Versión imprimible Curso Académico
Gestión de Riesgos en Ingeniería del Software
Curso 2017/18
1. Datos Descriptivos de la Asignatura
ASIGNATURA: Gestión de Riesgos en Ingeniería del Software CÓDIGO: 139263326
- Centro: Escuela Superior de Ingeniería y Tecnología
- Titulación: Grado en Ingeniería Informática
- Plan de Estudios: 2010 (publicado en 21-03-2011)
- Rama de conocimiento: Ingeniería y Arquitectura
- Itinerario/Intensificación: Ingeniería del Software
- Departamento/s: - Área/s de conocimiento:
  • Ciencia de la Computación e Inteligencia Artificial
  • Lenguajes y Sistemas Informáticos
- Curso: 3
- Carácter: Obligatoria
- Duración: Cuatrimestral
- Créditos ECTS: 6.0
- Horario: http://www.ull.es/view/centros/etsii/Tercero_5/es
- Dirección web de la asignatura: http://www.campusvirtual.ull.es
- Idioma: Español e Inglés


2. Requisitos para cursar la asignatura
No existen requisitos para cursar la asignatura


3. Profesorado que imparte la asignatura
Profesor/a Coordinador/a: JAVIER HERNANDEZ ACEITUNO
- Grupo: 33L1
- Departamento: Ingeniería Informática y de Sistemas
- Área de conocimiento: Ciencia de la Computación e Inteligencia Artificial
- Lugar Tutoría: Laboratorio del Dpto. Ingeniería Informática y Sistemas, planta 0 edif. Física
- Horario Tutoría: Martes de 9:30 a 11:30, Miércoles de 9:30 a 13:30
- Teléfono (despacho/tutoría):
- Correo electrónico: jhernaac@ull.es
- Dirección web docente: http://www.campusvirtual.ull.es


4. Contextualización de la asignatura en el plan de estudio
- Bloque formativo al que pertenece la asignatura: Itinerario 3: Ingeniería del Software
- Perfil profesional: Ingeniero Técnico en Informática


5. Competencias
Competencias Generales
[CG5] Capacidad para concebir, desarrollar y mantener sistemas, servicios y aplicaciones informáticas empleando los métodos de la ingeniería del software como instrumento para el aseguramiento de su calidad, de acuerdo con los conocimientos adquiridos según lo establecido en el apartado 5 de este anexo.
[CG7] Capacidad para conocer, comprender y aplicar la legislación necesaria durante el desarrollo de la profesión de Ingeniero Técnico en Informática y manejar especificaciones, reglamentos y normas de obligado cumplimiento.
[CG12] Conocimiento y aplicación de elementos básicos de economía y de gestión de recursos humanos, organización y planificación de proyectos, así como la legislación, regulación y normalización en el ámbito de los proyectos informáticos, de acuerdo con los conocimientos adquiridos según lo establecido en el apartado 5 de este anexo.
Módulo Desarrollo y Mantenimiento del Software
[E22] Capacidad para analizar los riesgos de un sistema de información o de un proyecto de
[E23] Capacidad para gestionar los riesgos de la información.
[E24] Conocimiento de herramientas para el análisis y la gestión de riesgos de la información.
[E25] Conocimiento de las normas, marcos de referencia y buenas prácticas para la gestión de riesgos de la información.
Tecnología Específica / Itinerario: Ingeniería del Software
[C29] Capacidad de identificar, evaluar y gestionar los riesgos potenciales asociados que pudieran presentarse.
Transversales
[T1] Capacidad de actuar autónomamente.
[T2] Tener iniciativa y ser resolutivo.
[T3] Tener iniciativa para aportar y/o evaluar soluciones alternativas o novedosas a los problemas, demostrando flexibilidad y profesionalidad a la hora de considerar distintos criterios de evaluación.
[T5] Considerar el contexto económico y social en las soluciones de ingeniería, siendo consciente de la diversidad y la multiculturalidad, y garantizando la sostenibilidad y el respeto a los derechos humanos.
[T6] Capacidad de comunicación efectiva en inglés.
[T7] Capacidad de comunicación efectiva (en expresión y comprensión) oral y escrita, con especial énfasis en la redacción de documentación técnica.
[T8] Capacidad de comunicación efectiva con el usuario en un lenguaje no técnico y de comprender sus necesidades.
[T9] Capacidad para argumentar y justificar lógicamente las decisiones tomadas y las opiniones.
[T10] Capacidad de integrarse rápidamente y trabajar eficientemente en equipos unidisciplinares y de colaborar en un entorno multidisciplinar.
[T11] Capacidad de trabajar en un contexto internacional.
[T12] Capacidad de relación interpersonal.
[T13] Capacidad para encontrar, relacionar y estructurar información proveniente de diversas fuentes y de integrar ideas y conocimientos.
[T14] Poseer las habilidades de aprendizaje necesarias para emprender estudios posteriores o mejorar su formación con un cierto grado de autonomía.
[T15] Capacidad de tomar decisiones basadas en criterios objetivos (datos experimentales, científicos o de simulación disponibles).
[T16] Capacidad de planificación y organización del trabajo personal.
[T17] Tener motivación por el logro profesional y para afrontar nuevos retos, así como una visión amplia de las posibilidades de la carrera profesional en el ámbito de la Ingeniería en Informática.
[T18] Tener motivación por la calidad y la mejora continua y actuar con rigor en el desarrollo profesional.
[T19] Capacidad de adaptación a los cambios organizativos o tecnológicos.
[T20] Capacidad de trabajar en situaciones de falta de información y/o con restricciones temporales y/o de recursos.
[T21] Capacidad para el razonamiento crítico, lógico y matemático.
[T22] Capacidad para resolver problemas dentro de su área de estudio.
[T23] Capacidad de abstracción: capacidad de crear y utilizar modelos que reflejen situaciones reales.
[T24] Capacidad de diseñar y realizar experimentos sencillos y analizar e interpretar sus resultados.
[T25] Capacidad de análisis, síntesis y evaluación.


6. Contenidos de la asignatura
Contenidos teóricos y prácticos de la asignatura
Profesor: Javier Hernández Aceituno
Módulo I: Introducción a la gestión de riesgos.
1. Conceptos básicos sobre riesgos
2. Introducción a la gestión de riesgos
3. Los sistemas de gestión de riesgos y los objetivos del negocio
Módulo II: Estrategia de administración de riesgos
4. Estrategia de administración de riesgos
5. Comunicación y sensibilización
6. Programa de administración de riesgos
7. Roles y responsabilidades
Módulo III: Buenas prácticas
8. Metodologías, normas y marcos de gestión de riesgos
9. La gestión de riesgos y la seguridad de la información
10. Auditoría de los sistemas de gestión de riesgos
Módulo IV: Planificación de la administración de riesgos
11. Estudio de oportunidad
12. Determinación del alcance del proyecto
13. Planificación del proyecto y lanzamiento del proyecto
Módulo V: Análisis de riesgos
14. Identificación y evaluación de riesgos
15. Caracterización de los activos y las amenazas
16. Valoración de las vulnerabilidades e impactos
Módulo VI: Controles y contramedidas
17. Métodos de control
18. Medidas de control
19. Valoración de riesgo residual
Módulo VII: Objetivos de tiempo de recuperación
20. Planes de contingencia
21. Planes de recuperación del negocio
Actividades a desarrollar en otro idioma
La documentación de la mayoría de metodologías de Análisis y Gestión de Riesgos (CRAMM, OCTAVE, etc.) se encuentran disponible exclusivamente en inglés. Los alumnos tendrán que analizar y asimilar dicha documentación. Se desarrollarán sesiones de trabajo interactivas y presenciales en las que tengan que utilizar estos recursos.
Se incluirá también la visualización de material multimedia relacionado con la asignatura con el objetivo de que los alumnos se familiaricen con la aplicación práctica de estas metodologías en distintas empresas. La mayoría de este material está disponible en inglés.


7. Metodología y volumen de trabajo del estudiante
Descripción
Las metodologías de Análisis y Gestión de Riesgos se aplican siempre por parte de un equipo de trabajo con un reparto de roles concreto. Por este motivo gran parte de la carga práctica de la asignatura se corresponden con tareas grupales en las que se analizarán supuestos prácticos concretos. Con ello se espera fomentar el trabajo en equipo.

Otras actividades prácticas serán desarrolladas individualmente por el alumno fomentando el trabajo autónomo y la utilización de fuentes de información técnica diversa. Algunas de estas actividades se realizarán virtualmente.

Actividades formativas en créditos ECTS, su metodología de enseñanza-aprendizaje y su relación con las competencias que debe adquirir el estudiante
Actividades formativas Horas presenciales Horas de trabajo autónomo Total Horas Relación con competencias
Clases teóricas  18.00      18  [CG5], [CG7], [CG12], [T1], [T2], [T3], [T5], [T6], [T7], [T8], [T9], [T10], [T11], [T12], [T13], [T14], [T15], [T16], [T17], [T18], [T19], [T20], [T21], [T22], [T23], [T24], [T25], [E22], [E23], [E24], [E25], [C29]
Clases prácticas (aula / sala de demostraciones / prácticas laboratorio)  15.00      15  [T2], [T9], [T20], [T24], [T25], [E22], [E23], [E24], [E25], [C29]
Realización de seminarios u otras actividades complementarias  11.00      11  [T2], [E22], [E23], [E24], [E25], [C29]
Realización de trabajos (individual/grupal)  11.00   30.00   41  [CG5], [CG7], [CG12], [T1], [T2], [T3], [T5], [T6], [T7], [T8], [T9], [T10], [T11], [T12], [T13], [T14], [T15], [T16], [T17], [T18], [T19], [T20], [T21], [T22], [T23], [T24], [T25], [E22], [E23], [E24], [E25], [C29]
Estudio/preparación clases teóricas     25.00   25  [CG5], [CG7], [CG12], [T1], [T2], [T3], [T5], [T6], [T7], [T8], [T9], [T10], [T11], [T12], [T13], [T14], [T15], [T16], [T17], [T18], [T19], [T20], [T21], [T22], [T23], [T24], [T25], [E22], [E23], [E24], [E25], [C29]
Realización de exámenes  3.00      3  [T9], [T25]
Asistencia a tutorías  2.00      2  [T22], [T25]
Estudio autónomo individual o en grupo     35.00   35  [CG5], [CG7], [CG12], [T1], [T2], [T3], [T5], [T6], [T7], [T8], [T9], [T10], [T11], [T12], [T13], [T14], [T15], [T16], [T17], [T18], [T19], [T20], [T21], [T22], [T23], [T24], [T25], [E22], [E23], [E24], [E25], [C29]
Total horas  60   90   150 
Total ECTS  6 


8. Bibliografía / Recursos
Bibliografía básica
Gibson, Darril, Managing risk in information systems, Jones & Bartlett Learning, 2011, ISBN: 9780763791872

McCumber, John, Assessing and managing security risk in IT systems, Auerbach Publications, 2005, ISBN:0849322324
Bibliografía complementaria
Metodología MAGERIT: Libro I: Método Libro II: Catálogo de Elementos Libro III: Guía de Técnicas, https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/
Metodología OCTAVE: http://www.cert.org/octave/octaves.html
Herramienta PILAR: https://www.ccn-cert.cni.es/publico/herramientas/pilar5/tools/index.html


9. Sistema de evaluación y calificación
Descripción
La evaluación se desarrolla de manera continua durante todo el semestre a través de diferentes actividades descritas a continuación.

1.- Ejercicios prácticos donde se realizarán tareas reales y/o simuladas en las que se apliquen los conceptos y técnicas introducidos en las clases magistrales.
2.- Prácticas individuales que se realizarán en los laboratorios frente al ordenador.
3.- Pruebas de respuesta corta para la valoración de tareas del laboratorio.
4.-Trabajos en grupo para desarrollar proyectos de Análisis y Gestión de Riesgos para diferentes supuestos.
5.- Presentación y defensa de los proyectos realizados.

Los enunciados de las prácticas, trabajos y sus respectivas fechas de entrega se publicarán durante el curso. Se comunicarán las fechas de defensa de los trabajos a través del campus virtual. Será obligatoria la asistencia a clases y la participación en los seminarios y talleres, así como en las tutorías programadas.

En cada convocatoria oficial se permitirá a los alumnos que no hayan superado las actividades prácticas o no hayan podido realizarlas, presentarse a la evaluación, que se llevará a cabo mediante la entrega y valoración de una memoria de trabajo sobre un caso práctico de acuerdo a los contenidos y metodologías de la asignatura. Además deberá mantener una entrevista con el profesor en la cual expondrá el trabajo y responderá a preguntas sobre el mismo en el que se evaluará las competencias a alcanzar.


La Calificación Final (CF) de la asignatura en un período de evaluación se obtiene a partir de una Calificación de Trabajos y proyectos (CTP), una Calificación de Informes de Prácticas (CIP) y una Calificación de Proyectos (CProy).
1. CME – Calificación de micro-exámenes y actividades prácticas en el laboratorio [valor numérico entre 0 y
10]. Esta nota se obtiene de la media de las calificaciones de micro-exámenes y las actividades prácticas
en el laboratorio.
2. CPract – Calificación de Prácticas (Informes) [valor numérico entre 0 y 10]. Esta nota se obtiene de la
media de las calificaciones de de los informes las prácticas de laboratorio.
3. CProy – Calificación de Proyectos [valor numérico entre 0 y 10]. Esta nota se obtiene de los proyectos (y su
defensa) realizados por los grupos de trabajo formados para tal fin.
4. CAsist – Calificacion por asistencia tanto a clases teoricas como prácticas y de seguimiento del proyecto.
En ningún caso las notas (CF, CME, CPract, CProy) se guardarán de un curso a otro.
Así pues, la Calificación Final (CF) de un periodo de evaluación será:
CF = 10% CME + 35% CPract + 50% CProy + 5% CAsist
La estrategia evaluativa se detalla en la tabla que aparece a continuación. En ella se establecen los criterios de
evaluación de las competencias que se desarrollan en esta asignatura, así como la ponderación de los mismos
dentro de los distintos tipos de calificación descritos en el párrafo anterior.
La evaluación de los alumnos en 2º o 3º Convocatoria se realizará mediante una prueba teórico/práctica sobre los
contenidos teóricos y prácticos impartidos en la asignatura.
Será obligatorio obtener al menos un 5 en cada uno de los ejercicios prácticos propuestos en un periodo para aprobar la parte práctica.
Los enunciados de las prácticas y sus respectivas fechas de entrega se publicarán durante el curso.
La nota de prácticas sólo se guarda de un periodo a otro del mismo curso si esta nota es >= 5.
En ningún caso las notas se guardarán de un curso a otro.
En cada convocatoria oficial (Enero, Junio y Julio) se permitirá a los alumnos que no hayan superado las prácticas o no hayan podido realizarlas, presentarse a una prueba final. Las fechas de dichas pruebas se comunicarán en el campus virtual de la asignatura.
Así pues, la Calificación Final (CF) de un periodo de evaluación será:

CF = 20% CT + 40% CE + 40% CP, si CT>=5 , CE>=5 , CP>=5

CF = máximo { 20%CT, 40%CE, 40%CP }, si CT < 5 o CE < 5 o CP < 5

En caso de que el alumno no supere la evaluación continua de algunos de los bloques teóricos y/o prácticos, el alumno podrá presentarse a las convocatorias de examen fijado según convocatoria oficial de la Escuela Superior de Ingeniería y Tecnología para esta asignatura, para superar el y/o los bloque/s teóricos y/o prácticos no aprobado mediante evaluación continua. En cada una de las convocatorias, en caso de superar todos los bloques pendientes con una nota mínima de 5 por bloque, se calificará la asignatura con la nota resultante de la evaluación continua y la nota obtenida en el examen, según la ponderación descrita más arriba. En caso, de no superar todos los bloques pendientes en el examen, la nota obtenida en la convocatoria corresponderá con la nota del bloque suspendido.

Estrategia Evaluativa
TIPO DE PRUEBA COMPETENCIAS CRITERIOS PONDERACIÓN
Trabajos y proyectos  [CG5], [CG7], [CG12], [T1], [T2], [T3], [T5], [T6], [T7], [T8], [T9], [T10], [T11], [T12], [T13], [T14], [T15], [T16], [T17], [T18], [T19], [T20], [T21], [T22], [T23], [T24], [T25], [E22], [E23], [E24], [E25], [C29]   * Nivel de conocimientos adquiridos
* Adecuación a lo solicitado
* Calidad de la defensa y exposición
* Calidad del material preparado 
 50% 
Informes memorias de prácticas  [CG5], [CG7], [CG12], [T1], [T2], [T3], [T5], [T6], [T7], [T8], [T9], [T10], [T11], [T12], [T13], [T14], [T15], [T16], [T17], [T18], [T19], [T20], [T21], [T22], [T23], [T24], [T25], [E22], [E23], [E24], [E25], [C29]   * Nivel de conocimientos adquiridos
* Adecuación a lo solicitado
* Calidad del trabajo realizado 
 30% 
Valoración de las actividades prácticas en el laboratorio  [CG5], [CG7], [CG12], [T1], [T2], [T3], [T5], [T6], [T7], [T8], [T9], [T10], [T11], [T12], [T13], [T14], [T15], [T16], [T17], [T18], [T19], [T20], [T21], [T22], [T23], [T24], [T25], [E22], [E23], [E24], [E25], [C29]   * Nivel de conocimientos adquiridos
* Adecuación a lo solicitado
* Calidad del trabajo realizado 
 20% 


10. Resultados de Aprendizaje
 Como parte de un equipo de trabajo recopilar y analizar información técnica y normativa aplicable sobre los aspectos clave de las políticas adecuadas para el análisis y gestión de riesgos en sistemas de información. Aplicar dicha información a supuestos simulados, sintetizar los resultados y realizar una defensa oral del proyecto. . Generar documentación adecuada en la que se refleje la metodología utilizada.
Configurar, administrar y utilizar diferentes aplicaciones software explícitamente diseñadas para el desarrollo del Análisis y Gestión de Riesgos de los sistemas de información.
Tener capacidad de análisis del nivel de seguridad aplicando las metodologías propuestas para el Análisis y Gestión de Riesgos.
 


11. Cronograma / calendario de la asignatura
Descripción
 En el cronograma adjunto se especifican las actividades semanales a desarrollar. Fundamentalmente son: clases magistrales, realización de prácticas de laboratorio, actividades complementarias (seminarios, exposiciones orales, etc). La asignatura cuenta con 4 horas presenciales semanales.

La distribución de las actividades por semana es orientativa, puede sufrir cambios según las necesidades de la organización docente.  


Segundo Cuatrimestre
SEMANA Temas Actividades de
enseñanza aprendizaje
Horas
de trabajo
presencial
Horas
de trabajo
autónomo
Total
Semana 1:  Tema 1   Explicar el tema 1 (Conceptos básicos sobre riesgos)
Tarea 1: Realización cuestionario “ Conceptos Básicos. Ideas previas”
 
 2.00   3.00   5 
Semana 2:  Temas 2 y 3   Explicar el tema 2 (Introducción a la gestión de riesgos) y tema 3 (Los sistemas de gestión de riesgos y los objetivos del negocio).
Introducir la documentación relacionada con los informes de prácticas y las actas de sesión.
Enunciar Tarea 2:

Comienzo del informe de oportunidad.
Realización de ejercicios
 
 4.00   2.00   6 
Semana 3:  Temas 4 y 5   Explicar el tema 4 ( Estrategia de administración de riesgos) y 5 (Comunicación y sensibilización).   4.00   6.00   10 
Semana 4:  Temas 6 y 7   Explicar el tema 6 (Programa de administración de riesgos) y 7 (Roles y responsabilidades).
Formar los equipos de trabajo y realizar el reparto de roles dentro del equipo.
Finalización y entrega de la tarea 2 (Actividad online)

Realización de ejercicios
 
 4.00   5.00   9 
Semana 5:  Tema 8   Explicar primera parte del tema 8 (Metodologías, normas y marcos de gestión de riesgos)
Tarea 3: Asignación de las principales normas y marcos a los grupos de trabajo para su análisis y exposición.
 
 4.00   4.00   8 
Semana 6:  Tema 8   Explicar segunda parte del tema 8 (Metodologías, normas y marcos de gestión de riesgos)
Desarrollo tarea 3  
 4.00   6.00   10 
Semana 7:  Tema 9   Explicar el tema 9 (La gestión de riesgos y la seguridad de la información).
Desarrollo tarea 3
 
 4.00   6.00   10 
Semana 8:  Tema 10   Explicar el tema 10 (Auditoría de los sistemas de gestión de riesgos)
Entregar la tarea 3  
 4.00   5.00   9 
Semana 9:  Temas 11 y 12   Explicar el tema 11 (Estudio de oportunidad) y tema 12 (Determinación del alcance del proyecto)
Tarea 4: Introducción a la herramienta Micropilar.  
 4.00   6.00   10 
Semana 10:  Temas 13 y 14   Explicar los temas 13 (Planificación del proyecto y lanzamiento) y 14 (Identificación y evaluación de riesgos)
Finalización tarea 4: Realización del informe de esta práctica y entrega.
 
 4.00   5.00   9 
Semana 11:  Tema 15   Explicar el tema 15 (Caracterización de los activos y las amenazas)
Tarea 5: Introducción a la herramienta Pilar
 
 4.00   6.00   10 
Semana 12:  Tema 16   Explicar el tema 16 Valoración de las vulnerabilidades e impactos
Continuación tarea 5: Realización del informe de esta práctica.
 
 4.00   6.00   10 
Semana 13:  Tema 17 y 18   Explicar el tema 17 (Métodos de control) y el 18 (Medidas de control)
Continuación tarea 5: Inclusión de distintos perfiles de seguridad

 
 4.00   5.00   9 
Semana 14:  Tema 19   Explicar el tema 19 (Valoración del riesgo residual)

Finalización tarea 5: Entrega del informe
 
 4.00   6.00   10 
Semana 15:  Temas 20 y 21   Explicar el tema 20 (Planes de contingencia) y tema 21 (Planes de recuperación de negocio)

 
 4.00   4.00   8 
Semanas 16 a 18:  Evaluación   Preparación y realización de las pruebas evaluativas (presentación del proyecto, examen (en su caso)   2.00   15.00   17 
Total horas 60 90 150

Fecha de última modificación: 27-07-2017
Fecha de aprobación: 27-07-2017