TEMPO-REPASO_PRÁCTICO_MF0487_3

REPASO PRÁCTICO

MF0487_3

START

CONTENIDOS

Criterios deontológicos

Criterios de observación de NO conformidad

Medidas de seguridad del RD 1720/2007

Tipos de vulnerabilidades

Fases de un pentesting

SECTION 01

CRITERIOS DEONTOLÓGICOS

SS

Disponéis de: 45s/

• a. Independencia del Auditor
• b. Cumplimiento del Código de Ética Profesional de ISACA
• c. Conocimientos y Destreza del Auditor
• d. Planificación y Supervisión Rigurosa
• e. Respaldo con Evidencias
• f. Cumplimiento de Normativas de Auditoría
• g. Claridad en los Informes de Auditoría

45

45

Clic aquí antes de que termine el tiempo

¡ATENCIÓN!

ESPERA ANTES DE PASAR A LA SIGUIENTE PREGUNTA

CRITERIOS DE OBSERVACIÓN DE NO CONFORMIDAD

1. Criterios de Referencia
2. Evidencias Objetivas
3. Clasificación de No Conformidades
4. Impacto y Riesgo
5. Documentación de No Conformidades
6. Seguimiento y Verificación

SS

Disponéis de: 60s/

60

60

Clic aquí antes de que termine el tiempo

¡ATENCIÓN!

ESPERA ANTES DE PASAR A LA SIGUIENTE PREGUNTA

Artículos 55, 60, 67, 79, 80, 81, 85 y Capítulo III. Tratamiento de la confidencialidad: Niveles - Nivel Básico: Control de acceso, autenticación, gestión de soportes, copias de seguridad, y registro de incidencias. - Nivel Medio: Todas las medidas de nivel básico, más el registro de accesos, transporte seguro de soportes, auditorías internas, y capacitación del personal. - Nivel Alto: Todas las medidas de nivel básico y medio, más transmisión segura de datos, control de acceso remoto, registro completo de accesos, y medidas de seguridad físicas adicionales.

Medidas de seguridad del RD 1720/2007

Disponéis de: 60s/

SS

60

60

+info

Clic aquí antes de que termine el tiempo

¡ATENCIÓN!

ESPERA ANTES DE PASAR A LA SIGUIENTE PREGUNTA

Disponéis de: 45s/

Tipos de vulnerabilidades

SS

1. Vulnerabilidades de Software
2. Vulnerabilidades de Hardware
3. Vulnerabilidades de Red
4. Vulnerabilidades de Gestión de Identidades y Accesos
5. Vulnerabilidades en la Gestión de Datos
6. Vulnerabilidades de Procedimientos y Políticas
7. Vulnerabilidades de Ingeniería Social
8. Vulnerabilidades de Configuración
9. Vulnerabilidades Físicas
10. Vulnerabilidades en Aplicaciones Web

45

45

+info

Clic aquí antes de que termine el tiempo

¡ATENCIÓN!

ESPERA ANTES DE PASAR A LA SIGUIENTE PREGUNTA

SS

Disponéis de: 45s/

Fases de un pentesting

1. Planificación y Reconocimiento 2. Escaneo y Enumeración 3. Explotación 4. Mantenimiento del Acceso 5. Análisis y Reporte 6. Remediación y Reprueba 7. Lecciones Aprendidas y Mejora Continua

45

45

Clic aquí antes de que termine el tiempo

"Manos a la obra"

"Las contraseñas son como la ropa interior. No dejes a la gente que las vea, cámbiatelas a menudo, y no deberías compartirla con extraños"

TU TURNO

¡SUERTE!

Ninguna tecnología que esté conectada a Internet es inhackeable

30

HH:MM

20

HH:MM:SS

HH:MM:SS

HH:MM:SS

SS

- No Conformidad Mayor: Desviaciones que representan un riesgo significativo para la organización, como fallos críticos en los controles de seguridad, incumplimientos regulatorios graves o falta de políticas esenciales. - No Conformidad Menor: Desviaciones que representan riesgos menores, como errores en la documentación, controles parcialmente implementados o fallos en la actualización de políticas. - Oportunidades de Mejora: Observaciones que no representan una no conformidad directa pero sugieren áreas donde la organización podría mejorar sus procesos y controles.

- Descripción Clara: Proporcionar una descripción detallada de la no conformidad, incluyendo la evidencia recopilada, el criterio de referencia utilizado y el análisis de impacto y riesgo. - Recomendaciones: Ofrecer recomendaciones específicas y prácticas para la corrección de la no conformidad y la mejora de los controles. - Plan de Acción: Proponer un plan de acción detallado, incluyendo responsables, plazos y recursos necesarios para abordar la no conformidad.

- Evaluación del Impacto: Determinar el impacto potencial de la no conformidad en términos de seguridad, cumplimiento, operatividad y reputación de la organización. - Probabilidad de Ocurrencia: Evaluar la probabilidad de que la no conformidad pueda llevar a un incidente o problema significativo. - Prioridad de Acción: Asignar una prioridad de acción basada en la severidad y probabilidad de la no conformidad, estableciendo plazos para la corrección.

- Documentación: Revisar y analizar documentación relevante como políticas, procedimientos, registros de auditoría anteriores, informes de seguridad y registros de incidentes. - Observación Directa: Observar directamente los procesos y operaciones en el entorno del sistema de información. - Entrevistas: Realizar entrevistas con el personal clave para obtener una comprensión profunda de los procesos y controles implementados. - Pruebas y Validaciones: Realizar pruebas específicas y validaciones técnicas (por ejemplo, pruebas de penetración, revisiones de configuración) para detectar desviaciones.

- Acciones Correctivas: Asegurar que se implementen las acciones correctivas recomendadas dentro del plazo establecido. - Verificación Post-Corrección: Realizar una verificación posterior para confirmar que las no conformidades han sido efectivamente corregidas y que los controles mejorados están funcionando adecuadamente. - Registro y Monitoreo Continuo: Mantener un registro actualizado de todas las no conformidades y acciones correctivas, y monitorear continuamente para prevenir recurrencias.

- Estándares y Normativas: Comparar los procesos y controles actuales con estándares internacionales (por ejemplo, ISO/IEC 27001, COBIT) y normativas locales (por ejemplo, LOPD, GDPR). - Políticas Internas: Verificar el cumplimiento de las políticas y procedimientos internos de la organización. - Mejores Prácticas: Evaluar la alineación con las mejores prácticas de la industria recomendadas por organizaciones como ISACA o NIST.

Aplicación práctica de confidencialidad en los ficheros mediante del modo (permiso) de acceso. Modos de Permisos en Linux (En Octal) Permisos Simbólicos • r (read): Permiso de lectura. El archivo se puede leer. • w (write): Permiso de escritura. El archivo se puede modificar. • x (execute): Permiso de ejecución. El archivo se puede ejecutar (para archivos); el directorio se puede acceder (para directorios). Permisos Numéricos (Octales) Los permisos en Linux también se representan con un número octal de tres dígitos. Cada dígito representa los permisos para el propietario, el grupo y otros (en ese orden). Los valores octales son: • 4: Permiso de lectura (r) • 2: Permiso de escritura (w) • 1: Permiso de ejecución (x) • 0: Sin permisos (---) Para combinar estos permisos, se suman los valores. Por ejemplo: • 7: Lectura + Escritura + Ejecución (rwx) -> 4 + 2 + 1 = 7 • 6: Lectura + Escritura (rw-) -> 4 + 2 = 6 • 5: Lectura + Ejecución (r-x) -> 4 + 1 = 5 • 4: Solo lectura (r--) -> 4 Ejemplos de Permisos en Formato Octal Ejemplo 1: Permisos 644 • Octal: 644 • Simbólico: -rw-r--r-- o 6 (propietario): Lectura y escritura (rw-) o 4 (grupo): Solo lectura (r--) o 4 (otros): Solo lectura (r--)