1. DATOS GENERALES DEL CURSO
Nombre del curso Gestión de riesgos de sistemas
Programa al que pertenece Licenciatura en Tecnologías e Información
Créditos 8 créditos
Horas teoría 30
Horas práctica 55
Eje de formación Sistemas de información
Perfil deseable del profesor Experiencia metodología de proyectos IT, ciberseguridad, gestión de servicios, licenciatura en informática o afines
2. COMPETENCIA
El estudiante reconoce y aplica procesos que le permiten identificar y evaluar riesgos en los sistemas de información de una organización con el fin de reducir y mantener el riesgo de las TI a un nivel aceptable a partir del análisis y aplicación de la Gestión de Riesgos.
3. ATRIBUTOS DE LA COMPETENCIA Conocimientos
Gestión del Riesgo Análisis de Riesgo Identificación de Activos Identificación de Amenazas Identificación de Vulnerabilidades Análisis de los controles
Cálculo del Likelihood Análisis de Impacto Determinación de Riesgo
Documentación de Resultados Mitigación del Riesgo
Estrategias de mitigación de riesgo Implementación de Controles Riesgo Residual
Análisis costo beneficio
Habilidades
Identificación de metodologías y controles de tecnologías de la información para la Gestión de Riesgos Evaluación de riesgosActitudes Análisis, paciencia, observación v
isión a futuro en la identificación de alternativas para mejorar la Gestión de RiesgosValores
1Ética, compromiso, responsabilidad y conciencia en la importancia de la Gestión de Riesgos
1Aludir no sólo a valores universales, sino de postura ante los problemas y alternativas de atención.
4. COMPETENCIA GENERAL DEL PERFIL DE EGRESO CON QUE SE VINCULA O A LA QUE APOYA
Evaluar las necesidades informáticas de una organización, realizar análisis de sistemas, diseñar, desarrollar, integrar, operar y evaluar soluciones tecnológicas, así como optimizar el uso y la gestión de la infraestructura tecnológica en colaboración con equipos interdisciplinarios
5. RECORTE DE CONTENIDOS
Unidad 1 Unidad 2
Título
Conceptos y Marcos de Referencia Gestión de Riesgos de Sistemas
Objetivo
Identificar los conceptos básicos de la Gestión del Riesgo y conocer los diferentes Marcos de Referencia de la Gestión de Riesgos
Identificar los conceptos necesarios para lograr un análisis de riesgos, así como los conceptos necesarios para determinar los mecanismos en la mitigación y control de la Gestión de Riesgos
Contenido
Gestión del Riesgo Conceptos básicos Marcos de Referencia
Análisis de Riesgo Identificación de Activos Identificación de Amenazas
Identificación de Vulnerabilidades Análisis de los controles
Cálculo del Likelihood Análisis de Impacto Determinación de Riesgo Recomendaciones de Controles Mitigación del Riesgo y sus estrategias Implementación de Controles
Riesgo Residual
Análisis costo beneficio
Producto de la
unidad
Discutir en el foro por qué y para qué la Gestión de Riesgos es importante, después subir al buzón un mapa conceptual de los conceptos de la Gestión de Riesgos y los Marcos de Referencia
Matriz con resultado del análisis de riesgo en el sistema seleccionado
Ponderación/Valor
de la unidad 20 50
Duración
1 semana 14 semanas
1 Se pueden insertar o eliminar unidades (subcompetencias) dependiendo de las necesidades de cada curso
6. PRODUCTO INTEGRADOR
Título Análisis de Riesgos
Objetivo De acuerdo a los conceptos adquiridos durante el curso, el alumno será capaz de desarrollar un reporte ejecutivo que contenga el análisis de riesgos y recomendaciones de controles para mitigar el riesgo y mantenerlo en un nivel aceptable.
Caracterización
Presentación de video o Power Point CON AUDIO donde expliques el análisis de riesgo que se realizó durante la materia, no deberá de durar más de 10 minutos.El video debe contener al menos:
Definición del sistema de información seleccionado Identificación de Activos a proteger
Vulnerabilidades y Amenazas detectadas Mapa de Riesgo
Controles de Seguridad sugeridos
FASE 2
7. PROPUESTA DE ACTIVIDADES DE APRENDIZAJE POR UNIDADES
El número de actividades de aprendizaje de cada unidad puede variar, de acuerdo a la planeación del experto en la materia Unidad 1. Conceptos y Marcos de Referencia
Objetivo: Identificar los conceptos básicos de la Gestión del Riesgo y conocer los diferentes Marcos de Referencia de la Gestión de Riesgos
Descripción
2Producto o resultado
Actividad de aprendizaje 1 El estudiante lee el glosario del recurso proporcionado o investiga en fuentes confiables los conceptos de Gestión de Riesgo:
• Gestión de Riesgo
• CIO
• Riesgo
• Valor de Activos
• Amenaza
• Vulnerabilidad
• Ataque
• Activo
Cuestionario
• Contramedida de Seguridad
• Análisis de Riesgo
• Impacto
• Degradación
Después contesta el cuestionario.
Actividad de aprendizaje 2
El alumno reseña las principales características de los marcos de referencia para la gestión de riesgos:COSO http://www.coso.org/ermupdate.html COBIT http://www.isaca.org/Knowledge-
Center/Research/Documents/COBIT-5-Risk_res_Eng_1213.ppt
ENISA https://www.enisa.europa.eu/activities/risk-management OCTAVE http://www.cert.org/resilience/products-services/octave/
ISO 31000:2009 http://www.iso.org/iso/catalogue_detail?csnumber=43170
Reseña
Actividad integradora Gestión de Riesgo
Discutir en el foro por qué y para qué la Gestión de Riesgos es importante, después subir al buzón un mapa conceptual de los conceptos de la Gestión de Riesgos y los Marcos de Referencia
Foro y mapa conceptual
(el Foro no se evalúa) Unidad 2. Gestión de Riesgos de Sistemas
Descripción
2Producto o resultado
Actividad de aprendizaje 1 *
Realizar una reseña de lo que es un análisis de riesgo y la importancia Reseña y propuesta de análisis
para las organizaciones, además de definir el o los sistemas al que quiere realizar el análisis, (por ejemplo, la gestión de riesgos del
servidor de ERP, de la base de datos de clientes, de la página web, etc.) deben ser activos críticos para la organización
Actividad de aprendizaje 2 Identificar todos los activos que están involucrados en el análisis de
riesgo que se desea elaborar Informe
Actividad de aprendizaje 3 Identificar las potenciales amenazas que pueden explotar las
vulnerabilidades del sistema Lista
Actividad de aprendizaje 4
Identificar las vulnerabilidades que pueden ser explotadas por las amenazasLista Actividad de aprendizaje 5
Identificar los controles actuales con los que se cuenta para mitigar laprobabilidad de que una vulnerabilidad sea explotada en los activos seleccionados
Lista
Actividad de aprendizaje 6
Calcular el likelihoodReporte
Actividad de aprendizaje 7
Identificar la magnitud del impacto del RiesgoReporte Actividad de aprendizaje 8
Identificar los niveles asociados al riesgoReporte Actividad de aprendizaje 9 Identificar las estrategias de mitigación de riesgo Cuestionario Actividad de aprendizaje 10 Identificar los diferentes tipos de controles para mitigar los riesgos Cuestionario Actividad de aprendizaje 11 Identificar la implementación de controles para mitigar los riesgos Mapa Conceptual Actividad integradora 12 Realizar el análisis del Costo Beneficio de la solución propuesta Reporte
Actividad de aprendizaje 13 Identificar el Riesgo Residual en su proyecto Reporte Actividad integradora
Llenar un formato de Excel que el asesor diseñara con información obtenidade las actividades de la Unidad
Reporte
8. BIBLIOGRAFÍA
Básica Risk Management Guide for Information Technology Systems
National Institute of Standards and Technology. (2012). Risk Management Guide for Information Technology Systems. 23/02/2016, de NIST Sitio web: http://csrc.nist.gov/publications/
Complementaria
Eje de formación1 Sistemas de información
2. COMPETENCIA
El estudiante reconoce y aplica procesos que le permiten identificar y evaluar riesgos en los sistemas de información de una organización con el fin de reducir y mantener el riesgo de las TI a un nivel aceptable a partir del análisis y aplicación de la Gestión de Riesgos.
3. DESCRIPCIÓN DEL PRODUCTO
Reporte ejecutivo del análisis de riesgos en Presentación de Power Point o video Debe contener al menos:
Definición del sistema de información seleccionado Identificación de Activos a proteger
Vulnerabilidades y Amenazas detectadas Mapa de Riesgo
Controles de Seguridad sugeridos
4. CRITERIOS DE EVALUACIÓN DE FONDO Observaciones
DEMOSTRACIÓN DE COMPETENCIAS-PROCESOS2 PORCENTAJE E MB B R NA
Proceso para desarrollar la competencia
Puntaje Descripción de criterios
4.1 Identificar los conceptos básicos de la Gestión del Riesgo y conocer los diferentes Marcos de Referencia de la Gestión de Riesgos
8% Define el sistema de información seleccionado
Reconoce los marcos de referencia de la Gestión de Riesgos
4.2 Identificar los conceptos necesarios para lograr un análisis de riesgos, así como los conceptos necesarios para
80% Identifica los Activos (y su criticidad) a proteger Enlista las Vulnerabilidades y Amenazas detectadas Identifica los controles actuales de seguridad Calcula la probabilidad de que una vulnerabilidad sea
Propone recomendaciones de controles de seguridad para mitigar los riesgos
5. CRITERIOS DE EVALUACIÓN DE FORMA Observaciones
PORCENTAJE E MB B R NA
Formato del producto Puntaje Descripción de criterios
5.1 Datos de presentación 2% La portada presenta datos de la institución, el programa, el curso, datos del estudiante y fechas.
5.2 Cuerpo de trabajo 5% La redacción y la ortografía, facilita la comprensión de la información.
La información se presenta de manera lógica.
5.3 Fuentes de información 5% Las referencias y fuentes de consulta están correctamente citadas de acuerdo al sistema APA. Tanto las citas textuales y de paráfrasis como el listado final de referencias.
Las fuentes consultadas son confiables. Pertenecen a organismos educativos, gubernamentales o especializados en el área de conocimiento. Están firmados tanto por una institución de renombre, como por un autor reconocido por sus conocimientos en la materia.
La información citada tiene congruencia con el contexto del documento, ayuda a fundamentar. La información presentada es verdadera.
6. Observaciones del asesor – COMENTARIOS SOBRE LA CUALIDAD DEL PRODUCTO
