FACULTAD DE INGENIERÍA DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES. Programa: Ingeniería de Sistemas. aprendizaje

Transcripción

1 FACULTAD DE INGENIERÍA DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES Código-Materia: Seguridad (Ciberseguridad) (EP) Requisitos: Redes, Comunicaciones y Laboratorio (para SIS) Redes de Computadores I (para TEL) Programa Semestre: Ingeniería de Sistemas 9º semestre Ingeniería Telemática 8º semestre Período académico: Intensidad semanal: 4 horas Créditos: 3 Acreditación ABET: Programa: Ingeniería de Sistemas Resultados de F: Ethics aprendizaje K: Techniques and tools Fuente de valoración No Programa: Ingeniería Telemática Resultados de F: Ethics aprendizaje K: Techniques and tools Fuente de valoración No Motivación La seguridad de la información se ha convertido en uno de los factores claves de éxito para las organizaciones. El presente curso busca crear conciencia en el estudiante al respecto, exponiéndole a los conceptos y herramientas básicas de la seguridad de la información, en el marco del estándar ISO 27002:2013 (catálogo de buenas prácticas para la seguridad de la información). Objetivos General Al finalizar el curso, el estudiante estará en capacidad de implementar servicios para la gestión de la seguridad de la información, considerando los dominios del catálogo de buenas prácticas de la norma ISO 27002:2013 Terminales: Al finalizar el semestre el estudiante estará en capacidad de: Explicar las múltiples dimensiones de la seguridad de la información consideradas en la norma ISO 27002:2013. Describir el conjunto de buenas prácticas para la gestión de la seguridad de la información asociadas con cada uno de los dominios de la norma ISO 27002:2013. Implementar servicios de control de acceso, seguridad física y ambiental, seguridad de las operaciones y seguridad de las comunicaciones, que garanticen la confidencialidad, integridad y disponibilidad de la información, considerando las buenas prácticas de la norma ISO 27002:2013. Aplicar un conjunto de buenas prácticas para codificar una aplicación o un servicio de red en forma segura. Evaluar las consecuencias de las decisiones o actuaciones del ingeniero en relación con la seguridad de la información, en el contexto de los principios éticos de su profesión. Presentar y aprobar el examen de certificación CSX Cybersecurity Fundamentals de ISACA. Seguridad Página 1 de 6

2 Específicos De formación en valores y capacidades: Al terminar el curso cada estudiante habrá tenido la oportunidad de reflexionar sobre los siguientes valores: Responsabilidad: Para cumplir correctamente y a tiempo las labores asignadas. Curiosidad intelectual: El curso tiene un enfoque práctico, que permite que el estudiante indague y aprenda acerca de procesos que se emplean en la vida real. Integridad y honestidad: En la conducta con el profesor y los compañeros, y en el trabajo académico. De igual manera, habrá desarrollado estas capacidades: Indagación experimental: En el desarrollo de los laboratorios del curso. Pensamiento holístico: Para poder analizar un sistema de información como un todo, y las interacciones entre sus partes, desde diversos puntos de vista. Trabajo en equipo: Para el desarrollo de proyectos de cierta complejidad. Temas por unidad: Unidad 1: Introducción a la seguridad de la información Al finalizar esta unidad, el estudiante estará en capacidad de: Explicar las premisas básicas de la seguridad de la información: Confidencialidad, integridad y disponibilidad. Explicar los conceptos de amenaza, vulnerabilidad y ataque, y las relaciones y diferencias entre los tres. Explicar el concepto y la utilidad de los servicios de seguridad de la información. Explicar la utilidad del estándar ISO 27002:2013 como catálogo de buenas prácticas de la seguridad de la información. Explicar en forma general los aspectos de seguridad de la información cubiertos por cada uno de los 14 dominios del estándar. 1. Panorama general de la seguridad de la información. 2. Amenazas, vulnerabilidades y ataques. 3. El triángulo CID: Confidencialidad, Integridad, Disponibilidad. 4. Servicios de seguridad: Autenticación, confidencialidad, integridad, control de acceso, no repudio, anonimato. 5. El estándar ISO 27002:2013 y sus 14 dominios Unidad 2: Criptografía Al finalizar esta unidad, el estudiante estará en capacidad de: Explicar claramente la diferencia entre los algoritmos de criptografía de clave secreta y de clave pública. Explicar, en términos generales, el funcionamiento de un algoritmo de criptografía de clave secreta. Explicar, en términos generales, el funcionamiento de un algoritmo de criptografía de clave pública, y del mecanismo de firma digital. Explicar la importancia de las implementaciones de PKI en ambientes donde se emplean algoritmos de criptografía de clave pública. Explicar la importancia y funcionamiento básico de una función de hash criptográfico. Implementar aplicaciones de cifrado y hashing de datos, empleando el lenguaje de programación Java y su API de criptografía. Seguridad Página 2 de 6

3 1. Generalidades: Operaciones básicas de la criptografía, algoritmos históricos. 2. Algoritmos de clave secreta: DES, AES. 3. Algoritmos de clave pública: RSA, Diffie-Hellman, curvas elípticas. 4. Firmas digitales: Una aplicación de los algoritmos de cifrado de clave pública. 5. Public Key Infrastructure (PKI). 6. Hashes criptográficos: MD5, SHA-1, SHA Práctica: La API de criptografía de Java, cifrado y hashes criptográficos. Unidad 3: Control de acceso y autenticación Explicar los conceptos de autenticación, y de múltiples factores de autenticación. Explicar los problemas de la autenticación por contraseña. Elegir un esquema de autenticación adecuado para una aplicación específica. Explicar el funcionamiento, ventajas y problemas potenciales de los protocolos de autenticación por computador. Implementar mecanismos de autenticación con token físico y/o con clave pública, para servicios de transmisión de datos que posean esta opción de autenticación. 1. Conceptos básicos. 2. Factores de autenticación, combinación de factores. 3. Retos en el campo de la autenticación. 4. Protocolos de autenticación por computador. 5. Práctica: Seguridad en la conexión remota y la transferencia de archivos: SSH y SFTP/SCP con autenticación de doble factor. 6. Práctica: OpenVPN: Redes privadas virtuales, autenticación con certificados. Unidad 4: Seguridad física y ambiental Describir el concepto de área segura, y definir áreas seguras para tratamiento de información en una organización. Describir y aplicar técnicas para el aseguramiento físico de equipos de tratamiento de información 1. Controles de acceso físico 2. Seguridad contra incendio 3. Falla de servicios públicos y colapso estructural 4. Intercepción de datos 5. Sistemas móviles y portátiles Unidad 5: Seguridad en las operaciones - Seguridad desde el punto de vista del hacker Explicar cómo ocurre un ataque informático, desde el punto de vista de la persona que ataca el sistema. Ejecutar un análisis de vulnerabilidades sobre un sistema de cómputo, empleando herramientas gratuitas o de código libre. Buscar y aplicar una lista de aseguramiento inicial para un equipo o dispositivo en particular. Tomar una decisión con base en los principios éticos de la profesión Seguridad Página 3 de 6

4 1. Generalidades 2. Etapas de un ataque: Caracterización, exploración, enumeración, obtención de acceso, escalamiento de privilegios, eliminación de pistas, creación de puertas traseras, negación del servicio. 3. Práctica: Exploración de un equipo, detección de vulnerabilidades. 4. Práctica: Explotación de vulnerabilidades, hacking ético: Metasploit, inyección SQL, XSS. 5. Checklists de aseguramiento inicial del NIST. 6. Estudio de caso: El ciberjusticiero. Unidad 6: Seguridad en telecomunicaciones Identificar puntos de una red de comunicaciones donde se puedan presentar fugas de información, y aplicar los correctivos necesarios. Identificar y controlar los procesos de transferencia de información, con el fin de evitar fugas de información Analizar y evaluar las consecuencias de la toma de una decisión que involucra principios éticos, en el ámbito de la seguridad de las telecomunicaciones 1. Controles de la red 2. Seguridad de los servicios de red 3. Consideraciones para la transferencia de información 4. Práctica: Montaje de un IDS 5. Estudio de caso: El asunto Atenas Unidad 7: Adquisición, desarrollo y mantenimiento de sistemas de información - Codificación segura Emplear prácticas de codificación segura en Java. Detectar problemas de codificación insegura en un programa dado, y corregir dichos problemas. Analizar y evaluar las consecuencias de decisiones tomadas en el desarrollo de proyectos de software / hardware 1. Estándares del CERT/CC (CMU) para codificación segura en Java. 2. Estudio de casos de corrección de código. 3. Estudio de caso: Therac-25 Unidad 8: Repaso para preparación del examen CSX Cybersecurity Fundamentals de ISACA Al finalizar la presente unidad, el estudiante estará en capacidad de presentar y aprobar el examen de certificación CSX Cybersecurity Fundamentals de ISACA. 1. Introducción a la ciberseguridad 2. Conceptos de ciberseguridad 3. Principios de arquitecturas de seguridad 4. Seguridad de redes, sistemas, aplicaciones y datos 5. Respuesta a incidentes 6. Tecnologías emergentes y sus implicaciones en la seguridad 7. Tips para presentación del examen 8. Simulacro de examen Seguridad Página 4 de 6

5 Metodología Cada clase parte de la base de que el estudiante ha preparado con antelación el material asignado para la sesión. Las asignaciones de lectura están publicadas en el sitio Moodle del curso, y se enviará un mensaje recordatorio por correo electrónico antes de cada clase. Al principio de la clase se preguntará a los estudiantes si tienen dudas con respecto al tema preparado para la clase, dichas dudas se consignarán en el tablero. Luego se iniciará una ronda de preguntas, con el fin de indagar a los estudiantes acerca de lo aprendido, y tratar en lo posible de resolver las dudas consignadas en el tablero mediante esta discusión. Si hay dificultad en algún tema en particular, el profesor procederá a explicarlo. En algunas clases podrá haber solución de ejercicios en grupos pequeños de trabajo, o individualmente en el tablero, para reforzar la comprensión del tema. Ocasionalmente se solicitará a los estudiantes preparar una exposición de un tema de interés general para la clase. Los aspectos relacionados con ética profesional serán abordados mediante la metodología de estudio de casos. Actividades del estudiante Antes de la clase o Preparación previa, mediante el estudio del material asignado. Durante la clase o Solución de ejercicios en grupos pequeños de trabajo, o individualmente en el tablero. o Participación en las discusiones. o Desarrollo de casos relacionados con ética profesional. Después de la clase o Solución de tareas y ejercicios para hacer en casa. o Solución de los talleres de repaso. Prácticas de laboratorio y proyectos o Prácticas de laboratorio en algunos temas seleccionados de la materia. o Desarrollo de un proyecto de software aplicado a criptografía. Evaluación El curso se evaluará mediante los siguientes instrumentos: Tareas cortas Casos de ética: Desarrollo y participación Informes de laboratorio Un proyecto de software El cálculo de la nota del curso se hará de la siguiente manera: Tareas 20% Casos de ética 10% Informes de laboratorio 45% Proyecto de software 25% Nota definitiva 100% Consideraciones éticas La política de la Universidad, y del Departamento de Tecnologías de Información y Comunicaciones, es de tolerancia cero hacia el fraude. Todos los casos de fraude serán reportados a la jefatura del departamento, y el trabajo académico implicado será calificado con una nota de cero (artículo 99 del Libro de Derechos, Deberes y Normas de los Estudiantes de Pregrado). Seguridad Página 5 de 6

6 Debe tenerse especial cuidado en la elaboración de trabajos escritos y proyectos para evitar una instancia de plagio académico. La bibliografía debe estar completa, y deben existir referencias a todos los libros, artículos, páginas web y demás materiales que hayan sido empleados para la elaboración del trabajo. De forma similar, un trabajo se califica por la contribución del estudiante a la solución del problema. Esto quiere decir que un trabajo no puede ser una copia textual de otro trabajo o documento, ni un collage de documentos, aunque se haya hecho referencia correcta al trabajo ajeno. Bibliografía Textos básicos: International Organization for Standardization ISO. ISO/IEC 27002:2013 standard. (005.8/I61i) Charlie Kaufman, Radia Perlman y Mike Speciner. Network Security: Private Communication in a Public World. Prentice Hall PTR, (005.8/K21n) Michael Whitman y Herbert Mattord. Principles of Information Security. Course Technology, Software Engineering Institute. SEI CERT Oracle Coding Standard for Java. Disponible en línea: va. También disponible como libro en biblioteca (edición 2011): 005.8/C418c. ISACA. CSX Cybersecurity Fundamentals Study Guide. Disponible en línea en Textos complementarios: Bruce Schneier. Applied Cryptography. Wiley & Sons, Scott Mann, Ellen Mitchell y Mitchell Krell. Linux System Security. Prentice Hall PTR, (005.8/M282L). Stuart McClure, Joel Scambray y George Kurtz. Hacking Exposed. Osborne/McGraw-Hill, (005.8/M166h). Baase, Sara. A Gift of Fire: Social, Legal and Ethical Issues for Computing and the Internet. Pearson- Prentice Hall, Seguridad Página 6 de 6