Saltar al contenido principal

0. Introducción al módulo de Auditoría de seguridad informática

Características

🔢 CódigoMF0487_3
🧠 Asociado a la U.C.UC0487_3: Auditar redes de comunicación y sistemas informáticos
🕓 Duración90 horas

Capacidades y criterios de evaluación

  • C1: Analizar y seleccionar las herramientas de auditoría y detección de vulnerabilidades del sistema informático implantando aquellas que se adecuen a las especificaciones de seguridad informática.
    • CE1.1 Explicar las diferencias entre vulnerabilidades y amenazas.
    • CE1.2 Enunciar las características de los principales tipos de vulnerabilidades y programas maliciosos existentes, describiendo sus particularidades.
    • CE1.3 Describir el funcionamiento de una herramienta de análisis de vulnerabilidades, indicando las principales técnicas empleadas y la fiabilidad de las mismas.
    • CE1.4 Seleccionar la herramienta de auditoría de seguridad más adecuada en función del servidor o red y los requisitos de seguridad.
    • CE1.5 A partir de un supuesto práctico, ante un sistema informático dado en circunstancias de implantación concretas:
      • Establecer los requisitos de seguridad que debe cumplir cada sistema.
      • Crear una prueba nueva para la herramienta de auditoría, partiendo de las especificaciones de la vulnerabilidad.
      • Elaborar el plan de pruebas teniendo en cuenta el tipo de servidor analizado.
      • Utilizar varias herramientas para detectar posibles vulnerabilidades.
      • Analizar el resultado de la herramienta de auditoría, descartando falsos positivos.
      • Redactar el informe de auditoría, reflejando las irregularidades detectadas, y las sugerencias para su regularización.
  • C2: Aplicar procedimientos relativos al cumplimiento de la normativa legal vigente.
    • CE2.1 Explicar la normativa legal vigente (autonómica, nacional, europea e internacional) aplicable a datos de carácter personal.
    • CE2.2 Exponer los trámites legales que deben cumplir los ficheros con datos de carácter personal, teniendo en cuenta la calidad de los mismos.
    • CE2.3 Describir los niveles de seguridad establecidos en la normativa legal vigente asociándolos a los requisitos exigidos.
    • CE2.4 A partir de un supuesto práctico, en el que se cuenta con una estructura de registro de información de una organización:
      • Identificar los ficheros con datos de carácter personal, justificando el nivel de seguridad que le corresponde.
      • Elaborar el plan de auditoría de cumplimiento de legislación en materia de protección de datos de carácter personal.
      • Revisar la documentación asociada a los ficheros con datos de carácter personal, identificando las carencias existentes.
      • Elaborar el informe correspondiente a los ficheros de carácter personal, indicando las deficiencias encontradas y las correcciones pertinentes.
  • C3: Planificar y aplicar medidas de seguridad para garantizar la integridad del sistema informático y de los puntos de entrada y salida de la red departamental
    • CE3.1 Identificar las fases del análisis de riesgos, describiendo el objetivo de cada una de ellas.
    • CE3.2 Describir los términos asociados al análisis de riesgos (amenaza, vulnerabilidad, impacto y contramedidas), estableciendo la relación existente entre ellos.
    • CE3.3 Describir las técnicas de análisis de redes, explicando los criterios de selección.
    • CE3.4 Describir las topologías de cortafuegos de red comunes, indicando sus funcionalidades principales.

Contenidos

  1. Criterios generales comúnmente aceptados sobre auditoría informática
  2. Aplicación de la normativa de protección de datos de carácter personal
  3. Análisis de riesgos de los sistemas de información
  4. Uso de herramientas para la auditoría de sistemas
  5. Descripción de los aspectos sobre cortafuegos en auditorías de Sistemas Informáticos.
  6. Guías para la ejecución de las distintas fases de la auditoría de sistemas de información

Realizaciones profesionales y criterios de realización

  • RP1: Realizar análisis de vulnerabilidades, mediante programas específicos para controlar posibles fallos en la seguridad de los sistemas según las necesidades de uso y dentro de las directivas de la organización.
    • CR1.1 Las herramientas y los tipos de pruebas de análisis de vulnerabilidades se seleccionan y adecuan al entorno a verificar según las especificaciones de seguridad de la organización.
    • CR1.2 Los programas y las pruebas se actualizan para realizar ensayos consistentes con los posibles fallos de seguridad de las versiones de hardware y software instaladas en el sistema informático.
    • CR1.3 Los resultados de las pruebas se analizan y documentan conforme se indica en la normativa de la organización.
    • CR1.4 Los sistemas de acceso por contraseña se comprueban mediante herramientas específicas según las especificaciones de la normativa de seguridad.
    • CR1.5 La documentación del análisis de vulnerabilidades contiene referencias exactas de las aplicaciones y servicios que se han detectado funcionando en el sistema, el nivel de los parches instalados, vulnerabilidades de negación de servicio, vulnerabilidades detectadas y mapa de la red.
  • RP2: Verificar el cumplimiento de la normativa y requisitos legales vigentes en materia de protección de datos personales para asegurar la confidencialidad según las necesidades de uso y dentro de las directivas de la organización.
    • CR2.1 Los ficheros con datos de carácter personal son identificados y tienen asignado un responsable de seguridad según normativa legal.
    • CR2.2 El listado de personas autorizadas a acceder a cada fichero existe y se encuentra actualizado según normativa legal.
    • CR2.3 El control de accesos a los ficheros se comprueba siguiendo el procedimiento establecido en la normativa de seguridad de la organización.
    • CR2.4 La gestión del almacenamiento de los ficheros y sus copias de seguridad se realiza siguiendo la normativa legal y de la organización.
    • CR2.5 El acceso telemático a los ficheros se realiza utilizando mecanismos que garanticen la confidencialidad e integridad cuando así lo requiera la normativa.
    • CR2.6 El informe de la auditoría recoge la relación de ficheros con datos de carácter personal y las medidas de seguridad aplicadas y aquellas pendientes de aplicación.
  • RP3: Comprobar el cumplimiento de la política de seguridad establecida para afirmar la integridad del sistema según las necesidades de uso y dentro de las directivas de la organización.
    • CR3.1 Los procedimientos de detección y gestión de incidentes de seguridad se desarrollan y se incluyen en la normativa de seguridad de la organización.
    • CR3.2 Los puntos de acceso de entrada y salida de la red son verificados para que su uso se circunscriba a lo descrito en la normativa de seguridad de la organización.
    • CR3.3 Los programas de seguridad y protección de sistemas se activan y actualizan según las especificaciones de los fabricantes.
    • CR3.4 Los puntos de entrada y salida de la red adicionales son autorizados y controlados en base a las especificaciones de seguridad y al plan de implantación de la organización.
    • CR3.5 Los procesos de auditoría informática son revisados, tanto los de carácter interno, como aquellos realizados por personal externo a la organización.
    • CR3.6 Los procedimientos de las políticas de seguridad se verifican en su cumplimiento por parte de los usuarios.