Memòries del Programa de Xarxes-I 3 CE de qualitat, innovació i investigació en docència universitària. Convocatòria


Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Memòries del Programa de Xarxes-I 3 CE de qualitat, innovació i investigació en docència universitària. Convocatòria"

Transcripción

1 Memòries del Programa de Xarxes-I 3 CE de qualitat, innovació i investigació en docència universitària. Convocatòria Rosabel Roig-Vila (Coord.) Jordi M. Antolí Martínez, Asunción Lledó Carreres & Neus Pellín Buades (Eds.) Memorias del Programa de Redes-I 3 CE de calidad, innovación e investigación en docencia universitaria. Convocatoria ISBN:

2 Memorias del Programa de Redes-I3CE De calidad, innovación e investigación en docencia universitaria. Convocatoria Rosabel Roig-Vila (Coord.), Jordi M. Antolí Martínez, Asunción Lledó Carreres & Neus Pellín Buades (Eds.) 2017

3 Memòries de les xarxes d investigació en docència universitària pertanyent al ProgramaXarxes-I 3 CE d Investigació en docència universitària del curs / Memorias de las redes de investigación en docencia universatira que pertence al Programa Redes -I3CE de investigación en docencia universitaria del curso Organització: Institut de Ciències de l Educació (Vicerectorat de Qualitat i Innovació Educativa) de la Universitat d Alacant/ Organización: Instituto de Ciencias de la Educación (Vicerrectorado de Calidad e Innovación Educativa) de la Universidad de Alicante Edició / Edición: Rosabel Roig-Vila (Coord.), Jordi M. Antolí Martínez, Asunción Lledó Carreres & Neus Pellín Buades (Eds.) Comité tècnic / Comité técnico: Neus Pellín Buades Revisió i maquetació: ICE de la Universitat d Alacant/ Revisión y maquetación: ICE de la Universidad de Alicante Primera edició: / Primera edición: De l edició/ De la edición: Rosabel Roig-Vila, Jordi M. Antolí Martínez, Asunción Lledó Carreres & Neus Pellín Buades. Del text: les autores i autors / Del texto: las autoras y autores D aquesta edició: Institut de Ciències de l Educació (ICE) de la Universitat d Alacant / De esta edición: Instituto de Ciencias de la Educación (ICE) de la Universidad de Alicante ISBN: Qualsevol forma de reproducció, distribució, comunicació pública o transformació d aquesta obra només pot ser realitzada amb l autorització dels seus titulars, llevat de les excepcions previstes per la llei. Adreceu-vos a CEDRO (Centro Español de Derechos Reprográficos, si necessiteu fotocopiar o escanejar algun fragment d aquesta obra. / Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra sólo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, si necesita fotocopiar o escanear algún fragmento de esta obra. Producció: Institut de Ciències de l Educació (ICE) de la Universitat d Alacant / Producción: Instituto de Ciencias de la Educación (ICE) de la Universidad de Alicante EDITORIAL: Les opinions i continguts de les memòries publicades en aquesta obra són de responsabilitat exclusiva dels autors. / Las opiniones y contenidos de las memorias publicadas en esta obra son de responsabilidad exclusiva de los autores.

4 3883_Coordinación y seguimiento de la docencia en seguridad de la información R. I. Álvarez Sánchez; F. Ferrández Agulló; F. M. Martínez Pérez; S. Orts Escolano; J. Sánchez Albertos; A. Zamora Gómez; Departamento de Ciencia de la Computación e Inteligencia Artificial Universidad de Alicante RESUMEN La seguridad es un proceso continuo, no un estado, dentro de las tecnologías de la información y las comunicaciones que requiere del conocimiento y aplicación de las técnicas apropiadas para evitar los posibles defectos y vulnerabilidades. Los sistemas seguros son, cada vez, más importantes dada la creciente complejidad de los procesos, aplicaciones y servicios actuales. Este trabajo detalla los resultados obtenidos por la red de investigación docente centrada en la coordinación y el seguimiento de las asignaturas relacionadas con la seguridad de la información que se imparten en diversos títulos como los grados en Ingeniería Informática, Ingeniería Multimedia y Tecnologías de la Información para la Salud y los másteres en Ingeniería Informática y en Investigación Criminal y Ciencias Forenses. Se han analizado los contenidos, mecanismos de evaluación e implementación de prácticas de las distintas asignaturas, así como las relaciones entre las mismas y su contexto en las respectivas titulaciones, permitiendo encontrar puntos de encuentro y posibles mejoras futuras. Palabras clave: seguridad, máster, grado, informática, calidad 1. INTRODUCCIÓN 1.1 Problema o cuestión específica del objeto de estudio. La actual situación de la informática, inserta en sistemas de redes y autopistas de información, y la previsible dirección de la misma en un futuro a corto y medio plazo plantea uno de los retos más ineludibles a los que se enfrenta la sociedad de la información actual: la seguridad de la información. La seguridad se hace muy necesaria en múltiples ámbitos como el comercio electrónico y sistemas de pago online, seguridad web, software seguro, aplicación de las tecnologías de la información y las comunicaciones a la sanidad y la salud, criminología forense, etc. Esta red se centra en el diseño e investigación docentes de las asignaturas relacionadas con la seguridad de la información que se imparten en diversos títulos como los grados en Ingeniería Informática, Ingeniería Multimedia y Tecnologías de la Información para la Salud y los másteres en Ingeniería Informática y en Investigación Criminal y Ciencias Forenses. En la tabla 1 se detallan las asignaturas objeto de estudio. Modalitat 2 / Modalidad

5 Tabla 1. Asignaturas objeto de estudio Asignatura Titulación Créd. Tipo Compresión y Seguridad Grado en Ingeniería Multimedia 6 Obligatoria Seguridad y Grado en Tecnologías 6 Obligatoria Confidencialidad de la In- formación para la Salud Estrategias de Grado en Ingeniería 6 Optativa Seguridad Informática Seguridad en Grado en Ingeniería 6 Optativa el Diseño Informática del Software Seguridad y Máster Univ. en 6 Optativa Privacidad Ingeniería Informática Informática Aplicada Máster Univ. en Investigación Criminal y Ciencias Forenses 3 Obligatoria Revisión de la literatura Si bien existe una gran cantidad de textos de referencia en temas de seguridad, a veces es complicado disponer de material específico en castellano o con suficiente detalle en ciertos aspectos concretos de la seguridad de la información. A continuación, se describen algunas de las referencias bibliográficas utilizadas en las asignaturas analizadas. Entre los monográficos en castellano, encontramos los de Ramió [1], Lucena [7] o Zamora [16], que son de carácter generalista, centrándose principalmente en los aspectos básicos de la criptografía y con contenidos adicionales sobre seguridad de la información. Ya en inglés, existen obras de referencia de gran popularidad en este ámbito, como las de Menezes [9], Schneier [4, 12] o Stallings [13, 14, 15]. Son también obras generalistas, muy extensas y que intentan cubrir de forma amplia el espectro de la criptografía y la seguridad de la información. Otra obra similar podría ser la de Easttom [2] Desde el punto de vista de la auditoría y hacking podemos considerar las obras de Engebretson [3] y Prowell [11]. Cabe destacar la editorial Syngress (actualmente parte de Elsevier), que se dedica en exclusiva a estos temas y goza de gran aceptación entre los expertos en la materia. En cuanto al desarrollo de software seguro y la seguridad en la ingeniería del software, resultan indispensables los textos de Howard [5, 6], McGraw [8] y Paul [10]. También son útiles los materiales y documentación asociadas al Secure Development Lifecycle, que pone Microsoft a disposición de la comunidad de forma gratuita. 1.2 Propósitos u objetivos El propósito principal de la red es realizar un seguimiento de la implantación de las asignaturas relacionadas con temas de seguridad impartidas por el Departamento de Ciencia de la Computación 1946 Memorias del Programa de Redes-I3CE. Convocatoria ISBN:

6 e Inteligencia Artificial en diferentes titulaciones. Entre los objetivos de la red, se encuentran compartir información y experiencias conducentes a una optimización de la calidad docente en dichas asignaturas; colaborar en el desarrollo de materiales y compartir fuentes de información, facilitando el aprendizaje del alumnado; conocer los mecanismos de evaluación y los resultados obtenidos con los mismos en otras asignaturas de seguridad; analizar las relaciones entre las distintas asignaturas de seguridad, identificando redundancias y oportunidades para la optimización del diseño docente. 2. MÉTODO 2.1 Descripción del contexto y los participantes Los participantes son el profesorado de las asignaturas objeto de estudio, tanto coordinadores como otros profesores que intervienen en las mismas, así como dos profesores asociados con amplia experiencia en la aplicación de los conceptos de seguridad vistos en las asignaturas al mundo profesional real. R. I. Álvarez Sánchez es Profesor Contratado Doctor y Director del Departamento de Ciencia de la Computación e Inteligencia Artificial. Imparte las asignaturas de Seguridad en el Diseño del Software, Seguridad y Confidencialidad y Seguridad y Privacidad. F. Ferrández Agulló es Profesor Asociado del Departamento de Ciencia de la Computación e Inteligencia Artificial, Doctor en Informática y desarrolla su actividad profesional como experto en las tecnologías de la información y las comunicaciones en el sector universitario. F. M. Martínez Pérez es Profesor Asociado del Departamento de Ciencia de la Computación e Inteligencia Artificial, Doctor en Informática y desarrolla su actividad profesional como Técnico en el mismo departamento. Imparte la asignatura Informática Aplicada. S. Orts Escolano es Profesor Ayudante Doctor del Departamento de Ciencia de la Computación e Inteligencia Artificial. Imparte las asignaturas de Seguridad en el Diseño del Software y Seguridad y Confidencialidad. J. Sánchez Albertos es Profesora Asociada del Departamento de Ciencia de la Computación e Inteligencia Artificial y desarrolla su actividad profesional como experta en las tecnologías de la información y las comunicaciones en el sector sanitario. Zamora Gómez es Profesor Titular de Universidad del Departamento de Ciencia de la Computación e Inteligencia Artificial. Imparte las asignaturas de Estrategias de Seguridad y Compresión y Seguridad Instrumentos y procedimientos. Como parte de los instrumentos, se tienen los contenidos y sistemas de evaluación de cada una de las asignaturas pertenecientes a la red. Además, se cuenta con la experiencia docente del profesorado involucrado en dichas asignaturas. También se cuenta con herramientas de sincronización y trabajo colaborativo de gran utilidad para el trabajo de un proyecto de investigación docente como Dropbox, Google Drive y Google Docs, así como las herramientas de Microsoft incluidas en Office 365. Cabe destacar la ventaja que supone disponer de las herramientas de Google y Microsoft gracias a los acuerdos alcanzados por la Universidad de Alicante con estas dos entidades (gcloud y mscloud). Dentro de los procedimientos, el trabajo de la red se fundamenta en las reuniones periódicas que permiten intercambiar experiencias, ideas y opiniones; muy especialmente en materia de contenidos, Modalitat 2 / Modalidad

7 mecanismos de evaluación y desarrollo de materiales. Para la captación de información, se han utilizado formularios con formato normalizado para los distintos aspectos: contenidos, evaluación, etc RESULTADOS 3.1.Contenidos. En las tablas 2 a 7, podemos encontrar los contenidos de las distintas asignaturas. Cabe destacar como podemos encontrar grandes puntos de encuentro entre las distintas asignaturas analizadas. En Compresión y Seguridad (Grado en Ing. Multimedia, tabla 2) se tratan conceptos tanto de seguridad como de compresión por lo que no se detallan los temas correspondientes a la parte de compresión (temas 7 a 9). En la parte de seguridad se imparten conceptos de criptografía incluyendo criptografía clásica, cifrado en flujo y en bloque, criptografía de clave pública y firma digital, así como otras herramientas o primitivas asociadas. Tabla 2. Contenidos de Compresión y Seguridad Tema 1. Introducción a la seguridad de la información Introducción histórica Criptosistemas Terminología Tema 2. Criptografía clásica Criptosistemas basados en Criptosistemas basados en transposiciones sustituciones Tema 3. Cifrado en flujo con clave secreta Características generales Registros de desplazamiento realimentados Generadores pseudoaleatorios Algoritmo RC4 Tema 4. Cifrado en bloque con clave secreta Características generales Modos de cifrado en bloque Algoritmo AES Tema 5. Cifrado con clave pública Introducción Algoritmo RSA Problemática de la distribución de claves firma digital Fundamentos criptográficos de la Intercambio de clave Funciones hash Diffie-Hellman Tema 6. Infraestructuras de clave pública El problema de la confianza Autenticación Firma digital Autoridad certificadora Seguridad en la transmisión de datos Certificados Tema 7. Teoría de la información Tema 8. Compresión de datos Tema 9. Compresión de contenidos multimedia 1948 Memorias del Programa de Redes-I3CE. Convocatoria ISBN:

8 La asignatura de Seguridad y Confidencialidad está íntegramente dedicada a la seguridad, si bien con la particularidad de que los conceptos vistos en clase han de ser aplicables en el sector sanitario y de la salud (Grado en Tecnologías de Información para la Salud, tabla 3). Para ello, la asignatura contiene un bloque de introducción con conceptos básicos, terminología, criptografía clásica y leyes básicas de la seguridad de la información; un bloque dedicado a la confidencialidad que incluye criptografía moderna y sus aplicaciones en protocolos de seguridad; un bloque para el diseño de sistemas y proyectos seguros; y un último bloque de análisis de casos reales. Tabla 3. Contenidos de Seguridad y Confidencialidad Tema 1. Introducción Las 10 leyes de la Criptosistemas clásicos seguridad de la informacióvas Terminología y primiti- Elementos de la seguridad informática Tema 2. Privacidad y seguridad de la información Criptografía de clave secreta Criptografía de clave Protocolos de seguridad Funciones hash y pública y firma digital contraseñas Tema 3. Diseño de sistemas seguros La seguridad desde SDL y diseño seguro el inicio Superficie de ataque El plan de seguridad Tema 4. Análisis de casos reales Malware e ingeniería social Análisis de incidentes Seguridad inalámbrica Ataques de aplicación y de red reales La asignatura de Estrategias de Seguridad (Grado en Ing. Informática, tabla 4) está dedicada a la seguridad en su totalidad. Incluye principalmente los conceptos de criptografía clásica y moderna, cifrado con clave secreta y clave pública, firma digital y autoridades de certificación, así como sus aplicaciones dentro de la informática: mecanismos de autenticación, seguridad de la Web, comercio electrónico, etc. Tabla 4. Contenidos de Estrategias de Seguridad Tema 1. Introducción a la seguridad de la información Introducción histórica Criptosistemas Terminología Tema 2. Criptografía clásica Modalitat 2 / Modalidad

9 Criptosistemas basados Criptosistemas basados en transposicio- en sustituciones nes Tema 3. Cifrado en flujo con clave secreta Características generales Algoritmo A5 Algoritmo RC4 Generadores pseudoaleatorios Registros de desplazamiento realimentados Tema 4. Cifrado en bloque con clave secreta Características generales bloque Modos de cifrado en Algoritmo DES Cifrado múltiple. Algoritmo AES TDES Tema 5. Cifrado con clave pública Introducción Algoritmo RSA Problemática de la distribución de claves criptográficos Fundamentos Intercambio de clave de la firma digital Diffie-Hellman Funciones hash Tema 6. Infraestructuras de clave pública El problema de la confianza Seguridad de la web Autenticación Autoridad certificadora Comercio electrónico Certificados Firma digital La asignatura de Seguridad en el Diseño del Software (Grado en Ing. Informática, tabla 5) es relativamente similar a la asignatura de Seguridad y Confidencialidad, si bien tiene un enfoque claramente diferenciado: la seguridad en la ingeniería del software. Incluye un bloque de conceptos básicos que introduce el lenguaje Go que se utiliza en las prácticas de la asignatura; un bloque de criptografía y su uso en la ingeniería del software; un bloque dedicado a los distintos planes de seguridad y ciclos de vida seguros; así como un último bloque incorpora conceptos de malware, ataques, vulnerabilidades y mecanismos de defensa. Tabla 5. Contenidos de Seguridad en el Diseño del Software Tema 1. Introducción Las 10 leyes de la seguridad de la información sicos Criptosistemas clá- Introducción a Go Terminología y primitivas Elementos de la seguridad informática 1950 Memorias del Programa de Redes-I3CE. Convocatoria ISBN:

10 Tema 2. Privacidad y seguridad de la información Cifrado en flujo Seguridad a nivel de Cifrado en bloque transporte Funciones hash Criptografía de clave pública Gestión de contraseñas Firma digital Tema 3. Diseño de software seguro La seguridad desde el Fuzz testing inicio Fundamentos del diseño seguro El plan de seguridad Ciclo de vida de desarrollo seguro Análisis de código Tema 4. Análisis de casos reales Malware Seguridad en Wireless Ingeniería social Ataques de aplicación y Análisis de incidentes reales de red La asignatura de Seguridad y Privacidad (Máster en Ing. Informática, tabla 6) tiene la característica especial de ser semipresencial. De esta forma, las actividades de teoría son no presenciales mientras que las prácticas son presenciales. Por ello, incorpora conceptos similares a otras asignaturas (criptografía, protocolos seguros, seguridad de la información, ataques y vulnerabilidades, mecanismos de defensa, etc.) pero su implementación es muy distinta para acomodar las necesidades de esta metodología docente. Tabla 6. Contenidos de Seguridad y Privacidad Tema 1. Introducción Las 10 leyes de la seguridad de la informacos Criptosistemas clásición Terminología y primitivas Elementos de la seguridad informática Tema 2. Cifrado y privacidad Cifrado en flujo Seguridad a nivel de Cifrado en bloque transporte Funciones hash Criptografía de clave Gestión de contraseñas Firma digital pública Tema 3. Seguridad de la información Malware Ataques de aplicación Ingeniería social y de red Seguridad en Wireless Tema 4. Casos prácticos Modalitat 2 / Modalidad

11 Stuxnet Robo de contraseñas Seguridad en Whatsapp Hackers famosos Cryptolocker Por último, la asignatura de Informática Aplicada (Máster en Investigación Criminal y Ciencias Forenses, tabla 7) tiene un carácter necesariamente más generalista que las anteriores. Incluyendo temas de informática general además de los propios de seguridad. En este caso, sólo se detallan aquellos temas con relación directa con el tema de la red. Estos incluyen una gran cantidad de conceptos relacionados con criptografía y la seguridad de la información, que se refuerzan con las actividades prácticas. Tabla 7. Contenidos de Informática Aplicada Tema A1. Sistemas Informáticos Tema A2. Virtualización y particiones Tema A3. Tratamiento de la información en dispositivos de almacenamiento Tema B1. Evidencias: sistemas de autentificación y verificación Almacenamiento y Hash. Resistencia a trasmisión en formato Colisiones. digital. Sistema Binariocación de Mensajes Códigos de Autenti- Octal, Hexadecimal, (MAC). ASCII, Unicode. Sistemas de verificación. Huella digital. Visores y Editores. Operaciones binarias. Almacenamiento de Paridad. Detección y claves y contraseñas. corrección de errores. Sistemas de autenticación de usuarios. Redundancia. Checksum. Códigos CRC. Armado con codificación Base64 en almacenamiento y trasmisión. Tema B2. Criptografía: Cifrado y Esteganografía. Certificación y Firma Digital Memorias del Programa de Redes-I3CE. Convocatoria ISBN:

12 Conceptos básicos: Confidencialidad y Cifrado, Criptoanálisis, autenticidad. Criptografía, Clave de sesión. Fir- Historia y evolución de la criptografía. ma. Cifrado o firma múltiple. Cifrado simétrico. Certificación. Cadena Claves vs contraseñas. de certificación. Espacio de Claves. Autoridad Certificadora Fuerza bruta. Cifrado de Vernam. (CA). Sistemas de certificación. Secreto Perfecto. Estándares. Almacenamiento Generadores seudo y manipula- aleatorios. Semilla. ción de certificados. Cifrado en bloque vs Esteganografía. Huellas flujo. Cifrado asimétrico. electrónicas. Me- tadatos. Clave pública y privada. Tema B3. Redes de información: Sistemas Telemáticos y Malware. Conceptos básicos. Tipos de Malware y su Topologías y niveles. trasmisión por la red. Paquetes. Spams. Botnets. Zombies. Seguridad en redes. Aplicaciones y niveles. Antivirus. Control parental. Estándares. Análisis de red. Seguimiento Control guber- namental. y captura del Internet. Organizanamental. tráfico. Suplantaciones. Ataques. Hombre en medio. ción. DNS. Envenenamiento DNS. Denunciasvegadores. Deep y Dark web. Nación. Anonimización. 3.2 Desarrollo de prácticas Todas las asignaturas analizadas basan sus aspectos prácticos en el desarrollo de proyectos, bien en grupo o de forma individual, relacionados íntimamente con la temática de la seguridad de la información. Las asignaturas que tienen una relación más directa con la ingeniería informática, como Compresión y Seguridad (Grado en Ing. Multimedia), Estrategias de Seguridad y Seguridad en el Diseño del Software (Grado en Ing. Informática) o Seguridad y Privacidad (Máster en Ing. Informática), basan dichas prácticas en proyectos de programación y diseño de servicios y aplicaciones seguras. En otras Modalitat 2 / Modalidad

13 asignaturas como Seguridad y Confidencialidad (Grado en Tecnologías de la Información para la Salud) o Informática Aplicada (Máster en Investigación Criminal y Ciencias Forenses) tienen prácticas en las que la programación es opcional o basadas en trabajos con otras características distintas o herramientas ya existentes. Como se ha descrito, la programación de aplicaciones o servicios seguros es una parte muy importante de las actividades prácticas de estas asignaturas. En función de las necesidades docentes específicas y/o preferencias del profesorado, algunas de las asignaturas dejan libertad en cuanto al lenguaje de programación, mientras que otras fomentan el uso del lenguaje Go. Go es lenguaje de programación relativamente nuevo con unas propiedades muy interesantes respecto a la seguridad de la información. Fue diseñado en Google por algunos de los expertos que diseñaron Unix y el lenguaje de programación C y es mantenido en la actualidad como un proyecto de código abierto, con muchos colaboradores en todo el mundo. Su objetivo principal es ser simple, eficiente y fiable; siendo especialmente adecuado para desarrollo de servidores y software complejo. Tiene una librería estándar muy completa, con una gran cantidad de funciones para criptografía, redes, compresión, números enteros de precisión arbitraria y concurrencia de procesos. Esto lo convierte en el lenguaje de programación perfecto para la docencia de los conceptos relacionados con la criptografía y la seguridad de la información. 3.3 Mecanismos de evaluación Se detallan a continuación (tablas 8 a 13) los distintos sistemas y herramientas de evaluación implantados en las asignaturas analizadas. En general, los aspectos teóricos se evalúan mediante exámenes finales excepto en Seguridad en el Diseño del Software (que se realizan mediante ejercicios parciales individuales) y Seguridad y Privacidad (que al ser semipresencial se beneficia de un sistema de entrega de trabajos y presentaciones). Los aspectos prácticos se desarrollan de forma unánime mediante el aprendizaje basado en proyectos, realizando un seguimiento a lo largo del semestre con entrega final del proyecto realizado. Tabla 8. Evaluación de Compresión y Seguridad Tipo Criterio Descripción Pond. Informes de desarrollo y memorias técnicas Actividades de Evaluación ponderada sobre los evaluación durante el informes de desarrollo y memorias 50 de las prácticas de laboratorio semestre técnicas de las prácticas Examen final Prueba final de la asignatura Evaluación ponderada sobre los conocimientos teóricos adquiridos Tabla 9. Evaluación de Seguridad y Confidencialidad Tipo Criterio Descripción Pond. Actividades de Desarrollo y entrega de ejercicios Prácticas con ordenador 50 prácticos evaluación durante el semestre Examen final Prueba escrita individual acerca de los contenidos teóricos vistos en clase Prueba escrita individual Memorias del Programa de Redes-I3CE. Convocatoria ISBN:

14 Tabla 10. Evaluación de Estrategia de Seguridad Tipo Criterio Descripción Pond. Actividades de Informes de desarrollo Evaluación ponderada sobre 50 y memorias técnicas los informes de desarrollo y evaluación durante el semestre de las prácticas de laboratorio memorias técnicas de las prácticas Examen final Prueba final Evaluación ponderada sobre los conocimientos teóricos adquiridos 50 Tabla 11. Evaluación de Seguridad en el Diseño del Software Tipo Criterio Descripción Pond. Actividades de evaluación durante el semestre Actividades de evaluación durante el semestre Ejercicios individuales de seguimiento Desarrollo y entrega de ejercicios prácticos Clase de teoría 50 Prácticas con ordenador Tabla 12. Evaluación de Seguridad y Privacidad Tipo Criterio Descripción Pond. Actividades de evaluación Exposición del proyecto Exposición del proyec- 50 durante el se- mestre de la asignatura to Actividades de evaluación Entrega de la memoria Memoria del proyecto 50 durante el se- mestre del proyecto de la de la asignatura asignatura Tabla 13. Evaluación de Informática Aplicada Tipo Criterio Descripción Pond. Actividades de evaluación durante el semestre Al seguimiento de las prácticas (34%) se le aplicará el control de asistencia, siendo la nota 0 si no se alcanza una asistencia del 80%. La nota del Trabajo Temático (32%) se divide en dos partes: la presentación (presencial y práctica) y la documentación (imputable a horas teóricas no presenciales). Prácticas y trabajo temático Modalitat 2 / Modalidad

15 Examen final En la convocatoria de julio (C4) se puede repetir el Trabajo Temático (32%), pero es imposible materialmente repetir las prácticas presenciales, de forma que para la nota correspondiente al seguimiento de éstas (34%) se cogerá la misma que se tuviera en la convocatoria de febrero (C2) Examen final Interrelación de asignaturas y titulaciones Muchas de las asignaturas analizadas tienen una gran cantidad de contenidos en común y una relación evidente, si bien su situación en ciertas titulaciones o su carácter optativo no permite que se consideren continuación unas de otras. Este es el caso de las asignaturas Estrategias de Seguridad y Seguridad en el Diseño del Software del Grado en Ing. Informática, así como de la asignatura Seguridad y Privacidad del Máster en Ing. Informática. Tanto Estrategias de Seguridad y Seguridad en el Diseño del Software son optativas del cuarto curso en itinerarios distintos, lo que implica que no comparten alumnado; si bien hay un pequeño número de estudiantes que eligen una de estas asignaturas a pesar de que esté fuera de su itinerario. En el caso de Seguridad y Privacidad, es optativa en dos itinerarios del Máster en Ing. Informática, pero como en el grado no hay una asignatura obligatoria de seguridad, requiere que se impartan algunos de los contenidos vistos en las asignaturas optativas del grado, puesto que no hay ninguna garantía de que el alumnado del máster haya visto dichos contenidos durante sus estudios de grado (lo que ocurre en una gran mayoría de los casos). Curiosamente, sí que hay una asignatura obligatoria con contenidos de seguridad en el Grado en Ing. Multimedia, si bien esta asignatura también contiene descriptores de compresión y codificación por lo que no está dedicada íntegramente a la seguridad ni suelen matricularse muchos estudiantes de esta titulación en el Máster en Ing. Informática. Respecto a Seguridad y Confidencialidad e Informática Aplicada, estas asignaturas están completamente aisladas de las anteriores, puesto que pertenecen a titulaciones no relacionadas directamente con el ámbito de la informática. En el caso de Seguridad y Confidencialidad, es una asignatura obligatoria en el Grado en Tecnologías de la Información para la Salud (en otras universidades se llama Ingeniería Biomédica) y, si bien es una titulación de carácter técnico (es una ingeniería), tiene unas características muy distintas a las asignaturas de informática y multimedia. Esta asignatura se orienta a las necesidades específicas de los destinos profesionales en entornos sanitarios y centros de salud y ha de contemplar las características que presenta el alumnado de dicha titulación. Para ello, al ser una obligatoria de segundo curso, se fundamenta en las asignaturas técnicas básicas que se imparten en el primer curso: computadores, programación, matemáticas, física, etc.; y ofrece soporte a las asignaturas en cursos superiores en las que los conceptos de seguridad son de gran valía. La asignatura Informática Aplicada es una obligatoria en el Máster en Investigación Criminal y Ciencias Forenses y tiene un alumnado con una base muy distinta al resto de asignaturas analizadas. Por ello, ha de incorporar contenidos de carácter más generalista para introducir conceptos de seguridad de la información con la suficiente fundamentación Memorias del Programa de Redes-I3CE. Convocatoria ISBN:

16 4. CONCLUSIONES Tras analizar la información recopilada y los resultados obtenidos, se pueden extraer las siguientes conclusiones: La seguridad de la información se ha convertido en un elemento clave en muchas profesiones y, por lo tanto, en múltiples titulaciones no sólo del ámbito de la informática si no en otras cuyo tratamiento de la información se beneficia de las técnicas que tratan las asignaturas objeto de estudio, como las Tecnologías de la Información para la Salud o la Investigación Criminal y las Ciencias Forenses. La criptografía es un elemento común a todas las asignaturas analizadas, por lo que debe considerarse como un bloque esencial de la seguridad de la información. Algunas asignaturas incorporan otros módulos de contenido específicos en otros temas de la seguridad de la información, como la seguridad en la ingeniería del software o el desarrollo de proyectos, los ataques y vulnerabilidades más comunes, así como los mecanismos de defensa para evitarlos, etc. El hecho de que el Grado en Ingeniería Informática no tenga una asignatura obligatoria de seguridad implica que las asignaturas de esta rama (las dos del grado y la del máster, todas optativas) sean innecesariamente generalistas y no puedan configurarse como continuación unas de otras, lo que permitiría profundizar más en contenidos específicos. Tanto la asignatura del Grado en Ing. Multimedia como la asignatura del Máster en Investigación Criminal y Ciencias Forenses incorporan otros contenidos que no son de seguridad de la información. Se trata de asignaturas más generalistas y que requieren incorporar ciertos preliminares para que los conceptos de seguridad puedan entenderse correctamente. 5. TAREAS DESARROLLADAS EN LA RED El equipo de trabajo de la red lo compone profesorado de las asignaturas estudiadas y otros profesores asociados cuya labor profesional fuera de la docencia universitaria está íntimamente vinculada con la seguridad de la información y su aplicación en las tecnologías de la información y la comunicación. Cada participante de la red se ha encargado de aportar los datos correspondientes a su asignatura o dedicación profesional, mientras que el coordinador de la red ha confeccionado la memoria. PARTICIPANTE DE LA RED R. I. Álvarez Sánchez F. Ferrández Agulló Tabla 1. Participantes y tareas TAREAS QUE DESARROLLA Coordinación de la red; aspectos teóricos de Seguridad y Confidencialidad, así como de Seguridad en el Desarrollo del Software; aspectos teórico-prácticos de Seguridad y Privacidad. Aplicación de los contenidos al entorno profesional (TIC en sector docente e investigador) Modalitat 2 / Modalidad

17 F. M. Martínez Aspectos teórico-prácticos de Informática Aplicada Pérez S. Orts Escolano Aspectos prácticos de Seguridad y Confidencialidad, así como de Seguridad en el Desarrollo del Software J. Sánchez Albertos (TIC en sector sanitario) Aplicación de los contenidos al entorno profesional A. Zamora Gómez Aspectos teórico-prácticos de Compresión y Seguridad, así como de Estrategias de Seguridad. 6. REFERENCIAS BIBLIOGRÁFICAS Aguirre, J. R. (1998). Aplicaciones criptográficas: libro guía de la asignatura de Seguridad Informática. Madrid: Escuela Universitaria de Informática. Departamento de Publicaciones. Easttom II, W. C. (2016). Computer security fundamentals. London: Pearson. Engebretson, P. (2013). The basics of hacking and penetration testing: ethical hacking and penetration testing made easy. Syngress. Elsevier. Ferguson, N., Schneier, B., & Kohno, T. (2011). Cryptography engineering: design principles and practical applications. Indianapolis: John Wiley & Sons. Howard, M., LeBlanc, D., & Viega, J. (2010). 24 Deadly sins of software security programming flaws and how to fix them. New York: McGraw Hill. Howard, M., & Lipner, S. (2006). The security development lifecycle. Redmond: Microsoft Press. López, M. J. L. (2015). Criptografía y seguridad en computadores. Jaen: Universidad de Jaén. Departamento de Informática. McGraw, G. (2011). Software security: building security in. Boston: Addison-Wesley. Menezes, A. J., Van Oorschot, P. C., & Vanstone, S. A. (1996). Handbook of applied cryptography. Boca Raton: CRC press. Paul, M. (2012). The 7 qualities of highly secure software. Boca Raton: CRC Press. Prowell, S., Kraus, R., & Borkin, M. (2010). Seven deadliest network attacks. Syngress. Elsevier. Schneier, B. (1996). Applied cryptography: protocols, algorithms, and source code in C. New York: Wiley. Stallings, W. (2007). Network security essentials: applications and standards. London: Pearson. Stallings, W., & Tahiliani, M. P. (2014). Cryptography and network security: principles and practice. London: Pearson. Stallings, W., & Brown, L. (2007). Computer Security: Principles and Practice. Upper Saddle River: Prentice Hall. Zamora, A. (1996). Problemas resueltos de teoría de la información, codificación y criptología. San Vicente del Raspeig: Editorial Club Universitario Memorias del Programa de Redes-I3CE. Convocatoria ISBN:

Sitemap