistemas de gestión.
La práctica grupal extensiva e intensiva de un workshop agregado a la presentación y consideración de todo este material, permite desarrollar y verificar políticas, normas y controles de seguridad, así como incursionar en los aspectos más importantes del análisis de riesgos.
Duración: 3 días. Exposición: 10 horas. Taller de Trabajo: 14 horas revisando 42 documentos y realizando 16 trabajos prácticos.
Objetivos
Reconocer, revisar, analizar y articular:
• La evaluación de seguridad, el análisis y gestión de riesgos, y las herramientas para su tratamiento.
• Las normas ISO 17799 (hoy ISO 27002) y 27001 que rigen la seguridad de la información. Complementación, selección e implementación de controles.
• El aporte de integración de la familia de normas 27000 a la problemática de riesgos y seguridad.
• Las normas, estándares e información especializada de seguridad y análisis y gestión de riesgos.
• Análisis de un caso real de implementación de alcance corporativo de la ISO 27001.
• La participación activa en un taller de implementación de 14 horas revisando 42 documentos de trabajo y realizando 16 trabajos prácticos, con guía de los factores personales frente a medidas de seguridad
Metas a alcanzar
Finalizado el curso, los participantes podrán:
• Tener un sólido entendimiento de la forma de valuar y gestionar riesgos, y su relación a nivel corporativo.
• Diferenciar los riesgos organizacionales y operacionales de los meramente técnicos de sistemas ICT.
• Conocer los principales detalles de implementaciones reales.
• Poder llevar adelante una implementación exitosa y guiar al personal de su empresa.
• Comprender la importancia y ventajas de la armonización entre el sistema de gestión de seguridad de la información respecto de otras normas de gestión como las de Calidad y Ambiental.
• Tener las bases de la justificación de las inversiones en seguridad.
TEMARIO GENERAL DE LA PRESENTACION
INTRODUCCION
• Nuevos ambientes de trabajo y desafíos de las nuevas formas de negocios.
• Aproximación técnica y holística corporativa.
RIESGOS DE SEGURIDAD
• Assessment y evaluation, análisis y gestión de riesgos.
• Valuación de riesgos por las pérdidas. Análisis cualitativo, niveles y matriz de riesgos. Análisis cuantitativo, ALE, función del tiempo en impactos.
• Distribución de pérdidas LDA, pérdidas esperadas.
• Valor en Riesgo VaR, pérdidas no esperadas.
• Limitaciones del VaR, valores extremos en las distribuciones estadísticas.
• Limitaciones del LDA, aproximaciones estocásticas.
• Principios y guías de la OECD para determinar los tipos de riesgos. Riesgos organizacionales, operacionales, técnicos de sistemas TIC, y físicos. Seguridad de la Información vs. Seguridad Informática.
• Factores de riesgos de seguridad,
• Activos, Vulnerabilidades y Amenazas. Parámetros de seguridad básicos, CIA. Características y niveles de los factores de riesgo. Matriz de riesgos.
• Salvaguardas, características y niveles. Riesgos intrínseco, actual y residual.
NORMAS DE SEGURIDAD DE LA INFORMACION
• ISO 27002, Código de Prácticas para Gestión de la Seguridad de la Información. Áreas de cobertura. Objetivos de control. Controles, diversidad. Controles claves. Procedimientos.
• Conceptos de controles aplicables, valuación de riesgos, análisis gap, selección de controles.
• ISO 27001. Requisitos para la construcción de un Sistema de Gestión de Seguridad de la Información (ISMS/SGSI). Implementación de controles de la ISO 27002 por medio de las especificaciones del SGSI. Alcance. Declaración de Aplicabilidad (SoA).
• Modelo PDCA de mejoramiento continuo. Procesos de las cuatro fases del SGSI: Establecimiento, implementación y operación del SGSI, monitoreo y revisión, mantenimiento y mejoramiento.
• Documentación del SGSI, general, de control de documentos y de registros. Trazabilidad (traceability) y responsabilidad (accountability).
• Otros requisitos de la ISO 27001, responsabilidad gerencial, auditorias internas del SGSI, revisión gerencial y mejoramiento.
• Las guías de la OECD en la ISO 27001.
• Auditoría de Certificación. Pasos: Alcance, plan de trabajo, trabajo de campo, análisis e informes. Notificaciones. Auditorias internas. Riesgo de auditoría.
SERIE DE NORMAS 27000
• La nueva serie de normas 27k . Revisión, publicaciones existentes y proyectadas. Consolidación de la implementación de un SGSI.
GESTION DE RIESGOS DE SEGURIDAD
La nueva ISO 27005.
• Antecedentes, ISO 13335-3/4. El diagrama de flujo de la norma de gestión de riesgos AS/NZS 4360. Parámetros adicionales de seguridad: Autenticación y Responsabilidad.
• El aporte de la norma BS 7799-3.
BS 7799-3
• Gestión de riesgos de negocios, BRM.
• El Ciclo de Vida de la Gestión de riesgos de la BS 7799-3; las cuatro fases del ciclo PDCA.
• Valuación de riesgos. Criticidad de negocios, modelo multicapa de procesos, funciones de negocios y activos. Valuación de activos, dependencia. Valuación de amenazas y vulnerabilidades. Reajuste de niveles de riesgo y sus parámetros, coeficiente de importancia.
• Tratamiento de riesgos. Prioridades. Justificación de costos. Plan de Tratamiento de Riesgos, RTP.
• Monitoreo y revisión de riesgos, riesgo residual y revaluación. Métricas de gestión, características, categorías, tipos. Medición del desempeño, CSF y KPI. Informes de resultados.
• Mejoramiento del sistema de gestión de riesgos, cambios y ciclo de vida.
ISO 27004
• Métricas de gestión. Objetivos, eficiencia, efectividad.
• Modelo de un programa de ejecución de mediciones, entidades y atributos.
• Métodos de cuantificación y medición.
• Gestión del desempeño y la herramienta BSC.
• El aporte del estándar NIST 800-55v1. Mapeado controles ISO del NIST 800-53.
Normas de soporte adicional
• Normas ISO de extensión para Telecomunicaciones, Redes IT, Aplicaciones, Datos de salud.
• ISO 25999 para Continuidad de Negocios, ISO 20000/BS 15000 (ITIL) para gestión de servicios IT.
JUSTIFICACION DE LAS INVERSIONES EN SEGURIDAD
• ROSI y el caso de negocios (business case).
• El enfoque de negocios del BSC, Balanced Scorecard o Tablero de Comando. Perspectivas: Objetivos, Métricas y Targets. Factores Críticos de Éxito, CSF e Indicadores Claves de Desempeño, KPI. El BSC aplicado a la seguridad de la información.
AMBIENTES DE GESTION
• Alineamiento e integración de la ISO 27001 con otros sistemas de gestión por medio del ciclo PDCA: ISO 9001 (Calidad), ISO 14001 (Ambiental), OHSAS 18001 (Higiene y Seguridad Ocupacional) y BS 25999 (Continuidad de Negocios).
• Seguridad y organizaciones. Principios del Corporate Governance de la OECD. Corporate Governance y la ISO 27001.
• Gestión de riesgos y controles internos. Código Combinado del Reino Unido. Riesgos de negocios: Turnbull, implementación, sinergia con la ISO 27001. COSO/ERM.
HERRAMIENTAS DE IMPLEMENTACION
• Productos comerciales: CRAMM, COBRA, RA2 Art of Risk,
• Herramientas de libre acceso: BSI alemán, Guide (Canadá), Guideline (Australia), Magerit (España), Mehari (Francia), NIST 800-53 y 800-55 (USA), Octave (USA).
UNA EXPERIENCIA DE IMPLEMENTACION
• Relación y análisis de un caso real de implementación. Antecedentes y estrategias del proyecto. Realización.
EL FACTOR GENTE
• La resistencia a los cambios. Conocimiento, actitud y comportamiento. Comunicación. Participación y compromiso, resiliencia, inteligencia emocional.
• La cultura corporativa, redes sociales internas. Psicología Social, Programación Neurolinguística, PNL, y Coaching.
• El aporte del Kaizen.
NECESIDADES Y OPORTUNIDADES
• Escenarios de aplicación, mapeado de requisitos a controles de las normas de seguridad. Continuidad de Negocios y la disponibilidad de los procesos y activos críticos; la Ley Sarbanes-Oxley y la valuación y efectividad de la estructura y procedimientos de los controles internos; el Nuevo Acuerdo de Capitales Basilea II y los riesgos operacionales; la Protección de Datos Personales y la Disposición 11/2006.
• Formación del nuevo CISO: MBA en Seguridad de la Información; modelo de postgrado y maestría.
TALLER DE TRABAJO
Los asistentes trabajarán en grupos conformados en forma similar al Foro de Gestión que pide la norma. Se busca que el trabajo del Taller tenga características prospectivas en cuanto a las competencias conversacionales e interactivas, para que así el grupo mismo pueda definir adecuadamente las responsabilidades individuales, el trabajo en equipo y la forma de llevar adelante y mejorar las acciones correspondientes.
Se trabaja sobre 42 documentos de trabajo y se realizan 16 Trabajos Prácticos.
DOCUMENTOS SOBRE LOS QUE SE TRABAJA
1 - Documentación del taller
2 - Esquema general de procesos
3 - Diagrama de flujo
4 - Cronograma de implementación
5 - Alcance, política general, y políticas de uso
6 - Activos primarios clasificados, niveles
7 - Vulnerabilidades clasificadas, niveles
8 - Vulnerabilidades físicas, organizacionales y operacionales verificadas
9 - Vulnerabilidades verificadas Unix/Linux
10 - Vulnerabilidades verificadas Unix/Linux
11 - Vulnerabilidades físicas, organizacionales y operacionales verificadas
12 - Vulnerabilidades operacionales por Delphi
13 - Matriz de Riesgos
14 - Salvaguardas, tipos y niveles. Salvaguardas vs. Riesgos
15 - Centro de Cómputos - Amenazas vs. Vulnerabilidades
16 - Riesgos Centro de Cómputo
17 - Riesgos Servidor Windows
18 - Resumen riesgos servidores
19 - Vulnerabilidades y Riesgos Operacionales - Protección datos personales
20 - Prioridades reducción riesgos en un Activo
21 - Prioridades riesgos totales de Activos
22 - Lista de Controles ISO 27002:2005
23 - Punteo controles 27002:2005
24 - Controles clasificados por Acciones
25 - Controles vs. Parámetros seguridad
26 - Políticas de Uso
27 - Política de Contraseñas
28 - Contraseñas: Controles vs. Riesgos
29 - Vulnerabilidades a partir de controles
30 - Salvaguardas a partir de controles
31 - Cálculo de riesgo residual
32 - Controles de seguridad. Antecedentes y desarrollo
33 - Factor Gente
34 - Foro de Gestión
35 - Análisis Gap de riesgos según ISO 27002
36 - Métricas de Objetivos de Control ISO 27002
37 - Métricas de Controles ISO 27002
38 - Auditoría de Objetivos de Control ISO 27002
39 - Auditoría del SGSI
40 - Medición de desempeño: CSF, KPI y BSC
41 - Pérdidas productividad e ingresos
42 - ROSI, Cálculo con valores fijos
MATERIAL DE SOPORTE
• Preguntas y Respuestas sobre las Normas de Seguridad de la Información
• Gestión y Auditoría de Seguridad de la Información – Abstract
• Áreas y Objetivos de Control ISO 27002:2005
• Controles Claves ISO 27002:2005
• Seguridad Informática vs Seguridad de la Información
• Nuevas Perspectivas de la Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• Documentación necesaria para certificación ISO 27001
• Normas complementarias originales
• P&R ROSI, Retorno sobre la Inversión en Seguridad
• P&R Continuidad de Negocios
• P&R Bancos, Basilea II y Riesgos Operacionales
• P&R Sarbanes-Oxley y Seguridad de la Información
• P&R Protección de Datos Personales
• P&R Firma Digital y Factura Electrónica
• El ROI de la Seguridad y las Primas de seguro
• Sitios Web de información general
• Sitios de información de vulnerabilidades
• Información sobre el sistema alemán BSI
• Listado y enlaces de publicaciones de la serie 800 del NIST
• Mapeado controles NIST a controles ISO 27002
• Siglas y Acrónimos
CONTENIDO DEL CD
• Material del taller (42 documentos)
• ISO 27000 en Inglés
• ISO 27002 en Español
• ISO 27001 en Español
• Norma AS/NZS 4360 Risk Management
• Norma IRAM 17550 (Draft) Gestión de Riesgos
• Sistema Alemán BSI Risk Analysis
• Nuevo Manual BSI 2007
• NIST 800-53
• NIST 800-55v1
ROSI, EL ROI DE LA SEGURIDAD EMPRESARIAL
Nunca ha sido simple estimar el retorno de una inversión de seguridad por lo que se volvió usual recurrir al FUD: Temor, incertidumbre y duda. Y, de hecho, promoviéndose los llamados Penetration Tests. Pero todo eso hoy no basta para “vender” un proyecto de seguridad de la información. ROSI es la herramienta adecuada para mostrar valores posibles que justifiquen tal inversión, sobre todo cuando se recurre a simulaciones como Monte Carlo que permite transformar criterios cualitativos de probabilidades en estimados cuantitativos razonables de beneficio-costo de seguridad.
INTRODUCCION
• Las carencias del factor FUD: Temor, incertidumbre y duda.
• Problemática y estrategias. El caso de negocios.
CONCEPTOS BASICOS DE ROSI
• Objetivos. Reducción de las pérdidas por incidentes de seguridad.
• Valor y Costo de las salvaguardas o contramedidas.
• Cálculo básico de ROSI.
• Soporte para el análisis ROSI.
MODULOS DE SOPORTE
Economía y Finanzas
• Conceptos básicos para la evaluación de proyectos. Valor del dinero a lo largo del tiempo, valor actual y valor futuro. Costo de Oportunidad. Flujo de fondos o flujo de caja. Flujo de Caja descontado.
• Indicadores financieros. Período de recuperación de la inversión, PRI; el PRI descontado. Valor Actual Neto, VAN o NPV. Tasa interna de retorno, TIR o IIR. Retorno sobre la inversión, ROI. Valor económico agregado, EVA.
• Evaluación práctica de un proyecto, empresa y empresario.
Riesgos
• Análisis de riesgo. Expectativa de pérdidas anualizadas, ALE. Impactos y frecuencia de incidentes. Matriz de riesgo.
• Factores de riesgo de seguridad. Amenazas, activos y vulnerabilidades. Matrices extendidas de riesgo.
• Contramedidas preventivas, correctivas y de doble efecto.
Toma de Decisiones
• Curvas de indiferencia. Pérdidas de oportunidad. Incertidumbre y riesgo.
Estadística
• Sistemas estocásticos. Variables aleatorias.
• Funciones de densidad de probabilidad, funciones de probabilidad acumulada. Distribuciones de variables discretas y continuas. Curva normal. Valor medio, desviación estándar, moda o valor más probable, mediana, sesgo y curtosis. Normalización.
Simulación Monte Carlo
• Incertidumbre y simulación de las condiciones aleatorias.
• Características de la simulación Monte Carlo. Generación de números aleatorios.
• Aplicación de la simulación Monte Carlo. Riesgos cualitativos. Distribución de las variables de entrada. La Ley de los Grandes Números y el Teorema del Límite Central.
CALCULO DETALLADO DE ROSI
• Valorización de las salvaguardas.
• Costos indirectos y costos de oportunidad. Tipos de costos indirectos.
• Granularidad en los efectos individuales de las contramedidas.
• Forma valorizada del ROSI, VAN o NPV. Gastos recurrentes, tiempo de vida del proyecto, valores presentes. Indicadores complementarios.
• Análisis de los resultados.
PRACTICAS SOBRE HOJAS DE CALCULO
• Análisis de un proyecto de inversión genérico por medio de los indicadores financieros.
• Análisis ROSI de un proyecto de seguridad simplificado.
• Análisis de Riesgos y ROSI de un proyecto de seguridad amplio con variables de valores determinados.
• Análisis y revisión de Riesgos y ROSI de un proyecto de seguridad con variables estadísticas por medio de la simulación Monte Carlo.
CONTINUIDAD DE NEGOCIOS
La continuidad de las operaciones de una empresa depende en gran parte de una adecuada concientización así como del desarrollo de un plan que minimice las interrupciones de las funciones críticas y permita una recuperación rápida y eficiente de las operaciones comerciales. El análisis de los impactos y la valuación de riesgos son dos pilares en un plan de continuidad de los negocios, apoyado por planes de contingencia y recuperación de desastres. Otro punto importante es el adecuado balance de la relación costo-beneficio en la elección de las estrategias de gestión de riesgos.
Introducción a la Continuidad de Negocios
• La Continuidad de Negocios, BC. Objetivos.
• Plan de Continuidad de Negocios, BCP. Beneficios y estrategias.
• Recuperación de desastres, DR. Planes de Contingencia.
• BCM, el concepto de integración en la gestión de continuidad de negocios.
• Procesos de negocios. Funciones de soporte. Servicios y recursos.
Fases de un BCP
• Actividades de iniciación. Equipo y comité del proyecto.
• El Análisis de Impacto en los Negocios BIA. Cuestionario. Procesos de negocios sensibles al tiempo. Identificación de las funciones de los procesos críticos de negocio y su priorización. Impactos en las funciones de soporte. Objetivos RTO del Tiempo de Recuperación y RPO del Punto de Recuperación. Otros indicadores, downtime y outage.
• Valuación de riesgos. ALE, impactos y frecuencia de incidentes de interrupción. Escenarios de amenazas de fuerza mayor, fallas técnicas, actos deliberados y fallas humanas. Normas de seguridad.
• Estrategias de continuidad. Prevención, respuesta/reacción a incidentes, reanudación o recuperación, recuperación/reconstitución. Alternativas de recuperación, espejado sincrónico y asincrónico. Análisis de costo-beneficio.
• Implementación. Documentación del BCP.
• Pruebas de simulación y funcionales. Análisis y reporte de pruebas.
• Mantenimiento y actualización.
• Cultura de continuidad.
Relaciones con otros procesos operativos
• Desarrollo de sistemas, ciclo de vida, SDLC.
• Control de cambios, y cuestiones de seguridad.
El BCP y las normas de seguridad
• Revisión de los controles de la ISO 17799 específicos para la Gestión de la Continuidad de Negocios.
• Controles de la norma referidos al control de cambios de sistemas operativos y aplicaciones.
• Consideraciones de otros controles relacionados con la gestión de comunicaciones y operaciones, control de acceso, y desarrollo y mantenimiento de sistemas.
• Los condiciones de implementación de la norma ISO 27001.
Outsourcing y Auditoría
• Condiciones de un soporte externo para recuperación de desastres, ISO 27006.
• Checklist y auditoría de un BCP.
Taller de iniciación
Ocupa aproximadamente una hora y media al final del día; se trabaja en grupos conforme una de las opciones de trabajo:
• Desarrollar un BIA a partir de una plantilla y muestra de información de encuesta.
• Desarrollar un plan de Contingencias de IT o de Telecomunicaciones a partir de punteos al efecto.
• Desarrollar procedimientos de controles BCP de la ISO 17799.
SARBANES-OXLEY Y SEGURIDAD DE LA INFORMACION
La ley americana Sarbanes-Oxley, obligatoria para toda empresa que cotice en la bolsa de New York, establece las condiciones del sistema de controles internos financieros de una empresa. Como la IT es la base de tales reportes, los recursos correspondientes deben contener datos seguros que sólo pueden asegurarse con un sistema que provea confidencialidad, integridad y disponibilidad, es decir en definitiva, basado en controles de seguridad. Y aquí es donde naturalmente se aplican las normas de seguridad ISO 17799/27001 junto con las herramientas de gestión de riesgo.
INTRODUCCION
• Los fraudes contables del nuevo siglo.
• Los escándalos financieros de los 90.
CORPORATE GOVERNANCE
• La OECD y los Principios del Corporate Governance.
• Los controles internos.
LEY SARBANES-OXLEY
• Conceptos generales de la ley americana Sarbanes-Oxley, SOX.
• SEC y PCAOB; reglas y norma de auditoría.
• Controles internos y COSO. ERM y el manejo de los riesgos.
• La aproximación a la gestión de riesgos de la norma australiana AS/NZS 4360.
• SOX, riesgos y seguridad de la información.
LA PROBLEMATICA DEL RIESGO
• Riesgo e incertidumbre, modelos.
• Análisis de riesgo: Impacto y frecuencia de ocurrencia. Valuación, análisis cualitativo y cuantitativo.
• Análisis ALE, expresión de Courtney. Priorización, riesgos aplicables.
• Riesgos en seguridad de la información: amenazas, vulnerabilidades y activos. Gestión de riesgos, contramedidas o salvaguardas, riesgo residual.
NORMAS DE SEGURIDAD DE LA INFORMACION
• Norma ISO 17799, Código de Prácticas para Gestión de la Seguridad de la Información. Areas de cobertura, objetivos de control, y controles de seguridad de la información.
• La ISO 27001 como mecanismo de implementación de los controles de la ISO 17799. Aplicación del modelo de gestión PDCA de Deming. El alcance, especificaciones y certificación del Sistema de Gestión de Seguridad de la Información (SGSI). Las Guías de Seguridad de la OECD.
• Secciones de la ley Sarbanes-Oxley relevantes para la seguridad de la información. Revisión de los principales objetivos y controles de seguridad para dar cumplimiento a la ley.
CODIGO COMBINADO Y TURNBULL
• Reportes Cadbury, Greenbury y Hampel. El Código Combinado del Gobierno Corporativo.
• Alcance extendido de los controles internos, evaluación de su efectividad.
• El enfoque Turnbull, gestión de riesgos de negocios y los controles internos.
• La implementación Turnbull. Sinergia de la ISO 27001 con la implementación Turnbull.
• SOX, COSO y Turnbull.
BANCOS Y BASILEA II
• Los riesgos operacionales de las organizaciones financieras en el nuevo acuerdo de capitales Basilea II.
TALLER
Ocupa aproximadamente una hora al final del día; se trabaja en grupos conforme una de las opciones de trabajo:
• Estipulación de los puntos de auditoría interna, revisión y responsabilidad gerencial de las Secciones 5 y 6 de la ISO 27001, relacionados con la Sección 404 (a) de Sarbanes-Oxley.
• Desarrollar procedimientos de controles de algunas de las seis áreas de la ISO 17799, relacionadas con alguno de los cuatro controles generales de las actividades de control referidas a Sarbanes-Oxley.
Especial: WLANs: Seguridad de Voz y Datos
La cada vez mayor difusión de las WLANs potenciadas con mayores velocidades y hasta el manejo de la voz, trae a este escenario particular de las comunicaciones inalámbricas una cantidad de complejidades de uso que facilitan nuevos y viejos ataques y fallas de seguridad más allá de lo habitual en las redes cableadas. Efectivamente, hay una cantidad de factores propios de las comunicaciones radiales que es necesario conocer para tener una visión más clara de las nuevas problemáticas de seguridad de estos ambientes.
TRANSMISION DE DATOS
• Señales analógicas y digitales, características. Medios de transmisión.
• Portadora, modulación. Velocidades de señalización y de datos, eficiencia de modulación. Unidades de medición.
• Ruido; tasa de error, BER. Relación portadora a ruido.
• Detección y corrección de errores, FEC.
• Multiplexado de señales por frecuencia y tiempo.
• Spread Spectrum, CDMA.
TRANSMISION DE SEÑALES POR RADIO
• Propagación de señales, longitud de onda, atenuación, potencia de transmisión, antenas.
• Microondas. Línea de vista, despojamiento.
• Desvanecimientos, multitrayectoria y efectos de la lluvia. Sensibilidad del receptor. Margen de desvanecimiento.
• Comparación de enlaces en microondas.
• Limitaciones por multitrayectoria; OFDM.
LANs INALAMBRICAS
• Transmisión de datos por WLANs. Norma 802.11, método de acceso, paquetes. Punto de Acceso a redes cableadas.
• Células, reutilización de frecuencias, roaming.
• Normas Wi-Fi, 802.11b, 802.11a y 802.11g. Velocidades, bandas de frecuencia. Distancia vs. Velocidad. La 802.11n para 100 Mbps.
• Space diversity, NLOS, mecanismo MIMO.
SEGURIDAD EN WLANs
• Protección básica, privacidad e integridad de datos, autenticación de origen.
• Acceso inicial, SSID. Autenticación con clave compartida.
• Protocolo WEP, limitaciones. Otras vulnerabilidades.
• Autenticación EAP y protocolos derivados; autenticación 802.1x.
• Mejoramiento de la encripción con WEP; TKIP, WPA.
• La norma de seguridad 802.11i, WPA2.
• Consideraciones generales de la seguridad wireless.
• Recomendaciones para el SSID y AP. Contramedidas, DHCP, SNMP.
• IPSec, protocolos y modos de operación.
• NAT, esquemas típicos. NAT Traversal para IPSec.
• VPN inalámbrica.
• Ataques activos y pasivos. Envenamiento del Caché ARP.
VOZ EN WLANs
• Introducción a VoIP wireless. Prioridades con la 802.1e, Vo-Fi.
• Digitalización de la voz.
• Parámetros de Calidad de Servicio, QoS.
• Operación en tiempo real, RTP, conformación de paquetes de voz.
• Prioridades entre extremos; 802.11e, SSID, 802.1p y DiffServ.
• Problemas y soluciones con firewalls y NATs.
• Protocolos para el establecimiento de llamadas, SIP, H.323.
• Seguridad VoIP wireless, SRTP.
MANEJO DE RIESGOS EN WLANs
• Normas de seguridad ISO 17799/ISO 27001.
FIRMA DIGITAL Y FACTURA ELECTRONICA
Las leyes de firma digital abren múltiples posibilidades a operaciones comerciales y administrativas. Algunas diferencias con las firmas manuscritas imponen una adecuada revisión de las cuestiones legales que se suscitan. Los certificados digitales y la infraestructura que requieren son el soporte necesario para las firmas digitales. Pero, además, constituyen la base de una gran cantidad de aplicaciones en diferentes áreas que van desde la Factura Digital, con todas las ventajas operativas que implica, hasta la encripción y firma digital selectiva dentro de un mismo documento.
FIRMAS DIGITALES
• Introducción a la despapelización de oficinas: sistemas de imaging y firma digital.
• Firma manuscrita. Firma electrónica y firma digital. Tipos de Firma Electrónica.
• Seguridad en transacciones electrónicas, encripción, funciones de autenticación.
• El proceso de firma digital, claves y certificados digitales.
• Extensiones de seguridad, protocolos de transporte.
• Certificados digitales, formato, contenido.
PKI, INFRAESTRUCTURA DE CLAVES PUBLICAS
• Sistemas PKI. Componentes, autoridad de certificación y autoridad de registro, emisión de certificados digitales, clases de certificados digitales.
• Administración PKI. Requisición de certificados, almacenamiento y publicación, revocación, certificación cruzada, generación de claves y módulos inteligentes, recuperación de claves, sellado de fecha y hora.
• Riesgos de seguridad de una PKI, verificación de certificados, claves privadas.
LEGISLACION Y NORMATIVAS
• Aspectos básicos de la ley y reglamentación de la Firma Digital Argentina.
• Ordenamiento en Argentina. Ente administrador. Certificadores, normas de licenciamiento, certificadores licenciados y no licenciados.
• Tipos de Certificados Digitales, validez de las firmas.
• El No Repudio y la Carga de la Prueba; los casos de la firma digital y la firma electrónica.
APLICACIONES DE FIRMA DIGITAL
• El XML en documentos: firmas digitales múltiples y encriptado selectivo de datos. Firma XML, XML canónico, administración de claves XKMS, extensiones de autenticación con SAML, acceso común de comunicaciones SOAP. Encriptado XML.
• Soporte de sistemas operativos.
• Aplicaciones generales. E-procurement, subasta inversa. Portales PKI, PKI inalámbrica. Outsourcing.
FACTURACION ELECTRONICA
• Factura electrónica, beneficios, formato, contenido, archivos, transmisión.
• El régimen AFIP de Factura Electrónica, registro, operación, validación CAE.
SISTEMAS DE COMERCIO ELECTRONICO
• Transacciones comerciales seguras. Integración en sistemas de gestión. Sistemas de e-commerce.
• El EDI, características, difusión, limitaciones.
• EDI por Internet, EDIINT y XML/EDI.
• El ebXML.
VPNs, REDES PRIVADAS VIRTUALES
El e-commerce y las comunicaciones remotas a través de Internet ponen exigencias de seguridad que puede satisfacer una VPN incluso con accesos wireless. Las necesidades de calidad de servicio pueden obtenerse con redes económicas de trayectorias con características identificadas por paquetes etiquetados. El acceso remoto, finalmente, abre nuevas posibilidades con DSL y cable modem, así como una alternativa gracias a la seguridad presente en los navegadores tradicionales.
INTRODUCCION
• Redes privadas virtuales: antecedentes, virtualidad y privacidad.
MECANISMOS DE SEGURIDAD
• Mensajería segura, algoritmos de encriptado, funciones hash y hashing con clave, firma digital. Protocolos. Certificados digitales, PKI.
• Control de acceso: contraseñas; autenticación fuerte; contraseñas de única vez; Kerberos; tarjetas token; mecanismos biométricos.
• Acceso remoto: SSH, SSL. Autenticación, servidores RADIUS y TACACS+.
TUNELIZACION
• Túneles y encapsulado. Cliente y Gateway VPN.
• Encapsulado PPP, extensiones de autenticación EAP.
• Protocolos de Tunelización de Capa 2: PPTP y L2TP.
IPSec
• Autenticación, control de integridad de datos y privacidad; protocolos AH y ESP.
• IKE, intercambio de claves IPSec, limitaciones. Autenticación remota XAUTH, Híbrida, CRACK y PIC. Mejoras del IKE, IKEv2 y JFK.
• Modos de operación túnel y transporte. Compresión IP.
• NAT, NAPT, incompatibilidades con IPSec, intercambios IKE. NAT Traversal, restricciones, RSIP.
• Acceso remoto, configuración cliente-gateway con L2TP/IPSec. Seguridad, split tunneling.
• Redes wireless, limitaciones WEP, túneles.
• Conectividad entre sitios, configuración gateway-gateway. DNS dinámico.
OPERACION DE VPNs
• Formas de conectividad.
• Acceso remoto e inalámbrico. Servidores SSL, comparación VPNs basadas en IPSec vs. SSL.
• Intranets extendidas, y extranets (B2B y B2C).
• Ubicación del gateway VPN, fail-over.
• Outsourcing, redes administradas.
• Modos de provisión: VPNs basadas en CPE y basadas en Red (POP). Comparaciones.
CALIDAD DE SERVICIO
• Calidad de Servicio QoS, disponibilidad, retardos, jitter, velocidad de respuesta, tasa de pérdida de paquetes. Recomendación Y.1541.
• Gestión de colas, FIFO, prioridades, CBQ. WFQ y WRED. Congestión, slow start. Traffic shaping, balanceador de carga.
• IntServ, RSVP, SBM.
• DiffServ, CoS, TOS y DS, formas de PHB. Clasificación y acondicionamiento del tráfico.
• SLA: Respuesta, retardo, disponibilidad, mediciones. SLA para VPNs.
REDES DE BACKBONE
• Plataformas MPLS, despacho de paquetes por etiquetas. Protocolos y dispositivos: FEC, LDP, LER, LSR, LSP.
• Soporte QoS del MPLS. Ingeniería de tráfico, extensiones CR-LDP y RSVP-TE.
• VPNs a través de backbones MPLS: De Capa 3, BGP/MPLS (RFC 2547bis); tunelización de Capa 2, punto a punto Martini y multipunto VPLS. Comparaciones Capas 2 y 3.
• Conceptos de VoIP sobre VPNs en redes MPLS. SCTP, multihoming. VoIPoMPLS y VoMPLS.
Nuevo: FUNDAMENTOS DE SEGURIDAD EN REDES E INTERNET
El e-commerce, los usuarios remotos, los accesos de banda ancha, las comunicaciones wireless y el teletrabajo por un lado, y los ataques externos e internos a una red por el otro, imponen a una empresa situaciones de riesgo diferentes a las tradicionales, que hay que asumir y administrar apelando a medidas de protección en un entorno adecuado de políticas de seguridad informática. ¿Qué se necesita saber para integrar la seguridad informática a los objetivos de negocios?
AMBIENTES DE CONECTIVIDAD DE REDES Y SITIOS WEB.
• ¿Qué son las redes de comunicaciones?
• ¿Cuáles son las WANs más comunes?
• ¿En qué consiste la paquetización de datos?
• ¿Qué tipo de direccionamiento tienen los paquetes?
• ¿Qué hace un enrutador?
• ¿Cuáles son las características más importantes de Internet?
• ¿Cómo trabaja un switch?
• ¿Qué es una vLAN?
COMUNICACIONES ELECTRONICAS SEGURAS.
• ¿Cuáles son los requisitos básicos de una mensajería segura?
• ¿De qué maneras se pueden encriptar mensajes y documentos?
• ¿Para qué sirven las funciones hash?
• ¿Qué requerimientos de seguridad satisface la Firma Digital?
• ¿Qué son los Certificados Digitales y cómo se usan?
MECANISMOS DE PROTECCION DE UNA RED.
• ¿Cuáles son los métodos de ataque que usan los hackers?
• ¿Cuáles son las limitaciones de los firewalls?
• ¿En qué se diferencian los diferentes tipos de IDS?
• ¿Cómo se pueden determinar las vulnerabilidades técnicas de una red?
• ¿En qué consiste la seguridad que aporta un túnel VPN?
• ¿Qué caracteriza una extranet y qué condiciones de seguridad se imponen?
• ¿Cuáles son los usos posibles del acceso remoto con SSL?
RIESGO INFORMATICO DE UNA EMPRESA.
• ¿Para qué sirven las pruebas de penetración?
• ¿Qué factores afectan el riesgo de los activos de una empresa y cómo interactúan?
• ¿En qué consiste la gestión de riesgo?
NUEVOS AMBIENTES DE TRABAJO
• ¿Qué problemáticas plantean las conexiones de acceso remoto?
• ¿Cuáles son las medidas de seguridad en las comunicaciones de una empresa con sus trabajadores a través de Internet?
• ¿Cuáles son las limitaciones del WEP en las comunicaciones wireless?
• ¿Cuál es la ventaja de la autenticación con la 802.1x?
• ¿Cuál es la diferencia entre WPA y la norma 802.11i?
RIESGO INFORMATICO DE UNA EMPRESA
• ¿Qué tipos de vulnerabilidades hay?
• ¿Cuáles son las implicancias de las vulnerabilidades organizacionales?
• ¿Para qué sirven las pruebas de penetración?
• ¿Qué factores afectan el riesgo de los activos de una empresa y cómo interactúan?
• ¿En qué consiste la gestión de riesgos?
POLITICAS DE SEGURIDAD INFORMATICA.
• ¿De qué manera se plantean las políticas, procedimientos y plan de seguridad?
• ¿Cuáles son los objetivos de una auditoría de seguridad?
• ¿Es certificable la norma ISO 17799? ¿Por qué?
• ¿Cómo se aplican los controles de la ISO 17799 en la BS 7799-2?
• ¿Cuáles son las principales características de la nueva versión BS 7799-2:2002?
SEGURIDAD EN REDES INTERNET
La seguridad en el acceso local y remoto a recursos y el control de los usuarios, especialmente en los nuevos ambientes de trabajo de banda ancha e inalámbrico, requieren decisiones estratégicas a una empresa. Las múltiples formas de ataque y sus consecuencias imponen diferentes mecanismos de control que van mucho más allá de un simple control de acceso a Internet. Así es como la valuación del riesgo informático como parte de los riesgos operacionales se extiende desde los grandes bancos a las PYMEs.
PROTOCOLOS BASICOS DE INTERNET
• Funcionalidades de comunicación, modelo de Capas, paquetes y encabezamientos.
• Paquete Ethernet, direccionamiento MAC e IP.
• Direcciones IP, clases, sistema de bloques CIDR. Direcciones privadas y reservadas. NAT y NAPT.
• TCP, puertos, sockets. Sesiones TCP.
• Encabezamiento UDP.
• Usos del ICMP.
MENSAJERÍA SEGURA
• Privacidad: Técnicas de encriptado; claves secretas y claves públicas.
• Integridad: Funciones Hash y Compendios de Mensajes.
• Autenticación de usuarios: Firma Digital. Complementación de seguridad.
• Certificados Digitales; formato X.509. Autoridades de Certificación, PKI.
• Manejo de claves. Tarjetas inteligentes, HSM.
• Aplicaciones de firma y encripción con XML.
• Protocolos de aplicación de mensajería segura: S/MIME, SSL, TLS, SET, IPSec.
ACCESO DE USUARIOS A RECURSOS
• Niveles de reconocimiento e identificación de usuarios.
• Contraseñas, características y limitaciones. Contraseñas de única vez, OTP. Autenticación Kerberos.
• Tarjetas token, esquemas de doble factor.
• Identificación y verificación biométricas, sistemas y limitaciones.
• Acceso remoto: Telnet y SSH; autenticación RADIUS y TACACS+.
• Tipos de VPN: acceso remoto, intranets extendidas y extranets.
• Túneles VPN; protocolos. IPSec y acceso remoto con SSL.
ATAQUES A UN SITIO
• Métodos de ataque.
• Negación de Servicios, efecto multiplicador, DDoS; acciones de un ISP.
• Virus, ambientes y algoritmos de operación, gusanos y Caballos de Troya. Antivirus, administración, centralización.
• Software indeseado no reproductivo, troyanos, filtrado de contenidos.
• Spam, ataques phising y DoS. Técnicas de filtrado y puntos estratégicos de protección.
• Ingeniería social.
• Mecanismos de seguridad.
FIREWALLS
• Modos de operación y tipos de firewalls; procesamiento y seguridad.
• Filtros de paquetes.
• Servidores proxys, Socks. Gateways de Aplicación.
• Filtros Dinámicos; seguimiento del estado de las sesiones. Reglas de configuración.
• Host Bastión Apantallado y Gateway de Doble Domicilio.
• Subred Apantallada. DMZ, servidores públicos y base de datos, ubicación, DMZ múltiples.
• Principales controles de ingreso y egreso.
DETECCION Y PREVENCION DE INTRUSIONES
• Sistemas de Detección de Intrusiones. Captura y análisis de la información. Respuestas, positivos falsos y desconfiguraciones.
• Tipos: IDS de Red; IDS de host, endurecimiento y apantallado de servidores Web.
• Limitaciones de los IDS, TAP.
• Funcionamiento de las herramientas para prevención de intrusiones, IDP.
• Emulación de servicios para monitoreo de ataques: Honey pots.
EVALUACION DE VULNERABILIDADES
• Formas de evaluación. Escaneado de sitios y redes.
• Sniffing, detección.
• VLANs, switches, seguridad.
• Integración de las herramientas de seguridad.
ACCESOS REMOTOS E INALAMBRICOS
• Comunicaciones discadas. Protocolo PPP.
• Conexiones permanentes de ADSL, modem de cable y wireless.
• Medidas de seguridad de PCs hogareñas y pequeñas redes, compartición con NetBIOS.
• Túneles VPN en comunicaciones remotas; split tunneling.
• Ambientes de trabajo móvil. Seguridad en WLANs, WEP, limitaciones. Autenticación EAP y protocolos derivados; norma de autenticación 802.1x. Mejoras de encripción compatibles, TKIP, WPA. Norma de seguridad inalámbrica 802.11i, WPA2.
CONCEPTOS BASICOS DEL RIESGO INFORMATICO
• Factores de riesgo.
• Las Tops 20 vulnerabilidades de Windows y Unix/Linux.
• Introducción a la auditoría de seguridad informática. Recomendaciones ISO 17799. Implementación y certificación BS 7799-2:2002.
TECNICAS FORENSES APLICADAS A MEDIOS DE ALMACENAMIENTO
• Rastros ocultos de ataques o actividades en un disco.
• Rasgos principales de los procedimientos legales y técnicos, herramientas.
PRACTICAS DE ESCANEADO DE DISCO Y DEL SITIO WEB PROPIO
• Recuperación de información oculta de directorios y archivos en disco.
• Verificación de vulnerabilidades en registros Windows.
• Escaneado de direcciones y puertos Web. Uso de herramientas de análisis.
Nuevo: RIESGOS Y SISTEMAS DE GESTION CORPORATIVOS
Escándalos contables y financieros como los de Enron y WorldCom provocaron reacciones como la Ley Sarbanes-Oxley de Estados Unidos. Sucesos similares, ocurridos hace más de 10 años en Inglaterra dieron origen a desarrollos referidos al Corporate Governance e introdujeron la gestión de riesgos de negocios, con los que se liga fuertemente la gestión de riesgos de seguridad informática, y de aquí los sistemas de gestión de las ISO 9001 y 14001, e incluso la gestión de riesgos operacionales, tema presente en la agenda de los bancos conforme el Acuerdo de Capitales Basilea II.
LA PROBLEMATICA DEL RIESGO
• Riesgo e incertidumbre, modelos.
• Riesgos, elementos de análisis: amenazas, vulnerabilidades y activos.
• Valuación de riesgos, análisis cualitativo y cuantitativo.
• Gestión de riesgos, contramedidas o salvaguardas, riesgo residual.
• El ciclo PDCA como modelo de gestión de Deming.
CORPORATE GOVERNANCE
• Los fraudes contables del nuevo siglo y los escándalos financieros de los 90.
• La ley americana Sarbanes-Oxley.
• Los controles internos.
• La OECD y los Principios del Corporate Governance.
• Reportes Cadbury, Greenbury y Hampel. El Código Combinado del Gobierno Corporativo.
• Turnbull y la gestión de riesgos de negocios.
• La implementación Turnbull.
ASEGURAMIENTO OPERATIVO DE UNA EMPRESA
• La imagen de una empresa y las exigencias del e-commerce y el acceso a sus redes informáticas.
• ISO/IEC 17799, Código de Prácticas para Gestión de la Seguridad de la Información. Areas de cobertura, objetivos de control, y controles de seguridad informática.
• Norma británica BS 7799-2 como mecanismo de implementación de controles de la ISO 17799. Las especificaciones y certificación del Sistema de Gestión de Seguridad de la Información (ISMS)
bajo el modelo PDCA. Las Guías de Seguridad del OECD.
CONTROLES INTERNOS Y GESTION DE RIESGOS
• Alcance de los controles internos, evaluación de su efectividad.
• Sarbanes-Oxley y las Reglas del SEC.
• El ERM de COSO y el manejo de los riesgos.
• El enfoque Turnbull, los riesgos de negocios y los controles internos.
• Sinergia de la BS 7799-2:2002 con la Implementación Turnbull.
• Armonización y alineamiento de la BS 7799-2:2002 con las ISO 9001 (Calidad), ISO 14001 (Ambiental) y OHSAS 18001 (Higiene y Seguridad Ocupacional).
• Las estrategias corporativas y el sistema integrado de gestión de negocios.
• Los riesgos operacionales de las organizaciones financieras en el Nuevo Acuerdo de Capitales Basilea II.
AUDITORÍA DE SEGURIDAD INFORMÁTICA
Crece el interés por la norma de seguridad informática ISO/IEC 17799. Sin embargo el NIST (Instituto Nacional de Normas y Tecnología) americano dice: "17799 does not provide enough information to support an in-depth organizational information security review, or to support a certification program." Aún así, esta guía de buenas prácticas se puede complementar con la BS 7799-2:2002 de gestión de riesgos de seguridad que sí es certificable e incluso está alineada con normas como las ISO 9001 y 14001, al tiempo que mantiene una fuerte sinergia con la gestión de riesgos de negocios.
ANTECEDENTES
• El e-commerce y los desafíos de las nuevas formas de conectividad.
• Evolución en el diagnóstico de seguridad de una red: la valuación de vulnerabilidades y las pruebas de penetración.
• El rol tradicional de la auditoría informática. La protección de recursos y la seguridad informática.
LA PROBLEMATICA DEL RIESGO
• Riesgos, elementos de análisis: amenazas, vulnerabilidades y activos.
• Valuación de riesgos, análisis cualitativo y cuantitativo.
• Gestión de riesgos, contramedidas o salvaguardas, riesgo residual.
• El Corporate Governance y los controles internos. Principios de la OECD. El Código Combinado sobre gobierno corporativo. El reporte Turnbull y su implementación, riesgos de negocios y sus controles.
NORMAS
• ISO/IEC 17799, Código de Prácticas para Gestión de la Seguridad de la Información. Origen, recomendaciones para los objetivos de seguridad. Areas de cobertura, objetivos de control, y controles. Controles claves. Opciones e importación. Alcance y limitaciones.
• Norma británica BS 7799-2. Estructura del Sistema de Gestión de Seguridad de la Información (ISMS). Implementación de controles de la ISO 17799 por medio de las especificaciones del ISMS, Enunciado de Aplicabilidad (SoA).
• La nueva BS 7799-2:2002. Soporte a las Guías de Seguridad de la OECD. Escenario integral de la ISMS y el modelo PDCA de mejoramiento continuo. Armonización con las ISO 9001 (Calidad), ISO 14001 (Ambiental) y OHSAS 18001 (Higiene y Seguridad Ocupacional). Sinergia con la implementación Turnbull de riesgos de negocios. Análisis Gap. Esquemas de certificación.
• Normas complementarias: ISO 13335, Directrices para la Gestión de la Seguridad IT (GMITS); ISO 15408, Criterios Comunes (CC) para la Evaluación de la Seguridad IT; ISO 21827, Madurez de Sistemas de Seguridad.
Herramientas: CRAMM, COBRA, MAGERIT, RA Software Tools. Publicaciones de ayuda del BSI.
• Sistemas de control interno: Auditoría corporativa, COSO, ley Sarbanes-Oxley y el ERM/COSO. Auditoría de sistemas, COBIT.
WLANs, LANs Inalámbricas
Las comunicaciones por radio vienen avanzando aceleradamente en especial en el rango de las microondas. Las redes inalámbricas de datos han incrementado notablemente su velocidad y además de su uso interno están logrando por medio de los hotspots una ubicuidad de acceso que multiplica sus aplicaciones, al tiempo que se imponen cuidados especiales respecto a la seguridad de las transmisiones. Una nueva norma establece las condiciones para la transmisión de la voz simultáneamente con los datos a través de estas redes, y así complementar dicha funcionalidad en redes cableadas IP.
TRANSMISION DE DATOS
• Señales analógicas y digitales, características. Ancho de banda, banda base.
• Portadora, sistemas de modulación, símbolos. Velocidades de señalización y de datos, eficiencia de modulación.
• Ruido; tasa de error, BER. Decibel, dBm. Relación portadora a ruido. C/N y eficiencia de modulación.
• Detección y corrección de errores. FEC: Reed Solomon, convolucional; efectos en C/N y BER.
• ISI, interferencia intersímbolos. Compensación, factor de roll-off, comparaciones de ancho de banda y velocidad de datos.
• Digitalización, PCM. Modems.
• Multiplexado de señales por frecuencias y tiempo. Acceso múltiple.
• Spread Spectrum, técnicas de esparcido, CDMA.
TRANSMISION DE SEÑALES POR RADIO
• Propagación de señales, longitud de onda, atenuación. Fresnel, potencia efectiva de transmisión, antenas.
• Microondas, bandas. Línea de vista, despejamiento.
• Desvanecimientos selectivos y planos, multitrayectoria y efectos de la lluvia. Sensibilidad del receptor. Margen de desvanecimiento.
• Cálculo y comparación de enlaces en microondas.
LANs INALAMBRICAS
• Transmisión de datos con LANs inalámbricas. Método de acceso, paquetes.
• Enlaces inalámbricos punto a punto.
• Comunicaciones con redes cableadas, punto de acceso, células, reuso de frecuencia, roaming.
• Familia de normas 802.11: La 802.11b o Wi-Fi, 802.11a y 802.11g. Velocidades, bandas de frecuencia. Distancia vs. velocidad. La 802.11n, propuestas para una WLAN de más de 100 Mbps.
• Limitaciones por multitrayectoria. Sistemas OFDM para redes de alta velocidad, ortogonalidad, subportadoras, compartición.
• Space diversity, smart antenas. NLOS y mecanismo MIMO.
• Seguridad básica, WEP, limitaciones. Autenticación EAP y protocolos derivados; norma de autenticación 802.1x. Mejoras de encripción compatibles, TKIP, WPA. Norma de seguridad inalámbrica 802.11i, WPA2.
• Hotspots. Características y funcionalidades, capacidad de llamadas, backhaul a Internet.
VOZ POR REDES INALAMBRICAS
• Digitalización. Parámetros de Calidad de Servicio QoS.
• Vo-Fi, soporte QoS, prioridades 802.11e.
• WiMAX, norma 802.16a; extensión a comunicaciones móviles, 802.16e.
WIRELESS PARA INFORMATICOS
Las comunicaciones por radio vienen avanzando rápidamente especialmente de la mano de los celulares que acceden a Internet. Por su parte, las redes inalámbricas de datos han incrementado notablemente su velocidad y están logrando una ubicuidad de acceso que multiplica sus aplicaciones, al tiempo que impone cuidados especiales respecto a la seguridad de las transmisiones. La voz también se viene como otra aplicación de las redes inalámbricas. Mientras, la mentada convergencia de celulares y redes inalámbricas se mantiene como desarrollos individuales paralelos.
TRANSMISION DE DATOS
• Señales analógicas y digitales, características. Ancho de banda, banda base.
• Portadora, sistemas de modulación, símbolos. Velocidades de señalización y de datos, eficiencia de modulación.
• Ruido; tasa de error, BER. Decibel, dBm. Relación portadora a ruido. C/N y eficiencia de modulación.
• Detección y corrección de errores. FEC: Reed Solomon, convolucional; efectos en C/N y BER.
• ISI, interferencia intersímbolos. Compensación, factor de roll-off, comparaciones de ancho de banda y velocidad de datos.
• Digitalización, PCM. Modems.
• Multiplexado de señales por frecuencias y tiempo. Acceso múltiple.
• Spread Spectrum, técnicas de esparcido, CDMA.
TRANSMISION DE SEÑALES POR RADIO
• Propagación de señales, longitud de onda, atenuación. Fresnel, potencia efectiva de transmisión, antenas.
• Microondas, bandas. Línea de vista, despejamiento. Desvanecimientos selectivos y planos, multitrayectoria y efectos de la lluvia. Sensibilidad del receptor.
• Cálculo y comparación de enlaces en microondas.
SISTEMAS CELULARES
• Celulares digitales. PCS, métodos de acceso, CDMA, TDMA. GSM, infraestructura.
• Cobertura, células, reuso de frecuencias. Servicios de datos, WAP. Bluetooth.
LANs INALAMBRICAS
• Transmisión de datos con LANs inalámbricas. Enlaces punto a punto. Interconexión con redes cableadas, punto de acceso, roaming.
• Familia de normas 802.11, Wi-Fi, 802.11a y 802.11g. Velocidades, bandas de frecuencia. Distancia vs. velocidad.
• Limitaciones por multitrayectoria. Sistemas OFDM para redes de alta velocidad, ortogonalidad, subportadoras, compartición.
• Seguridad básica, WEP, limitaciones. Autenticación EAP y protocolos derivados. Estándar 802.1x. Mejoras de encripción compatibles, TKIP, WPA. Estándar 802.11i.
• Hotspots. Características y funcionalidades, principios de configuración, backhaul a Internet.
CONVERGENCIA
Voz y datos: La generación intermedia: GPRS, EDGE. Las nuevas generaciones, 3G, 3.5G y 4G, normas. Celulares con tecnología Wi-Fi.
• Datos y voz: VoIP; VoWLAN, 802.11e y soporte QoS. La 802.11n, WLAN de 100 Mbps.
COMUNICACIONES PUNTO A PUNTO DE BANDA ANCHA
• Enlaces por microondas terrestres: MMDS y LMDS. Sectorización de antena. NLOS, comunicaciones sin línea de vista.
• La normalización del BWA, 802.16 y 802.16a; extensión a comunicaciones móviles, 802.16e.
INTRODUCCIÓN A LAS TELECOMUNICACIONES
Las telecomunicaciones vienen recibiendo un fuerte impulso en los últimos años. La necesidad de reducir costos impulsa el uso tanto de redes públicas mejoradas como de infraestructuras de mayor nivel para nuevos servicios de valor agregado, que ofrecen calidad de servicio y transmisión multimedia como la voz a través de redes de datos. El acceso remoto ofrece actualmente varias opciones efectivas en costo de banda ancha, es decir, de mayores velocidades. Los sistemas wireless, por su parte, crecen rápidamente tanto en el ambiente de celulares como en el manejo de datos.
TRANSMISION DE DATOS
• Señales analógicas y digitales, características. Ancho de banda, banda base.
• Portadora, sistemas de modulación, símbolos. Velocidades de señalización y de datos, eficiencia de modulación.
• Ruido; tasa de error, BER. Decibel, dBm. Relación portadora a ruido. C/N y eficiencia de modulación.
• Detección y corrección de errores. FEC: Reed Solomon, convolucional; efectos en C/N y BER.
• ISI, interferencia intersímbolos. Compensación, factor de roll-off, comparaciones de ancho de banda y velocidad de datos.
• Digitalización, PCM. Modems telefónicos.
• Multiplexado de señales por frecuencias y tiempo. Líneas asincrónicas, T1 y E1. Acceso múltiple.
• Spread Spectrum, técnicas de esparcido, CDMA.
• Fibra óptica, transmisión multimodo y monomodo. Sistemas sincrónicos Sonet/SDH. Multiplexado por división de longitud de onda, WDM denso.
WANs y BACKBONES
• Conectividad, LANs, paquetes, protocolos, sockets, interconexión de redes.
• Redes X.25.
• Redes Frame Relay: CPE y POP, PVC. Velocidades de transmisión, CIR, ráfagas en exceso. Control de flujo. Voz sobre Frame Relay, fragmentación de paquetes de datos.
• Redes digitales para voz y datos, ISDN, multiplexor inverso.
• ATM, celdas, capa de adaptación.
• Parámetros de Calidad de Servicio QoS y Clase de Servicio CoS. DiffServ.
• MPLS, etiquetado, protocolo, aplicaciones.
• POS, paquetes en enlaces Sonet/SDH.
• Conmutación Ethernet de 1 Gbps. 10Gigabit Ethernet.
• Internet, routers, dominios, servidores DNS.
• Internet 2, proyectos y alcances.
• VPN, tunelización, IPSec, plataformas MPLS. Acceso remoto SSL.
• Plataformas MPLS para VPNs.
REDES MULTIMEDIA
• Voz sobre redes IP. Retardos, compresión. Gateway de medios, controlador, señalización.
• Televisión digital, videoconferencia, redes de videocable, HFC.
TRANSMISION DE SEÑALES POR RADIO
• Propagación de señales, longitud de onda, atenuación. Fresnel, potencia efectiva de transmisión, antenas. Sensibilidad del receptor.
• Comunicaciones por VHF y UHF. Sistemas Trunking.
• Microondas, bandas. Línea de vista, despejamiento. Desvanecimientos selectivos y planos, multitrayectoria y efectos de la lluvia. Margen de desvanecimiento.
• Cálculo y comparación de enlaces en microondas.
• Sistemas satelitales, aplicaciones. Retardos, manejo del TCP.
CELULARES
• Celulares digitales. PCS, métodos de acceso, CDMA, TDMA. GSM, infraestructura.
• Cobertura, células, reuso de frecuencias. Servicios de datos, WAP. Bluetooth.
REDES LOCALES INALAMBRICAS
• Transmisión de datos por WLANs. Enlaces punto a punto. Interconexión con redes cableadas, punto de acceso, roaming.,
• Norma 802.11, Wi-Fi u 802.11b. Velocidades, banda de frecuencia y canales. Distancia vs. velocidad.
• Limitaciones por multitrayectoria. Sistemas OFDM para redes de alta velocidad, ortogonalidad, subportadoras, compartición.
• WLANs de alta velocidad, 802.11a y 802.11g. Diferencias y compatibilidades.
• Space diversity, smart antennas, NLOS y mecanismo MIMO. La 802.11n, propuestas para una WLAN de más de 100 Mpbs.
• Seguridad básica, WEP, limitaciones. Autenticación EAP y protocolos derivados; norma de autenticación 802.1x. Mejoras de encripción compatibles, TKIP, WPA. Norma de seguridad inalámbrica 802.11i, WPA2.
• Hotspots. Características y funcionalidades, principios de configuración, backhaul a Internet.
CONVERGENCIA
• Convergencia de voz y datos I: La generación intermedia, GPRS, EDGE. Las nuevas generaciones, 3G, 3.5G y 4G, normas. Celulares con tecnología Wi-Fi.
• Convergencia de voz y datos II: VoWLAN, soporte QoS, prioridades 802.11e.
COMUNICACIONES DE BANDA ANCHA Y ACCESO A INTERNET
• Modem de cable, velocidad efectiva, compartición, seguridad, DOCSIS.
• Manejo de voz y datos por una línea telefónica: ADSL, alcance vs. velocidad. G.Lite, DSLAM.
• Enlaces punto a punto por microondas terrestres: MMDS y LMDS. Sectorización de antena.
• La normalización del BWA, 802.16 y 802.16a; extensión a comunicaciones móviles, 802.16e.
VOIP - TELEFONÍA IP
Transmisión de la voz a través de redes privadas, videocable e Internet: La economía evidente que puede lograrse de estas maneras en las comunicaciones telefónicas empresariales es el motor principal que impulsa la tecnología de Voz Sobre IP. Incluso la integración con aplicaciones Web abre nuevas posibilidades. Varios son los parámetros a considerar para especificar y lograr un nivel de calidad de servicio adecuado en las comunicaciones de voz, sin pérdida apreciable en la eficiencia de las aplicaciones críticas de datos.
PROCESAMIENTO DE LA VOZ
• Digitalización. Cancelación de eco. Codecs. Compresión: PCM (G.711), ADPCM, G.726, G.728, G.729a y G.723. Métricas de calidad de voz: MOS y PSQM, el factor R del E-model para redes de datos. Detección de actividad de voz; ruido de confort.
CALIDAD DEL SERVICIO PARA LA VOZ
• Retardos y variaciones, jitter.
• Tipos de retardos: de propagación, transporte, paquetización y manejo del jitter.
• Manejo de la pérdida de paquetes. Prioridades.
• Protocolos RED, WFQ. Servicios Diferenciados, DiffServ. Servicios Integrados, RSVP.
• Técnicas para mejorar los enlaces de ancho de banda reducido.
SISTEMAS DE COMUNICACIONES
• Arquitectura distribuida de una red integrada. Elementos de transporte, señalización, control de llamadas y servicios.
• Protocolos de transporte RTP y RTPC.
• Señalización, protocolo H.323.
• Manejo de la voz entre sistemas de conmutación de circuitos y paquetes; gateway de medios.
• Controlador softswitch de gateway de medios; protocolos MGCP y Megaco/H.248.
• Señalización de instrucciones de control de llamadas con redes SS7, protocolos SCTP y M3UA.
• Capacidad de llamadas y ancho de banda efectivo.
• Limitaciones del H.323. Integración con aplicaciones Web: SIP, servidores proxy, balanceo de cargas, seguridad.
• Backbones: ATM; 10Gigabit; IP con DiffServ, RSVP y MPLS. Multicast IP. IPv6.
MEDIOS DE TRANSMISION ESPECIALIZADOS
• Sistemas de banda ancha. Telefonía por sistemas de TV por cable; circuitos conmutados y VoIP. DOCSIS 1.1, QoS. Interconexiones NCS.
• Transmisión por redes MPLS. Túneles VPN.
• VoIP wireless.
• Transmisión de voz e imágenes.
SEGURIDAD EN REDES INFORMATICAS
MENSAJERIA SEGURA
• Mecanismos para Privacidad, Integridad y Autenticación de origen. Encripción, técnicas. Compendios Hash.
• Firma Digital, No Repudio.
• Certificados Digitales, certificación. Tarjetas inteligentes, HSM. Sistemas PKI.
• Protocolos de transporte seguro: SSL, TLS, SET, IPSec.
• Criptografía XML.
CONTROL DE ACCESO
• Niveles de reconocimiento e identificación de usuarios.
• Contraseñas, recomendaciones, contraseñas de única vez. Kerberos.
• Tarjetas token.
• Sistemas biométricos, tipos y limitaciones.
• Acceso remoto: Protocolos Telnet y SSH, autenticación RADIUS y TACACS+.
PROTOCOLOS DE COMUNICACIONES INTERNET
• Modelo de Capas OSI, paquetes y encabezamientos.
• Paquete Ethernet, direccionamiento.
• Direcciones IP, clases, sistema de bloques. Direcciones privadas y reservadas.
• TCP, puertos, sockets, sesiones TCP. Encabezamiento UDP.
• ICMP, usos.
• Redes Privadas Virtuales, tipos de VPN: acceso remoto, intranets extendidas y extranets.
• Tunelización; protocolos. IPSec, operación con NAT.
PROBLEMATICA DE LOS ATAQUES
• Ingeniería social, falsificación, aprovechamiento, negación de servicios, transportados por datos.
• Malware reproductivo y no reproductivo.
• Virus, tipos, gusanos. Antivirus, administración, centralización.
• Trojanos, spyware y otros tipos de malware no replicable. Protección.
• Negación de Servicios, efecto multiplicador, DDoS.
• Mecanismos de control de acceso.
FIREWALLS
• Modos de operación, estado de los puertos, alcance de la protección. Tipos de firewalls.
• Filtros de paquetes.
• Gateways de Aplicación, servidor proxy.
• Filtros Dinámicos; seguimiento del estado de las sesiones.
• Controles de ingreso y egreso, reglas, ordenamiento.
• Host Bastión Apantallado y Gateway de Doble Domicilio.
• Subred Apantallada, DMZ. Servidores públicos. DMZ múltiples.
DETECCION Y PREVENCION DE INTRUSIONES
• Sistemas de Detección de Intrusiones, IDS. Captura y análisis de la información, sensores. Respuestas, positivos falsos y desconfiguraciones. Tipos de IDS.
• IDS de Red, métodos de detección.
• IDS de Host, funcionalidades.
• Endurecimiento y apantallado de servidores Web.
• Mecanismos para prevención de intrusiones.
• Emulación de servicios para monitoreo de ataques: Honey pots.
EVALUACION DE VULNERABILIDADES
• Formas de evaluación, escáner.
• Sniffing, switches.
• Seguridad en VLANs, ataques.
• Integración de mecanismos de control de acceso.
ACCESOS REMOTOS E INALAMBRICOS
• Comunicaciones discadas, métodos de autenticación.
• Accesos con Split tunneling.
• Conexiones always-on: ADSL, modem de cable, y wireless. Acceso y compartición.
• Medidas de seguridad de PCs hogareñas y pequeñas redes, compartición con NetBIOS.
• LANs inalámbricas, WLANs. Protocolo WEP, debilidades, recomendaciones.
• Opciones de autenticación, EAP y 802.1x.
• Mejoras al WEP, TKIP, WPA y norma 802.11i.
CONCEPTOS BASICOS DEL RIESGO INFORMATICO
• Factores de riesgo.
• Análisis y gestión de riesgos.
• Normas de seguridad. ISO 13335, ISO 15408. Recomendaciones ISO 17799. Implementación y certificación BS 7799-2.
TECNICAS FORENSES PARA RECUPERACION DE INFORMACION
• Procedimientos legales y técnicos.
• Ubicación de datos ocultos, herramientas.
PRACTICA DE ESCANEADO DE DISCO Y DEL SITIO WEB PROPIO
• Recuperación de información oculta de directorios y archivos.
• Escaneado de direcciones IP y puertos.
Nuevo:REDES DE COMUNICACIONES PARA NO INFORMATICOS
TRANSMISION DE DATOS
• ¿Cuál es la diferencia entre señales analógicas y señales digitales?
• ¿Cómo influyen el ruido y los errores en la transmisión de señales?
• ¿Qué significa modulación y cómo se usa con las señales digitales?
• ¿De qué depende la velocidad de transmisión de datos?
• ¿Para qué sirve un modem?
• ¿Cómo se transmite la voz por un canal digital?
• ¿De qué manera se caracterizan los diferentes medios de transmisión?
REDES DE DATOS
• ¿Qué es un paquete de datos?
• ¿Cómo se agrupan las funcionalidades necesarias para las comunicaciones por paquetes?
• ¿Qué son los protocolos y las normas?
REDES LOCALES LANs
• ¿En qué consisten y cómo trabajan las redes locales LANs?
• ¿Qué es Ethernet?
• ¿Cuáles son los principales dispositivos de una LAN?
• ¿Cuál es la diferencia entre una red compartida y otra conmutada?
REDES DE ALCANCE REMOTO WANs
• ¿Cómo son las comunicaciones remotas?
• ¿De qué consta Internet y en qué se diferencia Internet 2?
• ¿Qué es un intranet y en qué se diferencia de una extranet?
• ¿Cómo trabajan las redes privadas de larga distancia?
• ¿En qué consiste la calidad de servicio?
• ¿Cómo se controlan los servicios que se tercerizan?
SISTEMAS DE RADIO
• ¿Cómo son y se propagan las transmisiones por radio de microondas?
• ¿Cómo operan los sistemas satelitales?
• ¿Cómo trabajan las redes locales inalámbricas WLANs?
• ¿Es segura una comunicación a través de una LAN inalámbrica?
SISTEMAS DE TRANSMISION DE IMAGENES
• ¿Cómo se transmite la TV tradicional?
• ¿En qué consiste la TV digital?
• ¿Cómo trabaja la videoconferencia?
ACCESOS DE BANDA ANCHA
• ¿Qué significa banda ancha?
• ¿En qué se diferencian los sistemas ADSL, cable modem, radio terrestre y satelitales?
• ¿Que es la 3G de celulares?
HACIA LA 3G DE MÓVILES
• Sistemas de segunda generación: PCS, TDMA, CDMA y GSM.
• 2.5 G, la generación intermedia, paquetización.
• GPRS, características, arquitectura, redes y terminales.
• HSCSD; el CSD de alta velocidad, operación multislot, compresión.
• La expansión en los sistemas TDMA: EDGE, características, sistema de modulación, velocidad, exigencias y limitaciones.
• Uso del ancho de banda: EDGE Clásico y Compacto, reuso de frecuencias, rendimiento.
• La Tercera Generación: 3G o IMT-2000, UMTS, 3GPP, espectro.
• Normas propuestas para la 3G: W-CDMA, cdma2000, UWC-136 HS.
LA EVOLUCIÓN HACIA EL IPv6
• El IP actual, características principales y limitaciones.
• El direccionamiento del IPv6. Capacidad, notaciones, direcciones IPv4.
• Soporte de movilidad, enrutamiento, operación.
• Encabezamientos, encadenamiento.
• Configuración automática o por medio de servidor DHCP.
• Operaciones multicast y anycast.
• QoS, manejo de datos en tiempo real, prioridades, seguridad.
• Soporte de los sistemas operativos.
• La red 6bone. Tunelización IPv6 sobre IPv4.
WANS - REDES DE AMPLIO ALCANCE
• Señales analógicas y digitales. Modulación, portadora y tipos de modulación.
• Sistema telefónico, líneas discadas y dedicadas. Digitalización, PCM.
• Modem telefónico, velocidades, limitaciones.
• Multiplexado de frecuencias y tiempo. Sistemas asincrónicos, T1 y E1.
• Fibra Optica, fibra multimodo y monomodo. SONET/SDH. Multiplexado de fibra, DWDM.
• Transmisión de datos por conmutación de paquetes; X.25, circuitos virtuales, accesos.
• Redes Frame Relay; componentes, CPE y POP, PVC. Velocidades de transmisión, CIR, ráfagas en exceso. Control de flujo. Voz sobre Frame Relay, fragmentación de datos.
• Redes digitales para voz y datos, ISDN, multiplexor inverso.
• ATM, celdas, capas de adaptación.
• Ethernet de 1 y 10 Gbps en campus, MANs y WANs.
• Internet, paquetes, sockets, protocolos. Control de acceso. VPNs.
• QoS, calidad de servicio. Servicios Diferenciados, MPLS. Internet 2.
• Comunicaciones por radio, celulares y banda ancha. Atenuación y alcance, desvanecimientos. Spread Spectrum, CDMA.
• Sistemas satelitales, GEO, LEO y MEO; manejo de los retardos.
LANS - CONCEPTOS BASICOS DE REDES LOCALES
• Fundamentos, compartición de recursos.
• Componentes, servidor y estaciones de trabajo.
• Configuración, topologías.
• Conectividad, cableado.
• Sistemas operativos de red, servidores de disco y aplicaciones.
• Modelo OSI de comunicaciones.
• Paquetes, encapsulado.
• Métodos de acceso, Ethernet, direcciones MAC.
• Separación de ambientes de red, bridges o puentes.
• Segmentación de redes, routers o enrutadores. Direcciones IP.
• Switching: Redes conmutadas.
• Segmentación lógica: LANs virtuales, VLANs, niveles.
• LANs de Alta Velocidad: Fast Ethernet, Gigabit Ethernet, 10Gigabit Ethernet.
• Conceptos de transmisión por radio. Redes Locales sin Cables, normas, intralans e interlans.
Todos estos cursos pueden ser organizados por empresas de eventos o bien datos in company. Para mayor información:
