Skip to main content

Documentation Index

Fetch the complete documentation index at: https://mintlify.com/jpm70/IFCT0109-Seguridad-Informatica/llms.txt

Use this file to discover all available pages before exploring further.

Este módulo se centra en la gestión operativa de los servicios informáticos desde una perspectiva de seguridad, abarcando todas las actividades necesarias para mantener un entorno de TI seguro, estable y conforme a la normativa vigente. El alumno aprende a gestionar el ciclo de vida de los servicios tecnológicos, a implementar sistemas de monitorización y análisis de logs que permitan detectar anomalías en tiempo real, a planificar y gestionar el almacenamiento de datos de forma resiliente, y a administrar el control de accesos mediante los modelos y tecnologías más utilizados en entornos empresariales. La operación segura de los servicios no es un estado que se alcanza, sino un proceso continuo que requiere atención constante.

Unidades Didácticas

La gestión de la seguridad en las organizaciones se apoya en marcos de referencia y normativas que proporcionan estructura y coherencia. Se estudia la norma ISO/IEC 27001 como base para el Sistema de Gestión de Seguridad de la Información (SGSI), el ENS (Esquema Nacional de Seguridad) para entidades del sector público, y el marco ITIL v4 para la gestión de servicios de TI, que incluye procesos de gestión del cambio, gestión de la configuración y gestión de problemas. Se aborda también el control documental: políticas, procedimientos, instrucciones técnicas y registros como pilares de la trazabilidad y el cumplimiento normativo.
Para gestionar con seguridad los servicios de TI es necesario conocerlos en profundidad. Esta unidad cubre la elaboración del inventario de procesos y servicios en ejecución (tanto en sistemas Windows como Linux), el análisis de dependencias entre servicios y la identificación de los servicios críticos para el negocio. Se trabajan técnicas de análisis de procesos (gestor de tareas, ps/top en Linux, Process Monitor en Windows) para detectar procesos anómalos o no autorizados, y se aplican los principios de mínimo privilegio y mínimo servicio para reducir la superficie de ataque.
La disponibilidad e integridad de los datos depende directamente de la arquitectura de almacenamiento implantada. Se estudian los niveles RAID (0, 1, 5, 6, 10) y sus características en términos de rendimiento, redundancia y capacidad, las arquitecturas de almacenamiento en red NAS (Network-Attached Storage) y SAN (Storage Area Network), y las políticas de copia de seguridad: backup completo (copia total de los datos), incremental (cambios desde el último backup de cualquier tipo) y diferencial (cambios desde el último backup completo). Se definen y calculan el RTO (Recovery Time Objective) y el RPO (Recovery Point Objective) para dimensionar correctamente la estrategia de backup.
Lo que no se mide no se puede gestionar. Esta unidad define los KPIs de seguridad más relevantes: tiempo medio de detección (MTTD), tiempo medio de respuesta (MTTR), número de incidentes por periodo, tasa de disponibilidad de servicios críticos. Se trabaja con SLAs (Acuerdos de Nivel de Servicio) y cómo traducirlos en umbrales de alerta, el diseño de dashboards operativos para la visualización de métricas en tiempo real, y la diferencia entre monitorización de disponibilidad (¿el servicio está funcionando?) y monitorización de seguridad (¿el servicio está siendo atacado?).
La monitorización de la infraestructura requiere tanto protocolos estándar como plataformas especializadas. Se estudia SNMP (Simple Network Management Protocol) para la monitorización de dispositivos de red, Syslog para la centralización de logs de sistemas heterogéneos, y las plataformas de monitorización de infraestructura Nagios y Zabbix. Se profundiza en la arquitectura de un SIEM (Security Information and Event Management): Splunk como solución comercial líder y el ELK Stack (Elasticsearch, Logstash, Kibana) como alternativa de código abierto. Se aborda la correlación de eventos y la creación de reglas de detección en el SIEM.
Los registros de eventos (logs) son la fuente primaria de información para detectar incidentes y realizar investigaciones forenses. Esta unidad cubre la gestión de logs en Linux (directorio /var/log, subsistema journald, herramientas journalctl, grep, awk), el Visor de eventos de Windows (Event Viewer) y sus canales principales (Security, System, Application), las políticas de rotación de logs para gestionar el espacio en disco, y las técnicas de correlación de eventos entre múltiples fuentes para detectar patrones de ataque que ninguna fuente individual revelaría de forma aislada.
El control de accesos es el conjunto de mecanismos que determinan quién puede acceder a qué recursos y bajo qué condiciones. Se estudian los modelos de control: RBAC (Role-Based Access Control, basado en roles), ABAC (Attribute-Based Access Control, basado en atributos contextuales) y DAC/MAC (Discretionary/Mandatory Access Control). Se analiza la gestión centralizada de identidades mediante Microsoft Active Directory (AD) y el protocolo LDAP, la implementación de autenticación multifactor (MFA) y su importancia crítica para la seguridad de cuentas privilegiadas, y los sistemas de gestión de identidades y accesos (IAM) para el aprovisionamiento y desaprovisionamiento automatizado de usuarios.

Sistemas de Monitorización

Nagios

Plataforma de monitorización de infraestructura y servicios de TI ampliamente utilizada en entornos empresariales. Permite monitorizar la disponibilidad de hosts y servicios, generar alertas por correo o SMS y crear informes de disponibilidad históricos.

Zabbix

Solución de monitorización empresarial avanzada con capacidades de auto-descubrimiento, almacenamiento histórico de métricas, motor de alertas flexible y visualización mediante dashboards personalizables. Soporta SNMP, IPMI, JMX y agentes nativos.

ELK Stack

Conjunto de herramientas de código abierto para la centralización, procesamiento y análisis de logs: Elasticsearch (indexación y búsqueda), Logstash (ingesta y transformación) y Kibana (visualización). Permite construir un SIEM personalizado a coste reducido.

Splunk

Plataforma SIEM y de análisis de datos de seguridad líder en el mercado empresarial. Permite indexar y correlacionar eventos de seguridad de múltiples fuentes, crear dashboards operativos y ejecutar búsquedas complejas mediante el lenguaje SPL (Search Processing Language).

Ejemplo Práctico: Análisis de logs en Linux

El siguiente ejemplo muestra comandos esenciales para el análisis de registros del sistema en entornos Linux:
# Ver logs del sistema en tiempo real
tail -f /var/log/syslog

# Buscar intentos fallidos de autenticación SSH
grep 'Failed password' /var/log/auth.log | tail -20

# Ver logs del kernel
journalctl -k --since "1 hour ago"

# Listar los últimos accesos al sistema
last -n 20
La monitorización continua y el análisis de logs son la base de cualquier operación de seguridad eficaz. Un SIEM bien configurado puede detectar patrones de ataque en tiempo real que ningún sistema de defensa individual sería capaz de identificar de forma aislada —como un ataque de fuerza bruta distribuido, un movimiento lateral sigiloso o una exfiltración de datos lenta—. La inversión en correlación de eventos y en la formación del equipo SOC (Security Operations Center) es una de las medidas con mayor retorno en términos de capacidad de detección y respuesta.

Build docs developers (and LLMs) love