Plan Anual de Actividades Académicas a completar por el Director de Cátedra

Transcripción

1 Plan Anual de Actividades Académicas a completar por el Director de Cátedra Departamento: INGENIERIA EN SISTEMAS DE INFORMACION Asignatura: SEGURIDAD INFORMATICA (electiva) Adjunto: ING. RICARDO CORBELLA ING. JOZE ZAKHOUR - ING. JORGE ARIAS Planificación de la asignatura Fundamentación de la materia dentro del plan de estudios.... Que los alumnos tomen conciencia que la Protección de la Información en los sistemas informáticos de una organización involucra ciertos aspectos que son cruciales, ya que afectan tanto al correcto funcionamiento de la misma como a su propia imagen y que exigen una protección lo más efectiva posible Propósitos u objetivos de la materia. Implantar estrategias de seguridad que haga posible que la organización pueda proteger adecuadamente el entorno de los sistemas, evitando poner en riesgo la información. Concienciar a la Cabeza Estratégica de una Organización de que un error habitual en el mundo empresarial es desarrollar los objetivos de seguridad independientemente de los objetivos estratégicos de la propia corporación Contenidos.. Unidad Temática : PROTECCIÓN DE LA INFORMACIÓN Temas: Propiedades características de la Información. Contingencias. Clasificación. Determinación de puntos críticos en un sistema informático. Unidad Temática : ANÁLISIS DE RIESGO Temas: Programa Integral de Protección de Sistemas Informáticos (PIPSI). Etapas. Análisis de riegos. Valoración de riesgos. Concepto de Pérdida Potencial por Incidente. Tablas de valoración de contingencias. Medidas de Protección. Clasificación. Medidas de Control. Medidas de Seguridad. Alcances. Punto de accionamiento o activación. Tipos de Medidas de Protección, Disuasivas, Preventivas, Detectivas. Correctivas.

2 Unidad Temática 3: ELEMENTOS DE PROTECCION INFORMATICA- CONCEPTOS SOBRE DELITOS INFORMATICOS Temas: Políticas de Protección de la Información. Fraude y Delito Informático. Manipulación de los datos de salida. Sabotaje informático. Acceso no autorizado a servicios y sistemas informáticos. Unidad Temática 4: MEDIDAS DE CONTROL Temas: Medidas de Protección aplicables a todo Sistema Informático. Seguros. Medidas de Control de Protección de Sistemas Informáticos a nivel de hardware y software. Medidas de Control de Entrada y Salida de Datos. Control de Calidad. Conceptos de Copia de Archivos. Tipos de Copia. Mantenimiento de validez de la información en un método de copia. Copia Total, Diferencial e Incremental. Etapas en el diseño de una Política de Respaldo. Prioridad de Archivos. Planificación de Copia. Selección de Recursos de Hardware e Insumos para respaldo. Métodos de Identificación y Almacenamiento de soportes. Análisis de características técnicas. Software de Respaldo. Diseño de un Plan de Recuperación de Contingencias. Protección en Instalaciones Eléctricas. Irregularidades en el suministro eléctrico. Tipos y ejemplos de Sistemas de Alimentación Ininterrumpida de Energía (UPS.) Unidad Temática 5: VIRUS INFORMÁTICOS Y OTROS CÓDIGOS MALICIOSOS Temas: Antivirus. Técnicas de detección de virus. Virus, gusanos y otros programas malintencionados, o malware. Programas espía ( spyware ) y publicitarios ( adware ). Otras tendencias dañinas ( spam, phishing") Unidad Temática 6: SEGURIDAD EN SISTEMAS DE MULTIPLES USUARIOS Temas: Sistemas de Múltiples usuarios. Métodos e instancias de acceso no autorizado a la Información. Control de acceso. Proceso de Identificación y Autenticación. Tipos de dispositivos de identificación. Métodos Biométricos. Pruebas de Penetración. Niveles de Seguridad. Grupos de Usuarios. Usuarios Típicos. Perfil de Grupo y Usuario. Atributos y Privilegios. Sistema Single SignOn. Dominio. Unidad Temática 7: PROCESO DE ENCRIPTACION Temas: Sistema de Encriptación. Algoritmos. Métodos Simétricos y Asimétricos. Estándares. Sistema DES y sus variantes. Sistema RSA y sus alternativas. Métodos para la determinación de claves. Firma Digital. Política de manejo de claves (Creación, Distribución, Mantenimiento). Unidad Temática 8: AUDITORIA INFORMATICA Temas: Auditoria Informática. Concepto y alcances. Herramientas y Técnicas. Guías de Auditoria. Unidad Temática 9: SEGURIDAD EN INTERNET Temas: Vulnerabilidades comunes en el Protocolo TCP/IP. Escáner de Puertos. Ataques de Negación de Servicios. Hacker. Cracker. Protocolos Secure Socket Layer.

3 Unidad Temática 0: CONCEPTOS DE ERGONOMÍA Temas: Normas de seguridad laboral en un ambiente informático. El entorno, el espacio, la iluminación. Normas ISO. La ergonomía y la salud Metodología de Enseñanza. Objetivos procedímentales: Manejo de la información. Manejo de fórmulas matemáticas utilizando probabilidades. Manejo de gráficos en la interpretación de datos. Manejo de unidades. Objetivos actitudinales: Disciplina, esfuerzo y perseverancia en la búsqueda de soluciones de problemas. Valoración de la investigación como base del conocimiento. Valoración y ponderación de los datos. Reflexión sobre la información obtenida. Actividades: Aplicación de fórmulas matemáticas en el desarrollo y compresión de algoritmos. Resolución de problemas reales Búsqueda de soluciones en forma autónoma. Cuestionario de nivelación Revisión en cada inicio de clase de temas anteriores Resultados de trabajos prácticos Consultas de los propios alumnos A través del análisis de casos, llegar a la evaluación de riegos que pueden afectar la Protección de la información en un sistema informático. Análisis de documentación técnica de dispositivos e insumos utilizados para establecer diferentes grados de Protección de la Información. Uso de bibliografía en inglés para completar contenidos. Acceso a links que brindan información sobre temas de seguridad informática. Metodología de Evaluación. Parciales I y II Recuperación de Parciales Examen Final (Oral) Asistencia a y : 75% Trabajos Prácticos grupales aprobados Recursos didácticos a utilizar como apoyo a la enseñanza. Recursos materiales: Pizarra y proyector. 3

4 Manuales de Probabilidades y Estadística. Manuales de Productos Comerciales y libres. Indicadores de evaluación: Carpetas de Trabajos Prácticos. Recolección de la información. Uso del glosario técnico en informes. Pruebas de evaluación oral y escrita. Trabajos Prácticos: Ejercicios de análisis de casos. Ejercicios de aplicación de herramientas comerciales y libres de seguridad. Evaluación de documentación técnica. Ejercicios empleando conceptos de codificación de la información. Ejercicios de diseño de algoritmos de cifrado. Temas a desarrollar utilizando software o hardware Se genero un CD con documentos y aplicaciones vinculadas con temas de Protección de la Información, el que se entrego a los docentes de la cátedra, para que se distribuya el trabajo entre los alumnos 4

5 . Cronograma estimado de clases. Nº Clases. Presentación de la Materia. Valor de la Información. Propiedades características de la información: Integridad; Operatividad y/o disponibilidad; Confidencialidad y/o Privacidad; Autenticidad. Contingencias que pueden afectar a un Sistema Informático. Contingencias de Origen natural, Técnico (directamente vinculada al sistema o no), y debido al factor humano). Puntos Críticos. Caso testigo Determinación de Contingencias. Etapas que componen un Programa Integral de Protección de Sistemas Informáticos (PIPSI). Análisis de riesgos. Métodos de valoración de riegos. Fórmulas empíricas. PPPI. Análisis de caso testigo. Valoración de riegos. Segunda Etapa del Plan Integral de Protección de Sistemas Informáticos. Medidas de Protección. Su división en Medidas de Control y Medidas de Seguridad Clasificación de las medidas de protección en base a su momento de activación. Medidas Preventivas. Medidas Disuasivas. Medidas Detectivas. Medidas Correctivas. Clasificación de las Medidas de Protección. Delitos Informaticos. Casos Sistemas de Alimentación Ininterrumpida de Energía. Programas Antivirus. Sistemas de detección.fraude Politica de Seguridad. Medidas de Control. Independencia de la envergadura de un Sistema Informático. Métodos de Control de Entradas de Datos (Validación de datos de entrada, Técnicas de control de datos referenciales, Control de consistencia entre campos, respaldo en documentación sustentatoria) Control de Salida (Reportes, Impresiones, documentos) Control de calidad. Diseño de un SISTEMA DE VALIDACION DE DATOS DE ENTRADA y SISTEMA DE CONTROL DE REPORTES. Concepto de copia de archivos (Sistema, estructura de archivos, documentos, estructura de datos) Comando de Copia. Imagen de archivos. Métodos de mantenimiento de copias. Copia Total. Copia Diferencial. Copia Incremental. Casos mixtos. Verificación. Numero de copias. Rotación de insumos. Sistemas de Redundancia. Diseño de sistemas de copias de respaldo. Programa de Respaldo y Recuperación. Selección de Archivos. Selección de Método de copia. Selección de Dispositivo e insumo. Normalización de identificación e individualización de soporte. Selección de Personal y almacenamiento de soportes. Software de 5

6 Respaldo. Características destacables. Plan de recuperación de Contingencias. Simulacros. Mantenimiento de dispositivos e insumos. Trabajo Práctico. Evaluación de Software de Respaldo (Sistema Operativo, Sistemas Comerciales, Sistema a medida) Propagación de virus, gusanos, Troyanos, malware y spyware. Rastros en la navegación WEB. Escaneo de Puertos. Firewall. SSL. Métodos AntiSpam. Consultas Evaluación Evaluación Confidencialidad y Autenticidad en Sistemas de Múltiples Usuarios. Etapa de Identificación y Autenticación. Tipos de Ataques a la seguridad en un sistema informático. Elementos basados en lo que un usuario posee o es. Tarjetas, dispositivos hardware entrada/salida y de detección de características Biométricas. Trabajo Practico Evaluación de Tarjetas y dispositivos Biométricos (Análisis de características Técnicas) Revisión Temas unidades anteriores EXAMEN PARCIAL. Análisis de Resultados del Examen Parcial Encriptación de la Información. Componentes. Sistemas Simétrico y Asimétrico. Concepto de seguridad de un sistema de encriptación. Análisis Criptologico. Algoritmos básicos. Métodos Alfabéticos ; de Transposición; basados en Funciones Modulares. Otras variantes. Desarrollo de un Algoritmo y prueba del método de prueba exhaustiva ( fuerza bruta ). Estandarización de Sistemas de Cifrados. DES y sus variantes. RSA y sus variantes. Otros: PGP, RD5. Manejo de claves y contraseñas. Trabajo Práctico Algoritmo DES y RSA. Seguridad en Sistemas Operativos de RED (WINDOWS, UNIX, OS, OS400). Gestión de Usuarios y Grupos. Privilegios. Atributos sobre recursos. Propagación de privilegios. Niveles de Seguridad. El Libro Naranja. Nivel 0,,, 3 y 4. Características. Definición de una estructura de control de acceso Redes WAN y su impacto en la integración de Sistemas. Internet. Intranet y Extranet. El protocolo TCP/IP y sus servicios desde el punto de vista de la seguridad. ( , FTP, etc) con Herramientas de Control y examen de puertos TCP/IP 6

7 3 3 Auditoria Informática. Perfil del Auditor. Auditorias Internas y Externas. Objetivo y metodología de trabajo. Auditoria Organizativa y Operativa. Técnicas y Herramientas para el Auditor Informático. Guías de Auditoria. Diseño de métodos de prueba de datos y guías de auditoria. Dígitos de Control. El ambiente informático saludable. Normas regularmente aceptadas. La Seguridad y la Higiene en el puesto de trabajo de un usuario de sistemas informáticos. El diseño de interfaces de software que facilitan y mejoran la calidad de trabajo. Evaluación de un puesto de trabajo real. Temas Extras a debatir en clases : La Seguridad en Redes Inalámbricas; Métodos de encriptación basados en curvas elípticas. Sistemas Hardware de almacenamiento en red (NAS, SAN). Selección de bibliografía para monografías y distribución de temas por grupos de alumnos Consultas y guía para el desarrollo de trabajos 3 Consultas y guía para el desarrollo de trabajos Consultas Revisión Temas Consultas 3 Evaluación EXAMEN PARCIAL Bibliografía Principal William Stallings - COMUNICACIONES Y REDES DE COMPUTADORES - - Edit. Printice Hall (997 Capítulos XVI al XVIII) FUNDAMENTOS DE SEGURIDAD EN REDES APLICACIONES Y ESTANDARES Willian Stallings Edit Printice Hall (004 da edición) Bibliografía Complementaria: Fisher Royal P SEGURIDD EN LOS SISTEMAS INFORMATICOS. Edit. Diaz de Santos S.A. (988 Pierre Gratton - PROTECCIÓN INFORMÁTICA de Editorial Tirllas Leona Fine - SEGURIDAD EN CENTROS DEL COMPUTOS de Editorial Trillas Mario Piattini AUDITORÍA INFORMÁTICA UN ENFOQUE PRÁCTICO Editorial Alfaometa Farley, Marc GUÍA LAN TIMES DE SEGURIDAD E INTEGRIDAD DE DATOS Ed. McGraw-Hill, Madrid España. Pp

8 APUNTES CONFECCIONADO POR LA CATEDRA Y DE DISTRIBUCION EN LA FACULTAD, año 998, RENOVADO TOTALMENTE AÑO 005/006 REVISTA SECURITY & PRIVACY Computer Society Formato digital a disposición de los alumnos (003) REVISTA COMPUTER IEEE Computer Society Formato digital a disposición de los alumnos (996 A LA FECHA) Documentación Digital (descargada de Internet y puesta a disposición de alumnos), ejemplos: CRIPTOSISTEMAS CLÁSICOS SEGURIDAD EN UNIX Y REDES Huerta Antonio, etc. Etc. MANUALES Y DOCUMENTCION TECNICA DE VARIAS EMPRESAS VINCULADAS CON PRODUCTOS DE SOFTWARE Y DISPOSITIVOS ORIENTADOS A LA PROTECCION DE LA INFORMACION EN SISTEMAS INFORMATICOS 8