Seguridad en equipos informáticos

¿Cuáles son los objetivos del curso?

Título Oficial de Formación Profesional de Grado B (Certificado de competencia) equivalente al módulo formativo: MF0486_3 Seguridad en equipos informáticos.

Este módulo pertenece al Título Oficial de Formación Profesional de Grado C (Certificado profesional) de nivel 3: IFCT0109 - Seguridad informática.

Los objetivos de este curso son:

• Analizar los planes de implantación de la organización para identificar los elementos del sistema implicados y los niveles de seguridad a implementar
• Analizar e implementar los mecanismos de acceso físicos y lógicos a los servidores según especificaciones de seguridad.
• Evaluar la función y necesidad de cada servicio en ejecución en el servidor según las especificaciones de seguridad.
• Instalar, configurar y administrar un cortafuegos de servidor con las características necesarias según especificaciones de seguridad.

¿Qué vas a aprender?

CRITERIOS GENERALES COMÚNMENTE ACEPTADOS SOBRE SEGURIDAD DE LOS EQUIPOS INFORMÁTICOS.

• Modelo de seguridad orientada a la gestión del riesgo relacionado con el uso de los sistemas de información
• Relación de las amenazas más frecuentes, los riesgos que implican y las salvaguardas más frecuentes
• Salvaguardas y tecnologías de seguridad más habituales
• La gestión de la seguridad informática como complemento a salvaguardas y medidas tecnológicas

ANÁLISIS DE IMPACTO DE NEGOCIO.

• Identificación de procesos de negocio soportados por sistemas de información.
• Valoración de los requerimientos de confidencialidad, integridad y disponibilidad de los procesos de negocio.
• Determinación de los sistemas de información que soportan los procesos de negocio y sus requerimientos de seguridad.

GESTIÓN DE RIESGOS.

• Aplicación del proceso de gestión de riesgos y exposición de las alternativas más frecuentes.
• Metodologías comúnmente aceptadas de identificación y análisis de riesgos.
• Aplicación de controles y medidas de salvaguarda para obtener una reducción del riesgo.

PLAN DE IMPLANTACIÓN DE SEGURIDAD.

• Determinación del nivel de seguridad existente de los sistemas frente a la necesaria en base a los requerimientos de seguridad de los procesos de negocio.
• Selección de medidas de salvaguarda para cubrir los requerimientos de seguridad de los sistemas de información.
• Guía para la elaboración del plan de implantación de las salvaguardas seleccionadas.

PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

• Principios generales de protección de datos de carácter personal.
• Infracciones y sanciones contempladas en la legislación vigente en materia de protección de datos de carácter personal.
• Identificación y registro de los ficheros con datos de carácter personal utilizados por la organización.
• Elaboración del documento de seguridad requerido por la legislación vigente en materia de protección de datos de carácter personal.

SEGURIDAD FÍSICA E INDUSTRIAL DE LOS SISTEMAS. SEGURIDAD LÓGICA DE SISTEMAS.

• Determinación de los perímetros de seguridad física
• Sistemas de control de acceso físico mas frecuentes a las instalaciones de la organización y a las áreas en las que estén ubicados los sistemas informáticos.
• Criterios de seguridad para el emplazamiento físico de los sistemas informáticos.
• Exposición de elementos mas frecuentes para garantizar la calidad y continuidad del suministro eléctrico a los sistemas informáticos.
• Requerimientos de climatización y protección contra incendios aplicables a los sistemas informáticos.
• Elaboración de la normativa de seguridad física e industrial para la organización.
• Sistemas de ficheros más frecuentemente utilizados.
• Establecimiento del control de accesos de los sistemas informáticos a la red de comunicaciones de la organización.
• Configuración de políticas y directivas del directorio de usuarios.
• Establecimiento de las listas de control de acceso (ACLs) a ficheros.
• Gestión de altas, bajas y modificaciones de usuarios y los privilegios que tienen asignados.
• Requerimientos de seguridad relacionados con el control de acceso de los usuarios al sistema operativo.
• Sistemas de autenticación de usuarios débiles, fuertes y biométricos.
• Relación de los registros de auditoría del sistema operativo necesarios para monitorizar y supervisar el control de accesos.
• Elaboración de la normativa de control de accesos a los sistemas informáticos.

IDENTIFICACIÓN DE SERVICIOS

• Identificación de los protocolos, servicios y puertos utilizados por los sistemas de información.
• Utilización de herramientas de análisis de puertos y servicios abiertos para determinar aquellos que no son necesarios.
• Utilización de herramientas de análisis de tráfico de comunicaciones para determinar el uso real que hacen los sistemas de información de los distintos protocolos, servicios y puertos.

ROBUSTECIMIENTO DE SISTEMAS.

• Modificación de los usuarios y contraseñas por defecto de los distintos sistemas de información.
• Configuración de las directivas de gestión de contraseñas y privilegios en el directorio de usuarios.
• Eliminación y cierre de las herramientas, utilidades, servicios y puertos prescindibles.
• Configuración de los sistemas de información para que utilicen protocolos seguros donde sea posible
• Actualización de parches de seguridad de los sistemas informáticos.
• Protección de los sistemas de información frente a código malicioso.
• Gestión segura de comunicaciones, carpetas compartidas, impresoras y otros recursos compartidos del sistema.
• Monitorización de la seguridad y el uso adecuado de los sistemas de información.

IMPLANTACIÓN Y CONFIGURACIÓN DE CORTAFUEGOS.

• Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad.
• Criterios de seguridad para la segregación de redes en el cortafuegos mediante Zonas Desmilitarizadas / DMZ.
• Utilización de Redes Privadas Virtuales / VPN para establecer canales seguros de comunicaciones.
• Definición de reglas de corte en los cortafuegos.
• Relación de los registros de auditoría del cortafuegos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad.
• Establecimiento de la monitorización y pruebas del cortafuegos.