Departamento: SISTEMAS DE INFORMACION.. Carrera:...INGENIERIA EN SISTEMAS DE INFORMACION... Área:...SISTEMAS DE INFORMACION...

Transcripción

1 Departamento: SISTEMAS DE INFORMACION.. Carrera:...INGENIERIA EN SISTEMAS DE INFORMACION... Área:...SISTEMAS DE INFORMACION... Asignatura: SEGURIDAD INFORMATICA Nivel:...TERCERO... Tipo: ANUAL / CUATRIMESTRAL {se dicta en ambos cuatrimestres} Titular: Asociado:... Adjunto: ING RICARDO CORBELLA ING JOSE ZAKHOUR ING JOREG ARIAS JTP:. Auxiliares:. Fundamentación de la materia dentro del plan de estudios Implantar estrategias de seguridad que haga posible que la organización pueda proteger adecuadamente el entorno de los sistemas, evitando poner en riesgo la información. Como Concienciar a la Cabeza Estratégica de una Organización de que un error habitual en el mundo institucional es desarrollar los objetivos de seguridad independientemente de los objetivos estratégicos de la propia corporación Propósitos u objetivos de la materia.... Definir un marco conceptual apoyado en Políticas, Estándares y Procedimientos de Seguridad de la información que se adapten a la tecnología utilizada para apoyar la actividad de las organizaciones, permitiendo otorgar flexibilidad y fluidez al negocio, mediante Las políticas, que proporcionan la fuente de instrucciones más importante y más frecuentemente referenciada que detalla cómo los usuarios pueden proteger tanto la información como los sistemas que la contienen. Partiendo de que las políticas deben estar adecuadas a las circunstancias particulares de la organización (objetivos comerciales, requisitos legales, diseño organizacional, ética y buenas costumbres, nivel educativo del usuario, tecnología utilizada, etc.). Y asumiendo que es necesario conocer muy bien los factores de riesgo, mediante un Análisis de Riesgos. 1 de 14

2 Que los alumnos tomen conciencia que la Protección de la Información en los sistemas informáticos de una organización involucra ciertos aspectos que son cruciales, ya que afectan tanto al correcto funcionamiento de la misma como a su propia imagen y que exigen una protección lo más efectiva posible... Por Solicitud del Departamento de Sistemas se propone ofrecer el cursado en ambos cuatrimestres del presente año lectiva 2017, dos divisiones para el primer cuatrimestre (a cargo de los Ing. Jorge Arias, una comisión a la mañana comisión 3k3, y otra a la tarde a cargo del Ing. Jose Zakhour) y una tercera comisión en horario vespertino en el segundo cuatrimestre, 3k1, a mi cargo.- Contenidos.... Unidad Temática 1: PROTECCIÓN DE LA INFORMACIÓN Temas: Propiedades características de la Información. Contingencias. Clasificación. Determinación de puntos críticos en un sistema informático. Plan Integral de Protección Informática. Tablas de valoración de contingencias. Guías para la administración de riesgos de seguridad. Método Magerit para evaluación de riesgos (Chinchon). Medidas de Protección. Clasificación. Medidas de Control. Medidas de Seguridad. Alcances. Punto de accionamiento o activación. Tipos de Medidas de Protección, Disuasivas, Preventivas, Detectivas. Correctivas. Unidad Temática 2: ELEMENTOS DE PROTECCION INFORMATICA EN UNA ORGANIZACION- CONCEPTOS SOBRE DELITOS INFORMATICOS Temas: Políticas de Protección de la Información. La política de seguridad de la información para la Administración Pública de la Oficina Nacional de Tecnologías de Información (ONTI). Manipulación de los datos de salida. Las amenazas persistentes avanzadas (APT). Fraude y Delito Informático. Sabotaje informático. Acceso no autorizado a servicios y sistemas informáticos. Unidad Temática 3: MEDIDAS DE CONTROL Temas: Medidas de Protección aplicables a todo Sistema Informático. Contratación de Seguros. Medidas y dispositivos de Control de Sistemas Informáticos a nivel de hardware y software. Medidas de Control de Entrada y Salida de Datos. Validación de datos de la aplicación. Distintos enfoques: código de interfaz de usuario, código de aplicación o restricciones de bases de datos. Tipos de validación de datos. Control de Calidad. PROGRAMA DE RESPALDO Y RECUPERACION DE ARCHIVOS Y SISTEMAS INFORMATICOS - Conceptos de Copia de Archivos. Tipos de Copia. Mantenimiento de validez de la información en un método de copia. Copia Total, Diferencial e Incremental. Etapas en el diseño de una Política de Respaldo. Prioridad de Archivos. Planificación de Copia. Selección de Recursos de Hardware e Insumos para respaldo. Métodos de Identificación y Almacenamiento de soportes. Software de Respaldo. 2 de 14

3 Sistemas de Almacenamiento DAS NAS SAN. Diseño de un Plan de Recuperación de Contingencias. Métodos de espejado y sincronización de almacenamiento. PROTECCIÓN EN INSTALACIONES INFORMÁTICAS. Irregularidades en el suministro eléctrico. Tipos y ejemplos de Sistemas de Alimentación Ininterrumpida de Energía. Protección contra Incendios. Conceptos sobre Sala Cofre. Data Center. Unidad Temática 4: PROCESO DE ENCRIPTACION Temas: Sistema de Encriptación. Algoritmos. Métodos Simétricos y Asimétricos. Estándares. Sistema DES y sus variantes. Sistema RSA y sus alternativas. Métodos para la determinación de claves. Firma Digital. Política de manejo de claves (Creación, Distribución, Mantenimiento. Criptografía Cuántica y de Residuos. Unidad Temática 5: SEGURIDAD EN SISTEMAS DE MULTIPLES USUARIOS - INTERNET Temas: Sistemas de Múltiples usuarios. Métodos e instancias de acceso no autorizado a la Información. Control de acceso. Proceso de Identificación y Autenticación. Tipos de dispositivos de identificación. Métodos Biométricos. Pruebas de Penetración. Estado del Arte: Sistemas de Detección de Intrusos. Métodos de Doble Autenticación. Niveles de Seguridad. Grupos de Usuarios. Usuarios Típicos. Perfil de Grupo y Usuario. Atributos y Privilegios. Sistema Single SignOn. Dominio. Vulnerabilidades comunes en el Protocolo TCP/IP. Escáner de Puertos. Ataques de Negación de Servicios. Hacker. Cracker. Protocolos Secure Socket Layer. Principales puntos de atención en el Open Web Application Security Project (OWASP). Privacidad y protección organizacional en el uso de Redes Sociales. Unidad Temática 6: CÓDIGOS MALICIOSOS Temas: Virus y otros programas malintencionados (Adware, Botnets, Gusanos, Hoax, PayLoad, Phishing, Ransomware, Rogue, Rootkit, Scam, Spam, Spyware, Troyanos). Antivirus. Técnicas de detección de virus, programas espía ( spyware ) y publicitarios ( adware ). Otras tendencias dañinas (Zombies de Spam, Hosts de phishing, Computadoras infectadas por bots, Orígenes de los ataques a redes, Orígenes de ataques basados en web). Metodología de protección en redes mixtas. Unidad Temática 7: AUDITORIA INFORMATICA Temas: Auditoria Informática. Concepto y alcances dentro del Plan Integral de Protección Informática. Herramientas y Técnicas. Guías de Auditoria. Nociones de Forensia Informática. Metodología de Enseñanza.... Objetivos procedímentales: Manejo de la información. Manejo de fórmulas matemáticas utilizando probabilidades. 3 de 14

4 Manejo de gráficos en la interpretación de datos. Manejo de unidades. Objetivos actitudinales: Disciplina, esfuerzo y perseverancia en la búsqueda de soluciones de problemas. Valoración de la investigación como base del conocimiento. Valoración y ponderación de los datos. Reflexión sobre la información obtenida. Actividades: Aplicación de fórmulas matemáticas en el desarrollo y compresión de algoritmos. Resolución de problemas reales Búsqueda de soluciones en forma autónoma. Cuestionario de nivelación Revisión en cada inicio de clase de temas anteriores Resultados de trabajos prácticos Consultas de los propios alumnos A través del análisis de casos, llegar a la evaluación de riegos que pueden afectar la Protección de la información en un sistema informático. Análisis de documentación técnica de dispositivos e insumos utilizados para establecer diferentes grados de Protección de la Información. Uso de bibliografía en inglés para completar contenidos. Acceso a links que brindan información sobre temas de seguridad informática. Metodología de Evaluación. En el Régimen de Promoción están los requisitos que deben satisfacer los alumnos para aprobar la asignatura, los cuales son: Régimen de Asistencia: 75% para Clases Teóricas- Prácticas y Laboratorios. Trabajos Prácticos: 100% de realización. Cualquiera sea la naturaleza del Trabajo Práctico, Gabinete o de Laboratorio. Aprobación del Primer y/o Segundo Parcial o las Recuperaciones I y II según lo que corresponda. La forma de evaluación es mediante Pruebas Escritas individuales, y se aprueba con 6 (seis) o más. El Examen Final consiste en una prueba oral o escrita de conocimientos sobre el Programa Analítico de la Asignatura. La Nota mínima de Aprobación es cuatro (6) y la máxima diez (10). 4 de 14

5 Promoción Directa ordenanza 1549/2016 y la Ord. 1567/2016 Régimen de Asistencia: 75% para Clases Teóricas- Prácticas y Laboratorios. Trabajos Prácticos: 100% de realización. Cualquiera sea la naturaleza del Trabajo Práctico, Gabinete o de Laboratorio Aquel alumno que aspire a la Promoción Directa, deberá Aprobar los evaluativos que se tomen, o sus recuperatorios si corresponde, con una nota de siete (7) o más y deberá desarrollar, al finalizar el cursado, un Trabajo Integrador de la asignatura con ejemplos prácticos, según sugerencia del docente de la cátedra. Recursos didácticos a utilizar como apoyo a la enseñanza... Manuales de Productos Comerciales y libres. Para el desarrollo de la actividad curricular se cuenta con: Software de virtualización. Sistemas Operativos varios (entornos de seguridad) Aulas con retroproyectores. Desarrollos teóricos y material de apoyo en CDS realizados por personal de la cátedra. 5 de 14

6 Articulación horizontal y vertical con otras materias... Temas de la Unidad 3 de posible ARTICULACION POSIBLE CON LAS MATERIAS DISEÑO DE SISTEMAS BASES DE DATOS - SINTAXIS Y SEMÁNTICA DEL LENGUAJE) Temas de la Unidad 4 de posible ARTICULACION POSIBLE CON LAS MATERIAS COMUNICACIONES REDES PROBABILIDADES Y ESTADISTICAS Temas de la Unidad 5 de posible ARTICULACION POSIBLE CON LAS MATERIAS REDES REDES AVANZADAS PROGRAMACION WEB Temas de la Unidad 7 de posible ARTICULACION POSIBLE CON LA MATERIA ADMINISTRACION DE RECURSOS... Cronograma estimado de clases. Ver ( Cronograma_de_Clases_y_Temas ) Reuniones de cátedra programadas. Cuatro programadas en el año Seminarios de cátedra. Cuadro de horas estimadas para intensidad en la formación práctica A fin de lograr estos objetivos, sobre un total de 64 horas semestrales se desarrollarán las siguientes actividades: Teoría Resolución de problemas relacionados con la teoría e ingeniería Laboratorio Evaluativos I y II y recuperaciones Total 30 horas 20 horas 10 horas 4 horas 64 horas 6 de 14

7 INTENSIDAD EN LA FORMACION PRACTICA (DE ACUERDO A LA RES. MINISTERIAL 786/09. VER DESDE PAGINA 37 A 39) FORMACION EXPERIMENTAL RESOLUCION DE PROBLEMAS DE INGENIERIA ACTIVIDADES DE PROYECTO Y DISEÑO 20% 10% 10% Programa_Analítico_Detallado Contenido Analítico Unidad Temática 1: PROTECCIÓN DE LA INFORMACIÓN 1.1 Propiedades características de la Información. 1.2 Contingencias. Clasificación. Determinación de puntos críticos en un sistema informático. 1.3 Plan Integral de Protección Informática. Tablas de valoración de contingencias. 1.4 Guías para la administración de riesgos de seguridad. Método Magerit para evaluación de riesgos (Chinchon). 1.5 Medidas de Protección. Clasificación. 1.6 Medidas de Control. Medidas de Seguridad. Alcances. Punto de accionamiento o activación. Tipos de Medidas de Protección, Disuasivas, Preventivas, Detectivas. Correctivas. UNIDAD 2: ( Unidad Temática 2: ELEMENTOS DE PROTECCION INFORMATICA EN UNA ORGANIZACION- CONCEPTOS SOBRE DELITOS INFORMATICOS 2.1 Políticas de Protección de la Información. 2.2 La política de seguridad de la información para la Administración Pública de la Oficina Nacional de Tecnologías de Información (ONTI). 2.3 Manipulación de los datos de salida. 2.4 Las amenazas persistentes avanzadas (APT). 2.5 Fraude y Delito Informático. Sabotaje informático. Acceso no autorizado a servicios y sistemas informáticos Unidad Temática 3: MEDIDAS DE CONTROL 3.1 Medidas de Protección aplicables a todo Sistema Informático. Contratación de Seguros. 3.2 Medidas y dispositivos de Control de Sistemas Informáticos a nivel de hardware y software. 3.3 Medidas de Control de Entrada y Salida de Datos. Validación de datos de la aplicación. Distintos enfoques: código de interfaz de usuario, código de aplicación o restricciones de bases de datos. Tipos de validación de datos. Control de Calidad. 3.4 PROGRAMA DE RESPALDO Y RECUPERACION DE ARCHIVOS Y SISTEMAS INFORMATICOS - Conceptos de Copia de Archivos. Tipos de Copia. Mantenimiento de validez de la información en un método de copia. Copia Total, Diferencial e Incremental. Etapas en el diseño de una Política de Respaldo. Prioridad de Archivos. Planificación de Copia. Selección de Recursos de Hardware e Insumos para respaldo. Métodos de Identificación y Almacenamiento de soportes. 7 de 14

8 3.5 Software de Respaldo. Sistemas de Almacenamiento DAS NAS SAN. 3.6 Diseño de un Plan de Recuperación de Contingencias. 3.7 Métodos de espejado y sincronización de almacenamiento. 3.8 PROTECCIÓN EN INSTALACIONES INFORMÁTICAS. Irregularidades en el suministro eléctrico. Tipos y ejemplos de Sistemas de Alimentación Ininterrumpida de Energía. 3.9 Protección contra Incendios. Conceptos sobre Sala Cofre. Data Center. Unidad Temática 4: PROCESO DE ENCRIPTACION 4. 1 Sistema de Encriptación. Algoritmos. Métodos Simétricos y Asimétricos. 4.2 Estándares. Sistema DES y sus variantes. Sistema RSA y sus alternativas. 4.3 Métodos para la determinación de claves. 4.4 Firma Digital. 4.5 Política de manejo de claves (Creación, Distribución, Mantenimiento. 4.6 Criptografía Cuántica y de Residuos. Unidad Temática 5: SEGURIDAD EN SISTEMAS DE MULTIPLES USUARIOS - INTERNET 5.1 Sistemas de Múltiples usuarios. 5.2 Métodos e instancias de acceso no autorizado a la Información. 5.3 Control de acceso. Proceso de Identificación y Autenticación. Tipos de dispositivos de identificación. Métodos Biométricos. 5.4 Pruebas de Penetración. 5.5 Estado del Arte: Sistemas de Detección de Intrusos. Métodos de Doble Autenticación. 5.6 Niveles de Seguridad. Grupos de Usuarios. Usuarios Típicos. Perfil de Grupo y Usuario. Atributos y Privilegios. Sistema Single SignOn. Dominio. 5.7 Vulnerabilidades comunes en el Protocolo TCP/IP. Escáner de Puertos. Ataques de Negación de Servicios. Hacker. Cracker. Protocolos Secure Socket Layer. 5.8 Principales puntos de atención en el Open Web Application Security Project (OWASP). 5.9 Privacidad y protección organizacional en el uso de Redes Sociales. Unidad Temática 6: CÓDIGOS MALICIOSOS 6.1 Virus y otros programas malintencionados (Adware, Botnets, Gusanos, Hoax, PayLoad, Phishing, Ransomware, Rogue, Rootkit, Scam, Spam, Spyware, Troyanos). 6.2 Antivirus. Técnicas de detección de virus, programas espía ( spyware ) y publicitarios ( adware ). Otras tendencias dañinas (Zombies de Spam, Hosts de phishing, Computadoras infectadas por bots, Orígenes de los ataques a redes, Orígenes de ataques basados en web). 6.3 Metodología de protección en redes mixtas. Unidad Temática 7: AUDITORIA INFORMATICA 7.1 Auditoria Informática. Concepto y alcances dentro del Plan Integral de Protección Informática. 7.2 Herramientas y Técnicas. Guías de Auditoria. 8 de 14

9 7.3 Nociones de Forensia Informática. BIBLIOGRAFÍA: Título: PLAN INTEGRAL DE PROTECCIÓN INFORMÁTICA Autor/es: Ing. Ricardo José Corbella Editorial: Editorial Académica Española Edición: Publicado en: ISBN-13: Título: FUNDAMENTOS DE SEGURIDAD EN REDES APLICACIONES Y ESTANDARES Autor/es: Editorial: Edición: Willian Stallings Edit Printice Hall (A partir de la 2da edición) Título: Autor/es: QUE ES LA SEGURIDAD INFORMATICA DR. HUGO SCOLNIK Editorial: Ed PaIDOS Edición: ISBN: Título: SEGURIDAD INFORMATICA Autor/es: MARIA DEL PILAR ALEGRE RAMOS,ALFONSO GARCIA-CERVIGÓN HURTADO Editorial: Paraninfo Edición: ISBN 13: ISBN 10: Título: Autor/es: Editorial: Edición: HACKING Y SEGURIDAD DE PÁGINAS WEB ANTONIO VARON CARLOS MUÑOZ Editorial Ra-Ma ISBN: ISBN-13 APUNTES CONFECCIONADO POR LA CATEDRA Y DE DISTRIBUCION EN LA FACULTAD, via Pagina Oficial REVISTA SECURITY & PRIVACY Computer Society Formato digital a disposición de los alumnos IEEE REVISTA COMPUTER IEEE Computer Society Formato digital a disposición de los alumnos 9 de 14

10 Documentación Digital (descargada de Internet y puesta a disposición de alumnos), ejemplos: la RED IBEROAMERICANA DE SEGURIDAD 10 de 14

11 Cronograma_de_Clases_y_Temas Área: SISTEMAS DE INFIORMACION Asignatura: SEGURIDAD INFORMATICA Nº de Semana Académica 1 06/04/17 Unidad Temática 1 Clase Nº Nº 1 Carácter T Contenidos Temáticos Propiedades características de la Información. Contingencias. Clasificación. Determinación de puntos críticos en un sistema informático. Plan Integral de Protección Informática. Tablas de valoración de contingencias. 2 13/04/ /04/ /04/ Nº 2 Nº 3 Guías para la administración de riesgos de seguridad. Método Magerit para evaluación de riesgos (Chinchon). Medidas de Protección. Clasificación. Medidas de Control. Medidas de Seguridad. Alcances. Punto de accionamiento o activación. Tipos de Medidas de Protección, Disuasivas, Preventivas, Detectivas. Correctivas T Temas: Políticas de Protección de la Información. La política de seguridad de la información para la Administración Pública de la Oficina Nacional de Tecnologías de Información (ONTI). Manipulación de los datos de salida. Las amenazas persistentes avanzadas (APT). Fraude y Delito Informático. Sabotaje informático. Acceso no autorizado a servicios y sistemas informático Temas: Medidas de Protección aplicables a todo Sistema Informático. Contratación de Seguros. Medidas y dispositivos de Control de Sistemas Nº 4 Informáticos a nivel de hardware y software. Medidas de Control de Entrada y Salida de Datos. Validación de datos de la aplicación. Distintos enfoques: código de interfaz de usuario, código de aplicación o restricciones de 11 de 14

12 bases de datos. Tipos de validación de datos. Control de Calidad. 5 05/05/ /05/ Nº 5 Nº 6 PROGRAMA DE RESPALDO Y RECUPERACION DE ARCHIVOS Y SISTEMAS INFORMATICOS - Conceptos de Copia de Archivos. Tipos de Copia. Mantenimiento de validez de la información en un método de copia. Copia Total, Diferencial e Incremental. Etapas en el diseño de una Política de Respaldo. Prioridad de Archivos. Planificación de Copia. Selección de Recursos de Hardware e Insumos para respaldo. Métodos de Identificación y Almacenamiento de soportes. Software de Respaldo. Sistemas de Almacenamiento DAS NAS SAN. Diseño de un Plan de Recuperación de Contingencias. Métodos de espejado y sincronización de almacenamiento. PROTECCIÓN EN INSTALACIONES INFORMÁTICAS. Irregularidades en el suministro eléctrico. Tipos y ejemplos de Sistemas de Alimentación Ininterrumpida de Energía. Protección contra Incendios. Conceptos sobre Sala Cofre. Data Center 7 12/05/17 Nº 7 E Iº Evaluativo 8 12/05/17 4 Nº 8 Temas: Sistema de Encriptación. Algoritmos. Métodos Simétricos y Asimétricos. Estándares. Sistema DES y sus variantes. Sistema RSA y sus alternativas. Métodos para la determinación de claves 9 19/05/ /05/ Nº 9 Nº 10 Recuperatorio del Iº Evaluativo Firma Digital. Política de manejo de claves (Creación, Distribución, Mantenimiento. Criptografía Cuántica y de Residuos Temas: Sistemas de Múltiples usuarios. Métodos e instancias de acceso no autorizado a la Información. Control de acceso. Proceso de Identificación y Autenticación. Tipos de dispositivos de identificación. Métodos Biométricos. Pruebas de Penetración. Estado del Arte: Sistemas de Detección de Intrusos. Métodos de Doble Autenticación. 12 de 14

13 11 26/05/ /06/ /06/ Nº 11 Nº 12 Niveles de Seguridad. Grupos de Usuarios. Usuarios Típicos. Perfil de Grupo y Usuario. Atributos y Privilegios. Sistema Single SignOn. Dominio. Vulnerabilidades comunes en el Protocolo TCP/IP. Escáner de Puertos Ataques de Negación de Servicios. Hacker. Cracker. Protocolos Secure Socket Layer. Principales puntos de atención en el Open Web Application Security Project (OWASP). Privacidad y protección organizacional en el uso de Redes Sociales. Temas: Virus y otros programas malintencionados (Adware, Botnets, Gusanos, Hoax, PayLoad, Nº 13 Phishing, Ransomware, Rogue, Rootkit, Scam, Spam, Spyware, Troyanos). Antivirus. Técnicas de detección de virus, programas espía ( spyware ) y publicitarios ( adware ) /06/17 6 Otras tendencias dañinas (Zombies de Spam, Hosts de phishing, Computadoras infectadas por Nº 14 bots, Orígenes de los ataques a redes, Orígenes de ataques basados en web). Metodología de protección en redes mixtas /06/17 7 Nº 15 T Temas: Auditoria Informática. Concepto y alcances dentro del Plan Integral de Protección Informática. Herramientas y Técnicas /06/17 Nº /07/17 Nº 16 E E Guías de Auditoria. Nociones de Forensia Informática. IIº Evaluativo Recuperatorio del IIº Evaluativo Fechas Estimativas de Parciales y Recuperatorios (En caso de corresponder será consensuado con Dpto. Ciencias Básicas) Área: SISTEMAS DE INFORMACION Asignatura: SEGURIDAD DE INFORMATICA 13 de 14

14 Evaluació n May o May o Juli o Julio/Ago sto 2017 Octub re 2017 Octub re 2017 Diciem bre 2017 Diciem bre 2018 Observacio nes 1º Parcial X X Recuperac ión 1º Parcial 2º Parcial x x X X Recuperac ión 2º Parcial X X Máquina Virtual (En caso de corresponder) Información para el Laboratorio, la misma debe ser lo más precisa posible Área: SISTEMAS DE INFORMACION Asignatura: SEGURIDAD INFORMATICA Software Detalle Observacione Sistema Operativo Windows Linux Buscador IExplorer Opera Mozila Chrome MS Office Otro Herramientas administrativas Otro GFILanguard Otro NESSUS ESCANER Ing. Ricardo José Corbella Jefe de Cátedra de Seguridad Informática Ing. José Daniel Zakhour- Prof. Adjunto de Seguridad Informática 14 de 14