silabo 2014-i seguridad informática

UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO
FACULTAD DE INGENIERIA CIVIL DE SISTEMAS Y DE ARQUITECTURA
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
SYLLABUS DE
SEGURIDAD INFORMATICA
I.
DATOS INFORMATIVOS
1. CODIGO DE ASIGNATURA : IS504
2. PREREQUISITO
: Legislación informática
3. SEMESTRE
: 2014-I
4. CICLO DE ESTUDIOS
: IX
5. NUMERO DE CREDITOS
: 03
6. CARGA HORARIA
: HT: 02
7. DURACION
: 16 SEMANAS
8. DOCENTE
: M.A. Ing. Robert Edgar Puican Gutiérrez.
HP: 02
II. SUMILLA DEL CURSO
Se tratarán los aspectos básicos de la seguridad de la información en lo que atañe a las
computadoras y a las redes. Después de explicar la terminología pertinente, se identifican las
vulnerabilidades y riesgos que podrían afectar la seguridad de un sistema. Se introduce al
alumno en los fundamentos matemáticos, técnicas y herramientas utilizadas para la
protección de la información. Se analizan distintas formas de ataque, tales como violación
de contraseñas, captura de tráfico y negación de servicio. Se hace énfasis en la importancia
de desarrollar una estrategia de seguridad integral con políticas, procedimientos y planes de
contingencia.
Al completar el curso, los estudiantes habrán obtenido una amplia visión de las amenazas y
riesgos existentes en el campo de la informática y las comunicaciones. Además, serán
capaces de implantar las medidas oportunas y utilizar las herramientas adecuadas para
frustrar los ataques, minimizar los riesgos y garantizar un alto grado de seguridad.
III. OBJETIVOS GENERALES DEL CURSO
Al término de curso, el estudiante:
3.1. Introducir al alumno en las técnicas y herramientas utilizadas para la protección de la
información.
3.2. Introducir al alumno en la historia y el desarrollo de la seguridad informática
3.3. Introducir al alumno en la problemática de la protección de la información en medios
electrónicos de intercambio de mensajes como el correo electrónico, páginas Web y
demás sistemas de comunicación electrónica con pasarelas seguras.
3.4. Introducir los conceptos de protocolos, esquemas de seguridad y, en particular, la
gestión de claves por técnicas simétricas y asimétricas.
IV. PROGRAMACION ACADEMICA
PRIMERA UNIDAD: FUNDAMENTOS SOBRE SEGURIDAD INFORMATICA
OBJETIVOS ESPECIFICOS
1.
2.
Comprender la necesidad de seguridad Informática.
Identificar los principales conceptos de la seguridad de la información
Describir las principales amenazas a la seguridad
3.
DURACIÓN: 06 semanas
SEMANA CONTENIDO TEMATICO
01 y 02
Fundamentos de la Seguridad de la Información.
 Importancia de la seguridad.
o Objetivos generales, Entidades implicadas en la seguridad, fases en el ciclo
de vida de seguridad, Actividades en el ciclo de vida de seguridad de un
sistema de información.
 Áreas de proceso de la seguridad
o Riesgos, Ingeniería, Aseguramiento, Factores que motiva cambios en la
seguridad
 Servicios de seguridad
 Elementos de gestión de la seguridad de los sistemas de información
o Identificación de Activos, Amenazas a los activos, Vulnerabilidades,
Impactos, Riesgos, Riesgos Residuales, aplicación de salvaguardas,
limitaciones de aplicación de la seguridad.
 Estándar de seguridad ISO-7498-2
o Ciclo de vida de la seguridad, identificación de requisitos, tipos genéricos
de amenazas, clasificación de las amenazas, políticas de seguridad
genéricas, mecanismos de seguridad, etc.
 Métodos para desarrollar una política de seguridad
o Análisis y valoración de riesgos, construcción de la política de seguridad,
implantación de la política de seguridad, mantenimiento de la política de
seguridad, implicación del componente humano y causas del fallo de las
políticas de seguridad.
03, 04 y 05 Análisis y Gestión de riesgos de seguridad
 Análisis de Riesgos de seguridad
o Razones, tipos de análisis, clases, fases del análisis, Técnicas alternativas.
 Identificación de recursos
o Tangibles e intangibles, Activos, Amenazas asociadas, Factores de
valoración
 Explotación de amenazas
o Factores de para la estimación de la probabilidad de explotación.
 Medidas de protección
o Evaluación de daños, evaluación de riegos, análisis de costes y beneficios,
tipos de medidas, controles y servicios de seguridad.
 Cuestionarios de referencia en las entrevistas con los clientes.
 Plan director de seguridad.
o Elementos y aspectos.
 Gestión de riesgos de seguridad de la información.






06
Identificación y cualificación de riesgos de seguridad de la información
o Criterios de vulnerabilidad, de impacto y uniformidad de amenazas.
Fases del proceso de gestión y reducción de riesgos de seguridad.
Formulación cuantitativa de los riegos de seguridad.
Gestión de la seguridad basada en riesgos.
Estándar ISO/IEC-27002 o ISO/IEC-17799 de la gestión de la seguridad.
o Objetivos de control, gestión de la seguridad, panel de indicadores.
Fases para la determinación del ROI o del ROSI.
EXAMEN PARCIAL 1
SEGUNDA UNIDAD: CONTROL DE ACCESOS Y ATAQUES
LOS SISTEMAS DE
INFORMACIÓN
OBJETIVOS ESPECIFICOS
1. Describir el funcionamiento del control de Acceso.
2. Analizar los diversos tipos de ataques que pueden sufrir los sistemas de información.
DURACIÓN: 05 semanas
SEMANA CONTENIDO TEMATICO
07 y 08

Control de Acceso: autentificación, autorización y cumplimiento.
o Control de accesos y modelos de seguridad.
o Operaciones de acceso.
o Los cuatro enfoques de la seguridad de un sistema de información.
o Componentes del control de acceso.
o Políticas de control de acceso.
o Mecanismo de capacidades.
o Mecanismo de listas de control de acceso (ACL)
o Control de acceso sobre ficheros (FTAM)
o Transferencias de control de acceso.
o Gestión de la información de control de acceso.
o Controles de acceso para las comunicaciones de red.
o El estándar de seguridad ISO/IEc 10181
o Sistema de autentificación Kerberos.
o Protocolo de seguridad de red AAA
09, y 10

Análisis de ataques a los sistemas de información.
o Ataques a través de Internet.
o Descripción de técnicas DoS
o Técnica de los árboles de ataque.
o Determinación cuantitativa del riesgo en un árbol de ataque.
o Árbol de ataque de alto nivel.
o Modelos de ataques
o Denegación de servicio de red.
o Técnica del Hop Integrity
11
EXAMEN PARCIAL 2
TERCERA UNIDAD: CONTINUIDAD DEL NEGOCIO Y SEGURIDAD EN REDES E
INTERNET
OBJETIVOS ESPECIFICOS
1. Analizar la seguridad en el uso de las Tecnologías de Redes e Internet .
2. Analizar y comprender la funcionalidad de los Sistemas de encriptación.
DURACIÓN: 05 semanas
SEMANA
CONTENIDO TEMATICO
12

13

14

15

16
Planificación de contingencias y continuidad del negocio
o Procesos de gestión del riesgo y planificación de contingencias.
o Categorías de planes de contingencias.
o Estrategias de contingencias en el ciclo de vida del desarrollo de
un sistema TIC.
o Contingencias en sitios WEB.
o Estrategia multidimensional para mejorar la seguridad.
o Continuidad de los negocios.
o Especificación de la confianza.
Tecnologías de seguridad.
o Tecnologías de cortafuegos (firewall)
o Sistemas de detección y prevención de intrusos (IDS-IPS)
o Tecnología de honeypots.
o Tecnología PKI
o Sistema IBC basado en identidad: IBE y pairing.
o Solución a la problemática de repudio.
Análisis y síntesis de funcionalidades criptográficas simétricas.
o Introducción, Criptoanálisis, Técnicas criptográficas básicas de
cifrados,
o Criptosistemas simétricos de tipo cifradores por sustitución
monoalfabéticos.
o Criptosistemas simétricos sustitución polialfabéticos.
o Cifrador de sustitución poligráfica tipo HILL.
o Diseño de un criptosistema simétrico.
o Criptosistema simétrico basado en dos PRNG.
o Generador de números aleatorios.
o Gestión de claves criptográficas ISO/IEC 11770.
Análisis y síntesis de funcionalidades criptográficas Asimétricas.
o Introducción, herramientas matemáticas en criptografía.
o Criptosistema asimétrico basado en mochilas estilo M-H.
o Criptosistema estilo D-H.
o Criptosistema asimétrico estilo RSA.
o Criptosistema asimétrico estilo E-G.
o Criptosistema probabilístico asimétrico estilo Rabin.
o Protocolos de conocimiento nulo (ZK)
o Criptosistema asimétrico o de clave pública basado en tres tablas.
o Funciones criptográficas unidireccionales HASH.
o Firmas electrónicas o digitales.
o Seguridad Semántica.
o Otros protocolos criptográficos.
EXAMEN PARCIAL 3
V. METODOLOGIA DE TRABAJO
Se empleará básicamente tres estrategias generales:
5.1. Teórica, que se lleva a cabo mediante exposiciones del profesor; así como
también por parte de los estudiantes
5.2. Práctica, Se hará uso del laboratorio de computación para efectos de realizar la
clase práctica
V. CRITERIO DE EVALUACION
5. 1. REQUISITOS DE APROBACION
 Asistencia a por lo menos el 70% de las sesiones programadas. El estudiante
que no cumpla este requisito quedará inhabilitado del curso
5.2. SISTEMA DE CALIFICACION
La obtención de la Nota Promocional será de la siguiente manera:
NP= (0.3PY+ 0.3PEC+0.4PE)
Donde:
NP: Nota Promocional
PY: Promedios de Proyecto
PEC: Promedio de Evaluaciones Continúas (Trabajos, exposiciones, etc)
PE: Promedio de exámenes.
 Toda fracción igual o mayor a 0.5 se redondea a la unidad, sólo en la obtención
final de la Nota Promocional.
 La Nota Promocional mínima de aprobación del curso es 10.50
 El alumno que resulte desaprobado tendrá derecho a un único Examen
Sustitutorio, el cual reemplazará a cualquiera de los exámenes parciales,
siempre y cuando haya rendido dichos exámenes y cuyo promedio final sea
mayor o igual que 07 (SIETE) y tener registrado más del 70% de asistencias.
 La no asistencia a una práctica o examen parcial se calificará con nota cero y
no se podrán reemplazar.
 La no presentación de algún trabajo en la fecha y hora señalada se calificará
con nota cero, incluyendo las sustentaciones de los proyectos y no se podrán
reemplazar.
 El examen sustitutorio no podrá ser aplicado en examen parcial que no se haya
rendido
VI. FUENTES BIBLIOGRAFICAS
BIBLIOGRAFÍA BÁSICA
1. DOUGLAS COMER. Redes globales de información con Internet y TCP/IP. 1ra
Edición. Prentice-Hall Hispanoamericana. México.
2. RAUL SILES PELAEZ. Análisis de Seguridad de la familia de protocolos
TCP/IP y sus servicios asociados. 1ra Edición. Junio del 2002
3. FÚSTER, A.; DE LA GUÍA, D.; HERNÁNDEZ, L.; MONTOYA, F.; MUÑOZ,
Técnicas Criptográficas de Protección de Datos. J. Ra-Ma, 1997.
BIBLIOGRAFÍA COMPLEMENTARIA
1. JEIMY J. CANO, Auditoria de Seguridad, Evaluación de Seguridad y
Pruebas de Penetración: tres paradigmas de la Seguridad Informática.
Universidad de Los Andes, Colombia, 1998.
2. STALLINGS, WILLIAM Cryptography and Network Security. Principles
and Practice. 2nd ed. Prentice Hall International Editions, 1999
3. VARIOS AUTORES Documentos diversos sobre criptografía y seguridad
informática Publicación en Internet http://www.criptored.upm.es y otros
servidores, 2005