Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

M. Programa de Gestión de la Seguridad de la Información

1. Datos de la UC

• Nombre: Gestión de la Seguridad de la Información
• Área de formación: Gestión de Seguridad
• Créditos: 12
• Carga horaria semanal: 6

2. Objetivos

Introducir a los participantes en los principales conceptos y metodologías asociadas a la gestión de la ciberseguridad, contemplando el marco normativo internacional y nacional existente. Llevar a la práctica una metodología de rápida aplicación para la implementación de un Sistema de Gestión de Seguridad de la Información. Presentar metodologías y buenas prácticas concretas para la gestión de riesgos, gestión de incidentes, gestión de la continuidad de la seguridad y gestión de vulnerabilidades. Se abarcarán las principales conceptos entorno a la familia de normas ISO/IEC 27000 y el marco de ciberseguridad de NIST.

3. Metodología de enseñanza

• Horas clase (teórico-práctico): 80
• Horas estudio: 35
• Horas resolución ejercicios/prácticos: 40
• Horas proyecto final/monografía: 25

Total de horas de dedicación del estudiante: 180

4. Temario

1. Introducción
   1. Definiciones y conceptos de gestión de ciberseguridad
   2. Confidencialidad, Integridad y Disponibilidad
   3. Marco normativo nacional e internacional
2. Sistema de Gestión de Seguridad de la Información
   1. Metodologías de implantación

2. Principales desafíos a enfrentar
3. c. Herramientas disponibles que faciliten la implantación

3. Gestión de Riesgos
   1. Introducción al proceso de gestión de riesgos
   2. Metodologías de análisis de riesgo
   3. Tratamiento de riesgos
4. Gestión de incidentes
   1. Definición de incidentes
   2. Procesos de clasificación, análisis, tratamiento, resolución y cierre
   3. Control de flujos de información y procesos.
   4. ) Modelos organizacionales de Centros de Respuesta y Centros Ope- rativos de Seguridad
5. Gestión de la continuidad operativa
   1. Componentes del negocio
   2. Tipos de desastres que deben considerarse
   3. Análisis de Impacto del Negocio
   4. ) Desarrollo de estrategias de mitigación

5. Bibliografía

Básica

1. H. Tipton, M. Krause, Information Security Management Handbook 6th, 2008.
2. Thomas Peltier, Information Security Policies, Procedures and Standards, 2002.
3. L. Hayden, IT Security Metrics. A Practical Framework for Measuring Security and Protecting Data, 2010.
4. Proyecto AMPARO, Manual básico de Gestión de Incidentes de Segu- ridad Informática, 2012
5. Susan Snedaker, Business Continuity and Disaster Recovery for IT professionals, 2007.

Complementaria

1. NIST, Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, 2018
2. AGESIC, Marco de Ciberseguridad, 2019.
3. H. Allen et al, Structuring the Chief Information Security Officer Organization, CERT Division, Software Engineering Institute, Carnegie Mellon University.
4. C. Zimmerman, Ten Strategies of a World-Class Cybersecurity Operations Center, MITRE Corporation.

6. Conocimientos previos exigidos y recomendados

Conocimientos Previos Exigidos Taller de Introducción a la Seguridad Informática.

Conocimientos Previos Recomendados Definición y aplicación de políticas y procedimientos de Seguridad de la Información y computacional.