Curso - Distancia
Puesta en producción segura (Edición 1)
Convocatoria
Resumen
Esta acción formativa está dentro del proyecto de formación del profesorado de FP en materia de ciberseguridad con el objetivo de que los participantes adquieran la formación necesaria para desempeñar la función de puesta en producción mediante el desarrollo de un sistema de despliegue de software seguro. La función de implantación de un sistema de despliegue seguro incluye aspectos como la monitorización de aplicaciones y dispositivos para detectar los vectores de ataque más comunes. Las actividades profesionales asociadas a esta función se aplican en el análisis de las aplicaciones web y dispositivos móviles así como en la configuración de servidores web,
Este curso de formación está cofinanciado por el Fondo Social Europeo.
Información básica
- Esta acción formativa va dirigida al profesorado que imparte docencia en centros y etapas sostenidos con fondos públicos, en ciclos formativos de Formación Profesional de la familia profesional de Informatica y Comunicaciones de la especialidad de Sistemas y Aplicaciones Informáticas y excepcionalmente profesorado de las siguientes especialidades:
- Informática
- Sistemas Electrónicos.
- Sistemas Electrónicos y Automáticos.
- El orden de prioridad de acceso a esta acción formativa será el siguiente:
- Profesorado que impartirá el módulo “Puesta de producción segura” en el Curso de Especialización de FP “Ciberseguridad en entornos de las tecnologías de la información”.
- Profesorado que cumpliendo los requisitos de especialidad tengan su destino definitivo en los siguientes centros:
- CIFP Virgen de Gracia (Puertollano).
- IES Pedro Mercedes (Cuenca).
- IES Leonardo Da Vinci (Albacete).
- IES Arcipreste de Hita (Azuqueca que Henares).
- Resto del profesorado que cumplan los requisitos de especialidad.
Nota: Se realizará un reparto equitativo de plazas por centro, siempre atendiendo a los criterios anteriores.
- Conocer los distintos tipos de lenguaje de programación, así como sus ventajas e inconvenientes y diferenciar los principales elementos de un programa.
- Caracterizar los niveles de verificación de seguridad en base a estándares reconocidos (ASVS y ENS-based).
- Identificar los niveles de seguridad requeridos, así como los requisitos asociados a cada nivel.
- Reconocer los principales riesgos de una aplicación, en base a sus características.
- Reconocer los ataques más comunes en aplicaciones web y cómo se realizan.
- Saber detectar las vulnerabilidades principales web y su causa, así como la aplicación de las principales contramedidas para subsanar estos errores.
- Conocer la arquitectura de los principales dispositivos móviles existentes hoy en día, así como el modelo de seguridad que implementan y las principales amenazas.
- Conocer las distintas etapas de creación de software desde el inicio hasta su puesta en producción y aplicar la seguridad desde las etapas iniciales.
- Conocer las diferencias entre virtualización y contenedores, así como la orquestación de contenedores y su uso durante el ciclo de desarrollo.
El curso consta de 7 sesiones webinar que desarrollarán de acuerdo al siguiente calendario en la plataforma Microsoft Teams:
Sesión | Fecha | Horario |
1 | Viernes 18/12/2020 | 09:00 - 13:00 |
2 | Viernes 15/01/2021 | 09:00 - 13:00 |
3 | Viernes 22/01/2021 | 09:00 - 13:00 |
4 | Viernes 29/01/2021 | 09:00 - 13:00 |
5 | Viernes 05/02/2021 | 09:00 - 13:00 |
6 | Viernes 12/02/2021 | 09:00 - 13:00 |
7 | Viernes 19/02/2021 | 09:00 - 13:00 |
- Una vez finalizada la acción formativa los participantes tendrán acceso a los contenidos en la plataforma del CRFP y tutorías a través de videoconferencia en fechas por determinar y a través del foro creado para tal fín hasta el cierre de la misma.
CONTENIDOS:
Tema 1: Prueba de aplicaciones web y para dispositivos móviles;
Fundamentos de programación
- Lenguajes de programación
- Paradigmas de programación
- Lenguajes de programación compilados e interpretados
- Entornos de desarrollo
- Ciclo de vida de un programa
Elementos principales de un programa
- Variables y tipos de datos
- Sentencias de control de flujo
- Entrada y salida
- Funciones
- Estructuras de datos
- Algoritmos
Seguridad de los lenguajes de programación y buenas prácticas
- Principales vulnerabilidades lenguajes bajo nivel
- Principales vulnerabilidades lenguajes alto nivel
- Entornos de ejecución. Sandoxes
Tema 2: Determinación del nivel de seguridad requerido por aplicaciones
Introducción y motivación.
Fuentes abiertas para el desarrollo seguro.
- Uso de fuentes abiertas
- Common Vulnerabilities and Exposures (CVE)
- OWASP top 10
Requisitos de verificación necesarios asociados al nivel de seguridad establecido.
- Necesidad y procedimiento de valoración
- Criterios de valoración
- Tipos de información y servicios
- Determinación de los niveles por categoría
Comprobaciones de seguridad a nivel de aplicación: ASVS
- Necesidad e introducción a ASVS
- Niveles de verificación de seguridad ASVS
- Requisitos de verificación detallados
- Arquitectura
- Autentificación
- Gestión de sesiones
- Control de acceso
- Manejo de entrada de datos
- Escape de salida de datos
- Criptografía en el almacenamiento
- Gestión y registro de errores
- Protección de datos
- Seguridad de las comunicaciones
- Seguridad http
- Configuración de seguridad
- Controles maliciosos
- Seguridad interna
- Lógica de negocios
- Archivos y recursos
- Móvil
- Servicios web
Tema 3: Detección y corrección de vulnerabilidades de aplicaciones web
Vulnerabilidades web
- Inyecciones SQL
- Directas
- Ciegas
- Time-based
- Contramedidas
- XSS
- Reflejados
- No reflejados
- CSRF
- Contramedidas
- Inyección de comandos
- Ejemplos
- contramedidas
- Deserialización insegura
- Ejemplos
- Contramedidas
- Componentes inseguros
- Ejemplos
- Contramedidas
- Exposición de datos sensibles
- Ejemplos
- Contramedidas
- Mala configuración
- Ejemplos
- Contramedidas
- SSL strip
- Ejemplos
- Contramedidas
- Fuerza bruta
- Ejemplos
- Contramedidas
- Denegación de servicio
- Ejemplos
- Contramedidas
Almacenamiento seguro de contraseñas
- Cifrado de contraseñas y su importancia
- Almacenamiento seguro y uso de salt
Contramedidas
- Filtrado de entradas
- Consultas preparadas
- Actualización de componentes
- Configuraciones seguras
- HSTS y PSK
- Baneos y timeouts
Seguridad de portales y aplicativos webs
- Basadas en reglas
- Basadas en comportamiento
Tema 4: Detección de problemas de seguridad en aplicaciones para dispositivos móviles
Arquitectura de Android
- Dalvik, una VM en Android
- Sistema de ficheros
- Llamadas protegidas en Android
- Estructura de aplicaciones Android
- Modelo de seguridad en Android (permisos, usuarios y firmas)
Arquitectura de Ios
- Sistema de ficheros
- Estructura de aplicaciones Ios
- Modelo de seguridad en Ios
Firma y verificación de aplicaciones
- Motivación de la firma de aplicaciones
- Funcionamiento de las firmas
OWASP Mobile top 10 y MASVS
- OWASP mobile top 10
- ASVS sobre aplicaciones móviles (MASVS)
Almacenamiento seguro de datos
- Tipos de almacenamiento de datos
- Control de acceso a nivel de aplicación
Validación de compras integradas en la aplicación
- Sistemas de validación y verificación de compras
Fuga de información en los ejecutables
- Análisis estático
- Análisis dinámico
- Análisis de red
Soluciones CASB
- Motivación de Cloud Access Security Manager (CASB)
- Ventajas respecto a soluciones tradicionales
- Desventajas respecto a soluciones tradicionales
Tema 5: Implantación de sistemas seguros de desplegado de software
Contenedores y virtualización
- Arquitectura
- Virtualización vs contenedores
- Docker
DevOps
- ¿Qué es DevOps?
- Ciclo de vida DevOps
- Herramientas DevOps (repositorios de código, Builds, despliegue,etc)
- Seguridad en DevOps
Orquestación de contenedores
- Arquitectura principal
- Diferentes soluciones de orquestación
- Kubernetes
Para más información contacta con nosotro en crfp.ab@jccm.es
Criterios de acreditación
- Asistencia a las sesiones webinar o visionado de la mismas en diferido.
- Realizar y superar las tareas y/o cuestionarios propuestos en tiempo y forma.
- Rellenar y adjuntar como tarea los cuestionarios 1 y 2 del FSE.
- Cumplimentación del cuestionario de opinión.
nombreCompletoSinAcento | Nombre completo | Fecha de solicitud | DNI | Cuerpo | Asignaturas | Especialidades | Centros Educativos | Código centro | Provincia | Cursos | Cargos directivos | Adjuntos | Preguntas | Motivo del rechazo | Ausencias |
---|
Elige un motivo de rechazo:
Ver más | Nombre | nombreSinAcento | Apellidos | apellidosSinAcento | Estado | Apto | Avance | Asistencias | Tareas pendientes | Formulario pendientes | Estado cuestionario de opinión | Listado de tareas | Listado de formularios | Razón del suspenso | Tareas superadas | Cuestionarios superados | Tareas entregadas | Formularios entregados | Créditos | Número de horas | Observaciones |
---|