Auditoría de seguridad informática. IFCT0109
Реклама. ООО «ЛитРес», ИНН: 7719571260.
Оглавление
Ester Chicano Tejada. Auditoría de seguridad informática. IFCT0109
Presentación del manual
Índice
1. Introducción
2. Código deontológico de la función de auditoría
2.1. Normas profesionales de la ISACA
2.2. Código de Ética de la ISACA
2.3. Código deontológico de la auditoría
3. Relación de los distintos tipos de auditoría en el marco de los sistemas de la información
3.1. Tipos de auditorías dentro de los sistemas de información
4. Criterios a seguir para la composición del equipo auditor
4.1. Características y capacidades del equipo auditor
5. Tipos de pruebas a realizar en el marco de la auditoría. Pruebas sustantivas y pruebas de cumplimiento
5.1. Relación entre las pruebas de cumplimiento y las pruebas sustantivas
6. Tipos de muestreo a aplicar durante el proceso de auditoría
6.1. Muestreo estadístico
6.2. Muestreo no estadístico
7. Utilización de herramientas tipo CAAT (Computer Assisted Audit Tools)
7.1. Documentación de las técnicas de las herramientas CAAT utilizadas
8. Explicación de los requerimientos que deben cumplir los hallazgos de auditoría
8.1. Requisitos básicos de los hallazgos de auditoría
8.2. Pasos a seguir en el desarrollo de hallazgos
9. Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades
10. Relación de las normativas y metodologías relacionadas con la auditoría de sistemas de información comúnmente aceptadas
10.1. Normativas relacionadas con la auditoría de sistemas comúnmente aceptadas
11. Resumen
1. Introducción
2. Principios de protección de datos de carácter personal
2.1. Conceptos principales de la protección de datos
2.2. Principios de protección de datos de carácter personal
3. Normativa europea recogida en la directiva 95/46/CE
3.1. Principios de protección de datos personales de la Directiva 95/46/CE
4. Normativa nacional recogida en el Código penal, Ley Orgánica para el Tratamiento Automatizado de Datos (LORTAD), Ley orgánica de Protección de Datos (LOPD) y Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (R. D. 1720/2007)
4.1. La protección de datos personales en el Código Penal
4.2. Ley Orgánica para el Tratamiento Automatizado de Datos (LORTAD)
4.3. Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)
4.4. Reglamento de desarrollo de la LOPD (R. D. 1720/2007)
5. Identificación y registro de los ficheros con datos de carácter personal utilizados por la organización
5.1. Proceso de implantación de la LOPD
6. Explicación de las medidas de seguridad para la protección de los datos de carácter personal recogidas en el Real Decreto 1720/2007
6.1. Medidas de seguridad generales para todo tipo de ficheros
6.2. Medidas de seguridad para el tratamiento de datos automatizado
6.3. Medidas de seguridad para el tratamiento de datos no automatizado
7. Guía para la realización de la auditoría bienal obligatoria de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal
8. Resumen
1. Introducción
2. Introducción al análisis de riesgos
2.1. Conceptos básicos de la gestión de riesgos
2.2. Estándar ISO 31000 de gestión y tratamiento de riesgos
2.3. Marco de trabajo para la gestión del riesgo
2.4. Proceso de gestión del riesgo
3. Principales tipos de vulnerabilidades, fallos de programa, programas maliciosos y su actualización permanente, así como criterios de programación segura
3.1. Principales tipos de vulnerabilidades/fallos de programa
3.2. Programas maliciosos y su actualización permanente
3.3. Criterios de programación segura
4. Particularidades de los distintos tipos de código malicioso
4.1. Tipos de códigos maliciosos
5. Principales elementos del análisis de riesgos y sus modelos de relaciones
5.1. Elementos del análisis de riesgos
5.2. Modelos de relaciones de conceptos de gestión de riesgos
6. Metodologías cualitativas y cuantitativas de análisis de riesgos
6.1. Metodología cuantitativa de análisis de riesgos
6.2. Metodología cualitativa de análisis de riesgos
7. Identificación de los activos involucrados en el análisis de riesgos y su valoración
7.1. Identificación de los activos involucrados en el proceso de análisis y gestión de riesgos
7.2. Valoración de los activos implicados en el análisis y gestión del riesgo
7.3. Tipos de valoraciones de activos
7.4. Las dimensiones de valoración de los activos
8. Identificación de las amenazas que pueden afectar a los activos identificados previamente
8.1. Identificación de las amenazas
8.2. Valoración de las amenazas
9. Análisis e identificación de las vulnerabilidades existentes en los sistemas de información que permitirían la materialización de amenazas, incluyendo análisis local, análisis remoto de caja blanca y de caja negra
9.1. Análisis local para la detección de vulnerabilidades
9.2. Análisis remoto de caja blanca
9.3. Análisis de caja negra
10. Optimización del proceso de auditoría y contraste de vulnerabilidades e informe de auditoría
10.1. El informe de auditoría
11. Identificación de las medidas de salvaguarda existentes en el momento de la realización del análisis de riesgos y su efecto sobre las vulnerabilidades y amenazas
11.1. Las salvaguardas y los activos
12. Establecimiento de los escenarios de riesgo entendidos como pares activo-amenaza susceptibles de materializarse
12.1. Estimación del impacto potencial
12.2. Estimación del impacto residual
13. Determinación de la probabilidad e impacto de materialización de los escenarios
13.1. Probabilidad de materialización de los escenarios de riesgo
13.2. Impacto de materialización de los escenarios de riesgo
14. Establecimiento del nivel de riesgo para los distintos pares de activo y amenaza
14.1. Nivel de riesgo de los escenarios de los pares activo/amenaza
15. Determinación por parte de la organización de los criterios de evaluación del riesgo, en función de los cuales se determina si un riesgo es aceptable o no
15.1. Visión general de la gestión de riesgos
16. Relación de las distintas alternativas de gestión de riesgos
17. Guía para la elaboración del plan de gestión de riesgos
17.1. Recomendaciones básicas para la elaboración del plan
18. Exposición de la metodología NIST SP 800-30
19. Exposición de la metodología Magerit versión 2
19.1. Estructura de las guías Magerit
20. Resumen
1. Introducción
2. Herramientas del sistema operativo tipo Ping, Traceroute, etc
2.1. Herramienta ping
2.2. Herramienta traceroute
2.3. Herramienta whois
2.4. Herramienta NSLookup
3. Herramientas de análisis de red, puertos y servicios tipo Nmap, Netcat, NBTScan, etc
3.1. Herramienta Nmap
3.2. Herramienta Netcat
3.3. Herramienta de red NBTScan
3.4. Otras herramientas de red: Snort y Network Miner
4. Herramientas de análisis de vulnerabilidades tipo Nessus
4.1. Herramienta Nessus
5. Analizadores de protocolos tipo WireShark, DSniff, Cain & Abel, etc
5.1. Analizador de protocolos WireShark
5.2. Analizador DSniff
5.3. Analizador Cain & Abel
5.4. Otros analizadores de protocolos: IP Sniffer y Tcpdump
6. Analizadores de páginas web tipo Acunetix, Dirb, Parosproxy, etc
6.1. Analizador Acunetix
6.2. Analizador Dirb
6.3. Analizador Parosproxy
6.4. Otros analizadores de páginas web: Virus Total y URLVoid
7. Ataques de diccionario y fuerza bruta tipo Brutus, John the Ripper, etc
7.1. John the Ripper
7.2. Brutus
7.3. Otras herramientas de ataques de fuerza bruta y diccionario
8. Resumen
1. Introducción
2. Principios generales de cortafuegos
2.1. Características de diseño de un cortafuegos
3. Componentes de un cortafuegos de red
3.1. Filtrado de paquetes
3.2. Proxy de aplicación
3.3. Monitorización de la actividad
4. Relación de los distintos tipos de cortafuegos por ubicación y funcionalidad
4.1. Routers con filtrado de paquetes
4.2. Gateways a nivel de aplicación
4.3. Gateways a nivel de circuito
4.4. Host bastion
5. Arquitecturas de cortafuegos de red
5.1. Arquitecturas de cortafuegos dual-homed host
5.2. Arquitecturas de cortafuegos con screened host (single-homed host)
5.3. Arquitecturas de cortafuegos screened subnet (DMZ)
6. Otras arquitecturas de cortafuegos de red
6.1. Utilización de varios host bastions
6.2. Red perimetral con un solo router
6.3. Utilización del host bastion como router externo
7. Resumen
1. Introducción
2. Guía para la auditoría de la documentación y normativa de seguridad existente en la organización auditada
2.1. Guía para la auditoría de la documentación
2.2. Normativa de auditoría de sistemas de información
2.3. Normativa referente a la protección de datos de carácter personal
3. Guía para la elaboración del plan de auditoría
3.1. Recolección de información para el plan de auditoría
3.2. Elaboración del plan de auditoría y de los programas de trabajo
4. Guía para las pruebas de auditoría
4.1. Tipos de pruebas
5. Guía para la elaboración del informe de auditoría
5.1. Documentos específicos
6. Resumen
Отрывок из книги
ic editorial
El elemento mínimo acreditable es la Unidad de Competencia. La suma de las acreditaciones de las unidades de competencia conforma la acreditación de la competencia general.
.....
Sin embargo, las pruebas sustantivas pretenden obtener evidencias de la validez e integridad de los datos almacenados en los equipos y dispositivos. Por ejemplo, una prueba sustantiva sería la revisión del inventario para comprobar si todos los dispositivos magnéticos están correctamente inventariados.
En concreto, las diferencias fundamentales entre ambas pruebas se determinan en la tabla siguiente.
.....