SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos de números secuenciados temporalmente) Unidad 1. Introducción a la seguridad informática 1. Seguridad informática y seguridad de la información 2. Conceptos básicos 2.1. Activos 2.2. Vulnerabilidades 2.3. Amenazas 2.4. Ataques 2.5. Riesgos 2.6. Impactos 2.7. Desastres 3. Principios de la seguridad informática 3.1. Integridad 3.2. Confidencialidad 3.3. Disponibilidad 3.4. Otras características deseables en un sistema seguro 4. Políticas de seguridad 5. Planes de contingencia Unidad 2. Seguridad física 1. Importancia de la seguridad física 2. Protección física de los equipos 2.1. Entorno físico del equipo 2.2. Instalaciones 2.3. Sistemas de alimentación ininterrumpida 2.4. Controles de presencia y acceso 3. Centros de proceso de datos 3.1. Características constructivas y de disposición 3.2. Sistemas de seguridad del CPD 3.3. Climatización 3.4. Datos Rev.1 20/07/10 Pág. 1/8
Unidad 3. Seguridad lógica 1. Concepto de seguridad lógica 2. Acceso a sistemas operativos y a aplicaciones 2.1. Contraseñas 2.2. Listas de control de acceso 3. Acceso a aplicaciones por internet 4. Otras alternativas de gestión de identidades 4.1. Autenticación de usuarios 4.2. Autorización de usuarios Unidad 4. Criptografía 1. Introducción a la criptografía 1.1. Definiciones 1.2. Elementos de un criptosistema 1.3. Tipos de sistemas de cifrado 2. Cifrado de clave simétrica 3. Cifrado de clave asimétrica 3.1. Autenticación con claves asimétricas 3.2. Confidencialidad con claves asimétricas 3.3. Algoritmos de cifrado 4. Algoritmos de cifrado hash 5. Sistemas híbridos 5.1. PGP (Preatty Good Privacy) 5.2. Open PGP 5.3. GnuPG (GNU Privacy Guard) Unidad 5. Aplicaciones de la criptografía 1. Aplicaciones criptográficas 2. Firma digital 2.1. Firma digital con árbitro 2.2. Firma digital ordinaria 2.3. Clases de firma digital 3. Certificado digital 3.1. Conceptos y características 3.2. Autoridades de certificación 3.3. Solicitud de certificados 3.4. Uso de certificados 3.5. Clases de certificados 4. DNI electrónico 5. SSL y TLS 6. Cifrado de información Unidad 6. Software malicioso 1. Software malicioso 2. Tipos de software malicioso Rev.1 20/07/10 Pág. 2/8 Rev.1 20/07/10 Pág. 2/8
2.1. Según su forma de propagación 2.2. Según las acciones que realiza 3. Denegación de servicio 4. Publicidad y correo no deseado 5. Ingeniería social. Fraudes informáticos 5.1. Suplantación de la identidad 5.2. Cadenas de correos 5.3. Correos millonarios Unidad 7. Medidas de protección contra el malware 1. Medidas preventivas contra el malware 1.1. Suites de seguridad 1.1.1. Tipos de suites de seguridad 1.2. Cortafuegos 1.2.1. Tipos de cortafuegos según su ubicación 1.2.2. Tipos de cortafuegos según su funcionamiento 1.3. Protección en correo electrónico 2. Medidas paliativas contra el malware 2.1. Copias de seguridad 2.2. Software congelador 3. Centros de protección y respuesta ante amenazas 4. Buenas prácticas para protegerse contra el malware Unidad 8. Gestión del almacenamiento 1. Gestión y políticas de almacenamiento 2. Dispositivos de almacenamiento 2.1. Clasificación 2.2. Servicios de almacenamiento remoto 2.3. Almacenamiento externo 3. Tecnologías de almacenamiento redundante y distribuido 3.1. RAID 0 3.2. RAID 1 3.3. RAID 5 4. Copias de seguridad 4.1. Clases de copias de seguridad 4.2. Realización de copias de seguridad 5. Gestión de imágenes del sistema 6. Recuperación de datos eliminados Unidad 9. Seguridad en redes 1. Vulnerabilidades de los servicios en red 1.1. Vulnerabilidades en el nivel físico 1.2. Vulnerabilidades en el nivel de enlace Rev.1 20/07/10 Pág. 3/8 Rev.1 20/07/10 Pág. 3/8
1.3. Vulnerabilidades en el nivel de red 1.4. Vulnerabilidades en el nivel de enlace 1.5. Vulnerabilidades en los niveles de sesión, presentación y aplicación 1.6. Ataques de denegación de servicio en redes 2. Monitorización 2.1. Port mirroring 2.2. Network tap 2.3. Herramientas de monitorización 3. Técnicas de protección en redes 3.1. Cortafuegos. Iptables 3.2. Zonas desmilitarizadas (DMZ) 3.3. Detectores de intrusos 3.4. Proxies 3.5. Gestión unificada de amenazas 4. Seguridad en los protocolos para redes inalámbricas 4.1. Ataques más comunes 4.2. Mecanismos de seguridad 4.3. Falsas medidas de seguridad 5. Auditorías de seguridad informática 5.1. Tipos de auditorías 5.2. Herramientas para auditorías Unidad 10. Normativa sobre seguridad y protección de datos 1. Protección de datos de carácter personal 1.1. Tratamiento de los datos 1.2. Elementos personales que intervienen en el tratamiento de los datos 1.3. Derechos de los afectados 1.4. Agencia Española de Protección de Datos 2. Legislación sobre los servicios de la sociedad de la información y el comercio electrónico 3. Sistemas de gestión de seguridad de la información 3.1. Contenido de un SGSI 3.2. Implantación de un SGSI 3.3.-Contenidos Mínimos de la Asignatura (Enuméralos): Aplicación de medidas de seguridad pasiva: Ubicación y protección física de los equipos y servidores. Sistemas de alimentación ininterrumpida. - Gestión de dispositivos de almacenamiento: Almacenamiento de la información: rendimiento, disponibilidad, accesibilidad. Almacenamiento redundante y distribuido. Almacenamiento remoto y extraíble. Criptografía. Copias de seguridad e imágenes de respaldo. Rev.1 20/07/10 Pág. 4/8 Rev.1 20/07/10 Pág. 4/8
Medios de almacenamiento. - Aplicación de mecanismos de seguridad activa: Identificación digital. Firma electrónica y certificado digital. Seguridad en los protocolos para comunicaciones inalámbricas. Utilización de cortafuegos en un sistema o servidor. Listas de control de acceso. Política de contraseñas. Recuperación de datos. Software malicioso. Clasificación. Herramientas de protección y desinfección. - Aseguramiento de la privacidad: Métodos para asegurar la privacidad de la información transmitida. Fraudes informáticos y robos de información. Control de la monitorización en redes cableadas. Seguridad en redes inalámbricas. Sistemas de identificación: firma electrónica, certificados digitales y otros. Cortafuegos en equipos y servidores. - Cumplimiento de la legislación y de las normas sobre seguridad: Legislación sobre protección de datos. Legislación sobre los servicios de la sociedad de la información y correo electrónico. 5.-. EVALUACIÓN 5.1.-Criterios de Evaluación: ( Qué se va a evaluar?. Qué debe saber el alumno/a para aprobar la asignatura o el módulo (No se pide el cómo evalúa el profesor). Objetivo 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades. a) Se ha valorado la importancia de mantener la información segura. b) Se han descrito las diferencias entre seguridad física y lógica. c) Se han definido las características de la ubicación física y condiciones ambientales de los equipos y servidores. d) Se ha identificado la necesidad de proteger físicamente los sistemas informáticos. e) Se ha verificado el funcionamiento de los sistemas de alimentación ininterrumpida. f) Se han seleccionado los puntos de aplicación de los sistemas de alimentación ininterrumpida. g) Se han esquematizado las características de una política de seguridad basada en listas de control de acceso. h) Se ha valorado la importancia de establecer una política de contraseñas. i) Se han valorado las ventajas que supone la utilización de sistemas biométricos. Rev.1 20/07/10 Pág. 5/8 Rev.1 20/07/10 Pág. 5/8
Objetivo 2. Gestiona dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando técnicas para asegurar la integridad de la información. a) Se ha interpretado la documentación técnica relativa a la política de almacenamiento. b) Se han tenido en cuenta factores inherentes al almacenamiento de la información (rendimiento, disponibilidad, accesibilidad, entre otros). c) Se han clasificado y enumerado los principales métodos de almacenamiento incluidos los sistemas de almacenamiento en red. d) Se han descrito las tecnologías de almacenamiento redundante y distribuido. e) Se han clasificado los principales tipos de criptografía. f) Se han seleccionado estrategias para la realización de copias de seguridad. g) Se ha tenido en cuenta la frecuencia y el esquema de rotación. h) Se han realizado copias de seguridad con distintas estrategias. i) Se han identificado las características de los medios de almacenamiento remotos y extraíbles. j) Se han utilizado medios de almacenamiento remotos y extraíbles. k) Se han creado y restaurado imágenes de respaldo de sistemas en funcionamiento. l) Se han utilizado herramientas de chequeo de discos. Objetivo 3. Aplica mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático. a) Se han clasificado y enumerado los tipos de amenazas. b) Se han descrito los principales tipos de ataques. c) Se han aplicado técnicas de auditoría de sistemas. d) Se han seguido planes de contingencia para actuar ante fallos de seguridad. e) Se han clasificado los principales tipos de software malicioso. f) Se han realizado actualizaciones periódicas de los sistemas para corregir posibles vulnerabilidades. g) Se ha verificado el origen y la autenticidad de las aplicaciones que se instalan en los sistemas. h) Se han instalado, probado y actualizado aplicaciones específicas para la detección y eliminación de software malicioso. i) Se han aplicado técnicas de recuperación de datos. Objetivo 4. Asegura la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software especifico. a) Se ha identificado la necesidad de inventariar y controlar los servicios de red. b) Se ha contrastado la incidencia de las técnicas de ingeniería social en los fraudes informáticos y robos de información. c) Se ha deducido la importancia de minimizar el volumen de tráfico generado por la publicidad y el correo no deseado. Rev.1 20/07/10 Pág. 6/8 Rev.1 20/07/10 Pág. 6/8
d) Se han aplicado medidas para evitar la monitorización de redes cableadas. e) Se han clasificado y valorado las propiedades de seguridad de los protocolos usados en redes inalámbricas. f) Se han descrito sistemas de identificación como la firma electrónica, certificadondigital, entre otros. g) Se han utilizado sistemas de identificación como la firma electrónica, certificadodigital, entre otros. h) Se han instalado, configurado y utilizado herramientas de cifrado. i) Se han descrito el uso de la tecnología de tarjetas inteligentes. j) Se ha instalado y configurado un cortafuegos en un equipo o servidor. Objetivo 5. Reconoce la legislación y normativa sobre seguridad y protección de datos analizando las repercusiones de su incumplimiento. a) Se ha descrito la legislación sobre protección de datos de carácter personal. b) Se ha determinado la necesidad de controlar el acceso a la información personal almacenada. c) Se han identificado las figuras legales que intervienen en el tratamiento y mantenimiento de los ficheros de datos. d) Se ha contrastado la obligación de poner a disposición de las personas los datos personales que les conciernen. e) Se ha descrito la legislación actual sobre los servicios de la sociedad de la información y comercio electrónico. f) Se han contrastado las normas sobre gestión de seguridad de la información. 5.2.-Criterios de Calificación: Cómo evaluar??. Procedencia de dicha calificación: exámenes, trabajos, observación, actitud De dónde se obtiene la nota numérica y % que se aplica a cada apartado. Dado el carácter práctico de la Formación Profesional, se establece una calificación mixta entre los contenidos evaluados en proyectos y en los exámenes. Al final de cada unidad didáctica se calificarán los siguientes conceptos: 20% Trabajos realizados 70% de la nota de la evaluación estará compuesta por la realización de los exámenes al final de cada unidad temática 10% Actitud: participación en clase, trabajo diario, o o La nota final de la evaluación de la Unidad será la suma de los dos apartados anteriores, teniendo suspendida la evaluación cuando alguno de ellos no supere 5 puntos. La nota final del PERIODO de EVALUACIÓN TRIMESTRAL será la media de todas las evaluaciones de las Unidades de Trabajo-Temáticas realizadas durante la Rev.1 20/07/10 Pág. 7/8 Rev.1 20/07/10 Pág. 7/8
o evaluación. Se aplicará el peso porcentual de horas impartidas en cada unidad temática. Es necesario obtener una nota mayor o igual a 5 en todas las unidades didácticas de la evaluación para realizar la media. La nota final del CURSO será la media de todas las evaluaciones de las Unidades de Trabajo-Temáticas realizadas durante el curso. Se aplicará el peso porcentual de horas impartidas en cada unidad temática. Es necesario obtener una nota mayor o igual a 5 en todas las unidades didácticas para realizar la media. 5.4.-Recuperación. Sistemas de recuperación del Módulo/Asignatura Si un alumno no supera una o varias evaluaciones, deberá recuperar las unidades didácticas en las que obtuvo una nota menor a cinco en el examen final de recuperación que se realizará en la primera convocatoria ordinaria antes de la realización del módulo de Formación en Centros de Trabajo. Para poder realizar este examen es necesario haber presentado todos los trabajos prácticos solicitados por el profesor a lo largo de todo el curso y tener una calificación de 5 en estos. Independientemente de la nota obtenida en las evaluaciones recuperadas en el examen de recuperación final, se utilizará un cinco (5) para computar la media aritmética de las evaluaciones recuperadas, que será la nota final del módulo. Acceso a la segunda convocatoria ordinaria Los alumnos que, después de la primera convocatoria tengan módulos no superados, accederán a la segunda convocatoria de cada curso académico. El examen de la segunda convocatoria ordinaria incluirá contenidos de todas las evaluaciones, independientemente de las evaluaciones superadas con anterioridad en la primera convocatoria ordinaria. La segunda convocatoria ordinaria se realizará al término del módulo de Formación en Centros de Trabajo. Planificación de las actividades de recuperación de los módulos no superados Los alumnos que vayan a acceder a la segunda convocatoria de cada año académico recibirán del profesor un listado de actividades y ejercicios, de entre los realizados a lo largo del curso, que deberán realizar como actividades de recuperación con el fin de superar el módulo en la segunda convocatoria ordinaria. Se realizarán sesiones de repaso en el centro con el fin de que los alumnos puedan reforzar los contenidos no superados. Rev.1 20/07/10 Pág. 8/8 Rev.1 20/07/10 Pág. 8/8