Inicio
LinkedIn
FuTuRisN LLC

Módulo formativo II.3

UC0487_3: Auditoría de Seguridad Informática

Página 3 de 3

Realizaciones profesionales y criterios de realización

RP1: Realizar análisis de vulnerabilidades, mediante programas específicos para controlar posibles fallos en la seguridad de los sistemas según las necesidades de uso y dentro de las directivas de la organización.
  1. CR1.1 Las herramientas y los tipos de pruebas de análisis de vulnerabilidades se seleccionan y adecuan al entorno a verificar según las especificaciones de seguridad de la organización.
  2. CR1.2 Los programas y las pruebas se actualizan para realizar ensayos consistentes con los posibles fallos de seguridad de las versiones de hardware y software instaladas en el sistema informático.
  3. CR1.3 Los resultados de las pruebas se analizan y documentan conforme se indica en la normativa de la organización.
  4. CR1.4 Los sistemas de acceso por contraseña se comprueban mediante herramientas específicas según las especificaciones de la normativa de seguridad. CR1.5 La documentación del análisis de vulnerabilidades contiene referencias exactas de las aplicaciones y servicios que se han detectado funcionando en el sistema, el nivel de los parches instalados, vulnerabilidades de negación de servicio, vulnerabilidades detectadas y mapa de la red.
RP2: Verificar el cumplimiento de la normativa y requisitos legales vigentes en materia de protección de datos personales para asegurar la confidencialidad según las necesidades de uso y dentro de las directivas de la organización.
  1. CR2.1 Los ficheros con datos de carácter personal son identificados y tienen asignado un responsable de seguridad según normativa legal.
  2. CR2.2 El listado de personas autorizadas a acceder a cada fichero existe y se encuentra actualizado según normativa legal.
  3. CR2.3 El control de accesos a los ficheros se comprueba siguiendo el procedimiento establecido en la normativa de seguridad de la organización.
  4. CR2.4 La gestión del almacenamiento de los ficheros y sus copias de seguridad se realiza siguiendo la normativa legal y de la organización.
  5. CR2.5 El acceso telemático a los ficheros se realiza utilizando mecanismos que garanticen la confidencialidad e integridad cuando así lo requiera la normativa. CR2.6 El informe de la auditoría recoge la relación de ficheros con datos de carácter personal y las medidas de seguridad aplicadas y aquellas pendientes de aplicación.
RP3: Comprobar el cumplimiento de la política de seguridad establecida para afirmar la integridad del sistema según las necesidades de uso y dentro de las directivas de la organización.
  1. CR3.1 Los procedimientos de detección y gestión de incidentes de seguridad se desarrollan y se incluyen en la normativa de seguridad de la organización.
  2. CR3.2 Los puntos de acceso de entrada y salida de la red son verificados para que su uso se circunscriba a lo descrito en la normativa de seguridad de la organización. CR3.3 Los programas de seguridad y protección de sistemas se activan y actualizan según las especificaciones de los fabricantes.
  3. CR3.4 Los puntos de entrada y salida de la red adicionales son autorizados y controlados en base a las especificaciones de seguridad y al plan de implantación de la organización.
  4. CR3.5 Los procesos de auditoría informática son revisados, tanto los de carácter interno, como aquellos realizados por personal externo a la organización.
  5. CR3.6 Los procedimientos de las políticas de seguridad se verifican en su cumplimiento por parte de los usuarios.

Contexto profesional

Medios de producción

  • Aplicaciones ofimáticas corporativas.
  • Analizadores de vulnerabilidades.
  • Herramientas para garantizar la confidencialidad de la información.
  • Programas que garantizan la confidencialidad e integridad de las comunicaciones.
  • Aplicaciones para gestión de proyectos.
  • Programas de análisis de contraseñas.


    • Productos y resultados

  • Informes de análisis de vulnerabilidades Relación de contraseñas débiles.
  • Registro de ficheros de datos de carácter personal, según normativa vigente.
  • Informe de auditoría de servicios y puntos de acceso al sistema informático.


    • Información utilizada o generada

  • Normativa sobre protección de datos personales. Política de seguridad de la empresa.
  • Metodologías de análisis de seguridad (OSSTM, BS7799/ISO17799).
  • Boletines de seguridad y avisos de vulnerabilidades disponibles en formato electrónico.
  • Topología del sistema informático a proteger.


    • Páginas:

    123

    Sigue leyendo: Módulo III

    Glosario de términos

    A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z
    Proyecto de iniciación al desarrollo web con Sublime, FTP, cPanel, HTML5, CSS3, JS, AJAX, PHP y MySQL. Realizado bajo la tutela de FuTuRisN LLC