Objetivo
Con la realización del presente curso el alumnado adquirirá los conocimientos necesarios para auditar redes de comunicación y sistemas informáticos. Más concretamente, será capaz de:
- Analizar y seleccionar las herramientas de auditoría y detección de vulnerabilidades del sistema informático implantando aquellas que se adecuen a las especificaciones de seguridad informática de la organización.
- Planificar y aplicar medidas de seguridad para garantizar la integridad del sistema informático y de los puntos de entrada y salida de la red departamental.
- Llevar a cabo auditorías de sistemas y de la información para la obtención de certificaciones, siguiendo una metodología específica.
- Llevar a cabo Auditorías de Datos para validar si una empresa u organización cumple con la actual normativa de protección de datos personales.
Dirigido a:
El presente curso va dirigido a todas aquellas personas que quieran orientar su futuro laboral en el mundo de la informática, desempeñando tareas de auditoria informática, configuración y temas relacionados con la seguridad informática, y protección de datos, así como para aquellas personas que quieran ampliar sus conocimientos profesionales sobre esta área.
Requisitos:
Son deseables conocimientos de usuario informático avanzado, por ejemplo, ser capaz de instalar aplicaciones, y conocer conceptos básicos sobre tecnología (redes y sistemas operativos principalmente).
PROGRAMA DEL CURSO
1 – Criterios generales sobre Auditoría Informática
Objetivo
Esta unidad introduce conceptos sobre la auditoría en general, y más concretamente sobre la auditoría informática.
Contenido
Criterios generales sobre Auditoría Informática
Introducción
Concepto de Auditoría
Código deontológico de la función de auditoría
Normas profesionales y código de ética
Principios Deontológicos Aplicables a los Auditores Informáticos
Relación de los distintos tipos de auditoría en el marco de los sistemas de información
Criterios a seguir para la composición del equipo auditor
Aspectos a considerar en la composición del equipo auditor
Funciones generales del equipo auditor
Conocimientos y destrezas del equipo auditor
Responsabilidad Profesional
Tipos de pruebas a realizar en el marco de la auditoría, pruebas sustantivas y pruebas de cumplimiento
Pruebas de cumplimiento
Pruebas sustantivas
Ejemplo de Pruebas de Cumplimiento y Sustantivas
Tipos de muestreo a aplicar durante el proceso de auditoría
Métodos de muestreo representativo o estadístico
Técnicas de selección para el muestreo en la auditoría
Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools)
Software de Auditoría
Datos de prueba
Otros componentes de las CAAT
Utilización de CAATs
Explicación de los requerimientos que deben cumplir los hallazgos de auditoría
Requisitos de un hallazgo de auditoría
Elementos de un hallazgo de auditoría
Comunicación de los hallazgos de auditoría
Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades
Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas
Normas de Auditoría Generalmente Aceptadas (NAGAS)
Metodologías relacionadas con la Auditoría de Sistemas de Información
Resumen de la Unidad
2 – Análisis de Riesgos en los Sistemas de Información: Identificación de Vulnerabilidades y Amenazas
Objetivo
En esta unidad se definen conceptos relativos a seguridad informática. La seguridad informática generalmente consiste en asegurar que los recursos del sistema de información (material informático (seguridad física) o programas y datos (seguridad lógica)) de una organización sean utilizados de la manera que se decidió y que la información que se considera importante no sea fácil de acceder por cualquier persona que no se encuentre acreditada.
Contenido
Análisis de Riesgos en los Sistemas de Información: Identificación de Vulnerabilidades y Amenazas
Introducción
Objetivos de la unidad
Introducción a los contenidos
Términos relacionados con la seguridad informática
Introducción al análisis de riesgos
Análisis de riesgos
Reducción del Riesgo: Mecanismos de Seguridad (Controles)
Vulnerabilidades del sistema
Tipos de Vulnerabilidades
Criterios de programación segura
Particularidades de los distintos tipos de código malicioso
Principales elementos del análisis de riesgos y sus modelos de relaciones
Metodologías cualitativas y cuantitativas de análisis de riesgos
Métodos Cualitativos
Métodos Cuantitativos
Identificación y valoración de los activos involucrados en el análisis de riesgos
El inventario de activos
Valoración de los activos
Identificación de las amenazas que pueden afectar a los activos
Naturaleza de las amenazas
Amenazas Físicas
Descripción de algunas amenazas físicas
Amenazas Lógicas
Algunas amenazas lógicas
Análisis e identificación de las vulnerabilidades existentes
Pensando como el enemigo
Pruebas de Penetración
Evaluación de vulnerabilidad
Establecimiento de una metodología
Herramientas de evaluación de vulnerabilidades
Resumen
3 – Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos
Objetivo
En esta unidad se muestra cómo identificar cuáles han de ser los controles a establecer para proteger nuestros activos, en base a cuál es su valor estimado, y cuál es el riesgo de que cada una de las amenazas de dicho activo se materialicen.
También se describe la Metodología de Análisis y Gestión de Riesgos MAGERIT v.3, que es un estándar en las administraciones públicas.
Contenido
Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos
Introducción
Objetivos de la unidad
Introducción a los contenidos
El Informe de Auditoría
Mecanismo de salvaguarda vs Funciones de salvaguarda
Funciones de Salvaguarda en sistemas de información
Establecimiento de los escenarios de riesgo
Determinación de la probabilidad e impacto de materialización de los escenarios
Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza
¿Cómo valorar la probabilidad de una amenaza?
¿Cómo valorar la magnitud del daño?
Criterios de Evaluación de Riesgo
Relación de las distintas alternativas de gestión de riesgos
Guía para la elaboración del Plan de Gestión de Riesgos
Exposición de la metodología NIST SP 800-30
Exposición de la metodología Magerit versión 3
Método MAGERIT
Catálogo de elementos MAGERIT
Guía de Técnicas MAGERIT
Resumen
4 – Herramientas de Análisis de Red y de Vulnerabilidades en la Auditoría de Sistemas de Información
Objetivo
En esta unidad vamos a repasar diferentes herramientas software (netstat, nmap, Nessus, NetCat, etc) que se utilizan en el área de Seguridad Informática, ya sea para la recogida de datos en una Auditoría Informática, como para establecer controles de acceso a la red, o para tomar datos del estado actual del sistema.
Contenido
Uso de Herramientas para la Auditoría de Sistemas
Introducción
Objetivos de la unidad
Introducción a los contenidos
Instrucciones de instalación de los laboratorios virtuales
Herramientas del sistema operativo
Ping
Traceroute
DNS lookup
ssh
netstat
ipconfig/ifconfig
Herramientas de análisis de red, puertos y servicios
Nmap
Escaneo de Puertos
NBTScan
Netcat
Herramientas de análisis de vulnerabilidades
Manejo de usuarios en Nessus
Configuración del análisis
Proceso de análisis de vulnerabilidades
Plugins
Plugins en C
Plugins en NASL
Informes Nessus y análisis de resultados
Resumen
5 – Herramientas de Análisis de Web y de Protocolos en la Auditoría de Sistemas de Información
Objetivo
En esta unidad damos a conocer diferentes herramientas software, ya sea para la recogida de datos en una Auditoría Informática, como para establecer controles de acceso a la red, o para tomar datos del estado actual del sistema. Entre otros, Sniffers (WireShark, Cain & Abel…), Analizadores de web (Acunetix, Dirb…), herramientas de ataque (John the Ripper), etc.
Contenido
Herramientas de Análisis de Web y de Protocolos en la Auditoría de Sistemas de Información
Introducción
Objetivos de la unidad
Introducción a los contenidos
Instrucciones de instalación de los laboratorios virtuales
Analizadores de protocolos
WireShark
Manual Básico de Wireshark
DSniff
Cain & Abel
Analizadores de páginas web
Acunetix
Dirb
Proxy Paros
Ataques de diccionario y fuerza bruta
John the Ripper
Aircrack-ng: Auditoría inalámbrica
Resumen
6 – La función de los firewalls en Auditorías de Sistemas de Información
Objetivo
En esta unidad daremos información sobre la función de los firewalls. Ellos son los encargados de gestionar el tráfico que circula en el perímetro de nuestra red. Implementan por medio de reglas, las políticas de seguridad de nuestra organización. El grupo auditor deberá verificar no sólo que la configuración del sistema de firewalls de la organización lo hace no vulnerable, sino también que el tráfico que se permite/deniega por medio de reglas lo hace de acuerdo a un plan establecido en concordancia con la política de seguridad de la organización.
Contenido
Firewalls en la Auditorías de Sistemas Informáticos
Introducción
Objetivos de la unidad
Introducción a los contenidos
Principios generales de firewalls
Componentes de un firewall de red
Filtrado de paquetes
Especificación de las Reglas (ACL)
Características: Pros y Contras
El proxy de aplicación
Ventajas e inconvenientes
Pasarelas de nivel de circuito
Monitorización y Detección de Actividad sospechosa
SMLI
Clasificación de los firewalls por ubicación y funcionalidad
Arquitecturas de Firewalls de red
Otras arquitecturas de firewalls de red
Gestión Unificada de Amenazas: Firewalls UTM
Resumen
7 – Guías para la ejecución de las distintas fases de la Auditoría de Sistemas de Información
Objetivo
En esta última unidad del módulo se presentan una serie de Guías – Resumen con la información más relevante que será de utilidad a la hora de llevar a cabo una auditoría informática. Se trata de información extraída del resto de unidades del módulo, y sirve para recopilar conceptos y para generar una serie de guías de buenas prácticas que serán de utilidad en el momento de llevar a cabo una verdadera auditoría informática.
Contenido
Guías para la ejecución de las distintas fases de la Auditoría en Sistemas de Información
Introducción
Objetivos de la unidad
Introducción a los contenidos
Guía para la auditoría de la documentación y normativa de seguridad existente en la organización auditada
Investigación preliminar
Guía para la elaboración del plan de auditoría
Guía para las pruebas de auditoría
Guía para la elaboración del informe de auditoría
Formato del informe de auditoría
Resumen
8 – Auditoría de la Protección de Datos
Objetivo
Los alumnos y alumnas, al finalizar esta unidad, habrán adquirido los conocimientos necesarios para aplicar procedimientos relativos al cumplimiento de la normativa legal vigente, en lo referente a protección de datos
Más concretamente serán capaces de:
- Identificar los datos de carácter personal afectados por la normativa de protección de datos.
- Explicar la normativa legal vigente aplicable a los datos de carácter personal.
- Conocer las funciones y poderes de la Agencia Española de Protección de Datos (AEPD).
- Exponer los trámites legales que deben cumplir los Responsables del Tratamiento y Delegados de Protección de Datos.
- Identificar fallas en la gestión de datos personales de una empresa u organización.
- Conocer las herramientas puestas a disposición de la AEPD para llevar a cabo una Auditoría de Protección de Datos
Contenido
Auditoría de la Protección de Datos
Introducción
Objetivos de la unidad
Marco Jurídico de la Protección de Datos en España
Principios Generales de la Protección de Datos
La protección de datos en el Código Penal
Normativa europea recogida en el Reglamento 2016/679
Aplicación de la norma
Síntesis
Derechos del interesado o interesada
Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
Síntesis
Autoridad de Control : La Agencia Española de Protección de Datos
Funciones
Poderes
De investigación
Correctivos
De autorización y consultivos
Medidas de cumplimiento
Principios
Responsable del tratamiento y encargado/a del tratamiento
Delegado de protección de datos
Registro de actividades de tratamiento
Medidas de protección de datos desde el diseño y por defecto
Análisis de riesgos y adopción de medidas de seguridad
Notificación de quiebras de seguridad
Evaluaciones de impacto sobre la protección de datos
Mecanismos de certificación y códigos de conducta
Transferencias internacionales y normas corporativas vinculantes
Herramientas de Auditoría de Protección de Datos
Herramienta «Facilita_RGPD» para datos de escaso riesgo
Listado de cumplimiento
Resumen