O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Posgrado Gestion y Auditoria de la Seguridad Curso 2019-2020

18 visualizações

Publicada em

Guía General Posgrado gestión y auditoría de la seguridad. Curso Septiembre 2019.

Publicada em: Educação
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Posgrado Gestion y Auditoria de la Seguridad Curso 2019-2020

  1. 1. Guía General Posgrado gestión y auditoría de la seguridad   Inicio Septiembre pg 1
  2. 2. 1.Introducción 2.Objetivos 3.Conocimientos previos 4.Estructura y contenidos 5.Metodología 6.Equipo académico 7.Recursos para el aprendizaje 8.Calendario 9.Evaluación 10.Titulación 11.Servicio de atención al estudiante pg 2
  3. 3. 1. Introducción Internet se ha convertido en un medio de información básico tanto para nuestras vidas personales como profesionales. Por la red circulan grandes volúmenes de datos privados y confidenciales (datos financieros, médicos, industriales, etc.) vulnerables a todo tipo de ataques. Las medidas de seguridad son imprescindibles para proteger los sistemas de usos indebidos y abusivos, y los habilita para ofrecer unos servicios robustos y de calidad. Este posgrado proporciona amplios conocimientos sobre la gestión y la auditoría de la seguridad. Se forman a profesionales con los conocimientos y las competencias para asegurar el cumplimiento de la normativa legal vinculada a la prevención de los riesgos informáticos y a la protección de datos personales y privados, con la habilidad de crear y gestionar unas buenas prácticas y políticas de seguridad empresariales, y con las competencias para comprobar la correcta gestión e implantación de prácticas que las distintas organizaciones llevan a cabo con relación a la auditoría de seguridad y la certificación. 2. Objetivos El posgrado de Gestión y auditoría de la seguridad aporta una formación técnica y especializada en el ámbito de la gestión de la seguridad informática. La enseñanza combina la adquisición de una base teórica sólida de conocimientos con una formación práctica y basada en el estudio de casos reales. Después de completar el programa, el estudiante será capaz de evaluar, administrar y controlar los riesgos de seguridad de una compañía. Podrá asumir la responsabilidad de analizar los riesgos de la organización, hacer la comunicación de estos riesgos, y aplicar las soluciones necesarias para reducir las amenazas de la organización, promover la transparencia y cumplir las regulaciones. El estudiante adquirirá las siguientes competencias: ● Capacidad para aplicar el marco jurídico que afecta la gestión de la seguridad de sistemas informáticos, teniendo en cuenta la legislación relativa a la propiedad intelectual, el comercio electrónico, la firma electrónica y la protección de datos de carácter personal. ● Tener y comprender conocimientos de las estructuras normalizadoras, evaluadoras y certificadoras, y de las normas correspondientes que regulan los ámbitos de la seguridad. ● Capacidad para identificar y analizar los procesos críticos de una organización y también el impacto que produciría la interrupción de estos procesos. pg 3
  4. 4. ● Capacidad para elaborar un plan de seguridad, teniendo en cuenta todo el proceso de inventario y clasificación de activos, estudio de amenazas, análisis de riesgos y definición del plan de acción con el presupuesto asociado para la aprobación de la dirección. ● Capacidad para desarrollar un plan de continuidad, y conocer sus fases y el personal que hay que implicar en él para desarrollarlo. Conocer las normas y los estándares de referencia relacionados con la continuidad de negocio. ● Capacidad para implantar un SGSI siguiendo las fases del ciclo de Deming. ● Capacidad para gestionar la certificación de un SGSI y también capacitado para comprender, interpretar y explicar las ventajas que aporta la certificación de estos sistemas. ● Capacidad para elaborar e implementar un plan de auditoría. Uso de las herramientas habituales para hacer una auditoría técnica de seguridad. ● Capacidad para hacer un análisis forense de cualquier sistema informático (ordenadores, móviles, routers, etc.) y presentarla en una sede judicial. ● Capacidad para aplicar las consideraciones legales adquiridas para realizar la gestión de un incidente de seguridad. 3. Conocimientos previos Los estudiantes deben tener un perfil técnico con conocimientos de las Tecnologías de la Información y la Comunicación. Para poder ser admitidos en el programa, los estudiantes deberán tener: - Conocimientos de redes y de sistemas operativos. - Conocimientos básicos de seguridad en redes y criptografía. pg 4
  5. 5. 4. Estructura y contenidos El posgrado de Gestión y auditoría de la seguridad está conformado por cuatro asignaturas pertenecientes al Máster Interuniversitario en Seguridad en las Tecnologías de la Información y la Comunicación (MISTIC) y un proyecto. Posgrado de Gestión y auditoría de la seguridad (30 créditos)* Curso Créditos Semestre Legislación y regulación 6 1 (Otoño) Sistemas de gestión de la seguridad 6 1 (Otoño) Análisis forense 6 1 (Otoño) Auditoría técnica 6 2 (Primavera) Proyecto 6 2 (Primavera) (* 1 crédito corresponde a 25 horas de trabajo del estudiante) Contenidos de cada asignatura Legislación y  regulación    Sistemas de gestión  de la seguridad Análisis forense Auditoría técnica Fundamentos jurídicos ▪ Repercusiones de las nuevas tecnologías de la información ▪ El ordenamiento jurídico español ▪ Nuevos riesgos para los derechos y libertades en Internet ▪ Revisión de algunos derechos clásicos y aparición de nuevos valores dignos de protección ▪ La insuficiencia de las regulaciones jurídicas existentes Introducción a la Seguridad de la Información ▪ Qué es seguridad de la información ▪ Dimensiones de la seguridad de la información ▪ Gestión de la seguridad de la información ▪ Normativa legal en España ▪ Estándares de seguridad de la información ▪ Estado de la seguridad Conceptos básicos ▪ Disciplina forense ▪ Marco conceptual ▪ La informática forense en las organizaciones ▪ Informática Gestión de incidentes de seguridad ▪ Introducción ▪ Gestión de incidentes de seguridad Introducción a la auditoría informática ▪ Definición de auditoría ▪ Componentes de una auditoría ▪ Proceso de auditoría ▪ Programa de auditoría ▪ Estandarización de la labor de auditoría ▪ Gobierno de las TIC ▪ Equipo auditor pg 5
  6. 6. ▪ Surgimiento de una nueva disciplina: el derecho informático o derecho de las nuevas tecnologías El reglamento europeo de protección de datos (RGPD) ▪ Ámbito de aplicación del RGPD y exclusiones. ▪ Principios. ▪ Bases de la legitimación del tratamiento de los datos personales. ▪ Derechos de las personas interesadas. ▪ Medidas de cumplimiento y responsabilidad proactiva. ▪ Transferencias internacionales de datos. ▪ Autoridades de control y régimen sancionador. Servicios de la sociedad de la información ▪ Propiedad intelectual e Internet. ▪ Servicios de la sociedad de la información. ▪ Responsabilidad de los intermediarios prestadores de servicios de la socieada de la información. ▪ La firma electrónica Derecho penal e Internet ▪ Profesionales de la seguridad de la información Análisis de riesgos ▪ Ciclo de vida de la seguridad ▪ Análisis de riesgos ▪ Análisis de riesgos. Justificación y estudio ▪ Metodologías Implantación de un SGSI ▪ Qué es un sistema de gestión de la seguridad de la información ▪ Normativas internacionalmente reconocidas ▪ La familia ISO 27000 ▪ ISO/IEC 27002 - Código de buenas prácticas para la Gestión de la Seguridad de la Información ▪ Sistemas de gestión ▪ Introducción al SGSI ▪ Planificar: Establecer el SGSI ▪ Hacer: Implantar y operar el SGSI ▪ Verificar: Monitorizar y revisar el SGSI ▪ Actuar: Mantener y ▪ Prevención del incidente ▪ Detección y análisis ▪ Contención ▪ Resolución del incidente Fases y metodología del análisis forense ▪ Informática forense y evidencia digital ▪ Aseguramiento de la escena del suceso ▪ Identificación de la evidencia digital ▪ Adquisición de evidencias digitales ▪ Análisis de la evidencia digital e investigación ▪ Presentación e informe ▪ El laboratorio de informática forense ▪ Ejemplos La peritación ▪ Antes del peritaje ▪ Recogida de pruebas ▪ Aspectos procesales ▪ El informe y el dictamen periciales ▪ La profesionalidad ▪ El peritaje informático Auditoría de certificación ISO 27001 ▪ Sistemas de gestión de la seguridad de la información ▪ Certificación de SGSI contra el estándar ISO/IEC 27001:2005 ▪ Proceso de certificación de SGSI contra la ISO 27001 Auditoría técnica de seguridad ▪ Factores de éxito de una auditoría técnica ▪ Alcance de la auditoría técnica ▪ Tipos de auditorías ▪ Planificación de una auditoría técnica de seguridad Metodologías ▪ Metodologías y guías del NIST ▪ Metodologías del movimiento de software libre ▪ Metodología de la industria de las tarjetas de crédito ▪ Estándares de auditoría de la ISACA pg 6
  7. 7. ▪ Prevención y sanción de delitos vinculados a Internet ▪ Responsabilidad administrativa y responsabilidad penal ▪ Delitos vinculados a la criminalidad informática en el Código penal español ▪ Los diversos tipos penales en particular mejorar el SGSI ▪ Esquema documental del SGSI Desarrollo de algunos objetivos de control del SGSI ▪ Desarrollo de un marco normativo de seguridad de la información ▪ Política de seguridad de la información ▪ Organización de la seguridad de la información ▪ Clasificación de la información ▪ Herramientas para un SGSI ▪ Factores críticos de éxito en la implantación de un SGSI ▪ Certificación del SGSI Planes de continuidad de negocio ▪ Planes de continuidad de negocio ▪ Plan de continuidad de negocio versus plan de contingencias ▪ Plan de continuidad de negocio ▪ Estructura de los planes de continuidad de negocio del perito ▪ Ejemplos Técnicas de auditorías ▪ Revisión de documentación ▪ Entrevistas ▪ Visitas de auditoría ▪ Pruebas técnicas de sistemas de información y comunicaciones Proyecto Seguridad en Servicios y aplicaciones l pg 7
  8. 8. 5. Metodología El programa está formado por cuatro asignaturas de conceptualización teórico-práctica y un proyecto de aplicación profesional y de desarrollo individual. Los alumnos del posgrado comparten las aulas de las asignaturas con estudiantes del MISTIC con el fin de fomentar las dinámicas de grupo como participación en el foro del aula, discusión, debate, y trabajo en equipo. A lo largo de todo el período docente del posgrado se presentan diferentes enfoques metodológicos. A parte de las dinámicas de grupo, los estudiantes realizarán parte del aprendizaje basándose en el estudio y análisis de casos reales y el desarrollo de proyectos prácticos. El objetivo es claro: preparar a los estudiantes desde un punto de vista competencial e integral en un sentido amplio. En este programa partimos de la idea que el aprendizaje que se quiere promover tiene su base en un paradigma de carácter constructivo y aplicado, dónde la construcción de conocimiento es un acto compartido y parte tanto de la experiencia propia como la de los demás y se ve complementada por un marco teórico que permite comprender mejor algunos de los aspectos prácticos. El entorno virtual de aprendizaje está dotado de la información, los recursos y las herramientas que tanto los estudiantes como los profesores necesitarán a lo largo del proceso formativo. Éste no pretende ser simplemente una plataforma tecnológica dónde comunicarse y albergar los contenidos, sino que los recursos y las dinámicas que puedan ofrecerse desde el mismo signifiquen para docentes y discentes una comunidad educativa real con todos los componentes e interacciones necesarias. El Campus Virtual es la plataforma tecnológica que ofrece la UOC para que los participantes del Programa puedan acceder a la información y a los procesos de comunicación propia de éste utilizando la comunicación telemática (mediante Internet) en donde los participantes de todos los programas de posgrado llevan a cabo la mayoría de acciones comunicativas. En el Campus Virtual se encuentran los espacios comunes, que se comparten con el resto de los compañeros del curso y con el equipo docente. Estos espacios se distribuyen básicamente en cuatro grandes bloques que concretan la metodología de la UOC pg 8
  9. 9. Planificación Espacio de acceso al plan docente o guía de aprendizaje así como al calendario semestral donde se encuentra la temporalización prevista de las actividades. Comunicación (docencia) Comunicación con el profesor y trabajo cooperativo con los compañeros: la tecnología de este entorno y la metodología propia de la UOC facilita el trabajo cooperativo. Recursos Desde este espacio se facilita el acceso a los materiales didácticos del curso y también a la Biblioteca de la UOC y a otras bibliotecas del mundo, bases de datos, revistas, etc. Evaluación Espacio de entrega y registro de las actividades de evaluación continua así como el de consulta de la valoración continua de las actividades de aprendizaje. 6. Equipo académico Uno de los elementos clave de la metodología de aprendizaje en la UOC es la tarea del equipo docente. Las personas que integran el equipo docente de los programas de Posgrado de la UOC son profesionales cualificados en su ámbito. Su papel no se limita a tener una posición pasiva, esperando posibles consultas sobre el programa, sino que adoptan una actitud proactiva y toman la iniciativa motivando a los estudiantes y orientan en el proceso de aprendizaje. En el equipo docente las siguientes figuras básicas, que pueden ser ejercidas por una o más personas: Dirección académica: coordina e integra académicamente los contenidos del programa así como el proceso de aprendizaje del estudiante; aporta su dominio de la materia y los conocimientos complementarios a los profesores consultores. Helena Rifà Pous Ingeniera y doctora en Telecomunicaciones por la Universidad Politécnica de Catalunya (UPC). Su investigación se centra en el ámbito de la seguridad en redes. Forma parte del grupo de investigación KISON (K-ryptography and Information Security for Open Networks) de la Universitat Oberta de Catalunya (UOC). Desde marzo de 2007 es profesora asociada de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, donde es responsable de asignaturas de seguridad. pg 9
  10. 10.   Profesor responsable:   Carles Garrigues Olivella (UOC) Doctor en Informática por la Universidad Autónoma de Barcelona. Profesor de los Estudios de Informática y Multimedia de la UOC. Monte Serra Vizern (UOC) Doctora en Informática por la Universidad Autónoma de Barcelona. Profesora de los Estudios de Informática y Multimedia de la UOC. Jordi Serra Ruiz (UOC) Profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC. Grupo de investigación KISON (K-ryptography and Information Security for Open Networks). Profesor consultor: es el profesor o experto concreto de cada asignatura. Su rol es de guía y de facilitador del proceso de aprendizaje de los estudiantes.   ● Arsenio Tortajada Gallego ● Ana María Chulia Cebolla ● Antonio José Segovia Henares ● Josep Maria Arqués Soldevila ● Erik de Luis Gargallo ● Rafael Estevan de Quesada Tutor: es el referente académico para los estudiantes. En un primer momento, acoge a los estudiantes, los integra en la comunidad universitaria, los inicia en el campus virtual y en los elementos del modelo pedagógico de la UOC; y en un segundo momento y hasta la finalización del programa, realiza el seguimiento académico de los estudiantes y le da soporte y asesoramiento. 7. Recursos para el aprendizaje Existen tres tipos principales de recursos: las guías de aprendizaje o plan docente, los materiales didácticos de contenido y los recursos de la biblioteca. En cada una de las asignaturas para poder integrar y organizar todos los contenidos y orientaciones para el aprendizaje, hay a disposición un plan docente, cuyo contenido alberga pg 10
  11. 11. la presentación del curso, las competencias y los objetivos que los participantes deberán alcanzar, la propuesta de actividades, los indicadores de valoración de evaluación continua a realizar, la bibliografía básica y complementaria a consultar, y finalmente las orientaciones metodológicas implícitas en todo el proceso formativo. En el espacio de Recursos del aula virtual también podréis acceder a la Biblioteca Virtual de Tecnologías. Este espacio exclusivo de los participantes del programa os permitirá acceder a una gran variedad de recursos (bases de datos, revistas, webs, catálogos universitarios, estadísticas, etc...) relacionados con los temas del programa. A través del Campus Virtual también hay disponible la Biblioteca Virtual UOC, donde encontraréis información general, el catálogo UOC, la colección digital y otros servicios. 8. Calendario El programa se desarrollará en dos semestres INICIO FINAL Tutoría 11/09/19 Primer semestre Legislación y regulación 18/09/19 29/01/20* Sistemas de gestión de la seguridad 18/09/19 29/01/20* Análisis forense 18/09/19 29/01/20* Segundo semestre Auditoría técnica 19/02/20 01/07/20* Proyecto Gestión y auditoría de seguridad 19/02/20 01/07/20* *Fecha aproximada, puede variar en algún día 9. Evaluación La evaluación del aprendizaje de los participantes dentro de los programas de Posgrado en la UOC se realiza teniendo en cuenta las características de la formación no presencial. La evaluación en la UOC se estructura en torno a la evaluación continua y la evaluación final. La evaluación continua se lleva a cabo por medio de las pruebas de evaluación continua (PEC), y la evaluación final, con pruebas de evaluación final (PEF), Trabajo final de Posgrado (TFM, PFP). Todas las formas de evaluación del Posgrado se realizan de forma no presencial. El modelo concreto de evaluación de cada asignatura se establece semestralmente en el plan docente de cada asignatura, que define: pg 11
  12. 12. ● El modelo concreto de evaluación. ● Los criterios generales de evaluación de la asignatura relacionados con los objetivos que deben alcanzarse y las competencias que deben adquirirse. ● Si procede, el tipo concreto de la prueba de evaluación final (PEF), los criterios y fórmulas de evaluación, corrección y nota, y las tablas de cruce o fórmulas ponderadas aplicables. Evaluación continua La evaluación continua (EC) se realiza durante el semestre. La evaluación continua es el eje fundamental del modelo educativo de la UOC y es aplicable a todas las asignaturas de los programas formativos que la UOC ofrece. El seguimiento de la EC es el modelo de evaluación recomendado por la UOC y el que se ajusta mejor a su modelo educativo. La EC consiste en la realización y superación de una serie de pruebas de evaluación continua (PEC) establecidas en el plan docente/plan de aprendizaje, de acuerdo con el número y el calendario que se concretan en el plan. La EC de cada asignatura se ajusta a los objetivos, competencias, contenidos y carga docente de cada asignatura. El plan docente/de aprendizaje establece los criterios mínimos y el calendario de entrega para seguir y superar la EC. En todo caso, para considerar que se ha seguido la EC tiene que haberse realizado y entregado como mínimo el 50 % de las PEC. El no seguimiento de la EC se califica con una N (equivalente al no presentado). La EC se califica con las siguientes notas:     Estas notas son aplicables a las PEC y a la nota final de EC. pg 12
  13. 13. La nota final de EC se completará con una nota equivalente numérica (sin decimal) de acuerdo con las siguientes correspondencias: La evaluación global del programa Es imprescindible haber superado todas las asignaturas que conforman el Posgrado para superarlos globalmente y obtener una nota final positiva. La nota final del programa de Posgrado se obtendrá a partir de la nota final de cada asignatura, de forma proporcional al peso en créditos de cada curso. La valoración de evaluación es cuantitativa y se expone según las calificaciones siguientes: A: 9,10:Calificación muy buena: Sobresaliente Supera B: 7, 8: Calificación buena: Notable Supera C+: 6, 7: Calificación suficiente: Aprobado Supera C-: 3, 4: Calificación baja: Suspenso No supera D: 1,2: Calificación muy baja: Suspenso No supera N: No se emite calificación: No presentado No supera pg 13
  14. 14. 10. Titulación Para poder obtener la titulación de cada programa se deben haber completado con éxito la totalidad de las asignaturas que lo conforman, así como el proyecto correspondiente. Una vez se haya superado el proceso global de evaluación, la UOC entregará a los participantes que acrediten una titulación universitaria legalizada en España: ● Diploma de Posgrado en Gestión y auditoría de la seguridad En caso de no disponer dicha titulación, se expedirá, en función del programa matriculado: ● Diploma de extensión universitaria en Gestión y auditoría de la seguridad 11. Servicio de atención al estudiante Desde el Servicio de atención (frame superior del campus) podéis acceder a todas las consultas de gestión relacionadas con: ● Matriculación ● Pagos posgrado ● Facturas ● Documentación académica ● Expediente ● Evaluación ● Titulación ● Servicio de ayuda informática pg 14

×