Curso: Control de acceso y seguridad desarrollo: Sílabo
1. Carrera Profesional de
Ingeniería de Sistemas y de Seguridad Informática.
Página 1
SÍLABO DE CONTROL DE ACCESO Y SEGURIDAD DESARROLLO
I. INFORMACIÓN GENERAL:
1.1. Asignatura : Control de Acceso y Seguridad Desarrollo
1.2. Código : IS - 846
1.3. Ciclo : VIII
1.4. Semestre académico : 2014-II
1.5. Créditos : 04 créditos
1.6. Horas Semanales : TH: 5; HT: 3; HP: 2
1.7. Duración del semestre : 17 semanas
1.8. Condición : Obligatorio
1.9. Requisitos :
1.10. Docentes responsables : Mg. Ing. Jack Daniel Cáceres Meza, PMP
II. SUMILLA:
La información es un activo que, como otros activos de una persona y/o empresa es
importante protegerla permanentemente y, como resultado de una creciente
interconectividad por efecto de la globalización, nuestra información está cada vez más
expuesta a un número mayor de riesgos.
La información para un negocio y/o persona puede existir en muchas formas: impresa o
escrita, almacenada electrónicamente, en películas, en cintas o archivos de voz, etc.
Cualquiera que sea la forma que tome la información, o medio por el cual sea almacenada
o compartida, siempre debe estar apropiadamente protegida, y el acceso a ella siempre
debe ser debidamente controlado.
Por tanto, en este curso se introducen los conceptos básicos de normatividad y procesos
orientados a la seguridad de la información, como responsabilidad de la alta dirección de
una empresa, más que como soluciones meramente tecnológicas contenidas en el ámbito
de las Tecnologías de la Información y Comunicaciones TIC.
Se revisarán técnicas y procedimientos para especificar qué usuarios tienen autorización
para acceder a determinados sistemas, qué operaciones pueden realizar estos usuarios en
dichos sistemas, y las implementaciones vigentes de autenticación y control de acceso,
incluyendo modelos biométricos y de acceso remoto o local.
En cuanto a las labores de desarrollo, se estudiarán los mecanismos sobre cómo un sistema
interactúa de manera segura con otros sistemas. Las áreas estudiadas serán las metas de la
seguridad, las amenazas y los ataques al sistema, el ciclo de vida de sistemas y metodologías
de desarrollo relacionadas con la seguridad y los principios y medidas de control de la
seguridad.
2. Carrera Profesional de
Ingeniería de Sistemas y de Seguridad Informática.
Página 2
III. COMPETENCIAS:
3.1. COMPETENCIA GENERAL:
El objetivo de este curso es proporcionar a los estudiantes los conceptos y lineamientos
básicos que les permita implementar una seguridad razonable en el negocio.
Que los estudiantes estén en la capacidad de diferenciar correctamente un Sistema de
Gestión de Seguridad de la Información de la Seguridad Informática, con base en estándares
y mejores prácticas internacionales de la ISO o sus equivalentes como Norma Técnica
Peruana (NTP).
3.2. COMPETENCIAS ESPECÍFICAS:
Que los estudiantes tengan claros los fundamentos, conceptos y lineamientos de
implementación de un sistema de gestión de seguridad.
Poder utilizar normas y estándares nacionales o internacionales como herramientas para
desarrollar estrategias de seguridad de TI alineadas a los negocios.
Aplicar técnicas para identificar requerimientos de seguridad, desarrollar análisis de riesgos
de seguridad, preparar análisis de brechas, planificar proyectos de implantación de
sistemas de gestión de la seguridad de la información.
IV. METODOLOGÍA DE ENSEÑANZA – APRENDIZAJE:
Por parte del docente, el método tendrá un carácter inductivo, lógico y psicológico,
intuitivo – visual, activo y flexible. Por ejemplo:
Se usarán técnicas de exposición participativa, desarrollo de laboratorios
individuales y grupales, así como de trabajo de grupo, siguiendo el plan de la hoja
de ruta educativa.
Se desarrollará una exposición dialogada, enfatizando el intercambio de
experiencias, con participación amplia y se analizarán casos donde se requiera
proponer alternativas de solución empleando el conocimiento recibido.
Por parte de los estudiantes, participarán activamente en clase, a nivel individual y grupal.
Por ejemplo:
Realizarán trabajos prácticos empleando estrategias y protocolos de atención,
aplicando los contenidos teóricos en su labor académica.
Desarrollarán debates, mini plenarias, lluvias de ideas, entre otros, con la finalidad
de asegurar la transferencia y afianzamiento del conocimiento impartido. Se
desarrollarán proyectos de investigación y sustentación de trabajos.
V. PROGRAMACIÓN DE CONTENIDOS TEMÁTICOS:
3. Carrera Profesional de
Ingeniería de Sistemas y de Seguridad Informática.
Página 3
UNIDAD I : INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN
COMPETENCIA :
Comprende con precisión los retos de la seguridad de la información y de cómo lograr implementarla, con un conjunto personalizado y apropiado de
artefactos como controles, políticas, procesos, procedimientos, estructuras organizacionales, y de otras acciones que permitan el acceso a la información
de sólo aquellas personas que están debidamente autorizadas para hacerlo
CONTENIDOS ESTRATEGIAS DIDÁCTICAS
DURACIÓN
EVALUACIÓN
CONCEPTUALES PROCEDIMENTALES ACTITUDINALES MÉTODOS TÉCNICAS CRITERIOS INSTRUMENTOS
Conoce qué es la
Seguridad de la
Información
Concibe las características y
desafíos de la Seguridad de
la Información
Valora la trascendencia de
asumir los retos del aprendizaje y
manejo práctico de la Seguridad
de la Información para su
desarrollo personal y profesional
Visual
Inductivo
Intuitivo
Simbólico
Exposición
participativa
Lluvia de
ideas
Desarrollo de
caso(s)
práctico(s)
1 semana Comprensión y
evaluación de los
objetivos del
curso
Sesión 01
Participación en el
desarrollo de
caso(s) práctico(s)
Analiza riesgos Interpreta las estrategias y
técnicas para el desarrollo
de un análisis de riesgo
Diseña y aplica las
estrategias y técnicas
aprendidas para el
desarrollo de un análisis de
riesgo
Valora la importancia de conocer
una metodología de análisis de
riesgo
Valora la importancia de aplicar
apropiadamente una
metodología de análisis de riesgo
Visual
Inductivo
Intuitivo
Simbólico
Exposición
participativa
Lluvia de
ideas
Desarrollo de
caso(s)
práctico(s)
2 semanas Comprensión y
evaluación de los
objetivos del
curso
Sesión 02
Sesión 03
Participación en el
desarrollo de
caso(s) práctico(s)
Gestiona riesgos Interpreta y relaciona los
conceptos requeridos para
la gestión de riesgos
Maneja y aplica los
conceptos aprendidos para
la gestión de riesgos
Considera la relevancia del
conocimiento y comprensión de
la gestión de riesgos en
Seguridad de la Información
Valora la importancia de
gestionar correctamente los
riesgos en Seguridad de la
Información
Visual
Inductivo
Intuitivo
Simbólico
Exposición
participativa
Desarrollo de
caso(s)
práctico(s)
2 semanas Comprensión y
evaluación de los
objetivos del
curso
Sesión 04
Sesión 05
Participación en el
desarrollo de
caso(s) práctico(s)
Evaluación
permanente
4. Carrera Profesional de
Ingeniería de Sistemas y de Seguridad Informática.
Página 4
UNIDAD II : SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
COMPETENCIA :
Conoce cómo implantar un Sistema de Gestión de Seguridad de la Información (SGSI) que, con base en el análisis de riesgos, permite establecer,
implementar, operar, monitorear, revisar, mantener, y mejorar la seguridad de la información. Un SGSI incluye un conjunto de artefactos como la
estructura de organización, políticas, planificación de actividades, responsabilidades, procedimientos, procesos y recursos
CONTENIDOS ESTRATEGIAS DIDÁCTICAS
DURACIÓN
EVALUACIÓN
CONCEPTUALES PROCEDIMENTALES ACTITUDINALES MÉTODOS TÉCNICAS CRITERIOS INSTRUMENTOS
Identifica, describe
y explica los
estándares que se
implementan en
Seguridad de la
Información
Conoce la familia de
normas ISO/IEC 27000
Conoce los controles de la
ISO/IEC 27002
Aprecia la importancia de la
familia de normas ISO/IEC 27000
Aprecia la importancia de los 133
controles propuestos en la
ISO/IEC 27002, así como de las
mejores prácticas en la
Seguridad de la Información
Visual
Inductivo
Intuitivo
Simbólico
Exposición
participativa
Desarrollo de
caso(s)
práctico(s)
2 semanas Comprensión y
evaluación de los
objetivos del
curso
Sesión 06
Sesión 07
Participación en el
desarrollo de
caso(s) práctico(s)
Conoce cómo
aplicar las mejores
prácticas en
Seguridad de la
Información para
el control de
acceso
Conoce los controles de la
ISO/IEC 27002 relacionados
con el control de acceso
Identifica los controles que
son apropiados de aplicar
en una red de datos
corporativa
Justifica la aplicación de los
controles exigidos con el control
de acceso
Justifica la aplicación de los
controles exigidos
Visual
Inductivo
Intuitivo
Simbólico
Exposición
participativa
Desarrollo de
caso(s)
práctico(s)
2 semanas Comprensión y
evaluación de los
objetivos del
curso
Sesión 08
Sesión 09
Participación en el
desarrollo de
caso(s) práctico(s)
Evaluación
permanente
5. Carrera Profesional de
Ingeniería de Sistemas y de Seguridad Informática.
Página 5
UNIDAD III : IDENTIFICACIÓN, DESARROLLO E IMPLEMENTACIÓN DE CONTROLES EN SEGURIDAD DE LA INFORMACIÓN; MONITOREO DE CONTROLES
COMPETENCIA :
Identifica los controles adecuados que permiten tomar las acciones necesarias para disminuir la incertidumbre relativa a una amenaza, a través de una
secuencia de actividades que incluyen evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigar el riesgo. Utiliza los recursos con los que
cuenta el negocio y que están disponibles para implementar las salvaguardas
CONTENIDOS ESTRATEGIAS DIDÁCTICAS
DURACIÓN
EVALUACIÓN
CONCEPTUALES PROCEDIMENTALES ACTITUDINALES MÉTODOS TÉCNICAS CRITERIOS INSTRUMENTOS
Identifica y
desarrolla las
características que
debe tener cada
control a
implementar
Desarrolla un marco teórico
para elaborar controles de
monitoreo
Desarrolla un marco teórico
para implementar los
controles de monitoreo
elaborados
Valora la importancia de
desarrollar controles
Valora la importancia de
implementar controles
Visual
Inductivo
Intuitivo
Simbólico
Exposición
participativa
Lluvia de
ideas
Desarrollo de
caso(s)
práctico(s)
2 semanas Comprensión y
evaluación de los
objetivos del
curso
Sesión 10
Sesión 11
Participación en el
desarrollo de
laboratorio(s)
Participación en el
desarrollo de
caso(s) práctico(s)
Conoce y
desarrolla métricas
e indicadores
Desarrolla métricas que
apoyan la Seguridad de la
Información
Desarrolla indicadores que
apoyan la Seguridad de la
Información
Aprecia la importancia de las
métricas en lo referente a
Seguridad de la Información
Aprecia la importancia de
implementar indicadores, su
monitoreo y acciones correctivas
en lo referente a Seguridad de la
Información
Visual
Inductivo
Intuitivo
Simbólico
Exposición
participativa
Lluvia de
ideas
Desarrollo de
caso(s)
práctico(s)
2 semanas Comprensión y
evaluación de los
objetivos del
curso
Sesión 12
Sesión 13
Participación en el
desarrollo de
laboratorio(s)
Participación en el
desarrollo de
caso(s) práctico(s)
6. Carrera Profesional de
Ingeniería de Sistemas y de Seguridad Informática.
Página 6
UNIDAD IV : APLICACIÓN DE HERRAMIENTAS Y SOLUCIONES DE SEGURIDAD PARA EL CONTROL DE ACCESO Y SEGURIDAD EN EL DESARROLLO DE APLICACIONES
COMPETENCIA :
Reconoce y comprende que la Seguridad de la Información a través de los accesos a los recursos de la red de datos corporativa, aparte de la
implementación de controles procedimentales, tiene que estar complementada con la implementación de soluciones de software y hardware que el
equipo de Seguridad de la Información debe proponer
CONTENIDOS ESTRATEGIAS DIDÁCTICAS
DURACIÓN
EVALUACIÓN
CONCEPTUALES PROCEDIMENTALES ACTITUDINALES MÉTODOS TÉCNICAS CRITERIOS INSTRUMENTOS
Identifica
herramientas y
soluciones de
hardware y
software para
Seguridad de la
Información
Investiga herramientas y
soluciones modernas en
Seguridad de la
Información, tanto en
forma de software
licenciado como open
source
Valora las herramientas y
soluciones vigentes en el
mercado para implementar una
seguridad razonable
Visual
Inductivo
Intuitivo
Simbólico
Exposición
participativa
Desarrollo de
caso(s)
práctico(s)
1 semana Comprensión y
evaluación de los
objetivos del
curso
Sesión 14
Participación en el
desarrollo de
laboratorio(s)
Participación en el
desarrollo de
caso(s) práctico(s)
Implementa
herramientas y
soluciones en la
red de datos
corporativa
Aplica con eficiencia las
herramientas y soluciones
en la red bajo entorno
virtual
Evalúa y aplica herramientas o
soluciones para brindar una
seguridad razonable en la red de
datos corporativa bajo un
enfoque práctico
Visual
Inductivo
Intuitivo
Simbólico
Exposición
participativa
Desarrollo de
caso(s)
práctico(s)
2 semanas Comprensión y
evaluación de los
objetivos del
curso
Sesión 15
Sesión 16
Participación en el
desarrollo de
laboratorio(s)
Evaluación
permanente
7. Carrera Profesional de
Ingeniería de Sistemas y de Seguridad Informática.
Página 7
VI. SISTEMA DE EVALUACIÓN:
En el aspecto formal, legal y normativo, se asume el criterio de evaluación, permanente, formativo,
reflexivo, procesal e integral con carácter cognitivo y meta - cognitivo, en conformidad con el reglamento
y estatuto de la Universidad. Esto implica: prácticas dirigidas; prácticas calificadas; trabajos de
Investigación.
En el aspecto funcional y operativo, se asumen los criterios del sistema correspondiente a la
comprensión y aplicación de los contenidos, expresado en la evaluación objetiva y práctica clínica siendo
la presencia física y psicológica, crucial para la aprobación, en la formula siguiente:
Examen Parcial (EP) : 30%
Examen Final (EF) : 30%
Evaluación continua (EC) : 40% (prácticas, trabajos grupales e individuales, exposiciones, otros)
Promedio Final (PF)* : 100%
PF = (EP x 0.3) + (EF x 0.3) + (EC x 0.4)
(*) Redondeado al número entero inmediato superior.
VII. FUENTES DE INFORMACIÓN:
7.1. LIBROS:
William Stallings, “Cryptography and Network Security: Principles and Practice”, Prentice Hall;
3ra edición, Agosto 2002
Lawrence J. Fennelly, “Effective Physical Security”, Butterworth-Heinemann; 3 edition, Diciembre
2003.
M. Lucena, “Criptografía y Seguridad en Computadores”, 3ª Edición.
(hhtp://wwwdi.ujaen.es/~mlucena)
David F. Ferraiolo, D. Richard Kuhn, “Role-Based Access Control”, Artech House Publishers, Abril
2003
D.B. Chapman y E.D. Zwicky, "Building Internet Firewalls". O’Reilly & Associates.
C. P. Pfleeger, "Security in Computing". Prentice Hall. Second Ed.
Jan Juerjens, “Secure Systems Development With Uml”, Springer-Verlag, Diciembre 2004
Alberto G. Alexander , “Diseño de un Sistema de Gestión de Seguridad de Información”, Alfa
Omega
7.2. NORMAS TÉCNICAS PERUANAS:
NTP ISO/IEC 17799:2007. EDI. Tecnología de la información. código de buenas prácticas para la
gestión de la seguridad de la información. 2a. ed. (http://www.indecopi.gob.pe).
NTP ISO/IEC 27001:2008. EDI. Tecnología de la información. Técnicas de seguridad. Sistemas de
gestión de seguridad de la información. Requisitos. (http://www.indecopi.gob.pe)
8. Carrera Profesional de
Ingeniería de Sistemas y de Seguridad Informática.
Página 8
7.3. SITIOS WEB:
http://www.iso.org/
http://www.ietf.org/
http://www.internetsociety.org/
http://www.intypedia.com/
http://csrc.nist.gov/
http://www.inteco.es/