• Descripción

Aquest curs de gestió de la Seguretat de la Informació pretén canviar o ajudar a canviar la concepció àmpliament estesa que el més important, quan es parla de seguretat, es troba en els equips informàtics i, que el que s'ha de tractar de protegir, sota qualsevol circumstància és la seguretat de la informació.

Des d'aquest punt de vista s'ha d'analitzar el que es pretén assegurar quan es parla de la seguretat de la informació i s'han de tenir en compte les tres propietats fonamentals, com són:

• Integritat de la informació
• Confidencialitat de la informació
• Integritat de la informació

Durant tot aquest curs es donaran els fonaments o els aspectes a considerar quan es pretengui assegurar aquesta informació davant les possibles amenaces que poguessin afectar-la.

Cal tenir present que la seguretat total mai s'aconseguirà així que en aquest mòdul no s'indicaran els consells per evitar qualsevol tipus d'incident, sinó que es parlarà dels denominats Sistemes de Gestió de la Seguretat de la Informació, que com el seu nom indiquen tracten d'oferir una seguretat apropiada a les informacions manejades per les entitats però sobretot, i per sobre de tot, implica que l'organitzacions mantinguin, revisin, actualitzin i controlin tot el referent a la seguretat, en poques paraules, que gestionin correctament la seguretat que hagin implantat.

Respecte a la seguretat de la informació i, concretament, a la gestió de la mateixa, existeixen diferents normatives, i entre elles s'explicarà àmpliament la que està tenint una major expansió en el sector de la seguretat, com és la família 27000 de les normes internacionals ISO, en concret, la ISO27001 i la ISO 27002, amb la finalitat d'oferir una seguretat global.

De la mateixa forma, i tenint en compte que la seguretat total mai es podrà obtenir, és important comentar la necessitat de tenir previstos alguns mecanismes de seguretat que garanteixin, en el cas que arribi a succeir algun tipus de problema que no pugui ser evitat, minimitzar el seu impacte, amb la finalitat de que l'activitat de l'organització no es pari. En aquest sentit també es procedirà a l'explicació dels plans de continuïtat de negoci.

• La asignatura en el conjunto del plan de estudios

La asignatura Sistemas de Gestión de la Seguridad de la Información forma parte de dos titulaciones:

• En el Máster Interuniversitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones, la asignatura se encuentra dentro de la especialización de Gestión y Auditoría de la Seguridad.

• En el Máster Universitario en Ingeniería Informática, la asignatura se encuentra dentro del módulo de formación obligatoria de Tecnologías Informáticas.

La asignatura consta de 6 créditos ECTS y en ella se trabajan los aspectos más importantes de la gestión de la seguridad de la información, incluyendo su control, mantenimiento, revisión y actualización.

• Campos profesionales en que se proyecta

La presente asignatura se proyecta sobre numerosos campos profesionales, entre los cuales podemos destacar los siguientes:

• Gestor/a de proyectos de software

• Arquitecto/a y diseñador/a de software de sistemas

• Programador/a de software de sistemas

• Consultor/a de la gestión estratégica de la información

• Consultor/a de la gestión de la información

• Especialista en recuperación de catástrofes

• Ingeniero/a de integración, pruebas e implantación

• Integrador/a de sistemas

• Director/a de proyectos TIC

• Director/a de desarrollo

• Conocimientos previos

La presente asignatura no presupone conocimientos previos. No obstante, para aquellos estudiantes que tengan que cursar complementos de formación, se recomienda haber cursado previamente las siguientes asignaturas:

En el caso de estudiantes del Máster Interuniversitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones

• Estructura de computadores
• Seguridad en redes de computadores
• Criptografía

En el caso de estudiantes del Máster Universitario en Ingeniería Informática

• Estructura de computadores
• Sistemas operativos
• Administración de redes y sistemas operativos

• Información previa a la matrícula

La presente asignatura no presupone conocimientos previos. No obstante, para aquellos estudiantes que tengan que cursar complementos de formación, se recomienda haber cursado previamente las siguientes asignaturas:

En el caso de estudiantes del Máster Interuniversitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones

• Estructura de computadores
• Seguridad en redes de computadores
• Criptografía

En el caso de estudiantes del Máster Universitario en Ingeniería Informática

• Estructura de computadores
• Sistemas operativos
• Administración de redes y sistemas operativos

• Objetivos y competencias

Los objetivos principales del curso son:

• Conocer la importancia de la seguridad de la información y diferencias con el concepto de seguridad informática.
• Conocer cuál es el proceso correcto para proteger una organización.
• Analizar la importancia de realizar análisis de riesgos en las organizaciones.
• Gestionar correctamente los riesgos de una organización.
• Conocimiento de los objetivos y utilidades de las normas ISO 27000.
• Conocer la metodología para la gestión de la seguridad de la información.
• Importancia de los Planes de Continuidad de Negocio.

Mediante la consecución de estos objetivos, la realización de la presente asignatura contribuye a la adquisición de las siguientes competencias del Máster Interuniversitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones:

• Capacidad de análisis y síntesis de la seguridad de un sistema.
• Capacidad para ejercer la actividad profesional de acuerdo al código ético y a los aspectos legales actuales en el entorno de las TIC.
• Capacidad de comunicación tanto a público especializado como no especializado de modo claro y sin ambigüedades.
• Capacidad de aprendizaje autónomo consultando información.
• Conocimiento de herramientas y tendencias tecnológicas del mercado de la seguridad informática.
• Uso del inglés como lengua vehicular en el ámbito tecnológico
• Capacidad para implantar un Sistema de Gestión de la Seguridad de la Información siguiendo las fases del ciclo de Deming.
• Capacidad para elaborar un plan de seguridad, teniendo en cuento todo el proceso de inventario y clasificación de activos, estudio de amenazas, análisis de riesgos y definición del plan de acción con el presupuesto asociado para la aprobación de la dirección.
• Capacidad para identificar y analizar los procesos críticos de una organización, así como el impacto que produciría la interrupción de estos procesos.
• Capacidad para desarrollar un Plan de Continuidad, conocer sus fases y el personal que debe implicarse en su desarrollo. Conocer las normas y estándares de referencia relacionados con la Continuidad de Negocio

En cuanto al Máster Universitario en Ingeniería Informática, la realización de la presente asignatura contribuye a la adquisición de las siguientes competencias:

• Capacidad para proyectar, calcular y diseñar productos, procesos e instalaciones en todos los ámbitos de la ingeniería informática.
• Capacidad para comprender y aplicar la responsabilidad ética, la legislación y la deontología profesional de la actividad de la profesión de Ingeniero en Informática.
• Capacidad para modelar, diseñar, definir la arquitectura, implantar, gestionar, operar, administrar y mantener aplicaciones, redes, sistemas, servicios y contenidos informáticos.
• Capacidad para asegurar, gestionar, auditar y certificar la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y productos informáticos.
• Capacidad para diseñar, desarrollar, gestionar y evaluar mecanismos de certificación y garantía de seguridad en el tratamiento y acceso a la información en un sistema de procesamiento local o distribuido.

• Contenidos

A continuación se detallan los contenidos del programa agrupándolos en módulos temáticos.

Introducción a la Seguridad de la Información

• Qué es seguridad de la información

• Dimensiones de la seguridad de la información

• Gestión de la seguridad de la información

• Normativa legal en España

• Estándares de seguridad de la información

• Estado de la seguridad

• Profesionales de la seguridad de la información

Análisis de riesgos

• Ciclo de vida de la seguridad

• Análisis de riesgos

• Análisis de riesgos. Justificación y estudio

• Metodologías

Implantación de un SGSI

• Qué es un sistema de gestión de la seguridad de la información

• Normativas internacionalmente reconocidas

• La familia ISO 27000

• ISO/IEC 27002 - Código de buenas prácticas para la Gestión de la Seguridad de la Información

• Sistemas de gestión

• Introducción al SGSI

• Planificar: Establecer el SGSI

• Hacer: Implantar y operar el SGSI

• Verificar: Monitorizar y revisar el SGSI

• Actuar: Mantener y mejorar el SGSI

• Esquema documental del SGSI

Desarrollo de algunos objetivos de control del SGSI

• Desarrollo de un marco normativo de seguridad de la información

• Política de seguridad de la información

• Organización de la seguridad de la información

• Clasificación de la información

• Herramientas para un SGSI

• Factores críticos de éxito en la implantación de un SGSI

• Certificación del SGSI

Planes de continuidad de negocio

• Planes de continuidad de negocio

• Plan de continuidad de negocio versus plan de contingencias

• Plan de continuidad de negocio

• Estructura de los planes de continuidad de negocio

• Consulta de los materiales que dispone la asignatura

• Materiales y herramientas de apoyo

El material didàctic del curs es composa de diferents mòduls didàctics en format web i paper.

• Bibliografía y fuentes de información

Links de interés

LEGALIDAD:

http://www.delitosinformaticos.com/

http://guardiacivil.org/telematic/os

http://informatica-juridica.com/

http://derechotecnologico.com

http://cybercrime.gov/

http://www.crime-research.org

http://www.gigalaw.com/

SEGURIDAD:

http://www.inteco.es/Seguridad/

http://www.apdcat.cat

http://www.agpd.es

http://isaca.org/

http://www.hispasec.com/

http://www.kriptopolis.org/

http://www.cert.org/

http://www.rediris.es/cert/

http://www.cramm.com

http://www.nisto.gov/

• Metodología

El curso está dividido en 5 módulos. A cada uno de los módulos dedicaremos el tiempo conveniente para desarrollar los contenidos correspondientes.

Al inicio de cada módulo, el consultor hará la presentación del módulo en el Tablón, incluyendo una propuesta-resumen de los contenidos específicos que se deben de aprender y asimilar, con las actividades de aprendizaje a realizar y los recursos a utilizar.

Para trabajar los módulos deberéis realizar la lectura, las actividades y ejercicios que lleva incluidos. A lo largo de la lectura hay anotaciones para comentar en el foro, lo cual, si se considera oportuno, es interesante y muy enriquecedor.

Además es muy importante el seguimiento activo de los espacios del aula (en especial el tablero y el foro), puesto que de forma habitual se plantean dudas, se resuelven problemas y se tratan cuestiones muy relacionadas con los contenidos del curso.

Cada módulo y sus ejercicios de auto-evaluación tendrán unas fechas recomendadas para su realización. Dichas fechas os permitirán el buen seguimiento y aprovechamiento del módulo. Las únicas fechas que se consideran inamovibles, son las de inicio y final de módulo y las de entrega de actividades de evaluación.

Existen, a la par de las actividades o ejercicios de aprendizaje de cada módulo, actividades (reseñadas en la planificación de la asignatura) que serán además actividades de evaluación. Son las denominadas PECs (Pruebas de Evaluación Continua) que pertenecen a la EC (Evaluación Continua). Esto significa que, dentro del módulo, cada estudiante puede seguir su propia planificación, siempre y cuando respete las fechas anteriormente mencionadas.

Las actividades de evaluación (PECs) se deberán enviar al consultor en las fechas indicadas dentro de la planificación, para que éste pueda ir valorando, junto con vosotros, vuestro aprendizaje.

Dichas actividades evaluativas son obligatorias y se deberán realizar de forma individual. Es decir, las entregas de los estudiantes deben corresponder a un trabajo original elaborado por el propio estudiante de forma individual. En toda parte de la actividad en la que se hayan utilizado recursos externos debe hacerse referencia a estos recursos externos, incluyendo las citas correspondientes. Las dudas existentes se irán compartiendo, trabajando y comentando entre todos los espacios compartidos (según la dinámica propuesta por el consultor en cada momento).

Un aspecto importante es el hecho de trabajar de forma continua, lo cual os permitirá asimilar los contenidos del curso y sus objetivos. Acumular las tareas para el final provoca que no se disfrute de lo que se está aprendiendo además de no profundizar en las reflexiones que se estén realizando. Es muy importante el trabajo cooperativo ya que es enriquecedor para todo aquél que participa, pero para ello se necesita un mínimo de sincronía temporal.

Como conclusión final y fieles a la metodología que proponemos, vosotros como estudiantes sois el centro del proceso de aprendizaje. Construiréis el conocimiento de forma significativa, interactuando activamente con vuestros iguales, con el consultor, con los materiales, con el nuevo entorno. En este curso, no sólo vais a aprender sobre la formación virtual sino que también vais a vivirla, día a día, intensamente, desde la propia experiencia.

• Información sobre la evaluación en la UOC

La Normativa académica de la UOC dispone que el proceso de evaluación se fundamenta en el trabajo personal del estudiante y presupone la autenticidad de la autoría y la originalidad de los ejercicios realizados.

La falta de originalidad en la autoría o el mal uso de las condiciones en las que se hace la evaluación de la asignatura es una infracción que puede tener consecuencias académicas graves.

El estudiante será calificado con un suspenso (D/0) si se detecta falta de originalidad en la autoría de alguna actividad evaluable (práctica, prueba de evaluación continua (PEC) o final (PEF), o la que se defina en el plan docente), ya sea porque ha utilizado material o dispositivos no autorizados, ya sea porque ha copiado de forma textual de internet, o ha copiado de apuntes, de materiales, manuales o artículos (sin la citación correspondiente) o de otro estudiante, o por cualquier otra conducta irregular.

La calificación de suspenso (D/0) en la evaluación continua (EC) puede conllevar la obligación de hacer el examen presencial para superar la asignatura (si hay examen y si superarlo es suficiente para superar la asignatura según indique este plan docente).

Cuando esta mala conducta se produzca durante la realización de las pruebas de evaluación finales presenciales, el estudiante puede ser expulsado del aula, y el examinador hará constar todos los elementos y la información relativos al caso.

Además, esta conducta puede dar lugar a la incoación de un procedimiento disciplinario y la aplicación, si procede, de la sanción que corresponda.

La UOC habilitará los mecanismos que considere oportunos para velar por la calidad de sus titulaciones y garantizar la excelencia y la calidad de su modelo educativo.

• Consulta del modelo de evaluación

• Evaluación Contínua

La asignatura Sistemas de Gestión de la Seguridad de la Información no presupone conocimientos previos sobre seguridad. Proporciona una visión global de la misma añadiendo complejidad a medida que se avanza en su estudio, y por ello el modelo que mejor se ajusta para su aprendizaje es la evaluación continua (EC), la cual es obligatoria y consta de un conjunto de PEC s repartidas a lo largo del curso. Así pues, hacemos diversas pruebas a lo largo del curso para valorar la adquisición de conocimientos por parte del estudiante.

La evaluación del curso se realizará a partir de:

Vuestro seguimiento y participación en todas las actividades del curso

El conocimiento se construye día a día y conjuntamente en los espacios compartidos del aula. De ahí la importancia del seguimiento y participación continuada en todas las actividades propuestas durante el curso (ejercicios de auto evaluación y actividades de evaluación)

Las actividades evaluativas (4 PECs)

Las actividades evaluativas (PEC s) son de entrega obligatoria e individual al consultor. El consultor las evaluará y posteriormente colgará una posible solución a dicha actividad la cual se podrá debatir en los espacios compartidos.

La evaluación de cada PEC se podrá consultar en el espacio de evaluación asignado.

Dentro de la calificación final se pueden tener en cuenta aportaciones, intervenciones en espacios de debate o cualquier otro criterio que establezca el consultor y que considere oportuno para valorar el nivel de aprendizaje de los estudiantes.

La calificación final de la evalución continuada se calculará en base a los pesos de cada una de las PECs, indicados a continuación:

• PEC 1: 15%
• PEC 2: 30%
• PEC 3: 30%
• PEC 4: 25%

El correcto seguimiento de la asignatura compromete al estudiante a la realización de las PECs propuestas según las indicaciones pautadas en este Plan Docente, de forma individual. Como se ha comentado anteriormente, las entregas de los estudiantes deben corresponder a un trabajo original elaborado por el propio estudiante de forma individual. En toda parte de la actividad en la que se hayan utilizado recursos externos debe hacerse referencia a estos recursos externos, incluyendo las citas correspondientes. En este sentido, es importante tener en cuenta dos cuestiones:

• Si el consultor identifica que las actividades no son originales o no se han realizado de forma individual, todos los alumnos implicados en la copia tendrán una D como nota final de la evaluación continua (es decir, tanto el que copia como el que se deja copiar). Por otro lado, y siempre a criterio de los Estudios, el incumplimiento de este compromiso puede suponer que no se os permita superar ninguna otra asignatura mediante evaluación continuada ni en el semestre en curso ni en los siguientes.
• Todas las colaboraciones entre alumnos se deben realizar a través del Foro. Ello permitirá al consultor, en caso de trabajos similares, entender si es fruto de una discusión compartida en el Foro, o bien, se ha producido efectivamente una copia de las actividades.

NOTA IMPORTANTE:

Tal y como ya se ha comentado, todas las PECs son obligatorias y se deberán entregar en los plazos establecidos.

Cuando una PEC no se entregue dentro de los plazos marcados en el calendario de la asignatura, se aceptará la entrega de la solución siempre y cuando se produzca antes de la publicación de la solución por parte del consultor, lo cual tendrá lugar aproximadamente una semana después de la fecha de entrega de PEC marcada en el calendario.

En caso de que la PEC se entregue tarde, pero antes de la fecha de publicación de la solución, la nota máxima que se podrá obtener en dicha PEC será de C+ (5).

Dado que el modelo de aprendizaje de la asignatura se basa en la evaluación continua, en caso de no poder entregar una PEC antes de la publicación de la solución, se deberá avisar al consultor con anterioridad, aportando una justificación clara de los motivos por los que no se puede entregar. Dicha justificación se deberá basar en causas excepcionales que el consultor deberá considerar suficientes. No se aceptarán justificaciones basadas en una mala planificación del trabajo del alumno. Una PEC no entregada sin justificación suficiente obligará al estudiante a presentarse al examen virtual.

• Evaluación final

Para aquellos estudiantes que no hayan superado la evaluación continua (EC), o quieran subir nota, existe la posibilidad de realizar un examen virtual. En esta prueba, el estudiante se examinará de todos los contenidos y todo lo trabajado durante el curso.

Tal y como se ha indicado anteriormente, la nota final de los estudiantes que no hayan superado la AC será la nota del examen virtual.

Para aquellos estudiantes que quieran subir nota, su nota final corresponderá a la nota del examen virtual siempre y cuando esta nota del examen sea superior a la nota de AC. En caso contrario, el examen hará bajar la nota de la AC siguiendo la siguiente fórmula: AC 35% - EX 65%. Además, en caso de que la nota del examen virtual sea inferior a 4, el estudiante suspenderá la asignatura.

Por este motivo, antes de presentarse al examen virtual para subir nota, cabe tener muy presente que también puede bajar nota e incluso puede suspenderse la asignatura.

• Feedback

Tal y como se ha indicado en la metodología de la asignatura, el consultor os guiará y orientará a través del Tablero del aula para que podáis hacer un buen seguimiento de la asignatura. También responderá las dudas que vayan surgiendo en el Foro del aula así como las consultas y comentarios enviados a su buzón personal.
 
El consultor también hará un seguimiento personalizado de la evaluación continua, revisará todas las PEC y prácticas entregadas y comentará de forma cualitativa a nivel grupal y/o individual la resolución. Estos comentarios os ayudarán a progresar en vuestro aprendizaje y adquirir el conjunto de las competencias.