FCA - EXÁMENES PROFESIONALES
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE CONTADURÍA Y ADMINISTRACIÓN
SECRETARÍA GENERAL EXÁMENES PROFESIONALES
SEGURIDAD
INFORMÁTICA
OBJETIVOProveer al asistente de los conocimientos teóricos y prácticos que le permitan conocer, instalar, configurar y administrar herramientas y mecanismos en materia de seguridad.
DIRIGIDO A
Egresados de la Facultad de Contaduría y Administración e instituciones incorporadas como opción de titulación.
MÓDULO I
SEGURIDAD INFORMÁTICA Y ANÁLISIS DE RIESGOS 1. Introducción. 1.1Estados de la información. 1.2Historia de la información. 1.3Estructura de la información. 1.4Información cifrada. 1.5Acervos de información. 1.6Modernización informativa. 1.7La era digital. 2. Historia. 3. Computadoras multiusuario.3.1Evolución temprana del cómputo.
3.2Problemática de seguridad de la información. 4. Primera revolución: la computadora personal.
4.1Introducción.
4.2Problemática de seguridad. 5. Segunda revolución: internet.
5.1Introducción.
5.2Problemas de seguridad en internet. 6. Espectro distribuido.
6.1Consideraciones de seguridad. 7. Vulnerabilidades, amenazas y ataques.
7.1Conceptos.
7.2Amenazas y ataques famosos. 7.3Ciberguerra.
8. Seguridad en cómputo y servicios de seguridad. 8.1 Seguridad en cómputo
8.2 Primeros esfuerzos en seguridad en cómputo 8.3 Dificultad de la seguridad en cómputo 8.4 Servicios de seguridad.
9. Análisis de riesgos.
9.1 Administración de riesgos 9.2 Amenazas y vulnerabilidades 9.3 Determinación de probabilidades
9.4 Herramientas y técnicas de evaluación de riesgos
9.5 Metodologías de evaluación de riesgos 9.6 Pérdidas de ocurrencia única
9.7 Medidas de contención
9.8 Reducción, transferencia y aceptación de riesgos. Duración: 20 hrs.
MÓDULO II
CRIPTOLOGÍA Y APLICACIONES CRIPTOGRÁFICAS CRIPTOLOGÍA 1. Criptología 1.1Elementos de la criptología 1.2Criptografía 1.3Criptoanálisis 2. Conceptos matemáticos 2.1Aritmética modular 2.2Teoría de números 3. Criptografía clásica 3.1.Introducción 3.2.Criptosistemas 3.3.Cifrado de llave secreta 3.4.Tipos de cifrado 3.5.Transposiciones 3.6.Sustitución digrámica 3.7.Permutaciones3.8.Sustitución o transformación simple 3.9.Sustitución polialfabética
4. Criptografía simétrica 4.1Cifrado en bloque 4.2Des
4.3Des simplificado 4.4Criptoanálisis sobre DES 5. Criptografía asimétrica
5.1Criptografía de llave pública
5.2Criptoanálisis del cifrado de llave pública 5.3RSA
5.4Esquema Diffie-Hellman 5.5Administración de llaves
FCA - EXÁMENES PROFESIONALES
6. Funciones HASH 6.1Propiedades 6.2Ataques 6.3Md5 7. Estenografía 7.1Definición 7.2Historia 7.3Perspectivas APLICACIONES CRIPTOGRÁFICAS 1. Introducción 2. Protocolos 2.1Definición de protocolo 2.2Notación 2.3Tipos de protocolos3. Protocolos criptográficos para implementar servicios de seguridad
3.1Confidencialidad con DES 3.2Autenticación con DES 3.3Integridad con DES
3.4Problemas con criptografía simétrica 3.5Confidencialidad con RSA
3.6Autenticación con RSA
3.7Confidencialidad, autenticación e integridad con RSA Y MD5
3.8Soluciones y problemas de la criptografía asimétrica
4. Firmas digitales
4.1Firmas digitales y funciones HASH 4.2Algoritmo ELGAMAL
4.3Algoritmo DSA (digital signature algorithm) 4.4Protocolos para utilización de firmas digitales 5. Certificados digitales
5.1Definición
5.2Autoridades certificadoras 5.3Validación de certificados
5.4Certificados digitales x.509 y estándares PKCS 5.5Listas de revocación
5.6Aplicaciones de los certificados digitales 6. Protocolos de acuerdo a intercambio de llaves
6.1Problemas del acuerdo e intercambio de llaves
6.2Problemas de la administración de llaves 6.3Llaves de sesión y protocolos de establecimiento
de llaves
7. Protocolos de autenticación e intercambio de llave 7.1 Protocolos de autenticación
7.2 Protocolos de autenticación e intercambio de llave
8. Aplicaciones de la criptografía simétrica y funciones HASH para la verificación de integridad y
autenticidad
8.1 Códigos para integridad y autenticación de mensajes
8.2 Generación de códigos, de verificación, de integridad/autenticación de mensajes 9. PGP
9.1 Introducción 9.2 La historia PGP
9.3 Elementos principales de PGP 9.4 Algoritmos que usa PGP 9.5 Cifrados de paquetes PGP 9.6 Vulnerabilidades 9.7 Distribuciones PGP 9.8 Protocolos importantes en PGP Duración: 30 hrs.
MÓDULO III
POLÍTICAS DE SEGURIDAD POLÍTICAS 1. Misión de seguridad 1.1 Estrategia de seguridad1.2 Misión, políticas, normas y mecanismos 1.3 Seguridad informática
1.4 Guía para establecer una misión 2. Políticas de Seguridad
2.1 Estudio inicial 2.2 Entorno
2.3 Criterios de la OCDE
2.4 Posturas adoptadas
2.5 Políticas para diferentes tipos de organizaciones 3. Proceso de diseño 3.1 Políticas de seguridad 3.2 Clasificación 3.3 Herramientas 3.4 Participantes y responsabilidades 4. Algunas políticas necesarias
4.1 Políticas sobre programas 4.2 Políticas sobre temas específicos 4.3 Políticas sobre sistemas específicos 5. Procedimientos
5.1 Selección de objetivos
5.2 Bases de los procedimientos de seguridad 5.3 Lista de procedimientos de seguridad 5.4 Capacitación en seguridad
5.5 Cursos 6. Análisis de riesgos
6.1 Identificación de los activos 6.2 Valoración de los activos físicos 6.3 Identificación de riesgos
6.4 Estimación de la probabilidad de ocurrencia de un evento
NORMATIVIDAD
1. Introducción 2. Estándares y guías
3. Clasificación según el libro naranja 3.1 Políticas y etiquetas 3.2 Responsabilidad 3.3 Garantías 3.4 Documentación 3.5 Niveles 3.6 Funcionamiento
4. ITSEC (information technology security evaluation criteria)
4.1Niveles
5. Criterios normativos modernos (criterios comunes) 5.1Criterios de seguridad
FCA - EXÁMENES PROFESIONALES
5.3Requerimientos de seguridad funcional. 5.4Requerimientos de seguridad confiable.
CONTROLES DE ACCESO 1. Introducción 1.1 Protección perimetral 1.2 Autenticación 2. Identificación y autenticación 2.1 Registro 2.2 Identificación 2.3 Autenticación 3. Uso de los autenticadores
3.1 Control de acceso discrecional 3.2 Control de acceso obligatorio 3.3 Control de acceso basado en perfiles 3.4 Control de acceso optimista
3.5 Control de acceso impuesto por el sistema operativo y el equipo
SEGURIDAD EN LAS OPERACIONES
1. Planeación de la administración de la seguridad 2. Políticas y normas corporativas de seguridad 3. Conceptos
3.1 Respaldo de información crítica
3.2 Cambios de ubicación, cambios de equipo 3.3 Necesidades-de-conocer/privilegio mínimo 3.4 Operaciones privilegiadas
3.5 Estándares de due care / due dilligence 3.6 Protección y privacidad
3.7 Requerimientos locales
3.8 Actividades ilegales (detección de fraudes, colusión)
3.9 Retención de registros 3.10 Información y medios sensibles 3.11 Controles
4. Clasificación de datos y protección de recursos 4.1 Objetivos de un esquema de clasificación 4.2 Criterio de clasificación de datos 4.3 Clasificación de datos
4.4 Protección de recursos 5. Control de la operación
5.1 Protección de recursos
5.2 Control de entidades privilegiadas 5.3 Control de cambios
5.4 Control de hardware 5.5 Control de documentos 5.6 Control de medios 5.7 Controles administrativos
5.8 Procesos confiables de recuperación 6. Auditoría 6.1 Verificación de cumplimiento 6.2 Auditoría interna 6.3 Auditoría externa 6.4 Frecuencia de revisión 6.5 Medios de auditoria
7. Manejo de incidentes de seguridad 7.1 Actividades inadecuadas
7.2 Amenazas y medidas de protección
PROTOCOLOS Y HERRAMIENTAS DE SEGURIDAD
1. Domain Name System (DNS) 1.1 Antecedentes
1.2 Definición y estructura 1.3 Servidor de nombres 1.4 Ataques de DNS
2. Redes virtuales privadas (VPN`S) 2.1 Definición y concepto
2.2 Elementos de una conexión VPN 2.3 Conexiones VPS
2.4 Propiedades de una VPN
2.5 Conexiones VPN internet e intranet 2.6 Administración de VPN`s
2.7 Protocolo de túnel punto a punto (PPTP) 2.8 Seguridad de VPN`s
2.9 Problemas comunes de una VPN 3. Herramientas
3.1 Firewalls 3.2 Kerberos
4. SET (secure electonic transation) 4.1 Introducción 4.2 Características de SET 4.3 El protocolo SET 5. PGP 5.1 Introducción 5.2 La historia PGP 5.3 Elementos principales de PGP 5.4 Algoritmos que isa PGP 5.5 Cifrado de paquetes PGP 5.6 Vulnerabilidades 5.7 Distribuciones PGP
6. Sistemas de detección de intrusos 6.1 Introducción
6.2 Funcionamiento de IDS`S 6.3 Características de un IDS 6.4 Problemas asociados a IDS`S 6.5 Ejemplos de IDS´S
7. Modos de ataques finitos 7.1 Consumo de recursos
7.2 Destrucción y alteración de información de configuración
7.3 Destrucción o alteración de los componentes físicos de la red 7.4 Prevención y respuesta
7.5 Herramienta de ataque distribuido
Duración: 50 hrs.
MÓDULO IV
IDS: SISTEMAS DE DETECCIÓN DE INTRUSOS YCÓDIGO MALICIOSO DETECCIÓN DE INTRUSOS
1. Introducción 1.1 Bitácoras
1.2 Monitoreo y análisis de la actividad de los usuarios
1.3 Detección de ataques conocidos 1.4 Monitoreo del tráfico en la red
1.5 Verificación de la integridad de los archivos críticos del sistema
FCA - EXÁMENES PROFESIONALES
1.6 Auditoría de la configuración del sistema y sus vulnerabilidades
2. Sistemas realmente seguros 3. Intrusos
4. Expectativas en cuanto a la seguridad 5. Bitácoras
6. Analizadores de bitácoras 7. Análisis a posteriori
8. Monitoreo y análisis de la actividad de los usuarios
9. Problemática de la implantación 10. Reconocimiento de ataques conocidos 11. Monitoreo del tráfico en la red
12. Verificación de la integridad de los archivos críticos del sistema
13. Auditoría de la configuración del sistema y sus vulnerabilidades
13.1Herramientas para UNIX
13.2Herramientas para Windows NT y Windows 9X
CÓDIGO MALICIOSO
1. Introducción 2. Virus
2.1 El tamaño del problema 2.2 La teoría de los virus 2.3 Definición de virus informático 2.4 Ejemplos de virus
2.5 Segunda definición 2.6 Virus reales
2.7 Consecuencias de las infecciones por virus informáticos
2.8 Las generaciones de virus 2.9 Generadores de virus y cajas de
herramientas 2.10Los virus de internet 2.11 Medidas contra los virus 2.12El futuro
2.13Historia de los virus 3. Ataques de penetración
4. Ataques de negación de servicios
5. Programas de espionaje 6. Caballos de Troya 7. Bombas de tiempo
8. El problema de las combinaciones
Duración: 40 hrs.
MÓDULO V
SEGURIDAD EN SISTEMAS OPERATIVOS, REDES, WEB Y BASES DE DATOS
SEGURIDAD EN SISTEMAS OPERATIVOS
1. Introducción
2. Normas de seguridad en sistemas operativos 2.1 División D
2.2 División C
2.3 División B: protección obligatoria 2.4 División A: protección verificada 2.5 Selección de niveles de seguridad 2.6 Los niveles de seguridad y la práctica
cotidiana
3. Configuración de seguridad de sistemas LINUX/UNIX
3.1 Principios básicos
3.2 Pasos para instalar un sistema seguro
SEGURIDAD EN REDES Y WEB
1. Introducción 2. Tipos de redes
2.1 Redes UUCP (“unix to unix copy”) 2.2 Internet
2.3 TCP/IP: el lenguaje de internet 2.4 Problemas de seguridad en internet 3. Seguridad en redes
3.1 Introducción
3.2 Elementos de un esquema de seguridad en RED 3.3 Implementación de un esquema de seguridad en RED 3.4 Niveles de seguridad 3.5 Preocupaciones y conceptos 3.6 Amenazas y ataques
3.7 Servicios de seguridad en redes 3.8 Mecanismos de seguridad en redes 3.9 Criptografía y seguridad en redes 4. Seguridad en IP
4.1 Introducción
4.2 Aplicaciones de IPSEC 4.3 Beneficios y ventajas de IPSEC 4.4 Aplicaciones de RUTEO 4.5 Arquitectura de IPSEC 4.6 Authentication header (AH)
4.7 ESP (“Encapsulating Security Payload”) 5. Herramientas de seguridad en red
5.1 KERBEROS 5.2 SSH (“secure shell”) 5.3 NESSUS
6. Seguridad en web 6.1 Introducción
6.2 Consideraciones de seguridad en web 6.3 SSL (“secure socket layer”)
6.4 TLS (“ transport layer security”) 7. Firewalls
7.1 Introducción 7.2 Objetivos y alcances 7.3 Decisiones de diseño 7.4 Problemas con firewalls 7.5 Tipos de firewalls
7.6 Integración de módems con firewalls 7.7 Requerimientos y configuración de firewalls
SEGURIDAD EN BASES DE DATOS
1. Introducción
2. Conceptos de bases de datos 2.1 Bases de datos 3. Bases de datos relacionales
4. Problema de seguridad en bases de datos 4.1Amenazas a la seguridad en bases de datos 4.2Requerimientos de protección de bases de
datos 4.3Amenazas 4.4Consecuencias
FCA - EXÁMENES PROFESIONALES
5. Integridad de datos 5.1Integridad semántica 5.2Atomicidad de transacciones 6. Control de acceso y arquitectura 6.1Control de acceso discrecional 6.2Control de acceso obligatorio 7. Ataques a los sistemas de bases de datos
7.1 Deducción de información confidencial de una base de datos
7.2 Inferencia
7.3 Inferencia en bases de datos estadísticas 7.4 Agregación
7.5 Escaneo de puertos IP 7.6 Ataques de fuerza bruta 7.7 Análisis de paquetes
7.8 Puertas traseras hacia el sistema 7.9 Inyección de código SQL 8. Prácticas recomendadas
9. Resumen de características de seguridad en bases de datos comerciales
9.1 IBM AS/400 DBMS 9.2 NFORMIX 9.3 ORACLE RDBMS 9.4 SYBASE SQL server 9.5 Microsoft SQL server Duración: 50 hrs.
MÓDULO VI
CONTINUIDAD Y RECUPERACIÓN EN CASO DE DESASTRE1. Planeación y alcance del proyecto
1.1 Análisis de la organización del negocio 1.2 Recursos requeridos
1.3 Requerimientos legales y regulares 2. Evaluación de impacto en el negocio
2.1 Grado de emergencia 2.2 Factores de éxito
2.3 Funciones críticas del negocio 2.4 Establecimiento de prioridades 3. Estrategias de contención
4. Estrategias de recuperación
4.1 Prioridades de las unidades de negocio 4.2 Administración de crisis
4.3 Recuperación de grupos de trabajo 4.4 Alternativas
4.5 Acuerdos y contratos
5. Desarrollo del plan de recuperación 5.1 Respuesta de emergencia 5.2 Notificación al personal
5.3 Respaldos y almacenamiento fuera de sitio 5.4 Contratos de comodato de software 5.5 Comunicaciones externas
5.6 Instalaciones
5.7 Logística y suministros 5.8 documentación 6. Implementación del plan
Duración: 30 hrs.
MÓDULO VII
TENDENCIAS1. Seguridad física
1.1 Construcción del edificio y del sitio (creación de un ambiente seguro)
1.2 Resguardo de equipo 1.3 Prevención de robo 1.4 Suministros de energía
1.5 Protección de los medios de salida de información
2. Disponibilidad e integridad 2.1 Administración del software 2.2 Control de configuraciones 2.3 Recuperación en caso de desastres 2.4 Computadoras personales
2.5 Virus
3. Confidencialidad
3.1 Clasificación de la información
3.2 Almacenamiento y destrucción de la información 3.3 Definición de permisos de acceso a la
información
3.4 Cifrado de la información 4. Control de acceso
4.1 Administración de usuarios y asignación de privilegios
4.2 Procedimientos de entrada y salida del sistema 4.3 Identificación y autenticación 4.4 Acceso remoto 4.5 Computadoras personales 4.6 Recursos de la red 5. Manejo de incidentes 5.1 Procedimientos formales
5.2 Herramientas de detección y registro de actividad 6. Controles organizacionales
6.1 Políticas de seguridad, procedimientos y estándares
6.2 Análisis de riesgos 6.3 Continuidad de la empresa 6.4 Arquitectura de seguridad 6.5 Auditoria de seguridad
6.6 Organización de la función de seguridad 6.7 Conciencia de seguridad
6.8 Administración de seguridad 6.9 Seguridad del proceso de desarrollo 7. AES (advanced escryption standard)
7.1 Antecedentes
7.2 Matemáticas preliminares 7.3 Especificación del algoritmo 7.4 Fortaleza de las llaves AES 7.5 Ejemplo de aplicaciones de AES 7.6 Ventajas y limitaciones de RIJNDAEL 7.7 Otras funcionalidades
8. Esteganografía 8.1 Introducción 8.2 Historia
FCA - EXÁMENES PROFESIONALES
Duración: 20 hrs.
Duración Total: 240 hrs
.
DIRECTORIO
Dr. Juan Alberto Adam Siade
Director FCA
L. C. y E. F. Leonel Sebastián Chavarría
Secretario General
L.A. Víctor Godínez Paredes
Jefe de Exámenes Profesionales
Admisión e Informes:
Departamento de Exámenes Profesionales
http://www.fca.unam.mx/titulacion/
Correo electrónico:
