Sistemes de gestió de la seguretat Codi:  M1.709    Crèdits:  6
Consulta de les dades generals   Descripció   L'assignatura en el conjunt del pla d'estudis   Camps professionals en què es projecta   Coneixements previs   Informació prèvia a la matrícula   Objectius i competències   Continguts   Consulta dels recursos d'aprenentatge de què disposa l'assignatura   Recursos d'aprenentatge i eines de suport   Bibliografia i fonts d'informació   Metodologia   Informació sobre l'avaluació a la UOC   Consulta del model d'avaluació   Avaluació continuada   Avaluació final   Feedback  
Aquest és el pla docent de l'assignatura. Us servirà per planificar la matrícula (consulteu si l'assignatura s'ofereix aquest semestre a l'espai del Campus Més UOC / La Universitat / Plans d'estudis). Un cop comenci la docència, heu de consultar-lo a l'aula. El pla docent pot estar subjecte a canvis.

Aquest curs de Sistemes de Gestió de la Seguretat de la Informació pretén canviar o ajudar a canviar la concepció àmpliament estesa del més important en relació a la seguretat: la protecció dels equips informàtics. En realitat, el que és important assegurar és la seguretat de la informació.

Des d'aquest punt de vista, s'ha d'analitzar el que es pretén assegurar quan es parla de la seguretat de la informació, i s'han de tenir en compte les tres propietats fonamentals, com són:

  • Confidencialitat de la informació
  • Integritat de la informació
  • Disponibilitat de la Informació

Durant tot aquest curs es donaran els fonaments o els aspectes a considerar quan es pretengui assegurar aquesta informació davant les possibles amenaces que poguessin afectar-la.

Cal tenir present que la seguretat total mai s'aconseguirà, pel que en aquest curs no s'indicaran els consells per evitar qualsevol tipus d'incident, sinó que es parlarà dels denominats Sistemes de Gestió de la Seguretat de la Informació (SGSI). Com el seu nom indica, els SGSI tracten d'oferir una seguretat apropiada a les informacions gestionades per les entitats. Sobretot, però, la implantació d'un SGSI implica que les organitzacions mantinguin, revisin, actualitzin i controlin tot el referent a la seguretat; en poques paraules, que gestionin correctament la seguretat que hagin implantat.

Respecte a la seguretat de la informació i, concretament, a la gestió de la mateixa, existeixen diferents normatives, i entre elles s'explicarà àmpliament la que està tenint una major expansió en el sector de la seguretat, com és la família 27000 de les normes internacionals ISO, en concret, la ISO/IEC 27001 i la ISO/IEC 27002, amb la finalitat d'oferir una seguretat global.

De la mateixa forma, i tenint en compte que la seguretat total mai es podrà obtenir, és important comentar la necessitat de tenir previstos alguns mecanismes que permetin minimitzar l'impacte d'aquells incidents que no puguin arribar a evitar-se, amb la finalitat que l'activitat de l'organització no es pari. En aquest sentit, també es procedirà a l'explicació dels Plans de Continuïtat de Negoci.

Finalment, l'administració pública no és aliena en absolut a la necessitat de gestionar correctament la seguretat de la informació. Per això, en aquest curs es treballarà també tota regulació de l'Esquema Nacional de Seguretat, que és el que estableix i normalitza la seguretat de la informació a través d'una sèrie de normatives i polítiques en l'àmbit dels serveis públics que fan servir mitjans electrònics.

Amunt

L'assignatura Sistemes de Gestió de la Seguretat de la Informació forma part de dues titulacions:

  • En el Màster Interuniversitari en Seguretat de les Tecnologies de la Informació i de les Comunicacions, l'assignatura es troba dins de l'especialització de Gestió i Auditoria de la Seguretat.
  • En el Màster Universitari en Enginyeria Informàtica, l'assignatura es troba dins del mòdul de formació obligatòria de Tecnologies Informàtiques.

L'assignatura consta de 6 crèdits ECTS i en ella es treballen els aspectes més importants de la gestió de la seguretat de la informació, incloent el seu control, manteniment, revisió i actualització.

Amunt

La present assignatura es projecta sobre nombrosos camps professionals, entre els quals podem destacar els següents:

  •   Responsable de seguretat de la informació
  • Gestor/a de projectes de programari

  • Arquitecte/a i dissenyador/a de programari de sistemes

  • Programador/a de sistemes

  • Consultor/a de la gestió estratègica de la informació

  • Consultor/a de la gestió de la informació

  • Especialista en recuperació de catàstrofes

  • Enginyer/a d'integració, proves i implantació

  • Integrador/a de sistemes

  • Director/a de projectes TIC

  • Director/a de desenvolupament

Amunt

La present assignatura no pressuposa coneixements previs. No obstant, per a aquells estudiants que hagin de cursar complements de formació, es recomana haver cursat prèviament les següents assignatures:

En el cas d'estudiants del Màster Interuniversitari en Seguretat de les Tecnologies de la Informació i de les Comunicacions

  • Estructura de computadors
  • Seguretat en xarxes de computadors
  • Criptografia

En el cas d'estudiants del Màster Universitari en Enginyeria Informàtica

  • Estructura de computadors
  • Sistemes operatius
  • Administració de xarxes i sistemes operatius

Amunt

La present assignatura no pressuposa coneixements previs. No obstant, per a aquells estudiants que hagin de cursar complements de formació, es recomana haver cursat prèviament les següents assignatures:

En el cas d'estudiants del Màster Interuniversitari en Seguretat de les Tecnologies de la Informació i de les Comunicacions

  • Estructura de computadors
  • Seguretat en xarxes de computadors
  • Criptografia

En el cas d'estudiants del Màster Universitari en Enginyeria Informàtica

  • Estructura de computadors
  • Sistemes operatius
  • Administració de xarxes i sistemes operatius

Amunt

Els objectius principals del curs són:

  • Conèixer la importància de la seguretat de la informació i les diferències amb el concepte de seguretat informàtica.
  • Conèixer quin és el procés correcte per protegir una organització.
  • Analitzar la importància de realitzar anàlisi de riscos en les organitzacions.
  • Gestionar correctament els riscos d'una organització.
  • Coneixement dels objectius i utilitats de les normes de la família ISO 27000.
  • Conèixer la metodologia per a la gestió de la seguretat de la informació.
  • Importància dels Plans de Continuïtat de Negoci.

Mitjançant la consecució d'aquests objectius, la realització de la present assignatura contribueix a l'adquisició de les següents competències del Màster Interuniversitari en Seguretat de les Tecnologies de la Informació i de les Comunicacions:

  • Capacitat d'anàlisi i síntesi de la seguretat d'un sistema.
  • Capacitat per exercir l'activitat professional d'acord al codi ètic i els aspectes legals actuals a l'entorn de les TIC.
  • Capacitat de comunicació tant a públic especialitzat com no especialitzat de manera clara i sense ambigüitats.
  • Capacitat d'aprenentatge autònom consultant informació.
  • Coneixement d'eines i tendències tecnològiques del mercat de la seguretat informàtica.
  • Ús de l'anglès com a llengua vehicular en l'àmbit tecnològic
  • Capacitat per implantar un Sistema de Gestió de la Seguretat de la Informació seguint les fases del cicle de Deming.
  • Capacitat per elaborar un pla de seguretat, tenint en compte tot el procés d'inventari i classificació d'actius, estudi d'amenaces, anàlisis de riscos i definició del pla d'acció amb el pressupost associat per a l'aprovació de la direcció.
  • Capacitat per identificar i analitzar els processos crítics d'una organització, així com l'impacte que produiria la interrupció d'aquests processos.
  • Capacitat per desenvolupar un Pla de Continuïtat, conèixer les seves fases i el personal que ha d'implicar-se en el seu desenvolupament. Conèixer les normes i estàndards de referència relacionats amb la Continuïtat de Negoci

Pel que fa al Màster Universitari en Enginyeria Informàtica, la realització de la present assignatura contribueix a l'adquisició de les següents competències:

  • Capacitat per projectar, calcular i dissenyar productes, processos i instal·lacions en tots els àmbits de l'enginyeria informàtica.
  • Capacitat per comprendre i aplicar la responsabilitat ètica, la legislació i la deontologia professional de l'activitat de la professió d'Enginyer en Informàtica.
  • Capacitat per modelar, dissenyar, definir l'arquitectura, implantar, gestionar, operar, administrar i mantenir aplicacions, xarxes, sistemes, serveis i continguts informàtics.
  • Capacitat per assegurar, gestionar, auditar i certificar la qualitat dels desenvolupaments, processos, sistemes, serveis, aplicacions i productes informàtics.
  • Capacitat per dissenyar, desenvolupar, gestionar i avaluar mecanismes de certificació i garantia de seguretat en el tractament i accés a la informació en un sistema de processament local o distribuït.

Amunt

A continuació es detallen els continguts del programa agrupant-los en mòduls temàtics.

Introducció a la Seguretat de la Informació

  • Què és seguretat de la informació

  • Dimensions de la seguretat de la informació

  • Gestió de la seguretat de la informació

  • Normativa legal a Espanya

  • Estàndards de seguretat de la informació

  • Estat de la seguretat

  • Professionals de la seguretat de la informació

Anàlisi de riscos

  • Cicle de vida de la seguretat

  • Anàlisi de riscos

  • Anàlisi de riscos. Justificació i estudi

  • Metodologies

Implantació d'un SGSI

  • Què és un sistema de gestió de la seguretat de la informació

  • Normatives internacionalment reconegudes

  • La família ISO 27000

  • ISO/IEC 27002 - Codi de bones pràctiques per a la Gestió de la Seguretat de la Informació

  • Sistemes de gestió

  • Introducció al SGSI

  • Planificar: Establir el SGSI

  • Fer: Implantar i operar el SGSI

  • Verificar: Monitoritzar i revisar el SGSI

  • Actuar: Mantenir i millorar el SGSI

  • Esquema documental del SGSI

Desenvolupament d'alguns objectius de control del SGSI

  • Desenvolupament d'un marc normatiu de seguretat de la informació

  • Política de seguretat de la informació

  • Organització de la seguretat de la informació

  • Classificació de la informació

  • Eines per un SGSI

  • Factors crítics d'èxit en la implantació d'un SGSI

  • Certificació del SGSI

Plans de continuïtat de negoci

  • Plans de continuïtat de negoci

  • Pla de continuïtat de negoci versus pla de contingències

  • Pla de continuïtat de negoci

  • Estructura dels plans de continuïtat de negoci

Esquema Nacional de la Seguretat

  • Origen de l'ENS: normalització de la seguretat de la informació a l'administració pública
  • Objectiu i àmbit d'aplicació
  • Normativa ENS: RD 3/2010: Estructura i articulat
  • La política de seguretat a l'ENS
  • Requisits de l'ENS: organització, responsabilitats i funcions
  • Categorització dels sistemes d'informació
  • Anàlisi i Gestió de riscos a l'ENS
  • Elecció de mesures de seguretat
  • Tipus d'auditories a l'ENS
  • Diferències i similituds amb ISO / IEC 27001
  • La unió del RGPD amb l'ENS
  • Les guies 800 del Centre Criptològic Nacional

Amunt

Material Suport

Amunt

El material didàctic del curs es composa de diferents mòduls didàctics en format web y papel.

Amunt

Links d'interès

LEGALITAT:

http://www.delitosinformaticos.com/

http://guardiacivil.org/telematic/os

http://informatica-juridica.com/

http://derechotecnologico.com

http://cybercrime.gov/

http://www.crime-research.org

http://www.gigalaw.com/

SEGURETAT:

http://www.inteco.es/Seguridad/

http://www.cesicat.cat

http://www.apdcat.cat

http://www.agpd.es

http://isaca.org/

http://www.hispasec.com/

http://www.kriptopolis.org/

http://www.cert.org/

http://www.rediris.es/cert/

http://www.cramm.com

http://www.nisto.gov/

Amunt

El curs està dividit en 5 mòduls. A cadascun dels mòduls dedicarem el temps convenient per desenvolupar els continguts corresponents.

A l'inici de cada mòdul, el consultor farà la presentació del mòdul en el Tauler, incloent una proposta-resum dels continguts específics que cal aprendre i assimilar, amb les activitats d'aprenentatge a realitzar i els recursos a utilitzar.

Per treballar els mòduls haureu de realitzar la lectura, les activitats i exercicis que porta inclosos. Al llarg de la lectura hi ha anotacions per comentar en el Fòrum, la qual cosa, si es considera oportú, és interessant i molt enriquidor.

A més, és molt important el seguiment actiu dels espais de l'aula (especialment el Tauler i el Fòrum), ja que de forma habitual es plantegen dubtes, es resolen problemes i es tracten qüestions molt relacionades amb els continguts del curs.

Cada mòdul i els seus exercicis d'auto-avaluació tindran unes dates recomanades per a la seva realització. Aquestes dates us permetran el bon seguiment i aprofitament del mòdul. Les úniques dates que es consideren inamovibles, són les d'inici i final de mòdul i les de lliurament d'activitats d'avaluació.

Existeixen, a més de les activitats o exercicis d'aprenentatge de cada mòdul, activitats (ressenyades en la planificació de l'assignatura) que seran a més activitats d'avaluació. Són les denominades PACs (Proves d'Avaluació Contínua) que pertanyen a l'AC (Avaluació Contínua). Això significa que, dins del mòdul, cada estudiant pot seguir la seva pròpia planificació, sempre que respecti les dates anteriorment esmentades.

Les activitats d'avaluació (PACs) s'hauran d'enviar al consultor en les dates indicades dins de la planificació, perquè aquest pugui anar valorant, juntament amb vosaltres, el vostre aprenentatge.

Aquestes activitats d'avaluació són obligatòries i s'hauran de realitzar de forma individual. És a dir, les entregues dels estudiants han de correspondre a un treball original elaborat pel propi estudiant de manera individual. En tota part de l'activitat en la que s'hagin utilitzat recursos externs cal fer referència a aquests recursos, incorporant les cites corresponents. Els dubtes existents s'aniran compartint, treballant i comentant entre tots els espais compartits (segons la dinàmica proposada pel consultor en cada moment).

Un aspecte important és el fet de treballar de forma contínua, la qual cosa us permetrà assimilar els continguts del curs i els seus objectius. Acumular les tasques per al final provoca que no es gaudeixi del que s'està aprenent a més de no aprofundir en les reflexions que s'estiguin realitzant. És molt important el treball cooperatiu ja que és enriquidor per a tot aquell que participa, però per això es necessita un mínim de sincronia temporal.

Com a conclusió final i fidels a la metodologia que proposem, vosaltres com a estudiants sou el centre del procés d'aprenentatge. Construireu el coneixement de forma significativa, interactuant activament amb els vostres iguals, amb el consultor, amb els materials, amb el nou entorn. En aquest curs, no només aneu a aprendre sobre la formació virtual sinó que també aneu a viure-la, dia a dia, intensament, des de la pròpia experiència.

Amunt

El procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat dels exercicis realitzats.

La manca d'autenticitat en l'autoria o d'originalitat de les proves d'avaluació; la còpia o el plagi; l'intent fraudulent d'obtenir un resultat acadèmic millor; la col·laboració, l'encobriment o l'afavoriment de la còpia, o la utilització de material o dispositius no autoritzats durant l'avaluació, entre d'altres, són conductes irregulars que poden tenir conseqüències acadèmiques i disciplinàries greus.

D'una banda, si es detecta alguna d'aquestes conductes irregulars, pot comportar el suspens (D/0) en les activitats avaluables que es defineixin en el pla docent –incloses les proves finals– o en la qualificació final de l'assignatura, sigui perquè s'han utilitzat materials o dispositius no autoritzats durant les proves, com ara xarxes socials o cercadors d'informació a internet, perquè s'han copiat fragments de text d'una font externa (internet, apunts, llibres, articles, treballs o proves d'altres estudiants, etc.) sense la citació corresponent, o perquè s'ha practicat qualsevol altra conducta irregular.

De l'altra, i d'acord amb les normatives acadèmiques, les conductes irregulars en l'avaluació, a més de comportar el suspens de l'assignatura, poden donar lloc a la incoació d'un procediment disciplinari i a l'aplicació, si escau, de la sanció que correspongui.

Amunt

Aquesta assignatura només es pot superar a partir de l'avaluació contínua (AC). La nota final d'avaluació contínua esdevé la nota final de l'assignatura. La fórmula d'acreditació de l'assignatura és la següent: AC.


Ponderació de les qualificacions

Opció per superar l'assignatura: AC

Nota final d'assignatura: AC

Amunt

L'assignatura Sistemes de Gestió de la Seguretat de la Informació no pressuposa coneixements previs sobre seguretat. Proporciona una visió global de la mateixa afegint complexitat a mesura que s'avança en el seu estudi, i per això el model que millor s'ajusta per al seu aprenentatge és l'avaluació contínua (AC), la qual és obligatòria i consta d'un conjunt de PACs repartides al llarg del curs. Així doncs, fem diverses proves al llarg del curs per valorar l'adquisició de coneixements per part de l'estudiant.

L'avaluació del curs es realitzarà a partir de:

El vostre seguiment i participació en totes les activitats del curs

El coneixement es construeix dia a dia i conjuntament en els espais compartits de l'aula. D'aquí la importància del seguiment i participació continuada en totes les activitats proposades durant el curs (exercicis d'auto-avaluació i activitats d'avaluació)

Les activitats d'avaluació (4 PACs)

Les activitats d'avaluació (PACs) són de lliurament obligatori i individual al consultor. El consultor les avaluarà i posteriorment penjarà una possible solució a aquesta activitat la qual es podrà debatre en els espais compartits.

L'avaluació de cada PAC es podrà consultar en l'espai d'avaluació assignat.

Dins de la qualificació final es poden tenir en compte aportacions, intervencions en espais de debat o qualsevol altre criteri que estableixi el consultor i que consideri oportú per valorar el nivell d'aprenentatge dels estudiants.

La qualificació final de l'avaluació continuada es calcularà en base als pesos de cadascuna de les PACs, segons es descriu a continuació:

  • PAC1:  25%
  • PAC2:  25%
  • PAC3:  25%
  • PAC4:  25%

El correcte seguiment de l'assignatura compromet l'estudiant a la realització de les PACs proposades segons les indicacions pautades en aquest Pla Docent o Guia d'aprenentatge, de forma individual. Com s'ha comentat anteriorment, les entregues dels estudiants han de correspondre a un treball original elaborat pel propi estudiant de manera individual. En tota part de l'activitat en la que s'hagin utilitzat recursos externs cal fer referència a aquests recursos, incorporant les cites corresponents. En aquest sentit és important tenir en compte dues qüestions:

  • Si el consultor identifica que les activitats no són originals o no s'han realitzat de forma individual, tots els alumnes implicats en la còpia tindran una D com a nota final de l'avaluació continuada (és a dir, tant el que copia com el que es deixa copiar).
  • Totes les col·laboracions entre alumnes s'han de realitzar a través del Fòrum. Això permetrà al consultor, en cas de treballs similars, entendre si és fruit d'una discussió compartida en el Fòrum, o bé, s'ha produït efectivament una còpia de les activitats.

NOTA IMPORTANT:

Tal i com ja s'ha comentat, totes les PACs són obligatòries i s'hauran de lliurar en els terminis establerts.

Quan una PAC no es lliuri dins dels terminis marcats en el calendari de l'assignatura, s'acceptarà el lliurament de la solució sempre que es produeixi abans de la publicació de la solució per part del consultor, la qual cosa tindrà lloc aproximadament una setmana després de la data de lliurament de PAC marcada en el calendari.

En cas que la PAC es lliuri tard, però abans de la data de publicació de la solució, la nota obtinguda serà penalitzada a criteri del docent.

Atès que el model d'aprenentatge de l'assignatura es basa en l'avaluació contínua, en cas de no poder lliurar una PAC en la data marcada al calendari, s'haurà d'avisar al docent amb anterioritat, aportant una justificació clara dels motius pels quals no es pot lliurar. Aquesta justificació s'haurà de basar en causes excepcionals que el docent haurà de considerar suficients. No s'acceptaran justificacions basades en una mala planificació del treball de l'alumne.

Amunt

Aquells estudiants que no hagin superat l'Avaluació Continuada a través del conjunt de 4 PACs anteriors podran realitzar la PAC de recuperació (Exàmen Virtual).

En aquesta PAC, es posaran en pràctica tots els coneixements tractats a l'assignatura, amb independència de les PACs que cada estudiant hagi pogut aprovar amb anterioritat.

En la correcció de la darrera PAC de l'assignatura, la PAC 4, el docent us indicarà si heu superat l'Avaluació Continuada i, en cas de no ser així, haureu de realitzar aquesta PAC de recuperació per poder aprovar. La nota final de l'assignatura serà la nota obtinguda en aquesta PAC de recuperació.

Aquesta PAC de recuperació no podrà utilitzar-se per pujar nota a aquells estudiants que hagin aprovat l'Avaluació Continuada.

Amunt

Tal i com s'ha indicat en la metodologia de l'assignatura, el consultor us guiarà i orientarà a través del Tauler de l'aula per a què pugueu fer un bon seguiment de l'assignatura. També respondrà els dubtes que vagin sortint en el Fòrum de l'aula així com les consultes i comentaris enviats a la seva bústia personal.

El consultor també farà un seguiment personalitzat de l'avaluació contínua, revisarà totes les PAC i pràctiques lliurades i  comentarà de forma qualitativa a nivell grupal i/o individual la resolució. Aquests comentaris us ajudaran a progressar en el vostre aprenentatge i adquirir el conjunt de les competències.

Amunt