CICLO FORMATIVO DE GRADO MEDIO SISTEMAS MICROINFORMÁTICOS Y REDES (S.M.R.) SEGURIDAD INFORMÁTICA Programación didáctica CURSO 2010-2011 I.E.S. JOSE LUIS SAMPEDRO INMACULADA BELÉN MAS Departamento de Informática
TABLA DE CONTENIDOS 1. CONTENIDOS DEL MÓDULO... 3 UT 1. Conceptos básicos de la seguridad informática... 3 UT 2. Seguridad pasiva. Hardware y almacenamiento... 4 UT 3. Seguridad pasiva. Recuperación de datos... 4 UT 4. Sistemas de identificación. Criptografía... 5 UT 5. Seguridad activa en el sistema... 5 UT 6. Seguridad activa en redes... 5 UT 7. Seguridad de alto nivel en redes: cortafuegos... 6 UT 8. Seguridad de alto nivel en redes: proxy... 6 2. EVALUACIÓN: PROCEDIMIENTOS Y CRITERIOS... 6 3. CRITERIOS DE CALIFICACIÓN... 8 4. PRUEBAS DE RECUPERACIÓN... 9 5. LIBRO DE TEXTO... 9
1. CONTENIDOS DEL MÓDULO La propuesta de programación está constituida por una relación secuencial de Unidades de Trabajo con sus contenidos, actividades de formación y de evaluación que contienen la formación necesaria para desempeñar la función de implantación de medidas de seguridad en sistemas informáticos. La definición de esta función incluye aspectos como: La instalación de equipos y servidores en entornos seguros. La incorporación de procedimientos de seguridad en el tratamiento de la información. La actualización de los sistemas operativos y el software de aplicación instalado. La protección frente a software malicioso. La aplicación de la legislación y normativa sobre seguridad y protección de la información. La relación ordenada de Unidades de Trabajo, cuya secuenciación y número de horas puede verse modificada a lo largo del curso, es la siguiente: Unidad de Trabajo Horas UT 1. Conceptos básicos de la seguridad informática 9 UT 2. Seguridad pasiva. Hardware y almacenamiento 28 UT 3. Seguridad pasiva. Recuperación de datos 8 UT 4. Sistemas de identificación. Criptografía 8 Primera Evaluación UT 5. Seguridad activa en el sistema 10 UT 6. Seguridad activa en redes 10 UT 7. Seguridad de alto nivel en redes: cortafuegos 6 UT 8. Seguridad de alto nivel en redes: proxy 6 Segunda Evaluación Evaluación Final 85 UT 1. Conceptos básicos de la seguridad informática Analizar la problemática general de la seguridad informática. Describir las diferencias entre seguridad física y lógica y entre seguridad activa y pasiva. Contrastar la incidencia del software malicioso y las técnicas de ingeniería social en los fraudes informáticos y robos de información. Determinar la necesidad de controlar el acceso a la información personal almacenada. Describir la legislación sobre protección de datos de carácter personal y sobre los servicios de la sociedad de la información y el comercio electrónico. Visión global de la seguridad informática. Conceptos. Planificación de la seguridad: o Activos o Amenazas o Riesgos o Vulnerabilidades o Impactos Servicios y mecanismos de seguridad: o Confidencialidad o Integridad
o Identificación/Autenticación o No repudio o Control de accesos o Auditoría o Disponibilidad o Alarmas Seguridad física y lógica. Seguridad activa y pasiva. Legislación sobre protección de datos. o Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). o Ley de Datos de Carácter Personal en la Comunidad de Madrid. o Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico(LSSI-CE). o Ley sobre normas reguladoras de firma electrónica. o Ley sobre el DNI electrónico. UT 2. Seguridad pasiva. Hardware y almacenamiento Definir las características de la ubicación física y condiciones ambientales de equipos y servidores. Seleccionar y verificar los sistemas de alimentación ininterrumpida y dónde utilizarlos. Describir las tecnologías de almacenamiento redundante y distribuido. Identificar y utilizar medios de almacenamiento remotos y extraíbles. Valorar la importancia para la empresa de un centro de procesamiento de datos (CPD). Detectar si se han aplicado las medidas de seguridad activas y pasivas necesarias en el entorno físico. Aplicación de medidas de seguridad pasiva: o Ubicación y protección física de los equipos y servidores. o Condiciones ambientales. o Plan de seguridad física. o Plan de recuperación de desastres. El entorno físico de un centro de proceso de datos (CPD) Sistemas de alimentación ininterrumpida (SAI). Gestión de dispositivos de almacenamiento: o Almacenamiento de la información: rendimiento, disponibilidad, accesibilidad. o Almacenamiento redundante y distribuido. o Cluster de servidores. o Almacenamiento remoto y extraíble. NAS (Network Attached Storage). SAN(Storage Area Network). UT 3. Seguridad pasiva. Recuperación de datos Seleccionar estrategias para la realización de copias de seguridad. Realizar copias con distintas estrategias. Crear y restaurar imágenes de restauración de sistemas en funcionamiento. Aplicar técnicas de recuperación de datos. Definir políticas de copia de seguridad. Tipos de copias de seguridad: o En función de cuando se realiza la copia. o En función de la información copiada. Imágenes de respaldo.
UT 4. Sistemas de identificación. Criptografía Al finalizar esta unidad didáctica, los alumnos deberán ser capaces de: Profundizar en aspectos de criptografía en comunicaciones. Describir e identificar sistemas lógicos de identificación: firma electrónica, certificado digital, dni electrónico. Utilizar sistemas de identificación lógica como la firma electrónica o el certificado digital. Métodos para asegurar la privacidad de la información transmitida. Criptografía: o Cifrado de clave secreta (simétrica). o Cifrado de clave pública (asimétrica). o Funciones de mezcla o resumen (hash). Firma electrónica. o Certificados digitales. o DNI electrónico. o Distribución de claves. PKI (Public Key Infrastructure). UT 5. Seguridad activa en el sistema Instalar, probar y actualizar aplicaciones específicas para la detección y eliminación de software malicioso. Clasificar y detectar las principales incidencias y amenazas lógicas de un sistema lógico. Aplicar técnicas de monitorización de accesos y actividad identificando situaciones anómalas. Valorar las ventajas que supone la utilización de sistemas biométricos. Seguridad del sistema: o Control de acceso al sistema: Seguridad en BIOS. Seguridad en gestores de arranque. o Particiones del disco y seguridad. o Cuotas de disco. o Autenticación de usuarios: Política de contraseñas. Sistemas biométricos. Listas de control de acceso (ACLs). o Vulnerabilidades del sistema. Actualizaciones y parches de seguridad. o Monitorización del sistema. o Software malicioso (malware): Clasificación de los atacantes. Tipos de ataques. Herramientas de protección y desinfección UT 6. Seguridad activa en redes Valorar los nuevos peligros derivados de la conexión a redes. Adoptar medidas de seguridad en redes cableadas e inalámbricas. Analizar las principales vulnerabilidades de las redes inalámbricas. Identificar la necesidad de inventariar y controlar los servicios de red. Seguridad en la conexión a Internet. Introducción a los protocolos seguros. Control de la monitorización en redes cableadas. Seguridad en redes inalámbricas.
UT 7. Seguridad de alto nivel en redes: cortafuegos Comprender la importancia de los puertos de comunicaciones y filtrado mediante cortafuegos. Aprender el significado de las listas de control de acceso (ACL) en routers y cortafuegos. Instalar un cortafuegos en un equipo o servidor. Configurar las reglas de seguridad a aplicar en un cortafuegos. Identificar la necesidad de inventariar y controlar los servicios de red. Cortafuegos en equipos y servidores: o Concepto y funciones principales. o Tipos de cortafuegos: Clasificación por tecnología. Clasificación por ubicación. o Filtrado de paquetes. o Arquitecturas de red con cortafuegos. o Logs y registros de actividad UT 8. Seguridad de alto nivel en redes: proxy Comprender la importancia de los puertos de comunicaciones y filtrado mediante proxy. Instalar un proxy. Configurar un proxy ajustándose a unas necesidades dadas. Identificar la necesidad de inventariar y controlar los servicios de red. Características y funcionamiento de los proxy. Instalación y configuración de un proxy. Filtrar accesos y tráfico en el proxy. Métodos de autenticación en un proxy. Monitorización del proxy. 2. EVALUACIÓN: PROCEDIMIENTOS Y CRITERIOS El sistema de evaluación presentado a continuación se adecua a lo expuesto en la Orden 2323/2003 de 30 de Abril (BOCM) y ala Orden 2694/2009 de 22 de Junio (BOCM) en lo referente a las características y objeto de la evaluación en el ámbito de la Formación Profesional Específica. El proceso de evaluación será continuo y por lo tanto requiere la asistencia regular de los alumnos/as a clase y a las actividades programadas para el módulo. Se considera excluido del derecho a evaluación continua el alumno/a cuyas faltas, no justificadas debidamente, superen el máximo estipulado en el proyecto curricular del centro. Se realizarán tres evaluaciones de carácter trimestral y sus correspondientes recuperaciones. En ellas se valorará si los alumnos van adquiriendo los conocimientos, las habilidades, destrezas y actitudes desarrolladas a través del proceso formativo. La evaluación continua valorará la asimilación de contenidos conceptuales, procedimentales y actitudinales durante el transcurso del curso en base a los siguientes datos y observaciones: Resultados de los controles individuales, ya sean escritos o en el ordenador. Entrega de trabajos propuestos por el profesor en el plazo fijado. Resultados de pruebas escritas de seguimiento de asimilación de conocimientos. Resolución de casos prácticos en clase, ya sea de forma individual o en grupo. Asistencia a clase
Buen comportamiento (según el Reglamento de Régimen Interno) Progreso en el proceso de aprendizaje. Quedarán excluidos de las evaluaciones trimestrales aquellos alumnos que hayan perdido el derecho a la evaluación continua aunque el/la alumno/a tendrá que realizar una prueba escrita distinta a la del resto de sus compañeros en la evaluación ordinaria, además de entregar las actividades que determine el profesor. Por otro lado, los criterios de evaluación de los contenidos impartidos en el módulo están asociados a cada una de las unidades de trabajo y para su elaboración se han tenido en cuenta las capacidades terminales y los criterios de evaluación especificados en los Reales Decretos 1691/2007 y 34/2009 de establecimiento del título. Los criterios citados a continuación se consideran mínimos para el proceso de evaluación del módulo. Resultados del aprendizaje Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades. Gestiona dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando técnicas para asegurar la integridad de la información. Aplica mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático. Criterios de evaluación Se ha valorado la importancia de mantener la información segura. Se han descrito las diferencias entre seguridad física y lógica. Se han definido las características de la ubicación física y condiciones ambientales de los equipos y servidores. Se ha identificado la necesidad de proteger físicamente los sistemas informáticos. Se ha verificado el funcionamiento de los sistemas de alimentación ininterrumpida. Se han seleccionado los puntos de aplicación de los sistemas de alimentación ininterrumpida. Se han esquematizado las características de una política de seguridad basada en listas de control de acceso. Se ha valorado la importancia de establecer una política de contraseñas. Se han valorado las ventajas que supone la utilización de sistemas biométricos. Se ha interpretado la documentación técnica rela- tiva a la política de almacenamiento. Se han tenido en cuenta factores inherentes al almacenamiento de la información (rendimiento, disponibilidad, accesibilidad, entre otros). Se han clasificado y enumerado los principales métodos de almacenamiento incluidos los sistemas de almacenamiento en red. Se han descrito las tecnologías de almacenamiento redundante y distribuido. Se han seleccionado estrategias para la realización de copias de seguridad. Se ha tenido en cuenta la frecuencia y el esquema de rotación. Se han realizado copias de seguridad con distintas estrategias. Se han identificado las características de los medios de almacenamiento remotos y extraíbles. Se han utilizado medios de almacenamiento remotos y extraíbles. Se han creado y restaurado imágenes de respaldo de sistemas en funcionamiento. Se han seguido planes de contingencia para actuar ante fallos de seguridad. Se han clasificado los principales tipos de software malicioso. Se han realizado actualizaciones periódicas de los sistemas para corregir posibles vulnerabilidades. Se ha verificado el origen y la autenticidad de las aplicaciones que se instalan en los sistemas. Se han instalado, probado y actualizado aplicaciones específicas para la detección y eliminación de software
Asegura la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software especifico. Reconoce la legislación y normativa sobre seguridad y protección de datos analizando las repercusiones de su incumplimiento malicioso. Se han aplicado técnicas de recuperación de datos. Se ha identificado la necesidad de inventariar y controlar los servicios de red. Se ha contrastado la incidencia de las técnicas de ingeniería social en los fraudes informáticos y robos de información. Se ha deducido la importancia de minimizar el volumen de tráfico generado por la publicidad y el correo no deseado. Se han aplicado medidas para evitar la monitorización de redes cableadas. Se han clasificado y valorado las propiedades de seguridad de los protocolos usados en redes inalámbricas. Se han descrito sistemas de identificación como la firma electrónica, certificado digital, entre otros. Se han utilizado sistemas de identificación como la firma electrónica, certificado digital, entre otros. Se ha instalado y configurado un cortafuegos en un equipo o servidor Se ha descrito la legislación sobre protección de datos de carácter personal. Se ha determinado la necesidad de controlar el acceso a la información personal almacenada. Se han identificado las figuras legales que intervienen en el tratamiento y mantenimiento de los ficheros de datos. Se ha contrastado la obligación de poner a disposición de las personas los datos personales que les conciernen. Se ha descrito la legislación actual sobre los servicios de la sociedad de la información y comercio electrónico. Se han contrastado las normas sobre gestión de seguridad de la información. 3. CRITERIOS DE CALIFICACIÓN Todos los alumnos que no hayan perdido el derecho a la evaluación obtendrán una calificación trimestral fruto de la evaluación continua y personalizada del alumno durante dicho periodo. La calificación trimestral de los alumnos dependerá de los siguientes criterios: 1. Criterio conceptual. Esta parte conformará el 90% de la nota y se basa en la realización de controles escritos de carácter teórico y práctico; y de la entrega de prácticas obligatorias de cada tema que permitan la óptima asimilación de los contenidos. Para poder aplicarse dicho porcentaje es necesario que la nota que obtenga el alumno en los exámenes sea superior o igual a 4. 2. Criterio actitudinal. Esta parte conformará el 10% restante de la nota: Asistencia a clase y/o retrasos. Participación en el aula. Buen comportamiento. La nota global del curso en la convocatoria ordinaria de marzo será la media de las dos calificaciones trimestrales, teniendo en cuenta los siguientes casos: o o Aquellos alumnos que no hayan perdido el derecho a la evaluación continua recibirán su calificación proveniente de la media de las calificaciones trimestrales siempre y cuando dichas notas no sean inferiores al 4. En el caso en que aún teniendo una o varias notas por debajo del 4 se obtenga una media favorable dicha nota se rebajará al 4. Aquellos alumnos que no hayan perdido el derecho a la evaluación continua y su calificación ordinaria no supere el 5 deberán realizar una prueba de recuperación de los contenidos de los trimestres suspendidos. La calificación ordinaria se recalculará de nuevo con las notas resultantes de las pruebas de recuperación en los mismos términos que en el caso anterior.
o Aquellos alumnos que hayan perdido el derecho a la evaluación continua por acumulación de faltas no justificadas deberán superar una prueba final diseñada para demostrar el dominio de los contenidos del módulo. En este caso la calificación de convocatoria ordinaria proviene del resultado de la prueba final. Todos los alumnos que no hayan obtenido una calificación por encima del 5 en la convocatoria ordinaria recibirán una calificación correspondiente a la convocatoria extraordinaria (junio) del módulo siempre y cuando no hayan renunciado a la misma, teniendo en cuenta los siguientes casos: o Aquellos alumnos que no hayan perdido el derecho a la evaluación continua deberán realizar una prueba final diseñada para demostrar el dominio de los contenidos del módulo. En este caso la calificación de convocatoria extraordinaria proviene de la nota obtenida en esa prueba final. o Aquellos alumnos que hayan perdido el derecho a la evaluación continua por acumulación de faltas no justificadas deberán superar una prueba final diseñada para demostrar el dominio de los contenidos del módulo, distinta a la prueba anterior. En este caso la calificación de convocatoria extraordinaria proviene del resultado de la prueba final. 4. PRUEBAS DE RECUPERACIÓN Las pruebas de recuperación ofrecerán a los alumnos/as y al profesor nuevas oportunidades de evaluación del proceso de aprendizaje. Se realizarán pruebas de recuperación de los trimestres suspensos en marzo y en junio. Las pruebas de recuperación consistirán en controles escritos con cuestiones teóricas y prácticas sobre diferentes aspectos del contenido no superado del módulo. No obstante, el sistema de recuperación incluido dentro del proceso de evaluación continua, consistirá en el establecimiento de medidas de refuerzo y atención individualizada a aquellos alumnos/as calificados negativamente en alguno de los bloques de contenidos. No existen alumnos con el módulo pendiente. 5. LIBRO DE TEXTO Seoane Ruano, César y otros: Seguridad informática. Editorial McGraw-Hill