Gestión de Riesgos en Sistemas de Información
(Curso Académico 2019 - 2020)

Mostrar Todo Ocultar Todo

• C47 - Capacidad para determinar los requisitos de los sistemas de información y comunicación de una organización atendiendo a aspectos de seguridad y cumplimiento de la normativa y la legislación vigente.
• C50 - Capacidad para comprender y aplicar los principios de la evaluación de riesgos y aplicarlos correctamente en la elaboración y ejecución de planes de actuación.

• CG7 - Capacidad para conocer, comprender y aplicar la legislación necesaria durante el desarrollo de la profesión de Ingeniero Técnico en Informática y manejar especificaciones, reglamentos y normas de obligado cumplimiento.
• CG10 - Conocimientos para la realización de mediciones, cálculos, valoraciones, tasaciones, peritaciones, estudios, informes, planificación de tareas y otros trabajos análogos de informática, de acuerdo con los conocimientos adquiridos según lo establecido en el apartado 5 de este anexo.
• CG12 - Conocimiento y aplicación de elementos básicos de economía y de gestión de recursos humanos, organización y planificación de proyectos, así como la legislación, regulación y normalización en el ámbito de los proyectos informáticos, de acuerdo con los conocimientos adquiridos según lo establecido en el apartado 5 de este anexo.

• T1 - Capacidad de actuar autónomamente.
• T2 - Tener iniciativa y ser resolutivo.
• T3 - Tener iniciativa para aportar y/o evaluar soluciones alternativas o novedosas a los problemas, demostrando flexibilidad y profesionalidad a la hora de considerar distintos criterios de evaluación.
• T5 - Considerar el contexto económico y social en las soluciones de ingeniería, siendo consciente de la diversidad y la multiculturalidad, y garantizando la sostenibilidad y el respeto a los derechos humanos.
• T7 - Capacidad de comunicación efectiva (en expresión y comprensión) oral y escrita, con especial énfasis en la redacción de documentación técnica.
• T8 - Capacidad de comunicación efectiva con el usuario en un lenguaje no técnico y de comprender sus necesidades.
• T9 - Capacidad para argumentar y justificar lógicamente las decisiones tomadas y las opiniones.
• T12 - Capacidad de relación interpersonal.
• T13 - Capacidad para encontrar, relacionar y estructurar información proveniente de diversas fuentes y de integrar ideas y conocimientos.
• T15 - Capacidad de tomar decisiones basadas en criterios objetivos (datos experimentales, científicos o de simulación disponibles).
• T18 - Tener motivación por la calidad y la mejora continua y actuar con rigor en el desarrollo profesional.
• T19 - Capacidad de adaptación a los cambios organizativos o tecnológicos.
• T20 - Capacidad de trabajar en situaciones de falta de información y/o con restricciones temporales y/o de recursos.
• T21 - Capacidad para el razonamiento crítico, lógico y matemático.
• T23 - Capacidad de abstracción: capacidad de crear y utilizar modelos que reflejen situaciones reales.
• T24 - Capacidad de diseñar y realizar experimentos sencillos y analizar e interpretar sus resultados.
• T25 - Capacidad de análisis, síntesis y evaluación.

• E1 - Capacidad para analizar los riesgos de un sistema de información o de un proyecto de tecnologías de la información.
• E2 - Capacidad para gestionar los riesgos de la información.
• E3 - Conocimiento y aplicación de herramientas para el análisis y la gestión de riesgos de la información.
• E4 - Conocimiento de las normas, marcos de referencia y buenas prácticas para la gestión de riesgos de la información.
• E5 - Capacidad para desarrollar planes de continuidad de un negocio.

Dagoberto Castellanos Nieves y Julio Brito Santana
Módulo I: Introducción a la gestión de riesgos.
1. Conceptos básicos sobre riesgos
2. Introducción a la gestión de riesgos
3. Los sistemas de gestión de riesgos y los objetivos del negocio
Módulo II: Estrategia de administración de riesgos
4. Estrategia de administración de riesgos
5. Comunicación y sensibilización
6. Programa de administración de riesgos
7. Roles y responsabilidades
Módulo III: Buenas prácticas
8. Metodologías, normas y marcos de gestión de riesgos
9. La gestión de riesgos y la seguridad de la información
10. Auditoría de los sistemas de gestión de riesgos
Módulo IV: Planificación de la administración de riesgos
11. Estudio de oportunidad
12. Determinación del alcance del proyecto
13. Planificación del proyecto y lanzamiento del proyecto
Módulo V: Análisis de riesgos
14. Identificación y evaluación de riesgos
15. Caracterización de los activos y las amenazas
16. Valoración de las vulnerabilidades e impactos
Módulo VI: Controles y contramedidas
17. Métodos de control
18. Medidas de control
19. Valoración de riesgo residual
Módulo VII: Objetivos de tiempo de recuperación
20. Planes de contingencia
21. Planes de recuperación del negocio

La documentación de la mayoría de metodologías de Análisis y Gestión de Riesgos (CRAMM, OCTAVE, etc.) se encuentran disponible exclusivamente en inglés. Los alumnos tendrán que analizar y asimilar dicha documentación. Se desarrollarán sesiones de trabajo interactivas y presenciales en las que tengan que utilizar estos recursos.
Se incluirá también la visualización de material multimedia relacionado con la asignatura con el objetivo de que los alumnos se familiaricen con la aplicación práctica de estas metodologías en distintas empresas. La mayoría de este material está disponible en inglés.

En cumplimiento del porcentaje establecido (5%), se exigirá que un 10% de las presentaciones orales de proyectos (evaluadas en un 50% de la nota final) se realicen en inglés.

Las metodologías de Análisis y Gestión de Riesgos se aplican siempre por parte de un equipo de trabajo con un reparto de roles concreto. Por este motivo gran parte de la carga práctica de la asignatura se corresponden con tareas grupales en las que se analizarán supuestos prácticos concretos. Con ello se espera fomentar el trabajo en equipo.

Otras actividades prácticas serán desarrolladas individualmente por el alumno fomentando el trabajo autónomo y la utilización de fuentes de información técnica diversa. Algunas de estas actividades se realizarán virtualmente.

Actividades formativas	Horas presenciales	Horas de trabajo autónomo	Total horas	Relación con competencias
Clases teóricas	18,00	0,00	18,0	[E5], [E4], [E3], [E2], [E1], [T25], [T24], [T23], [T21], [T20], [T19], [T18], [T15], [T13], [T12], [T9], [T8], [T7], [T5], [T3], [T2], [T1], [CG12], [CG10], [CG7], [C50], [C47]
Clases prácticas (aula / sala de demostraciones / prácticas laboratorio)	17,00	0,00	17,0	[T25], [T24], [T20], [T9], [T2]
Realización de seminarios u otras actividades complementarias	11,00	7,00	18,0	[T2]
Realización de trabajos (individual/grupal)	5,00	25,00	30,0	[E5], [E4], [E3], [E2], [E1], [T25], [T24], [T23], [T21], [T20], [T19], [T18], [T15], [T13], [T12], [T9], [T8], [T7], [T5], [T3], [T2], [T1], [CG12], [CG10], [CG7], [C50], [C47]
Estudio/preparación de clases teóricas	0,00	10,00	10,0	[E5], [E4], [E3], [E2], [T25], [T13], [T2], [T1], [C50], [C47]
Estudio/preparación de clases prácticas	0,00	0,00	0,0	[C50], [C47]
Preparación de exámenes	0,00	0,00	0,0	[C50], [C47]
Realización de exámenes	3,00	0,00	3,0	[E5], [E4], [E3], [E2], [T25], [T13], [T2], [T1], [C50], [C47]
Asistencia a tutorías	6,00	0,00	6,0	[T25], [T21]
Estudio autónomo individual o en grupo	0,00	48,00	48,0	[E5], [E4], [E3], [E2], [E1], [T25], [T24], [T23], [T21], [T20], [T19], [T18], [T15], [T13], [T12], [T9], [T8], [T7], [T5], [T3], [T2], [T1], [CG12], [CG10], [CG7], [C50], [C47]
Total horas
Total ECTS

Gibson, Darril, Managing risk in information systems, Jones & Bartlett Learning, 2011, ISBN: 9780763791872
 

McCumber, John, Assessing and managing security risk in IT systems, Auerbach Publications, 2005, ISBN:0849322324

Metodología MAGERIT: Libro I: Método Libro II: Catálogo de Elementos Libro III: Guía de Técnicas, https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/
 

Metodología OCTAVE: http://www.cert.org/octave/octaves.html

Herramienta PILAR: https://www.ccn-cert.cni.es/publico/herramientas/pilar5/tools/index.html

La Evaluación de la asignatura se rige por el Reglamento de Evaluación y Calificación de la Universidad de La Laguna (BOC de 19 de enero de 2016), o el que la Universidad tenga vigente, además de por lo establecido en la Memoria de Verificación inicial o posteriores modificaciones.

La evaluación se desarrolla de manera continua durante todo el semestre a través de diferentes actividades descritas a continuación.

1.- Ejercicios prácticos donde se realizarán tareas reales y/o simuladas en las que se apliquen los conceptos y técnicas introducidos en las clases magistrales.
2.- Prácticas individuales que se realizarán en los laboratorios frente al ordenador.
3.- Pruebas de respuesta corta para la valoración de tareas del laboratorio.
4.-Trabajos en grupo para desarrollar proyectos de Análisis y Gestión de Riesgos para diferentes supuestos.
5.- Presentación y defensa de los proyectos realizados.

Los enunciados de las prácticas y trabajos y sus respectivas fechas de entrega se publicarán durante el curso. Se comunicarán las fechas de defensa de los trabajos a través del campus virtual. Será obligatoria la asistencia a clases y la participación en los seminarios, así como en las tutorías programadas.

En cada convocatoria oficial se permitirá a los alumnos que no hayan superado las actividades o no hayan podido realizarlas, presentarse a la evaluación, que se llevará a cabo mediante la entrega y valoración de una memoria de trabajo sobre un caso práctico de acuerdo a los contenidos y metodologías de la asignatura. Además deberá mantener una entrevista con el profesor en la cual expondrá el trabajo y responderá a preguntas sobre el mismo en el que se evaluará las competencias a alcanzar.

La Calificación Final (CF) de la asignatura en un período de evaluación se obtiene a partir de una Calificación de Trabajos y proyectos (CTP), una Calificación de Informes de Prácticas (CIP) y una Calificación de Prácticas de Laboratorio (CPL).

1. CTP – Calificación de Proyectos [valor numérico entre 0 y 10]. Esta nota se obtiene de los proyectos (y su defensa) realizados por los grupos de trabajo formados para tal fin.
2. CIP – Calificación de Prácticas (Informes) [valor numérico entre 0 y 10]. Esta nota se obtiene de la media de las calificaciones de los informes las prácticas de laboratorio.
3. CPL – Calificación de actividades prácticas en el laboratorio [valor numérico entre 0 y 10]. Esta nota se obtiene de la media de las calificaciones de
a) Ejercicios prácticos donde se realizarán tareas reales y/o simuladas en las que se apliquen los conceptos y técnicas introducidos en las clases magistrales.
b) Prácticas individuales que se realizarán en los laboratorios frente al ordenador.
c) Pruebas de respuesta corta para la valoración de tareas del laboratorio.

En ningún caso las notas (CTP, CIP, CPL) se guardarán de un curso a otro. Así pues, la Calificación Final (CF) de un periodo de evaluación será:
CF = 50% CTP + 30% CIP + 20% CPL si CTP>=5 , CIP>=5 y CPL>=5,
CF = máximo { 50%CTP, 30%CIP, 20%CPL }, si CTP< 5 o CIP< 5 o CPL< 5
Será obligatorio obtener al menos un 5 en cada uno de los apartados de evaluación para superar la asignatura.

En caso de que el alumno no supere la evaluación continua de algunos de los bloques teóricos y/o prácticos, el alumno podrá presentarse a las convocatorias de examen fijado según convocatoria oficial de la Escuela Superior de Ingeniería y Tecnología para esta asignatura, para superar el y/o los bloque/s teóricos y/o prácticos no aprobado mediante evaluación continua. En cada una de las convocatorias, en caso de superar todos los bloques pendientes con una nota mínima de 5 por bloque, se calificará la asignatura con la nota resultante de la evaluación continua y la nota obtenida en el examen, según la ponderación descrita más arriba. En caso, de no superar todos los bloques pendientes en el examen, la nota obtenida en la convocatoria corresponderá con la nota del bloque suspendido.

Tipo de prueba	Competencias	Criterios	Ponderación
Trabajos y proyectos	[E5], [E4], [E3], [E2], [E1], [T25], [T24], [T23], [T21], [T20], [T19], [T18], [T15], [T13], [T12], [T9], [T8], [T7], [T5], [T3], [T2], [T1], [CG12], [CG10], [CG7], [C50], [C47]	* Nivel de conocimientos adquiridos * Adecuación a lo solicitado * Calidad de la defensa y exposición * Calidad del material preparado	50,00 %
Informes memorias de prácticas	[E5], [E4], [E3], [E2], [E1], [T25], [T24], [T23], [T21], [T20], [T19], [T18], [T15], [T13], [T12], [T9], [T8], [T7], [T5], [T3], [T2], [T1], [CG12], [CG10], [CG7], [C50], [C47]	* Nivel de conocimientos adquiridos * Adecuación a lo solicitado * Calidad del trabajo realizado	30,00 %
Valoración de las actividades prácticas en el laboratorio	[E5], [E4], [E3], [E2], [E1], [T25], [T24], [T23], [T21], [T20], [T19], [T18], [T15], [T13], [T12], [T9], [T8], [T7], [T5], [T3], [T2], [T1], [CG12], [CG10], [CG7], [C50], [C47]	* Nivel de conocimientos adquiridos * Adecuación a lo solicitado * Calidad del trabajo realizado	20,00 %

En el cronograma adjunto se especifican las actividades semanales a desarrollar. Fundamentalmente son: clases magistrales, realización de prácticas de laboratorio, actividades complementarias (seminarios, exposiciones orales, etc). La asignatura cuenta con 4 horas presenciales semanales.

La distribución de las actividades por semana es orientativa, puede sufrir cambios según las necesidades de la organización docente.

Semana	Temas	Actividades de enseñanza aprendizaje	Horas de trabajo presencial	Horas de trabajo autónomo	Total
Semana 1:	Tema 1	Explicar el tema 1 (Conceptos básicos sobre riesgos) Tarea 1: Realización cuestionario “ Conceptos Básicos. Ideas previas”	2.00	3.00	5.00
Semana 2:	Temas 2 y 3	Explicar el tema 2 (Introducción a la gestión de riesgos) y tema 3 (Los sistemas de gestión de riesgos y los objetivos del negocio). Introducir la documentación relacionada con los informes de prácticas y las actas de sesión. Enunciar Tarea 2: Comienzo del informe de oportunidad. Realización de ejercicios	4.00	2.00	6.00
Semana 3:	Temas 4 y 5	Explicar el tema 4 ( Estrategia de administración de riesgos) y 5 (Comunicación y sensibilización). Tarea 3: Manejo de catálogos para el desarrollo de Análisis de riesgos básico.	4.00	6.00	10.00
Semana 4:	Temas 6 y 7	Explicar el tema 6 (Programa de administración de riesgos) y 7 (Roles y responsabilidades). Formar los equipos de trabajo y realizar el reparto de roles dentro del equipo. Finalización y entrega de la tarea 2 Realización de ejercicios	4.00	5.00	9.00
Semana 5:	Tema 8	Explicar primera parte del tema 8 (Metodologías, normas y marcos de gestión de riesgos) Tarea 3: Asignación de las principales normas y marcos a los grupos de trabajo para su análisis y exposición.	4.00	4.00	8.00
Semana 6:	Tema 8	Explicar segunda parte del tema 8 (Metodologías, normas y marcos de gestión de riesgos) Desarrollo tarea 3	4.00	6.00	10.00
Semana 7:	Tema 9	Explicar el tema 9 (La gestión de riesgos y la seguridad de la información). Desarrollo tarea 3	4.00	6.00	10.00
Semana 8:	Tema 10	Explicar el tema 10 (Auditoría de los sistemas de gestión de riesgos) Entregar la tarea 3	4.00	5.00	9.00
Semana 9:	Temas 11 y 12	Explicar el tema 11 (Estudio de oportunidad) y tema 12 (Determinación del alcance del proyecto) Tarea 4: Introducción a la herramienta Micropilar.	4.00	6.00	10.00
Semana 10:	Temas 13 y 14	Explicar los temas 13 (Planificación del proyecto y lanzamiento) y 14 (Identificación y evaluación de riesgos) Finalización tarea 4: Realización del informe de esta práctica y entrega.	4.00	5.00	9.00
Semana 11:	Tema 15	Explicar el tema 15 (Caracterización de los activos y las amenazas) Tarea 5: Introducción a la herramienta Pilar	4.00	6.00	10.00
Semana 12:	Tema 16	Explicar el tema 16 Valoración de las vulnerabilidades e impactos Continuación tarea 5: Realización del informe de esta práctica.	4.00	6.00	10.00
Semana 13:	Tema 17 y 18	Explicar el tema 17 (Métodos de control) y el 18 (Medidas de control) Continuación tarea 5: Inclusión de distintos perfiles de seguridad	4.00	5.00	9.00
Semana 14:	Tema 19	Explicar el tema 19 (Valoración del riesgo residual) Finalización tarea 5: Entrega del informe	4.00	6.00	10.00
Semana 15:	Temas 20 y 21	Explicar el tema 20 (Planes de contingencia) y tema 21 (Planes de recuperación de negocio)	4.00	4.00	8.00
Semana 16 a 18:	Evaluación	Preparación y realización de las pruebas evaluativas (presentación del proyecto, examen (en su caso)	2.00	15.00	17.00
Total			60.00	90.00	150.00