Introducción. Diplomado en Seguridad Informática

Transcripción

1 Introducción Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano. Tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al año 2000, los piratas se presentan con un cerebro desarrollado, curioso y con muy pocas armas: una simple computadora y una línea telefónica. Hackers, una palabra que aún no se encuentra en los diccionarios pero que ya suena en todas las personas que alguna vez se interesaron por la informática o leyeron algún diario. Proviene de "hack", el sonido que hacían los técnicos de las empresas telefónicas al golpear los aparatos para que funcionen. Hoy es una palabra temida por empresarios, legisladores y autoridades que desean controlar a quienes se divierten descifrando claves para ingresar a lugares prohibidos y tener acceso a información indebida. Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos. Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto. Diplomado en Seguridad Informática

2 Objetivo General Presentar a los participantes el panorama general de la seguridad informática, considerando las implicaciones económicas y estratégicas para las empresas actuales. Objetivo Específico Proporcionar los conocimientos básicos fundamentales sobre el tema. Preparar recursos humanos capacitados en todos los ámbitos relacionados a informática, cómputo, comunicaciones y áreas que involucran seguridad. Impulsar y fomentar una cultura de Seguridad Informática. Crear conciencia de la importancia y los alcances que esta área de conocimiento tiene actualmente en prácticamente todas las actividades de la sociedad y la que tendrá en el futuro. Dirigido a Profesionales tanto de informática como de otras disciplinas que tengan una función o actividad relacionada con la tecnología en la información. Directivos administrativos, de ingeniería y de la operación como ingenieros o licenciados en computación, administradores de empresas, contadores, profesionales de auditoría de sistemas, jurídico/legal y de recursos humanos. Metodología El diplomado será impartido combinando sesiones de presentación, mapas mentales de los principales procesos, prácticas de taller y mesas de discusión a través de foros, en las que los participantes tendrán la oportunidad de compartir sus experiencias con otros profesionales. Material Mapas mentales. Diploma con valor curricular para cada participante que concluya con éxito el diplomado. Requisitos Es recomendable contar con conocimientos básicos sobre Sistemas Operativos y la navegación en la Web. Perfil de Egreso El egresado será capaz de: Entender la situación de un medio ambiente interconectado en el ámbito de los negocios y de ahí fomentar la seguridad informática. Identificar los aspectos relevantes sobre la vulnerabilidad de los sistemas informáticos. Implementar políticas de Seguridad en la organización.

3 Temario detallado

4 MÓDULO 1. INTRODUCCIÓN 1.1. Introducción a los Ataques 1.2. Tipos de Ataques 1.3. Qué es un Hacker? 1.4. Los diferentes tipos de Pirata Las raíces de sus motivaciones 1.5. Manejo de la Información Tecnologías Naturales de la Información Tecnología Humana de la Información Seguridad de la Información Proceso Criptología Control de Acceso Buenas Prácticas Mecanismos Proporcionalidad MÓDULO 2. EL PROCEDER DE UN HACKER 2.1. Metodología 2.2. Recuperación de información del sistema 2.3. Consulta de las bases públicas 2.4. Consulta de los motores de búsqueda 2.5. Análisis de red 2.6. Obtención del titular 2.7. Ingeniería social 2.8. Detección de fallas 2.9. Intrusión Aumentos de privilegios En peligro Puerta trasera Cubrir las huellas Conclusión MÓDULO 3. CONTRASEÑAS 3.1. Introducción 3.2. Métodos de ataques Ataque de fuerza bruta Ataque de diccionario Ataque hibrido 3.3. Elección de una contraseña 3.4. Políticas de contraseña MÓDULO 4. CRIPTOLOGÍA 4.1. Introducción 4.2. Criptografía Antecedentes históricos Terminología 4.3. Criptoanálisis 4.4. Criptografía Simétrica Substitución Simple Corrimiento Simple Cifrado por transposición Cifrado por permutación Data Encryption Standard (DES 4.5. Criptografía Simétrica Matemáticas Preliminares Congruencias y Aritmética Modular El Máximo Común Divisor Cálculo de Potencias e Inversos RSA 4.6. HASH Función Hash MD Pegado de Bits Pegado de longitud Iniciando el buffer Procesamiento del mensaje en bloques de 512 bits Salida MÓDULO 5. APLICACIONES CRIPTOGRÁFICAS 5.1. Firmas Digitales Firmas Digitales y Funciones Hash Algoritmo ElGamal Proceso de Generación de Llaves para ElGamal Proceso de Firma para ElGamal Proceso de Verificación para ElGamal Algoritmo DSA ( Digital Signature Algorithm ) Algoritmo DSA para Generación de Firma y Verificación Protocolos para utilización de Firmas Digitales Firmas Múltiples Firmas Digitales con Cifrado Firmas Digitales y No Repudio 5.2. Certificados Digitales Definición Autoridades Certificadoras Obtención de certificados Autenticación del sujeto Generación del certificado Distribución de certificados Validación de certificados Determinación de la ruta de certificación

5 5.3. Protocolos de Acuerdo e Intercambio de Llaves Problema del Acuerdo e Intercambio de Llave Problema de la Administración de Llaves Llaves de Sesión y Protocolos de Establecimiento de Llave Algoritmo Diffie-Hellman Protocolos de Intercambio de Llaves Protocolo de Intercambio de Llave con Criptografía Simétrica Protocolo de Intercambio de Llave con Criptografía Asimétrica Protocolo para Distribución de Llave Secreta 5.4. Protocolos de Autenticación e Intercambio de Llave Protocolos de Autenticación Protocolos de Autenticación con Criptografía Simétrica Protocolos de Autenticación con Criptografía Asimétrica Protocolos de Autenticación e Intercambio de Llave Autenticación basada en Passwords Protocolos de Autenticación e Intercambio de Llave basados en Passwords MÓDULO 6. CONTROL DE ACCESO 6.1. Introducción Protección perimetral Autenticación 6.2. Identificación y Autenticación Registro Identificación Autenticación Autenticación basada en conocimientos Control de acceso telefónico basado en passwords Autenticación basada en posesión Autenticación biométrica Identificadores Tamaño de los identificadores Precisión Componentes de la operación 6.3. Uso de Autenticadores Control de Acceso Discrecional Bits de permiso Sistemas de contraseñas Listas de capacidades Control de acceso por mandato Modelo Bell y Lapadula Modelo de Biba Modelo Clark y Wilson 6.4. Seguridad de la información y seguridad informática 6.5. Arquitecturas funcionales 6.6. Administración de identidades Administración de contraseñas y la sincronización 6.7. Control de acceso basado en perfiles Definiciones Perfiles anidados Reglas de operación Permisos y Privilegios Control de Acceso con Jerarquías Control de Acceso con Restricciones Organización del Control de Acceso Basado en Perfiles MÓDULO 7. SEGURIDAD EN BASE DE DATOS 7.1. Introducción 7.2. Problemas de seguridad en bases de datos 7.3. Integridad de datos 7.4. Control de acceso 7.5. Arquitecturas de Seguridad 7.6. Ataques a Sistemas de Bases de Datos 7.7. Prácticas recomendadas MÓDULO 8. TÉCNICAS GENERALES DE ATAQUES 8.1. Suplantación de dirección IP 8.2. Secuestro de sesión TCP 8.3. Envenenamiento de ARP 8.4. Analizadores de red 8.5. Análisis de puertos 8.6. Desbordamiento de búfer 8.7. Correo no deseado 8.8. Bombardeo de correo electrónico MÓDULO 9. VULNERABILIDADES EN LA WEB 9.1. Ataques al servidor WEB 9.2. Manipulación de datos 9.3. Manipulación de URL 9.4. Ataques de secuencia de comandos entre sitios (XSS) 9.5. Inyección SQL MÓDULO 10. VULNERABILIDADES EN LA PROGRAMACIÓN Desbordamientos del búfer Problemas de cadena de formato Desbordamiento de enteros Inyección SQL Inyección de comandos Falla en el manejo de errores Script de sitio cruzado Falla en la protección del tráfico de red Uso de URL y campos ocultos de formularios Uso apropiado de SSL y TLS Contraseñas débiles Fallas al almacenar y proteger datos con seguridad

6 MÓDULO 11. ESTAFAS Ingeniería social Fraude de transferencia de fondos (Scam) Suplantación de identidad (Phishing) Loterías MÓDULO 12. CÓDIGO MALICIOSO Virus Ataques de penetración Ataques de Negación de Servicios Programas de Espionaje Caballos de Troya Bombas de Tiempo MÓDULO 13. SEGURIDAD EN LAS TRANSACCIONES ELECTRÓNICAS Introducción Encriptación de Documentos Firma Digital Autoridades de Certificación Medios de pago Electrónicos Estándares Internacionales Problemática y Desafíos Delitos electrónicos MÓDULO 14. ETHICAL HACKING Introducción Perfil de conocimientos Tipos de ataque Ataques al Sistema Operativo Ataques a las Aplicaciones Errores en configuraciones Errores de protocolos La evaluación de seguridad Vulnerability Assessment Penetration Test Autotesteo y Contratación MÓDULO 15. METODOLOGÍAS DE ANÁLISIS Metodologías de análisis OSSTMM Fases que componen OSSTMM ISSAF OWASP