Diploma de Postítulo en Seguridad Computacional

De manera creciente, la seguridad informática se ha ido transformando en un área que demanda mayor atención y causa gran preocupación en organizaciones que requieren, mantienen y desarrollan sistemas computacionales. Los riesgos enfrentados se acrecientan y, al mismo tiempo, los sistemas a proteger, las herramientas utilizadas y los aspectos legales involucrados son cada vez más complejos. Surge así la necesidad de dimensionar los riesgos y la demanda por especialistas en el área.

Este Programa combina la experiencia del CLCERT, académicos y profesionales. Presenta los fundamentos que sustentan las formas de abordar el problema de la seguridad en sistemas computacionales modernos, examina las herramientas, protocolos y estándares más importantes actualmente pertinentes, analiza los aspectos legales y de gestión concernientes a la seguridad computacional, aborda aspectos locales relacionados como el modelo de facturación electrónica y explora las implicancias en el ámbito del comercio electrónico.

El Diploma contempla sus cuatro laboratorios tipo hands on (de infraestructura de clave pública, análisis de intrusiones, seguridad en redes inalámbricas y seguridad Web) y dos talleres prácticos (de análisis de casos). De esta forma, teoría y práctica se complementan en el Diploma.

Te invitamos a participar en el Diploma y sumarte a un selecto grupo de más de cien graduados. Integrándote así a la Red de Ex-alumnos del Diploma, lo que te permitirá participar en su lista de correos y acceder así a oportunidades laborales, de negocio, perfeccionamiento y discusión con tus pares.

Alejandro Hevia (Co-Director)
Marcos Kiwi (Co-Director)

Régimen de estudio

Fechas de inicio y término:
Desde Julio a Diciembre de 2020

Duración del Programa:
120 horas cronológicas.

El Programa se dicta en modalidad vespertina los lunes, martes y jueves, de 18.00 a 21.00 hrs., en Beauchef # 851, sexto piso, Santiago.

Plan de Estudios

Los siguientes son los cursos que conforman el diploma:

Programa de Cursos

Introducción a la Programación

Código del Curso: CC67A
Unidades Docentes: 5UD
Duración : 18 horas
Valor individual: 30 UF
Prof. Benjamín Bustos

Contenidos Generales

Capítulos:

Repaso de Programación

Expresiones
Tipos básicos de datos
Funciones y módulos
Condiciones
Recursión
Datos compuestos (structs)
Entrada/Salida

Estructuras de datos

Estructuras indexadas: listas,strings,diccionarios
Listas enlazadas
Árboles binarios
TDA: listas, pilas, colas, colas de prioridad, diccionario
Búsqueda
Ordenamiento

Fundamentos Criptográficos

Código del Curso: CC67B
Unidades Docentes: 5 UD
Duración: 21 horas
Valor individual: 30 UF
Profesor : Alejandro Hevia

Objetivos

Al finalizar este módulo los estudiantes conocerán; los fundamentos matemáticos de la criptografía, las principales primitivas criptográficas, formalizaciones rigurosas de definiciones de seguridad para las mismas, así como algunas prácticas de uso que las hacen vulnerables.

Contenidos

1- Requerimientos de seguridad (privacidad, integridad, disponibilidad, autenticación)
- Definiciones informales

2- Sistemas criptográficos de clave privada y de clave publica
- Definición, ventajas y desventajas de cada tipo de sistemas, tipos de ataques
- Sistemas de clave privada
   * Ejemplos: DES, 3DES, IDEA, Rijndael (AES), RC5, etc.
   * Modos de operación.
   * Vulnerabilidad frente a ataques mas importantes.

3- Sistemas de clave pública
- Fundamentos matemáticos (aritmética modular, función de Euler)
- Sistema de establecimiento de claves de Diffie-Hellman.
- Ejemplos de criptosistemas: RSA, ElGamal.
- Estándares: PKCS#7

4- Primitivas criptográficas (firmas digitales, estampas de tiempo, funciones hash, MACs).
- Firmas digitales: usos y requerimientos. Ejemplo: RSA
- Funciones hash; usos y requerimientos. Ejemplos; MD5, SHA1.
- Message Authentication Codes (MACs); usos y requerimientos. Ejemplo: HMAC.
- Estampas de tiempo: usos y requerimientos. Autoridades estampadoras de tiempo. Modelos de operación. Modelos de confianza.
- Sistemas de compartición de secretos.
- Generadores de bits pseudo-aleatorios.

5- Infraestructura de clave pública.
- Certificados digitales
- Estándar X.509v3
- Autoridades certificadoras.
- Listas de revocación.
- Modelos de confianza.

6- Manejo de Claves
- Establecimiento y transporte de claves
- Esquemas usando criptografía simétrica y asimétrica
- Ataques a tener en cuenta
- Almacenamiento: compartimiento de secretos
- Control y ciclo de vida

7- Autenticación
- Seguridad básica vs. seguridad multifactor
- Seguridad de contraseñas, contraseñas de uso único
- Sistemas avanzados: tokens, sistemas de desafio-repuesta, basados en ubicación
- Mecanismos de autentificación multifactor (algo que se, algo que tengo, algo que soy, donde estoy)
- Ataques a tener en cuenta: ataque de diccionario, ingeniería electrónica

Laboratorios

- Infraestructura de clave pública

Bibliografía

Menezes, P. van Oorschot, S. Vanstone, Handbook of Applied Cryptography. CRC Press. 1997. http://www.cacr.math.uwaterloo.ca/hac/
Schneier, Applied Cryptography. John Wiley Sons. Segunda edici 1996.
A.W. Dent y C.J. Mitchell, User's Guide to Cryptography and Standards. Artech House, 2005

Seguridad en Redes

Código del Curso: CC67C
Unidades Docentes: 5 UD
Duración: 21 horas
Valor Individual: 30 UF
Profesor: Sergio Miranda

Objetivos

Al completar este módulo los estudiantes conocerán; las principales aplicaciones y protocolos utilizados en el ámbito de la seguridad informática así como un conjunto de mecanismos utilizados en el monitoreo de sistemas computacionales.

Contenidos

Sistemas de protección perimetral
- Cortafuegos, elementos a considerar en su elección, diseño de una red con protección perimetral, DMZ, filtro de paquetes.
- Análisis perimetral, sistemas de detección de vulnerabilidades, funcionamiento, ventajas y desventajas.
- Sistemas de detección de intrusos (IDS) en redes.

Sistemas de acceso remoto seguro: diseño, protocolos, ventajas, desventajas
- Canal seguro, uso de túneles encriptados, autentificados y con validación de integridad.
- IPSec, protocolo para sustentar VPN.
-VPN, virtual private networks, diseño de un sistema de acceso remoto seguro para mover la oficina a través de las redes.
- SSH, conexión remota a computadores usando canales seguros
- SSL/TLS, protección para las páginas web.

IPv6
- El futuro del protocolo IP.
- Internet del futuro: nuevas oportunidades, nuevos desafíos para la seguridad.
- Razones del diseño de IPv6, impacto en la seguridad y movilidad.

Seguridad en servicios inalámbricos: familia IEEE 802.11 b/g/i.
- Diseño y revisión de la seguridad original.
- Mejoras incorporadas hasta llegar a IEEE 802.11i

Seguridad de protocolo DNS
- Descripción del protocolo
- Zonas y parámetros principales
- Ataques comunes: cache poisoning, domain hickjacking, DoS
- Vulnerabilidad DNS Kamisky
- DNSSEC

Seguridad en el correo electrónico: protegiendose de virus y spam
- ¿Qué es el SPAM?
- Métidos de protección automáticos: spamassassin, blacklist, greylist
- Integrando protección antivirus/malware
- Algunos aspectos legales

Phishing, botnets, fast-flux y otros fraudes e la red
- Phishing: definición, estadísticas y métodos de protección
- Botnets: que es? La economía detrás de las botnets
- Fast-Flux: DNS-Round Robin, single y double flux, detección
- Nuevos fraudes, proyecciones y posibles soluciones

Laboratorios
- Seguridad en redes WiFi
- Análisis de intrusiones

Bibliografía

C. Scott, P. Wolfe, M. Erwin, Virtual Private Networks. 1998.
P. Albitz, D, Liu, DNS and BIND. O'Reilly. 2001.
E. Rescorla, SSL and TLS: Designing and Building Secure Systems. Addison Wesley. 2000.
S. Garfinkel, PGP: Pretty Good Privacy. O'Reilly. 1994.
802.11 Security. O'Reilly. 2002.
B. Potter, B. Fleck, 802.11 Security O'Reilly. 2002.
S. Hagen, IPv6 Essentials O'Reilly. 2003.
S. Northcut, L. Zeltserm, S. Winters, K. Fredrick, R. W. Ritchey, Inside Network Perimeter
Security. Que Ed. 2002.
IPSEC: The New Security Standard for the Internet, Intranets.
N. Doraswamy, D. Harkins, Virtual Private Networks. Prentice Hall. 1999.

Seguridad de Software

Código del Curso: CC67D
Unidades Docentes: 5 UD
Duración: 15 horas
Valor individual : 30 UF
Profesor: Cristián Rojas

Objetivos

Al completar este módulo los alumnos podrán comprender el funcionamiento de los distintos protocolos de manejos de claves, e identificar el más apropiado para una situación dada. Además, podrán entender los fundamentos de mecanismos de autenticación y ser capaces de usar mecanismos seguros. Finalmente, los alumnos serán capaces de identificar las vulnerabilidades más comunes del software, los vectores de ataque típicos, y las técnicas más importantes para mejorar la seguridad del mismo.

Contenidos

Amenazas Actuales

Tipos y características de las amenazas y ataques actuales: Malware (spyware, troyanos, gusanos, etc.) y fraudes (phishing, pharming, etc.) y la tecnología que lo posililita, etc.
Vulnerabilidades comunes: buffer overflows, inyección de código, cross-site scripting (XSS), cross.site request forgery (CSRF), ect.

Hacer software seguro es necesario, pero difícil

Efectos nocivos que causa el software inseguro
Casos conocidos de ataques
Por qué es difícil hacer software seguro

Buenas prácticas y consejos de software seguro

Consejos y buenas prácticas de desarrollo de software seguro
Análisis de seguridad de software y respuesta a incidentes

Herramientas de software seguro

Herramientas para encontrar vulnerabilidades de software: Análisis estático, web testing frameworks
Herramientas para limitar el efecto de ataques: Sandbox, virtualización, sanitización de entradas

Laboratorios

Seguridad ofensiva: ataques servicios web y explotación de vulnerabilidades
Seguridad defensiva: herramientas para detectar vulnerabilidades y contener efectos de ataques

Bibliografía

Ross Anderson, Security Engineering (2da ed.), Wiley, 2008
Colin Boyd, Anish Mathuria, Protocols for Authentication and Key Establishment, Springer 2003.
Markus Jakobsson, Zulfikar Ramzan, Crimeware, Understanting New Attacks and Defenses. Symantec Press, 2008.
Markus Jakobsson, Steven Myers, Phishing and Countermeasures, Understanding the Ingreasing Problem of Electronic Identity Theft. Wiley, 2007

Análisis de Riesgos y Planificación de Contingencia

Código del Curso: CC67E
Unidades Docentes: 5 UD
Duración: 15 horas
Valor Individual : 30 UF
Profesor: Carlos Samaniego

Objetivos

Al completar este módulo los estudiantes podrán realizar una evaluación de los riesgos de seguridad que involucran distintas opciones de diseño e implementación de sistemas informáticos, y entenderán los fundamentos que sustentan los estándares y las buenas prácticas más importantes en el ámbito de la seguridad informática

Contenidos

Metodologías de análisis de riesgo en sistemas informáticos.

Operationally Critical Threat, and Vulnerability Evaluation (OCTAVE).
Consultative, Objective and Bi-functional Risk Analysis (COBRA).
CTA Risk Analysis Management Method (CRAMM).

Operación de grupo de respuesta de incidentes.

Tipos de grupos de respuesta a incidentes.
Operación basados en las prácticas del CERT-CC.

Gestión organizacional de la seguridad.

Principales actividades de la seguridad informática.
Modelo de madurez de la gestión de seguridad informática.
Análisis de la norma chilena de seguridad para el documento electrónico.
Gestión de la continuidad del negocio según la ISO 17799

Talleres

Análisis de riesgo: Estudio de casos

Bibliografía

COBRA. http://www.security-risk-analysis.com
OCTAVE. http://www.cert.org/octave
K. van Wyk, R. Forno, Incident Response. O'Reilly. 2001.
M. West-Brown, D. Stikvoort, Kosakowski, J. Killcrece, R. Ruefle, M. Zajicek, Handbook for Computer Security Incident Response Teams (CSIRTs). Carnegie Mellon: Software Engineering Institute CMU/SEI-98-HB-001. Segunda edición. 2003. http://www.cert.org/archive/pdf/csirt-handbook.pdf
ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security management (Redesignation of ISO/IEC 17799:2005)

Aspectos del Derecho Informático

Código del Curso: CC67F
Unidades Docentes: 5 UD
Duración: 15 horas
Valor : 30 UF
Profesora: Lorena Donoso

Objetivos

Al finalizar éste módulo los alumnos entenderán las obligaciones legales y las consecuencias comerciales asociados a la, implementación y operación de sistemas informáticos

Contenidos

Protección de datos.

Bases de datos personales y afectación a garantías fundamentales.
Datos personales:
Fichero de datos personales
Responsabilidad informática y gestión de bases de datos personales.
Habeas data como mecanismo de protección de los datos personales

Firma y documento electrónico.

El documento electrónico (concepto general, requisitos de los instrumentos públicos e instrumentos privados electrónicos, normativa tributaria pertinente).
Firma electrónica en la legislación nacional (tipos, requisitos, valor probatorio, normativa tributaria pertinente).
Entidades de certificación de firma electrónica (requisitos, acreditación, responsabilidades).

Delitos informáticos.

Responsabilidad penal y seguridad informática
Particularidades criminológicas de la delincuencia informática
Tipos penales contemplados en la ley de delitos informáticos
Tipos penales considerados en la Ley general de telecomunicaciones
Tipos penales consagrados en la Ley de propiedad intelectual

Uso del medios electrónicos en el ámbito laboral.

Poder de vigilancia y uso de medios tecnológicos.
- Control del correo electrónico.
- Videovigilancia
- Control de navegaciones en Internet
Derechos del trabajador frente a los medios de vigilancia electrónicos
Reglamento interno como mecanismo de regulación del uso de los medios tecnológicos
Legislación laboral en materia de uso de medios de vigilancia electrónicos

Derecho probatorio y seguridad informática.

Antecedentes generales en torno a la prueba de las obligaciones
Medios de prueba
- Prueba documental y los documentos electrónicos.
- Otros medios de prueba tecnológicos previstos en el ordenamiento jurídico)
Valor probatorio de los medios tecnológicos
Oportunidad de la producción y presentación de pruebas
Producción y conservación de pruebas lícitas

Talleres

Análisis de casos legales

Bibliografía

Legislativas
Ley 19.628 sobre protección de la vida privada, 1999
Ley 19223 sobre delitos informáticos, 1994
Ley 19799 sobre firma electrónica, 2002
Ley 18168, general de telecomunicaciones, 1986
Código de procedimiento civil y penal
Código procesal penal
Código tributario
Código del trabajo

Doctrinarias

Revista Chilena de Derecho Informático, números 1, 2, 3 y 4, Facultad de Derecho de la Universidad de Chile. Protección de datos. Bases de datos personales y afectación a el tránsito del documento papel al documento electrónico.

Comercio Electrónico

Código del Curso: CC67G
Unidades Docentes: 5 UD
Duración: 15 horas
Valor : 30 UF
Profesor: Marco A. Zúñiga

Objetivos

Al completar este módulo los alumnos podrán entender, diseñar y evaluar distintas arquitecturas para soluciones de e-Business, así como las consecuencias que acarrean en términos de usabilidad.

Contenidos

Requisitos de Seguridad desde la Optica del Negocio (requerimientos del e-Business)

Marco del riesgo
Contextos y evolución del riesgo
Modelos de negocios y contratos
Definición en e-Business
Marco conceptual y ámbitos
Ley de Metcalfe
Análisis de la convergencia
Modelos de relación comercial en e-Business
Conceptos de protección del negocio
Motivación y alineamiento ejecutivo

Biometría

Conceptos fundamentales de biometría
Biometría estática y biometría dinámica
FAR, FRR. Arquitecturas de seguridad
Alternativas tecnológicas
Análisis comparativo
Análisis detalle tecnologías de huella digital
Criterios de ingeniería para el diseño
Criterios de evolución del negocio de biometría
Modelo Registro Civil en Chile
Ejemplo y aplicaciones

Modelos de identidad y medios de pago

Leyes de la identidad
Modelos de pago para negocios virtuales
Tipos de medios de pago
Modelos de crédito
Modelos de débito
Implementación en Chile de medios de pago

Infraestructura crítica y protección de soluciones WEB

Modelos de protección de infraestructura crítica
Mecanismos de control y vínculos
Autenticación mediante one way functions
Protección de estructuras internas
Protección de programas
Modelo de roles y responsabilidades
Recomendaciones generales de implementación y operación
Guía WEB

Bibliografía

Free Exec Guides en Patricia Seybold Group, http://www.psgroup.com/
Exec Guide to Portals
Exec Guide to WEB Services
Paper de divulgación sobre riesgos de seguridad desde el punto de vista del negocio, M. Sawhney, http://www.mohansawhney.com
Internet security: Everything you wanted to know but were afraid to ask
Asociación de biometría informática Española: http://www.ii.uam.es/~Eabie/
Resumen ejecutivo de medios de pago en línea, Verisign, http://www.verisign.com
Online payment processing - What you need to know
Sitio corporativo de Transbank, información sobre WEBPay, http://www.transbank.cl
Normas técnicas en el sitio de la entidad acreditadora del Ministerio de Economía en Chile, http://www.entidadacreditadora.cl

*Si las clases no pudiesen realizarse por circunstancias imprevistas o de fuerza mayor, y cuyas causas son ajenas a la Universidad de Chile, éstas se realizarán via streaming.

Modalidad de cursos por separado
En el Programa se contempla la posibilidad de que los alumnos tomen sólo aquellos cursos del Diploma que son de su interés. En este caso, se otorga un certificado de aprobación del (los) curso (s), previa aprobación de los exámenes respectivos por parte del estudiante, y un certificado de asistencia para aquellos alumnos que reprueben los cursos.

Requisitos de Ingreso

¿Quiénes pueden postular?
Pueden postular profesionales universitarios (carreras de al menos 8 semestres de duración), profesionales encargados de la gestión y operación de sistemas informáticos, consultores de seguridad, proveedores de servicios vía internet, responsables de la seguridad informática en empresas, además de responsables y miembros del área de sistemas que deseen iniciar o potenciar sus operaciones vía internet.

Documentos que se deben presentar

Documentar el ser profesional universitario de un programa de al menos 8 semestres de duración. (En caso que el título esté en trámite, la eventual emisión del Diploma quedará pendiente hasta que se certifique la posesión del título.)
Curriculum vitae
La aceptación de toda postulación esta sujeta a la aprobación del Director Académico del Programa.
Entrevista personal

Informaciones e Inscripciones

Dirección para Matricularse
Beaucheff 851, tercer piso, oficina 326-327 - Santiago
Teléfono: (56-2) 2978 4965 - 2978 4976
Formulario de Pre-Inscripción: Haga click aquí para llenar el Formulario
E-mail:

Costo y forma de pago

Costo
El Diploma tiene un costo total de 110 UF

Forma de Pago

Cheques
Tarjeta de Crédito

Contacto

Mail :
Fono : 2-2978 4965 2-2978 4976
Whatsapp: +56 9 3871 9957

Beneficios

Como estudiante de nuestro Diploma de Postítulo podrás acceder libremente a las instalaciones de nuestro Campus:

Biblioteca Central
Instalaciones deportivas: multicanchas indoor, piscina semiolímpica, salón aeróbico, gimnasio de fitness, cancha de squash, sala de artes marciales, sala de juegos y sala de expresión artística.
Estacionamiento