Curso gratis Técnico en Seguridad Informática

Curso Gratis Online para Trabajadores y Empresas

Si eres trabajador en Régimen General, disfruta del curso gratis online a través de la formación bonificada para empresas.

Nuestros cursos gratis están disponibles en modalidad online o a distancia, consúltanos para informarse de la modalidad del curso gratis para trabajadores de su interés.

OBJETIVOS DEL CURSO GRATIS TÉCNICO EN SEGURIDAD INFORMÁTICA

Este curso permitirá al alumnado adquirir las competencias profesionales necesarias para conocer el concepto y modelos de seguridad, los tipos de control de acceso, autentificación de datos y posibles ataques a los que pueden estar sometidos los sistemas informáticos, aprender las pautas y ámbitos de aplicación para el Reglamento de Seguridad y la aplicación de sus principales puntos del reglamento en Windows, saber aplicar la ley de protección de datos aplicada en España: los principios de protección de datos y la forma en que se debe aplicar, así como garantizar la continuidad de las operaciones de los elementos críticos que componen los sistemas de información, mediante acciones y procedimientos.

CONTENIDO DEL CURSO GRATIS TÉCNICO EN SEGURIDAD INFORMÁTICA

MÓDULO 1. MF0486_3 SEGURIDAD EN EQUIPOS INFORMÁTICOS

UNIDAD DIDÁCTICA 1. CRITERIOS GENERALES COMÚNMENTE ACEPTADOS SOBRE SEGURIDAD DE LOS EQUIPOS INFORMÁTICOS

1. Modelo de seguridad enfocado en la gestión del riesgo asociado al uso de sistemas de información.
2. Lista de las amenazas más comunes, los riesgos que conllevan y las salvaguardas más utilizadas.
3. Salvaguardas y tecnologías de seguridad más comunes en la actualidad.
4. La gestión de la seguridad informática como apoyo a las salvaguardas y medidas tecnológicas.

UNIDAD DIDÁCTICA 2. ANÁLISIS DE IMPACTO DE NEGOCIO

1. Identificación de los procesos de negocio que dependen de sistemas de información.
2. Evaluación de los requerimientos de confidencialidad, integridad y disponibilidad de dichos procesos.
3. Identificación de los sistemas de información que respaldan estos procesos y sus necesidades de seguridad.

UNIDAD DIDÁCTICA 3. GESTIÓN DE RIESGOS

1. Implementación del proceso de gestión de riesgos y presentación de las alternativas más comunes.
2. Metodologías ampliamente aceptadas para la identificación y análisis de riesgos.
3. Aplicación de controles y medidas de salvaguarda para reducir el riesgo.

UNIDAD DIDÁCTICA 4. PLAN DE IMPLANTACIÓN DE SEGURIDAD

1. Evaluación del nivel actual de seguridad de los sistemas en comparación con el nivel requerido según las necesidades de seguridad de los procesos de negocio.
2. Selección de medidas de salvaguarda para cumplir con los requerimientos de seguridad de los sistemas de información.
3. Directrices para la creación del plan de implementación de las salvaguardas seleccionadas.

UNIDAD DIDÁCTICA 5. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

1. Principios fundamentales de la protección de datos personales.
2. Infracciones y sanciones estipuladas en la legislación vigente sobre protección de datos personales.
3. Identificación y registro de los archivos que contienen datos personales manejados por la organización.
4. Creación del documento de seguridad exigido por la normativa vigente en materia de protección de datos personales.

UNIDAD DIDÁCTICA 6. SEGURIDAD FÍSICA E INDUSTRIAL DE LOS SISTEMAS. SEGURIDAD LÓGICA DE SISTEMAS

1. Definición de los perímetros de seguridad física.
2. Sistemas de control de acceso físico más comunes en las instalaciones de la organización y las áreas donde se encuentran los sistemas informáticos.
3. Criterios de seguridad para la ubicación física de los sistemas informáticos.
4. Descripción de los elementos más comunes para asegurar la calidad y continuidad del suministro eléctrico a los sistemas informáticos.
5. Requerimientos de climatización y protección contra incendios aplicables a los sistemas informáticos.
6. Elaboración de la normativa de seguridad física e industrial para la organización.
7. Sistemas de ficheros más utilizados en la práctica.
8. Establecimiento del control de accesos de los sistemas informáticos a la red de comunicación de la organización.
9. Configuración de políticas y directrices para el directorio de usuarios.
10. Creación de listas de control de acceso (ACLs) para los ficheros.
11. Gestión de altas, bajas y modificaciones de usuarios junto con sus privilegios asignados.
12. Requerimientos de seguridad relacionados con el control de acceso de los usuarios al sistema operativo.
13. Sistemas de autenticación: desde débiles hasta fuertes, incluyendo biométricos.
14. Revisión de los registros de auditoría del sistema operativo necesarios para supervisar el control de accesos.
15. Elaboración de la normativa de control de accesos a los sistemas informáticos.

UNIDAD DIDÁCTICA 7. IDENTIFICACIÓN DE SERVICIOS

1. Identificación de protocolos, servicios y puertos utilizados por los sistemas de información.
2. Utilización de herramientas para el análisis de puertos y servicios abiertos, con el fin de identificar los innecesarios.
3. Uso de herramientas para analizar el tráfico de comunicaciones y determinar el uso real de los diferentes protocolos, servicios y puertos por parte de los sistemas de información.

UNIDAD DIDÁCTICA 8. ROBUSTECIMIENTO DE SISTEMAS

1. Cambio de usuarios y contraseñas predeterminados de los diferentes sistemas de información.
2. Configuración de políticas para la gestión de contraseñas y privilegios en el directorio de usuarios.
3. Eliminación y cierre de herramientas, utilidades, servicios y puertos innecesarios.
4. Configuración de los sistemas de información para emplear protocolos seguros siempre que sea posible.
5. Mantenimiento de actualizaciones de parches de seguridad en los sistemas informáticos.
6. Protección de los sistemas de información contra software malicioso.
7. Gestión segura de comunicaciones, carpetas compartidas, impresoras y otros recursos del sistema.
8. Monitoreo de la seguridad y del uso adecuado de los sistemas de información.

UNIDAD DIDÁCTICA 9. IMPLANTACIÓN Y CONFIGURACIÓN DE CORTAFUEGOS

1. Descripción de los diferentes tipos de cortafuegos según su ubicación y funcionalidad.
2. Criterios de seguridad para la segregación de redes a través de cortafuegos utilizando Zonas Desmilitarizadas (DMZ).
3. Uso de Redes Privadas Virtuales (VPN) para establecer canales de comunicación seguros.
4. Definición de las reglas de filtrado en los cortafuegos.
5. Revisión de los registros de auditoría del cortafuegos necesarios para monitorear y supervisar su correcto funcionamiento y los eventos de seguridad.
6. Establecimiento de la monitorización y pruebas del cortafuegos.

MÓDULO 2. MF0487_3 AUDITORÍA DE SEGURIDAD INFORMÁTICA

UNIDAD DIDÁCTICA 1. CRITERIOS GENERALES COMÚNMENTE ACEPTADOS SOBRE AUDITORÍA INFORMÁTICA

1. Código de ética de la función de auditoría.
2. Diversos tipos de auditoría en el contexto de los sistemas de información.
3. Criterios para la formación del equipo auditor.
4. Tipos de pruebas a realizar en el ámbito de la auditoría, incluyendo pruebas sustantivas y de cumplimiento.
5. Tipos de muestreo aplicables durante el proceso de auditoría.
6. Uso de herramientas de auditoría asistida por computadora (CAAT).
7. Requisitos que deben cumplir los hallazgos de auditoría.
8. Criterios comunes para clasificar los hallazgos como observaciones o no conformidades.
9. Normativas y metodologías de auditoría de sistemas de información ampliamente aceptadas.

UNIDAD DIDÁCTICA 2. APLICACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

1. Principios generales de protección de datos personales.
2. Normativa europea según la directiva 95/46/CE.
3. Normativa nacional reflejada en el código penal, Ley Orgánica para el Tratamiento Automatizado de Datos (LORTAD), Ley Orgánica de Protección de Datos (LOPD) y el Reglamento de Desarrollo de la LOPD (RD 1720/2007).
4. Identificación y registro de los ficheros con datos personales que utiliza la organización.
5. Explicación de las medidas de seguridad para proteger datos personales según el Real Decreto 1720/2007.
6. Guía para la realización de la auditoría bienal obligatoria según la ley orgánica 15-1999 de protección de datos personales.

UNIDAD DIDÁCTICA 3. ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN

1. Introducción al análisis de riesgos.
2. Principales tipos de vulnerabilidades, fallos de software, malware y la importancia de la programación segura.
3. Particularidades de los distintos tipos de malware.
4. Elementos clave del análisis de riesgos y sus relaciones.
5. Metodologías cualitativas y cuantitativas para el análisis de riesgos.
6. Identificación de activos involucrados en el análisis de riesgos y su valoración.
7. Identificación de amenazas que pueden afectar a los activos previamente identificados.
8. Análisis e identificación de vulnerabilidades en los sistemas de información que podrían permitir que las amenazas se materialicen, incluyendo análisis locales y remotos.
9. Optimización del proceso de auditoría y contraste de vulnerabilidades así como el informe de auditoría.
10. Identificación de medidas de salvaguarda existentes durante el análisis de riesgos y su efecto sobre vulnerabilidades y amenazas.
11. Establecimiento de escenarios de riesgo como pares activo-amenaza susceptibles de concretarse.
12. Determinación de la probabilidad e impacto de que se materialicen los escenarios.
13. Establecimiento del nivel de riesgo para diferentes pares de activo y amenaza.
14. Determinación por parte de la organización de los criterios para evaluar el riesgo y decidir si es aceptable o no.
15. Alternativas de gestión de riesgos disponibles.
16. Guía para la elaboración del plan de gestión de riesgos.
17. Descripción de la metodología NIST SP 800-30.
18. Descripción de la metodología Magerit versión 2.

UNIDAD DIDÁCTICA 4. USO DE HERRAMIENTAS PARA LA AUDITORÍA DE SISTEMAS

1. Herramientas del sistema operativo como Ping, Traceroute, entre otros.
2. Herramientas de análisis de red, puertos y servicios, como Nmap, Netcat, NBTScan, etc.
3. Herramientas de análisis de vulnerabilidades, como Nessus.
4. Analizadores de protocolos como WireShark, DSniff, Cain & Abel, etc.
5. Analizadores de páginas web como Acunetix, Dirb, Parosproxy, etc.
6. Herramientas para ataques de diccionario y fuerza bruta como Brutus, John the Ripper, etc.

UNIDAD DIDÁCTICA 5. DESCRIPCIÓN DE LOS ASPECTOS SOBRE CORTAFUEGOS EN AUDITORÍAS DE SISTEMAS INFORMÁTICOS

1. Principios básicos de los cortafuegos.
2. Componentes de un cortafuegos de red.
3. Clasificación de diferentes tipos de cortafuegos según su ubicación y funcionalidad.
4. Arquitecturas de cortafuegos de red.
5. Otras arquitecturas de cortafuegos de red.

UNIDAD DIDÁCTICA 6. GUÍAS PARA LA EJECUCIÓN DE LAS DISTINTAS FASES DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN

1. Guía para auditar la documentación y normativa de seguridad vigente en la organización auditada.
2. Guía para la elaboración del plan de auditoría.
3. Guía para llevar a cabo las pruebas de auditoría.
4. Guía para la redacción del informe de auditoría.

MÓDULO 3. MF0488_3 GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA

UNIDAD DIDÁCTICA 1. SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSIONES (IDS/IPS)

1. Conceptos fundamentales sobre la gestión de incidentes, detección y prevención de intrusiones.
2. Identificación y caracterización de los datos de funcionamiento del sistema.
3. Arquitecturas comunes de los sistemas de detección de intrusos.
4. Clasificación de los diferentes tipos de IDS/IPS según su ubicación y funcionalidad.
5. Criterios de seguridad para definir la ubicación de los IDS/IPS.

UNIDAD DIDÁCTICA 2. IMPLANTACIÓN Y PUESTA EN PRODUCCIÓN DE SISTEMAS IDS/IPS

1. Análisis previo de servicios, protocolos, zonas y equipos utilizados por la organización en sus procesos de negocio.
2. Definición de políticas para gestionar intentos de intrusión en los IDS/IPS.
3. Análisis de los eventos registrados por el IDS/IPS para identificar falsos positivos y ajustar las políticas de corte del IDS/IPS.
4. Revisión de los registros de auditoría del IDS/IPS necesarios para monitorear y supervisar su correcto funcionamiento y los intentos de intrusión.
5. Establecimiento de los niveles necesarios de actualización, monitoreo y pruebas del IDS/IPS.

UNIDAD DIDÁCTICA 3. CONTROL DE CÓDIGO MALICIOSO

1. Sistemas para detectar y contener código malicioso.
2. Clasificación de herramientas de control de código malicioso según la topología de la instalación y vías de infección a controlar.
3. Criterios de seguridad para la configuración de herramientas de protección contra código malicioso.
4. Definición de requerimientos y técnicas de actualización de las herramientas de protección contra código malicioso.
5. Revisión de registros de auditoría de las herramientas de protección contra código malicioso necesarios para monitorear y supervisar su correcto funcionamiento y eventos de seguridad.
6. Establecimiento de la monitorización y pruebas de las herramientas de protección contra código malicioso.
7. Análisis de programas maliciosos mediante desensambladores y entornos controlados de ejecución.

UNIDAD DIDÁCTICA 4. RESPUESTA ANTE INCIDENTES DE SEGURIDAD

1. Procedimiento para la recolección de información sobre incidentes de seguridad.
2. Descripción de técnicas y herramientas para analizar y correlacionar información y eventos de seguridad.
3. Proceso para verificar la intrusión.
4. Funciones y naturaleza de los organismos de gestión de incidentes como CERT, tanto nacionales como internacionales.

UNIDAD DIDÁCTICA 5. PROCESO DE NOTIFICACIÓN Y GESTIÓN DE INTENTOS DE INTRUSIÓN

1. Definición de responsabilidades en el proceso de notificación y gestión de intentos de intrusión o infecciones.
2. Categorización de incidentes derivados de intentos de intrusión o infecciones según su posible impacto.
3. Criterios para determinar las evidencias objetivas que sustentan la gestión del incidente.
4. Establecimiento del proceso para detectar y registrar incidentes de intentos de intrusión o infecciones.
5. Guía para clasificar y realizar un análisis inicial de intentos de intrusión o infecciones, considerando su impacto potencial.
6. Determinación del nivel de intervención necesario basado en el impacto previsto.
7. Guía para investigar y diagnosticar incidentes de intentos de intrusión o infecciones.
8. Establecimiento del proceso para resolver y recuperar sistemas tras un incidente provocado por intentos de intrusión o infecciones.
9. Proceso para comunicar el incidente a terceros, si es necesario.
10. Definición del proceso de cierre del incidente y los registros necesarios para documentar su historial.

UNIDAD DIDÁCTICA 6. ANÁLISIS FORENSE INFORMÁTICO

1. Conceptos básicos y objetivos del análisis forense.
2. Descripción del Principio de Lockard.
3. Guía para la recolección de evidencias electrónicas.
4. Guía para el análisis de las evidencias electrónicas recolectadas, incluyendo el examen de archivos ocultos, información oculta del sistema y recuperación de archivos eliminados.
5. Guía para seleccionar herramientas de análisis forense.

MÓDULO 4. MF0489_3 SISTEMAS SEGUROS DE ACCESO Y TRANSMISIÓN DE DATOS

UNIDAD DIDÁCTICA 1. CRIPTOGRAFÍA

1. Historia y objetivos de la criptografía.
2. Teoría de la información.
3. Propiedades de seguridad que se pueden garantizar mediante criptografía: confidencialidad, integridad, autenticidad, no repudio, imputabilidad y sellado temporal.
4. Elementos clave en la criptografía de clave privada y pública.
5. Características y atributos de los certificados digitales.
6. Identificación y descripción del funcionamiento de los protocolos de intercambio de claves más utilizados.
7. Algoritmos criptográficos más comúnmente utilizados.
8. Elementos de los certificados digitales, formatos aceptados y su uso.
9. Elementos fundamentales de las funciones hash y criterios para su aplicación.
10. Requisitos legales establecidos en la Ley 59/2003, de 19 de diciembre, sobre firma electrónica.
11. Elementos esenciales de la firma digital, los diferentes tipos y criterios de uso.
12. Criterios para aplicar técnicas de cifrado de flujo y por bloques.
13. Protocolos de intercambio de claves.
14. Uso de herramientas de cifrado como PGP, GPG o CryptoLoop.

UNIDAD DIDÁCTICA 2. APLICACIÓN DE UNA INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI)

1. Identificación de los componentes de una PKI y su modelo de relaciones.
2. Autoridad de certificación y sus elementos clave.
3. Política de certificación y declaración de prácticas de certificación (CPS).
4. Lista de certificados revocados (CRL).
5. Funcionamiento de las solicitudes de firma de certificados (CSR).
6. Infraestructura de gestión de privilegios (PMI).
7. Campos de certificados de atributos, incluyendo sus usos comunes y relación con los certificados digitales.
8. Aplicaciones que se benefician de la existencia de una PKI.

UNIDAD DIDÁCTICA 3. COMUNICACIONES SEGURAS

1. Definición, propósito y funcionalidad de las redes privadas virtuales (VPN).
2. Protocolo IPSec.
3. Protocolos SSL y SSH.
4. Sistemas SSL VPN.
5. Túneles cifrados.
6. Ventajas y desventajas de las diferentes opciones para implementar tecnología VPN.

MÓDULO 5. MF0490_3 GESTIÓN DE SERVICIOS EN EL SISTEMA INFORMÁTICO

UNIDAD DIDÁCTICA 1. GESTIÓN DE LA SEGURIDAD Y NORMATIVAS

1. Norma ISO 27002 sobre buenas prácticas para la gestión de la seguridad de la información.
2. Metodología ITIL para la gestión de infraestructuras de tecnologías de la información.
3. Ley Orgánica de Protección de Datos de Carácter Personal.
4. Normativas más comunes para la gestión de la seguridad física.

UNIDAD DIDÁCTICA 2. ANÁLISIS DE LOS PROCESOS DE SISTEMAS

1. Identificación de los procesos de negocio respaldados por sistemas de información.
2. Características esenciales de los procesos electrónicos.
3. Estados de un proceso.
4. Manejo de señales, su administración y cambios en prioridades.
5. Determinación de los sistemas de información que respaldan los procesos de negocio y los activos y servicios que utilizan.
6. Análisis de las funcionalidades del sistema operativo para monitorizar procesos y servicios.
7. Técnicas para gestionar el consumo de recursos.

UNIDAD DIDÁCTICA 3. DEMOSTRACIÓN DE SISTEMAS DE ALMACENAMIENTO

1. Tipos de dispositivos de almacenamiento más comunes.
2. Características de los sistemas de archivo disponibles.
3. Organización y estructura general del almacenamiento.
4. Herramientas del sistema para gestionar dispositivos de almacenamiento.

UNIDAD DIDÁCTICA 4. UTILIZACIÓN DE MÉTRICAS E INDICADORES DE MONITORIZACIÓN DE RENDIMIENTO DE SISTEMAS

1. Criterios para establecer un marco general de uso de métricas e indicadores para la monitorización de sistemas de información.
2. Identificación de los objetos para los cuales es necesario obtener indicadores.
3. Aspectos a definir para seleccionar y definir indicadores.
4. Establecimiento de umbrales de rendimiento para los sistemas de información.
5. Recolección y análisis de los datos proporcionados por los indicadores.
6. Consolidación de indicadores en un cuadro de mando unificado para el rendimiento de sistemas de información.

UNIDAD DIDÁCTICA 5. CONFECCIÓN DEL PROCESO DE MONITORIZACIÓN DE SISTEMAS Y COMUNICACIONES

1. Identificación de dispositivos de comunicaciones.
2. Análisis de protocolos y servicios de comunicación.
3. Principales parámetros de configuración y funcionamiento de equipos de comunicación.
4. Procesos de monitorización y respuesta.
5. Herramientas para monitorizar uso de puertos y servicios, como Sniffer.
6. Herramientas para monitorizar sistemas y servicios, como Hobbit, Nagios o Cacti.
7. Sistemas de gestión de información y eventos de seguridad (SIM/SEM).
8. Gestión de registros de elementos de red y filtrado (router, switch, firewall, IDS/IPS, etc.).

UNIDAD DIDÁCTICA 6. SELECCIÓN DEL SISTEMA DE REGISTRO DE EN FUNCIÓN DE LOS REQUERIMIENTOS DE LA ORGANIZACIÓN

1. Determinación del nivel de registros necesarios, períodos de retención y necesidades de almacenamiento.
2. Análisis de requerimientos legales en relación al registro.
3. Selección de medidas de salvaguarda para cumplir con los requerimientos de seguridad del sistema de registros.
4. Asignación de responsabilidades para la gestión del registro.
5. Alternativas de almacenamiento para registros del sistema y sus características de rendimiento, escalabilidad, confidencialidad, integridad y disponibilidad.
6. Guía para seleccionar el sistema de almacenamiento y custodia de registros.

UNIDAD DIDÁCTICA 7. ADMINISTRACIÓN DEL CONTROL DE ACCESOS ADECUADOS DE LOS SISTEMAS DE INFORMACIÓN

1. Análisis de los requerimientos de acceso para los distintos sistemas de información y recursos compartidos.
2. Principios comúnmente aceptados para el control de accesos, locales y remotos.
3. Requisitos legales relacionados con el control de accesos y asignación de privilegios.
4. Perfiles de acceso en función de los roles del personal de la organización.
5. Herramientas de directorio activo y servidores LDAP.
6. Herramientas para la gestión de identidades y autorizaciones (IAM).
7. Herramientas para sistemas de autenticación única (Single Sign-On, SSO).

MATERIAL INCLUIDO EN LA MODALIDAD A DISTANCIA

• Manual teórico: Seguridad Informática
• Cuaderno de ejercicios: Seguridad Informática