Atributos
Sigla: 
CI-0143
Créditos: 
4
Horas: 
5
Clasificación: 
Curso propio
Énfasis y ciclo: 
Tecnología de la Información 4.I
Ingeniería de Software 4.I
Ciencias de la Computación electiva
Descripción: 

Este es un curso básico de seguridad de la información con un enfoque que mezcla lo teórico y lo práctico. Se tratarán ideas y conceptos básicos de seguridad, análisis de riesgos, controles y métodos de protección y pruebas. El curso genera conciencia en el estudiante sobre la necesidad de aplicar de forma continua la seguridad a los sistemas computacionales.

Objetivo general: 

El objetivo general del curso es que cada estudiante entienda o aplique conceptos de seguridad de la información y de seguridad de infraestructura tecnológica, para atender los requerimientos de seguridad de los sistemas computacionales, utilizando análisis, controles y métodos de protección, mediante ejemplos prácticos, proyectos o asignaciones.   

Objetivos específicos: 

Durante este curso, cada estudiante:

  1. Comprenderá las ideas y conceptos básicos de seguridad para fundamentar las decisiones que se toman en materia de seguridad.
  2. Realizará, a partir de los objetivos de seguridad de una organización, el análisis de riesgos  para definir y priorizar los requerimientos técnicos de seguridad.
  3. Aplicará resultados de un análisis de riesgos de seguridad para determinar el tratamiento y la priorización de los riesgos.
  4. Conocerá e implementará controles y métodos de protección para mitigar riesgos identificados en el análisis según las prioridades definidas.
  5. Ejecutará pruebas de seguridad para determinar que la mitigación de riesgos fue efectiva.

 

Objetivos transversales:

  1. Comunicará efectivamente sus resultados, tanto de manera escrita como oral.
  2. Practicará habilidades de trabajo en equipo.
Contenidos: 

Los ejes temáticos del curso y los objetivos a los que contribuyen se muestran en la tabla que sigue:

Objetivo específico

Eje temático

Desglose

1

Fundamentos de seguridad de sistemas computacionales

  • Definición de seguridad
  • Confidencialidad, integridad, disponibilidad, autenticación, autorización, responsabilización (“Accountability”), no repudio, auditoría
  • Objetivos de seguridad
  • Riesgos: vulnerabilidad, amenaza, probabilidad de materialización,  impacto, relación costo-beneficio.
  • Cadena de ataque (“kill-chain”)
  • Modelos de seguridad (Por ejemplo McCumber)

2

Análisis de requerimientos

  • Requerimientos de:  negocio, tecnología,  actores e involucrados, normativa, información y aplicaciones

3

Análisis de riesgos de seguridad

  • Identificación de vulnerabilidades, amenazas, activos, controles, consecuencias
  • Evaluación de riesgos, metodología cualitativa y cuantitativa
  • Tratamiento: modificación, evasión, retención y  reparto

4

Controles y métodos de protección

  • Políticas y procedimientos
  • Criptografía: simétrica, asimétrica, irreversible, fundamentos de criptografía de llave pública (PKI)
  • Mecanismos de identidad y acceso (IAM)
  • Seguridad en redes: seguridad perimetral, canales seguros (por ejemplo: VPN, TLS/SSL), monitorización de redes
  • Seguridad de aplicaciones: ataques a aplicaciones de software, programación defensiva (por ejemplo, validación de entradas, aserciones, técnicas de manejo de errores), con base en una clasificación y priorización de la industria.
  • Seguridad en computadores y servidores: reforzamiento (“hardening”), aislamiento y confinamiento (virtualización y cajas de arena)

5

Pruebas de seguridad

  • Análisis de vulnerabilidades y pruebas de penetración.
  • Análisis y evaluación de seguridad (estático y dinámico)

Metodología

Metodología pedagógica o didáctica. Ver artículo 14 del Reglamento de Régimen Académico Estudiantil.

Evaluación

Indicar aspectos a evaluar en el curso y su ponderación (no incluir el rubro de “concepto”). Especificar normas o reglas de evaluación particulares, si hubiera. Ver artículo 14 del Reglamento de Régimen Académico Estudiantil.

Cronograma

Incluir al menos fechas de exámenes y de elementos de evaluación cuyo puntaje singular sea significativo.

Bibliografía: 
  1. Anderson, R. “Security Engineering: A Guide to Building Dependable Distributed Systems”. 3ra edición, Wiley, 2020
  1. Bejtlich, R.  “El TAO de la monitorización de seguridad en redes”.  Pearson Educación, S.A., 2005.
  1. Clarke, J. “SQL Injection Attacks and Defenses”. Syngress Publishing, 2009.
  1. Du, W. “Computer & Internet Security. A Hands-on Approach”. 2a edición, 2019.
  1. Fernández, E. B. “Security Patterns in Practice”. Wiley, 2013.
  1. Harris, S, y Maymi, F. “CISSP all-in-one exam guide”. McGraw-Hill Education, 8va edición, 2019.
  1. Hoglund G. y McGraw G. “Exploiting Software: How to break code”. Addison-Wesley, 2004.
  1. Howard, M. y LeBlanc D.  “Writing Secure Code”, 2da edición.  Microsoft Press Redmond, 2002.
  1. McClure, S., Scambray, J. “Hacking Exposed: Network Security Secrets & Solutions”. Osborne, 7ma edición, 2012.
  1. McConnell S.  “Code Complete”. 2da edición.  Microsoft Press Redmond, 2002.
  1. McCumber, J. “Assessing and Managing Security Risk in IT Systems: A structured methodology”. Auerbach, 2005.
  1. Pfleeger, C.P.  “Security in computing”. 4a edición.  Prentice Hall, 2007.
  1. Schneier, B. “Applied cryptography: protocols, algorithms, and source code in C”. 2da edición.  Wiley, 1996.
  1. Shackleford, D. “Virtualization Security: Protecting Virtualized Environments”. Sybex, 2013.

 

Recursos estudiantiles

Para información sobre recursos estudiantiles disponibles en la UCR, incluyendo el Sistema de bibliotecas y la normativa universitaria vigente, favor visitar la página: https://www.ecci.ucr.ac.cr/vida-estudiantil/servicios-institucionales-para-estudiantes/guia-de-recursos-estudiantiles-de-la-ucr

 

LIberación de responsabilidad: 

Este no es un documento oficial. Documentos oficiales se entregan en la secretaría de la escuela.