Auditoría de Seguridad Informática y de Datos

Temario del curso

1 - Criterios generales sobre Auditoría Informática

Objetivo

Esta unidad introduce conceptos sobre la auditoría en general, y más concretamente sobre la auditoría informática.

Contenido

Criterios generales sobre Auditoría Informática

Introducción

Concepto de Auditoría

Código deontológico de la función de auditoría

Normas profesionales y código de ética

Principios Deontológicos Aplicables a los Auditores Informáticos

Relación de los distintos tipos de auditoría en el marco de los sistemas de información

Criterios a seguir para la composición del equipo auditor

Aspectos a considerar en la composición del equipo auditor

Funciones generales del equipo auditor

Conocimientos y destrezas del equipo auditor

Responsabilidad Profesional

Tipos de pruebas a realizar en el marco de la auditoría, pruebas sustantivas y pruebas de cumplimiento

Pruebas de cumplimiento

Pruebas sustantivas

Ejemplo de Pruebas de Cumplimiento y Sustantivas

Tipos de muestreo a aplicar durante el proceso de auditoría

Métodos de muestreo representativo o estadístico

Técnicas de selección para el muestreo en la auditoría

Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools)

Software de Auditoría

Datos de prueba

Otros componentes de las CAAT

Utilización de CAATs

Explicación de los requerimientos que deben cumplir los hallazgos de auditoría

Requisitos de un hallazgo de auditoría

Elementos de un hallazgo de auditoría

Comunicación de los hallazgos de auditoría

Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades

Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas

Normas de Auditoría Generalmente Aceptadas (NAGAS)

Metodologías relacionadas con la Auditoría de Sistemas de Información

Resumen de la Unidad

2 - Análisis de Riesgos en los Sistemas de Información: Identificación de Vulnerabilidades y Amenazas

Objetivo

En esta unidad se definen conceptos relativos a seguridad informática. La seguridad informática generalmente consiste en asegurar que los recursos del sistema de información (material informático (seguridad física) o programas y datos (seguridad lógica)) de una organización sean utilizados de la manera que se decidió y que la información que se considera importante no sea fácil de acceder por cualquier persona que no se encuentre acreditada.

Contenido

Análisis de Riesgos en los Sistemas de Información: Identificación de Vulnerabilidades y Amenazas

Introducción

Objetivos de la unidad

Introducción a los contenidos

Términos relacionados con la seguridad informática

Introducción al análisis de riesgos

Análisis de riesgos

Reducción del Riesgo: Mecanismos de Seguridad (Controles)

Vulnerabilidades del sistema

Tipos de Vulnerabilidades

Criterios de programación segura

Particularidades de los distintos tipos de código malicioso

Principales elementos del análisis de riesgos y sus modelos de relaciones

Metodologías cualitativas y cuantitativas de análisis de riesgos

Métodos Cualitativos

Métodos Cuantitativos

Identificación y valoración de los activos involucrados en el análisis de riesgos

El inventario de activos

Valoración de los activos

Identificación de las amenazas que pueden afectar a los activos

Naturaleza de las amenazas

Amenazas Físicas

Descripción de algunas amenazas físicas

Amenazas Lógicas

Algunas amenazas lógicas

Análisis e identificación de las vulnerabilidades existentes 

Pensando como el enemigo

Pruebas de Penetración

Evaluación de vulnerabilidad

Establecimiento de una metodología

Herramientas de evaluación de vulnerabilidades

Resumen

3 - Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Objetivo

En esta unidad se muestra cómo identificar cuáles han de ser los controles a establecer para proteger nuestros activos, en base a cuál es su valor estimado, y cuál es el riesgo de que cada una de las amenazas de dicho activo se  materialicen.

También se describe la Metodología de Análisis y Gestión de Riesgos MAGERIT v.3, que es un estándar en las administraciones públicas.

Contenido

Análisis de Riesgos en los Sistemas de Información: Plan de Gestión de Riesgos

Introducción

Objetivos de la unidad

Introducción a los contenidos

El Informe de Auditoría

Mecanismo de salvaguarda vs Funciones de salvaguarda

Funciones de Salvaguarda en sistemas de información

Establecimiento de los escenarios de riesgo

Determinación de la probabilidad e impacto de materialización de los escenarios

Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza

¿Cómo valorar la probabilidad de una amenaza?

¿Cómo valorar la magnitud del daño?

Criterios de Evaluación de Riesgo

Relación de las distintas alternativas de gestión de riesgos

Guía para la elaboración del Plan de Gestión de Riesgos

Exposición de la metodología NIST SP 800-30

Exposición de la metodología Magerit versión 3

Método MAGERIT

Catálogo de elementos MAGERIT

Guía de Técnicas MAGERIT

Resumen

4 - Herramientas de Análisis de Red y de Vulnerabilidades en la Auditoría de Sistemas de Información

Objetivo

En esta unidad vamos a repasar diferentes herramientas software (netstat, nmap, Nessus, NetCat, etc) que se utilizan en el área de Seguridad Informática, ya sea para la recogida de datos en una Auditoría Informática, como para establecer controles de acceso a la red, o para tomar datos del estado actual del sistema.

Contenido

Uso de Herramientas para la Auditoría de Sistemas

Introducción

Objetivos de la unidad

Introducción a los contenidos

Instrucciones de instalación de los laboratorios virtuales

Herramientas del sistema operativo

Ping

Traceroute

DNS lookup

ssh

netstat

ipconfig/ifconfig

Herramientas de análisis de red, puertos y servicios

Nmap

Escaneo de Puertos

NBTScan

Netcat

Herramientas de análisis de vulnerabilidades

Manejo de usuarios en Nessus

Configuración del análisis

Proceso de análisis de vulnerabilidades

Plugins

Plugins en C

Plugins en NASL

Informes Nessus y análisis de resultados

Resumen

5 - Herramientas de Análisis de Web y de Protocolos en la Auditoría de Sistemas de Información

Objetivo

En esta unidad damos a conocer diferentes herramientas software, ya sea para la recogida de datos en una Auditoría Informática, como para establecer controles de acceso a la red, o para tomar datos del estado actual del sistema. Entre otros, Sniffers (WireShark, Cain & Abel...), Analizadores de web (Acunetix, Dirb...), herramientas de ataque (John the Ripper), etc.

Contenido

Herramientas de Análisis de Web y de Protocolos en la Auditoría de Sistemas de Información

Introducción

Objetivos de la unidad

Introducción a los contenidos

Instrucciones de instalación de los laboratorios virtuales

Analizadores de protocolos

WireShark

Manual Básico de Wireshark

DSniff

Cain & Abel

Analizadores de páginas web

Acunetix

Dirb

Proxy Paros

Ataques de diccionario y fuerza bruta

John the Ripper

Aircrack-ng: Auditoría inalámbrica

Resumen

6 - La función de los firewalls en Auditorías de Sistemas de Información

Objetivo

En esta unidad daremos información sobre la función de los firewalls. Ellos son los encargados de gestionar el tráfico que circula en el perímetro de nuestra red. Implementan por medio de reglas, las políticas de seguridad de nuestra organización. El grupo auditor deberá verificar no sólo que la configuración del sistema de firewalls de la organización lo hace no vulnerable, sino también que el tráfico que se permite/deniega por medio de reglas lo hace de acuerdo a un plan establecido en concordancia con la política de seguridad de la organización.

Contenido

Firewalls en la Auditorías de Sistemas Informáticos

Introducción

Objetivos de la unidad

Introducción a los contenidos

Principios generales de firewalls

Componentes de un firewall de red

Filtrado de paquetes

Especificación de las Reglas (ACL)

Características: Pros y Contras

El proxy de aplicación

Ventajas e inconvenientes

Pasarelas de nivel de circuito

Monitorización y Detección de Actividad sospechosa

SMLI

Clasificación de los firewalls por ubicación y funcionalidad

Arquitecturas de Firewalls de red

Otras arquitecturas de firewalls de red

Gestión Unificada de Amenazas: Firewalls UTM

Resumen

7 - Guías para la ejecución de las distintas fases de la Auditoría de Sistemas de Información

Objetivo

En esta última unidad del módulo se presentan una serie de Guías - Resumen con la información más relevante que será de utilidad a la hora de llevar a cabo una auditoría informática. Se trata de información extraída del resto de unidades del módulo, y sirve para recopilar conceptos y para generar una serie de guías de buenas prácticas que serán de utilidad en el momento de llevar a cabo una verdadera auditoría informática.

Contenido

Guías para la ejecución de las distintas fases de la Auditoría en Sistemas de Información

Introducción

Objetivos de la unidad

Introducción a los contenidos

Guía para la auditoría de la documentación y normativa de seguridad existente en la organización auditada

Investigación preliminar

Guía para la elaboración del plan de auditoría

Guía para las pruebas de auditoría

Guía para la elaboración del informe de auditoría

Formato del informe de auditoría

Resumen

 

8 - Auditoría de la Protección de Datos

Objetivo

Los alumnos y alumnas, al finalizar esta unidad, habrán adquirido los conocimientos necesarios para aplicar procedimientos relativos al cumplimiento de la normativa legal vigente, en lo referente a protección de datos

Más concretamente serán capaces de:

  • Identificar los datos de carácter personal afectados por la normativa de protección de datos.
  • Explicar la normativa legal vigente aplicable a los datos de carácter personal.
  • Conocer las funciones y poderes de la Agencia Española de Protección de Datos (AEPD).
  • Exponer los trámites legales que deben cumplir los Responsables del Tratamiento y Delegados de Protección de Datos.
  • Identificar fallas en la gestión de datos personales de una empresa u organización.
  • Conocer las herramientas puestas a disposición de la AEPD para llevar a cabo una Auditoría de Protección de Datos

Contenido

Auditoría de la Protección de Datos

Introducción

Objetivos de la unidad

Marco Jurídico de la Protección de Datos en España

Principios Generales de la Protección de Datos

La protección de datos en el Código Penal

Normativa europea recogida en el Reglamento 2016/679

Aplicación de la norma

Síntesis

Derechos del interesado o interesada

Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

Síntesis

Autoridad de Control : La Agencia Española de Protección de Datos

Funciones

Poderes 

De investigación

Correctivos

De autorización y consultivos

Medidas de cumplimiento 

Principios 

Responsable del tratamiento y encargado/a del tratamiento

Delegado de protección de datos

Registro de actividades de tratamiento

Medidas de protección de datos desde el diseño y por defecto

Análisis de riesgos y adopción de medidas de seguridad

Notificación de quiebras de seguridad

Evaluaciones de impacto sobre la protección de datos

Mecanismos de certificación y códigos de conducta

Transferencias internacionales y normas corporativas vinculantes

Herramientas de Auditoría de Protección de Datos

Herramienta "Facilita_RGPD" para datos de escaso riesgo

Listado de cumplimiento

Resumen

 

Documentos del curso

Descarga Temario   

Enfoque

Course File webcurso_cimage161298323335.jpg

Objetivo

Con la realización del presente curso el alumnado adquirirá los conocimientos necesarios para auditar redes de comunicación y sistemas informáticos. Más concretamente, será capaz de:

  • Analizar y seleccionar las herramientas de auditoría y detección de vulnerabilidades del sistema informático implantando aquellas que se adecuen a las especificaciones de seguridad informática de la organización.
  • Planificar y aplicar medidas de seguridad para garantizar la integridad del sistema informático y de los puntos de entrada y salida de la red departamental.
  • Llevar a cabo auditorías de sistemas y de la información para la obtención de certificaciones, siguiendo una metodología específica.
  • Llevar a cabo Auditorías de Datos para validar si una empresa u organización cumple con la actual normativa de protección de datos personales.

Dirigido a:

El presente curso va dirigido a todas aquellas personas que quieran orientar su futuro laboral en el mundo de la informática, desempeñando tareas de auditoria informática, configuración y temas relacionados con la seguridad informática, y protección de datos, así como para aquellas personas que quieran ampliar sus conocimientos profesionales sobre esta área.

Requisitos:

Son deseables conocimientos de usuario informático avanzado, por ejemplo, ser capaz de instalar aplicaciones, y conocer conceptos básicos sobre tecnología (redes y sistemas operativos principalmente).

  • Precio del curso: € 330

Matricular trabajador

  • Horas duración del curso

40



Uso de cookies

Esta web utiliza cookies. Si continúa navegando consideramos que aceptas su uso. ACEPTAR | Más información.