Anda di halaman 1dari 32

BOLETN OFICIAL DEL ESTADO

Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59197

ANEXO III
I. IDENTIFICACIN DEL CERTIFICADO DE PROFESIONALIDAD
Denominacin: Seguridad informtica
Cdigo: IFCT0109
Familia Profesional: Informtica y Comunicaciones
rea profesional: Sistemas y telemtica
Nivel de cualificacin profesional: 3
Cualificacin profesional de referencia:
IFC153_3 Seguridad informtica (RD 1087/05 de 16 de septiembre)
Relacin de unidades de competencia que configuran el certificado de
profesionalidad:
UC0486_3: Asegurar equipos informticos.
UC0487_3: Auditar redes de comunicacin y sistemas informticos.
UC0488_3: Detectar y responder ante incidentes de seguridad.
UC0489_3: Disear e implementar sistemas seguros de acceso y transmisin de
datos.
UC0490_3: Gestionar servicios en el sistema informtico.
Competencia general:
Garantizar la seguridad de los accesos y usos de la informacin registrada en equipos
informticos, as como del propio sistema, protegindose de los posibles ataques,
identificando vulnerabilidades y aplicando sistemas de cifrado a las comunicaciones
que se realicen hacia el exterior y en el interior de la organizacin.
Entorno Profesional:
mbito Profesional:
Desarrolla su actividad profesional en el rea de sistemas del departamento de
informtica de empresas pblicas o privadas que utilizan equipamiento informtico,
desempeando tareas de auditora, configuracin y temas relacionados con la
seguridad informtica, tanto por cuenta ajena como por cuenta propia.

Est presente en mltiples sectores productivos, sobre todo en el sector servicios,


aunque se percibe una marcada caracterstica de transectorialidad. Tambin est
presente en los siguientes tipos de empresas:
- Empresas de cualquier sector y tamao que utilizan equipamiento informtico en
sus procesos de gestin.
- Empresas que prestan servicios de asistencia tcnica informtica.
- Empresas de externalizacin (outsourcing) de servicios.

cve: BOE-A-2011-10055

Sectores Productivos:

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59198

Ocupaciones o puestos de trabajo relacionados:


3820.1017 Programador de Aplicaciones Informticas
3812.1014 Tcnico en Informtica de Gestin
Tcnico en seguridad informtica.
Tcnico en auditora informtica.
Duracin de la formacin asociada: 500 horas
Relacin de mdulos formativos y de unidades formativas:
MF0486_3: Seguridad en equipos informticos. (90 horas)
MF0487_3: Auditora de seguridad informtica. (90 horas)
MF0488_3: Gestin de incidentes de seguridad informtica. (90 horas)
MF0489_3: Sistemas seguros de acceso y transmisin de datos. (60 horas)
MF0490_3: (Transversal) Gestin de servicios en el sistema informtico. (90 horas)
MP0175: Modulo de prcticas profesionales no laborales de Seguridad informtica.
(80 horas)
II. PERFIL PROFESIONAL DEL CERTIFICADO DE PROFESIONALIDAD
Unidad de competencia 1
Denominacin: ASEGURAR EQUIPOS INFORMTICOS
Nivel: 3
Cdigo: UC0486_3

RP1: Aplicar polticas de seguridad para la mejora de la proteccin de servidores y


equipos de usuario final segn las necesidades de uso y condiciones de seguridad.
CR1.1 El plan de implantacin del sistema informtico de la organizacin
se analiza comprobando que incorpora la informacin necesaria referida a
procedimientos de instalacin y actualizacin de equipos, copias de respaldo y
deteccin de intrusiones entre otros, as como referencias de posibilidades de
utilizacin de los equipos y restricciones de los mismos y protecciones contra
agresiones de virus y otros elementos no deseados.
CR1.2 Los permisos de acceso, por parte de los usuarios, a los distintos recursos
del sistema son determinados por medio de las herramientas correspondientes
segn el Plan de Implantacin y el de seguridad del sistema informtico.
CR1.3 EL acceso a los servidores se realiza garantizando la confidencialidad e
integridad de la conexin segn las normas de seguridad de la organizacin.
CR1.4 Las polticas de usuario se analizan verificando que quedan reflejadas
circunstancias tales como usos y restricciones asignadas a equipos y usuarios,
servicios de red permitidos y restringidos y mbitos de responsabilidades debidas
a la utilizacin de los equipos informticos.
CR1.5 La poltica de seguridad es transmitida a los usuarios, asegurndose de
su correcta y completa comprensin.
CR1.6 Las tareas realizadas se documentan convenientemente segn los
procedimientos de la organizacin.
CR1.7 Las informaciones afectadas por la legislacin de proteccin de datos se
tratan verificando que los usuarios autorizados cumplan los requisitos indicados
por la normativa y los cauces de distribucin de dicha informacin estn
documentados y autorizados segn el plan de seguridad.

cve: BOE-A-2011-10055

Realizaciones profesionales y criterios de realizacin

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59199

RP2: Configurar servidores para protegerlos de accesos no deseados segn las


necesidades de uso y dentro de las directivas de la organizacin.
CR2.1 La ubicacin del servidor en la red se realiza en una zona protegida
y aislada segn la normativa de seguridad y el plan de implantacin de la
organizacin.
CR2.2 Los servicios que ofrece el servidor se activan y configuran desactivando
los innecesarios segn la normativa de seguridad y plan de implantacin de la
organizacin.
CR2.3 Los accesos y permisos a los recursos del servidor por parte de los
usuarios son configurados en funcin del propsito del propio servidor y de la
normativa de seguridad de la organizacin.
CR2.4 Los mecanismos de registro de actividad e incidencias del sistema se
activan y se habilitan los procedimientos de anlisis de dichas informaciones.
CR2.5 Los mdulos adicionales del servidor son analizados en base a sus
funcionalidades y riesgos de seguridad que implican su utilizacin, llegando a
una solucin de compromiso.
CR2.6 Los mecanismos de autenticacin se configuran para que ofrezcan
niveles de seguridad e integridad en la conexin de usuarios de acuerdo con la
normativa de seguridad de la organizacin.
CR2.7 Los roles y privilegios de los usuarios se definen y asignan siguiendo las
instrucciones que figuren en la normativa de seguridad y el plan de explotacin
de la organizacin.
RP3: Instalar y configurar cortafuegos en equipos y servidores para garantizar la
seguridad ante los ataques externos segn las necesidades de uso y dentro de las
directivas de la organizacin.
CR3.1 La topologa del cortafuegos es seleccionada en funcin del entorno de
implantacin.
CR3.2 Los elementos hardware y software del cortafuegos son elegidos teniendo
en cuenta factores econmicos y de rendimiento.
CR3.3 Los cortafuegos son instalados y configurados segn el nivel definido en
la poltica de seguridad.
CR3.4 Las reglas de filtrado y los niveles de registro y alarmas se determinan,
configuran y administran segn las necesidades dictaminadas por la normativa
de seguridad de la organizacin.
CR3.5 Los cortafuegos son verificados con juegos de pruebas y se comprueba que
superan las especificaciones de la normativa de seguridad de la organizacin.
CR3.6 La instalacin y actualizacin del cortafuegos y los procedimientos de
actuacin con el mismo quedan documentados segn las especificaciones de la
organizacin.
CR3.7 Los sistemas de registro son definidos y configurados para la revisin y
estudio de los posibles ataques, intrusiones y vulnerabilidades.

Medios de produccin
Aplicaciones ofimticas corporativas. Verificadores de fortaleza de contraseas.
Analizadores de puertos. Analizadores de ficheros de registro del sistema. Cortafuegos.
Equipos especficos y/o de propsito general. Cortafuegos personales o de servidor.
Sistemas de autenticacin: dbiles: basados en usuario y contrasea y robustos:
basados en dispositivos fsicos y medidas biomtricas. Programas de comunicacin
con capacidades criptogrficas. Herramientas de administracin remota segura.

cve: BOE-A-2011-10055

Contexto profesional

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59200

Productos y resultados
Planes de implantacin revisados segn directivas de la organizacin. Informes de
auditora de servicios de red de sistemas informticos. Mapa y diseo de la topologa
de cortafuegos corporativo. Gua de instalacin y configuracin de cortafuegos.
Informe de actividad detectada en el cortafuegos. Mapa y diseo del sistema de
copias de respaldo. Planificacin de la realizacin de las copias de respaldo. Informe
de realizacin de copias de respaldo. Normativa para la elaboracin del diseo de
cortafuegos. Elaboracin de una operativa de seguridad acorde con la poltica de
seguridad.
Informacin utilizada o generada
Poltica de seguridad de infraestructuras telemticas. Manuales de instalacin,
referencia y uso de cortafuegos. Informacin sobre redes locales y de rea extensa y
sistemas de comunicacin pblicos y privados. Informacin sobre equipos y software
de comunicaciones.
Normativa, reglamentacin y estndares (ISO, EIA, UIT-T, RFC-IETF). Registro
inventariado del hardware. Registro de comprobacin con las medidas de seguridad
aplicadas a cada sistema informtico. Topologa del sistema informtico a proteger.
Unidad de competencia 2
Denominacin: AUDITAR
INFORMTICOS

REDES

DE

COMUNICACIN

SISTEMAS

Nivel: 3
Cdigo: UC0487_3
Realizaciones profesionales y criterios de realizacin

RP2: Verificar el cumplimiento de la normativa y requisitos legales vigentes en materia


de proteccin de datos personales para asegurar la confidencialidad segn las
necesidades de uso y dentro de las directivas de la organizacin.
CR2.1 Los ficheros con datos de carcter personal son identificados y tienen
asignado un responsable de seguridad segn normativa legal.
CR2.2 El listado de personas autorizadas a acceder a cada fichero existe y se
encuentra actualizado segn normativa legal.

cve: BOE-A-2011-10055

RP1: Realizar anlisis de vulnerabilidades, mediante programas especficos para


controlar posibles fallos en la seguridad de los sistemas segn las necesidades de
uso y dentro de las directivas de la organizacin.
CR1.1 Las herramientas y los tipos de pruebas de anlisis de vulnerabilidades
se seleccionan y adecuan al entorno a verificar segn las especificaciones de
seguridad de la organizacin.
CR1.2 Los programas y las pruebas se actualizan para realizar ensayos
consistentes con los posibles fallos de seguridad de las versiones de hardware y
software instaladas en el sistema informtico.
CR1.3 Los resultados de las pruebas se analizan y documentan conforme se
indica en la normativa de la organizacin.
CR1.4 Los sistemas de acceso por contrasea se comprueban mediante
herramientas especficas segn las especificaciones de la normativa de seguridad.
CR1.5 La documentacin del anlisis de vulnerabilidades contiene referencias
exactas de las aplicaciones y servicios que se han detectado funcionando en
el sistema, el nivel de los parches instalados, vulnerabilidades de negacin de
servicio, vulnerabilidades detectadas y mapa de la red.

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59201

CR2.3 El control de accesos a los ficheros se comprueba siguiendo el


procedimiento establecido en la normativa de seguridad de la organizacin.
CR2.4 La gestin del almacenamiento de los ficheros y sus copias de seguridad
se realiza siguiendo la normativa legal y de la organizacin.
CR2.5 El acceso telemtico a los ficheros se realiza utilizando mecanismos que
garanticen la confidencialidad e integridad cuando as lo requiera la normativa.
CR2.6 El informe de la auditora recoge la relacin de ficheros con datos de
carcter personal y las medidas de seguridad aplicadas y aquellas pendientes
de aplicacin.
RP3: Comprobar el cumplimiento de la poltica de seguridad establecida para afirmar
la integridad del sistema segn las necesidades de uso y dentro de las directivas de
la organizacin.
CR3.1 Los procedimientos de deteccin y gestin de incidentes de seguridad se
desarrollan y se incluyen en la normativa de seguridad de la organizacin.
CR3.2 Los puntos de acceso de entrada y salida de la red son verificados para que su
uso se circunscriba a lo descrito en la normativa de seguridad de la organizacin.
CR3.3 Los programas de seguridad y proteccin de sistemas se activan y
actualizan segn las especificaciones de los fabricantes.
CR3.4 Los puntos de entrada y salida de la red adicionales son autorizados y
controlados en base a las especificaciones de seguridad y al plan de implantacin
de la organizacin.
CR3.5 Los procesos de auditora informtica son revisados, tanto los de carcter
interno, como aquellos realizados por personal externo a la organizacin.
CR3.6 Los procedimientos de las polticas de seguridad se verifican en su
cumplimiento por parte de los usuarios.
Contexto profesional
Medios de produccin
Aplicaciones ofimticas corporativas
Analizadores de vulnerabilidades.
Herramientas para garantizar la confidencialidad de la informacin.
Programas que garantizan la confidencialidad e integridad de las comunicaciones.
Aplicaciones para gestin de proyectos.
Programas de anlisis de contraseas.

Informacin utilizada o generada


Normativa sobre proteccin de datos personales.
Poltica de seguridad de la empresa.
Metodologas de anlisis de seguridad (OSSTM, BS7799/ISO17799).
Boletines de seguridad y avisos de vulnerabilidades disponibles en formato
electrnico.
Topologa del sistema informtico a proteger.
Unidad de competencia 3
Denominacin: DETECTAR Y RESPONDER ANTE INCIDENTES DE SEGURIDAD

cve: BOE-A-2011-10055

Productos y resultados
Informes de anlisis de vulnerabilidades
Relacin de contraseas dbiles.
Registro de ficheros de datos de carcter personal, segn normativa vigente
Informe de auditora de servicios y puntos de acceso al sistema informtico.

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59202

Nivel: 3
Cdigo: UC0488_3

Realizaciones profesionales y criterios de realizacin
RP1: Implantar procedimientos para la respuesta ante incidentes e implantar
mecanismos para la deteccin de intrusos segn directrices de los equipos de
respuesta ante incidentes nacionales e internacionales.
CR1.1 Los procedimientos de deteccin y respuesta de incidentes estn
documentados, indican los roles y responsabilidades de seguridad e implementan
los requerimientos de la poltica de seguridad de la organizacin.
CR1.2 Los sistemas se modelan para detectar signos de comportamiento
sospechoso seleccionando los mecanismos de registro a activar, observando
las alarmas definidas, caracterizando los parmetros de utilizacin de la red e
inventariando los archivos para detectar modificaciones.
CR1.3 Los mecanismos de registro del sistema se activan y se planifican los
procedimientos de anlisis de los mismos segn las especificaciones de
seguridad de la organizacin.
CR1.4 Los sistemas de deteccin de intrusos se instalan, actualizan y configuran
en funcin de las especificaciones de seguridad de la organizacin.
CR1.5 Los procedimientos de restauracin del sistema informtico se verifican
para la recuperacin del mismo ante un incidente grave dentro de las necesidades
de la organizacin.

RP3: Coordinar la respuesta ante incidentes de seguridad entre las distintas reas
implicadas para contener y solucionar el incidente segn los requisitos de servicio y
dentro de las directivas de la organizacin.
CR3.1 La deteccin de un incidente de seguridad produce la realizacin de los
procedimientos recogidos en los protocolos de la normativa de seguridad de la
organizacin.
CR3.2 El sistema vulnerado, se asla y se procede a recoger la informacin para
el anlisis forense de la misma segn los procedimientos de la normativa de
seguridad de la organizacin.
CR3.3 El sistema atacado se analiza mediante herramientas de deteccin de
intrusos segn los procedimientos de seguridad de la organizacin.
CR3.4 La intrusin es contenida mediante la aplicacin de las medidas
establecidas en la normativa de seguridad de la organizacin.
CR3.5 La documentacin del incidente se realiza para su posterior anlisis e
implantacin de medidas que impidan la replicacin del hecho sobrevenido.

cve: BOE-A-2011-10055

RP2: Detectar incidentes de seguridad de forma activa y preventiva para minimizar


el riesgo segn directrices de los equipos de respuesta ante incidentes nacionales e
internacionales.
CR2.1 Las herramientas utilizadas para detectar intrusiones son analizadas para
determinar que no han sido comprometidas ni afectadas por programas maliciosos.
CR2.2 Los parmetros de funcionamiento sospechoso se analizan con
herramientas especficas segn la normativa de seguridad.
CR2.3 Los componentes software del sistema se verifican peridicamente en lo
que respecta a su integridad usando programas especficos.
CR2.4 Las pruebas realizadas a los dispositivos de proteccin fsica del sistema
informtico verifican el correcto funcionamiento de los mismos segn la normativa
de seguridad de la organizacin.
CR2.5 Los sucesos y signos extraos que pudieran considerarse una alerta son
recogidos en el informe diario de actividad.

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59203

CR3.6 Los daos causados se determinan y se planifican las posibles acciones


para continuar la normal prestacin de servicios del sistema vulnerado segn
las normas de calidad y el plan de explotacin de la organizacin.
Contexto profesional
Medios de produccin
Aplicaciones ofimticas corporativas. Analizadores de vulnerabilidades. Herramientas
para garantizar la confidencialidad de la informacin. Programas que garantizan la
confidencialidad e integridad de las comunicaciones. Aplicaciones para gestin de
proyectos. Programas de anlisis de contraseas. Software de monitorizacin de
redes. Software de flujo de trabajo para envo de alarmas e incidencias a responsables.
IDS y sus consolas. Consola de SNMP.
Productos y resultados
Informes de anlisis de vulnerabilidades. Relacin de contraseas dbiles. Registro
de ficheros de datos de carcter personal, segn normativa vigente. Informe de
auditora de servicios y puntos de acceso al sistema informtico. Registro de actividad.
Documento de seguridad. Registro de alarmas.
Informacin utilizada o generada
Normativa sobre proteccin de datos personales. Poltica de seguridad de la empresa.
Metodologas de anlisis de seguridad (OSSTM, BS7799/ISO17799). Boletines
de seguridad y avisos de vulnerabilidades, en su mayora redactados en ingls, y
disponibles en formato electrnico. Documento de trabajo en base a la poltica de
seguridad. Normativa de deteccin de intrusos. Normativa de prevencin de amenazas
de seguridad.
Unidad de competencia 4
Denominacin: DISEAR E IMPLEMENTAR SISTEMAS SEGUROS DE ACCESO Y
TRANSMISIN DE DATOS
Nivel: 3
Cdigo: UC0489_3

RP1: Implantar polticas de seguridad y cifrado de informacin en operaciones de


intercambio de datos para obtener conexiones seguras segn las necesidades de uso
y dentro de las directivas de la organizacin.
CR1.1 Las comunicaciones con otras compaas o a travs de canales inseguros
utilizan redes privadas virtuales para garantizar la confidencialidad e integridad
de dichas conexiones durante el trnsito a travs de redes pblicas segn
las especificaciones de la normativa de seguridad y el diseo de redes de la
organizacin.
CR1.2 Los requerimientos para implantar la solucin de red privada virtual
se seleccionan y comunican al operador de telefona para lograr soluciones
adecuadas al plan de seguridad.
CR1.3 Las tcnicas de proteccin de conexiones inalmbricas disponibles en
el mercado son evaluadas y se seleccionan aquellas ms idneas, teniendo
en cuenta el principio de proporcionalidad y las normas de seguridad de la
organizacin.

cve: BOE-A-2011-10055

Realizaciones profesionales y criterios de realizacin

BOLETN OFICIAL DEL ESTADO


Viernes 10 de junio de 2011

Sec. I. Pg. 59204

CR1.4 Los servicios accesibles a travs de la red telemtica que emplean


tcnicas criptogrficas para garantizar la integridad y confidencialidad de las
comunicaciones son implantados segn parmetros de la normativa de seguridad
de la organizacin.
CR1.5 Los servicios accesibles a travs de la red telemtica que no incorporan
tcnicas criptogrficas para garantizar la seguridad de las comunicaciones
utilizan servicios de encapsulacin.
CR1.6 Los servicios que incorporan soporte para certificados digitales para
identificacin del servidor, se emplean para garantizar al usuario la identidad del
servidor.
RP2: Implantar sistemas de firma digital para asegurar la autenticidad, integridad y
confidencialidad de los datos que intervienen en una transferencia de informacin
utilizando sistemas y protocolos criptogrficos segn las necesidades de uso y dentro
de las directivas de la organizacin.
CR2.1 El acceso a servicios a travs de la red telemtica utiliza autenticacin
basada en certificados digitales de identidad personal.
CR2.2 El proceso de obtencin y verificacin de firmas se aplica en caso de ser
necesario segn los requerimientos del sistema informtico y los procesos de
negocio
CR2.3 La transmisin de mensajes de correo electrnico utilizan certificados
digitales para firmar y cifrar su contenido.
CR2.4 Los sistemas de firma digital de documentos mediante certificados
digitales se implantan segn la normativa de seguridad de la organizacin.
CR2.5 Los sistemas de sellado digital de tiempo, para garantizar la existencia
de un documento en una determinada fecha, se implantan segn las normas de
seguridad de la organizacin.
CR2.6 Los componentes web son firmados digitalmente para garantizar la
integridad de dichos componentes.
RP3: Implementar infraestructuras de clave pblica para garantizar la seguridad segn
los estndares del sistema y dentro de las directivas de la organizacin.
CR3.1 La jerarqua de certificacin se disea en funcin de las necesidades de
la organizacin y del uso que se vaya a dar a los certificados.
CR3.2 La declaracin de prcticas de certificacin y la poltica de certificacin se
redacta de forma que definen los procedimientos y derechos y obligaciones de
los responsables de la autoridad de certificacin y de los usuarios.
CR3.3 El sistema de autoridad de certificacin se instala siguiendo las indicaciones
del fabricante.
CR3.4 El certificado de la autoridad de certificacin y la poltica de certificacin se
disponen a los usuarios en la forma y modo necesario, siguiendo las directrices
contenidas en la declaracin de prcticas de certificacin.
CR3.5 La clave privada de la autoridad de certificacin se mantiene segura
y con las copias de respaldo establecidas en la declaracin de prcticas de
certificacin.
CR3.6 La emisin de certificados digitales se realiza segn los usos que va a
recibir el certificado y siguiendo los procedimientos indicados en la declaracin
de prcticas de certificacin.
CR3.7 El servicio de revocacin de certificados mantiene accesible la informacin
sobre validez de los certificados emitidos por la autoridad de certificacin segn
lo indicado en la declaracin de prcticas de certificacin.

cve: BOE-A-2011-10055

Nm. 138

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59205

Contexto profesional
Medios de produccin
Programas para conexin segura. Sistemas para implantar autoridades de certificacin
digital. Servidores y clientes de redes privadas virtuales (VPN). Soportes seguros para
certificados digitales. Servidores web con soporte SSL/TLS. Encapsuladores de trfico
con soporte criptogrfico (HW y SW). Programas de conexin segura a servicios
telemticos. Interfaces de correo electrnico con soporte para correo seguro.
Productos y resultados
Poltica de certificacin. Declaracin de prcticas de certificacin. Listado de certificados
emitidos y certificados revocados. Guas y recomendaciones de implantacin de
sistemas de comunicacin seguros. Guas de utilizacin de certificados digitales.
Informacin utilizada o generada
Normativa legal sobre firma digital. Estndares y recomendaciones, generalmente
redactadas en ingls. Manuales de instalacin de infraestructuras de clave pblica
(PKI).
Unidad de competencia 5
Denominacin: GESTIONAR SERVICIOS EN EL SISTEMA INFORMTICO
Nivel: 3
Cdigo: UC0490_3
Realizaciones profesionales y criterios de realizacin

RP2: Administrar los dispositivos de almacenamiento segn las necesidades de uso y


dentro de las directivas de la organizacin.
CR2.1 Los dispositivos de almacenamiento se configuran para ser usados en los
distintos sistemas operativos utilizados en el sistema informtico.
CR2.2 La estructura de almacenamiento se define y se implanta atendiendo a
las necesidades de los distintos sistemas de archivos y a las especificaciones de
uso de la organizacin.
CR2.3 Los requerimientos de nomenclatura de objetos y restricciones de uso de
cada dispositivo de almacenamiento se documentan adecuadamente.
CR2.4 Los dispositivos de almacenamiento se integran para ofrecer un sistema
funcional al usuario segn las especificaciones de la organizacin.

cve: BOE-A-2011-10055

RP1: Gestionar la configuracin del sistema para asegurar el rendimiento de los


procesos segn las necesidades de uso y dentro de las directivas de la organizacin.
CR1.1 Los procesos que intervienen en el sistema son identificados para evaluar
parmetros de rendimiento.
CR1.2 Los parmetros que afectan a los componentes del sistema: memoria,
procesador y perifricos, entre otros, se ajustan a las necesidades de uso.
CR1.3 Las prioridades de ejecucin de los procesos se adecuan en funcin de
las especificaciones del plan de explotacin de la organizacin.
CR1.4 Las herramientas de monitorizacin se implantan y configuran
determinando los niveles de las alarmas en funcin del plan de explotacin de
la organizacin.

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59206

RP3: Gestionar las tareas de usuarios para garantizar los accesos al sistema y la
disponibilidad de los recursos segn especificaciones de explotacin del sistema
informtico.
CR3.1 El acceso de los usuarios al sistema informtico se configura para
garantizar la seguridad e integridad del sistema segn las especificaciones de la
organizacin.
CR3.2 El acceso de los usuarios a los recursos se administra mediante la
asignacin de permisos en funcin de las necesidades de la organizacin.
CR3.3 Los recursos disponibles para los usuarios se limitan con las herramientas
adecuadas en base a lo especificado en las normas de uso de la organizacin.
RP4: Gestionar los servicios de red para asegurar la comunicacin entre sistemas
informticos segn necesidades de explotacin.
CR4.1 Los dispositivos de comunicaciones son verificados en lo que respecta a
su configuracin y rendimiento segn las especificaciones de la organizacin.
CR4.2 Los servicios de comunicaciones son identificados en el sistema con sus
procesos correspondientes para analizar los consumos de recursos y verificar
que estn dentro de lo permitido por las especificaciones del plan de explotacin
de la organizacin.
CR4.3 Las incidencias en los servicios de comunicaciones se detectan y se
documentan para informar a los responsables de la explotacin del sistema y de
la gestin de las comunicaciones segn los protocolos de la organizacin.
Contexto profesional
Medios de produccin
Sistemas operativos. Herramientas de administracin de usuarios y gestin de permisos
a recursos. Herramientas de control de rendimiento. Herramientas de monitorizacin
de procesos. Herramientas de monitorizacin de uso de memoria. Herramientas
de monitorizacin de gestin de dispositivos de almacenamiento. Herramientas de
gestin de usuarios.
Productos y resultados
Sistema operando correctamente. Rendimiento del sistema adecuado a los parmetros
de explotacin. Sistema seguro e ntegro en el acceso y utilizacin de recursos.
Servicios de comunicaciones en funcionamiento.
Informacin utilizada o generada
Manuales de explotacin del sistema operativo y de los dispositivos. Plan de explotacin
de la organizacin. Manuales de las herramientas de monitorizacin utilizadas. Grficas
y anlisis de rendimiento. Listados de acceso y restricciones de usuarios. Informe de
incidencias. Protocolo de actuacin ante incidencias.
III. FORMACIN DEL CERTIFICADO DE PROFESIONALIDAD
MDULO FORMATIVO 1

Cdigo: MF0486_3
Nivel de cualificacin profesional: 3
Asociado a la Unidad de Competencia:

cve: BOE-A-2011-10055

Denominacin: SEGURIDAD EN EQUIPOS INFORMTICOS

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59207

UC0486_3: Asegurar equipos informticos


Duracin: 90 horas
Capacidades y criterios de evaluacin
C1: Analizar los planes de implantacin de la organizacin para identificar los elementos
del sistema implicados y los niveles de seguridad a implementar.
CE1.1 Identificar la estructura de un plan de implantacin, explicando los
contenidos que figuran en cada seccin.
CE1.2 Distinguir los sistemas que pueden aparecer en el plan de implantacin,
describiendo las funcionalidades de seguridad que implementan.
CE1.3 Describir los niveles de seguridad que figuran en el plan de implantacin,
asocindolos a los permisos de acceso para su implantacin.
CE1.4 En un supuesto prctico en el que se pide analizar el plan de implantacin
y sus repercusiones en el sistema:
- Determinar los sistemas implicados en el plan de implantacin.
- Analizar los requisitos de seguridad de cada sistema.
- Describir las medidas de seguridad a aplicar a cada sistema.
- Cumplimentar los formularios para la declaracin de ficheros de datos de
carcter personal.

C3: Evaluar la funcin y necesidad de cada servicio en ejecucin en el servidor segn


las especificaciones de seguridad.
CE3.1 Identificar los servicios habituales en el sistema informtico de una
organizacin, describiendo su misin dentro de la infraestructura informtica y
de comunicaciones.
CE3.2 Identificar y describir los servicios necesarios para el funcionamiento de un
servidor, en funcin de su misin dentro del sistema informtico de la organizacin.
CE3.3 Describir las amenazas de los servicios en ejecucin, aplicando los
permisos ms restrictivos, que garantizan su ejecucin y minimizan el riesgo.
CE3.4 En un supuesto prctico de implantacin de un servidor con un conjunto
de servicios en ejecucin con correspondencias a un plan de explotacin dado:
- Indicar las relaciones existentes entre dicho servidor y el resto del sistema
informtico de la organizacin.

cve: BOE-A-2011-10055

C2: Analizar e implementar los mecanismos de acceso fsicos y lgicos a los servidores
segn especificaciones de seguridad.
CE2.1 Describir las caractersticas de los mecanismos de control de acceso
fsico, explicando sus principales funciones.
CE2.2 Exponer los mecanismos de traza, asocindolos al sistema operativo del
servidor.
CE2.3 Identificar los mecanismos de control de acceso lgico, explicando sus
principales caractersticas (contraseas, filtrado de puertos IP entre otros).
CE2.4 En un supuesto prctico de implantacin de un servidor segn
especificaciones dadas:
- Determinar la ubicacin fsica del servidor para asegurar su funcionalidad.
- Describir y justificar las medidas de seguridad fsica a implementar que
garanticen la integridad del sistema.
- Identificar los mdulos o aplicaciones adicionales para implementar el nivel
de seguridad requerido por el servidor.
- Determinar las amenazas a las que se expone el servidor, evaluando el
riesgo que suponen, dado el contexto del servidor.
- Determinar los permisos asignados a los usuarios y grupos de usuarios para
la utilizacin del sistema.

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011


-
-

Sec. I. Pg. 59208

Extraer del plan de implantacin los requisitos de seguridad aplicables al


servidor.
Determinar los servicios mnimos necesarios para el funcionamiento del
sistema.

C4: Instalar, configurar y administrar un cortafuegos de servidor con las caractersticas


necesarias segn especificaciones de seguridad.
CE4.1 Clasificar los tipos de cortafuegos, de red y locales, hardware y software,
de paquetes y aplicacin, describiendo sus caractersticas y funcionalidades
principales.
CE4.2 Describir las reglas de filtrado de un cortafuegos de servidor, explicando
los parmetros principales.
CE4.3 Explicar el formato de traza de un cortafuegos de servidor, reflejando la
informacin de seguridad relevante.
CE4.4 A partir de un supuesto prctico de instalacin de un cortafuegos de
servidor en un escenario de accesos locales y remotos:
- Determinar los requisitos de seguridad del servidor.
- Establecer las relaciones del servidor con el resto de equipos del sistema
informtico.
- Elaborar el listado de reglas de acceso a implementar en el servidor.
- Componer un plan de pruebas del cortafuegos implementado.
- Ejecutar el plan de pruebas, redactando las correcciones necesarias para
corregir las deficiencias detectadas.
Contenidos
1. Criterios generales comnmente aceptados sobre seguridad de los equipos
informticos
- Modelo de seguridad orientada a la gestin del riesgo relacionado con el uso
de los sistemas de informacin
- Relacin de las amenazas ms frecuentes, los riesgos que implican y las
salvaguardas ms frecuentes
- Salvaguardas y tecnologas de seguridad ms habituales
- La gestin de la seguridad informtica como complemento a salvaguardas y
medidas tecnolgicas
2. Anlisis de impacto de negocio
- Identificacin de procesos de negocio soportados por sistemas de informacin
- Valoracin de los requerimientos de confidencialidad, integridad y disponibilidad
de los procesos de negocio
- Determinacin de los sistemas de informacin que soportan los procesos de
negocio y sus requerimientos de seguridad

4. Plan de implantacin de seguridad


- Determinacin del nivel de seguridad existente de los sistemas frente a la necesaria
en base a los requerimientos de seguridad de los procesos de negocio.
- Seleccin de medidas de salvaguarda para cubrir los requerimientos de
seguridad de los sistemas de informacin
- Gua para la elaboracin del plan de implantacin de las salvaguardas
seleccionadas

cve: BOE-A-2011-10055

3. Gestin de riesgos
- Aplicacin del proceso de gestin de riesgos y exposicin de las alternativas
ms frecuentes
- Metodologas comnmente aceptadas de identificacin y anlisis de riesgos
- Aplicacin de controles y medidas de salvaguarda para obtener una reduccin
del riesgo

BOLETN OFICIAL DEL ESTADO


Viernes 10 de junio de 2011

Sec. I. Pg. 59209

5. Proteccin de datos de carcter personal


- Principios generales de proteccin de datos de carcter personal
- Infracciones y sanciones contempladas en la legislacin vigente en materia de
proteccin de datos de carcter personal
- Identificacin y registro de los ficheros con datos de carcter personal utilizados
por la organizacin
- Elaboracin del documento de seguridad requerido por la legislacin vigente
en materia de proteccin de datos de carcter personal
6. Seguridad fsica e industrial de los sistemas. Seguridad lgica de sistemas
- Determinacin de los permetros de seguridad fsica
- Sistemas de control de acceso fsico mas frecuentes a las instalaciones
de la organizacin y a las reas en las que estn ubicados los sistemas
informticos
- Criterios de seguridad para el emplazamiento fsico de los sistemas
informticos
- Exposicin de elementos mas frecuentes para garantizar la calidad y
continuidad del suministro elctrico a los sistemas informticos
- Requerimientos de climatizacin y proteccin contra incendios aplicables a los
sistemas informticos
- Elaboracin de la normativa de seguridad fsica e industrial para la
organizacin
- Sistemas de ficheros ms frecuentemente utilizados
- Establecimiento del control de accesos de los sistemas informticos a la red
de comunicaciones de la organizacin
- Configuracin de polticas y directivas del directorio de usuarios
- Establecimiento de las listas de control de acceso (ACLs) a ficheros
- Gestin de altas, bajas y modificaciones de usuarios y los privilegios que
tienen asignados
- Requerimientos de seguridad relacionados con el control de acceso de los
usuarios al sistema operativo
- Sistemas de autenticacin de usuarios dbiles, fuertes y biomtricos
- Relacin de los registros de auditora del sistema operativo necesarios para
monitorizar y supervisar el control de accesos
- Elaboracin de la normativa de control de accesos a los sistemas informticos
7. Identificacin de servicios
- Identificacin de los protocolos, servicios y puertos utilizados por los sistemas
de informacin
- Utilizacin de herramientas de anlisis de puertos y servicios abiertos para
determinar aquellos que no son necesarios
- Utilizacin de herramientas de anlisis de trfico de comunicaciones para
determinar el uso real que hacen los sistemas de informacin de los distintos
protocolos, servicios y puertos
8. Robustecimiento de sistemas
- Modificacin de los usuarios y contraseas por defecto de los distintos sistemas
de informacin
- Configuracin de las directivas de gestin de contraseas y privilegios en el
directorio de usuarios
- Eliminacin y cierre de las herramientas, utilidades, servicios y puertos
prescindibles
- Configuracin de los sistemas de informacin para que utilicen protocolos
seguros donde sea posible

cve: BOE-A-2011-10055

Nm. 138

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011


-
-
-
-

Sec. I. Pg. 59210

Actualizacin de parches de seguridad de los sistemas informticos


Proteccin de los sistemas de informacin frente a cdigo malicioso
Gestin segura de comunicaciones, carpetas compartidas, impresoras y otros
recursos compartidos del sistema
Monitorizacin de la seguridad y el uso adecuado de los sistemas de
informacin

9. Implantacin y configuracin de cortafuegos


- Relacin de los distintos tipos de cortafuegos por ubicacin y funcionalidad
- Criterios de seguridad para la segregacin de redes en el cortafuegos mediante
Zonas Desmilitarizadas / DMZ
- Utilizacin de Redes Privadas Virtuales / VPN para establecer canales seguros
de comunicaciones
- Definicin de reglas de corte en los cortafuegos
- Relacin de los registros de auditora del cortafuegos necesarios para monitorizar
y supervisar su correcto funcionamiento y los eventos de seguridad
- Establecimiento de la monitorizacin y pruebas del cortafuegos
Orientaciones metodolgicas
Formacin a distancia:

Mdulo formativo

Mdulo formativo - MF0486_3

N. de horas mximas
Nmero de horas totales
susceptibles de formacin
del mdulo
a distancia

90

40

Criterios de acceso para los alumnos


Sern los establecidos en el artculo 4 del Real Decreto que regula el certificado de
profesionalidad de la familia profesional al que acompaa este anexo.
MDULO FORMATIVO 2
Denominacin: AUDITORA DE SEGURIDAD INFORMTICA
Cdigo: MF0487_3
Nivel de cualificacin profesional: 3
Asociado a la Unidad de Competencia:
UC0487_3: Auditar redes de comunicacin y sistemas informticos
Duracin: 90 horas

C1: Analizar y seleccionar las herramientas de auditora y deteccin de vulnerabilidades


del sistema informtico implantando aquellas que se adecuen a las especificaciones
de seguridad informtica.
CE1.1 Explicar las diferencias entre vulnerabilidades y amenazas.
CE1.2 Enunciar las caractersticas de los principales tipos de vulnerabilidades y
programas maliciosos existentes, describiendo sus particularidades.

cve: BOE-A-2011-10055

Capacidades y criterios de evaluacin

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59211

CE1.3 Describir el funcionamiento de una herramienta de anlisis de


vulnerabilidades, indicando las principales tcnicas empleadas y la fiabilidad de
las mismas.
CE1.4 Seleccionar la herramienta de auditora de seguridad ms adecuada en
funcin del servidor o red y los requisitos de seguridad.
CE1.5 A partir de un supuesto prctico, ante un sistema informtico dado en
circunstancias de implantacin concretas:
- Establecer los requisitos de seguridad que debe cumplir cada sistema.
- Crear una prueba nueva para la herramienta de auditora, partiendo de las
especificaciones de la vulnerabilidad.
- Elaborar el plan de pruebas teniendo en cuenta el tipo de servidor
analizado.
- Utilizar varias herramientas para detectar posibles vulnerabilidades
- Analizar el resultado de la herramienta de auditora, descartando falsos
positivos.
- Redactar el informe de auditora, reflejando las irregularidades detectadas,
y las sugerencias para su regularizacin.
C2: Aplicar procedimientos relativos al cumplimiento de la normativa legal vigente.
CE2.1 Explicar la normativa legal vigente (autonmica, nacional, europea e
internacional) aplicable a datos de carcter personal.
CE2.2 Exponer los trmites legales que deben cumplir los ficheros con datos de
carcter personal, teniendo en cuenta la calidad de los mismos.
CE2.3 Describir los niveles de seguridad establecidos en la normativa legal
vigente asocindolos a los requisitos exigidos.
CE2.4 A partir de un supuesto prctico, en el que se cuenta con una estructura
de registro de informacin de una organizacin:
- Identificar los ficheros con datos de carcter personal, justificando el nivel
de seguridad que le corresponde.
- Elaborar el plan de auditora de cumplimiento de legislacin en materia de
proteccin de datos de carcter personal.
- Revisar la documentacin asociada a los ficheros con datos de carcter
personal, identificando las carencias existentes.
- Elaborar el informe correspondiente a los ficheros de carcter personal,
indicando las deficiencias encontradas y las correcciones pertinentes.
C3: Planificar y aplicar medidas de seguridad para garantizar la integridad del sistema
informtico y de los puntos de entrada y salida de la red departamental.
CE3.1 Identificar las fases del anlisis de riesgos, describiendo el objetivo de
cada una de ellas.
CE3.2 Describir los trminos asociados al anlisis de riesgos (amenaza,
vulnerabilidad, impacto y contramedidas), estableciendo la relacin existente
entre ellos.
CE3.3 Describir las tcnicas de anlisis de redes, explicando los criterios de
seleccin.
CE3.4 Describir las topologas de cortafuegos de red comunes, indicando sus
funcionalidades principales.

1. Criterios generales comnmente aceptados sobre auditora informtica


- Cdigo deontolgico de la funcin de auditora
- Relacin de los distintos tipos de auditora en el marco de los sistemas de
informacin
- Criterios a seguir para la composicin del equipo auditor

cve: BOE-A-2011-10055

Contenidos

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011


-
-
-
-
-
-

Sec. I. Pg. 59212

Tipos de pruebas a realizar en el marco de la auditora, pruebas sustantivas


y pruebas de cumplimiento
Tipos de muestreo a aplicar durante el proceso de auditora
Utilizacin de herramientas tipo CAAT (Computer Assisted Audit Tools)
Explicacin de los requerimientos que deben cumplir los hallazgos de
auditora
Aplicacin de criterios comunes para categorizar los hallazgos como
observaciones o no conformidades
Relacin de las normativas y metodologas relacionadas con la auditora de
sistemas de informacin comnmente aceptadas

3. Anlisis de riesgos de los sistemas de informacin


- Introduccin al anlisis de riesgos
- Principales tipos de vulnerabilidades, fallos de programa, programas
maliciosos y su actualizacin permanente, as como criterios de programacin
segura
- Particularidades de los distintos tipos de cdigo malicioso
- Principales elementos del anlisis de riesgos y sus modelos de relaciones
- Metodologas cualitativas y cuantitativas de anlisis de riesgos
- Identificacin de los activos involucrados en el anlisis de riesgos y su
valoracin
- Identificacin de las amenazas que pueden afectar a los activos identificados
previamente
- Anlisis e identificacin de las vulnerabilidades existentes en los sistemas
de informacin que permitiran la materializacin de amenazas, incluyendo
el anlisis local, anlisis remoto de caja blanca y de caja negra
- Optimizacin del proceso de auditora y contraste de vulnerabilidades e
informe de auditora
- Identificacin de las medidas de salvaguarda existentes en el momento de
la realizacin del anlisis de riesgos y su efecto sobre las vulnerabilidades y
amenazas
- Establecimiento de los escenarios de riesgo entendidos como pares activoamenaza susceptibles de materializarse
- Determinacin de la probabilidad e impacto de materializacin de los
escenarios
- Establecimiento del nivel de riesgo para los distintos pares de activo y
amenaza
- Determinacin por parte de la organizacin de los criterios de evaluacin
del riesgo, en funcin de los cuales se determina si un riesgo es aceptable
o no
- Relacin de las distintas alternativas de gestin de riesgos

cve: BOE-A-2011-10055

2. Aplicacin de la normativa de proteccin de datos de carcter personal


- Principios generales de proteccin de datos de carcter personal
- Normativa europea recogida en la directiva 95/46/CE
- Normativa nacional recogida en el cdigo penal, Ley Orgnica para el
Tratamiento Automatizado de Datos (LORTAD), Ley Orgnica de Proteccin
de Datos (LOPD) y Reglamento de Desarrollo de La Ley Orgnica de
Proteccin de Datos (RD 1720/2007)
- Identificacin y registro de los ficheros con datos de carcter personal
utilizados por la organizacin
- Explicacin de las medidas de seguridad para la proteccin de los datos de
carcter personal recogidas en el Real Decreto 1720/2007
- Gua para la realizacin de la auditora bienal obligatoria de ley orgnica 151999 de proteccin de datos de carcter personal

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011


-
-
-

Sec. I. Pg. 59213

Gua para la elaboracin del plan de gestin de riesgos


Exposicin de la metodologa NIST SP 800-30
Exposicin de la metodologa Magerit versin 2

4. Uso de herramientas para la auditora de sistemas


- Herramientas del sistema operativo tipo Ping, Traceroute, etc.
- Herramientas de anlisis de red, puertos y servicios tipo Nmap, Netcat,
NBTScan, etc.
- Herramientas de anlisis de vulnerabilidades tipo Nessus
- Analizadores de protocolos tipo WireShark, DSniff, Cain & Abel, etc.
- Analizadores de pginas web tipo Acunetix, Dirb, Parosproxy, etc.
- Ataques de diccionario y fuerza bruta tipo Brutus, John the Ripper, etc.
5. Descripcin de los aspectos sobre cortafuegos en auditoras de Sistemas
Informticos.
- Principios generales de cortafuegos
- Componentes de un cortafuegos de red
- Relacin de los distintos tipos de cortafuegos por ubicacin y funcionalidad
- Arquitecturas de cortafuegos de red
- Otras arquitecturas de cortafuegos de red
6. Guas para la ejecucin de las distintas fases de la auditora de sistemas de
informacin
- Gua para la auditora de la documentacin y normativa de seguridad
existente en la organizacin auditada
- Gua para la elaboracin del plan de auditora
- Gua para las pruebas de auditora
- Gua para la elaboracin del informe de auditora
Orientaciones metodolgicas
Formacin a distancia:

Mdulo formativo

Mdulo formativo - MF0487_3

Nmero de horas
totales del mdulo

N. de horas mximas
susceptibles de formacin
a distancia

90

40

Criterios de acceso para los alumnos


Sern los establecidos en el artculo 4 del Real Decreto que regula el certificado de
profesionalidad de la familia profesional al que acompaa este anexo.
MDULO FORMATIVO 3

Cdigo: MF0488_3
Nivel de cualificacin profesional: 3
Asociado a la Unidad de Competencia:
UC0488_3: Detectar y responder ante incidentes de seguridad

cve: BOE-A-2011-10055

Denominacin: GESTIN DE INCIDENTES DE SEGURIDAD INFORMTICA

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59214

Duracin: 90 horas
Capacidades y criterios de evaluacin

C2: Aplicar los procedimientos de anlisis de la informacin y contencin del ataque


ante una incidencia detectada.
CE2.1 Analizar la informacin de los sistemas de deteccin de intrusos,
extrayendo aquellos eventos relevantes para la seguridad.
CE2.2 Analizar los indicios de intrusin, indicando los condicionantes necesarios
para que la amenaza pueda materializarse.
CE2.3 Clasificar los elementos de las alertas del sistema de deteccin de
intrusiones, estableciendo las posibles correlaciones existentes entre ellos,
distinguiendo las alertas por tiempos y niveles de seguridad.
CE2.4 A partir de un supuesto prctico, en el que realizan intentos de intrusin
al sistema informtico:
- Recopilar las alertas de los sistemas de deteccin de intrusiones.
- Relacionar los eventos recogidos por los sistemas de deteccin de
intrusiones.
- Determinar aquellas alertas significativas.
- Elaborar el informe correspondiente indicando las posibles intrusiones
y el riesgo asociado para la seguridad del sistema informtico de la
organizacin.
CE2.5 Establecer procesos de actualizacin de las herramientas de deteccin
de intrusos para asegurar su funcionalidad segn especificaciones de los
fabricantes.
C3: Analizar el alcance de los daos y determinar los procesos de recuperacin ante
una incidencia detectada.

cve: BOE-A-2011-10055

C1: Planificar e implantar los sistemas de deteccin de intrusos segn las normas de
seguridad.
CE1.1 Describir las tcnicas de deteccin y prevencin de intrusos, exponiendo
los principales parmetros que pueden emplearse como criterios de deteccin.
CE1.2 Determinar el nmero, tipo y ubicacin de los sistemas de deteccin
de intrusos, garantizando la monitorizacin del trfico indicado en el plan de
implantacin.
CE1.3 Seleccionar las reglas del sistema de deteccin de intrusos, en funcin del
sistema informtico a monitorizar.
CE1.4 Determinar los umbrales de alarma del sistema, teniendo en cuenta los
parmetros de uso del sistema.
CE1.5 Elaborar reglas de deteccin, partiendo de la caracterizacin de las
tcnicas de intrusin.
CE1.6 A partir de un supuesto prctico convenientemente caracterizado en el
que se ubican servidores con posibilidad de accesos locales y remotos:
- Instalar y configurar software de recoleccin de alarmas.
- Configurar diferentes niveles de recoleccin de alarmas.
CE1.7 En una coleccin de supuestos prcticos en un entorno controlado de
servidores en varias zonas de una red departamental con conexin a Internet:
- Decidir reas a proteger.
- Instalar un sistema de deteccin de intrusos.
- Definir y aplicar normas de deteccin.
- Verificar funcionamiento del sistema atacando reas protegidas.
- Elaborar un informe detallando conclusiones.

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59215

CE3.1 Describir las fases del plan de actuacin frente a incidentes de seguridad,
describiendo los objetivos de cada fase.
CE3.2 Indicar las fases del anlisis forense de equipos informticos, describiendo
los objetivos de cada fase.
CE3.3 Clasificar los tipos de evidencias del anlisis forense de sistemas,
indicando sus caractersticas, mtodos de recoleccin y anlisis.
CE3.4 Describir las distintas tcnicas para anlisis de programas maliciosos,
indicando casos de uso.
CE3.5 En un supuesto prctico, en el que se ha producido una intrusin en un
sistema informtico:
- Realizar la recogida de evidencias voltiles.
- Realizar la recogida de evidencias no voltiles.
- Anlisis preliminar de las evidencias.
- Anlisis temporal de actividad del sistema de ficheros.
- Elaborar el informe final, recogiendo las evidencias encontradas, las posibles
vulnerabilidades utilizadas para la intrusin y la actividad realizada por el
intruso que ha sido detectada en el sistema.
CE3.6 Estandarizar mtodos de recuperacin de desastres de equipos
informticos ante la deteccin de intrusiones.
Contenidos
1. Sistemas de deteccin y prevencin de intrusiones (IDS/IPS)
- Conceptos generales de gestin de incidentes, deteccin de intrusiones y su
prevencin
- Identificacin y caracterizacin de los datos de funcionamiento del sistema
- Arquitecturas ms frecuentes de los sistemas de deteccin de intrusos
- Relacin de los distintos tipos de IDS/IPS por ubicacin y funcionalidad
- Criterios de seguridad para el establecimiento de la ubicacin de los IDS/IPS

3. Control de cdigo malicioso


- Sistemas de deteccin y contencin de cdigo malicioso
- Relacin de los distintos tipos de herramientas de control de cdigo malicioso
en funcin de la topologa de la instalacin y las vas de infeccin a controlar
- Criterios de seguridad para la configuracin de las herramientas de proteccin
frente a cdigo malicioso
- Determinacin de los requerimientos y tcnicas de actualizacin de las
herramientas de proteccin frente a cdigo malicioso
- Relacin de los registros de auditora de las herramientas de proteccin frente
a cdigo maliciosos necesarios para monitorizar y supervisar su correcto
funcionamiento y los eventos de seguridad
- Establecimiento de la monitorizacin y pruebas de las herramientas de
proteccin frente a cdigo malicioso

cve: BOE-A-2011-10055

2. Implantacin y puesta en produccin de sistemas IDS/IPS


- Anlisis previo de los servicios, protocolos, zonas y equipos que utiliza la
organizacin para sus procesos de negocio.
- Definicin de polticas de corte de intentos de intrusin en los IDS/IPS
- Anlisis de los eventos registrados por el IDS/IPS para determinar falsos
positivos y caracterizarlos en las polticas de corte del IDS/IPS
- Relacin de los registros de auditora del IDS/IPS necesarios para monitorizar y
supervisar su correcto funcionamiento y los eventos de intentos de intrusin
- Establecimiento de los niveles requeridos de actualizacin, monitorizacin y
pruebas del IDS/IPS

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011


-

Sec. I. Pg. 59216

Anlisis de los programas maliciosos mediante desensambladores y entornos


de ejecucin controlada

4. Respuesta ante incidentes de seguridad


- Procedimiento de recoleccin de informacin relacionada con incidentes de
seguridad
- Exposicin de las distintas tcnicas y herramientas utilizadas para el anlisis
y correlacin de informacin y eventos de seguridad
- Proceso de verificacin de la intrusin
- Naturaleza y funciones de los organismos de gestin de incidentes tipo CERT
nacionales e internacionales
5. Proceso de notificacin y gestin de intentos de intrusin
- Establecimiento de las responsabilidades en el proceso de notificacin y
gestin de intentos de intrusin o infecciones
- Categorizacin de los incidentes derivados de intentos de intrusin o
infecciones en funcin de su impacto potencial
- Criterios para la determinacin de las evidencias objetivas en las que se
soportara la gestin del incidente
- Establecimiento del proceso de deteccin y registro de incidentes derivados
de intentos de intrusin o infecciones
- Gua para la clasificacin y anlisis inicial del intento de intrusin o infeccin,
contemplando el impacto previsible del mismo
- Establecimiento del nivel de intervencin requerido en funcin del impacto previsible
- Gua para la investigacin y diagnostico del incidente de intento de intrusin o
infecciones
- Establecimiento del proceso de resolucin y recuperacin de los sistemas tras
un incidente derivado de un intento de intrusin o infeccin
- Proceso para la comunicacin del incidente a terceros, si procede
- Establecimiento del proceso de cierre del incidente y los registros necesarios
para documentar el histrico del incidente
6. Anlisis forense informtico
- Conceptos generales y objetivos del anlisis forense
- Exposicin del Principio de Lockard
- Gua para la recogida de evidencias electrnicas:
Evidencias voltiles y no voltiles
Etiquetado de evidencias
Cadena de custodia
Ficheros y directorios ocultos
Informacin oculta del sistema
Recuperacin de ficheros borrados
- Gua para el anlisis de las evidencias electrnicas recogidas, incluyendo el
estudio de ficheros y directorios ocultos, informacin oculta del sistema y la
recuperacin de ficheros borrados
- Gua para la seleccin de las herramientas de anlisis forense

Formacin a distancia:
Mdulo formativo

Mdulo formativo - MF0488_3

Nmero de horas
totales del mdulo

90

N. de horas mximas
susceptibles de formacin
a distancia

40

cve: BOE-A-2011-10055

Orientaciones metodolgicas

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59217

Criterios de acceso para los alumnos


Sern los establecidos en el artculo 4 del Real Decreto que regula el certificado de
profesionalidad de la familia profesional al que acompaa este anexo.
MDULO FORMATIVO 4
Denominacin: SISTEMAS SEGUROS DE ACCESO Y TRANSMISIN DE DATOS
Cdigo: MF0489_3
Nivel de cualificacin profesional: 3
Asociado a la Unidad de Competencia:
UC0489_3: Disear e implementar sistemas seguros de acceso y transmisin de
datos
Duracin: 60 horas
Capacidades y criterios de evaluacin

C2: Implantar servicios y tcnicas criptogrficas en aquellos servicios que lo requieran


segn especificaciones de seguridad informtica.
CE2.1 Justificar la necesidad de utilizar tcnicas criptogrficas en las
comunicaciones entre sistemas informticos en funcin de los canales
utilizados.
CE2.2 Definir las tcnicas de cifrado para conectar de forma segura dos redes
describiendo las funcionalidades y requisitos necesarios.
CE2.3 Definir las tcnicas empleadas para conectar de forma segura dos equipos
(tneles SSL y SSH), describiendo las funcionalidades y requisitos necesarios.
CE2.4 En un caso prctico, en el que se desea establecer una comunicacin
segura entre dos sistemas informticos:
- Analizar los requisitos de seguridad de la arquitectura de comunicaciones
propuesta.
- Indicar la solucin ms indicada, justificando la seleccin.
- Instalar los servicios de VPN e IPSec para conectar redes.
- Instalar los servicios de tneles SSL o SSH para conectar equipos
distantes.
C3: Utilizar sistemas de certificados digitales en aquellas comunicaciones que
requieran integridad y confidencialidad segn especificaciones de seguridad.

cve: BOE-A-2011-10055

C1: Evaluar las tcnicas de cifrado existentes para escoger la necesaria en funcin de
los requisitos de seguridad exigidos.
CE1.1 Describir las diferencias entre los algoritmos de cifrado de clave privada y
los de clave pblica, indicando sus diferentes usos.
CE1.2 Identificar los diferentes modos de cifrado, describiendo las caractersticas
principales.
CE1.3 Clasificar los diferentes algoritmos de clave privada, describiendo sus
fases de ejecucin.
CE1.4 Clasificar los diferentes algoritmos de clave pblica, describiendo sus
fases de ejecucin.
CE1.5 Identificar los diferentes protocolos de intercambio de claves, describiendo
su funcionamiento.

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59218

CE3.1 Identificar los atributos empleados en los certificados digitales para


servidor, describiendo sus valores y funcin.
CE3.2 Describir los modos de utilizacin de los certificados digitales,
asocindolos a las especificaciones de seguridad: confidencialidad, integridad
y accesibilidad.
CE3.3 Describir la estructura de un sistema de sellado digital, indicando las
funciones de los elementos que la integran.
C4: Disear e implantar servicios de certificacin digital segn necesidades de
explotacin y de seguridad informtica.
CE4.1 Describir la estructura de la infraestructura de clave pblica, indicando las
funciones de los elementos que la integran.
CE4.2 Describir los servicios y obligaciones de la autoridad de certificacin,
relacionndolos con la poltica de certificado y la declaracin de prcticas de
certificacin.
CE4.3 Identificar los atributos obligatorios y opcionales de un certificado digital,
describiendo el uso habitual de dichos atributos.
CE4.4 Describir la estructura de una infraestructura de gestin de privilegios,
indicando las funciones de los elementos que la integran.
CE4.5 Determinar los campos de los certificados de atributos, describiendo su
uso habitual y la relacin existente con los certificados digitales.
CE4.6 En un caso prctico, en el que se desea establecer un sistema de
certificacin para un sistema informtico:
- Disear una infraestructura de clave pblica, en funcin de las
especificaciones.
- Justificar la jerarqua de autoridades de certificacin diseada.
- Emitir los certificados siguiendo los procedimientos indicados en la
Declaracin de Prcticas de Certificacin.

1. Criptografa
- Perspectiva histrica y objetivos de la criptografa
- Teora de la informacin
- Propiedades de la seguridad que se pueden controlar mediante la aplicacin
de la criptografa: confidencialidad, integridad, autenticidad, no repudio,
imputabilidad y sellado de tiempos
- Elementos fundamentales de la criptografa de clave privada y de clave publica
- Caractersticas y atributos de los certificados digitales
- Identificacin y descripcin del funcionamiento de los protocolos de intercambio
de claves usados ms frecuentemente
- Algoritmos criptogrficos mas frecuentemente utilizados
- Elementos de los certificados digitales, los formatos comnmente aceptados
y su utilizacin
- Elementos fundamentales de las funciones resumen y los criterios para su
utilizacin
- Requerimientos legales incluidos en la ley 59/2003, de 19 de diciembre, de
firma electrnica
- Elementos fundamentales de la firma digital, los distintos tipos de firma y los
criterios para su utilizacin
- Criterios para la utilizacin de tcnicas de cifrado de flujo y de bloque
- Protocolos de intercambio de claves
- Uso de herramientas de cifrado tipo PGP, GPG o CryptoLoop

cve: BOE-A-2011-10055

Contenidos

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59219

2. Aplicacin de una infraestructura de clave pblica (PKI)


- Identificacin de los componentes de una PKI y su modelo de relaciones
- Autoridad de certificacin y sus elementos
- Poltica de certificado y declaracin de practicas de certificacin (CPS)
- Lista de certificados revocados (CRL)
- Funcionamiento de las solicitudes de firma de certificados (CSR)
- Infraestructura de gestin de privilegios (PMI)
- Campos de certificados de atributos, incluyen la descripcin de sus usos
habituales y la relacin con los certificados digitales
- Aplicaciones que se apoyan en la existencia de una PKI
3. Comunicaciones seguras
- Definicin, finalidad y funcionalidad de redes privadas virtuales
- Protocolo IPSec
- Protocolos SSL y SSH
- Sistemas SSL VPN
- Tneles cifrados
- Ventajas e inconvenientes de las distintas alternativas para la implantacin
de la tecnologa de VPN
Orientaciones metodolgicas
Formacin a distancia:

Mdulo formativo

Mdulo formativo - MF0489_3

Nmero de horas
totales del mdulo

N. de horas mximas
susceptibles de formacin
a distancia

60

40

Criterios de acceso para los alumnos


Sern los establecidos en el artculo 4 del Real Decreto que regula el certificado de
profesionalidad de la familia profesional al que acompaa este anexo.
MDULO FORMATIVO 5
Denominacin: GESTIN DE SERVICIOS EN EL SISTEMA INFORMTICO
Cdigo: MF0490_3
Nivel de cualificacin profesional: 3
Asociado a la Unidad de Competencia:
UC0490_3: Gestionar servicios en el sistema informtico

Capacidades y criterios de evaluacin


C1: Analizar los procesos del sistema con objeto de asegurar un rendimiento adecuado
a los parmetros especificados en el plan de explotacin.
CE1.1 Identificar los procesos del sistema y los parmetros que los caracterizan
(procesos padre, estado del proceso, consumo de recursos, prioridades y

cve: BOE-A-2011-10055

Duracin: 90 horas

BOLETN OFICIAL DEL ESTADO


Viernes 10 de junio de 2011

Sec. I. Pg. 59220

usuarios afectados entre otros) para determinar su influencia en el rendimiento


del sistema.
CE1.2 Describir cada una de las herramientas provistas por el sistema para la
gestin de procesos con objeto de permitir la intervencin en el rendimiento
general del sistema.
CE1.3 Explicar tcnicas de monitorizacin y herramientas destinadas a evaluar
el rendimiento del sistema.
CE1.4 En un supuesto prctico en el que se cuenta con un sistema informtico
con una carga de procesos debidamente caracterizada:
- Utilizar las herramientas del sistema para identificar cuantos procesos activos
existen y las caractersticas particulares de alguno de ellos.
- Realizar las operaciones de activacin, desactivacin y modificacin
de prioridad entre otras con un proceso utilizando las herramientas del
sistema.
- Monitorizar el rendimiento del sistema mediante herramientas especficas y
definir alarmas, que indiquen situaciones de riesgo.
C2: Aplicar procedimientos de administracin a dispositivos de almacenamiento
para ofrecer al usuario un sistema de registro de la informacin ntegro, seguro y
disponible.
CE2.1 Identificar los distintos sistemas de archivo utilizables en un dispositivo
de almacenamiento dado para optimizar los procesos de registro y acceso a los
mismos.
CE2.2 Explicar las caractersticas de los sistemas de archivo en funcin de los
dispositivos de almacenamiento y sistemas operativos empleados.
CE2.3 Describir la estructura general de almacenamiento en el sistema informtico
asociando los dispositivos con los distintos sistemas de archivos existentes.
CE2.4 En un supuesto prctico en el que se dispone de un sistema de
almacenamiento de la informacin con varios dispositivos:
- Realizar el particionamiento, en los casos que sea necesario, y la generacin
de la infraestructura de los sistemas de archivo a instalar en cada dispositivo.
- Implementar la estructura general de almacenamiento integrando todos los
dispositivos y sus correspondientes sistemas de archivos.
- Documentar los requerimientos y restricciones de cada sistema de archivos
implantado.
C3: Administrar el acceso al sistema y a los recursos para verificar el uso adecuado y
seguro de los mismos.
CE3.1 Identificar las posibilidades de acceso al sistema distinguiendo los accesos
remotos de los accesos locales.
CE3.2 Describir las herramientas que se utilizan en la gestin de permisos a
usuarios para el uso de los recursos del sistema.
CE3.3 En un supuesto prctico en el que se cuenta con derecho de administracin
de usuarios:
- Identificar los posibles accesos de un usuario al sistema.
- Modificar los permisos de utilizacin de un recurso del sistema a un
usuario.
- Definir limitaciones de uso de un recurso del sistema a los usuarios.
C4: Evaluar el uso y rendimiento de los servicios de comunicaciones para mantenerlos
dentro de los parmetros especificados.
CE4.1 Explicar los parmetros de configuracin y funcionamiento de los
dispositivos de comunicaciones para asegurar su funcionalidad dentro del
sistema.

cve: BOE-A-2011-10055

Nm. 138

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59221

CE4.2 Relacionar los servicios de comunicaciones activos en el sistema con los


dispositivos utilizados por ellos con objeto de analizar y evaluar el rendimiento.
CE4.3 En un supuesto prctico en el que tomamos un sistema informtico
conectado con el exterior por medio de varias lneas de comunicaciones:
- Identificar los dispositivos de comunicaciones y describir sus
caractersticas.
- Verificar el estado de los servicios de comunicaciones.
- Evaluar el rendimiento de los servicios de comunicaciones.
- Detectar y documentar las incidencias producidas en el sistema.
Contenidos
1. Gestin de la seguridad y normativas
- Norma ISO 27002 Cdigo de buenas practicas para la gestin de la seguridad
de la informacin
- Metodologa ITIL Librera de infraestructuras de las tecnologas de la
informacin
- Ley orgnica de proteccin de datos de carcter personal.
- Normativas mas frecuentemente utilizadas para la gestin de la seguridad
fsica
2. Anlisis de los procesos de sistemas
- Identificacin de procesos de negocio soportados por sistemas de
informacin
- Caractersticas fundamentales de los procesos electrnicos
Estados de un proceso,
Manejo de seales, su administracin y los cambios en las prioridades
- Determinacin de los sistemas de informacin que soportan los procesos de
negocio y los activos y servicios utilizados por los mismos
- Anlisis de las funcionalidades de sistema operativo para la monitorizacin
de los procesos y servicios
- Tcnicas utilizadas para la gestin del consumo de recursos

4. Utilizacin de mtricas e indicadores de monitorizacin de rendimiento de


sistemas
- Criterios para establecer el marco general de uso de mtricas e indicadores
para la monitorizacin de los sistemas de informacin
- Identificacin de los objetos para los cuales es necesario obtener
indicadores
- Aspectos a definir para la seleccin y definicin de indicadores
- Establecimiento de los umbrales de rendimiento de los sistemas de
informacin
- Recoleccin y anlisis de los datos aportados por los indicadores
- Consolidacin de indicadores bajo un cuadro de mandos de rendimiento de
sistemas de informacin unificado
5. Confeccin del proceso de monitorizacin de sistemas y comunicaciones
- Identificacin de los dispositivos de comunicaciones
- Anlisis de los protocolos y servicios de comunicaciones

cve: BOE-A-2011-10055

3. Demostracin de sistemas de almacenamiento


- Tipos de dispositivos de almacenamiento ms frecuentes
- Caractersticas de los sistemas de archivo disponibles
- Organizacin y estructura general de almacenamiento
- Herramientas del sistema para gestin de dispositivos de almacenamiento

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011


-
-
-
-
-
-

Sec. I. Pg. 59222

Principales parmetros de configuracin y funcionamiento de los equipos de


comunicaciones
Procesos de monitorizacin y respuesta
Herramientas de monitorizacin de uso de puertos y servicios tipo Sniffer
Herramientas de monitorizacin de sistemas y servicios tipo Hobbit, Nagios o
Cacti
Sistemas de gestin de informacin y eventos de seguridad (SIM/SEM)
Gestin de registros de elementos de red y filtrado (router, switch, firewall,
IDS/IPS, etc.)

6. Seleccin del sistema de registro de en funcin de los requerimientos de la


organizacin
- Determinacin del nivel de registros necesarios, los periodos de retencin y
las necesidades de almacenamiento
- Anlisis de los requerimientos legales en referencia al registro
- Seleccin de medidas de salvaguarda para cubrir los requerimientos de
seguridad del sistema de registros
- Asignacin de responsabilidades para la gestin del registro
- Alternativas de almacenamiento para los registros del sistemas y sus caractersticas
de rendimiento, escalabilidad, confidencialidad, integridad y disponibilidad
- Gua para la seleccin del sistema de almacenamiento y custodia de
registros
7. Administracin del control de accesos adecuados de los sistemas de
informacin
- Anlisis de los requerimientos de acceso de los distintos sistemas de
informacin y recursos compartidos
- Principios comnmente aceptados para el control de accesos y de los distintos
tipos de acceso locales y remotos
- Requerimientos legales en referencia al control de accesos y asignacin de
privilegios
- Perfiles de de acceso en relacin con los roles funcionales del personal de la
organizacin
- Herramientas de directorio activo y servidores LDAP en general
- Herramientas de sistemas de gestin de identidades y autorizaciones (IAM)
- Herramientas de Sistemas de punto nico de autenticacin Single Sign On
(SSO)
Orientaciones metodolgicas
Formacin a distancia:

Mdulo formativo

Mdulo formativo - MF0490_3

Nmero de horas
totales del mdulo

N. de horas mximas
susceptibles de
formacin a distancia

90

40

Sern los establecidos en el artculo 4 del Real Decreto que regula el certificado de
profesionalidad de la familia profesional al que acompaa este anexo.

cve: BOE-A-2011-10055

Criterios de acceso para los alumnos

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59223

MDULO DE PRCTICAS PROFESIONALES NO LABORALES DE SEGURIDAD


INFORMTICA
Cdigo: MP0175
Duracin: 80 horas
Capacidades y criterios de evaluacin
C1: Proporcionar soporte tcnico en materia de seguridad.
CE1.1. Proporcionar asistencia tcnica en el diseo y configuracin de soluciones
de seguridad.
CE1.2. Dar soporte a otras reas en las tareas de diseo y reingeniera de
procesos para aportar la visin de seguridad.
CE1.3. Actuar como enlace entre las distintas reas de la compaa para
coordinar medidas de seguridad multidepartamentales.
CE1.4. Analizar las reglas especficas desarrolladas por las reas tcnicas
especficas para las herramientas de seguridad corporativas.
CE1.5. Coordinar el uso de las herramientas de cifrado y la gestin de las
claves
CE1.6. Dar soporte tcnico a los comits de direccin que proceda.
CE1.7. Evaluar y mantenerse permanentemente informado de los errores,
informes, noticias, boletines, etc. de seguridad recibidos y dar el primer nivel de
soporte y distribucin.
CE1.8. Desarrollar las polticas y procedimientos operativos en materia de
seguridad de la informacin y dar soporte a las distintas reas de la organizacin
para su puesta en produccin.
C2: Verificar la correcta aplicacin de las medidas de seguridad.
CE2.1. Realizar las verificaciones necesarias para determinar el grado de
vulnerabilidad de las distintas plataformas tecnolgicas, as como el resto de
revisiones peridicas de seguridad de los sistemas de informacin.
CE2.2. Mantener actualizado el anlisis de riesgos de la organizacin
CE2.3. Coordinar las auditoras tcnicas de seguridad.
C3: Participar en los procesos de trabajo de la empresa, siguiendo las normas e
instrucciones establecidas en el centro de trabajo.
CE3.1 Comportarse responsablemente tanto en las relaciones humanas como
en los trabajos a realizar.
CE3.2 Respetar los procedimientos y normas del centro de trabajo.
CE3.3 Emprender con diligencia las tareas segn las instrucciones recibidas,
tratando de que se adecuen al ritmo de trabajo de la empresa.
CE3.4 Integrarse en los procesos de produccin del centro de trabajo.
CE3.5 Utilizar los canales de comunicacin establecidos.
CE3.6 Respetar en todo momento las medidas de prevencin de riesgos, salud
laboral y proteccin del medio ambiente.

1. Revisin de la situacin de la seguridad de la informacin


- Revisin de las normas internas de seguridad
- Revisin de la gestin de usuarios, privilegios y poltica de contraseas
- Revisin de las copias de seguridad
- Revisin de las incidencias que se han producido

cve: BOE-A-2011-10055

Contenidos

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011


-
-
-
-

Sec. I. Pg. 59224

Revisin de la situacin con respecto a la proteccin frente a cdigo


malicioso
Revisin de la seguridad de las redes de datos
Revisin de la seguridad de servidores y puestos de trabajo
Revisin de la seguridad fsica, suministro elctrico, climatizacin y proteccin
de incendios segn proceda

2. Configuracin de reglas de relacionadas con la seguridad


- Configuracin de la seguridad de el/los router
- Configuracin de la seguridad de el/los switch
- Configuracin de la seguridad de el/los cortafuegos
- Configuracin de la seguridad de el/los sistema de deteccin de intrusos
- Configuracin de la seguridad de el/los antivirus
3. Comunicacin de los aspectos relacionados con la seguridad
- Establecimiento de canales para mantener a la organizacin actualizada en
materia de seguridad
- Establecimiento de los canales internos para coordinar la seguridad entre los
departamentos de la organizacin
4. Monitorizacin de la seguridad
- Monitorizacin de las comunicaciones
- Monitorizacin del rendimiento de sistemas
5. Aplicacin de la normativa y metodologa de seguridad
- Aplicacin de cdigos de buenas practicas de seguridad a la gestin diaria de
los sistemas de informacin
- Integracin de los requerimientos de seguridad en los procesos de negocio
de la organizacin
6. Integracin y comunicacin en el centro de trabajo
- Comportamiento responsable en el centro de trabajo.
- Respeto a los procedimientos y normas del centro de trabajo.
- Interpretacin y ejecucin con diligencia las instrucciones recibidas.
- Reconocimiento del proceso productivo de la organizacin.
- Utilizacin de los canales de comunicacin establecidos en el centro de
trabajo.
- Adecuacin al ritmo de trabajo de la empresa.
- Seguimiento de las normativas de prevencin de riesgos, salud laboral y
proteccin del medio ambiente.
IV. PRESCRIPCIONES DE LOS FORMADORES

Acreditacin requerida

Licenciado, Ingeniero, Arquitecto o el ttulo


de grado correspondiente u otros ttulos
MF0486_3:
equivalentes.
Asegurar equipos
Diplomado, Ingeniero Tcnico, Arquitecto
informticos
Tcnico o el ttulo de grado correspondiente
u otros ttulos equivalentes.

Si se cuenta con Si no se cuenta con


acreditacin
acreditacin

1 ao

3 aos

cve: BOE-A-2011-10055

Mdulos
Formativos

*Experiencia profesional en el mbito


de la unidad de competencia

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Mdulos
Formativos

Sec. I. Pg. 59225

*Experiencia profesional en el mbito


de la unidad de competencia

Acreditacin requerida

Si se cuenta con Si no se cuenta con


acreditacin
acreditacin

Licenciado, Ingeniero, Arquitecto o el ttulo


MF0487_3:
de grado correspondiente u otros ttulos
Auditora
de
equivalentes.
s e g u r i d a d Diplomado, Ingeniero Tcnico, Arquitecto
informtica
Tcnico o el ttulo de grado correspondiente
u otros ttulos equivalentes.
Licenciado, Ingeniero, Arquitecto o el ttulo
MF0488_3:
de grado correspondiente u otros ttulos
Gestin
de
equivalentes.
incidentes de
Diplomado, Ingeniero Tcnico, Arquitecto
seguridad
Tcnico o el ttulo de grado correspondiente
informtica
u otros ttulos equivalentes.
Licenciado, Ingeniero, Arquitecto o el ttulo
MF0489_3:
de grado correspondiente u otros ttulos
Sistemas seguros
equivalentes.
de acceso y
Diplomado, Ingeniero Tcnico, Arquitecto
transmisin de
Tcnico o el ttulo de grado correspondiente
datos
u otros ttulos equivalentes.
Licenciado, Ingeniero, Arquitecto o el ttulo
MF0490_3:
de grado correspondiente u otros ttulos
Gestin
de
equivalentes.
servicios en el
Diplomado, Ingeniero Tcnico, Arquitecto
s i s t e m a
Tcnico o el ttulo de grado correspondiente
informtico
u otros ttulos equivalentes.

2 aos

4 aos

1 ao

3 aos

1 ao

3 aos

2 aos

4 aos

* En los ltimos tres aos.

V. REQUISITOS MNIMOS DE ESPACIOS, INSTALACIONES Y EQUIPAMIENTOS

Espacio Formativo

Superficie m2
15 alumnos

Superficie m2
25 alumnos

45

60

Aula de gestin

Espacio Formativo

Aula de gestin

Aula de gestin

M2

M3

M4

M5

Equipamiento

-
-
-
-
-
-
-
-

Equipos audiovisuales
PCs instalados en red, can de proyeccin e internet
Software especifico de la especialidad
Pizarras para escribir con rotulador
Rotafolios
Material de aula
Mesa y sillas para formador
Mesas y sillas para alumnos

No debe interpretarse que los diversos espacios formativos identificados deban


diferenciarse necesariamente mediante cerramientos.

cve: BOE-A-2011-10055

Espacio Formativo

M1

BOLETN OFICIAL DEL ESTADO


Nm. 138

Viernes 10 de junio de 2011

Sec. I. Pg. 59226

Las instalaciones y equipamientos debern cumplir con la normativa industrial e


higinico-sanitaria correspondiente y respondern a medidas de accesibilidad universal
y seguridad de los participantes.
El nmero de unidades que se deben disponer de los utensilios, mquinas y
herramientas que se especifican en el equipamiento de los espacios formativos, ser
el suficiente para un mnimo de 15 alumnos y deber incrementarse, en su caso, para
atender a nmero superior.
En el caso de que la formacin se dirija a personas con discapacidad se realizarn las
adaptaciones y los ajustes razonables para asegurar su participacin en condiciones
de igualdad.
ANEXO IV
I. IDENTIFICACIN DEL CERTIFICADO DE PROFESIONALIDAD
Denominacin: IMPLANTACIN Y GESTIN DE ELEMENTOS INFORMTICOS EN
SISTEMAS DOMTICOS/INMTICOS, DE CONTROL DE ACCESOS Y PRESENCIA,
Y DE VIDEOVIGILANCIA
Cdigo: IFCT0409
Familia profesional: Informtica y Comunicaciones
rea profesional: Sistemas y Telemtica
Nivel de cualificacin profesional: 3
Cualificacin profesional de referencia:
IFC365_3 Implantacin y gestin de elementos informticos en sistemas domticos/
inmticos, de control de accesos y presencia, y de videovigilancia (RD 1701/2007, de
14 diciembre)
Relacin de unidades de competencia que configuran el certificado de
profesionalidad:
UC0490_3: Gestionar servicios en el sistema informtico
UC1219_3: Implantar y mantener sistemas domticos-inmticos
UC1220_3: Implantar y mantener sistemas de control de accesos y presencia, y de
videovigilancia

Integrar y mantener elementos informticos y de comunicaciones en sistemas de


automatizacin de edificios domticos e inmticos, de control de accesos y presencia
y de videovigilancia a nivel de hardware y software, asegurando el funcionamiento
de los distintos mdulos que los componen, en condiciones de calidad y seguridad,
cumpliendo la normativa y reglamentacin vigentes.

cve: BOE-A-2011-10055

Competencia general: