MÓDULO 1. AUDITORÍA DE SEGURIDAD INFORMÁTICA

UNIDAD DIDÁCTICA 1. CRITERIOS GENERALES COMÚNMENTE ACEPTADOS SOBRE AUDITORÍA INFORMÁTICA

• Código deontológico de la función de auditoría
• Relación de los distintos tipos de auditoría en el marco de los sistemas de información
• Criterios a seguir para la composición del equipo auditor
• Tipos de pruebas a realizar en el marco de la auditoría, pruebas sustantivas y pruebas de cumplimiento
• Tipos de muestreo a aplicar durante el proceso de auditoría
• Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools)
• Explicación de los requerimientos que deben cumplir los hallazgos de auditoría
• Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades
• Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas

UNIDAD DIDÁCTICA 2. APLICACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

• Principios generales de protección de datos de carácter personal
• Normativa europea recogida en la directiva 95/46/CE
• Normativa nacional recogida en el código penal, Ley Orgánica para el Tratamiento Automatizado de Datos (LORTAD), Ley Orgánica de Protección de Datos (LOPD) y Reglamento de Desarrollo de La Ley Orgánica de Protección de Datos (RD 1720/2007)
• Identificación y registro de los ficheros con datos de carácter personal utilizados por la organización
• Explicación de las medidas de seguridad para la protección de los datos de carácter personal recogidas en el Real Decreto 1720/2007
• Guía para la realización de la auditoría bienal obligatoria de ley orgánica 15-1999 de protección de datos de carácter personal

UNIDAD DIDÁCTICA 3. ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN

• Introducción al análisis de riesgos
• Principales tipos de vulnerabilidades, fallos de programa, programas maliciosos y su actualización permanente, así como criterios de programación segura
• Particularidades de los distintos tipos de código malicioso
• Principales elementos del análisis de riesgos y sus modelos de relaciones
• Metodologías cualitativas y cuantitativas de análisis de riesgos
• Identificación de los activos involucrados en el análisis de riesgos y su valoración
• Identificación de las amenazas que pueden afectar a los activos identificados previamente
• Análisis e identificación de las vulnerabilidades existentes en los sistemas de información que permitirían la materialización de amenazas, incluyendo el análisis local, análisis remoto de caja blanca y de caja negra
• Optimización del proceso de auditoría y contraste de vulnerabilidades e informe de auditoría
• Identificación de las medidas de salvaguarda existentes en el momento de la realización del análisis de riesgos y su efecto sobre las vulnerabilidades y amenazas
• Establecimiento de los escenarios de riesgo entendidos como pares activo-amenaza susceptibles de materializarse
• Determinación de la probabilidad e impacto de materialización de los escenarios
• Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza
• Determinación por parte de la organización de los criterios de evaluación del riesgo, en función de los cuales se determina si un riesgo es aceptable o no
• Relación de las distintas alternativas de gestión de riesgos
• Guía para la elaboración del plan de gestión de riesgos
• Exposición de la metodología NIST SP 800-30
• Exposición de la metodología Magerit versión 2

UNIDAD DIDÁCTICA 4. USO DE HERRAMIENTAS PARA LA AUDITORÍA DE SISTEMAS

• Herramientas del sistema operativo tipo Ping, Traceroute, etc
• Herramientas de análisis de red, puertos y servicios tipo Nmap, Netcat, NBTScan, etc.
• Herramientas de análisis de vulnerabilidades tipo Nessus
• Analizadores de protocolos tipo WireShark, DSniff, Cain Abel, etc.
• Analizadores de páginas web tipo Acunetix, Dirb, Parosproxy, etc.
• Ataques de diccionario y fuerza bruta tipo Brutus, John the Ripper, etc.

UNIDAD DIDÁCTICA 5. DESCRIPCIÓN DE LOS ASPECTOS SOBRE CORTAFUEGOS EN AUDITORÍAS DE SISTEMAS INFORMÁTICOS.

• Principios generales de cortafuegos
• Componentes de un cortafuegos de red
• Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad
• Arquitecturas de cortafuegos de red
• Otras arquitecturas de cortafuegos de red

UNIDAD DIDÁCTICA 6. GUÍAS PARA LA EJECUCIÓN DE LAS DISTINTAS FASES DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN

• Guía para la auditoría de la documentación y normativa de seguridad existente en la organización auditada
• Guía para la elaboración del plan de auditoría
• Guía para las pruebas de auditoría
• Guía para la elaboración del informe de auditoría