Skip to main content

Documentation Index

Fetch the complete documentation index at: https://mintlify.com/jpm70/IFCT0109-Seguridad-Informatica/llms.txt

Use this file to discover all available pages before exploring further.

Este módulo abarca el ciclo completo de la auditoría de seguridad informática, desde la planificación inicial hasta la elaboración del informe final y el seguimiento de las medidas correctoras. El alumno aprende a evaluar de forma sistemática el nivel de seguridad de los sistemas de información de una organización, aplicando metodologías reconocidas internacionalmente, marcos normativos vigentes y herramientas técnicas especializadas. La auditoría de seguridad es el mecanismo que permite verificar la eficacia real de los controles implantados y detectar brechas antes de que sean explotadas por actores maliciosos.

Unidades Didácticas

Esta unidad establece los fundamentos conceptuales y metodológicos de la auditoría informática. Se distinguen los diferentes tipos de auditoría: interna (realizada por personal de la propia organización), externa (llevada a cabo por terceros independientes) y técnica (centrada en aspectos específicos de la infraestructura tecnológica). Se estudian las fases del proceso de auditoría —planificación, ejecución, elaboración del informe y seguimiento— y las características que debe reunir un informe de auditoría para ser riguroso, objetivo y accionable.
El marco normativo que regula la protección de la información en España y la Unión Europea incluye varias capas complementarias. Se analiza el RGPD (Reglamento General de Protección de Datos), la LOPDGDD (Ley Orgánica 3/2018), el ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022), que establece los requisitos de seguridad para las Administraciones Públicas y sus proveedores, y las normas de la familia ISO/IEC 27000, especialmente la ISO 27001 (requisitos del SGSI) y la ISO 27002 (controles de seguridad). Se examinan las implicaciones prácticas de estas normativas en el proceso de auditoría.
El análisis de riesgos es el componente analítico central de toda auditoría de seguridad. Se aplica la metodología MAGERIT v3 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), desarrollada por el CCN-CERT. Se trabaja la identificación y valoración de activos según sus dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad), la catalogación de amenazas y la estimación del riesgo residual tras la aplicación de salvaguardas. El resultado es el mapa de riesgos de la organización.
Una auditoría técnica requiere el dominio de herramientas especializadas. Se estudia el uso profesional y ético de: Nessus y OpenVAS para el análisis de vulnerabilidades, Nmap para el descubrimiento y enumeración de la red, Metasploit Framework para la verificación controlada de vulnerabilidades (siempre con autorización), y OWASP ZAP para la auditoría de aplicaciones web. Se hace especial énfasis en la importancia del marco legal y en la obtención de autorización formal antes de ejecutar cualquier prueba técnica.
Los cortafuegos son un control de seguridad crítico cuya eficacia debe verificarse durante la auditoría. Esta unidad cubre las técnicas para revisar el conjunto de reglas de un cortafuegos, analizar las políticas de filtrado, detectar configuraciones inseguras o inconsistentes (reglas “any-any”, puertos innecesariamente abiertos, ausencia de logging) y validar que la arquitectura de red implementada corresponde a la diseñada. Se analizan también las técnicas de evasión de cortafuegos que puede emplear un atacante para evaluar su robustez real.
Existen metodologías abiertas que estandarizan la ejecución de auditorías de seguridad. Se estudian: OSSTMM (Open Source Security Testing Methodology Manual), que define métricas de seguridad objetivas; PTES (Penetration Testing Execution Standard), que estructura el proceso de pentesting en siete fases; y la OWASP Testing Guide, centrada en la seguridad de aplicaciones web. La unidad también profundiza en la elaboración de informes de auditoría profesionales, diferenciando el informe ejecutivo (para la dirección) del informe técnico (para el equipo de seguridad).

Estándares y Normativas

ISO 27001

Norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Es la principal certificación de seguridad reconocida a nivel mundial.

ENS

El Esquema Nacional de Seguridad (Real Decreto 311/2022) establece los principios básicos y requisitos mínimos de seguridad que deben cumplir las Administraciones Públicas españolas y sus proveedores de servicios tecnológicos.

RGPD

El Reglamento General de Protección de Datos (UE 2016/679) establece las normas relativas al tratamiento de datos personales en la Unión Europea, con sanciones de hasta el 4% del volumen de negocio global anual.

MAGERIT v3

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información desarrollada por el CCN-CERT. Proporciona un marco estructurado para identificar, valorar y tratar los riesgos sobre los activos de información.

Fases de una Auditoría

1

Planificación

Definición del alcance y los límites de la auditoría, establecimiento de objetivos concretos y medibles, identificación de los sistemas y activos que serán evaluados, y asignación de recursos humanos y temporales. En esta fase se formaliza el acuerdo de nivel de servicio y la autorización escrita para la realización de pruebas técnicas.
2

Recopilación de información

Inventario de activos tecnológicos, revisión de la documentación existente (políticas, procedimientos, diagramas de red), realización de entrevistas con los responsables técnicos y de negocio, y análisis de los registros de eventos y logs disponibles. Esta fase determina la línea base del estado de seguridad actual.
3

Análisis técnico

Ejecución de escaneos automatizados de vulnerabilidades, pruebas de penetración controladas sobre los sistemas en alcance, revisión manual de configuraciones críticas (cortafuegos, servidores, directorio activo) y validación de controles de seguridad implantados. Todo hallazgo debe ser documentado con evidencias reproducibles.
4

Elaboración del informe

Consolidación de todos los hallazgos identificados, clasificación por nivel de criticidad (crítico, alto, medio, bajo, informativo) según métricas CVSS, descripción del impacto potencial de cada vulnerabilidad y formulación de recomendaciones específicas, priorizadas y viables para su corrección.
5

Seguimiento

Verificación de que las medidas correctoras han sido efectivamente implementadas en los plazos acordados, re-evaluación de las vulnerabilidades corregidas para confirmar su resolución y actualización del registro de riesgos de la organización. El seguimiento cierra el ciclo de mejora continua de la seguridad.
Las pruebas de penetración deben realizarse siempre con autorización explícita por escrito. La ejecución de pruebas no autorizadas constituye un delito tipificado en el Código Penal español (artículos 197 bis y 264 bis del Código Penal), pudiendo acarrear penas de prisión de hasta dos años, independientemente de que no se haya causado daño alguno al sistema auditado.

Build docs developers (and LLMs) love