Saltar al contenido principal

intro_MF0488_3_gestion_incidentes_seguridad

Modúlo Gestión de incidentes de seguridad informática - MF0488_3

Características

🔢 CódigoMF0488_3
🧠 Asociado a la U.C.UC0488_3: Detectar y responder ante incidentes de seguridad
🕓 Duración90 horas

Capacidades y criterios de evaluación

  • C1: Planificar e implantar los sistemas de detección de intrusos según las normas de seguridad.
    • CE1.1 Describir las técnicas de detección y prevención de intrusos, exponiendo los principales parámetros que pueden emplearse como criterios de detección.
    • CE1.2 Determinar el número, tipo y ubicación de los sistemas de detección de intrusos, garantizando la monitorización del tráfico indicado en el plan de implantación.
    • CE1.3 Seleccionar las reglas del sistema de detección de intrusos, en función del sistema informático a monitorizar.
    • CE1.4 Determinar los umbrales de alarma del sistema, teniendo en cuenta los parámetros de uso del sistema.
    • CE1.5 Elaborar reglas de detección, partiendo de la caracterización de las técnicas de intrusión.
    • CE1.6 A partir de un supuesto práctico convenientemente caracterizado en el que se ubican servidores con posibilidad de accesos locales y remotos:
      • Instalar y configurar software de recolección de alarmas.
      • Configurar diferentes niveles de recolección de alarmas.
    • CE1.7 En una colección de supuestos prácticos en un entorno controlado de servidores en varias zonas de una red departamental con conexión a Internet:
      • Decidir áreas a proteger.
      • Instalar un sistema de detección de intrusos.
      • Definir y aplicar normas de detección.
      • Verificar funcionamiento del sistema atacando áreas protegidas.
      • Elaborar un informe detallando conclusiones.
  • C2: Aplicar los procedimientos de análisis de la información y contención del ataque ante una incidencia detectada.
    • CE2.1 Analizar la información de los sistemas de detección de intrusos, extrayendo aquellos eventos relevantes para la seguridad.
    • CE2.2 Analizar los indicios de intrusión, indicando los condicionantes necesarios para que la amenaza pueda materializarse.
    • CE2.3 Clasificar los elementos de las alertas del sistema de detección de intrusiones, estableciendo las posibles correlaciones existentes entre ellos, distinguiendo las alertas por tiempos y niveles de seguridad.
    • CE2.4 A partir de un supuesto práctico, en el que realizan intentos de intrusión al sistema informático:
      • Recopilar las alertas de los sistemas de detección de intrusiones.
      • Relacionar los eventos recogidos por los sistemas de detección de intrusiones.
      • Determinar aquellas alertas significativas.
      • Elaborar el informe correspondiente indicando las posibles intrusiones y el riesgo asociado para la seguridad del sistema informático de la organización.
    • CE2.5 Establecer procesos de actualización de las herramientas de detección de intrusos para asegurar su funcionalidad según especificaciones de los fabricantes.
  • C3: Analizar el alcance de los daños y determinar los procesos de recuperación ante una incidencia detectada.
    • CE3.1 Describir fases del plan de actuación frente a incidentes de seguridad, describiendo los objetivos de cada fase.
    • CE3.2 Indicar las fases del análisis forense de equipos informáticos, describiendo los objetivos de cada fase.
    • CE3.3 Clasificar los tipos de evidencias del análisis forense de sistemas, indicando sus características, métodos de recolección y análisis.
    • CE3.4 Describir las distintas técnicas para análisis de programas maliciosos, indicando casos de uso.
    • CE3.5 En un supuesto práctico, en el que se ha producido una intrusión en un sistema informático:
      • Realizar la recogida de evidencias volátiles.
      • Realizar la recogida de evidencias no volátiles.
      • Análisis preliminar de las evidencias.
      • Análisis temporal de actividad del sistema de ficheros.
      • Elaborar el informe final, recogiendo las evidencias encontradas, las posibles vulnerabilidades utilizadas para la intrusión y la actividad realizada por el intruso que ha sido detectada en el sistema.
    • CE3.6 Estandarizar métodos de recuperación de desastres de equipos informáticos ante la detección de intrusiones.

Contenidos

  1. Sistemas de detección y prevención de intrusiones (IDS/IPS)
  2. Implantación y puesta en producción de sistemas IDS/IPS
  3. Control de código malicioso
  4. Respuesta ante incidentes de seguridad
  5. Proceso de notificación y gestión de intentos de intrusión
  6. Análisis forense informático

Unidad de Competencia - UC0488_3

  • Código: UC0488_3
  • Título: DETECTAR Y RESPONDER ANTE INCIDENTES DE SEGURIDAD

Realizaciones profesionales y criterios de realización

  • RP1: Implantar políticas de seguridad y cifrado de información en operaciones de intercambio de datos para obtener conexiones seguras según las necesidades de uso y dentro de las directivas de la organización.
    • CR1.1 Las comunicaciones con otras compañías o a través de canales inseguros utilizan redes privadas virtuales para garantizar la confidencialidad e integridad de dichas conexiones durante el tránsito a través de redes públicas según las especificaciones de la normativa de seguridad y el diseño de redes de la organización.
    • CR1.2 Los requerimientos para implantar la solución de red privada virtual se seleccionan y comunican al operador de telefonía para lograr soluciones adecuadas al plan de seguridad.
    • CR1.3 Las técnicas de protección de conexiones inalámbricas disponibles en el mercado son evaluadas y se seleccionan aquellas más idóneas, teniendo en cuenta el principio de proporcionalidad y las normas de seguridad de la organización.
    • CR1.4 Los servicios accesibles a través de la red telemática que emplean técnicas criptográficas para garantizar la integridad y confidencialidad de las comunicaciones son implantados según parámetros de la normativa de seguridad de la organización.
    • CR1.5 Los servicios accesibles a través de la red telemática que no incorporan técnicas criptográficas para garantizar la seguridad de las comunicaciones utilizan servicios de encapsulación.
    • CR1.6 Los servicios que incorporan soporte para certificados digitales para identificación del servidor, se emplean para garantizar al usuario la identidad del servidor.
  • RP2: Implantar sistemas de firma digital para asegurar la autenticidad, integridad y confidencialidad de los datos que intervienen en una transferencia de información utilizando sistemas y protocolos criptográficos según las necesidades de uso y dentro de las directivas de la organización.
    • CR2.1 El acceso a servicios a través de la red telemática utiliza autenticación basada en certificados digitales de identidad personal.
    • CR2.2 El proceso de obtención y verificación de firmas se aplica en caso de ser necesario según los requerimientos del sistema informático y los procesos de negocio
    • CR2.3 La transmisión de mensajes de correo electrónico utilizan certificados digitales para firmar y cifrar su contenido.
    • CR2.4 Los sistemas de firma digital de documentos mediante certificados digitales se implantan según la normativa de seguridad de la organización.
    • CR2.5 Los sistemas de sellado digital de tiempo, para garantizar la existencia de un documento en una determinada fecha, se implantan según las normas de seguridad de la organización.
    • CR2.6 Los componentes web son firmados digitalmente para garantizar la integridad de dichos componentes.
  • RP3: Implementar infraestructuras de clave pública para garantizar la seguridad según los estándares del sistema y dentro de las directivas de la organización.
    • CR3.1 La jerarquía de certificación se diseña en función de las necesidades de la organización y del uso que se vaya a dar a los certificados.
    • CR3.2 La declaración de prácticas de certificación y la política de certificación se redacta de forma que definen los procedimientos y derechos y obligaciones de los responsables de la autoridad de certificación y de los usuarios.
    • CR3.3 El sistema de autoridad de certificación se instala siguiendo las indicaciones del fabricante.
    • CR3.4 El certificado de la autoridad de certificación y la política de certificación se disponen a los usuarios en la forma y modo necesario, siguiendo las directrices contenidas en la declaración de prácticas de certificación.
    • CR3.5 La clave privada de la autoridad de certificación se mantiene segura y con las copias de respaldo establecidas en la declaración de prácticas de certificación.
    • CR3.6 La emisión de certificados digitales se realiza según los usos que va a recibir el certificado y siguiendo los procedimientos indicados en la declaración de prácticas de certificación.
    • CR3.7 El servicio de revocación de certificados mantiene accesible la información sobre validez de los certificados emitidos por la autoridad de certificación según lo indicado en la declaración de prácticas de certificación.