Informática > Auditoría de seguridad informática. MF0487.

Auditoría de seguridad informática. MF0487.

Beatriz Coronado García

ISBN: 9791387566074
Editorial: Tutor Formación
Páginas: 168
Género: Informática
IBIC: SEGURIDAD INFORMÁTICA
Año: Dic-2024

USD74.25
descuentos no aplicados
<p><span style="color:rgb(0,0,255);">Puede solicitar gratuitamente las soluciones a todas las actividades </span><span style="color:rgb(0,0,0);">en el email tutor@tutorformacion.es</span><br><br><span style="color:rgb(0,0,0);">Capacidades que se adquieren con este Manual:</span><br><br><span style="color:rgb(0,0,0);">- Analizar y seleccionar las herramientas de auditoría y detección de vulnerabilidades del sistema informático implantando aquellas que se adecuen a las especificaciones de seguridad informática.</span><br><span style="color:rgb(0,0,0);">- Aplicar procedimientos relativos al cumplimiento de la normativa legal vigente.</span><br><span style="color:rgb(0,0,0);">- Planificar y aplicar medidas de seguridad para garantizar la integridad del sistema informático y de los puntos de entrada y salida de la red departamental.</span><br><br><span style="color:rgb(0,0,0);">Índice:</span><br><br><span style="color:rgb(0,0,0);">Introducción 6</span><br><br><span style="color:rgb(0,0,0);">Criterios generales comúnmente aceptados sobre auditoría informática 12</span><br><br><span style="color:rgb(0,0,0);">1. Código deontológico de la función de auditoría. 13</span><br><span style="color:rgb(0,0,0);">2. Relación de los distintos tipos de auditoría en el marco de los sistemas de información. 15</span><br><span style="color:rgb(0,0,0);">3. Criterios a seguir para la composición del equipo auditor. 20</span><br><span style="color:rgb(0,0,0);">4. Tipos de pruebas a realizar en el marco de la auditoría, pruebas sustantivas y pruebas de cumplimiento. 23</span><br><span style="color:rgb(0,0,0);">5. Tipos de muestreo a aplicar durante el proceso de auditoría. 26</span><br><span style="color:rgb(0,0,0);">6. Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools). 33</span><br><span style="color:rgb(0,0,0);">7. Explicación de los requerimientos que deben cumplir los hallazgos de auditoría. 35</span><br><span style="color:rgb(0,0,0);">8. Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades. 41</span><br><span style="color:rgb(0,0,0);">9. Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas. 45</span><br><span style="color:rgb(0,0,0);">10. Prueba de autoevaluación. 47</span><br><br><span style="color:rgb(0,0,0);">Aplicación de la normativa de protección de datos de carácter personal 48</span><br><br><span style="color:rgb(0,0,0);">1. Principios generales de protección de datos de carácter personal. 49</span><br><span style="color:rgb(0,0,0);">2. Normativa europea recogida en el RGPD (Reglamento General de Protección de Datos, Reglamento UE 2016/679) (sustituye a la Directiva 95/46/CE). 51</span><br><span style="color:rgb(0,0,0);">3. Normativa nacional recogida en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD, Ley Orgánica 3/2018) (sustituye a la LORTAD y a la LOPD, y actualiza el Reglamento de Desarrollo RD 1720/2007). 54</span><br><span style="color:rgb(0,0,0);">4. Identificación y registro de los ficheros con datos de carácter personal utilizados por la organización. 57</span><br><span style="color:rgb(0,0,0);">5. Explicación de las medidas de seguridad para la protección de los datos de carácter personal según el RGPD y la LOPDGDD (sustituye a RD 1720/2007). 62</span><br><span style="color:rgb(0,0,0);">6. Guía para la realización de la auditoría de protección de datos conforme a los requisitos del RGPD y la LOPDGDD (actualización de la bienal obligatoria de la ley orgánica 15/1999). 64</span><br><span style="color:rgb(0,0,0);">7. Prueba de autoevaluación. 67</span><br><br><span style="color:rgb(0,0,0);">Análisis de riesgos de los sistemas de información 68</span><br><br><span style="color:rgb(0,0,0);">1. Introducción al análisis de riesgos. 69</span><br><span style="color:rgb(0,0,0);">2. Principales tipos de vulnerabilidades, fallos de programa, programas maliciosos y su actualización permanente, así como criterios de programación segura. 71</span><br><span style="color:rgb(0,0,0);">3. Particularidades de los distintos tipos de código malicioso. 77</span><br><span style="color:rgb(0,0,0);">4. Principales elementos del análisis de riesgos y sus modelos de relaciones. 79</span><br><span style="color:rgb(0,0,0);">5. Metodologías cualitativas y cuantitativas de análisis de riesgos. 81</span><br><span style="color:rgb(0,0,0);">6. Identificación de los activos involucrados en el análisis de riesgos y su valoración. 83</span><br><span style="color:rgb(0,0,0);">7. Identificación de las amenazas que pueden afectar a los activos identificados previamente. 84</span><br><span style="color:rgb(0,0,0);">8. Análisis e identificación de las vulnerabilidades existentes en los sistemas de información que permitirían la materialización de amenazas, incluyendo el análisis local, análisis remoto de caja blanca y de caja negra. 85</span><br><span style="color:rgb(0,0,0);">9. Optimización del proceso de auditoría y contraste de vulnerabilidades e informe de auditoría. 86</span><br><span style="color:rgb(0,0,0);">10. Identificación de las medidas de salvaguarda existentes en el momento de la realización del análisis de riesgos y su efecto sobre las vulnerabilidades y amenazas. 87</span><br><span style="color:rgb(0,0,0);">11. Establecimiento de los escenarios de riesgo entendidos como pares activo-amenaza susceptibles de materializarse. 88</span><br><span style="color:rgb(0,0,0);">12. Determinación de la probabilidad e impacto de materialización de los escenarios. 89</span><br><span style="color:rgb(0,0,0);">13. Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza. 92</span><br><span style="color:rgb(0,0,0);">14. Determinación por parte de la organización de los criterios de evaluación del riesgo, en función de los cuales se determina si un riesgo es aceptable o no. 94</span><br><span style="color:rgb(0,0,0);">15. Relación de las distintas alternativas de gestión de riesgos. 95</span><br><span style="color:rgb(0,0,0);">16. Guía para la elaboración del plan de gestión de riesgos. 96</span><br><span style="color:rgb(0,0,0);">17. Exposición de la metodología NIST SP 800-30. 98</span><br><span style="color:rgb(0,0,0);">18. Exposición de la metodología Magerit versión 3 (sustituye a Magerit versión 2, última versión más adecuada para los requisitos actuales). 100</span><br><span style="color:rgb(0,0,0);">19. Prueba de autoevaluación. 107</span><br><br><span style="color:rgb(0,0,0);">Uso de herramientas para la auditoría de sistemas 108</span><br><br><span style="color:rgb(0,0,0);">1. Herramientas del sistema operativo tipo Ping, Traceroute, etc. 109</span><br><span style="color:rgb(0,0,0);">2. Herramientas de análisis de red, puertos y servicios, incluyendo Nmap, Netcat, y herramientas actualizadas como Masscan (actualización para añadir Masscan como una herramienta moderna). 118</span><br><span style="color:rgb(0,0,0);">3. Herramientas de análisis de vulnerabilidades tipo Nessus. 131</span><br><span style="color:rgb(0,0,0);">4. Analizadores de protocolos, incluyendo WireShark y alternativas actuales en la nube y análisis remoto (ampliación para reflejar el uso de servicios de análisis en entornos en la nube y SaaS). 136</span><br><span style="color:rgb(0,0,0);">5. Analizadores de páginas web como Burp Suite, OWASP ZAP y Dirb (sustituye herramientas desactualizadas como Parosproxy por Burp Suite y OWASP ZAP, más usadas en auditorías actuales). 139</span><br><span style="color:rgb(0,0,0);">6. Herramientas de fuerza bruta y descifrado de contraseñas como Hashcat y John the Ripper (sustitución de Brutus por Hashcat, más actual y con soporte activo). 142</span><br><span style="color:rgb(0,0,0);">7. Prueba de autoevaluación. 145</span><br><br><span style="color:rgb(0,0,0);">Descripción de los aspectos sobre cortafuegos en auditorías de Sistemas Informáticos 146</span><br><br><span style="color:rgb(0,0,0);">1. Principios generales de cortafuegos. 147</span><br><span style="color:rgb(0,0,0);">2. Componentes de un cortafuegos de red. 148</span><br><span style="color:rgb(0,0,0);">3. Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad 149</span><br><span style="color:rgb(0,0,0);">4. Arquitecturas de cortafuegos de red. 151</span><br><span style="color:rgb(0,0,0);">5. Otras arquitecturas de cortafuegos de red. 153</span><br><span style="color:rgb(0,0,0);">6. Prueba de autoevaluación. 155</span><br><br><span style="color:rgb(0,0,0);">Guías para la ejecución de las distintas fases de la auditoría de sistemas de información 156</span><br><br><span style="color:rgb(0,0,0);">1. Guía para la auditoría de la documentación y normativa de seguridad existente en la organización auditada. 157</span><br><span style="color:rgb(0,0,0);">2. Guía para la elaboración del plan de auditoría. 159</span><br><span style="color:rgb(0,0,0);">3. Guía para las pruebas de auditoría, 160</span><br><span style="color:rgb(0,0,0);">4. Guía para la elaboración del informe de auditoría. 161</span><br><span style="color:rgb(0,0,0);">5. Prueba de autoevaluación. 163</span><br><br><span style="color:rgb(0,0,0);">Resumen 164</span><br><br><span style="color:rgb(0,0,0);">Prueba de evaluación final 165</span></p>

Descripción

Puede solicitar gratuitamente las soluciones a todas las actividades en el email tutor@tutorformacion.es

- Analizar y seleccionar las herramientas de auditoría y detección de vulnerabilidades del sistema informático implantando aquellas que se adecuen a las especificaciones de seguridad informática.
- Aplicar procedimientos relativos al cumplimiento de la normativa legal vigente.
- Planificar y aplicar medidas de seguridad para garantizar la integridad del sistema informático y de los puntos de entrada y salida de la red departamental.