Saltear al contenido principal

Seguridad del Tratamiento: Aspectos Técnicos (para perfil no informático)

La seguridad informática es hoy en día una de las materias más importantes en el ámbito de Internet y las nuevas tecnologías. Sin embargo, no siempre es tenida en cuenta en el momento de crear nuevos programas o aplicaciones. Por este motivo, existen multitud de vulnerabilidades en todo el software que manejamos a través de nuestros dispositivos (ordenadores, tablets, teléfonos móviles, domótica, etc.) que pueden ser aprovechadas por usuarios malintencionados.

Adquirir conocimientos acerca de los riesgos de seguridad nos ayuda a identificarlos y utilizar las herramientas adecuadas para prevenirlos, resolverlos y ofrecer sistemas más seguros, sistemas que redundaran en evitar tanto los consabidos problemas económicos que puede presentar el robo de credenciales bancarias, números de tarjetas de crédito, etc., como otros más desconocidos como los problema legales de un uso indebido de un dispositivo de Internet por parte de un usuario malintencionado.

A través del curso “Seguridad del tratamiento: aspectos técnicos (perfil no IT)“ se presenta al estudiante los procedimientos necesarios para garantizar que las aplicaciones informáticas aseguren la integridad, privacidad y confidencialidad de la información. Asimismo, se proporciona una visión general de las tecnologías de la información y las comunicaciones utilizadas en la actualidad. A lo largo del curso se tratan temas muy interesantes que abarcan desde la seguridad en la configuración de servicios y en las plataformas actuales (gestores de contenido, configuración de hosting, etc) hasta el seguimiento mediante cookies, el procesamiento de los datos con Big Data, el almacenamiento en la nube o la tecnología utilizada en las criptomonedas.

El curso cuenta con gran cantidad de ejercicios que refuerzan el contenido teórico y ayudan a comprender las técnicas para aumentar la seguridad de los sistemas, protegerse de posibles ataques y recuperarse ante ellos si llegaran a producirse.

Cada ejercicio es corregido y comentado de forma individual por el profesorado. Además, a lo largo del curso, se establece una relación profesor-alumno en la que se atienden las dudas e inquietudes con la mayor eficacia y brevedad posible.

Descripción del curso

Este curso se divide en dos partes:

La primera parte presenta al alumno herramientas y tecnologías utilizadas en el ámbito informático para asegurar la integridad, privacidad, confidencialidad, disponibilidad, etc., de la información, introduciéndole en los procedimientos adecuados para garantizar que las aplicaciones informáticas cumplen las características anteriores.

En la segunda parte se analiza la gestión de riesgos desde un punto de vista práctico. Inicialmente se introduce al alumno en la clasificación de incidentes de seguridad propuesta en el Esquema Nacional de Seguridad y se define cada uno de forma clara y con ejemplos que, en la medida de lo posible, se puedan entender por un perfil no técnico. Posteriormente, se describen los estándares ISO 27001:2013 (Sistemas de gestión de seguridad de la información) e ISO 22301:2012 (Sistema de gestión de la continuidad de negocio). Estos estándares, las metodologías y buenas prácticas más utilizadas, explican qué se debe hacer para alcanzar unos objetivos, pero no se especifica cómo hacerlo. En este curso, se explicará al alumno cómo alcanzar estos objetivos utilizando las herramientas que se han estudiado en la primera parte del curso.

Objetivos académicos

Este curso capacita al estudiante para poder elegir entre diferentes tecnologías a la hora de garantizar la seguridad en el tratamiento de los datos, como por ejemplo:

  • Conociendo aspectos básicos del lenguaje propio de las tecnologías de la información.
  • Profundizando en el conocimiento de los principios de diseño e implementación de la seguridad en sistemas operativos, bases de datos, correo electrónico, dispositivos móviles y otros servicios.
  • Conociendo el futuro inmediato del desarrollo de las tecnologías de la información y las comunicaciones (Big Data, herramientas de anàlisis de comportamiento, RFID, Smart Cities, wearable devices, Internet of Things, etc.).
  • Estudiando las medidas de seguridad técnicas y organizativas así como otros aspectos en materia de Seguridad de datos con el objetivo de conocer cómo cumplir las exigencias del RGPD en este terreno.
  • Presentando al estudiante las tecnologías utilizadas en el ámbito informático para asegurar la integridad, privacidad, etc., de la información.
  • Introduciendo al mismo en los procedimientos adecuados para garantizar que las aplicaciones informáticas cumplen las características anteriores.
  • Proporcionar una visión general de las tecnologías actuales de la información y las comunicaciones.
  • Profundizando en las definiciones de los incidentes de seguridad clasificados según el Esquema Nacional de Seguridad.
  • Conociendo tanto la gestión de riesgos incluida en la ISO 27001:2013 como la gestión de la continuidad de negocio y recuperación ante desastres presentada en la ISO 22301:2012 desde una perspectiva práctica.
Competencias
  • Ser capaz de evaluar y verificar el cumplimiento de los objetivos de seguridad definidos por Reglamento UE y por la futura normativa española.
  • Ser capaz de integrar en su análisis los requerimientos derivados de la regulación específica en sistemas afectados por el Esquema Nacional de Seguridad y otras normas
  • Ser capaz de implementar los requerimientos de seguridad establecidos por el Reglamento UE y por la futura normativa española.
  • Conocer y ser capaz de implementar normas y estándares técnicos de seguridad.
  • Ser capaz de diseñar procedimientos de monitorización y evaluación de los eventos de seguridad en tiempo real y de notificación y comunicación de las violaciones de datos a la autoridad de control o los afectados.
  • Ser capaz de trabajar en equipos multidisciplinares. Adquirir los conocimientos necesarios para poder analizar los mecanismos de tratamiento de la información y su seguridad desde un ámbito no técnico.
Programa

PARTE 1: CONCEPTOS CLAVE DE LA SEGURIDAD INFORMÁTICA

Unidad 1: Criptografía y retos de una comunicación segura

  1. Introducción
  2. Introducción a la criptografía
    1. Rellenos de una sola vez
  3. Criptografía clásica
    1. Cifrado por sustitución
    2. Cifrado por transposición
  4. Criptografía moderna
    1. Algoritmos de clave privada
      1. Cifrado DES
      2. Cifrado DES tripe (3DES)
      3. Cifrado AES
    2. Algoritmos de clave pública/privada
      1. Algoritmo RSA
  5. Resolución del problema del secreto
  6. Validación de identificación en redes
    1. Protocolo de autenticación Kerberos
  7. Resolución del control de integridad. Compendios de mensajes
    1. Compendio de mensaje MD5
    2. Compendio de mensaje SHA
  8. Resolución de repudio: Firma digital
    1. Firma de clave privada
    2. Firma de clave pública

Unidad 2: Protocolos de comunicación

  1. Introducción
  2. Protocolos de comunicación
  3. El modelo de referencia OSI
    1. La capa física
    2. La capa de enlace
    3. La capa de red
    4. La capa de transporte
    5. La capa de sesión
    6. La capa de presentación
    7. La capa de aplicación
  4. El modelo de referencia TCP/IP
    1. La capa de acceso a red
    2. La capa internet
    3. La capa de transporte
    4. La capa de aplicación

Unidad 3: Seguridad en las redes de comunicaciones

  1. Introducción
  2. Mecanismos de seguridad del nivel de acceso a red IEEE 802.11
    1. WEP
    2. WPA
    3. WPA2
    4. WPA3
    5. Conclusiones
  3. Mecanismos de seguridad del nivel de Internet
    1. ACL
    2. VLAN
    3. Cortafuegos
    4. IPSec VPN
  4. Mecanismos de seguridad del nivel de transporte
    1. SSL/TLS
      1. Funcionamiento
        1. El cifrado de la información
        2. La autenticación
  5. Mecanismos de seguridad del nivel de aplicación
    1. Sistema operativo
      1. Usuarios y roles
      2. Control de acceso
      3. Actualizaciones
      4. Antivirus
    2. HTTPS
      1. Certificados y Autoridades de Certificación
      2. Reenvío a conexiones seguras
    3. Bases de datos
      1. Seguridad en el acceso a la base de datos
      2. Seguridad en la información contenida en la base de datos
    4. Correo electrónico
      1. Autenticación
      2. Antivirus
      3. Herramientas anti-SPAM
      4. Servicios de entrega final
      5. Configuración de un cliente de correo electrónico

Unidad 4: Recopilación y explotación de datos

  1. Introducción
  2. Recopilación y seguimiento de la información
    1. Seguimiento de la información en conexiones web
    2. Cookies
      1. Definición
      2. ¿Para qué sirven?
      3. Clasificación de las cookies
      4. Gestión de las cookies
      5. Información y consentimiento
    3. Dispositivos móviles
    4. Internet de las cosas
  3. Explotación y procesamiento de perfiles a través de los datos
    1. Minería web
    2. Big data
      1. Principales aplicaciones del Big Data

Unidad 5: Alta disponibilidad

  1. Introducción
  2. Máquinas virtuales
  3. Cloud computing
    1. ¿Qué es el cloud computing?
    2. Tipos de cloud computing
      1. Nube pública
      2. Nube privada
      3. Nube híbrida
      4. Nube comunitaria
    3. Modelos de servicio cloud
      1. Software como Servicio
      2. Infraestructura como Servicio
      3. Plataforma como Servicio
      4. Resumen
    4. Riesgos del cloud computing
  4. Clusters
    1. Alta disponibilidad de infraestructura
    2. Alta disponibilidad de aplicación
  5. Conclusiones

PARTE 2: ANÁLISIS TÉCNICO DE LA GESTIÓN DE RIESGOS

Unidad 6: Tecnologías subsumidas en el Esquema Nacional de Seguridad

  1. Introducción
  2. Clasificación de los incidentes informáticos. Definiciones y ejemplos.
    1. Código dañino
    2. Disponibilidad
    3. Obtención de información
    4. Intrusiones
    5. Compromiso de la información
    6. Fraude
    7. Contenido abusivo
    8. Política de seguridad
    9. Otros
  3. Detección y gestión de incidentes informáticos

Unidad 7: Aspectos técnicos de la gestión de riesgos y la continuidad de negocio

  1. Introducción
  2. ISO 27001:2013
    1. Aspectos clave de un SGSI
    2. El ciclo PDCA
    3. Metodologías de análisis de riesgos
      1. MAGERIT
  1. ISO 22301:2012
    1. Aspectos clave de un SGCN
    2. El ciclo SGCN
    3. Buenas prácticas en continuidad de negocio
      1. ITILv3
      2. Cobit 5
Fechas del curso

06/05/2019 – 30/06/2019

Duración

8 semanas / 60 horas

Formato

100% Online

Precios

245€ (asociados) 490€ (no asociados) IVA incluido

Enrique V. Bonet Esteban

Enrique V. Bonet Esteban es licenciado en Ciencias Físicas por la Universidad de Valencia. Profesor de la Universidad de Valencia desde el año 1995 y profesor  titular de Ciencias de la Computación e Inteligencia Artificial del departamento de Informática de la Escola Tècnica Superior d’Enginyeria de la Universidad de Valencia desde 2001, habiendo sido docente en, diferentes asignaturas de licenciatura, grados y másters, de temas relacionados con la  administración de sistemas, administración de redes y seguridad informática, Además es miembro del Instituto de Investigación IRTIC desde su fundación en 1991, siendo responsable de la administración y seguridad de los sistemas

Susana Pons Sospedra

Susana Pons Sospedra es licenciada en Ingeniería Informática y en Ingeniería Técnica en Telecomunicaciones Esp. Telemática por la Universidad de Valencia, y máster en Sistemas y Servicios de la Sociedad de la Información por la Universidad de Valencia.

Desde el año 2006 trabaja en el Instituto de Investigación IRTIC, ubicado en el Parque Científico de la Universidad de Valencia, desempeñando principalmente la labor de administración de sistemas informáticos. Ha sido docente de diversos cursos de temas informáticos, tanto presenciales como online, y desde el año 2017 es profesora asociada del departamento de Informática de la Escola Tècnica Superior d’Enginyeria de la Universidad de Valencia.

Volver arriba