Gestión de Riesgos en Sistemas de Información (sin docencia)
(Curso Académico 2024 - 2025)
Mostrar Todo


Nota informativa: Atendiendo a la normativa de Protección de Datos y propiedad intelectual en la que se limita la publicación de imágenes de terceras personas sin su consentimiento, aquellos que difundan grabaciones de las sesiones de clase sin previo consentimiento de las personas implicadas, serán responsables ante la ley del uso prohibido de las citadas grabaciones.



1. Datos descriptivos de la asignatura
  • Código: 139263424
  • Centro: Escuela Superior de Ingeniería y Tecnología
  • Lugar de impartición: Escuela Superior de Ingeniería y Tecnología
  • Titulación: Grado en Ingeniería Informática
  • Plan de Estudios: 2010 (publicado en 21-03-2011)
  • Rama de conocimiento: Ingeniería y Arquitectura
  • Itinerario/Intensificación: Sistemas de Información
  • Departamento/s:
  • Área/s de conocimiento:
    • Ciencia de la Computación e Inteligencia Artificial
    • Lenguajes y Sistemas Informáticos
  • Curso: 3
  • Carácter: Obligatoria
  • Duración: Segundo cuatrimestre
  • Créditos ECTS: 6,0
  • Modalidad de impartición: Presencial
  • Horario: Ver horario
  • Dirección web de la asignatura: Ver web de la asignatura
  • Idioma: Español e Inglés
2. Requisitos de matrícula y calificación
No existen requisitos para cursar la asignatura
3. Profesorado que imparte la asignatura

Profesor/a Coordinador/a: MARIA CANDELARIA HERNANDEZ GOYA

General:
Nombre:
MARIA CANDELARIA
Apellido:
HERNANDEZ GOYA
Departamento:
Ingeniería Informática y de Sistemas
Área de conocimiento:
Ciencia de la Computación e Inteligencia Artificial
Grupo:
Contacto:
Teléfono 1:
922 316 502 Ext 6827
Teléfono 2:
922 316 502 Ext 6827
Correo electrónico:
mchgoya@ull.es
Correo alternativo:
Tutorías primer cuatrimestre:
DesdeHastaDíaHora incialHora finalLocalizaciónPlantaDespacho
Todo el cuatrimestre Martes 12:00 14:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Todo el cuatrimestre Jueves 12:00 14:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Todo el cuatrimestre Miércoles 12:30 14:30 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Observaciones: Este horario es orientativo. Prevalecerá el que se ponga en las aulas virtuales de las asignaturas. Es recomendable reservar cita para las tutorías enviando mail a la profesora. Las tutorías de los martes de 12:00-14:00 h serán en línea. Para llevar a cabo la tutoría en línea, se hará uso del Google Meet, con la dirección del correo aluxxxx@ull.edu.es
Tutorías segundo cuatrimestre:
DesdeHastaDíaHora incialHora finalLocalizaciónPlantaDespacho
Todo el cuatrimestre Martes 12:00 14:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Todo el cuatrimestre Miércoles 12:00 14:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Todo el cuatrimestre Jueves 12:00 14:00 Escuela Superior de Ingeniería y Tecnología - Módulo A - AN.4A ESIT 2 P2.026
Observaciones: Este horario es orientativo. Prevalecerá el que se ponga en las aulas virtuales de las asignaturas. Es recomendable reservar cita para las tutorías enviando mail a la profesora. Las tutorías de los martes y jueves de 12:00-14:00 h serán en línea. Para llevar a cabo la tutoría en línea, se hará uso del Google Meet, con la dirección del correo aluxxxx@ull.edu.es
4. Contextualización de la asignatura en el plan de estudio
  • Bloque formativo al que pertenece la asignatura: Itinerario 4: Sistemas de Información
  • Perfil profesional: Ingeniero Técnico en Informática
5. Competencias

Tecnología Específica / Itinerario: Sistemas de Información

  • C47 - Capacidad para determinar los requisitos de los sistemas de información y comunicación de una organización atendiendo a aspectos de seguridad y cumplimiento de la normativa y la legislación vigente.
  • C50 - Capacidad para comprender y aplicar los principios de la evaluación de riesgos y aplicarlos correctamente en la elaboración y ejecución de planes de actuación.

Competencias Generales

  • CG7 - Capacidad para conocer, comprender y aplicar la legislación necesaria durante el desarrollo de la profesión de Ingeniero Técnico en Informática y manejar especificaciones, reglamentos y normas de obligado cumplimiento.
  • CG10 - Conocimientos para la realización de mediciones, cálculos, valoraciones, tasaciones, peritaciones, estudios, informes, planificación de tareas y otros trabajos análogos de informática, de acuerdo con los conocimientos adquiridos según lo establecido en el apartado 5 de este anexo.
  • CG12 - Conocimiento y aplicación de elementos básicos de economía y de gestión de recursos humanos, organización y planificación de proyectos, así como la legislación, regulación y normalización en el ámbito de los proyectos informáticos, de acuerdo con los conocimientos adquiridos según lo establecido en el apartado 5 de este anexo.

Transversales

  • T1 - Capacidad de actuar autónomamente.
  • T2 - Tener iniciativa y ser resolutivo.
  • T3 - Tener iniciativa para aportar y/o evaluar soluciones alternativas o novedosas a los problemas, demostrando flexibilidad y profesionalidad a la hora de considerar distintos criterios de evaluación.
  • T5 - Considerar el contexto económico y social en las soluciones de ingeniería, siendo consciente de la diversidad y la multiculturalidad, y garantizando la sostenibilidad y el respeto a los derechos humanos.
  • T7 - Capacidad de comunicación efectiva (en expresión y comprensión) oral y escrita, con especial énfasis en la redacción de documentación técnica.
  • T8 - Capacidad de comunicación efectiva con el usuario en un lenguaje no técnico y de comprender sus necesidades.
  • T9 - Capacidad para argumentar y justificar lógicamente las decisiones tomadas y las opiniones.
  • T12 - Capacidad de relación interpersonal.
  • T13 - Capacidad para encontrar, relacionar y estructurar información proveniente de diversas fuentes y de integrar ideas y conocimientos.
  • T15 - Capacidad de tomar decisiones basadas en criterios objetivos (datos experimentales, científicos o de simulación disponibles).
  • T18 - Tener motivación por la calidad y la mejora continua y actuar con rigor en el desarrollo profesional.
  • T19 - Capacidad de adaptación a los cambios organizativos o tecnológicos.
  • T20 - Capacidad de trabajar en situaciones de falta de información y/o con restricciones temporales y/o de recursos.
  • T21 - Capacidad para el razonamiento crítico, lógico y matemático.
  • T23 - Capacidad de abstracción: capacidad de crear y utilizar modelos que reflejen situaciones reales.
  • T24 - Capacidad de diseñar y realizar experimentos sencillos y analizar e interpretar sus resultados.
  • T25 - Capacidad de análisis, síntesis y evaluación.

Módulo Desarrollo y Mantenimiento de los Sistemas de Información

  • E1 - Capacidad para analizar los riesgos de un sistema de información o de un proyecto de tecnologías de la información.
  • E2 - Capacidad para gestionar los riesgos de la información.
  • E3 - Conocimiento y aplicación de herramientas para el análisis y la gestión de riesgos de la información.
  • E4 - Conocimiento de las normas, marcos de referencia y buenas prácticas para la gestión de riesgos de la información.
  • E5 - Capacidad para desarrollar planes de continuidad de un negocio.
6. Contenidos de la asignatura

Contenidos teóricos y prácticos de la asignatura

Módulo I: Introducción a la gestión de riesgos.
1. Conceptos básicos sobre riesgos
2. Introducción a la gestión de riesgos
3. Los sistemas de gestión de riesgos y los objetivos del negocio
Módulo II: Estrategia de administración de riesgos
4. Estrategia de administración de riesgos
5. Comunicación y sensibilización
6. Programa de administración de riesgos
7. Roles y responsabilidades
Módulo III: Buenas prácticas
8. Metodologías, normas y marcos de gestión de riesgos
9. La gestión de riesgos y la seguridad de la información
10. Auditoría de los sistemas de gestión de riesgos
Módulo IV: Planificación de la administración de riesgos
11. Estudio de oportunidad
12. Determinación del alcance del proyecto
13. Planificación del proyecto y lanzamiento del proyecto
Módulo V: Análisis de riesgos
14. Identificación y evaluación de riesgos
15. Caracterización de los activos y las amenazas
16. Valoración de las vulnerabilidades e impactos
Módulo VI: Controles y contramedidas
17. Métodos de control
18. Medidas de control
19. Valoración de riesgo residual
Módulo VII: Objetivos de tiempo de recuperación
20. Planes de contingencia
21. Planes de recuperación del negocio

Actividades a desarrollar en otro idioma

La documentación de la mayoría de metodologías de Análisis y Gestión de Riesgos (CRAMM, OCTAVE, etc.) se encuentran disponible exclusivamente en inglés. Los alumnos tendrán que analizar y asimilar dicha documentación. Se desarrollarán sesiones de trabajo interactivas y presenciales en las que tengan que utilizar estos recursos.
Se incluirá también la visualización de material multimedia relacionado con la asignatura con el objetivo de que los alumnos se familiaricen con la aplicación práctica de estas metodologías en distintas empresas. La mayoría de este material está disponible en inglés.

En cumplimiento del porcentaje establecido (5%), se exigirá que un 10% de las presentaciones orales de proyectos (evaluadas en un 50% de la nota final) se realicen en inglés.
7. Metodología y volumen de trabajo del estudiante

Descripción

Sin docencia. No es de aplicación este apartado

Actividades formativas en créditos ECTS, su metodología de enseñanza-aprendizaje y su relación con las competencias que debe adquirir el estudiante

Actividades formativas Horas presenciales Horas de trabajo autónomo Total horas Relación con competencias
Clases teóricas 18,00 0,00 18,0 [T2], [E4], [T19], [T23], [T8], [C47], [T5], [E2], [CG10], [T20], [T24], [T25], [T9], [CG7], [T18], [T7], [T13], [CG12], [T3], [C50], [T21], [T1], [E5], [T15], [T12], [E3], [E1]
Clases prácticas (aula / sala de demostraciones / prácticas laboratorio) 17,00 0,00 17,0 [T2], [T9], [T24], [T20], [T25]
Realización de seminarios u otras actividades complementarias 11,00 7,00 18,0 [T2]
Realización de trabajos (individual/grupal) 5,00 25,00 30,0 [T2], [E4], [T19], [T23], [T8], [C47], [T5], [E2], [CG10], [T20], [T24], [T25], [T9], [CG7], [T18], [T7], [T13], [CG12], [T3], [C50], [T21], [T1], [E5], [T15], [T12], [E3], [E1]
Estudio/preparación de clases teóricas 0,00 10,00 10,0 [C47], [C50], [T2], [E4], [T1], [E2], [T13], [E5], [T25], [E3]
Estudio/preparación de clases prácticas 0,00 0,00 0,0 [C47], [C50]
Preparación de exámenes 0,00 0,00 0,0 [C47], [C50]
Realización de exámenes 3,00 0,00 3,0 [C47], [C50], [T2], [E4], [T1], [E2], [T13], [E5], [T25], [E3]
Asistencia a tutorías 6,00 0,00 6,0 [T25], [T21]
Estudio autónomo individual o en grupo 0,00 48,00 48,0 [T2], [E4], [T19], [T23], [T8], [C47], [T5], [E2], [CG10], [T20], [T24], [T25], [T9], [CG7], [T18], [T7], [T13], [CG12], [T3], [C50], [T21], [T1], [E5], [T15], [T12], [E3], [E1]
Total horas
Total ECTS
8. Bibliografía / Recursos

Bibliografía básica

Gibson, Darril, Managing risk in information systems, Jones & Bartlett Learning, 2011, ISBN: 9780763791872
 

McCumber, John, Assessing and managing security risk in IT systems, Auerbach Publications, 2005, ISBN:0849322324

Bibliografía complementaria

Metodología MAGERIT: Libro I: Método Libro II: Catálogo de Elementos Libro III: Guía de Técnicas,
https://pilar.ccn-cert.cni.es/index.php/metodologia/metodologia-pilar
 

Metodología OCTAVE:
https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=309051

Herramienta PILAR:
https://pilar.ccn-cert.cni.es/index.php/pilar/pilar

Otros recursos

9. Sistema de evaluación y calificación

Descripción

Al no existir docencia de esta asignatura, el modo de Evaluación Continua no aplica. Por dicha razón, tanto en la primera como en la segunda convocatoria solamente será de aplicación la modalidad de evaluación única

Estrategia Evaluativa

Tipo de prueba Competencias Criterios Ponderación
Pruebas objetivas [T2], [E4], [T19], [T23], [T8], [C47], [T5], [E2], [CG10], [T20], [T24], [T25], [T9], [CG7], [T18], [T7], [T13], [CG12], [T3], [C50], [T21], [T1], [E5], [T15], [T12], [E3], [E1] Examen Final 100,00 %
10. Resultados de Aprendizaje
Como parte de un equipo de trabajo recopilar y analizar información técnica y normativa aplicable sobre los aspectos clave de las políticas adecuadas para el análisis y gestión de riesgos en sistemas de información. Aplicar dicha información a supuestos simulados, sintetizar los resultados y realizar una defensa oral del proyecto. Generar documentación adecuada en la que se refleje la metodología utilizada.
Configurar, administrar y utilizar diferentes aplicaciones software explícitamente diseñadas para el desarrollo del Análisis y Gestión de Riesgos de los sistemas de información.
Tener capacidad de análisis del nivel de seguridad aplicando las metodologías propuestas para el Análisis y Gestión de Riesgos.
11. Cronograma / calendario de la asignatura

Descripción

Sin docencia. No es de aplicación este apartado

Segundo cuatrimestre

Semana Temas Actividades de enseñanza aprendizaje Horas de trabajo presencial Horas de trabajo autónomo Total
Semana 1: Tema 1 Explicar el tema 1 (Conceptos básicos sobre riesgos)
Tarea 1: Realización cuestionario “ Conceptos Básicos. Ideas previas”
2.00 3.00 5.00
Semana 2: Temas 2 y 3 Explicar el tema 2 (Introducción a la gestión de riesgos) y tema 3 (Los sistemas de gestión de riesgos y los objetivos del negocio).
Introducir la documentación relacionada con los informes de prácticas y las actas de sesión.
Enunciar Tarea 2:

Comienzo del informe de oportunidad.
Realización de ejercicios
4.00 6.00 10.00
Semana 3: Temas 4 y 5 Explicar el tema 4 ( Estrategia de administración de riesgos) y 5 (Comunicación y sensibilización).


Tarea 3: Manejo de catálogos para el desarrollo de Análisis de riesgos básico.
4.00 6.00 10.00
Semana 4: Temas 6 y 7 Explicar el tema 6 (Programa de administración de riesgos) y 7 (Roles y responsabilidades).
Formar los equipos de trabajo y realizar el reparto de roles dentro del equipo.
Finalización y entrega de la tarea 2

Realización de ejercicios
4.00 6.00 10.00
Semana 5: Tema 8 Explicar primera parte del tema 8 (Metodologías, normas y marcos de gestión de riesgos)
Tarea 3: Asignación de las principales normas y marcos a los grupos de trabajo para su análisis y exposición.
Prueba de respuesta corta correspondiente a los
Módulos 1 y 2.
4.00 9.00 13.00
Semana 6: Tema 8 Explicar segunda parte del tema 8 (Metodologías, normas y marcos de gestión de riesgos)
Desarrollo tarea 3
4.00 6.00 10.00
Semana 7: Tema 9 Explicar el tema 9 (La gestión de riesgos y la seguridad de la información).
Desarrollo tarea 3
4.00 6.00 10.00
Semana 8: Tema 10 Explicar el tema 10 (Auditoría de los sistemas de gestión de riesgos)
Entregar la tarea 3
4.00 6.00 10.00
Semana 9: Temas 11 y 12 Explicar el tema 11 (Estudio de oportunidad) y tema 12 (Determinación del alcance del proyecto)
Tarea 4: Introducción a la herramienta Micropilar.
4.00 6.00 10.00
Semana 10: Temas 13 y 14 Explicar los temas 13 (Planificación del proyecto y lanzamiento) y 14 (Identificación y evaluación de riesgos)
Finalización tarea 4: Realización del informe de esta práctica y entrega.
4.00 6.00 10.00
Semana 11: Tema 15 Explicar el tema 15 (Caracterización de los activos y las amenazas)
Tarea 5: Introducción a la herramienta Pilar
Prueba de respuesta corta correspondiente a los
Módulos 3 y 4.
5.00 11.00 16.00
Semana 12: Tema 16 Explicar el tema 16 Valoración de las vulnerabilidades e impactos
Continuación tarea 5: Realización del informe de esta práctica.
4.00 5.00 9.00
Semana 13: Tema 17 y 18 Explicar el tema 17 (Métodos de control) y el 18 (Medidas de control)
Continuación tarea 5: Inclusión de distintos perfiles de seguridad
 
4.00 5.00 9.00
Semana 14: Tema 19 y 20 Explicar el tema 19 (Valoración del riesgo residual), tema 20 (Planes de contingencia)
Finalización tarea 5: Entrega del informe
5.00 6.00 11.00
Semana 15 a 17: Evaluación 4.00 3.00 7.00
Total 60.00 90.00 150.00
Fecha de última modificación: 08-07-2024
Fecha de aprobación: 10-07-2024