Gestión de Riesgos en Ingeniería del Software
(Curso Académico 2022 - 2023)
Mostrar Todo


Nota informativa: Atendiendo a la normativa de Protección de Datos y propiedad intelectual en la que se limita la publicación de imágenes de terceras personas sin su consentimiento, aquellos que difundan grabaciones de las sesiones de clase sin previo consentimiento de las personas implicadas, serán responsables ante la ley del uso prohibido de las citadas grabaciones.



1. Datos descriptivos de la asignatura
  • Código: 139263326
  • Centro: Escuela Superior de Ingeniería y Tecnología
  • Lugar de impartición: Escuela Superior de Ingeniería y Tecnología
  • Titulación: Grado en Ingeniería Informática
  • Plan de Estudios: 2010 (publicado en 21-03-2011)
  • Rama de conocimiento: Ingeniería y Arquitectura
  • Itinerario/Intensificación: Ingeniería del Software
  • Departamento/s:
  • Área/s de conocimiento:
    • Ciencia de la Computación e Inteligencia Artificial
    • Lenguajes y Sistemas Informáticos
  • Curso: 3
  • Carácter: Obligatoria
  • Duración: Segundo cuatrimestre
  • Créditos ECTS: 6,0
  • Modalidad de impartición: Presencial
  • Horario: Ver horario
  • Dirección web de la asignatura: Ver web de la asignatura
  • Idioma: Español e Inglés
2. Requisitos para cursar la asignatura
No existen requisitos para cursar la asignatura
3. Profesorado que imparte la asignatura

Profesor/a Coordinador/a: MARIA CANDELARIA HERNANDEZ GOYA

General:
Nombre:
MARIA CANDELARIA
Apellido:
HERNANDEZ GOYA
Departamento:
Ingeniería Informática y de Sistemas
Área de conocimiento:
Ciencia de la Computación e Inteligencia Artificial
Grupo:
Contacto:
Teléfono 1:
922 316 502 Ext 6827
Teléfono 2:
922 316 502 Ext 6827
Correo electrónico:
mchgoya@ull.es
Correo alternativo:
Tutorías primer cuatrimestre:
DesdeHastaDíaHora incialHora finalLocalizaciónPlantaDespacho
Todo el cuatrimestre Martes 10:00 12:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Todo el cuatrimestre Jueves 10:00 12:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Todo el cuatrimestre Miércoles 10:00 12:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Observaciones: Las modificaciones de este horario por causas sobrevenidas se comunicarán a través del campus virtual. Las tutorías de los jueves, de 10:00 a 12:00, serán en línea. Para llevar a cabo la tutoría en línea se hará uso del Google Meet https://meet.google.com/rii-asrj-dxt
Tutorías segundo cuatrimestre:
DesdeHastaDíaHora incialHora finalLocalizaciónPlantaDespacho
Todo el cuatrimestre Martes 12:00 14:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Todo el cuatrimestre Miércoles 12:00 14:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Todo el cuatrimestre Viernes 10:00 12:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Observaciones: Las modificaciones de este horario por causas sobrevenidas se comunicarán a través del campus virtual. Las tutorías de los viernes, de 10:00 a 12:00, serán en línea. Para llevar a cabo la tutoría en línea se hará uso del Google Meet https://meet.google.com/bfv-ajyu-xhe.
4. Contextualización de la asignatura en el plan de estudio
  • Bloque formativo al que pertenece la asignatura: Itinerario 3: Ingeniería del Software
  • Perfil profesional: Ingeniero Técnico en Informática
5. Competencias

Tecnología Específica / Itinerario: Ingeniería del Software

  • C29 - Capacidad de identificar, evaluar y gestionar los riesgos potenciales asociados que pudieran presentarse.

Competencias Generales

  • CG5 - Capacidad para concebir, desarrollar y mantener sistemas, servicios y aplicaciones informáticas empleando los métodos de la ingeniería del software como instrumento para el aseguramiento de su calidad, de acuerdo con los conocimientos adquiridos según lo establecido en el apartado 5 de este anexo.
  • CG7 - Capacidad para conocer, comprender y aplicar la legislación necesaria durante el desarrollo de la profesión de Ingeniero Técnico en Informática y manejar especificaciones, reglamentos y normas de obligado cumplimiento.
  • CG12 - Conocimiento y aplicación de elementos básicos de economía y de gestión de recursos humanos, organización y planificación de proyectos, así como la legislación, regulación y normalización en el ámbito de los proyectos informáticos, de acuerdo con los conocimientos adquiridos según lo establecido en el apartado 5 de este anexo.

Transversales

  • T1 - Capacidad de actuar autónomamente.
  • T2 - Tener iniciativa y ser resolutivo.
  • T3 - Tener iniciativa para aportar y/o evaluar soluciones alternativas o novedosas a los problemas, demostrando flexibilidad y profesionalidad a la hora de considerar distintos criterios de evaluación.
  • T5 - Considerar el contexto económico y social en las soluciones de ingeniería, siendo consciente de la diversidad y la multiculturalidad, y garantizando la sostenibilidad y el respeto a los derechos humanos.
  • T6 - Capacidad de comunicación efectiva en inglés.
  • T7 - Capacidad de comunicación efectiva (en expresión y comprensión) oral y escrita, con especial énfasis en la redacción de documentación técnica.
  • T8 - Capacidad de comunicación efectiva con el usuario en un lenguaje no técnico y de comprender sus necesidades.
  • T9 - Capacidad para argumentar y justificar lógicamente las decisiones tomadas y las opiniones.
  • T10 - Capacidad de integrarse rápidamente y trabajar eficientemente en equipos unidisciplinares y de colaborar en un entorno multidisciplinar.
  • T11 - Capacidad de trabajar en un contexto internacional.
  • T12 - Capacidad de relación interpersonal.
  • T13 - Capacidad para encontrar, relacionar y estructurar información proveniente de diversas fuentes y de integrar ideas y conocimientos.
  • T14 - Poseer las habilidades de aprendizaje necesarias para emprender estudios posteriores o mejorar su formación con un cierto grado de autonomía.
  • T15 - Capacidad de tomar decisiones basadas en criterios objetivos (datos experimentales, científicos o de simulación disponibles).
  • T16 - Capacidad de planificación y organización del trabajo personal.
  • T17 - Tener motivación por el logro profesional y para afrontar nuevos retos, así como una visión amplia de las posibilidades de la carrera profesional en el ámbito de la Ingeniería en Informática.
  • T18 - Tener motivación por la calidad y la mejora continua y actuar con rigor en el desarrollo profesional.
  • T19 - Capacidad de adaptación a los cambios organizativos o tecnológicos.
  • T20 - Capacidad de trabajar en situaciones de falta de información y/o con restricciones temporales y/o de recursos.
  • T21 - Capacidad para el razonamiento crítico, lógico y matemático.
  • T22 - Capacidad para resolver problemas dentro de su área de estudio.
  • T23 - Capacidad de abstracción: capacidad de crear y utilizar modelos que reflejen situaciones reales.
  • T24 - Capacidad de diseñar y realizar experimentos sencillos y analizar e interpretar sus resultados.
  • T25 - Capacidad de análisis, síntesis y evaluación.

Módulo Desarrollo y Mantenimiento del Software

  • E22 - Capacidad para analizar los riesgos de un sistema de información o de un proyecto de
  • E23 - Capacidad para gestionar los riesgos de la información.
  • E24 - Conocimiento de herramientas para el análisis y la gestión de riesgos de la información.
  • E25 - Conocimiento de las normas, marcos de referencia y buenas prácticas para la gestión de riesgos de la información.
6. Contenidos de la asignatura

Contenidos teóricos y prácticos de la asignatura

Módulo I: Introducción a la gestión de riesgos.
1. Conceptos básicos sobre riesgos
2. Introducción a la gestión de riesgos
3. Los sistemas de gestión de riesgos y los objetivos del negocio
Módulo II: Estrategia de administración de riesgos
4. Estrategia de administración de riesgos
5. Comunicación y sensibilización
6. Programa de administración de riesgos
7. Roles y responsabilidades
Módulo III: Buenas prácticas
8. Metodologías, normas y marcos de gestión de riesgos
9. La gestión de riesgos y la seguridad de la información
10. Auditoría de los sistemas de gestión de riesgos
Módulo IV: Planificación de la administración de riesgos
11. Estudio de oportunidad
12. Determinación del alcance del proyecto
13. Planificación del proyecto y lanzamiento del proyecto
Módulo V: Análisis de riesgos
14. Identificación y evaluación de riesgos
15. Caracterización de los activos y las amenazas
16. Valoración de las vulnerabilidades e impactos
Módulo VI: Controles y contramedidas
17. Métodos de control
18. Medidas de control
19. Valoración de riesgo residual
Módulo VII: Objetivos de tiempo de recuperación
20. Planes de contingencia
21. Planes de recuperación del negocio

Actividades a desarrollar en otro idioma

La documentación de la mayoría de metodologías de Análisis y Gestión de Riesgos (CRAMM, OCTAVE, etc.) se encuentran disponible exclusivamente en inglés. Los alumnos tendrán que analizar y asimilar dicha documentación. Se desarrollarán sesiones de trabajo interactivas y presenciales en las que tengan que utilizar estos recursos.
Se incluirá también la visualización de material multimedia relacionado con la asignatura con el objetivo de que los alumnos se familiaricen con la aplicación práctica de estas metodologías en distintas empresas. La mayoría de este material está disponible en inglés.
En cumplimiento del porcentaje establecido (5%), se exigirá que un 10% de las presentaciones orales se realicen en inglés.
7. Metodología y volumen de trabajo del estudiante

Modelo de Enseñanza Centrada en el Alumnado

Aplica las siguientes metodologías activas:

Descripción

Las metodologías de Análisis y Gestión de Riesgos se aplican siempre por parte de un equipo de trabajo con un reparto de roles concreto. Por este motivo gran parte de la carga práctica de la asignatura se corresponden con tareas grupales en las que se analizarán supuestos prácticos concretos. Con ello se espera fomentar el trabajo en equipo.

Otras actividades prácticas serán desarrolladas individualmente por el alumno fomentando el trabajo autónomo y la utilización de fuentes de información técnica diversa. 

Actividades formativas en créditos ECTS, su metodología de enseñanza-aprendizaje y su relación con las competencias que debe adquirir el estudiante

Actividades formativas Horas presenciales Horas de trabajo autónomo Total horas Relación con competencias
Clases teóricas 18,00 0,00 18,0 [E25], [E24], [E23], [E22], [T25], [T24], [T23], [T22], [T21], [T20], [T19], [T18], [T17], [T16], [T15], [T14], [T13], [T12], [T11], [T10], [T9], [T8], [T7], [T6], [T5], [T3], [T2], [T1], [CG12], [CG7], [CG5], [C29]
Clases prácticas (aula / sala de demostraciones / prácticas laboratorio) 15,00 0,00 15,0 [E25], [E24], [E23], [E22], [T25], [T24], [T20], [T9], [T2], [C29]
Realización de seminarios u otras actividades complementarias 11,00 0,00 11,0 [E25], [E24], [E23], [E22], [T2], [C29]
Realización de trabajos (individual/grupal) 11,00 30,00 41,0 [E25], [E24], [E23], [E22], [T25], [T24], [T23], [T22], [T21], [T20], [T19], [T18], [T17], [T16], [T15], [T14], [T13], [T12], [T11], [T10], [T9], [T8], [T7], [T6], [T5], [T3], [T2], [T1], [CG12], [CG7], [CG5], [C29]
Estudio/preparación de clases teóricas 0,00 25,00 25,0 [E25], [E24], [E23], [E22], [T25], [T24], [T23], [T22], [T21], [T20], [T19], [T18], [T17], [T16], [T15], [T14], [T13], [T12], [T11], [T10], [T9], [T8], [T7], [T6], [T5], [T3], [T2], [T1], [CG12], [CG7], [CG5], [C29]
Realización de exámenes 3,00 0,00 3,0 [T25], [T9], [C29]
Asistencia a tutorías 2,00 0,00 2,0 [T25], [T22]
Estudio autónomo individual o en grupo 0,00 35,00 35,0 [E25], [E24], [E23], [E22], [T25], [T24], [T23], [T22], [T21], [T20], [T19], [T18], [T17], [T16], [T15], [T14], [T13], [T12], [T11], [T10], [T9], [T8], [T7], [T6], [T5], [T3], [T2], [T1], [CG12], [CG7], [CG5], [C29]
Total horas
Total ECTS
8. Bibliografía / Recursos

Bibliografía básica

Gibson, Darril, Managing risk in information systems, Jones & Bartlett Learning, 2011, ISBN: 9780763791872

McCumber, John, Assessing and managing security risk in IT systems, Auerbach Publications, 2005, ISBN:0849322324

Bibliografía complementaria

Herramienta PILAR: https://www.ccn-cert.cni.es/publico/herramientas/pilar5/tools/index.html

Metodología MAGERIT: Libro I: Método Libro II: Catálogo de Elementos
Libro III: Guía de Técnicas,
https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/

Metodología OCTAVE: http://www.cert.org/octave/octaves.html

Otros recursos

9. Sistema de evaluación y calificación

Descripción

La Evaluación de la asignatura se rige por el Reglamento de Evaluación y Calificación (REC) de la Universidad de La Laguna (Boletín Oficial de la Universidad de La Laguna de 23 de junio de 2022), o el que la Universidad tenga vigente, además de por lo establecido en la Memoria de Verificación o Modificación vigente.

Se describen y enumeran a continuación las pruebas que componen la evaluación continua de la asignatura y la ponderación de las mismas de acuerdo con la Memoria de Verifica/Modifica para la titulación.
  1. CPL– Calificación de ejercicios prácticos y/o pruebas de respuesta corta [valor numérico entre 0 y 10]. Esta nota se obtiene de la media de las calificaciones de las actividades expuestas a continuación.
    1. Ejercicios prácticos donde se realizarán tareas reales y/o simuladas en las que se apliquen los conceptos y técnicas introducidos en las clases magistrales. (5%)
    2. Pruebas de respuesta corta para la valoración de tareas del laboratorio.(15%)
      1. Prueba correspondiente a los Módulos 1 y 2.
      2. Prueba correspondiente a los Módulos 3 y 4.
      3. Prueba correspondiente a los Módulos 5, 6 y 7.
  2. CEI – Calificación de Informes [valor numérico entre 0 y 10] (30%). Esta nota se obtiene de la media de las calificaciones de los informes de las prácticas de laboratorio. 
  3. CProy – Calificación de Proyectos [valor numérico entre 0 y 10] (50%). Esta nota se obtiene de los proyectos y su defensa. 
Así pues, la Calificación Final (CF) será: CF = 20% CPL+ 30% CEI + 50% CProy
En la aplicación de la evaluación continua, será obligatorio obtener al menos un 5 en cada uno de los aportados evaluables (CPL, CEI, CProy).

En relación con la evaluación continua, conforme al artículo 4.7 del REC “se entenderá agotada la convocatoria desde que el alumnado se presente, al menos, a las actividades cuya ponderación compute el 50 % de la evaluación continua, salvo en los casos recogidos en el artículo 5.5". Por lo tanto, una vez realizado cualquier conjunto de actividades cuya suma de ponderaciones alcance el 50% supone el agotamiento de la evaluación continua de la asignatura. Una vez agotada la evaluación continua, la calificación en el acta no podrá ser "No presentado". El porcentaje agotado en cada apartado será proporcional a las actividades que contemple la misma.

Las calificaciones obtenidas por el estudiante en los apartados CEI y CProy se mantendrán hasta la convocatoria de julio, siempre y cuando se supere la calificación de 5 en cada uno de estos apartados.

La evaluación única se llevará a cabo mediante:
  • Evaluación de contenidos prácticos: El alumnado entregará una memoria de trabajo sobre un caso práctico de acuerdo a los contenidos y metodologías de la asignatura. Además, deberá mantener una entrevista con el profesor en la cual expondrá el trabajo y responderá a preguntas sobre el mismo con las que se evaluarán las competencias a alcanzar. Ponderación: 40%
  • Evaluación de contenidos teóricos: El alumnado realizará un examen escrito sobre los contenidos de la asignatura. Ponderación: 60%
Para superar la asignatura en evaluación única, el alumno/a deberá aprobar cada apartado por separado, siendo la calificación final, en este caso, la suma ponderada de las calificaciones obtenidas. 

Estrategia Evaluativa

Tipo de prueba Competencias Criterios Ponderación
Trabajos y proyectos [E25], [E24], [E23], [E22], [T25], [T24], [T23], [T22], [T21], [T20], [T19], [T18], [T17], [T16], [T15], [T14], [T13], [T12], [T11], [T10], [T9], [T8], [T7], [T6], [T5], [T3], [T2], [T1], [CG12], [CG7], [CG5], [C29] * Nivel de conocimientos adquiridos
* Adecuación a lo solicitado
* Calidad de la defensa y exposición
* Calidad del material preparado
50,00 %
Informes memorias de prácticas [E25], [E24], [E23], [E22], [T25], [T24], [T23], [T22], [T21], [T20], [T19], [T18], [T17], [T16], [T15], [T14], [T13], [T12], [T11], [T10], [T9], [T8], [T7], [T6], [T5], [T3], [T2], [T1], [CG12], [CG7], [CG5], [C29] * Nivel de conocimientos adquiridos
* Adecuación a lo solicitado
* Calidad del trabajo realizado
30,00 %
Valoración de las actividades prácticas en el laboratorio [E25], [E24], [E23], [E22], [T25], [T24], [T23], [T22], [T21], [T20], [T19], [T18], [T17], [T16], [T15], [T14], [T13], [T12], [T11], [T10], [T9], [T8], [T7], [T6], [T5], [T3], [T2], [T1], [CG12], [CG7], [CG5], [C29] * Nivel de conocimientos adquiridos
* Adecuación a lo solicitado
* Calidad del trabajo realizado
20,00 %
10. Resultados de Aprendizaje
Como parte de un equipo de trabajo recopilar y analizar información técnica y normativa aplicable sobre los aspectos clave de las políticas adecuadas para el análisis y gestión de riesgos en sistemas de información. Aplicar dicha información a supuestos simulados, sintetizar los resultados y realizar una defensa oral del proyecto. . Generar documentación adecuada en la que se refleje la metodología utilizada.
Configurar, administrar y utilizar diferentes aplicaciones software explícitamente diseñadas para el desarrollo del Análisis y Gestión de Riesgos de los sistemas de información.
Tener capacidad de análisis del nivel de seguridad aplicando las metodologías propuestas para el Análisis y Gestión de Riesgos.
11. Cronograma / calendario de la asignatura

Descripción

En el cronograma adjunto se especifican las actividades semanales a desarrollar. Fundamentalmente son: clases magistrales, realización de prácticas de laboratorio, actividades complementarias (seminarios, exposiciones orales, etc). La asignatura cuenta con 4 horas presenciales semanales.

La distribución de las actividades por semana es orientativa, puede sufrir cambios según las necesidades de la organización docente.

Segundo cuatrimestre

Semana Temas Actividades de enseñanza aprendizaje Horas de trabajo presencial Horas de trabajo autónomo Total
Semana 1: Tema 1 Explicar el tema 1 (Conceptos básicos sobre riesgos)
Tarea 1: Realización cuestionario “ Conceptos Básicos. Ideas previas”
2.00 3.00 5.00
Semana 2: Temas 2 y 3 Explicar el tema 2 (Introducción a la gestión de riesgos) y tema 3 (Los sistemas de gestión de riesgos y los objetivos del negocio).
Introducir la documentación relacionada con los informes de prácticas y las actas de sesión.
Enunciar Tarea 2:

Comienzo del informe de oportunidad.
Realización de ejercicios
4.00 2.00 6.00
Semana 3: Temas 4 y 5 Explicar el tema 4 ( Estrategia de administración de riesgos) y 5 (Comunicación y sensibilización).
 
4.00 6.00 10.00
Semana 4: Temas 6 y 7 Explicar el tema 6 (Programa de administración de riesgos) y 7 (Roles y responsabilidades).
Formar los equipos de trabajo y realizar el reparto de roles dentro del equipo.
Finalización y entrega de la tarea 2 

Realización de ejercicios
4.00 5.00 9.00
Semana 5: Tema 8 Explicar primera parte del tema 8 (Metodologías, normas y marcos de gestión de riesgos)
Tarea 3: Asignación de las principales normas y marcos a los grupos de trabajo para su análisis y exposición.
Prueba de respuesta corta correspondiente a los Módulos 1 y 2.
4.00 9.00 13.00
Semana 6: Tema 8 Explicar segunda parte del tema 8 (Metodologías, normas y marcos de gestión de riesgos)
Desarrollo tarea 3
4.00 6.00 10.00
Semana 7: Tema 9 Explicar el tema 9 (La gestión de riesgos y la seguridad de la información).
Desarrollo tarea 3
4.00 6.00 10.00
Semana 8: Tema 10 Explicar el tema 10 (Auditoría de los sistemas de gestión de riesgos)
Entregar la tarea 3
4.00 5.00 9.00
Semana 9: Temas 11 y 12 Explicar el tema 11 (Estudio de oportunidad) y tema 12 (Determinación del alcance del proyecto)
Tarea 4: Introducción a la herramienta Micropilar.
4.00 6.00 10.00
Semana 10: Temas 13 y 14 Explicar los temas 13 (Planificación del proyecto y lanzamiento) y 14 (Identificación y evaluación de riesgos)
Finalización tarea 4: Realización del informe de esta práctica y entrega.
4.00 5.00 9.00
Semana 11: Tema 15 Explicar el tema 15 (Caracterización de los activos y las amenazas)
Tarea 5: Introducción a la herramienta Pilar
Prueba de respuesta corta correspondiente a los Módulos 3 y 4.
5.00 11.00 16.00
Semana 12: Tema 16 Explicar el tema 16 Valoración de las vulnerabilidades e impactos
Continuación tarea 5: Realización del informe de esta práctica.
4.00 6.00 10.00
Semana 13: Tema 17 y 18 Explicar el tema 17 (Métodos de control) y el 18 (Medidas de control)
Continuación tarea 5: Inclusión de distintos perfiles de seguridad
 
4.00 5.00 9.00
Semana 14: Tema 19, 20 y 21 Explicar el tema 19 (Valoración del riesgo residual)
Explicar el tema 20 (Planes de contingencia) y tema 21 (Planes de recuperación de negocio)


Finalización tarea 5: Entrega del informe
Prueba de respuesta corta correspondiente a los Módulos 5, 6 y 7.
5.00 6.00 11.00
Semana 15: Semanas 15 a 16 Evaluación y trabajo autónomo del alumnado. 4.00 9.00 13.00
Semana 16 a 18: 0.00 0.00 0.00
Total 60.00 90.00 150.00
Fecha de última modificación: 08-07-2022
Fecha de aprobación: 15-07-2022