Saltar a contenido

UD 3: Investigación de incidentes de ciberseguridad

1. Normativa que Respalda la Unidad

Esta unidad está alineada con la normativa del Curso de Especialización en Ciberseguridad en Entornos TI, teniendo como base el Resultado de Aprendizaje (RA) 3 y sus Criterios de Evaluación (CE) asociados. El objetivo principal es que los estudiantes aprendan a investigar incidentes de ciberseguridad, incluyendo el análisis de riesgos y la definición de medidas.

2. Resultado de Aprendizaje a Trabajar

RA 3: Investiga incidentes de ciberseguridad analizando los riesgos implicados y definiendo las posibles medidas a adoptar.

Este resultado de aprendizaje se logrará desglosando el contenido en varios puntos, cada uno enfocado en un criterio de evaluación específico.

3. Criterios de Evaluación

En esta unidad se trabajarán los siguientes criterios de evaluación relacionados con el RA 3:

  • CE 3.a: Se han recopilado y almacenado de forma segura evidencias de incidentes de ciberseguridad que afectan a la organización.
  • CE 3.b: Se ha realizado un análisis de evidencias.
  • CE 3.c: Se ha realizado la investigación de incidentes de ciberseguridad.
  • CE 3.d: Se ha intercambiado información de incidentes, con proveedores y/o organismos competentes que podrían hacer aportaciones al respecto.
  • CE 3.e: Se han iniciado las primeras medidas de contención de los incidentes para limitar los posibles daños causados.

4. Contenidos

En esta sección se describen los contenidos que se impartirán en la Unidad 3, teniendo en cuenta la normativa del curso y los criterios de evaluación.

La unidad pertenece al Módulo: Incidentes de Ciberseguridad.

U3: Investigación de los incidentes de ciberseguridad

Durante la Unidad 3, trabajaremos los siguientes contenidos:

  • Recopilación de evidencias (CE 3.a):
    • Tipos de evidencias (digitales, físicas).
    • Procedimientos de adquisición de evidencias (cadena de custodia).
    • Herramientas de recolección (forenses, logs).
    • Almacenamiento seguro y preservación de la integridad de las evidencias.
  • Análisis de evidencias (CE 3.b):
    • Metodologías de análisis forense.
    • Análisis de sistemas de archivos, memoria, red.
    • Correlación de eventos y reconstrucción de la línea de tiempo del incidente.
    • Herramientas de análisis forense.
  • Investigación del incidente (CE 3.c):
    • Identificación de la causa raíz.
    • Determinación del alcance y el impacto del incidente.
    • Atribución (cuando sea posible y pertinente).
    • Elaboración de informes de investigación.
  • Intercambio de información del incidente con proveedores u organismos competentes (CE 3.d):
    • Protocolos de comunicación y notificación.
    • Tipos de información a compartir (IoCs, TTPs).
    • Plataformas y comunidades de intercambio de información (CERTs/CSIRTs).
  • Medidas de contención de incidentes (CE 3.e):
    • Estrategias de contención (segmentación, aislamiento).
    • Técnicas de contención a corto y largo plazo.
    • Priorización de acciones según el impacto y los recursos.
    • Verificación de la efectividad de las medidas.

5. Actividades de Evaluación

Para evaluar la adquisición de los criterios de evaluación, se propondrán diversas actividades prácticas y teóricas a lo largo de la unidad. (Esta sección se detallará con actividades específicas)

6. Prueba de Evaluación de Contenidos

Al final de la unidad, se realizará una prueba que incluirá preguntas teóricas y prácticas sobre los conceptos tratados. Los estudiantes deberán demostrar su comprensión de:

  • La recopilación y el almacenamiento seguro de evidencias.
  • El análisis de evidencias y la investigación de incidentes.
  • El intercambio de información relevante sobre incidentes.
  • La aplicación de medidas de contención eficaces.

(Esta sección se detallará con el formato específico de la prueba)