Sistema de gestión de la seguridad Código:  M1.809    :  6
Consulta de los datos generales   Descripción   La asignatura en el conjunto del plan de estudios   Campos profesionales en el que se proyecta   Conocimientos previos   Información previa a la matrícula   Objetivos y competencias   Contenidos   Consulta de los recursos de aprendizaje de la UOC para la asignatura   Información adicional sobre los recursos de aprendizaje y herramientas de apoyo   Informaciones sobre la evaluación en la UOC   Consulta del modelo de evaluación  
Este es el plan docente de la asignatura para el primer semestre del curso 2024-2025. Podéis consultar si la asignatura se ofrece este semestre en el espacio del campus Más UOC / La universidad / Planes de estudios). Una vez empiece la docencia, tenéis que consultarlo en el aula. El plan docente puede estar sujeto a cambios.

Este curso de Sistemas de Gestión de la Seguridad de la Información pretende cambiar la concepción ampliamente extendida de lo más importante cuando se habla de seguridad: los equipos informáticos. En realidad, lo importante es asegurar la seguridad de la información.

Desde este punto de vista, se debe analizar lo que se pretende asegurar cuando se habla de seguridad de la información, y se tendrán en cuenta las tres propiedades fundamentales, como son:

  • Integridad de la información
  • Confidencialidad de la información
  • Disponibilidad de la información

Durante todo este curso se darán los fundamentos o los aspectos a considerar cuando se pretenda asegurar esta información ante las posibles amenazas que pudieran afectarla.

Hay que tener presente que la seguridad total nunca se conseguirá, por lo que en este curso no se indicarán los consejos para evitar cualquier tipo de incidente, sino que se hablará de los denominados Sistemas de Gestión de la Seguridad de la Información (SGSI). Como su nombre indica, estos tratan de ofrecer una seguridad apropiada a las informaciones manejadas por las entidades. Sobre todo, implantar un SGSI implica que las organizaciones mantengan, revisen, actualicen y controlen todo lo referente a la seguridad. En pocas palabras, que gestionen correctamente la seguridad que hayan implantado.

Respecto a la seguridad de la información y, concretamente, a la gestión de la misma, existen diferentes normativas, y entre ellas se explicará ampliamente la que está teniendo una mayor expansión en el sector de la seguridad, como es la familia 27000 de las normas internacionales ISO, en concreto, la ISO27001 y la ISO 27002, con el fin de ofrecer una seguridad global.

De la misma forma, y teniendo en cuenta que la seguridad total nunca se podrá obtener, es importante comentar la necesidad de tener previstos algunos mecanismos de seguridad que permitan minimizar el impacto de los incidentes que no puedan llegar a evitarse, con el fin de que la actividad de la organización no se pare. En este sentido, también se procederá a la explicación de los Planes de Continuidad de Negocio.

Por último, la Administración Pública no es ajena en absoluto a la necesidad de gestionar correctamente la seguridad de la información. Por ello, en este curso se trabajará también toda regulación del Esquema Nacional de Seguridad, que es el que establece y normaliza la seguridad de la información a través de una serie de normativas y políticas en el ámbito de los servicios públicos que emplean medios electrónicos.

Amunt

La asignatura Sistemas de Gestión de la Seguridad de la Información forma parte de dos titulaciones:

  • En el Máster Universitario en Ciberseguridad y Privacidad, la asignatura se encuentra dentro de la especialización de Gestión y Auditoría de la Seguridad.
  • En el Máster Universitario en Ingeniería Informática, la asignatura se encuentra dentro del módulo de formación obligatoria de Tecnologías Informáticas.

La asignatura consta de 6 créditos ECTS y en ella se trabajan los aspectos más importantes de la gestión de la seguridad de la información, incluyendo su control, mantenimiento, revisión y actualización.

Amunt

La presente asignatura se proyecta sobre numerosos campos profesionales, entre los cuales podemos destacar los siguientes:

  • Gestor/a de proyectos de software

  • Arquitecto/a y diseñador/a de software de sistemas

  • Programador/a de software de sistemas

  • Consultor/a de la gestión estratégica de la información

  • Consultor/a de la gestión de la información

  • Especialista en recuperación de catástrofes

  • Ingeniero/a de integración, pruebas e implantación

  • Integrador/a de sistemas

  • Director/a de proyectos TIC

  • Director/a de desarrollo

Amunt

La presente asignatura no presupone conocimientos previos. No obstante, para aquellos estudiantes que tengan que cursar complementos de formación, se recomienda haber cursado previamente las siguientes asignaturas:

En el caso de estudiantes del Máster Universitario en Ciberseguridad y Privacidad

  • Estructura de computadores
  • Seguridad en redes de computadores
  • Criptografía

En el caso de estudiantes del Máster Universitario en Ingeniería Informática

  • Estructura de computadores
  • Sistemas operativos
  • Administración de redes y sistemas operativos

Amunt

La presente asignatura no presupone conocimientos previos. No obstante, para aquellos estudiantes que tengan que cursar complementos de formación, se recomienda haber cursado previamente las siguientes asignaturas:

En el caso de estudiantes del Máster Universitario en Ciberseguridad y Privacidad

  • Estructura de computadores
  • Seguridad en redes de computadores
  • Criptografía

En el caso de estudiantes del Máster Universitario en Ingeniería Informática

  • Estructura de computadores
  • Sistemas operativos
  • Administración de redes y sistemas operativos

Amunt

Los objetivos principales del curso son:

  • Conocer la importancia de la seguridad de la información y diferencias con el concepto de seguridad informática.
  • Conocer cuál es el proceso correcto para proteger una organización.
  • Analizar la importancia de realizar análisis de riesgos en las organizaciones.
  • Gestionar correctamente los riesgos de una organización.
  • Conocimiento de los objetivos y utilidades de las normas ISO 27000 y la normativa del ENS.
  • Conocer la metodología para la gestión de la seguridad de la información.
  • Importancia de los Planes de Continuidad de Negocio.

Mediante la consecución de estos objetivos, la realización de la presente asignatura contribuye a la adquisición de las siguientes competencias del Máster Universitario en Ciberseguridad y Privacidad:

  • Capacidad de análisis y síntesis de la seguridad de un sistema.
  • Capacidad para ejercer la actividad profesional de acuerdo al código ético y a los aspectos legales actuales en el entorno de las TIC.
  • Capacidad de comunicación tanto a público especializado como no especializado de modo claro y sin ambigüedades.
  • Capacidad de aprendizaje autónomo consultando información.
  • Conocimiento de herramientas y tendencias tecnológicas del mercado de la seguridad informática.
  • Uso del inglés como lengua vehicular en el ámbito tecnológico
  • Capacidad para implantar un Sistema de Gestión de la Seguridad de la Información siguiendo las fases del ciclo de Deming.
  • Capacidad para elaborar un plan de seguridad, teniendo en cuento todo el proceso de inventario y clasificación de activos, estudio de amenazas, análisis de riesgos y definición del plan de acción con el presupuesto asociado para la aprobación de la dirección.
  • Capacidad para identificar y analizar los procesos críticos de una organización, así como el impacto que produciría la interrupción de estos procesos.
  • Capacidad para desarrollar un Plan de Continuidad, conocer sus fases y el personal que debe implicarse en su desarrollo. Conocer las normas y estándares de referencia relacionados con la Continuidad de Negocio

En cuanto al Máster Universitario en Ingeniería Informática, la realización de la presente asignatura contribuye a la adquisición de las siguientes competencias:

  • Capacidad para proyectar, calcular y diseñar productos, procesos e instalaciones en todos los ámbitos de la ingeniería informática.
  • Capacidad para comprender y aplicar la responsabilidad ética, la legislación y la deontología profesional de la actividad de la profesión de Ingeniero en Informática.
  • Capacidad para modelar, diseñar, definir la arquitectura, implantar, gestionar, operar, administrar y mantener aplicaciones, redes, sistemas, servicios y contenidos informáticos.
  • Capacidad para asegurar, gestionar, auditar y certificar la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y productos informáticos.
  • Capacidad para diseñar, desarrollar, gestionar y evaluar mecanismos de certificación y garantía de seguridad en el tratamiento y acceso a la información en un sistema de procesamiento local o distribuido.

Amunt

A continuación se detallan los contenidos del programa agrupándolos en módulos temáticos.

Introducción a la Seguridad de la Información

  • Qué es seguridad de la información

  • Dimensiones de la seguridad de la información

  • Gestión de la seguridad de la información

  • Normativa legal en España

  • Estándares de seguridad de la información

  • Estado de la seguridad

  • Profesionales de la seguridad de la información

Análisis de riesgos

  • Ciclo de vida de la seguridad

  • Análisis de riesgos

  • Análisis de riesgos. Justificación y estudio

  • Metodologías

Implantación de un SGSI

  • Qué es un sistema de gestión de la seguridad de la información

  • Normativas internacionalmente reconocidas

  • La familia ISO 27000

  • ISO/IEC 27002 - Código de buenas prácticas para la Gestión de la Seguridad de la Información

  • Sistemas de gestión

  • Introducción al SGSI

  • Planificar: Establecer el SGSI

  • Hacer: Implantar y operar el SGSI

  • Verificar: Monitorizar y revisar el SGSI

  • Actuar: Mantener y mejorar el SGSI

  • Esquema documental del SGSI

Desarrollo de algunos objetivos de control del SGSI

  • Desarrollo de un marco normativo de seguridad de la información

  • Política de seguridad de la información

  • Organización de la seguridad de la información

  • Clasificación de la información

  • Herramientas para un SGSI

  • Factores críticos de éxito en la implantación de un SGSI

  • Certificación del SGSI

Planes de continuidad de negocio

  • Planes de continuidad de negocio

  • Plan de continuidad de negocio versus plan de contingencias

  • Plan de continuidad de negocio

  • Estructura de los planes de continuidad de negocio

Esquema Nacional de Seguridad

  • Origen del ENS: normalización de la seguridad de la información en la administración pública
  • Objetivo y ámbito de aplicación
  • Normativa ENS: RD 3/2010: Estructura y articulado
  • La política de seguridad en el ENS
  • Requisitos del ENS: organización, responsabilidades y funciones
  • Categorización de los sistemas de información
  • Análisis y Gestión de riesgos en el ENS
  • Elección de medidas de seguridad
  • Tipos de auditorías en el ENS
  • Diferencias y similitudes con ISO/IEC 27001
  • La unión del RGPD con el ENS
  • Las guías 800 del Centro Criptológico Nacional

Amunt

Amunt

El material didàctic del curs es composa de diferents mòduls didàctics en format web i paper.

Amunt

En la UOC, la evaluación generalmente es virtual. Se estructura en torno a la evaluación continua, que incluye diferentes actividades o retos; la evaluación final, que se lleva a cabo mediante pruebas o exámenes, y el trabajo final de la titulación.

Las actividades o pruebas de evaluación pueden ser escritas y/o audiovisuales, con preguntas aleatorias, pruebas orales síncronas o asíncronas, etc., de acuerdo con lo que decida cada equipo docente. Los trabajos finales representan el cierre de un proceso formativo que implica la realización de un trabajo original y tutorizado que tiene como objetivo demostrar la adquisición competencial hecha a lo largo del programa.

Para verificar la identidad del estudiante y la autoría de las pruebas de evaluación, la UOC se reserva la potestad de aplicar diferentes sistemas de reconocimiento de la identidad y de detección del plagio. Con este objetivo, la UOC puede llevar a cabo grabación audiovisual o usar métodos o técnicas de supervisión durante la ejecución de cualquier actividad académica.

Asimismo, la UOC puede exigir al estudiante el uso de dispositivos electrónicos (micrófonos, cámaras u otras herramientas) o software específico durante la evaluación. Es responsabilidad del estudiante asegurar que estos dispositivos funcionan correctamente.

El proceso de evaluación se fundamenta en el trabajo personal del estudiante y presupone la autenticidad de la autoría y la originalidad de las actividades académicas. La web sobre integridad académica y plagio de la UOC contiene información al respecto.

La falta de autenticidad en la autoría o de originalidad de las pruebas de evaluación; la copia o el plagio; la suplantación de identidad; la aceptación o la obtención de cualquier actividad académica a cambio o no de una contraprestación; la colaboración, el encubrimiento o el favorecimiento de la copia, o el uso de material, software o dispositivos no autorizados en el plan docente o el enunciado de la actividad académica, incluida la inteligencia artificial y la traducción automática, entre otras, son conductas irregulares en la evaluación que pueden tener consecuencias académicas y disciplinarias graves.

Estas conductas irregulares pueden conllevar el suspenso (D/0) en las actividades evaluables definidas en el plan docente -incluidas las pruebas finales- o en la calificación final de la asignatura, ya sea porque se han utilizado materiales, software o dispositivos no autorizados durante las pruebas (como el uso de inteligencia artificial no permitida, redes sociales o buscadores de información en internet), porque se han copiado fragmentos de texto de una fuente externa (internet, apuntes, libros, artículos, trabajos o pruebas de otros estudiantes, etc.) sin la citación correspondiente, por la compraventa de actividades académicas, o porque se ha llevado a cabo cualquier otra conducta irregular.

Asimismo, y de acuerdo con la normativa académica, las conductas irregulares en la evaluación también pueden dar lugar a la incoación de un procedimiento disciplinario y a la aplicación, si procede, de la sanción que corresponda, de conformidad con lo establecido en la normativa de convivencia de la UOC.

En el marco del proceso de evaluación, la UOC se reserva la potestad de:

  • Solicitar al estudiante que acredite su identidad según lo establecido en la normativa académica.
  • Solicitar al estudiante que acredite la autoría de su trabajo a lo largo de todo el proceso de evaluación, tanto en la evaluación continua como en la evaluación final, a través de una entrevista oral síncrona, que puede ser objeto de grabación audiovisual, o por los medios establecidos por la UOC. Estos medios tienen el objetivo de verificar los conocimientos y las competencias que garanticen la identidad del estudiante. Si no es posible garantizar que el estudiante es el autor de la prueba, esta puede ser calificada con una D, en el caso de la evaluación continua, o con un suspenso, en el caso de la evaluación final.

Inteligencia artificial en el marco de la evaluación

La UOC reconoce el valor y el potencial de la inteligencia artificial (IA) en el ámbito educativo y, a su vez, pone de manifiesto los riesgos que supone si no se utiliza de forma ética, crítica y responsable. En este sentido, en cada actividad de evaluación se informará al estudiantado sobre las herramientas y los recursos de IA que se pueden utilizar y en qué condiciones. Por su parte, el estudiantado se compromete a seguir las indicaciones de la UOC a la hora de realizar las actividades de evaluación y de citar las herramientas utilizadas y, concretamente, a identificar los textos o imágenes generados por sistemas de IA, los cuales no podrá presentar como si fueran propios.

Respecto a usar o no la IA para resolver una actividad, el enunciado de las actividades de evaluación indica las limitaciones en el uso de estas herramientas. Debe tenerse en cuenta que usarlas de manera inadecuada, como por ejemplo en actividades en las que no están permitidas o no citarlas en las actividades en las que sí lo están, puede considerarse una conducta irregular en la evaluación. En caso de duda, se recomienda que, antes entregar la actividad, se haga llegar una consulta al profesorado colaborador del aula.

Amunt

La asignatura solo puede aprobarse con el seguimiento y la superación de la evaluación continua (EC). La calificación final de la asignatura es la nota obtenida en la EC.
 

Amunt