<p><span style="color:rgb(0,0,255);">Puede solicitar gratuitamente las soluciones a todas las actividades </span><span style="color:rgb(0,0,0);">en el email tutor@tutorformacion.es</span><br><br><span style="color:rgb(0,0,0);">Capacidades que se adquieren con este Manual:</span><br><br><span style="color:rgb(0,0,0);">- Analizar los planes de implantación de la organización para identificar los elementos del sistema implicados y los niveles de seguridad a implementar.</span><br><span style="color:rgb(0,0,0);">- Analizar e implementar los mecanismos de acceso físicos y lógicos a los servidores según especificaciones de seguridad.</span><br><span style="color:rgb(0,0,0);">- Evaluar la función y necesidad de cada servicio en ejecución en el servidor según las especificaciones de seguridad.</span><br><span style="color:rgb(0,0,0);">- Instalar, configurar y administrar un cortafuegos de servidor con las características necesarias según especificaciones de seguridad.</span><br><br><span style="color:rgb(0,0,0);">Índice:</span><br><br><span style="color:rgb(0,0,0);">Introducción 6</span><br><br><span style="color:rgb(0,0,0);">Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos 11</span><br><span style="color:rgb(0,0,0);">1. Modelo de seguridad orientada a la gestión del riesgo relacionado con el uso de los sistemas de información. 12</span><br><span style="color:rgb(0,0,0);">2. Relación de las amenazas más frecuentes, los riesgos que implican y las salvaguardas más frecuentes. 18</span><br><span style="color:rgb(0,0,0);">3. Salvaguardas y tecnologías de seguridad más habituales. 23</span><br><span style="color:rgb(0,0,0);">4. La gestión de la seguridad informática como complemento a salvaguardas y medidas tecnológicas. 25</span><br><span style="color:rgb(0,0,0);">5. Prueba de autoevaluación. 28</span><br><br><span style="color:rgb(0,0,0);">Análisis de impacto de negocio 29</span><br><br><span style="color:rgb(0,0,0);">1. Identificación de procesos de negocio soportados por sistemas de información. 30</span><br><span style="color:rgb(0,0,0);">2. Valoración de los requerimientos de confidencialidad, integridad y disponibilidad de los procesos de negocio. 31</span><br><span style="color:rgb(0,0,0);">3. Determinación de la criticidad de los procesos de negocio y sus parámetros de disponibilidad y tiempo de recuperación en un análisis de riesgos. 33</span><br><span style="color:rgb(0,0,0);">4. Prueba de autoevaluación. 37</span><br><br><span style="color:rgb(0,0,0);">Análisis y gestión de riesgos 38</span><br><br><span style="color:rgb(0,0,0);">1. Aplicación del proceso de gestión de riesgos y exposición de las alternativas más frecuentes. 39</span><br><span style="color:rgb(0,0,0);">2. Metodologías comúnmente aceptadas de identificación y análisis de riesgos. 43</span><br><span style="color:rgb(0,0,0);">3. Aplicación de controles y medidas de salvaguarda para obtener una reducción del riesgo. 47</span><br><span style="color:rgb(0,0,0);">4. Prueba de autoevaluación. 49</span><br><br><span style="color:rgb(0,0,0);">Plan de implantación de seguridad 50</span><br><br><span style="color:rgb(0,0,0);">1. Determinación del nivel de seguridad existente de los sistemas frente a la necesaria en base a los requerimientos de seguridad de los procesos de negocio. 51</span><br><span style="color:rgb(0,0,0);">2. Selección de medidas de salvaguarda para cubrir los requerimientos de seguridad de los sistemas de información. 54</span><br><span style="color:rgb(0,0,0);">3. Guía para la elaboración del plan de implantación de las salvaguardas seleccionadas. 57</span><br><span style="color:rgb(0,0,0);">4. Prueba de autoevaluación. 60</span><br><br><span style="color:rgb(0,0,0);">Protección de datos de carácter personal 61</span><br><br><span style="color:rgb(0,0,0);">1. Principios generales de protección de datos de carácter personal. 62</span><br><span style="color:rgb(0,0,0);">2. Infracciones y sanciones contempladas en la legislación vigente en materia de protección de datos de carácter personal 64</span><br><span style="color:rgb(0,0,0);">3. Identificación y registro de los repositorios con datos de carácter personal utilizados por la organización. 67</span><br><span style="color:rgb(0,0,0);">4. Elaboración del documento de seguridad requerido por la legislación vigente en materia de protección de datos de carácter personal. 69</span><br><span style="color:rgb(0,0,0);">5. Prueba de autoevaluación. 71</span><br><br><span style="color:rgb(0,0,0);">Seguridad física e industrial de los sistemas. Seguridad lógica de sistemas. 72</span><br><br><span style="color:rgb(0,0,0);">1. Determinación de los perímetros de seguridad física. 73</span><br><span style="color:rgb(0,0,0);">2. Sistemas de control de acceso físico más frecuentes a las instalaciones de la organización y a las áreas en las que estén ubicados los sistemas informáticos. 75</span><br><span style="color:rgb(0,0,0);">3. Criterios de seguridad para el emplazamiento físico de los sistemas informáticos. 78</span><br><span style="color:rgb(0,0,0);">4. Exposición de elementos más frecuentes para garantizar la calidad y continuidad del suministro eléctrico a los sistemas informáticos. 81</span><br><span style="color:rgb(0,0,0);">5. Requerimientos de climatización y protección contra incendios aplicables a los sistemas informáticos. 84</span><br><span style="color:rgb(0,0,0);">6. Elaboración de la normativa de seguridad física e industrial para la organización. 87</span><br><span style="color:rgb(0,0,0);">7. Sistemas de ficheros más frecuentemente utilizados. 92</span><br><span style="color:rgb(0,0,0);">8. Establecimiento del control de accesos de los sistemas informáticos a la red de comunicaciones de la organización. 95</span><br><span style="color:rgb(0,0,0);">9. Configuración de políticas y directivas del directorio de usuarios. 100</span><br><span style="color:rgb(0,0,0);">10. Establecimiento de las listas de control de acceso (ACLs) a ficheros. 104</span><br><span style="color:rgb(0,0,0);">11. Gestión de altas, bajas y modificaciones de usuarios y los privilegios que tienen asignados. 110</span><br><span style="color:rgb(0,0,0);">12. Requerimientos de seguridad relacionados con el control de acceso de los usuarios al sistema operativo. 111</span><br><span style="color:rgb(0,0,0);">13. Sistemas de autenticación de usuarios débiles, fuertes y biométricos. 114</span><br><span style="color:rgb(0,0,0);">14. Relación de los registros de auditoría del sistema operativo necesarios para monitorizar y supervisar el control de accesos. 116</span><br><span style="color:rgb(0,0,0);">15. Elaboración de la normativa de control de accesos a los sistemas informáticos. 122</span><br><span style="color:rgb(0,0,0);">16. Prueba de autoevaluación. 124</span><br><br><span style="color:rgb(0,0,0);">Identificación de servicios 125</span><br><br><span style="color:rgb(0,0,0);">1. Identificación de los protocolos, servicios y puertos utilizados por los sistemas de información 126</span><br><span style="color:rgb(0,0,0);">2. Utilización de herramientas de análisis de puertos y servicios abiertos para determinar aquellos que no son necesarios 127</span><br><span style="color:rgb(0,0,0);">3. Identificación de los servicios mínimos que deben ejecutarse en el servidor y desactivación de los servicios innecesarios. 140</span><br><span style="color:rgb(0,0,0);">4. Utilización de herramientas de análisis de tráfico de comunicaciones para determinar el uso real que hacen los sistemas de información de los distintos protocolos, servicios y puertos. 142</span><br><span style="color:rgb(0,0,0);">5. Prueba de autoevaluación. 145</span><br><br><span style="color:rgb(0,0,0);">Bastionado de sistemas 146</span><br><br><span style="color:rgb(0,0,0);">1. Modificación de los usuarios y contraseñas por defecto de los distintos sistemas de información. 147</span><br><span style="color:rgb(0,0,0);">2. Configuración de las directivas de gestión de contraseñas y privilegios en el directorio de usuarios. 148</span><br><span style="color:rgb(0,0,0);">3. Eliminación y cierre de las herramientas, utilidades, servicios y puertos prescindibles. 149</span><br><span style="color:rgb(0,0,0);">4. Configuración de los sistemas de información para que utilicen protocolos seguros donde sea posible. 150</span><br><span style="color:rgb(0,0,0);">5. Actualización de parches de seguridad de los sistemas informáticos. 152</span><br><span style="color:rgb(0,0,0);">6. Protección de los sistemas de información frente a código malicioso. 154</span><br><span style="color:rgb(0,0,0);">7. Gestión segura de comunicaciones, carpetas compartidas, impresoras y otros recursos compartidos del sistema. 156</span><br><span style="color:rgb(0,0,0);">8. Monitorización de la seguridad y el uso adecuado de los sistemas de información. 157</span><br><span style="color:rgb(0,0,0);">9. Prueba de autoevaluación. 160</span><br><br><span style="color:rgb(0,0,0);">Implantación y configuración de cortafuegos 161</span><br><br><span style="color:rgb(0,0,0);">1. Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad 162</span><br><span style="color:rgb(0,0,0);">2. Criterios de seguridad para la segregación de redes en el cortafuegos mediante Zonas Desmilitarizadas / DMZ. 164</span><br><span style="color:rgb(0,0,0);">3. Utilización de Redes Privadas Virtuales / VPN para establecer canales seguros de comunicaciones. 165</span><br><span style="color:rgb(0,0,0);">4. Definición de reglas de corte en los cortafuegos. 168</span><br><span style="color:rgb(0,0,0);">5. Relación de los registros de auditoría del cortafuegos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad. 170</span><br><span style="color:rgb(0,0,0);">6. Establecimiento de la monitorización y pruebas del cortafuegos. 173</span><br><span style="color:rgb(0,0,0);">7. Prueba de autoevaluación. 176</span><br><br><span style="color:rgb(0,0,0);">Prueba de evaluación final 179</span></p>