UNIVERSIDAD DEL SAGRADO CORAZÓN DECANANTO ASOCIADO DE ESTUDIOS GRADUADOS GERENCIA DE SISTEMAS DE INFORMACIÓN PRONTUARIO TÍTULO DEL CURSO : CODIFICAC IÓN : HORAS/CRÉDITOS : FUNDAMENTOS DE SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GSI732 TRES (3) CRÉDITOS, TRES HORAS SEMANALES, UNA SESIÓN DESCRIPCION: Las organizaciones dependen cada vez más de la tecnología informática para la prestación de servicios y el desempeño de procesos o funciones críticas. Además, la inmersión de las organizaciones en el internet y la incursión en el comercio electrónico (e-comercio) hace que se abran o expongan estos activos más allá de los linderos bajo el control físico de la organización introduciendo riesgos y vulnerabilidades insospechadas. Más aún, los incidentes que continuamente se registran como atentados contra la operación segura, estable y confiable de los sistemas de información y de las redes de comunicación, nos llevan a considerar la seguridad de estos activos como un factor determinante en el éxito de los servicios informáticos. Es por ello que, para la organización del siglo XXI, la protección adecuada de esos activos informáticos impone la necesidad de implantar y administrar políticas, procedimientos, herramientas, controles y otros mecanismos que contribuyan a la salvaguarda efectiva de esos activos y tecnología. Para el gerente de recursos de información, custodio principal de estos recursos, resulta necesario conocer los riesgos y vulnerabilidades a los cuales están expuestos los activos informáticos, así como los mecanismos, controles, procedimientos y herramientas disponibles para la protección de dichos activos; al igual que las políticas y procedimientos que deben integrar como parte del descargo de sus funciones y las tendencias del mercado en términos de su responsabilidad profesional en esta dimensión. PRERREQUISITOS : GSI711 OBJETIVOS: Exponer al estudiante a los aspectos fundamentales de la seguridad de los recursos o activos informáticos y de la tecnología que los respalda, la función del gerente de sistemas en términos de seguridad, los riesgos y los costos asociados, las funciones asociadas a los procesos de seguridad, la tecnología que respalda la implantación de sistemas informáticos más seguros, la metodología para la implantación de programas de seguridad en las organizaciones, y la gestión de administrar servicios de seguridad para los activos informáticos. Conocer las herramientas y servicios disponibles al gerente de recursos de información para asegurar los activos informáticos y operar una infraestructura tecnológica más segura. Promover en el gerente de recursos de información la necesidad de impulsar la implantación políticas y administración de mecanismos que contribuyan a garantizar la privacidad de los bancos de datos y la protección de los activos informáticos. Explorar las posibilidades de la profesión emergente de oficial de seguridad/privacidad. Investigar áreas relativas a la responsabilidad legal de las organizaciones que puede emerger como resultado de omitir adoptar, implantar y operar un programa de seguridad informática. CONTENIDO: A. Aspectos Introductorios 1. Definición de seguridad y objetivos primarios 2. Conceptos básicos de riesgos, amenazas o ataques y vulnerabilidad 3. Responsabilidad de los profesionales de recursos de información y la función del gerente de recursos de información 4. Políticas y programas de seguridad 5. Procesos asociados a la seguridad de sistemas: B. a) Autenticar – Identificar b) Autorizar c) Controlar – Conceder acceso Tecnologías de seguridad: 1. “Firewalls” 2. “Vulnerability Scanners” 3. “Virus detection” 4. “Intrussion detection” 5. Llaves (PKI) y el proceso de encifrado (“Encryption”) 6. Sistemas que integran comunicación encifrada: a) Redes virtuales (“Virtual Private Networks”) b) “Secure Soket Layer” c) “Secure Shell” 7. Seguridad en Redes inalámbricas (“Wireless LAN’s”) 8. “Single Sign On” 9. Firmas electrónicas y firmas digitales C. Implantación de sistemas seguros 1. Metodología y pasos para implantar un Programa de seguridad institucional 2. Adopción y promulgación de políticas seguridad 3. Mecanismos para validar (“assess”) la seguridad de sistemas 4. Contratación de recursos externos para administrar servicios de seguridad (Managed security services”) 5. Reacción a incidentes y recuperación (“Business Continuity”) 6. Seguridad en el WEB o Internet D. Otras consideraciones: 1. Responsabilidad legal 2. Entidades y organismos asociados a la seguridad informática 3. Regulación gubernamental 4. Consideraciones asociadas a las diferentes plataformas E. La profesión emergente de oficial de seguridad/privacidad 1. Estándares y pronunciamientos 2. Certificaciones profesionales 3. Oportunidades de desarrollo profesional y de empleo ESTRATEGIAS DIDÁCTICAS/ ACTIVIDADES: Conferencias, charlas y lecturas Discusión de casos Ejercicios de debate, paneles e investigación y presentación de hallazgos EVALUACIÓN: Exámenes Ejercicios de debate,paneles, Casos y Proyectos Participación en clase, discusiones en línea Total 50% 40% 10% 100% TEXTO: The Secured Enterprise: Protecting your Information Assets, Proctor & Byrnes, Prentice Hall PTR, 2002 ISBN0-13-061906-X RECURSOS BIBILOGRÁFICOS: Network Security: a Beginner’s Guide, Maiwald, Osborne/Mc Graw-Hill, 2001 ISBN 007-213324-4 Law of Internet Security and Privacy, Connolly, Aspen Publishers 2003 ISBN 0-73552962-0 Information Systems Security, Fisher, Prentice Hall, 1984, CERT, Carneguie Mellon Institute SANS Institute SIFT Notes EDUCAUSE Best Practices MARZO 2003