Curso de Auditoría de seguridad informática y de datos (Programa detallado)

Objetivo:

Con la realización del presente curso el alumnado adquirirá los conocimientos necesarios para auditar redes de comunicación y sistemas informáticos. Más concretamente, será capaz de:

  • Analizar y seleccionar las herramientas de auditoría y detección de vulnerabilidades del sistema informático implantando aquellas que se adecuen a las especificaciones de seguridad informática de la organización.
  • Planificar y aplicar medidas de seguridad para garantizar la integridad del sistema informático y de los puntos de entrada y salida de la red departamental.
  • Llevar a cabo auditorías de sistemas y de la información para la obtención de certificaciones, siguiendo una metodología específica.
  • Llevar a cabo Auditorías de Datos para validar si una empresa u organización cumple con la actual normativa de protección de datos personales.

Dirigido a:

El presente curso va dirigido a todas aquellas personas que quieran orientar su futuro laboral en el mundo de la informática, desempeñando tareas de auditoria informática, configuración y temas relacionados con la seguridad informática, y protección de datos, así como para aquellas personas que quieran ampliar sus conocimientos profesionales sobre esta área.

Requisitos:

Son deseables conocimientos de usuario informático avanzado, por ejemplo, ser capaz de instalar aplicaciones, y conocer conceptos básicos sobre tecnología (redes y sistemas operativos principalmente).

PROGRAMA DEL CURSO

1.- Criterios generales sobre Auditoría Informática

Objetivo

Esta unidad introduce conceptos sobre la auditoría en general, y más concretamente sobre la auditoría informática.

Contenido

  1. Criterios generales sobre Auditoría Informática
    1. Introducción
    2. Concepto de Auditoría
    3. Código deontológico de la función de auditoría
    4. Relación de los distintos tipos de auditoría en el marco de los sistemas de información
    5. Criterios a seguir para la composición del equipo auditor
    6. Tipos de pruebas a realizar en el marco de la auditoría, pruebas sustantivas y pruebas de cumplimiento
    7. Tipos de muestreo a aplicar durante el proceso de auditoría
    8. Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools)
    9. Explicación de los requerimientos que deben cumplir los hallazgos de auditoría
    10. Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades
    11. Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas
    12. Resumen de la Unidad

2.- Análisis de Riesgos en los Sistemas de Información: Identificación de Vulnerabilidades y Amenazas

Objetivo

En esta unidad se definen conceptos relativos a seguridad informática. La seguridad informática generalmente consiste en asegurar que los recursos del sistema de información (material informático (seguridad física) o programas y datos (seguridad lógica)) de una organización sean utilizados de la manera que se decidió y que la información que se considera importante no sea fácil de acceder por cualquier persona que no se encuentre acreditada.

Contenido

  1. Análisis de Riesgos en los Sistemas de Información: Identificación de Vulnerabilidades y Amenazas
    1. Introducción
    2. Introducción al análisis de riesgos
    3. Vulnerabilidades del sistema
    4. Particularidades de los distintos tipos de código malicioso
    5. Principales elementos del análisis de riesgos y sus modelos de relaciones
    6. Metodologías cualitativas y cuantitativas de análisis de riesgos
    7. Identificación y valoración de los activos involucrados en el análisis de riesgos
    8. Identificación de las amenazas que pueden afectar a los activos
    9. Análisis e identificación de las vulnerabilidades existentes 
    10. Resumen

3.- Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Objetivo

En esta unidad se muestra cómo identificar cuáles han de ser los controles a establecer para proteger nuestros activos, en base a cuál es su valor estimado, y cuál es el riesgo de que cada una de las amenazas de dicho activo se  materialicen.

También se describe la Metodología de Análisis y Gestión de Riesgos MAGERIT v.3, que es un estándar en las administraciones públicas.

Contenido

  1. Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos
    1. Introducción
    2. El Informe de Auditoría
    3. Mecanismo de salvaguarda vs Funciones de salvaguarda
    4. Establecimiento de los escenarios de riesgo
    5. Determinación de la probabilidad e impacto de materialización de los escenarios
    6. Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza
    7. Criterios de Evaluación de Riesgo
    8. Relación de las distintas alternativas de gestión de riesgos
    9. Guía para la elaboración del Plan de Gestión de Riesgos
    10. Exposición de la metodología NIST SP 800-30
    11. Exposición de la metodología Magerit versión 3
    12. Resumen

4.- Herramientas de Análisis de Red y de Vulnerabilidades en la Auditoría de Sistemas de Información

Objetivo

En esta unidad vamos a repasar diferentes herramientas software (netstat, nmap, Nessus, NetCat, etc) que se utilizan en el área de Seguridad Informática, ya sea para la recogida de datos en una Auditoría Informática, como para establecer controles de acceso a la red, o para tomar datos del estado actual del sistema.

Contenido

  1. Uso de Herramientas para la Auditoría de Sistemas
    1. Introducción
    2. Herramientas del sistema operativo
    3. Herramientas de análisis de red, puertos y servicios
    4. Herramientas de análisis de vulnerabilidades
    5. Resumen

5.- Herramientas de Análisis de Web y de Protocolos en la Auditoría de Sistemas de Información

Objetivo

En esta unidad damos a conocer diferentes herramientas software, ya sea para la recogida de datos en una Auditoría Informática, como para establecer controles de acceso a la red, o para tomar datos del estado actual del sistema. Entre otros, Sniffers (WireShark, Cain & Abel...), Analizadores de web (Acunetix, Dirb...), herramientas de ataque (John the Ripper), etc.

Contenido

  1. Herramientas de Análisis de Web y de Protocolos en la Auditoría de Sistemas de Información
    1. Introducción
    2. Analizadores de protocolos
    3. Analizadores de páginas web
    4. Ataques de diccionario y fuerza bruta
    5. Resumen

6.- La función de los firewalls en Auditorías de Sistemas de Información

Objetivo

En esta unidad daremos información sobre la función de los firewalls. Ellos son los encargados de gestionar el tráfico que circula en el perímetro de nuestra red. Implementan por medio de reglas, las políticas de seguridad de nuestra organización. El grupo auditor deberá verificar no sólo que la configuración del sistema de firewalls de la organización lo hace no vulnerable, sino también que el tráfico que se permite/deniega por medio de reglas lo hace de acuerdo a un plan establecido en concordancia con la política de seguridad de la organización.

Contenido

  1. Firewalls en la Auditorías de Sistemas Informáticos
    1. Introducción
    2. Principios generales de firewalls
    3. Componentes de un firewall de red
    4. Clasificación de los firewalls por ubicación y funcionalidad
    5. Arquitecturas de Firewalls de red
    6. Otras arquitecturas de firewalls de red
    7. Resumen

7.- Guías para la ejecución de las distintas fases de la Auditoría de Sistemas de Información

Objetivo

En esta última unidad del módulo se presentan una serie de Guías - Resumen con la información más relevante que será de utilidad a la hora de llevar a cabo una auditoría informática. Se trata de información extraída del resto de unidades del módulo, y sirve para recopilar conceptos y para generar una serie de guías de buenas prácticas que serán de utilidad en el momento de llevar a cabo una verdadera auditoría informática.

Contenido

  1. Guías para la ejecución de las distintas fases de la Auditoría en Sistemas de Información
    1. Introducción
    2. Guía para la auditoría de la documentación y normativa de seguridad existente en la organización auditada
    3. Guía para la elaboración del plan de auditoría
    4. Guía para las pruebas de auditoría
    5. Guía para la elaboración del informe de auditoría
    6. Resumen

8.- Auditoría de la Protección de Datos

Objetivo

Los alumnos y alumnas, al finalizar esta unidad, habrán adquirido los conocimientos necesarios para aplicar procedimientos relativos al cumplimiento de la normativa legal vigente, en lo referente a protección de datos

Más concretamente serán capaces de:

  • Identificar los datos de carácter personal afectados por la normativa de protección de datos.
  • Explicar la normativa legal vigente aplicable a los datos de carácter personal.
  • Conocer las funciones y poderes de la Agencia Española de Protección de Datos (AEPD).
  • Exponer los trámites legales que deben cumplir los Responsables del Tratamiento y Delegados de Protección de Datos.
  • Identificar fallas en la gestión de datos personales de una empresa u organización.
  • Conocer las herramientas puestas a disposición de la AEPD para llevar a cabo una Auditoría de Protección de Datos

Contenido

  1. Auditoría de la Protección de Datos
    1. Introducción
    2. Marco Jurídico de la Protección de Datos en España
    3. Principios Generales de la Protección de Datos
    4. La protección de datos en el Código Penal
    5. Normativa europea recogida en el Reglamento 2016/679
    6. Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
    7. Autoridad de Control : La Agencia Española de Protección de Datos
    8. Medidas de cumplimiento 
    9. Herramientas de Auditoría de Protección de Datos
    10. Resumen