Tarea MODALIDAD ABIERTA Y A DISTANCIA La Universidad Católica de Loja Seguridad de la Información 4 créditos Departamento de Ciencias de la Computación y Electrónica Sección Ingeniería de Software y Gestión de Tecnologías de la Información Carrera Ciclo IX §§ Informática Profesor autor: Danilo Rubén Jaramillo Hurtado Le recordamos que el envío de la tarea a través del EVA (Entorno Virtual de Aprendizaje) es obligatorio; y, el ingreso se lo realiza en las fechas establecidas en el calendario académico, que se encuentra en el siguiente enlace. https://distancia.utpl.edu.ec/calendario-academico/ Octubre 2019 – Febrero 2020 TUTORÍAS: El profesor asignado publicará en el Entorno Virtual de Aprendizaje (EVA) su número telefónico y horario de tutoría. Más información puede obtener llamando al Call Center 07 3701444, línea gratuita 1800 88758875 o al correo electrónico [email protected] DIST-TNCCO0072 Asesoría virtual: www.utpl.edu.ec Tarea Tarea: Seguridad de la Información Primer bimestre PARTE A 1. Actividades de aprendizaje: ●● 2. Tema de la tarea: ●● 3. 5. Definición de los conceptos de los objetivos principales de la seguridad. Competencia a la que aporta la actividad ●● 4. Realizar un ensayo sobre los objetivos principales de la seguridad de la información que se muestran en la figura 3 del texto guía. Primeramente, debe buscar fuentes de consulta que permitan ampliar los conceptos desde diferentes autores o fuentes bibliográficas. Luego con la ayuda de ejemplos presente casos prácticos donde se apliquen dichos conceptos. Describir las diferentes etapas, actividades, y conceptos relacionadas con la seguridad de los sistemas de Información. Orientaciones metodológicas (estrategias de trabajo) ●● Desarrolle una lectura global y comprensiva de la unidad 1: FUNDAMENTOS DE SEGURIDAD DE LA INFORMACIÓN ●● Aplique técnicas de autoestudio como: subrayado, palabras claves y frases significativas. ●● Investigue otras fuentes de información bibliográfica referentes especialmente en temas de objetivos principales de la seguridad de la información. ●● En el proceso de escribir su ensayo debe citar de forma correcta las fuentes bibliográficas que ha encontrado. Registro de la actividad desarrollada en el EVA ●● Genere un único archivo conjuntamente con la parte de B de esta TAREA en formato pdf para ser subida al EVA como un solo archivo. 2 MODALIDAD ABIERTA Y A DISTANCIA Tarea: Seguridad de la Información ●● ●● 6. Haga constar la fecha de realización con una captura de la pantalla del ordenador El archivo debe tener el formato del nombre del estudiante como se muestra: ♦♦ Danilo_Jaramillo_Hurtado(Seguridad_PB).pdf Rúbrica de evaluación: Criterios de Evaluación Puntaje Forma del Ensayo Se trabaja con los objetivos de la seguridad y realiza la ampliación de la definición de los mismos citando varios autores. Amplia todos los conceptos de los objetivos de la seguridad (0,75) No se consideran todos los objetivos o no se utilizan varias fuentes. (0,2) Los ejemplos que se muestran por cada uno de los objetivos presentan una relación clara con su definición. Se muestra la relación de los ejemplos con los objetivos de la seguridad(0.75) No se presentan ejemplos, o los mismos no se relaciona los objetivos (0.2) Utiliza normas APA para citar las fuentes de consulta (0,10) No cita correctamente o no utiliza normas APA (0) Presentación del Ensayo Cita correctamente en base a normas APA La Bibliografía es Cumple los actualizada, tiene relevancia requerimientos de y los sitios web que utiliza Bibliografía (0,20) son certificados Cumple parcialmente los criterio de bibliografía (0,10) El documento presenta la estructura adecuada para la comprensión así como la redacción adecuada El documento está bien presentado (0.20) Cumple parcialmente criterios de presentación (0.10) Total 2 PUNTOS PARTE B 1. Actividades de aprendizaje: ●● Implementar mecanismos de seguridad y utilización de algoritmos de encriptación en un sistema pequeño. 3 La Universidad Católica de Loja UTPL Tarea: Seguridad de la Información Primeramente, cree una base de datos en base a la figura 13. Dicha figura está realizada en MySqlWorkBench para una base de datos MySql (puede Ud. utilizar otra base de datos). El script de creación lo encontrará en la figura 14 si utiliza el modelo del texto guía. El sistema que debe desarrollar debe permitir 2 funcionalidades: a. Permitirá crear usuarios (agregue los campos en la tabla usuario que crear necesarios, así como sus tipos de datos), Roles y Funcionalidades. Cuando grabe el password de un usuario debe utilizar algoritmos de encriptación (ver figura 19) para almacenar en la base de datos. De la misma manera debe permitir asignar un rol a un usuario y una funcionalidad al rol. Puede hacerlo en una sola pantalla o en varias. b. Acceso a la aplicación con un usuario y password (validación con algoritmos de encriptación), donde presente dos listados. Los roles que ese usuario tiene y las funcionalidades a las que puede acceder. c. Comprobar si al momento de realizar el loggeo se permite una inyection-sql Realice la captura de las pantallas del resultado de la aplicación y el código principal utilizado para la solución de la aplicación. Realice una comprobación que permita determinar si se puede realizar una inyecciónsql al momento de acceso al sistema. En el trabajo deberá especificar porque se puede o no se puede hacer y que modificación se realizó en el código 2. Tema de la tarea: ●● 3. Implementación de un Sistema con controles de Seguridad Competencia a la que aporta la actividad ●● ●● Determinar los diferentes criterios técnicos sobre tipos de seguridad en los sistemas computacionales. Describir las diferentes etapas, actividades, y conceptos relacionadas con la seguridad de los sistemas de información. 4 MODALIDAD ABIERTA Y A DISTANCIA Tarea: Seguridad de la Información 4. 5. Orientaciones metodológicas (estrategias de trabajo) ●● Desarrolle una lectura global y comprensiva de los capítulos 2 y 3, con el fin de desarrollar una aplicación que se solicita. ●● Aplique técnicas de autoestudio como: subrayado, palabras claves y frases significativas. ●● Si desea puede ayudarse con los scripts en el anexo de la guía, para lo cual transcriba o copie desde los anexos de la guía didáctica los scripts SQL y las clases realizadas en Java. ●● Considere el mejor lenguaje de programación que Ud. haya trabajo y busque sus textos para que los tenga como apoye. Realice un análisis previo para identificar las clases que formarán parte de la solución. Registro de la actividad desarrollada en el EVA ●● Genere un único archivo con la parte de A de esta TAREA en formato pdf para ser subida al EVA como un único archivo. ●● Divida claramente cada una de las partes de esta tarea en el documento. ●● El archivo debe tener el formato del nombre del estudiante como se muestra en este ejemplo: ♦♦ ●● 6. Danilo_Jaramillo_Hurtado(Seguridad_PB).pdf Realice capturas de pantallas donde se muestre lo solicitado, no es necesario generar el código. En cada una de las pantallas deberá colocar el nombre del estudiante para proceder a realizar la calificación. Puede adjuntar pantallas con captura de código si fuese necesario Rúbrica de calificación: Criterios de Evaluación Puntaje Proyecto Implementación de un control de autentificación basado en roles. Cumple con el total procesos requeridos para el trabajo (1,5) Cumple parcialmente con el número de total de procesos (0,3) 5 La Universidad Católica de Loja UTPL Tarea: Seguridad de la Información Criterios de Evaluación Puntaje La base de datos y acceso a Los datos están la aplicación tiene procesos encriptados en la base de de datos encriptados datos (1) Comprobar ataque SQLInyection Lo datos no están encriptados(0) Se muestra la No realiza el proceso de comprobación del proceso validación (0) de ataque (1) Presentación del Trabajo El documento presenta la estructura adecuada para la comprensión, la redacción adecuada y las imágenes muestran el proceso desarrollado por cada uno de los apartados. El documento está bien presentado (0.50) Total 4 PUNTOS Cumple parcialmente criterios de presentación (0.20) Estimado(a) estudiante, una vez resuelta su tarea en el documento impreso (borrador), acceda al Entorno Virtual de Aprendizaje (EVA) en www.utpl.edu.ec e ingrese las respuestas respectivas. SEÑOR ESTUDIANTE: Le recordamos que para presentarse a rendir las evaluaciones presenciales no está permitido el uso de ningún material auxiliar (calculadora, diccionario, libros, Biblia, formularios, códigos, leyes, etc.) Las pruebas presenciales están diseñadas para desarrollarlas sin la utilización de estos materiales. 6 MODALIDAD ABIERTA Y A DISTANCIA Tarea Segundo bimestre PARTE A 1. Actividades de aprendizaje: El desarrollo de software seguro está relacionado con la aplicación de la Seguridad en cada una de sus etapas. En la tabla 10 del texto guía se realiza un detalle de cada etapa del proceso de desarrollo con algunas de las actividades más importantes en lo relacionado a la seguridad. Realice un ensayo donde por cada una de estas actividades realice una explicación del tema con ayuda de fuentes bibliográficas. De la misma manera con la planificación de un caso específico de desarrollo de un sistema de información propuesto por el estudiante relacione las actividades con las tareas que se deberían realizar. Ejemplo: Desarrollo Desarrollo Revisión de código con respecto a la seguridad 2. ♦♦ CONCEPTOS: “Las revisiones de código es la forma con mayor efectividad para detectar vulnerabilidades en una aplicación, esta técnica ayuda a optimizar el código y a tener un producto de calidad y seguro.” (Guamán & Jaramillo, 2017) ::::::: AMPLIAR Y UTILIZAR OTRAS FUENTES ♦♦ El programador terminado una funcionalidad deberá entregar al equipo de Q&A para la revisión a través de la herramienta …. Tema de la tarea: ●● Actividades en el desarrollo seguro de aplicaciones 7 La Universidad Católica de Loja UTPL Tarea: Seguridad de la Información 3. Competencia a la que aporta la actividad ●● 4. 5. Gestionar las medidas de seguridad necesarias en cada etapa del desarrollo de un Sistema de Información Orientaciones metodológicas (estrategias de trabajo) ●● Desarrolle una lectura global y comprensiva de la unidad 4: ●● Aplique técnicas de autoestudio como: subrayado, palabras claves y frases significativas. ●● Investigue otras fuentes de información bibliográfica referentes especialmente en temas de procesos de desarrollo seguro de aplicaciones LCSD (Live cycle software development). ●● En el proceso de escribir su ensayo debe citar de forma correcta los documentos que ha encontrado. Registro de la actividad desarrollada en el EVA ●● ●● Genere un único archivo con la parte de B de esta TAREA en formato pdf para ser subida al EVA como un único archivo. El archivo debe tener el formato del nombre como se muestra: ♦♦ 6. Danilo_Jaramillo_Hurtado(Seguridad_SB).pdf Rúbrica de evaluación: Criterios de Evaluación Puntaje Forma del Ensayo Trabaja con las actividades a considerar en el desarrollo Cumple con el total de Sistemas, ampliando procesos requeridos para sus conceptos desde fuente el trabajo (0,5) bibliográficas Relaciona las actividades mediante el ejemplo de desarrollo de sistemas propuesto por el estudiante Cumple parcialmente con el número de total de procesos (0,3) Muestra la relación de los No se relaciona los actividades con las etapas actividades (0.3) del ejemplo (0,5) Presentación del Ensayo 8 MODALIDAD ABIERTA Y A DISTANCIA Tarea: Seguridad de la Información Criterios de Evaluación Cita correctamente en base a normas APA Puntaje Utiliza normas APA para citar las fuentes de consulta (0,20) No cita correctamente o no utiliza normas APA (0) La Bibliografía es Cumple los actualizada, tiene relevancia requerimientos de y los sitios web que utiliza Bibliografía (0,40) son calificados Cumple parcialmente los criterio de bibliografía (0,10) El documento presenta la estructura adecuada para la comprensión así como la redacción adecuada El documento está bien presentado (0.40) Cumple parcialmente criterios de presentación (0.20) Total 2 PUNTOS PARTE B 1. Actividades de aprendizaje: ●● 2. Tema de la tarea: ●● 3. Definición de los conceptos de Implementación de un Sistema de Gestión de Seguridad de la Información. Competencia a la que aporta la actividad ●● 4. Realizar un mapa conceptual donde relacione los conceptos presentados en al Unidad 5.4 Implementación de un Sistema de Gestión de Seguridad de la Información. Utilice una herramienta (midManger-versión de prueba) u otra open source. Amplié los conceptos tratados. En el EVA la unidad 1 se colocará un ejemplo del mapa conceptual. Describir las diferentes etapas, actividades, y conceptos relacionadas con la Implementación de un Sistema de Gestión de Seguridad de la Información. Orientaciones metodológicas (estrategias de trabajo) ●● Desarrolle una lectura global y comprensiva de la unidad 5 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 9 La Universidad Católica de Loja UTPL Tarea: Seguridad de la Información ●● ●● ●● 5. Aplique técnicas de autoestudio como: subrayado, palabras claves y frases significativas. Investigue otras fuentes de información bibliográfica referentes especialmente en temas de seguridad de la información. Utilice como ejemplo el archivo colocado por el profesor en el EVA Registro de la actividad desarrollada en el EVA ●● ●● ●● Genere un único archivo conjuntamente con la parte de A y C de esta TAREA en formato pdf para ser subida al EVA como un solo archivo. Debe hacer constar una captura de pantalla referente a la fecha de su computador. El archivo debe tener el formato del nombre como se muestra: ♦♦ 6. Danilo_Jaramillo_Hurtado(Seguridad_SB).pdf Rúbrica de evaluación: Criterios de Evaluación Puntaje Forma del Ensayo Se trabaja con los conceptos de Implementación de un Sistema de Gestión de Seguridad de la Información de los mismos citando varios autores. Amplia todos los conceptos de seguridad (0,3) No se consideran todos los conceptos o no utilizan varias fuentes. (0,2) Los niveles del mapa conceptual se muestran por cada uno de los conceptos presentan una relación clara con su definición. Se muestra la relación de los ejemplos con los conceptos de seguridad(0.3) No se presentan ejemplos, o los mismos no se relaciona los conceptos (0.2) El mapa muestra los niveles de acuerdo a los conceptos Se utilizan los niveles adecuados para cubrir los conceptos (0,20) No utiliza niveles de forma adecuada (0,10) Se muestran todos los temas relacionados acordemente Se relacionan de forma correcta los temas (0,20) Cumple parcialmente con la relación de los temas (0,10) Total 1 PUNTO Presentación del Mapa 10 MODALIDAD ABIERTA Y A DISTANCIA Tarea: Seguridad de la Información PARTE C 1. Actividades de aprendizaje: Realizar el análisis forense sobre un dispositivo móvil con la utilización de herramientas libres, para lo cual el estudiante debe descargar una herramienta para análisis forense existente en la web, y luego realizar el proceso donde permita realizar: ●● ●● ●● 2. Tema de la tarea: ●● 3. Reconoce el proceso para el levantamiento de una evidencia digital usando Análisis Forense. Orientaciones metodológicas (estrategias de trabajo) ●● ●● ●● ●● ●● ●● 5. Análisis forense Competencia a la que aporta la actividad ●● 4. Eliminar un archivo del dispositivo y determinar la auditoria del archivo (fecha, ubicación, aplicación, etc.) Ver el historial de un navegador que fue eliminado con anterioridad Dos actividades adicionales que pudiese realizar con la herramienta. Desarrolle una lectura global y comprensiva del capítulo 6: Aplique técnicas de autoestudio como: subrayado, palabras claves y frases significativas. Investigue herramientas que pudiesen permitirle realizar el trabajo de análisis forense Revisar el video de análisis forense colocado como recurso en el EVA. En el proceso de escribir su ensayo debe realizarlo en base a una metodología de análisis forense con sus pasos respectivos. Realice la captura de pantallas con los procesos realizados. Registro de la actividad desarrollada en el EVA ●● ●● Genere un único archivo con la parte de A y B de esta TAREA en formato pdf para ser subida al EVA como un único archivo. El archivo debe tener el formato del nombre como se muestra: ♦♦ Danilo_Jaramillo_Hurtado(Seguridad_SB).pdf 11 La Universidad Católica de Loja UTPL Tarea: Seguridad de la Información 6. Rúbrica de evaluación: Criterios de Evaluación Puntaje Forma del Ensayo Se sigue un orden adecuado Cumple con la aplicación en la presentación de acuerdo a una metodología de una metodología (1) de análisis forense No refleja el uso de una metodología (0,3) Se cumple con las 4 actividades (1,5) Cumple parcialmente con el número de actividades (0.3) Cita correctamente en base a normas APA. Utiliza normas APA para citar las fuentes de consulta (0,20) No cita correctamente o no utiliza normas APA (0) El documento presenta la estructura adecuada para la comprensión así como la redacción adecuada El documento está bien presentado (0.30) Cumple parcialmente criterios de presentación (0.20) Total 3 PUNTOS Desarrolla las actividades pedidas en el enunciado Presentación del Ensayo Estimado(a) estudiante, una vez resuelta su tarea en el documento impreso (borrador), acceda al Entorno Virtual de Aprendizaje (EVA) en www.utpl.edu.ec e ingrese las respuestas respectivas. SEÑOR ESTUDIANTE: Le recordamos que para presentarse a rendir las evaluaciones presenciales no está permitido el uso de ningún material auxiliar (calculadora, diccionario, libros, Biblia, formularios, códigos, leyes, etc.) Las pruebas presenciales están diseñadas para desarrollarlas sin la utilización de estos materiales. 12 MODALIDAD ABIERTA Y A DISTANCIA