Sistemes de gestió de seguretat de la informació Codi:  M1.207    :  6
Consulta de les dades generals   Descripció   L'assignatura en el conjunt del pla d'estudis   Camps professionals en què es projecta   Coneixements previs   Informació prèvia a la matrícula   Objectius i competències   Continguts   Consulta dels recursos d'aprenentatge de la UOC per a l'assignatura   Informació addicional sobre els recursos d'aprenentatge i eines de suport   Informacions sobre l'avaluació a la UOC   Consulta del model d'avaluació  
Aquest és el pla docent de l'assignatura per al segon semestre del curs 2023-2024. Podeu consultar si l'assignatura s'ofereix aquest semestre a l'espai del campus Més UOC / La universitat / Plans d'estudis). Un cop comenci la docència, heu de consultar-lo a l'aula. El pla docent pot estar subjecte a canvis.

Aquest curs de Sistemes de Gestió de la Seguretat de la Informació pretén canviar o ajudar a canviar la concepció àmpliament estesa del més important en relació a la seguretat: la protecció dels equips informàtics. En realitat, el que és important assegurar és la seguretat de la informació.

Des d'aquest punt de vista, s'ha d'analitzar el que es pretén assegurar quan es parla de la seguretat de la informació, i s'han de tenir en compte les tres propietats fonamentals, com són:

  • Confidencialitat de la informació
  • Integritat de la informació
  • Disponibilitat de la Informació

Durant tot aquest curs es donaran els fonaments o els aspectes a considerar quan es pretengui assegurar aquesta informació davant les possibles amenaces que poguessin afectar-la.

Cal tenir present que la seguretat total mai s'aconseguirà, pel que en aquest curs no s'indicaran els consells per evitar qualsevol tipus d'incident, sinó que es parlarà dels denominats Sistemes de Gestió de la Seguretat de la Informació (SGSI). Com el seu nom indica, els SGSI tracten d'oferir una seguretat apropiada a les informacions gestionades per les entitats. Sobretot, però, la implantació d'un SGSI implica que les organitzacions mantinguin, revisin, actualitzin i controlin tot el referent a la seguretat; en poques paraules, que gestionin correctament la seguretat que hagin implantat.

Respecte a la seguretat de la informació i, concretament, a la gestió de la mateixa, existeixen diferents normatives, i entre elles s'explicarà àmpliament la que està tenint una major expansió en el sector de la seguretat, com és la família 27000 de les normes internacionals ISO, en concret, la ISO/IEC 27001 i la ISO/IEC 27002, amb la finalitat d'oferir una seguretat global.

De la mateixa forma, i tenint en compte que la seguretat total mai es podrà obtenir, és important comentar la necessitat de tenir previstos alguns mecanismes que permetin minimitzar l'impacte d'aquells incidents que no puguin arribar a evitar-se, amb la finalitat que l'activitat de l'organització no es pari. En aquest sentit, també es procedirà a l'explicació dels Plans de Continuïtat de Negoci.

Finalment, l'administració pública no és aliena en absolut a la necessitat de gestionar correctament la seguretat de la informació. Per això, en aquest curs es treballarà també tota regulació de l'Esquema Nacional de Seguretat, que és el que estableix i normalitza la seguretat de la informació a través d'una sèrie de normatives i polítiques en l'àmbit dels serveis públics que fan servir mitjans electrònics.

Amunt

L'assignatura Sistemes de Gestió de la Seguretat de la Informació forma part de dues titulacions:

  • En el Màster Universitari en Ciberseguretat i Privadesa, l'assignatura es troba dins de l'especialització de Gestió i Auditoria de la Seguretat.
  • En el Màster Universitari en Enginyeria Informàtica, l'assignatura es troba dins del mòdul de formació obligatòria de Tecnologies Informàtiques.

L'assignatura consta de 6 crèdits ECTS i en ella es treballen els aspectes més importants de la gestió de la seguretat de la informació, incloent el seu control, manteniment, revisió i actualització.

Amunt

La present assignatura es projecta sobre nombrosos camps professionals, entre els quals podem destacar els següents:

  •   Responsable de seguretat de la informació

  • Gestor/a de projectes de programari

  • Arquitecte/a i dissenyador/a de programari de sistemes

  • Programador/a de sistemes

  • Consultor/a de la gestió estratègica de la informació

  • Consultor/a de la gestió de la informació

  • Especialista en recuperació de catàstrofes

  • Enginyer/a d'integració, proves i implantació

  • Integrador/a de sistemes

  • Director/a de projectes TIC

  • Director/a de desenvolupament

Amunt

La present assignatura no pressuposa coneixements previs. No obstant, per a aquells estudiants que hagin de cursar complements de formació, es recomana haver cursat prèviament les següents assignatures:

En el cas d'estudiants del Màster Universitari en Ciberseguretat i Privadesa

  • Estructura de computadors
  • Seguretat en xarxes de computadors
  • Criptografia

En el cas d'estudiants del Màster Universitari en Enginyeria Informàtica

  • Estructura de computadors
  • Sistemes operatius
  • Administració de xarxes i sistemes operatius

Amunt

La present assignatura no pressuposa coneixements previs. No obstant, per a aquells estudiants que hagin de cursar complements de formació, es recomana haver cursat prèviament les següents assignatures:

En el cas d'estudiants del Màster Universitari en Ciberseguretat i Privadesa

  • Estructura de computadors
  • Seguretat en xarxes de computadors
  • Criptografia

En el cas d'estudiants del Màster Universitari en Enginyeria Informàtica

  • Estructura de computadors
  • Sistemes operatius
  • Administració de xarxes i sistemes operatius

Amunt

Els objectius principals del curs són:

  • Conèixer la importància de la seguretat de la informació i les diferències amb el concepte de seguretat informàtica.
  • Conèixer quin és el procés correcte per protegir una organització.
  • Analitzar la importància de realitzar una anàlisi de riscos en les organitzacions.
  • Gestionar correctament els riscos d'una organització.
  • Coneixement dels objectius i utilitats de les normes de la família ISO 27000 i la legislació de l'ENS.
  • Conèixer la metodologia per a la gestió de la seguretat de la informació.
  • Importància dels Plans de Continuïtat de Negoci.

Mitjançant la consecució d'aquests objectius, la realització de la present assignatura contribueix a l'adquisició de les següents competències del Màster Universitari en Ciberseguretat i Privadesa:

  • Capacitat d'anàlisi i síntesi de la seguretat d'un sistema.
  • Capacitat per exercir l'activitat professional d'acord al codi ètic i els aspectes legals actuals a l'entorn de les TIC.
  • Capacitat de comunicació tant a públic especialitzat com no especialitzat de manera clara i sense ambigüitats.
  • Capacitat d'aprenentatge autònom consultant informació.
  • Coneixement d'eines i tendències tecnològiques del mercat de la seguretat informàtica.
  • Ús de l'anglès com a llengua vehicular en l'àmbit tecnològic
  • Capacitat per implantar un Sistema de Gestió de la Seguretat de la Informació seguint les fases del cicle de Deming.
  • Capacitat per elaborar un pla de seguretat, tenint en compte tot el procés d'inventari i classificació d'actius, estudi d'amenaces, anàlisis de riscos i definició del pla d'acció amb el pressupost associat per a l'aprovació de la direcció.
  • Capacitat per identificar i analitzar els processos crítics d'una organització, així com l'impacte que produiria la interrupció d'aquests processos.
  • Capacitat per desenvolupar un Pla de Continuïtat, conèixer les seves fases i el personal que ha d'implicar-se en el seu desenvolupament. Conèixer les normes i estàndards de referència relacionats amb la Continuïtat de Negoci

Pel que fa al Màster Universitari en Enginyeria Informàtica, la realització de la present assignatura contribueix a l'adquisició de les següents competències:

  • Capacitat per projectar, calcular i dissenyar productes, processos i instal·lacions en tots els àmbits de l'enginyeria informàtica.
  • Capacitat per comprendre i aplicar la responsabilitat ètica, la legislació i la deontologia professional de l'activitat de la professió d'Enginyer en Informàtica.
  • Capacitat per modelar, dissenyar, definir l'arquitectura, implantar, gestionar, operar, administrar i mantenir aplicacions, xarxes, sistemes, serveis i continguts informàtics.
  • Capacitat per assegurar, gestionar, auditar i certificar la qualitat dels desenvolupaments, processos, sistemes, serveis, aplicacions i productes informàtics.
  • Capacitat per dissenyar, desenvolupar, gestionar i avaluar mecanismes de certificació i garantia de seguretat en el tractament i accés a la informació en un sistema de processament local o distribuït.

Amunt

A continuació es detallen els continguts del programa agrupant-los en mòduls temàtics.

Introducció a la Seguretat de la Informació

  • Què és seguretat de la informació

  • Dimensions de la seguretat de la informació

  • Gestió de la seguretat de la informació

  • Normativa legal a Espanya

  • Estàndards de seguretat de la informació

  • Estat de la seguretat

  • Professionals de la seguretat de la informació

Anàlisi de riscos

  • Cicle de vida de la seguretat

  • Anàlisi de riscos

  • Anàlisi de riscos. Justificació i estudi

  • Metodologies

Implantació d'un SGSI

  • Què és un sistema de gestió de la seguretat de la informació

  • Normatives internacionalment reconegudes

  • La família ISO 27000

  • ISO/IEC 27002 - Codi de bones pràctiques per a la Gestió de la Seguretat de la Informació

  • Sistemes de gestió

  • Introducció al SGSI

  • Planificar: Establir el SGSI

  • Fer: Implantar i operar el SGSI

  • Verificar: Monitoritzar i revisar el SGSI

  • Actuar: Mantenir i millorar el SGSI

  • Esquema documental del SGSI

Desenvolupament d'alguns objectius de control del SGSI

  • Desenvolupament d'un marc normatiu de seguretat de la informació

  • Política de seguretat de la informació

  • Organització de la seguretat de la informació

  • Classificació de la informació

  • Eines per un SGSI

  • Factors crítics d'èxit en la implantació d'un SGSI

  • Certificació del SGSI

Plans de continuïtat de negoci

  • Plans de continuïtat de negoci

  • Pla de continuïtat de negoci versus pla de contingències

  • Pla de continuïtat de negoci

  • Estructura dels plans de continuïtat de negoci

Esquema Nacional de la Seguretat

  • Origen de l'ENS: normalització de la seguretat de la informació a l'administració pública
  • Objectiu i àmbit d'aplicació
  • Normativa ENS: RD 3/2010: Estructura i articulat
  • La política de seguretat a l'ENS
  • Requisits de l'ENS: organització, responsabilitats i funcions
  • Categorització dels sistemes d'informació
  • Anàlisi i Gestió de riscos a l'ENS
  • Elecció de mesures de seguretat
  • Tipus d'auditories a l'ENS
  • Diferències i similituds amb ISO / IEC 27001
  • La unió del RGPD amb l'ENS
  • Les guies 800 del Centre Criptològic Nacional

Amunt

Amunt

El material didàctic del curs es composa de diferents mòduls didàctics en format web y papel.

Amunt

A la UOC, l'avaluació generalment és virtual. S'estructura entorn de l'avaluació contínua, que inclou diferents activitats o reptes; l'avaluació final, que es porta a terme mitjançant proves o exàmens, i el treball final de la titulació.

Les activitats o proves d'avaluació poden ser escrites i/o audiovisuals, amb preguntes aleatòries, proves orals síncrones o asíncrones, etc., d'acord amb el que decideixi cada equip docent. Els treballs finals representen el tancament d'un procés formatiu que implica la realització d'un treball original i tutoritzat que té com a objectiu demostrar l'adquisició competencial feta al llarg del programa.

Per verificar la identitat de l'estudiant i l'autoria de les proves d'avaluació, la UOC es reserva la potestat d'aplicar diferents sistemes de reconeixement de la identitat i de detecció del plagi. Amb aquest objectiu, la UOC pot dur a terme enregistrament audiovisual o fer servir mètodes o tècniques de supervisió durant l'execució de qualsevol activitat acadèmica.

Així mateix, la UOC pot exigir a l'estudiant l'ús de dispositius electrònics (micròfons, càmeres o altres eines) o programari específic durant l'avaluació. És responsabilitat de l'estudiant assegurar que aquests dispositius funcionen correctament.

El procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat de les activitats acadèmiques. Al web sobre integritat acadèmica i plagi de la UOC hi ha més informació respecte d'aquesta qüestió.

La manca d'autenticitat en l'autoria o d'originalitat de les proves d'avaluació; la còpia o el plagi; la suplantació d'identitat; l'acceptació o l'obtenció de qualsevol activitat acadèmica a canvi d'una contraprestació o no; la col·laboració, l'encobriment o l'afavoriment de la còpia, o l'ús de material, programari o dispositius no autoritzats en el pla docent o l'enunciat de l'activitat acadèmica, inclosa la intel·ligència artificial i la traducció automàtica, entre altres, són conductes irregulars en l'avaluació que poden tenir conseqüències acadèmiques i disciplinàries greus.

Aquestes conductes irregulars poden comportar el suspens (D/0) en les activitats avaluables que es defineixin en el pla docent -incloses les proves finals- o en la qualificació final de l'assignatura, sigui perquè s'han utilitzat materials, programari o dispositius no autoritzats durant les proves (com l'ús d'intel·ligència artificial no permesa, xarxes socials o cercadors d'informació a internet), perquè s'han copiat fragments de text d'una font externa (internet, apunts, llibres, articles, treballs o proves d'altres estudiants, etc.) sense la citació corresponent, per la compravenda d'activitats acadèmiques, o perquè s'ha dut a terme qualsevol altra conducta irregular.

Així mateix, i d'acord amb la normativa acadèmica, les conductes irregulars en l'avaluació també poden donar lloc a la incoació d'un procediment disciplinari i a l'aplicació, si escau, de la sanció que correspongui, de conformitat amb el que estableix la normativa de convivència de la UOC.

En el marc del procés d'avaluació, la UOC es reserva la potestat de:

  • Sol·licitar a l'estudiant que acrediti la seva identitat segons el que estableix la normativa acadèmica.
  • Sol·licitar a l'estudiant que acrediti l'autoria del seu treball al llarg de tot el procés d'avaluació, tant en l'avaluació contínua com en l'avaluació final, per mitjà d'una entrevista oral síncrona, que pot ser objecte d'enregistrament audiovisual, o pels mitjans que estableixi la Universitat. Aquests mitjans tenen l'objectiu de verificar els coneixements i les competències que garanteixin la identitat de l'estudiant. Si no és possible garantir que l'estudiant és l'autor de la prova, aquesta pot ser qualificada amb una D, en el cas de l'avaluació contínua, o amb un suspens, en el cas de l'avaluació final.

Intel·ligència artificial en el marc de l'avaluació

La UOC reconeix el valor i el potencial de la intel·ligència artificial (IA) en l'àmbit educatiu, alhora que posa de manifest els riscos que comporta si no s'utilitza de manera ètica, crítica i responsable. En aquest sentit, en cada activitat d'avaluació s'informarà l'estudiantat sobre les eines i els recursos d'IA que es poden utilitzar i en quines condicions. Per la seva banda, l'estudiantat es compromet a seguir les indicacions de la UOC a l'hora de dur a terme les activitats d'avaluació i de citar les eines utilitzades i, concretament, a identificar els textos o les imatges generats per sistemes d'IA, els quals no podrà presentar com si fossin propis.

Amb relació a fer servir o no la IA per resoldre una activitat, l'enunciat de les activitats d'avaluació indica les limitacions en l'ús d'aquestes eines. Cal tenir en compte que fer-les servir de manera inadequada, com ara en activitats en què no estan permeses o no citar-les en les activitats en què sí que ho estan, es pot considerar una conducta irregular en l'avaluació. En cas de dubte, es recomana que, abans de lliurar l'activitat, es faci arribar una consulta al professorat col·laborador de l'aula.

Amunt

L'assignatura només es pot aprovar amb el seguiment i la superació de l'avaluació contínua (AC). La qualificació final de l'assignatura és la nota obtinguda a l'AC.
 

Amunt