drð^=al`bkqb= Para conseguir este objetivo el temario de la asignatura se ha dividido en trece temas:

Transcripción

1 `ìêëç^å~ç ãáåç OMNQöOMNR TITULACIÓN GRADO EN SISTEMAS DE INFORMACION CURSO CUARTO CURSO ASIGNATURA SEGURIDAD Y AUDITORIA DE SISTEMAS DE INFORMACIÓN drð^al`bkqb NKJ`~ê~ÅíÉê ëíáå~ëçéä~~ëáöå~íìê~ Nombre de la Asignatura Seguridad y Auditoria de Sistemas de Información Créditos Grupos Carácter Periodo Totales Teóricos Prácticos Teoría Práctica Troncal Obligatoria Optativa Anual 1 er C 2ºC X X Departamento Ciencias Físicas, Matemáticas y de la Computación Área de conocimiento OKJmêçÑÉëçêÉëêÉëéçåë~ÄäÉëÇÉä~~ëáÖå~íìê~ Profesores Grupo Teoría Práctica José Carlos López Cañas José Carlos López Cañas PKJlÄàÉíáîçëÖÉåÉê~äÉëÇÉä~~ëáÖå~íìê~ Objetivos de conocimiento La asignatura pretende formar al alumno en los aspectos fundamentales de la Seguridad Informática, con el fin de obtener un conocimiento general acerca de los diferentes conceptos que son necesarios para poder llevar a cabo el plan de seguridad de cualquier organización. El objetivo principal consiste en proporcionar conocimientos generales cada uno de los aspectos que se deben tener presentes a la hora de gestionar la seguridad de los sistemas de información. Para conseguir este objetivo el temario de la asignatura se ha dividido en trece temas: En el primer tema, de introducción, se pretende enmarcar la función de la seguridad de los sistemas de información partiendo del concepto general de gobierno TI. Asimismo, se introducen los conceptos de activos de información, riesgos, amenazas y vulnerabilidades. Para finalizar este primer tema se define qué es un plan de seguridad y los elementos que lo componen. Seguridad y Auditoria de Sistemas de Información. Curso

2 Objetivos de conocimiento En los siguientes 4 temas se detalla la seguridad en los niveles físico, lógico, LAN e Internet. En estos temas se estudiarán los elementos a tener en cuenta a la hora de gestionar la seguridad en cada uno de estos niveles. No se pretende profundizar en elementos particulares sino conocer las generalidades de cada uno de ellos. A continuación se impartirán cuatro temas. En el primero de ellos se centrará en los virus informáticos, en el siguiente se verán fundamentos generales de criptografía, tipos de claves, firmas digitales e infraestructura de clave pública. En el tercer tema se expondrán conceptos generales y aplicaciones de VPN s (Virtual Private Networks) y en el último de ellos se llevará a cabo una aproximación al concepto de IDS (detección de intrusos). En el siguiente tema se impartirán nociones de continuidad de negocio y planes de recuperación de desastres. Se hará una mención en uno de los temas a la legislación vigente relacionada con los sistemas de información, como marco regulatorio de obligado cumplimiento por las organizaciones. Para finalizar se realizará un acercamiento a la auditoria de los sistemas de información destacando los aspectos sobre los que hay que prestar especial atención relacionados con los conceptos detallados en los temas anteriores. Objetivos de aplicación 1. Conocer el concepto de gobierno TI. 2. Identificar, clasificar y analizar riesgos para activos de información. 3. Adquirir conocimientos de seguridad física. 4. Adquirir conocimientos de seguridad lógica. 5. Adquirir conocimientos de seguridad en LAN. 6. Adquirir conocimientos de seguridad en Internet. 7. Conocer nociones generales de tipos de virus. 8. Comprender los conceptos de claves (públicas y privadas), firmas y certificados digitales e infraestructura de clave pública. 9. Conocer qué es una VPN. 10. Comprender los conceptos básicos de detección de intrusos. 11. Adquirir conocimientos de los elementos que componen un plan de continuidad de negocio. 12. Conocer la legislación vigente relativa a tecnologías de la información. 13. Adquirir conocimientos del proceso general de auditoría de seguridad informática. 14. Elaborar un plan de seguridad informática y adquirir conocimiento de los diferentes procedimientos que lo componen. 15. Poseer una visión general de los diferentes aspectos de la seguridad de los sistemas de información. 16. Tener conocimientos suficientes para la elaboración de los aspectos técnicos que se deben recoger en un documento de seguridad según la LOPD. Seguridad y Auditoria de Sistemas de Información. Curso

3 Objetivos de aplicación 17. Tener conocimientos básicos tanto de consultoría como de auditoría de un sistema de gestión de la seguridad según la norma ISO QKJmêçÖê~ã~ Objetivos de aplicación 1. Conocer el concepto de gobierno TI. 2. Identificar, clasificar y analizar riesgos para activos de información. 3. Adquirir conocimientos de seguridad física. 4. Adquirir conocimientos de seguridad lógica. 5. Adquirir conocimientos de seguridad en LAN. 6. Adquirir conocimientos de seguridad en Internet. 7. Conocer nociones generales de tipos de virus. 8. Comprender los conceptos de claves (públicas y privadas), firmas y certificados digitales e infraestructura de clave pública. 9. Conocer qué es una VPN. 10. Comprender los conceptos básicos de detección de intrusos. 11. Adquirir conocimientos de los elementos que componen un plan de continuidad de negocio. 12. Conocer la legislación vigente relativa a tecnologías de la información. 13. Adquirir conocimientos del proceso general de auditoría de seguridad informática. 14. Elaborar un plan de seguridad informática y adquirir conocimiento de los diferentes procedimientos que lo componen. 15. Poseer una visión general de los diferentes aspectos de la seguridad de los sistemas de información. 16. LOPD. 17. ISO/IEC Prácticas Elaborar un sistema de gestión de la seguridad de la información. Diseñar un plan de seguridad. Diseñar políticas específicas. Diseñar el plan de recuperación de desastres. Implantación del plan de recuperación de desastres. Diseño de medidas técnicas para asegurar cumplimiento con LOPD. Elaboración de diferencial con la norma ISO/IEC Seguridad y Auditoria de Sistemas de Información. Curso

4 RKJoÉä~ÅáμåÅçåçíê~ë~ëáÖå~íìê~ë Asignaturas relacionadas y grado de dependencia SKJjÉíçÇçäçÖ ~ Teoría La asignatura se articula en dos sesiones continuas semanales, una teórica y otra práctica. En las sesiones teóricas el profesor realizará una exposición mediante clase magistral de los contenidos a desarrollar que dará paso a un espacio de trabajo donde cada alumno deberá cumplimentar el caso práctico de trabajo con los conocimientos adquiridos en las clases teóricas anteriores. Práctica Empleo de Nuevas Tecnologías Medios materiales de los que se dispone Actividades extracurriculares Asistencia a charlas relacionadas con Auditoría y Seguridad de los sistemas de información. TKJmä~åáÑáÅ~ÅáμåÇçÅÉåíÉÇÉäÅìêëç Calendario Indicar el calendario previsto de cumplimiento del programa (teoría y práctica) UKJmä~åÇÉíê~Ä~àçé~ê~Éä~äìãåç TRABAJO A DESARROLLAR POR EL ALUMNO ACTIVIDAD A REALIZAR Fecha de realización Tiempo utilizado (horas semanales) Tema 1 adquiridos en este Total: 3 horas Seguridad y Auditoria de Sistemas de Información. Curso

5 Tema 2 adquiridos en este Tema 3 adquiridos en este Tema 4 adquiridos en este Tema 5 adquiridos en este Tema 6 adquiridos en este Cómputo final: 2 h. Tema 7 adquiridos en este Tema 8 adquiridos en este Cómputo final: 2 h. Tema 9 adquiridos en este Cómputo final: 2 h. Seguridad y Auditoria de Sistemas de Información. Curso

6 Tema 10 adquiridos en este Tema 11 adquiridos en este Total: 5 horas Cómputo final: 1 h. Tema 12 adquiridos en este Integración plan de seguridad o Tras haber realizado cada una de las partes que componen un plan de seguridad se deberá llevar a cabo la integración del mismo, la eliminación de incoherencias y una correcta presentación. Diferencial con la norma ISO/IEC o Se analizará cada uno de los planes de seguridad presentados y se modificará para adaptarlo a los requerimientos establecidos en la norma ISO/IEC Cómputo final: 3 h. Total: 0 horas Exposición de los planes de seguridad o Presentación de los diferentes planes de seguridad con los medios auxiliares que cada uno de los alumnos considere oportuno, con el fin de convencer a los interlocutores de la implantación del mismo. Implantación plan de seguridad. o Tras la exposición se habrá dado a cada uno de los alumnos un proyecto para la implantación de alguna de las políticas de seguridad o plan de continuidad de negocio. Se presentará el documento técnico de implantación con soluciones concretas. CARGA DE TRABAJO TOTAL o Asistencia a clases: 19 x 4 h. 76 horas o Preparación de la asignatura: 19 x 1.5 h. 28,5 horas o Realización de los trabajos: 9,5 horas Total 114 horas VKJbî~äì~ÅáμåÇÉä~éêÉåÇáò~àÉ 19 SEMANAS LECTIVAS Total: 0 horas Total: 8 horas Total: 0 horas Total: 0 horas Cómputo final: 0 h. CARGA SEMANAL: 6,00 horas Seguridad y Auditoria de Sistemas de Información. Curso

7 Criterios de evaluación La calificación final del alumno se obtiene a través de la evaluación continua que el profesor realiza en clase, atendiendo la participación y actitud del mismo dentro del aula. De esta forma la asistencia a clase deviene obligatoria, por ser la única manera de poder evaluar el trabajo que el alumno realiza semanalmente. Composición de la nota final: OPCION A: Evaluación continua: 100% de la nota final. (recomendada) o Participación activa en clase: (20%) o Caso práctico: Elaboración de un plan de seguridad para una organización ficticia, basándose en un caso real (60%). Elaboración del plan de seguridad. Elaboración de políticas específicas. Elaboración de BCP (Plan de recuperación del negocio). o Implantación de medidas recogidas en LOPD y Reglamento de Seguridad (5%). o Diferencial con la norma ISO (5%). o Presentación del plan de seguridad propuesto (10%). OPCION B: o Examen tipo test: (100%) En caso de no llevar a cabo el proceso de evaluación continua, el alumno no perderá su derecho a examen final, pero el mismo podrá consistir en dos partes bien diferenciadas donde se compruebe el dominio tanto de los contenidos programáticos como de las habilidades/ destrezas asignados al conjunto de la asignatura. En ambos casos para superar la asignatura el alumno deberá aprobar (nota mayor o igual a 5) la evaluación. Valoración final del alumno Método de evaluación Porcentaje Pruebas parciales % Trabajo escrito individual % Trabajo en grupo % Exposición % Lecturas (participación en clase) % Talleres % Ejercicios prácticos % Otras (especificar) % NMKJj~íÉêá~äÇÉêÉÑÉêÉåÅá~ Bibliografía básica Apuntes facilitados en clase. Bibliografía complementaria Seguridad y Auditoria de Sistemas de Información. Curso

8 Bibliografía complementaria Information Systems Audit and Control Association (ISACA) CISA Review Manual. LUCENA LÓPEZ, Manuel José. Criptografía y Seguridad en Computadores. Dpto. de Informática Universidad de Jaén. Edición virtual. KLEIN, Daniel V. Foiling the Cracker: A Survey of, and Improvement to, Password Security. British Standard Institute; BS ISO/IEC 17799:2000, BS799-1:2000. Information Technology Code of practice for information security management Garfinkel Simson; Gene Spafford. Web Security, Privacy and Commerce. O reilly And Associates Hernández Hdez., Enrique. Administración y Seguridad de la Tecnología de la Información: metodología, procesos y tareas claves. Grupo Adneti McClure, Mark; Writing a computer forensic technical report. McGraw Hill Piper, Fred; Simon Blake-Wilson; John Mitchell. Digital Signatures Security and Controls. IT Governance Institute Barret, Neil. Traces of Guilt. Transworld Publishing Chan, David. What auditors should know about encryption. Information Systems Control Journal. V Chapin, David. How can security be measured. Information Systems Control Journal. V Dimitriadis Christos. Biometrics, risks and controls. Information Systems Control Journal. V Business Continuity Institute. Good practices guidelines Business Continuity Institute. Business Continuity Management Standards Disaster Recovery Institute International. Professional Practices for Business Continuity Professionals IT Governance Institute and Deloitte & Touche. e-commerce security Business Continuity Planning Otros recursos NNKJoÉÅçãÉåÇ~ÅáçåÉë~äçë~äìãåçëé~ê~Åìêë~êä~~ëáÖå~íìê~ Recomendaciones Para la elaboración del trabajo que se evaluará es recomendable ir redactándolo conforme se vean los conceptos teóricos en clase. Estimación en horas semanales de tiempo de estudio/trabajo recomendado para el alumno 2 horas. NOKJeçê~êáçëóäìÖ~êÇçåÇÉëÉáãé~êíÉ Horario (teoría y práctica) Seguridad y Auditoria de Sistemas de Información. Curso

9 Lugar donde se imparte (teórica y práctica) NPKJ^ÅÅáçåÉëÇÉ~éçóç Tutorias (horario y ubicación) Tutorías virtuales Otras actividades NQKJoÉéÉêÅìëáμå~ÅíáîáÇ~ÇÉëÇÉáåîÉëíáÖ~ÅáμåL~ÅíáîáÇ~ÇéêçÑÉëáçå~äÉåÉäéêçÖê~ã~Ñçêã~íáîç Repercusión líneas de investigación Repercusión actividad profesional Seguridad y Auditoria de Sistemas de Información. Curso