Curso semipresencial de auditoría informática 2017

Después de varios años impartiendo el curso de informática forense y peritajes informáticos, y ya haber impartido varios cursos de tests de penetración -es decir, de la parte de herramientas de auditoría de seguridad activa-, vamos a impartir un curso sobre otras de las «patas» de la ingeniería informática que ahora se están monetarizando bien: la auditoría informática.

El objetivo de este curso es formar al estudiante en los procedimientos y mecánicas propios de la auditoría informática. Esto incluye qué es auditar sistemas de información, y cómo se auditan. Nos vamos a centrar en la norma de seguridad de sistemas de información -realmente la familia de normas UNE-ISO/IEC 27000:2012-, y la LOPD; especialmente la mecánica de altas de ficheros de datos y la auditoría obligatoria bianual.

Actualmente las altas de ficheros de datos y las auditorías bianuales están generando mucho negocio. Vamos a ver de forma práctica cómo hacer estas dos operaciones. También se está despertando un interés importante en comenzar a dictar políticas de seguridad, y la 27000 da un marco ideal para el desarrollo de documentos de política de seguridad de la información. Veremos cómo hacer los distintos niveles de documentación: manual de seguridad, procedimientos, instrucciones, checklists, formularios y registros.

El porqué los nuevos grados en informática y los nuevos másters en informática por regla general no estudian auditoría es para mí un misterio. En cualquier caso, vamos a cubrir en este curso este déficit, explicando cómo se hace realmente una auditoría. Veremos las checklists, las listas de no conformidades; veremos la mecánica de trabajo, y cuales son los entregables que espera el cliente.

Programa:

  • La auditoría. Principios. Normas, leyes y reglamentos.
  • Tipos de auditorías. Internas y externas. De sistemas y de procesos.
  • Metodología de la auditoría.
  • Proceso de auditoría, preparación y ejecución de la auditoría.
  • Documentación de una auditoría.
  • Checklists, formularios, pautas, e informes de auditoría.
  • No conformidades, desviaciones, solicitud de acciones correctivas, observaciones, sugerencias, incidencias.
  • El sistema de Información.
  • El sistema de gestión de seguridad de la información.
  • Auditando una norma: la ISO 27000.
  • Auditando una ley y un reglamento: la LOPD y su reglamento.

Este curso vamos a aprovechar todo lo aprendido de las mecánicas semipresenciales. El viernes 21 de abril por la tarde (de 17:30 a 21:30) y el sábado 22 de abril por la mañana (de 10:00 a 13:00) os explicaré cómo se hace una auditoría, la ISO 27000 y la LOPD. Dejamos un par de semanas para que trabajéis los ejercicios, y el sábado 29 de Abril de 10:00 a 13:00 corregimos los ejercicios, analizamos las diferentes soluciones, y si sobra tiempo hablamos de cómo facturarlas y cobrarlas.

El curso, en principio, es semipresencial, de 25 horas. Serán 10 horas presenciales y 15 online. Sin embargo, pensando en aquellos que tengan problemas en acudir, se pueden sustituir jornadas presenciales del curso por actividades sustitutivas, de forma que es posible hacerlo de forma completamente no presencial desde el campus virtual (aunque recomiendo asistir al menos el primer día, para «coger» la filosofía de la auditoría informática)

Este curso está relacionado con los cursos que imparto de peritajes informáticos -que corresponde con la forma de presentar ante un tribunal los resultados-, y con el de pentesting -que nos centramos en las herramientas tecnológicas-. Es, pues, sinérgico con ambos, pero no se requiere haber estudiado ninguno de esos cursos para cursar el de auditoría.

Cuesta 50 euros a la comunidad UMA y a los colegiados en el Colegio Oficial de Ingenieros en Informática de Andalucía (lo siento, no hay convenio con el CPITIA). Para el resto de las personas, costará 70 euros. Un enlace para matriculación lo tienes aquí.

Si eres de la Universidad de Málaga, puedes solicitar un crédito ECTS por el curso.

Curso de informática forense y tests de penetración 2017

El año pasado impartí por primera vez un curso que me habían estado solicitando desde hace años: un curso más técnico, de herramientas de informática forense y tests de penetración. El curso fue un éxito, se llenó enseguida y muchas personas se quedaron fuera aunque manifestaron su interés en matricularse. Dada su naturaleza de semipresencial, sin embargo, la capacidad de impartirlo a más de 40 personas por año era limitada; por lo que lo replanteé como un curso de teleformación pura.

La idea detrás de este curso es continuar dónde me quedo en el curso de informática forense y peritajes informáticos; y centrarnos de entrada en las herramientas en sí. Es, por lo tanto, un curso completamente práctico dónde aprenderemos el uso de las herramientas más comunes para realizar análisis forense de equipos informáticos y tests de penetración.

Los tests de penetración corresponden con auditorías de seguridad proactivas, en las que el auditor analiza la seguridad de un sistema verificando in situ si el sistema es vulnerable. Para ello, después de la firma de los respectivos contratos y autorizaciones, el auditor ataca la infraestructura de red y los servidores con objeto de validar si son vulnerables a ataques concretos conocidos por la comunidad de seguridad.

Este curso, por lo tanto, es sinérgico tanto con el curso de informática forense y peritajes informáticos -en el que nos centramos en cómo obtener, escribir y presentar la evidencia digital ante un tribunal- y el curso de auditoría informática -dónde nos centramos en validar la conformidad de un sistema informático respecto a una norma-. Aunque estará planteado para que se pueda cursar por separado respecto a los otros cursos que imparto, es el complemento ideal para los que ya han estudiado alguno de los otros cursos que imparto.

A diferencia de los otros cursos que imparto, que pueden ser seguidos por personas que no son necesariamente de la informática, este va a ser un curso técnico, que tiene requisitos básicos de conocimientos. Para poder seguir este curso es fundamental tener conocimientos instrumentales de Linux. Con conocimientos básicos de cualquier otro sabor de Unix y ganas de aprender también es posible aprovechar el curso.

El temario completo del curso será:

Fases de una instrusión.
La distribución de Linux Kali.
Recogida de información inicial con Kali.
Análisis básico de vulnerabilidades.
Ataques a contraseñas.
Auditorías a redes Wifi, ataques a redes Wifi.
Auditorías a aplicaciones web, ataques a aplicaciones web.
Exploits.
Metasploit: conceptos y comandos.
Análisis forense con Kali.

La Universidad de Málaga convalida dos créditos de libre configuración por curso para los alumnos de titulaciones de plan antiguo, y un crédito ETCS para los de plan nuevo (grados) . El curso costará 50€ a alumnos de la Universidad de Málaga, y 70€ a alumnos del curso que no pertenezcan a la UMA. La matriculación, por lo tanto, está abierta a gente de todo el mundo, y quizás os interese el curso.

Con el curso te llevas su documentación: un manual propio, en formato PDF, práctico, con más de doscientas páginas en A4 de documentación original sobre Kali y sus herramientas.

Si tienes interés en saber como es el material, mándame tu nombre, tus apellidos, y tu correo electrónico, y te mandaré un par de capítulos y unas hojas del curso de ejemplo, para que veas la calidad del material y decidas si te interesa o no el curso. El correo es irbis arroba orcero.org, cambia el «arroba» por el signo @ para obtener el correo.

La matriculación puedes hacerla aquí: Curso de informática forense y tests de penetración. Si estás con dudas, te recomiendo que preguntes a otros alumnos sobre los otros cursos que han realizado conmigo (este mismo en formato semipresencial, el de LaTeX, el de C, el de informática forense, o el de Perl) y que te cuenten cómo les ha ido.

Además de este curso, también oferto otro curso de teleformación sobre LaTeX: curso de LaTeX.

Curso de teleformación de LaTeX 2017

Después del éxito del curso de LaTeX los últimos años, con más de dos centenares de matriculados, y realimentaciones muy positivas, este año voy a repetir el curso. El curso está teniendo especial éxito entre alumnos que quieren hacer su proyecto fin de carrera, su trabajo fin de grado o su tesis doctoral usando LaTeX; y hay alumnos matriculados de biología, matemáticas, de ingeniería ambiental, ingeniería industrial, informática y telecomunicaciones.

El curso está siendo por teleformación. Se compone de diez prácticas; de las cuales hay que realizar las seis primeras para obtener el certificado. Es una práctica por bloque temático; la primera es instalar LaTeX, la segunda convertir un documento sencillito de word a LaTeX, y luego aprendemos a estructurarlo como artículo, o como libro… aprendemos en este curso también a hacer ecuaciones, cartas y presentaciones en LaTeX, así como a incorporar fuentes, colores, y gráficos.

El curso está preparado para que te aporte mucho valor. Por un lado, tienes la parte para asegurar el certificado de aprovechamiento, El tiempo estimado para leer la parte obligatoria del material, hacer los ejemplos y realizar las prácticas obligatorias es de 25 horas de trabajo personal de promedio. Durante las prácticas tú tomarás el documento word que elijas (una práctica de alguna asignatura, un proyecto fin de carrera, o una tesis doctoral), la pasarás a LaTeX, e irás «enriqueciéndola», y mejorando su formato, hasta cubrir los seis primeros objetivos. Pero el curso no termina ahí si no quieres, y tienes muchísimo más material, para poder profundizar y dedicar todo el tiempo adicional que quieras para aprender mucho más LaTeX. Hasta llegar a definir la presentación de tu proyecto fin de carrera o tu tesis doctoral, y darle un formato fino, de gran calidad, y que se ajuste a lo que quieres.

El material que te envío está maquetado en formato de libro, de forma que cuentes con un «libro» en formato pdf con más de cuatrocientas páginas de documentación de LaTeX.

La Universidad de Málaga convalida dos créditos de libre configuración por curso para los alumnos de titulaciones de plan antiguo, y un crédito ETCS para los de plan nuevo (grados) . El curso costará 50€ a alumnos de la Universidad de Málaga, y 70€ a alumnos del curso que no pertenezcan a la UMA. La matriculación, por lo tanto, está abierta a gente de todo el mundo, y quizás os interese el curso.

Si tienes interés en saber como es el material, mándame tu nombre, tus apellidos, y tu correo electrónico, y te mandaré un par de capítulos y unas hojas del curso de ejemplo, para que veas la calidad del material y decidas si te interesa o no el curso. El correo es irbis arroba orcero.org, cambia el «arroba» por el signo @ para obtener el correo.

Pero… ¿No sabes qué es LaTeX?

LaTeX es un es un sistema de autoedición completo, que es muy conocido por matemáticos y físicos -ya que se utiliza de forma intensiva para la redacción de artículos científicos-. También es muy popular para la redacción de proyectos fin de carrera, disertaciones de maestría y tesis doctorales.

Es filosóficamente muy diferente al word: LaTeX en principio es compilado (aunque existen editories tipo Word para LaTeX). Utiliza etiquetas, como hace HTML. Esto permite que nosotros indiquemos en el cuerpo de texto solo qué se destaca, qué es nombre de capítulo, qué es pié de página… LaTeX usará la información de la cabecera para maquetar automáticamente el texto, generando un pdf ya con calidad profesional. Podemos confiar en los estilos de LaTeX, por lo que el trabajo será mínimo; o montárnoslo por nuestra cuenta, y mejorar el estilo para que LaTeX genere exactamente lo que queremos. Esto permite, por ejemplo, centrarnos en el contenido al principio, y solo cuando hemos terminado decir qué queremos que nos genere y con qué formato, y LaTeX hará el trabajo pesado de maquetación.

LaTeX ha sido muy popular en física y matemáticas por la sencillez para editar ecuaciones matemáticas extremadamente complejas. También tiene un tratamiento automatizado de bibliografía muy potente, y permite hacer cosas como transcripciones fonéticas en IPA con facilidad, y sin problemas de fuentes. Además, los que hacéis el proyecto fin de carrera conmigo sabéis que todos lo tenéis que hacer en LaTeX; principalmente porque soy muy vago, y no me gusta trabajar inútilmente contra el word para conseguir el formato deseado.

Vamos a ver en el curso tanto lo que en principio se suele dar -artículos, libros, proyectos fin de carrera y tesis en LaTeX- como otras cosas que no por menos conocidas son menos útiles: estudiaremos como hacer presentaciones, cartas, mailing masivos, generación automática de documentos con calidad profesional y todos los parámetros de formato de página.

La matriculación puedes hacerla aquí: curso de LaTeX. Si estás con dudas, te recomiendo que preguntes a otros alumnos que han hecho este curso el año pasado, y que te cuenten lo que aprendieron, el nivel de dificultad, la calidad del material, y si merece la pena.

Además de este curso, también oferto otro curso de teleformación sobre informática forense y tests de penetración: Curso de informática forense y tests de penetración.

Espero verte en el curso.

Curso de Informática Forense y Peritajes Informáticos 2016

Por sexto año consecutivo vamos a impartir otra vez el Curso de Informática Forense y Peritajes Informáticos.

Como en las últimas convocatorias, el curso seguirá una mecánica semipresencial. Utilizaremos una mecánica tarde viernes/mañana sábado dos veces. Así, además de compatible con la actividad profesional, es más razonable para la gente que viene de fuera de Málaga. También es posible sustituir los días de presencialidad por actividades sustitutivas, realizándolo así en teleformación.

Las clases serán el viernes 18 de Noviembre de 17:00 a 21:30, Sábado 19 de Noviembre 10:00 a 13:30, Viernes 25 de Noviembre de 17:00 a 21:30 y Sábado 26 de Noviembre 10:00 a 13:30. El resto del tiempo, hasta completar las 25 horas, será no presencial. Eso no quita que si alguien no puede acudir algún día, es posible sustituir la presencialidad de ese día por una tarea sustitutiva para obtener el certificado de aprovechamiento. (Aunque es importante recordar que el curso es semipresencial, y que personalmente creo que aprenderás más yendo todos los días al curso)

En el curso también se hablará de la norma UNE de peritajes informáticos, publicada el 9 de septiembre del año pasado; por lo que es de los primeros cursos que imparte la norma UNE 197010:2015 «Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)» como parte de temario. No repartiré la norma -es ilegal-, pero sí la explicaré hasta el grado de detalle suficiente como para poder realizar solo con lo aprendido en el curso una pericia según norma.

Esto es interesante para los colegiados en el Colegio Profesional de Ingeniería en Informática de Andalucía: en las pericias que visemos en el colegio y que cumplan la norma lo especificaremos en el visado -las que no cumplan norma, no pondrá nada al respecto-; y puede ser útil por lo tanto conocer la norma.

Descripción

El objetivo de este curso es formar a una persona con conocimientos suficientes de informática en la mecánica propia de la informática forense; cómo poner mecanismos de detección temprana en intrusos de sistemas informáticos, cómo poner señuelos para distraerles y que ataquen a falsas vulnerabilidades mientras se recoge información, cómo manipular un sistema informático comprometido para no destruir las evidencias, y en cómo redactar un informe pericial. Nos centraremos en un enfoque de realización de las pericias según la norma UNE 197010:2015.

Programa:

  • La pericia informática.
  • El marco legal de la informática.
  • El perito informático. Deberes y responsabilidades.
  • El reglamento de listas de peritos del Colegio Profesional de Ingenieros en Informática de Andalucía.
  • Redacción de informes periciales informáticos según norma UNE 197010:2015.
  • La informática forense.
  • Detección temprana de intrusiones; históricos y herramientas.
  • Señuelos: honeypots y honeynets.
  • Cómo actuar ante intrusiones y conservar las evidencias.
  • Herramientas de informática forense.

Las clases presenciales irán sobre temas concretos, que serán:

Viernes 18 de Noviembre: El perito informático.

Este día hablaré de la figura del perito informático. También de cómo funcionan los procesos penales, de los órdenes del derecho, y del perito de parte y perito de tribunal. Comentaré el reglamento de peritajes del CPIIA. Este es el día más importante de todos; por lo que recomiendo encarecidamente la asistencia este día.

La asistencia a este día la veo tan importante, que si planeas no asistir, te ruego contactes conmigo antes de matricularte en el curso, ya que la actividad que reemplaza la asistencia a este día será específica, y dependerá de tu perfil formativo y experiencia profesional: no es lo mismo un abogado en ejercicio, que un estudiante de primer año de grado, de cara a enfocar con la seriedad y la formalidad mínima defender una pericia en un juicio. Hacer el tonto en un tribunal te puede llevar a la cárcel varios años, y este es el día que te diré qué es «hacer el tonto en un tribunal», y cómo no hacerlo.

Sábado 19 de Noviembre: Redacción de informes periciales informáticos según norma UNE 197010:2015

Este día comentaré cómo se hace una buena pericia, y los defectos que tienen las malas pericias. También comentaré las pericias que nos encontraremos con más frecuencia en la vida profesional, y cómo resolverlas. Nos centraremos en la norma UNE 197010:2015 «Criterios generales para la elaboración de informes y dictámenes periciales sobre Tecnologías de la Información y las Comunicaciones (TIC)»

La asistencia a este día se puede sustituir por obtener al menos una nota de 5 en una de las pericias propuestas como ejercicio en esta sección. En caso de asistencia la realización de las pericias de esta sección no es obligatoria, pero sí recomendable.

Viernes 25 de Noviembre: Las pericias informáticas

Este día comentaré las pericias que nos encontraremos con más frecuencia en la vida profesional, y cómo resolverlas que no dio tiempo de impartir el día anterior. Hablaremos de facturación de pericias, y de tasación de equipos informáticos.

La asistencia a este día se puede sustituir por obtener al menos una nota de 5 en una de las pericias propuestas como ejercicio en esta sección. En caso de asistencia la realización de las pericias de esta sección no es obligatoria, pero sí recomendable.

Sábado 26 de Noviembre: Informática forense

Este día analizaremos la problemática específica de la informática forense, desde un punto de vista profesional. Porqué es complicada. Aquello que es transferible del principio de Locard a la informática forense, y qué no lo es. Cómo actuar ante una intrusión. Hablaremos de los honeypots, las honeynets, y de la privacidad en la red.

La asistencia a este día se puede sustituir por obtener al menos una nota de 5 en la pericia propuesta como ejercicio en esta sección. En caso de asistencia la realización de las pericias de esta sección no es obligatoria, pero sí recomendable.

En teleformación se realizará la parte del marco legal de la informática, y la parte de análisis de históricos, mediante la obtención de al menos un cinco en una de las dos pericias propuesta como ejercicio en su sección, y en la parte de análisis de históricos, en la obtención de al menos un cinco en la pericia de análisis de históricos propuesta.

Algunas cosas más que son importantes:

Lugar: E.T.S.I. Informática, aula por determinar
Fecha y horario: Viernes 18 de Noviembre, Sábado 19 de Noviembre, Viernes 25 de Noviembre, Sábado 26 de Noviembre. Los Viernes de 17:00 a 21:30, los Sábados de 10:00 a 13:30.
Matriculación: http://www.uma.es/vrue/cursos_verano.html

Si formas parte de la comunidad universitaria de la Universidad de Málaga, el precio es de 50€. Si eres colegiado en el Colegio Profesional de Ingenieros en Informática, el precio será de 50€. En otro caso, es de 70€.

El curso es de 25 horas; si eres de la Universidad de Málaga, puedes solicitar hasta dos créditos de libre configuración, o un crédito en los nuevos grados. Pregunta en la secretaría de tu centro por el criterio de créditos de libre configuración.