Este módulo abarca el ciclo completo de la auditoría de seguridad informática, desde la planificación inicial hasta la elaboración del informe final y el seguimiento de las medidas correctoras. El alumno aprende a evaluar de forma sistemática el nivel de seguridad de los sistemas de información de una organización, aplicando metodologías reconocidas internacionalmente, marcos normativos vigentes y herramientas técnicas especializadas. La auditoría de seguridad es el mecanismo que permite verificar la eficacia real de los controles implantados y detectar brechas antes de que sean explotadas por actores maliciosos.Documentation Index
Fetch the complete documentation index at: https://mintlify.com/jpm70/IFCT0109-Seguridad-Informatica/llms.txt
Use this file to discover all available pages before exploring further.
Unidades Didácticas
UD 1 — Criterios generales sobre auditoría informática
UD 1 — Criterios generales sobre auditoría informática
Esta unidad establece los fundamentos conceptuales y metodológicos de la auditoría informática. Se distinguen los diferentes tipos de auditoría: interna (realizada por personal de la propia organización), externa (llevada a cabo por terceros independientes) y técnica (centrada en aspectos específicos de la infraestructura tecnológica). Se estudian las fases del proceso de auditoría —planificación, ejecución, elaboración del informe y seguimiento— y las características que debe reunir un informe de auditoría para ser riguroso, objetivo y accionable.
UD 2 — Normativa de protección de datos
UD 2 — Normativa de protección de datos
El marco normativo que regula la protección de la información en España y la Unión Europea incluye varias capas complementarias. Se analiza el RGPD (Reglamento General de Protección de Datos), la LOPDGDD (Ley Orgánica 3/2018), el ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022), que establece los requisitos de seguridad para las Administraciones Públicas y sus proveedores, y las normas de la familia ISO/IEC 27000, especialmente la ISO 27001 (requisitos del SGSI) y la ISO 27002 (controles de seguridad). Se examinan las implicaciones prácticas de estas normativas en el proceso de auditoría.
UD 3 — Análisis de riesgos de sistemas de información
UD 3 — Análisis de riesgos de sistemas de información
El análisis de riesgos es el componente analítico central de toda auditoría de seguridad. Se aplica la metodología MAGERIT v3 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), desarrollada por el CCN-CERT. Se trabaja la identificación y valoración de activos según sus dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad), la catalogación de amenazas y la estimación del riesgo residual tras la aplicación de salvaguardas. El resultado es el mapa de riesgos de la organización.
UD 4 — Herramientas para la auditoría de sistemas
UD 4 — Herramientas para la auditoría de sistemas
Una auditoría técnica requiere el dominio de herramientas especializadas. Se estudia el uso profesional y ético de: Nessus y OpenVAS para el análisis de vulnerabilidades, Nmap para el descubrimiento y enumeración de la red, Metasploit Framework para la verificación controlada de vulnerabilidades (siempre con autorización), y OWASP ZAP para la auditoría de aplicaciones web. Se hace especial énfasis en la importancia del marco legal y en la obtención de autorización formal antes de ejecutar cualquier prueba técnica.
UD 5 — Cortafuegos en auditorías de sistemas
UD 5 — Cortafuegos en auditorías de sistemas
Los cortafuegos son un control de seguridad crítico cuya eficacia debe verificarse durante la auditoría. Esta unidad cubre las técnicas para revisar el conjunto de reglas de un cortafuegos, analizar las políticas de filtrado, detectar configuraciones inseguras o inconsistentes (reglas “any-any”, puertos innecesariamente abiertos, ausencia de logging) y validar que la arquitectura de red implementada corresponde a la diseñada. Se analizan también las técnicas de evasión de cortafuegos que puede emplear un atacante para evaluar su robustez real.
UD 6 — Guías para la ejecución de fases de auditoría
UD 6 — Guías para la ejecución de fases de auditoría
Existen metodologías abiertas que estandarizan la ejecución de auditorías de seguridad. Se estudian: OSSTMM (Open Source Security Testing Methodology Manual), que define métricas de seguridad objetivas; PTES (Penetration Testing Execution Standard), que estructura el proceso de pentesting en siete fases; y la OWASP Testing Guide, centrada en la seguridad de aplicaciones web. La unidad también profundiza en la elaboración de informes de auditoría profesionales, diferenciando el informe ejecutivo (para la dirección) del informe técnico (para el equipo de seguridad).
Estándares y Normativas
ISO 27001
Norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Es la principal certificación de seguridad reconocida a nivel mundial.
ENS
El Esquema Nacional de Seguridad (Real Decreto 311/2022) establece los principios básicos y requisitos mínimos de seguridad que deben cumplir las Administraciones Públicas españolas y sus proveedores de servicios tecnológicos.
RGPD
El Reglamento General de Protección de Datos (UE 2016/679) establece las normas relativas al tratamiento de datos personales en la Unión Europea, con sanciones de hasta el 4% del volumen de negocio global anual.
MAGERIT v3
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información desarrollada por el CCN-CERT. Proporciona un marco estructurado para identificar, valorar y tratar los riesgos sobre los activos de información.
Fases de una Auditoría
Planificación
Definición del alcance y los límites de la auditoría, establecimiento de objetivos concretos y medibles, identificación de los sistemas y activos que serán evaluados, y asignación de recursos humanos y temporales. En esta fase se formaliza el acuerdo de nivel de servicio y la autorización escrita para la realización de pruebas técnicas.
Recopilación de información
Inventario de activos tecnológicos, revisión de la documentación existente (políticas, procedimientos, diagramas de red), realización de entrevistas con los responsables técnicos y de negocio, y análisis de los registros de eventos y logs disponibles. Esta fase determina la línea base del estado de seguridad actual.
Análisis técnico
Ejecución de escaneos automatizados de vulnerabilidades, pruebas de penetración controladas sobre los sistemas en alcance, revisión manual de configuraciones críticas (cortafuegos, servidores, directorio activo) y validación de controles de seguridad implantados. Todo hallazgo debe ser documentado con evidencias reproducibles.
Elaboración del informe
Consolidación de todos los hallazgos identificados, clasificación por nivel de criticidad (crítico, alto, medio, bajo, informativo) según métricas CVSS, descripción del impacto potencial de cada vulnerabilidad y formulación de recomendaciones específicas, priorizadas y viables para su corrección.
Seguimiento
Verificación de que las medidas correctoras han sido efectivamente implementadas en los plazos acordados, re-evaluación de las vulnerabilidades corregidas para confirmar su resolución y actualización del registro de riesgos de la organización. El seguimiento cierra el ciclo de mejora continua de la seguridad.