Curso - Distancia

Puesta en producción segura (Edición 1)

Convocatoria

Periodo de inscripción Del 28/11/2020 al 05/12/2020
Estado En ejecución
Periodo de realización Del 10/12/2020 al 14/05/2021
Línea formativa Formación Profesional
Lugar de celebración D.P. ALBACETE (ALBACETE)

Resumen

Esta acción formativa está dentro del proyecto de formación del profesorado de FP en materia de ciberseguridad con el objetivo de que los participantes adquieran la formación necesaria para desempeñar la función de puesta en producción mediante el desarrollo de un sistema de despliegue de software seguro. La función de implantación de un sistema de despliegue seguro incluye aspectos como la monitorización de aplicaciones y dispositivos para detectar los vectores de ataque más comunes. Las actividades profesionales asociadas a esta función se aplican en el análisis de las aplicaciones web y dispositivos móviles así como en la configuración de servidores web,

Este curso de formación está cofinanciado por el Fondo Social Europeo.

Información básica

Entidad organizadora CENTRO REGIONAL DE FORMACIÓN DEL PROFESO
Línea formativa Formación Profesional
Modalidad Curso
Ámbito Regional
Forma de impartición Distancia
Línea Formación Profesional
Nº máximo de participantes 30
Nº mínimo de participantes 10
Tutor José Roldán, Javier Carrillo Mondéjar
Destinatarios
  • Esta acción formativa va dirigida al profesorado que imparte docencia en centros y etapas sostenidos con fondos públicos, en ciclos formativos de Formación Profesional de la familia profesional de Informatica y Comunicaciones de la especialidad de Sistemas y Aplicaciones Informáticas y excepcionalmente profesorado de las siguientes especialidades:
    • Informática 
    • Sistemas Electrónicos.
    • Sistemas Electrónicos y Automáticos.
  • El orden de prioridad de acceso a esta acción formativa será el siguiente:
  1. Profesorado que impartirá el módulo “Puesta de producción segura” en el Curso de Especialización de FP “Ciberseguridad en entornos de las tecnologías de la información”.
  2. Profesorado que cumpliendo los requisitos de especialidad tengan su destino definitivo en los siguientes centros:
    1. CIFP Virgen de Gracia (Puertollano).
    2. IES Pedro Mercedes (Cuenca).
    3. IES Leonardo Da Vinci (Albacete).
    4. IES Arcipreste de Hita (Azuqueca que Henares).
  3. Resto del profesorado que cumplan los requisitos de especialidad.

Nota: Se realizará un reparto equitativo de plazas por centro, siempre atendiendo a los criterios anteriores.

Objetivos
  • Conocer los distintos tipos de lenguaje de programación, así como sus ventajas e inconvenientes y diferenciar los principales elementos de un programa.
  • Caracterizar los niveles de verificación de seguridad en base a estándares reconocidos (ASVS y ENS-based).
  • Identificar los niveles de seguridad requeridos, así como los requisitos asociados a cada nivel.
  • Reconocer los principales riesgos de una aplicación, en base a sus características.
  • Reconocer los ataques más comunes en aplicaciones web y cómo se realizan.
  • Saber detectar las vulnerabilidades principales web y su causa, así como la aplicación de las principales contramedidas para subsanar estos errores.
  • Conocer la arquitectura de los principales dispositivos móviles existentes hoy en día, así como el modelo de seguridad que implementan y las principales amenazas.
  • Conocer las distintas etapas de creación de software desde el inicio hasta su puesta en producción y aplicar la seguridad desde las etapas iniciales.
  • Conocer las diferencias entre virtualización y contenedores, así como la orquestación de contenedores y su uso durante el ciclo de desarrollo.
Metodología La metodología será principalmente activa y participativa.
Observaciones

El curso consta de 7 sesiones webinar que desarrollarán de acuerdo al siguiente calendario en la plataforma Microsoft Teams:

Sesión Fecha Horario
1  Viernes 18/12/2020 09:00 - 13:00
2  Viernes 15/01/2021 09:00 - 13:00
3  Viernes 22/01/2021 09:00 - 13:00
4  Viernes 29/01/2021 09:00 - 13:00
5  Viernes 05/02/2021 09:00 - 13:00
6  Viernes 12/02/2021 09:00 - 13:00
7  Viernes 19/02/2021 09:00 - 13:00

 

  • Una vez finalizada la acción formativa los participantes tendrán acceso a los contenidos en la plataforma del CRFP y tutorías a través de videoconferencia en fechas por determinar y a través del foro creado para tal fín hasta el cierre de la misma.

CONTENIDOS:

Tema 1: Prueba de aplicaciones web y para dispositivos móviles;

Fundamentos de programación

  • Lenguajes de programación
  • Paradigmas de programación
  • Lenguajes de programación compilados e interpretados
  • Entornos de desarrollo
  • Ciclo de vida de un programa

Elementos principales de un programa

  • Variables y tipos de datos
  • Sentencias de control de flujo
  • Entrada y salida
  • Funciones
  • Estructuras de datos
  • Algoritmos

Seguridad de los lenguajes de programación y buenas prácticas

  • Principales vulnerabilidades lenguajes bajo nivel
  • Principales vulnerabilidades lenguajes alto nivel
  • Entornos de ejecución. Sandoxes

Tema 2: Determinación del nivel de seguridad requerido por aplicaciones

Introducción y motivación.

Fuentes abiertas para el desarrollo seguro.

  • Uso de fuentes abiertas
  • Common Vulnerabilities and Exposures (CVE)
  • OWASP top 10

Requisitos de verificación necesarios asociados al nivel de seguridad establecido.

  • Necesidad y procedimiento de valoración
  • Criterios de valoración
  • Tipos de información y servicios
  • Determinación de los niveles por categoría

Comprobaciones de seguridad a nivel de aplicación: ASVS

  • Necesidad e introducción a ASVS
  • Niveles de verificación de seguridad ASVS
  • Requisitos de verificación detallados
    • Arquitectura
    • Autentificación
    • Gestión de sesiones
    • Control de acceso
    • Manejo de entrada de datos
    • Escape de salida de datos
    • Criptografía en el almacenamiento
    • Gestión y registro de errores
    • Protección de datos
    • Seguridad de las comunicaciones
    • Seguridad http
    • Configuración de seguridad
    • Controles maliciosos
    • Seguridad interna
    • Lógica de negocios
    • Archivos y recursos
    • Móvil
    • Servicios web

Tema 3: Detección y corrección de vulnerabilidades de aplicaciones web

Vulnerabilidades web

  • Inyecciones SQL
    • Directas
    • Ciegas
      • Time-based
    • Contramedidas
  • XSS
    • Reflejados
    • No reflejados
    • CSRF
    • Contramedidas
  • Inyección de comandos
    • Ejemplos
    • contramedidas
  • Deserialización insegura
    • Ejemplos
    • Contramedidas
  • Componentes inseguros
    • Ejemplos
    • Contramedidas
  • Exposición de datos sensibles
    • Ejemplos
    • Contramedidas
  • Mala configuración
    • Ejemplos
    • Contramedidas
  • SSL strip
    • Ejemplos
    • Contramedidas
  • Fuerza bruta
    • Ejemplos
    • Contramedidas
  • Denegación de servicio
    • Ejemplos
    • Contramedidas

Almacenamiento seguro de contraseñas

  • Cifrado de contraseñas y su importancia
  • Almacenamiento seguro y uso de salt

Contramedidas

  • Filtrado de entradas
  • Consultas preparadas
  • Actualización de componentes
  • Configuraciones seguras
  • HSTS y PSK
  • Baneos y timeouts

Seguridad de portales y aplicativos webs

  • Basadas en reglas
  • Basadas en comportamiento

Tema 4: Detección de problemas de seguridad en aplicaciones para dispositivos móviles

Arquitectura de Android

  • Dalvik, una VM en Android
  • Sistema de ficheros
  • Llamadas protegidas en Android
  • Estructura de aplicaciones Android
  • Modelo de seguridad en Android (permisos, usuarios y firmas)

Arquitectura de Ios

  • Sistema de ficheros
  • Estructura de aplicaciones Ios
  • Modelo de seguridad en Ios              

Firma y verificación de aplicaciones

  • Motivación de la firma de aplicaciones
  • Funcionamiento de las firmas           

OWASP Mobile top 10 y MASVS

  • OWASP mobile top 10
  • ASVS sobre aplicaciones móviles (MASVS)

Almacenamiento seguro de datos

  • Tipos de almacenamiento de datos
  • Control de acceso a nivel de aplicación

Validación de compras integradas en la aplicación

  • Sistemas de validación y verificación de compras

Fuga de información en los ejecutables

  • Análisis estático
  • Análisis dinámico
  • Análisis de red

Soluciones CASB

  • Motivación de Cloud Access Security Manager (CASB)
  • Ventajas respecto a soluciones tradicionales
  • Desventajas respecto a soluciones tradicionales

Tema 5: Implantación de sistemas seguros de desplegado de software

Contenedores y virtualización

  • Arquitectura
  • Virtualización vs contenedores
  • Docker

DevOps

  • ¿Qué es DevOps?
  • Ciclo de vida DevOps
  • Herramientas DevOps (repositorios de código, Builds, despliegue,etc)
  • Seguridad en DevOps

Orquestación de contenedores

  • Arquitectura principal
  • Diferentes soluciones de orquestación
  • Kubernetes

Para más información contacta con nosotro en crfp.ab@jccm.es

Centro de celebración D.P. ALBACETE (ALBACETE)
Domicilio Avda. de la Estación nº 2
Código postal 02072
Localidad ALBACETE
Provincia Albacete

Criterios de acreditación

Número de horas 40
Número de créditos 4
Criterios de certificación
  • Asistencia a las sesiones webinar o visionado de la mismas en diferido.
  • Realizar y superar las tareas y/o cuestionarios propuestos en tiempo y forma.
  • Rellenar y adjuntar como tarea los cuestionarios 1 y 2 del FSE.
  • Cumplimentación del cuestionario de opinión.
Etiquetas:

close
Seleccionados Todos Visibles Ninguno
nombreCompletoSinAcento Nombre completo Fecha de solicitud DNI Cuerpo Email Asignaturas Especialidades Centros Educativos Código centro Provincia Cursos Cargos directivos Adjuntos Preguntas Motivo del rechazo Ausencias

Elige un motivo de rechazo:

Ver más Nombre nombreSinAcento Apellidos apellidosSinAcento Estado Apto Avance Asistencias Tareas pendientes Formulario pendientes Estado cuestionario de opinión Listado de tareas Listado de formularios Razón del suspenso Tareas superadas Cuestionarios superados Tareas entregadas Formularios entregados Créditos Número de horas Observaciones email
LanzarModal