Saltar al contenido principal

Introducción al módulo de Seguridad en equipos informáticos

Características

🔢 CódigoMF0486_3
🧠 Asociado a la U.C.UC0486_3: UC0486_3: Asegurar equipos informáticos
🕓 Duración90 horas

Capacidades y criterios de evaluación

  • C1: Analizar los planes de implantación de la organización para identificar los elementos del sistema implicados y los niveles de seguridad a implementar.
    • CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos que figuran en cada sección.
    • CE1.2 Distinguir los sistemas que pueden aparecer en el plan de implantación, describiendo las funcionalidades de seguridad que implementan.
    • CE1.3 Describir los niveles de seguridad que figuran en el plan de implantación, asociándolos a los permisos de acceso para su implantación.
    • CE1.4 En un supuesto práctico en el que se pide analizar el plan de implantación y sus repercusiones en el sistema:
      • Determinar los sistemas implicados en el plan de implantación.
      • Analizar los requisitos de seguridad de cada sistema.
      • Describir las medidas de seguridad a aplicar a cada sistema.
      • Cumplimentar los formularios para la declaración de ficheros de datos de carácter personal.
  • C2: Analizar e implementar los mecanismos de acceso físicos y lógicos a los servidores según especificaciones de seguridad.
    • CE2.1 Describir las características de los mecanismos de control de acceso físico, explicando sus principales funciones.
    • CE2.2 Exponer los mecanismos de traza, asociándolos al sistema operativo del servidor.
    • CE2.3 Identificar los mecanismos de control de acceso lógico, explicando sus principales características (contraseñas, filtrado de puertos IP entre otros).
    • CE2.4 En un supuesto práctico de implantación de un servidor según especificaciones dadas:
      • Determinar la ubicación física del servidor para asegurar su funcionalidad.
      • Describir y justificar las medidas de seguridad física a implementar que garanticen la integridad del sistema.
      • Identificar los módulos o aplicaciones adicionales para implementar el nivel de seguridad requerido por el servidor.
      • Determinar las amenazas a las que se expone el servidor, evaluando el riesgo que suponen, dado el contexto del servidor.
      • Determinar los permisos asignados a los usuarios y grupos de usuarios para la utilización del sistema.
  • C3: Evaluar la función y necesidad de cada servicio en ejecución en el servidor según las especificaciones de seguridad.
    • CE3.1 Identificar los servicios habituales en el sistema informático de una organización, describiendo su misión dentro de la infraestructura informática y de comunicaciones.
    • CE3.2 Identificar y describir los servicios necesarios para el funcionamiento de un servidor, en función de su misión dentro del sistema informático de la organización.
    • CE3.3 Describir las amenazas de los servicios en ejecución, aplicando los permisos más restrictivos, que garantizan su ejecución y minimizan el riesgo.
    • CE3.4 En un supuesto práctico de implantación de un servidor con un conjunto de servicios en ejecución con correspondencias a un plan de explotación dado:
      • Indicar las relaciones existentes entre dicho servidor y el resto del sistema informático de la organización.
      • Extraer del plan de implantación los requisitos de seguridad aplicables al servidor.
      • Determinar los servicios mínimos necesarios para el funcionamiento del sistema.
  • C4: Instalar, configurar y administrar un cortafuegos de servidor con las características necesarias según especificaciones de seguridad.
    • CE4.1 Clasificar los tipos de cortafuegos, de red y locales, hardware y software, de paquetes y aplicación, describiendo sus características y funcionalidades principales.
    • CE4.2 Describir las reglas de filtrado de un cortafuegos de servidor, explicando los parámetros principales.
    • CE4.3 Explicar el formato de traza de un cortafuegos de servidor, reflejando la información de seguridad relevante.
    • CE4.4 A partir de un supuesto práctico de instalación de un cortafuegos de servidor en un escenario de accesos locales y remotos:
      • Determinar los requisitos de seguridad del servidor.
      • Establecer las relaciones del servidor con el resto de equipos del sistema informático.
      • Elaborar el listado de reglas de acceso a implementar en el servidor.
      • Componer un plan de pruebas del cortafuegos implementado.
      • Ejecutar el plan de pruebas, redactando las correcciones necesarias para corregir las deficiencias detectadas.

Contenidos

  1. Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos
  2. Análisis de impacto de negocio
  3. Gestión de riesgos
  4. Plan de implantación de seguridad
  5. Protección de datos de carácter personal
  6. Seguridad física e industrial de los sistemas. Seguridad lógica de sistemas
  7. Identificación de servicios
  8. Robustecimiento de sistemas
  9. Implantación y configuración de cortafuegos

Realizaciones profesionales y criterios de realización

  • RP1: Aplicar políticas de seguridad para la mejora de la protección de servidores y equipos de usuario final según las necesidades de uso y condiciones de seguridad.
    • CR1.1 El plan de implantación del sistema informático de la organización se analiza comprobando que incorpora la información necesaria referida a procedimientos de instalación y actualización de equipos, copias de respaldo y detección de intrusiones entre otros, así como referencias de posibilidades de utilización de los equipos y restricciones de los mismos y protecciones contra agresiones de virus y otros elementos no deseados.
    • CR1.2 Los permisos de acceso, por parte de los usuarios, a los distintos recursos del sistema son determinados por medio de las herramientas correspondientes según el Plan de Implantación y el de seguridad del sistema informático.
    • CR1.3 EL acceso a los servidores se realiza garantizando la confidencialidad e integridad de la conexión según las normas de seguridad de la organización.
    • CR1.4 Las políticas de usuario se analizan verificando que quedan reflejadas circunstancias tales como usos y restricciones asignadas a equipos y usuarios, servicios de red permitidos y restringidos y ámbitos de responsabilidades debidas a la utilización de los equipos informáticos.
    • CR1.5 La política de seguridad es transmitida a los usuarios, asegurándose de su correcta y completa comprensión.
    • CR1.6 Las tareas realizadas se documentan convenientemente según los procedimientos de la organización.
    • CR1.7 Las informaciones afectadas por la legislación de protección de datos se tratan verificando que los usuarios autorizados cumplan los requisitos indicados por la normativa y los cauces de distribución de dicha información están documentados y autorizados según el plan de seguridad.
  • RP2: Configurar servidores para protegerlos de accesos no deseados según las necesidades de uso y dentro de las directivas de la organización.
    • CR2.1 La ubicación del servidor en la red se realiza en una zona protegida y aislada según la normativa de seguridad y el plan de implantación de la organización.
    • CR2.2 Los servicios que ofrece el servidor se activan y configuran desactivando los innecesarios según la normativa de seguridad y plan de implantación de la organización.
    • CR2.3 Los accesos y permisos a los recursos del servidor por parte de los usuarios son configurados en función del propósito del propio servidor y de la normativa de seguridad de la organización.
    • CR2.4 Los mecanismos de registro de actividad e incidencias del sistema se activan y se habilitan los procedimientos de análisis de dichas informaciones.
    • CR2.5 Los módulos adicionales del servidor son analizados en base a sus funcionalidades y riesgos de seguridad que implican su utilización, llegando a una solución de compromiso.
    • CR2.6 Los mecanismos de autenticación se configuran para que ofrezcan niveles de seguridad e integridad en la conexión de usuarios de acuerdo con la normativa de seguridad de la organización.
    • CR2.7 Los roles y privilegios de los usuarios se definen y asignan siguiendo las instrucciones que figuren en la normativa de seguridad y el plan de explotación de la organización.
  • RP3: Instalar y configurar cortafuegos en equipos y servidores para garantizar la seguridad ante los ataques externos según las necesidades de uso y dentro de las directivas de la organización.
    • CR3.1 La topología del cortafuegos es seleccionada en función del entorno de implantación.
    • CR3.2 Los elementos hardware y software del cortafuegos son elegidos teniendo en cuenta factores económicos y de rendimiento.
    • CR3.3 Los cortafuegos son instalados y configurados según el nivel definido en la política de seguridad.
    • CR3.4 Las reglas de filtrado y los niveles de registro y alarmas se determinan, configuran y administran según las necesidades dictaminadas por la normativa de seguridad de la organización.
    • CR3.5 Los cortafuegos son verificados con juegos de pruebas y se comprueba que superan las especificaciones de la normativa de seguridad de la organización.
    • CR3.6 La instalación y actualización del cortafuegos y los procedimientos de actuación con el mismo quedan documentados según las especificaciones de la organización.
    • CR3.7 Los sistemas de registro son definidos y configurados para la revisión y estudio de los posibles ataques, intrusiones y vulnerabilidades.