Estudios Propios 1
Estudio Propio EXPERTO EN GESTIOacuteN DE LA CIBERDEFENSA
Coacutedigo Plan de Estudios EL33
Antildeo Acadeacutemico 2020-2021
ESTRUCTURA GENERAL DEL PLAN DE ESTUDIOS
CURSO
Obligatorios Optativos Praacutecticas Externas
Memoria Proyecto
Creacuteditos Creacuteditos
Nordm Asignaturas
Creacuteditos Nordm
Asignaturas Creacuteditos Creacuteditos
1ordm 18 6 18
2ordm
3ordm
ECTS TOTALES
18 6 18
PROGRAMA TEMAacuteTICO
ASIGNATURAS OBLIGATORIAS
Coacutedigo Asignatura
Curso Denominacioacuten Caraacutecter OBOP
Creacuteditos
702210 1 BASES DE CIBERSEGURIDAD OB 3
702211 1 INTRODUCCIOacuteN A LA CIBERDEFENSA OB 3
702212 1 ASPECTOS LEGALES POLIacuteTICOS Y EacuteTICOS DEL CIBERESPACIO
OB 3
702213 1 ASPECTOS DOCTRINALES PLANEAMIENTO DE OPERACIONES
OB 3
702216 1 ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO OB 3
702221 1 CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
OB 3
Caraacutecter OB - Obligatoria OP ndash Optativa
Estudios Propios 2
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura BASES DE CIBERSEGURIDAD
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Bernardo Alarcos Alcaacutezar
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN A LA CRIPTOGRAFIacuteA
Criptografiacutea Claacutesica
Criptografiacutea de Clave Simeacutetrica
Criptografiacutea de Clave Asimeacutetrica
Criptografiacutea Cuaacutentica UD2 MECANISMOS CRIPTOGRAacuteFICOS
Introduccioacuten a los sistemas criptograacuteficos
Funciones Hash
Firma digital
Infraestructuras de clave puacuteblica
Funciones HMAC
Protocolos de autenticacioacuten UD3 APLICACIONES CRIPTOGRAacuteFICAS
Comercio Electroacutenico
Redes Privadas Virtuales (VPN)
Correo Electroacutenico Seguro
Seguridad en la Web
Establecimiento de sesiones seguras
Seguridad WIFI
Estudios Propios 3
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 Kriptopolis httpwwwkriptopoliscom - Web dedicado a la criptografiacutea en donde podraacutes mantenerte actualizado de los avances en
este campo 2 Hispasec httpwwwhispaseccom
- Web dedicado a la seguridad en general en donde puedes mantenerte actualizado sobre nuevas vulnerabilidades y noticias relacionadas con la seguridad
Lecturas complementarias
1 Algoritmo AES (Anexo I de la Unidad I) o Descripcioacuten detallada del algoritmo AES
2 Meacutetodos de cifrado simeacutetrico (Anexo II de la Unidad I) o Descripcioacuten sobre la formas de usar los algoritmos simeacutetricos es necesario conocerlos para
saber cuaacutendo se requiere el uso de vector de inicializacioacuten en un algoritmo 3 Intercambio de clave de Diffie Helmann (Anexo III de la Unidad I)
o Descripcioacuten detallada del funcionamiento de estos mecanismos para intercambiar un valor secreto
4 Algoritmo RSA (Anexo IV de la Unidad I) o Descripcioacuten detallada del algoritmo de clave simeacutetrica maacutes utilizado el algoritmo RSA
5 Criptografiacutea basada en Curvas Eliacutepticas (Anexo V de la Unidad I) o Descripcioacuten detallada de los algoritmos basados en curvas eliacutepticas y su uso y ventajas en la
criptografiacutea Bibliografiacutea recomendada y complementaria
En la Unidad se hace referencias a bibliografiacutea que permite ampliar los conceptos tratados en el lugar de la referencia Laboratorio de criptografiacutea
Se aconseja usar las herramientas didaacutecticas cryptools versioacuten 1 y 2 para hacer praacutecticas sobre los algoritmos criptograacuteficos claacutesicos y modernos y poder usar herramientas de criptoanaacutelisis httpswwwcryptoolorgen
Estudios Propios 4
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura INTRODUCCIOacuteN A LA CIBERDEFENSA
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO
Introduccioacuten
Definicioacuten y caracteriacutesticas
El ciberespacio como escenario social y geoestrateacutegico
UD2 CIBERSEGURIDAD Y CIBERDEFENSA
Conceptos y estrategias
Amenazas en y desde el ciberespacio
UD3 CIBERDEFENSA
Conflicto en el ciberespacio
Aproximaciones internacionales a la ciberdefensa
Prospectiva sobre una posible evolucioacuten del ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 Asociacioacuten de Diplomados en Altos Estudios de la Defensa Nacional Antiguos alumnos del CESEDEN httpadaledeorgvideotecavideos-adalede
2 Cybersecurity and Why Definitions Are Risky
httpisnblogethzchintelligencecybersecurity-and-the-problem-of-definitions
Estudios Propios 5
3 Cyber Security by the Numbers
httpwww-935ibmcomservicesusensecurityinfographiccybersecurityindexhtmlgoback=2Egde_1836487_member_580014770544340173021
4 La mano que mueve el ratoacuten
httprevistasicesindexphpoption=com_contentampview=articleampid=837ampItemid=820
5 Documento de opinioacuten Ciberespacio
httpwwwieeeescontenidonoticias201306DIEEEO57-2013html
6 La ciberseguridad un riesgo pero tambieacuten una garantiacutea para la libertad
httpabcblogsabcesley-redpublicpostla-ciberseguridad-un-riesgo-pero-tambien-una-garantia-para-la-libertad-15860asp
7 Cybersecurity Authoritative Reports and Resources by Topic
httpwwwfasorgsgpcrsmiscR42507pdf Lecturas complementarias
bull Monografiacuteas del CESEDEN httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros126_EL_CIBERESPACIO_NUEVO_ESCENARIO_DE_CONFRONTACIONpdf
bull El ciberespacio como entorno social y de conflicto httpwwwieeeesGaleriasficherodocs_opinion2012DIEEEO17_CiberespacioConflicto_Agredapdf
bull Why Cibersecurity must be defined by processs not tech httpblogswsjcomcio20141211why-cybersecurity-must-be-defined-by-process-not-tech
bull Miradas sobre el control de nuestras vidas Huxley y Orwell httpswwwyoutubecomwatchv=vqTiSXnWD90 httpssociologoscom20131018miradas-sobre-el-control-de-nuestras-vidas-huxley-y-orwell
bull IV Jornadas de Estudios de Seguridad httpiugmespublicacionescoleccioneslibros-investigacionid=142
bull Center on Public Diplomacy httpuscpublicdiplomacyorgbloghacking-diplomacy
bull Geopoliacuteticas en la nube httpwwwblogrielcanoorgel-espectador-global-geopolitica-en-la-nube
bull The Strategic Significance of the Internet Commons httpwwwisnethzchDigital-LibraryArticlesDetaillng=enampid=182692
Estudios Propios 6
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS LEGALES POLIacuteTICOS Y EacuteTICOS DEL CIBERESPACIO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 ASPECTOS EacuteTICOS POLIacuteTICOS Y JURIacuteDICOS DEL CIBERESPACIO
Introduccioacuten
Eacutetica y Ciberespacio
Poliacutetica y Ciberespacio
UD2 ASPECTOS JURIacuteDICOS DE DERECHO NACIONAL
La normativa sobre Ciberseguridad
El estado de la cooperacioacuten sobre ciberseguridad
La normativa espantildeola sobre ciberseguridad
UD3 ASPECTOS JURIacuteDICOS DE DERECHO INTERNACIONAL
El principio de prohibicioacuten del uso y de la amenaza de la fuerza
El derecho internacional de los conflictos armados
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
BARRET JR Barrington M ldquoInformation Warfare Chinarsquos Response to US Technological Advantagesrdquo International Journal of Intelligence and Counterintelligence 18 nuacutemero 4 (2005) paacuteginas 682ndash706
httpwwwtandfonlinecomdoiabs10108008850600500177135
BUCKLAND Benjamin Democratic Governance Challenges of Ciber Security DCAF 2015 httpwwwdcafchPublicationsDemocratic-Governance-Challenges-of-Cyber-Security
Estudios Propios 7
COOK Tim A message to our custormers 16022016 web de Apple httpwwwapplecomcustomer-letter
DEIBERT Ronald The growing dark side of cyberspace Penn State Journal of Law and International Affairs volumen 1 tomo 2 noviembre de 2012
httpelibrarylawpsueducgiviewcontentcgiarticle=1012ampcontext=jlia
FORSYTH James W y POPE B Structural Causes and Cyber Effects Why International Order is Inevitable in Cyberspace Strategic Studies Quarterly nuacutemero de invierno de 2014
httpwwwauafmilaussqdigitalpdfwinter_14forsythpdf
GARCIacuteA MEXIacuteA Pablo Internet el nuevo campo de batalla Foro de la sociedad civil httpwwwforosociedadcivilorginternet-el-nuevo-campo-de-batalla-pablo-garcia-mexia
GARCIacuteA MEXIacuteA Pablo La Ley en la Red Blog de ABCes httpabcblogsabcesley-red
International Strategy for Cyberspace httpswwwwhitehousegovsitesdefaultfilesrss_viewerinternational_strategy_for_cyberspacepdf
JESCHKE Rebecca EFF to Apple Shareholders Your Company Is Fighting for All of Us Electronic Frontier Foundation 26022016
httpswwwefforgesdeeplinks201602eff-apples-shareholders-meeting-statement-support
KRUGER LG Internet governance and Developing countries implications for India RIS Policy Brief nuacutem 63 marzo de 2014
httpwwwrisorginsitesdefaultfilespdfRIS20Policy20Brief-63pdf
KRUGER LG Internet governance and domain names system Issues for Congress Congressional Research Service 23 de marzo de 2016
httpswwwfasorgsgpcrsmiscR42351pdf
LERIG Lawrence Code versioacuten 20 httpcodev2ccdownload+remixLessig-Codev2pdf
LESSIG Lawrence El coacutedigo y otras leyes del ciberespacio Taurus Digital 2001 httpwwwnodo50orglecturaslessig_el_codigohtm
LEWIS JA Internet Governance Inevitable Transitions CIGI (Center for International Governance Innovation) paper nuacutemero 4 octubre de 2013
httpswwwcigionlineorgpublications201310internet-governance-inevitable-transitions
MAZANEC B Why International Order in Cyberspace Is Not Inevitable Strategic Studies Quarterly verano de 2015
httpwwwauafmilaussqdigitalpdfSummer_2015mazanecpdf
PERRY BARLOW John A Declaration of Independence of Cyberspace 8 de febrero de 1996 Disponible en httpswwwefforgescyberspace-independence
SAacuteNCHEZ DE ROJAS Emilio Cooperacioacuten internacional en temas de ciberseguridad capiacutetulo 5 de la Monografiacutea 137 del CESEDEN Necesidad de una conciencia nacional de ciberseguridad La ciberdefensa un reto prioritario paacutegina 262 Publicaciones de Defensa 2013 ISBN 978-84-9781-862-9Consultado el 22 de marzo de 2016
httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros137_NECESIDAD_DE_UNA_CONCIENCIA_NACIONAL_DE_CIBERSEGURIDAD_LA_CIBERDEFENSA_UN_RETO_PRIORITARIOpdf
Sentencia del TJUE sobre el Derecho al olvido httpwwwabogaciaeswp-contentuploads201405Sentencia-131-12-TJUE-derecho-al-olvidopdf
SINGH Parminder Jeet ldquoIndiarsquos Proposal Will Help Take the Web out of US Controlrdquo Hindu Online 17 de mayo de 2012
httpwwwthehinducomopinionop-edarticle3426292ece
YANAKOGEORGOS Panayotis A Internet governance and National Security Strategic Studies Quarterly volumen 6 nuacutemero 3 otontildeo de 2012
httpwwwauafmilaussq2012fallyannakogeorgospdf Bibliografiacutea recomendada y complementaria
LIBICKI Martin Conquest in Cyberspace New York Cambridge University Press 2007
WU Tim The Master Switch The Rise and Fall of Information Empires New York Alfred A Knopf 2010 ISBN 978-0307390998
ABBATE Janet Inventing the Internet The MIT Press 1999 ISBN 9780262011723
Estudios Propios 8
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS DOCTRINALES PLANEAMIENTO DE OPERACIONES
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Javier Lopez de Turiso y Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO COMO ENTORNO OPERATIVO
Introduccioacuten a los instrumentos de poder de los estados
El instrumento de poder militar
El campo de batalla operativo el ciberespacio
Conceptos del empleo militar en el ciberespacio
Doctrinas de empleo del poder militar en el ciberespacio
UD2 CAPACIDADES DE LA CIBERDEFENSA
Capacidades requeridas para operar en el ciberespacio
Fuerzas de ciberdefensa Estructura y organizacioacuten
UD3 OPERACIONES MILITARES EN EL CIBERESPACIO
Operaciones en el ciberespacio Caraacutecter estrateacutegico operacional y taacutectico
Operaciones especiacuteficas conjuntas y combinadas (necesidad de autoridad de control del CS)
Guerra electroacutenica y ciberespacio
Planeamiento de operaciones en el ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Cyber Doctrine Towards a coherent evolutionary framework for learning resilience JP MacIntosh J Reid and LR Tyler
Estudios Propios 9
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Juan Ramoacuten Bermejo Higuera
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN AL ANAacuteLISIS Y GESTIOacuteN DEL RIESGO ESTAacuteTICO Y DINAacuteMICO
Introduccioacuten al Anaacutelisis y gestioacuten de Riesgos
Sistemas de Gestioacuten de Seguridad de la Informacioacuten
Metodologiacuteas de Anaacutelisis y gestioacuten de Riesgos
Modelado de amenazas en Aplicaciones
UD2 PROYECTOS DE ANAacuteLISIS Y GESTIOacuteN DE RIESGOS
Proyectos de Anaacutelisis y gestioacuten de Riesgos AARR
Herramienta PILAR
UD3 ANAacuteLISIS Y GESTIOacuteN DEL RIESGO DINAacuteMICO (DRA)
Introduccioacuten al Anaacutelisis y Gestioacuten del riesgo dinaacutemico
Arquitecturas y tecnologiacuteas DRA
DRA framework Sistema CAESARS
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 SGSI NIST RMF o Risk management framework del NIST
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 2
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura BASES DE CIBERSEGURIDAD
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Bernardo Alarcos Alcaacutezar
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN A LA CRIPTOGRAFIacuteA
Criptografiacutea Claacutesica
Criptografiacutea de Clave Simeacutetrica
Criptografiacutea de Clave Asimeacutetrica
Criptografiacutea Cuaacutentica UD2 MECANISMOS CRIPTOGRAacuteFICOS
Introduccioacuten a los sistemas criptograacuteficos
Funciones Hash
Firma digital
Infraestructuras de clave puacuteblica
Funciones HMAC
Protocolos de autenticacioacuten UD3 APLICACIONES CRIPTOGRAacuteFICAS
Comercio Electroacutenico
Redes Privadas Virtuales (VPN)
Correo Electroacutenico Seguro
Seguridad en la Web
Establecimiento de sesiones seguras
Seguridad WIFI
Estudios Propios 3
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 Kriptopolis httpwwwkriptopoliscom - Web dedicado a la criptografiacutea en donde podraacutes mantenerte actualizado de los avances en
este campo 2 Hispasec httpwwwhispaseccom
- Web dedicado a la seguridad en general en donde puedes mantenerte actualizado sobre nuevas vulnerabilidades y noticias relacionadas con la seguridad
Lecturas complementarias
1 Algoritmo AES (Anexo I de la Unidad I) o Descripcioacuten detallada del algoritmo AES
2 Meacutetodos de cifrado simeacutetrico (Anexo II de la Unidad I) o Descripcioacuten sobre la formas de usar los algoritmos simeacutetricos es necesario conocerlos para
saber cuaacutendo se requiere el uso de vector de inicializacioacuten en un algoritmo 3 Intercambio de clave de Diffie Helmann (Anexo III de la Unidad I)
o Descripcioacuten detallada del funcionamiento de estos mecanismos para intercambiar un valor secreto
4 Algoritmo RSA (Anexo IV de la Unidad I) o Descripcioacuten detallada del algoritmo de clave simeacutetrica maacutes utilizado el algoritmo RSA
5 Criptografiacutea basada en Curvas Eliacutepticas (Anexo V de la Unidad I) o Descripcioacuten detallada de los algoritmos basados en curvas eliacutepticas y su uso y ventajas en la
criptografiacutea Bibliografiacutea recomendada y complementaria
En la Unidad se hace referencias a bibliografiacutea que permite ampliar los conceptos tratados en el lugar de la referencia Laboratorio de criptografiacutea
Se aconseja usar las herramientas didaacutecticas cryptools versioacuten 1 y 2 para hacer praacutecticas sobre los algoritmos criptograacuteficos claacutesicos y modernos y poder usar herramientas de criptoanaacutelisis httpswwwcryptoolorgen
Estudios Propios 4
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura INTRODUCCIOacuteN A LA CIBERDEFENSA
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO
Introduccioacuten
Definicioacuten y caracteriacutesticas
El ciberespacio como escenario social y geoestrateacutegico
UD2 CIBERSEGURIDAD Y CIBERDEFENSA
Conceptos y estrategias
Amenazas en y desde el ciberespacio
UD3 CIBERDEFENSA
Conflicto en el ciberespacio
Aproximaciones internacionales a la ciberdefensa
Prospectiva sobre una posible evolucioacuten del ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 Asociacioacuten de Diplomados en Altos Estudios de la Defensa Nacional Antiguos alumnos del CESEDEN httpadaledeorgvideotecavideos-adalede
2 Cybersecurity and Why Definitions Are Risky
httpisnblogethzchintelligencecybersecurity-and-the-problem-of-definitions
Estudios Propios 5
3 Cyber Security by the Numbers
httpwww-935ibmcomservicesusensecurityinfographiccybersecurityindexhtmlgoback=2Egde_1836487_member_580014770544340173021
4 La mano que mueve el ratoacuten
httprevistasicesindexphpoption=com_contentampview=articleampid=837ampItemid=820
5 Documento de opinioacuten Ciberespacio
httpwwwieeeescontenidonoticias201306DIEEEO57-2013html
6 La ciberseguridad un riesgo pero tambieacuten una garantiacutea para la libertad
httpabcblogsabcesley-redpublicpostla-ciberseguridad-un-riesgo-pero-tambien-una-garantia-para-la-libertad-15860asp
7 Cybersecurity Authoritative Reports and Resources by Topic
httpwwwfasorgsgpcrsmiscR42507pdf Lecturas complementarias
bull Monografiacuteas del CESEDEN httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros126_EL_CIBERESPACIO_NUEVO_ESCENARIO_DE_CONFRONTACIONpdf
bull El ciberespacio como entorno social y de conflicto httpwwwieeeesGaleriasficherodocs_opinion2012DIEEEO17_CiberespacioConflicto_Agredapdf
bull Why Cibersecurity must be defined by processs not tech httpblogswsjcomcio20141211why-cybersecurity-must-be-defined-by-process-not-tech
bull Miradas sobre el control de nuestras vidas Huxley y Orwell httpswwwyoutubecomwatchv=vqTiSXnWD90 httpssociologoscom20131018miradas-sobre-el-control-de-nuestras-vidas-huxley-y-orwell
bull IV Jornadas de Estudios de Seguridad httpiugmespublicacionescoleccioneslibros-investigacionid=142
bull Center on Public Diplomacy httpuscpublicdiplomacyorgbloghacking-diplomacy
bull Geopoliacuteticas en la nube httpwwwblogrielcanoorgel-espectador-global-geopolitica-en-la-nube
bull The Strategic Significance of the Internet Commons httpwwwisnethzchDigital-LibraryArticlesDetaillng=enampid=182692
Estudios Propios 6
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS LEGALES POLIacuteTICOS Y EacuteTICOS DEL CIBERESPACIO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 ASPECTOS EacuteTICOS POLIacuteTICOS Y JURIacuteDICOS DEL CIBERESPACIO
Introduccioacuten
Eacutetica y Ciberespacio
Poliacutetica y Ciberespacio
UD2 ASPECTOS JURIacuteDICOS DE DERECHO NACIONAL
La normativa sobre Ciberseguridad
El estado de la cooperacioacuten sobre ciberseguridad
La normativa espantildeola sobre ciberseguridad
UD3 ASPECTOS JURIacuteDICOS DE DERECHO INTERNACIONAL
El principio de prohibicioacuten del uso y de la amenaza de la fuerza
El derecho internacional de los conflictos armados
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
BARRET JR Barrington M ldquoInformation Warfare Chinarsquos Response to US Technological Advantagesrdquo International Journal of Intelligence and Counterintelligence 18 nuacutemero 4 (2005) paacuteginas 682ndash706
httpwwwtandfonlinecomdoiabs10108008850600500177135
BUCKLAND Benjamin Democratic Governance Challenges of Ciber Security DCAF 2015 httpwwwdcafchPublicationsDemocratic-Governance-Challenges-of-Cyber-Security
Estudios Propios 7
COOK Tim A message to our custormers 16022016 web de Apple httpwwwapplecomcustomer-letter
DEIBERT Ronald The growing dark side of cyberspace Penn State Journal of Law and International Affairs volumen 1 tomo 2 noviembre de 2012
httpelibrarylawpsueducgiviewcontentcgiarticle=1012ampcontext=jlia
FORSYTH James W y POPE B Structural Causes and Cyber Effects Why International Order is Inevitable in Cyberspace Strategic Studies Quarterly nuacutemero de invierno de 2014
httpwwwauafmilaussqdigitalpdfwinter_14forsythpdf
GARCIacuteA MEXIacuteA Pablo Internet el nuevo campo de batalla Foro de la sociedad civil httpwwwforosociedadcivilorginternet-el-nuevo-campo-de-batalla-pablo-garcia-mexia
GARCIacuteA MEXIacuteA Pablo La Ley en la Red Blog de ABCes httpabcblogsabcesley-red
International Strategy for Cyberspace httpswwwwhitehousegovsitesdefaultfilesrss_viewerinternational_strategy_for_cyberspacepdf
JESCHKE Rebecca EFF to Apple Shareholders Your Company Is Fighting for All of Us Electronic Frontier Foundation 26022016
httpswwwefforgesdeeplinks201602eff-apples-shareholders-meeting-statement-support
KRUGER LG Internet governance and Developing countries implications for India RIS Policy Brief nuacutem 63 marzo de 2014
httpwwwrisorginsitesdefaultfilespdfRIS20Policy20Brief-63pdf
KRUGER LG Internet governance and domain names system Issues for Congress Congressional Research Service 23 de marzo de 2016
httpswwwfasorgsgpcrsmiscR42351pdf
LERIG Lawrence Code versioacuten 20 httpcodev2ccdownload+remixLessig-Codev2pdf
LESSIG Lawrence El coacutedigo y otras leyes del ciberespacio Taurus Digital 2001 httpwwwnodo50orglecturaslessig_el_codigohtm
LEWIS JA Internet Governance Inevitable Transitions CIGI (Center for International Governance Innovation) paper nuacutemero 4 octubre de 2013
httpswwwcigionlineorgpublications201310internet-governance-inevitable-transitions
MAZANEC B Why International Order in Cyberspace Is Not Inevitable Strategic Studies Quarterly verano de 2015
httpwwwauafmilaussqdigitalpdfSummer_2015mazanecpdf
PERRY BARLOW John A Declaration of Independence of Cyberspace 8 de febrero de 1996 Disponible en httpswwwefforgescyberspace-independence
SAacuteNCHEZ DE ROJAS Emilio Cooperacioacuten internacional en temas de ciberseguridad capiacutetulo 5 de la Monografiacutea 137 del CESEDEN Necesidad de una conciencia nacional de ciberseguridad La ciberdefensa un reto prioritario paacutegina 262 Publicaciones de Defensa 2013 ISBN 978-84-9781-862-9Consultado el 22 de marzo de 2016
httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros137_NECESIDAD_DE_UNA_CONCIENCIA_NACIONAL_DE_CIBERSEGURIDAD_LA_CIBERDEFENSA_UN_RETO_PRIORITARIOpdf
Sentencia del TJUE sobre el Derecho al olvido httpwwwabogaciaeswp-contentuploads201405Sentencia-131-12-TJUE-derecho-al-olvidopdf
SINGH Parminder Jeet ldquoIndiarsquos Proposal Will Help Take the Web out of US Controlrdquo Hindu Online 17 de mayo de 2012
httpwwwthehinducomopinionop-edarticle3426292ece
YANAKOGEORGOS Panayotis A Internet governance and National Security Strategic Studies Quarterly volumen 6 nuacutemero 3 otontildeo de 2012
httpwwwauafmilaussq2012fallyannakogeorgospdf Bibliografiacutea recomendada y complementaria
LIBICKI Martin Conquest in Cyberspace New York Cambridge University Press 2007
WU Tim The Master Switch The Rise and Fall of Information Empires New York Alfred A Knopf 2010 ISBN 978-0307390998
ABBATE Janet Inventing the Internet The MIT Press 1999 ISBN 9780262011723
Estudios Propios 8
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS DOCTRINALES PLANEAMIENTO DE OPERACIONES
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Javier Lopez de Turiso y Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO COMO ENTORNO OPERATIVO
Introduccioacuten a los instrumentos de poder de los estados
El instrumento de poder militar
El campo de batalla operativo el ciberespacio
Conceptos del empleo militar en el ciberespacio
Doctrinas de empleo del poder militar en el ciberespacio
UD2 CAPACIDADES DE LA CIBERDEFENSA
Capacidades requeridas para operar en el ciberespacio
Fuerzas de ciberdefensa Estructura y organizacioacuten
UD3 OPERACIONES MILITARES EN EL CIBERESPACIO
Operaciones en el ciberespacio Caraacutecter estrateacutegico operacional y taacutectico
Operaciones especiacuteficas conjuntas y combinadas (necesidad de autoridad de control del CS)
Guerra electroacutenica y ciberespacio
Planeamiento de operaciones en el ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Cyber Doctrine Towards a coherent evolutionary framework for learning resilience JP MacIntosh J Reid and LR Tyler
Estudios Propios 9
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Juan Ramoacuten Bermejo Higuera
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN AL ANAacuteLISIS Y GESTIOacuteN DEL RIESGO ESTAacuteTICO Y DINAacuteMICO
Introduccioacuten al Anaacutelisis y gestioacuten de Riesgos
Sistemas de Gestioacuten de Seguridad de la Informacioacuten
Metodologiacuteas de Anaacutelisis y gestioacuten de Riesgos
Modelado de amenazas en Aplicaciones
UD2 PROYECTOS DE ANAacuteLISIS Y GESTIOacuteN DE RIESGOS
Proyectos de Anaacutelisis y gestioacuten de Riesgos AARR
Herramienta PILAR
UD3 ANAacuteLISIS Y GESTIOacuteN DEL RIESGO DINAacuteMICO (DRA)
Introduccioacuten al Anaacutelisis y Gestioacuten del riesgo dinaacutemico
Arquitecturas y tecnologiacuteas DRA
DRA framework Sistema CAESARS
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 SGSI NIST RMF o Risk management framework del NIST
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 3
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 Kriptopolis httpwwwkriptopoliscom - Web dedicado a la criptografiacutea en donde podraacutes mantenerte actualizado de los avances en
este campo 2 Hispasec httpwwwhispaseccom
- Web dedicado a la seguridad en general en donde puedes mantenerte actualizado sobre nuevas vulnerabilidades y noticias relacionadas con la seguridad
Lecturas complementarias
1 Algoritmo AES (Anexo I de la Unidad I) o Descripcioacuten detallada del algoritmo AES
2 Meacutetodos de cifrado simeacutetrico (Anexo II de la Unidad I) o Descripcioacuten sobre la formas de usar los algoritmos simeacutetricos es necesario conocerlos para
saber cuaacutendo se requiere el uso de vector de inicializacioacuten en un algoritmo 3 Intercambio de clave de Diffie Helmann (Anexo III de la Unidad I)
o Descripcioacuten detallada del funcionamiento de estos mecanismos para intercambiar un valor secreto
4 Algoritmo RSA (Anexo IV de la Unidad I) o Descripcioacuten detallada del algoritmo de clave simeacutetrica maacutes utilizado el algoritmo RSA
5 Criptografiacutea basada en Curvas Eliacutepticas (Anexo V de la Unidad I) o Descripcioacuten detallada de los algoritmos basados en curvas eliacutepticas y su uso y ventajas en la
criptografiacutea Bibliografiacutea recomendada y complementaria
En la Unidad se hace referencias a bibliografiacutea que permite ampliar los conceptos tratados en el lugar de la referencia Laboratorio de criptografiacutea
Se aconseja usar las herramientas didaacutecticas cryptools versioacuten 1 y 2 para hacer praacutecticas sobre los algoritmos criptograacuteficos claacutesicos y modernos y poder usar herramientas de criptoanaacutelisis httpswwwcryptoolorgen
Estudios Propios 4
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura INTRODUCCIOacuteN A LA CIBERDEFENSA
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO
Introduccioacuten
Definicioacuten y caracteriacutesticas
El ciberespacio como escenario social y geoestrateacutegico
UD2 CIBERSEGURIDAD Y CIBERDEFENSA
Conceptos y estrategias
Amenazas en y desde el ciberespacio
UD3 CIBERDEFENSA
Conflicto en el ciberespacio
Aproximaciones internacionales a la ciberdefensa
Prospectiva sobre una posible evolucioacuten del ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 Asociacioacuten de Diplomados en Altos Estudios de la Defensa Nacional Antiguos alumnos del CESEDEN httpadaledeorgvideotecavideos-adalede
2 Cybersecurity and Why Definitions Are Risky
httpisnblogethzchintelligencecybersecurity-and-the-problem-of-definitions
Estudios Propios 5
3 Cyber Security by the Numbers
httpwww-935ibmcomservicesusensecurityinfographiccybersecurityindexhtmlgoback=2Egde_1836487_member_580014770544340173021
4 La mano que mueve el ratoacuten
httprevistasicesindexphpoption=com_contentampview=articleampid=837ampItemid=820
5 Documento de opinioacuten Ciberespacio
httpwwwieeeescontenidonoticias201306DIEEEO57-2013html
6 La ciberseguridad un riesgo pero tambieacuten una garantiacutea para la libertad
httpabcblogsabcesley-redpublicpostla-ciberseguridad-un-riesgo-pero-tambien-una-garantia-para-la-libertad-15860asp
7 Cybersecurity Authoritative Reports and Resources by Topic
httpwwwfasorgsgpcrsmiscR42507pdf Lecturas complementarias
bull Monografiacuteas del CESEDEN httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros126_EL_CIBERESPACIO_NUEVO_ESCENARIO_DE_CONFRONTACIONpdf
bull El ciberespacio como entorno social y de conflicto httpwwwieeeesGaleriasficherodocs_opinion2012DIEEEO17_CiberespacioConflicto_Agredapdf
bull Why Cibersecurity must be defined by processs not tech httpblogswsjcomcio20141211why-cybersecurity-must-be-defined-by-process-not-tech
bull Miradas sobre el control de nuestras vidas Huxley y Orwell httpswwwyoutubecomwatchv=vqTiSXnWD90 httpssociologoscom20131018miradas-sobre-el-control-de-nuestras-vidas-huxley-y-orwell
bull IV Jornadas de Estudios de Seguridad httpiugmespublicacionescoleccioneslibros-investigacionid=142
bull Center on Public Diplomacy httpuscpublicdiplomacyorgbloghacking-diplomacy
bull Geopoliacuteticas en la nube httpwwwblogrielcanoorgel-espectador-global-geopolitica-en-la-nube
bull The Strategic Significance of the Internet Commons httpwwwisnethzchDigital-LibraryArticlesDetaillng=enampid=182692
Estudios Propios 6
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS LEGALES POLIacuteTICOS Y EacuteTICOS DEL CIBERESPACIO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 ASPECTOS EacuteTICOS POLIacuteTICOS Y JURIacuteDICOS DEL CIBERESPACIO
Introduccioacuten
Eacutetica y Ciberespacio
Poliacutetica y Ciberespacio
UD2 ASPECTOS JURIacuteDICOS DE DERECHO NACIONAL
La normativa sobre Ciberseguridad
El estado de la cooperacioacuten sobre ciberseguridad
La normativa espantildeola sobre ciberseguridad
UD3 ASPECTOS JURIacuteDICOS DE DERECHO INTERNACIONAL
El principio de prohibicioacuten del uso y de la amenaza de la fuerza
El derecho internacional de los conflictos armados
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
BARRET JR Barrington M ldquoInformation Warfare Chinarsquos Response to US Technological Advantagesrdquo International Journal of Intelligence and Counterintelligence 18 nuacutemero 4 (2005) paacuteginas 682ndash706
httpwwwtandfonlinecomdoiabs10108008850600500177135
BUCKLAND Benjamin Democratic Governance Challenges of Ciber Security DCAF 2015 httpwwwdcafchPublicationsDemocratic-Governance-Challenges-of-Cyber-Security
Estudios Propios 7
COOK Tim A message to our custormers 16022016 web de Apple httpwwwapplecomcustomer-letter
DEIBERT Ronald The growing dark side of cyberspace Penn State Journal of Law and International Affairs volumen 1 tomo 2 noviembre de 2012
httpelibrarylawpsueducgiviewcontentcgiarticle=1012ampcontext=jlia
FORSYTH James W y POPE B Structural Causes and Cyber Effects Why International Order is Inevitable in Cyberspace Strategic Studies Quarterly nuacutemero de invierno de 2014
httpwwwauafmilaussqdigitalpdfwinter_14forsythpdf
GARCIacuteA MEXIacuteA Pablo Internet el nuevo campo de batalla Foro de la sociedad civil httpwwwforosociedadcivilorginternet-el-nuevo-campo-de-batalla-pablo-garcia-mexia
GARCIacuteA MEXIacuteA Pablo La Ley en la Red Blog de ABCes httpabcblogsabcesley-red
International Strategy for Cyberspace httpswwwwhitehousegovsitesdefaultfilesrss_viewerinternational_strategy_for_cyberspacepdf
JESCHKE Rebecca EFF to Apple Shareholders Your Company Is Fighting for All of Us Electronic Frontier Foundation 26022016
httpswwwefforgesdeeplinks201602eff-apples-shareholders-meeting-statement-support
KRUGER LG Internet governance and Developing countries implications for India RIS Policy Brief nuacutem 63 marzo de 2014
httpwwwrisorginsitesdefaultfilespdfRIS20Policy20Brief-63pdf
KRUGER LG Internet governance and domain names system Issues for Congress Congressional Research Service 23 de marzo de 2016
httpswwwfasorgsgpcrsmiscR42351pdf
LERIG Lawrence Code versioacuten 20 httpcodev2ccdownload+remixLessig-Codev2pdf
LESSIG Lawrence El coacutedigo y otras leyes del ciberespacio Taurus Digital 2001 httpwwwnodo50orglecturaslessig_el_codigohtm
LEWIS JA Internet Governance Inevitable Transitions CIGI (Center for International Governance Innovation) paper nuacutemero 4 octubre de 2013
httpswwwcigionlineorgpublications201310internet-governance-inevitable-transitions
MAZANEC B Why International Order in Cyberspace Is Not Inevitable Strategic Studies Quarterly verano de 2015
httpwwwauafmilaussqdigitalpdfSummer_2015mazanecpdf
PERRY BARLOW John A Declaration of Independence of Cyberspace 8 de febrero de 1996 Disponible en httpswwwefforgescyberspace-independence
SAacuteNCHEZ DE ROJAS Emilio Cooperacioacuten internacional en temas de ciberseguridad capiacutetulo 5 de la Monografiacutea 137 del CESEDEN Necesidad de una conciencia nacional de ciberseguridad La ciberdefensa un reto prioritario paacutegina 262 Publicaciones de Defensa 2013 ISBN 978-84-9781-862-9Consultado el 22 de marzo de 2016
httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros137_NECESIDAD_DE_UNA_CONCIENCIA_NACIONAL_DE_CIBERSEGURIDAD_LA_CIBERDEFENSA_UN_RETO_PRIORITARIOpdf
Sentencia del TJUE sobre el Derecho al olvido httpwwwabogaciaeswp-contentuploads201405Sentencia-131-12-TJUE-derecho-al-olvidopdf
SINGH Parminder Jeet ldquoIndiarsquos Proposal Will Help Take the Web out of US Controlrdquo Hindu Online 17 de mayo de 2012
httpwwwthehinducomopinionop-edarticle3426292ece
YANAKOGEORGOS Panayotis A Internet governance and National Security Strategic Studies Quarterly volumen 6 nuacutemero 3 otontildeo de 2012
httpwwwauafmilaussq2012fallyannakogeorgospdf Bibliografiacutea recomendada y complementaria
LIBICKI Martin Conquest in Cyberspace New York Cambridge University Press 2007
WU Tim The Master Switch The Rise and Fall of Information Empires New York Alfred A Knopf 2010 ISBN 978-0307390998
ABBATE Janet Inventing the Internet The MIT Press 1999 ISBN 9780262011723
Estudios Propios 8
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS DOCTRINALES PLANEAMIENTO DE OPERACIONES
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Javier Lopez de Turiso y Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO COMO ENTORNO OPERATIVO
Introduccioacuten a los instrumentos de poder de los estados
El instrumento de poder militar
El campo de batalla operativo el ciberespacio
Conceptos del empleo militar en el ciberespacio
Doctrinas de empleo del poder militar en el ciberespacio
UD2 CAPACIDADES DE LA CIBERDEFENSA
Capacidades requeridas para operar en el ciberespacio
Fuerzas de ciberdefensa Estructura y organizacioacuten
UD3 OPERACIONES MILITARES EN EL CIBERESPACIO
Operaciones en el ciberespacio Caraacutecter estrateacutegico operacional y taacutectico
Operaciones especiacuteficas conjuntas y combinadas (necesidad de autoridad de control del CS)
Guerra electroacutenica y ciberespacio
Planeamiento de operaciones en el ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Cyber Doctrine Towards a coherent evolutionary framework for learning resilience JP MacIntosh J Reid and LR Tyler
Estudios Propios 9
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Juan Ramoacuten Bermejo Higuera
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN AL ANAacuteLISIS Y GESTIOacuteN DEL RIESGO ESTAacuteTICO Y DINAacuteMICO
Introduccioacuten al Anaacutelisis y gestioacuten de Riesgos
Sistemas de Gestioacuten de Seguridad de la Informacioacuten
Metodologiacuteas de Anaacutelisis y gestioacuten de Riesgos
Modelado de amenazas en Aplicaciones
UD2 PROYECTOS DE ANAacuteLISIS Y GESTIOacuteN DE RIESGOS
Proyectos de Anaacutelisis y gestioacuten de Riesgos AARR
Herramienta PILAR
UD3 ANAacuteLISIS Y GESTIOacuteN DEL RIESGO DINAacuteMICO (DRA)
Introduccioacuten al Anaacutelisis y Gestioacuten del riesgo dinaacutemico
Arquitecturas y tecnologiacuteas DRA
DRA framework Sistema CAESARS
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 SGSI NIST RMF o Risk management framework del NIST
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 4
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura INTRODUCCIOacuteN A LA CIBERDEFENSA
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO
Introduccioacuten
Definicioacuten y caracteriacutesticas
El ciberespacio como escenario social y geoestrateacutegico
UD2 CIBERSEGURIDAD Y CIBERDEFENSA
Conceptos y estrategias
Amenazas en y desde el ciberespacio
UD3 CIBERDEFENSA
Conflicto en el ciberespacio
Aproximaciones internacionales a la ciberdefensa
Prospectiva sobre una posible evolucioacuten del ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 Asociacioacuten de Diplomados en Altos Estudios de la Defensa Nacional Antiguos alumnos del CESEDEN httpadaledeorgvideotecavideos-adalede
2 Cybersecurity and Why Definitions Are Risky
httpisnblogethzchintelligencecybersecurity-and-the-problem-of-definitions
Estudios Propios 5
3 Cyber Security by the Numbers
httpwww-935ibmcomservicesusensecurityinfographiccybersecurityindexhtmlgoback=2Egde_1836487_member_580014770544340173021
4 La mano que mueve el ratoacuten
httprevistasicesindexphpoption=com_contentampview=articleampid=837ampItemid=820
5 Documento de opinioacuten Ciberespacio
httpwwwieeeescontenidonoticias201306DIEEEO57-2013html
6 La ciberseguridad un riesgo pero tambieacuten una garantiacutea para la libertad
httpabcblogsabcesley-redpublicpostla-ciberseguridad-un-riesgo-pero-tambien-una-garantia-para-la-libertad-15860asp
7 Cybersecurity Authoritative Reports and Resources by Topic
httpwwwfasorgsgpcrsmiscR42507pdf Lecturas complementarias
bull Monografiacuteas del CESEDEN httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros126_EL_CIBERESPACIO_NUEVO_ESCENARIO_DE_CONFRONTACIONpdf
bull El ciberespacio como entorno social y de conflicto httpwwwieeeesGaleriasficherodocs_opinion2012DIEEEO17_CiberespacioConflicto_Agredapdf
bull Why Cibersecurity must be defined by processs not tech httpblogswsjcomcio20141211why-cybersecurity-must-be-defined-by-process-not-tech
bull Miradas sobre el control de nuestras vidas Huxley y Orwell httpswwwyoutubecomwatchv=vqTiSXnWD90 httpssociologoscom20131018miradas-sobre-el-control-de-nuestras-vidas-huxley-y-orwell
bull IV Jornadas de Estudios de Seguridad httpiugmespublicacionescoleccioneslibros-investigacionid=142
bull Center on Public Diplomacy httpuscpublicdiplomacyorgbloghacking-diplomacy
bull Geopoliacuteticas en la nube httpwwwblogrielcanoorgel-espectador-global-geopolitica-en-la-nube
bull The Strategic Significance of the Internet Commons httpwwwisnethzchDigital-LibraryArticlesDetaillng=enampid=182692
Estudios Propios 6
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS LEGALES POLIacuteTICOS Y EacuteTICOS DEL CIBERESPACIO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 ASPECTOS EacuteTICOS POLIacuteTICOS Y JURIacuteDICOS DEL CIBERESPACIO
Introduccioacuten
Eacutetica y Ciberespacio
Poliacutetica y Ciberespacio
UD2 ASPECTOS JURIacuteDICOS DE DERECHO NACIONAL
La normativa sobre Ciberseguridad
El estado de la cooperacioacuten sobre ciberseguridad
La normativa espantildeola sobre ciberseguridad
UD3 ASPECTOS JURIacuteDICOS DE DERECHO INTERNACIONAL
El principio de prohibicioacuten del uso y de la amenaza de la fuerza
El derecho internacional de los conflictos armados
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
BARRET JR Barrington M ldquoInformation Warfare Chinarsquos Response to US Technological Advantagesrdquo International Journal of Intelligence and Counterintelligence 18 nuacutemero 4 (2005) paacuteginas 682ndash706
httpwwwtandfonlinecomdoiabs10108008850600500177135
BUCKLAND Benjamin Democratic Governance Challenges of Ciber Security DCAF 2015 httpwwwdcafchPublicationsDemocratic-Governance-Challenges-of-Cyber-Security
Estudios Propios 7
COOK Tim A message to our custormers 16022016 web de Apple httpwwwapplecomcustomer-letter
DEIBERT Ronald The growing dark side of cyberspace Penn State Journal of Law and International Affairs volumen 1 tomo 2 noviembre de 2012
httpelibrarylawpsueducgiviewcontentcgiarticle=1012ampcontext=jlia
FORSYTH James W y POPE B Structural Causes and Cyber Effects Why International Order is Inevitable in Cyberspace Strategic Studies Quarterly nuacutemero de invierno de 2014
httpwwwauafmilaussqdigitalpdfwinter_14forsythpdf
GARCIacuteA MEXIacuteA Pablo Internet el nuevo campo de batalla Foro de la sociedad civil httpwwwforosociedadcivilorginternet-el-nuevo-campo-de-batalla-pablo-garcia-mexia
GARCIacuteA MEXIacuteA Pablo La Ley en la Red Blog de ABCes httpabcblogsabcesley-red
International Strategy for Cyberspace httpswwwwhitehousegovsitesdefaultfilesrss_viewerinternational_strategy_for_cyberspacepdf
JESCHKE Rebecca EFF to Apple Shareholders Your Company Is Fighting for All of Us Electronic Frontier Foundation 26022016
httpswwwefforgesdeeplinks201602eff-apples-shareholders-meeting-statement-support
KRUGER LG Internet governance and Developing countries implications for India RIS Policy Brief nuacutem 63 marzo de 2014
httpwwwrisorginsitesdefaultfilespdfRIS20Policy20Brief-63pdf
KRUGER LG Internet governance and domain names system Issues for Congress Congressional Research Service 23 de marzo de 2016
httpswwwfasorgsgpcrsmiscR42351pdf
LERIG Lawrence Code versioacuten 20 httpcodev2ccdownload+remixLessig-Codev2pdf
LESSIG Lawrence El coacutedigo y otras leyes del ciberespacio Taurus Digital 2001 httpwwwnodo50orglecturaslessig_el_codigohtm
LEWIS JA Internet Governance Inevitable Transitions CIGI (Center for International Governance Innovation) paper nuacutemero 4 octubre de 2013
httpswwwcigionlineorgpublications201310internet-governance-inevitable-transitions
MAZANEC B Why International Order in Cyberspace Is Not Inevitable Strategic Studies Quarterly verano de 2015
httpwwwauafmilaussqdigitalpdfSummer_2015mazanecpdf
PERRY BARLOW John A Declaration of Independence of Cyberspace 8 de febrero de 1996 Disponible en httpswwwefforgescyberspace-independence
SAacuteNCHEZ DE ROJAS Emilio Cooperacioacuten internacional en temas de ciberseguridad capiacutetulo 5 de la Monografiacutea 137 del CESEDEN Necesidad de una conciencia nacional de ciberseguridad La ciberdefensa un reto prioritario paacutegina 262 Publicaciones de Defensa 2013 ISBN 978-84-9781-862-9Consultado el 22 de marzo de 2016
httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros137_NECESIDAD_DE_UNA_CONCIENCIA_NACIONAL_DE_CIBERSEGURIDAD_LA_CIBERDEFENSA_UN_RETO_PRIORITARIOpdf
Sentencia del TJUE sobre el Derecho al olvido httpwwwabogaciaeswp-contentuploads201405Sentencia-131-12-TJUE-derecho-al-olvidopdf
SINGH Parminder Jeet ldquoIndiarsquos Proposal Will Help Take the Web out of US Controlrdquo Hindu Online 17 de mayo de 2012
httpwwwthehinducomopinionop-edarticle3426292ece
YANAKOGEORGOS Panayotis A Internet governance and National Security Strategic Studies Quarterly volumen 6 nuacutemero 3 otontildeo de 2012
httpwwwauafmilaussq2012fallyannakogeorgospdf Bibliografiacutea recomendada y complementaria
LIBICKI Martin Conquest in Cyberspace New York Cambridge University Press 2007
WU Tim The Master Switch The Rise and Fall of Information Empires New York Alfred A Knopf 2010 ISBN 978-0307390998
ABBATE Janet Inventing the Internet The MIT Press 1999 ISBN 9780262011723
Estudios Propios 8
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS DOCTRINALES PLANEAMIENTO DE OPERACIONES
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Javier Lopez de Turiso y Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO COMO ENTORNO OPERATIVO
Introduccioacuten a los instrumentos de poder de los estados
El instrumento de poder militar
El campo de batalla operativo el ciberespacio
Conceptos del empleo militar en el ciberespacio
Doctrinas de empleo del poder militar en el ciberespacio
UD2 CAPACIDADES DE LA CIBERDEFENSA
Capacidades requeridas para operar en el ciberespacio
Fuerzas de ciberdefensa Estructura y organizacioacuten
UD3 OPERACIONES MILITARES EN EL CIBERESPACIO
Operaciones en el ciberespacio Caraacutecter estrateacutegico operacional y taacutectico
Operaciones especiacuteficas conjuntas y combinadas (necesidad de autoridad de control del CS)
Guerra electroacutenica y ciberespacio
Planeamiento de operaciones en el ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Cyber Doctrine Towards a coherent evolutionary framework for learning resilience JP MacIntosh J Reid and LR Tyler
Estudios Propios 9
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Juan Ramoacuten Bermejo Higuera
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN AL ANAacuteLISIS Y GESTIOacuteN DEL RIESGO ESTAacuteTICO Y DINAacuteMICO
Introduccioacuten al Anaacutelisis y gestioacuten de Riesgos
Sistemas de Gestioacuten de Seguridad de la Informacioacuten
Metodologiacuteas de Anaacutelisis y gestioacuten de Riesgos
Modelado de amenazas en Aplicaciones
UD2 PROYECTOS DE ANAacuteLISIS Y GESTIOacuteN DE RIESGOS
Proyectos de Anaacutelisis y gestioacuten de Riesgos AARR
Herramienta PILAR
UD3 ANAacuteLISIS Y GESTIOacuteN DEL RIESGO DINAacuteMICO (DRA)
Introduccioacuten al Anaacutelisis y Gestioacuten del riesgo dinaacutemico
Arquitecturas y tecnologiacuteas DRA
DRA framework Sistema CAESARS
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 SGSI NIST RMF o Risk management framework del NIST
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 5
3 Cyber Security by the Numbers
httpwww-935ibmcomservicesusensecurityinfographiccybersecurityindexhtmlgoback=2Egde_1836487_member_580014770544340173021
4 La mano que mueve el ratoacuten
httprevistasicesindexphpoption=com_contentampview=articleampid=837ampItemid=820
5 Documento de opinioacuten Ciberespacio
httpwwwieeeescontenidonoticias201306DIEEEO57-2013html
6 La ciberseguridad un riesgo pero tambieacuten una garantiacutea para la libertad
httpabcblogsabcesley-redpublicpostla-ciberseguridad-un-riesgo-pero-tambien-una-garantia-para-la-libertad-15860asp
7 Cybersecurity Authoritative Reports and Resources by Topic
httpwwwfasorgsgpcrsmiscR42507pdf Lecturas complementarias
bull Monografiacuteas del CESEDEN httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros126_EL_CIBERESPACIO_NUEVO_ESCENARIO_DE_CONFRONTACIONpdf
bull El ciberespacio como entorno social y de conflicto httpwwwieeeesGaleriasficherodocs_opinion2012DIEEEO17_CiberespacioConflicto_Agredapdf
bull Why Cibersecurity must be defined by processs not tech httpblogswsjcomcio20141211why-cybersecurity-must-be-defined-by-process-not-tech
bull Miradas sobre el control de nuestras vidas Huxley y Orwell httpswwwyoutubecomwatchv=vqTiSXnWD90 httpssociologoscom20131018miradas-sobre-el-control-de-nuestras-vidas-huxley-y-orwell
bull IV Jornadas de Estudios de Seguridad httpiugmespublicacionescoleccioneslibros-investigacionid=142
bull Center on Public Diplomacy httpuscpublicdiplomacyorgbloghacking-diplomacy
bull Geopoliacuteticas en la nube httpwwwblogrielcanoorgel-espectador-global-geopolitica-en-la-nube
bull The Strategic Significance of the Internet Commons httpwwwisnethzchDigital-LibraryArticlesDetaillng=enampid=182692
Estudios Propios 6
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS LEGALES POLIacuteTICOS Y EacuteTICOS DEL CIBERESPACIO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 ASPECTOS EacuteTICOS POLIacuteTICOS Y JURIacuteDICOS DEL CIBERESPACIO
Introduccioacuten
Eacutetica y Ciberespacio
Poliacutetica y Ciberespacio
UD2 ASPECTOS JURIacuteDICOS DE DERECHO NACIONAL
La normativa sobre Ciberseguridad
El estado de la cooperacioacuten sobre ciberseguridad
La normativa espantildeola sobre ciberseguridad
UD3 ASPECTOS JURIacuteDICOS DE DERECHO INTERNACIONAL
El principio de prohibicioacuten del uso y de la amenaza de la fuerza
El derecho internacional de los conflictos armados
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
BARRET JR Barrington M ldquoInformation Warfare Chinarsquos Response to US Technological Advantagesrdquo International Journal of Intelligence and Counterintelligence 18 nuacutemero 4 (2005) paacuteginas 682ndash706
httpwwwtandfonlinecomdoiabs10108008850600500177135
BUCKLAND Benjamin Democratic Governance Challenges of Ciber Security DCAF 2015 httpwwwdcafchPublicationsDemocratic-Governance-Challenges-of-Cyber-Security
Estudios Propios 7
COOK Tim A message to our custormers 16022016 web de Apple httpwwwapplecomcustomer-letter
DEIBERT Ronald The growing dark side of cyberspace Penn State Journal of Law and International Affairs volumen 1 tomo 2 noviembre de 2012
httpelibrarylawpsueducgiviewcontentcgiarticle=1012ampcontext=jlia
FORSYTH James W y POPE B Structural Causes and Cyber Effects Why International Order is Inevitable in Cyberspace Strategic Studies Quarterly nuacutemero de invierno de 2014
httpwwwauafmilaussqdigitalpdfwinter_14forsythpdf
GARCIacuteA MEXIacuteA Pablo Internet el nuevo campo de batalla Foro de la sociedad civil httpwwwforosociedadcivilorginternet-el-nuevo-campo-de-batalla-pablo-garcia-mexia
GARCIacuteA MEXIacuteA Pablo La Ley en la Red Blog de ABCes httpabcblogsabcesley-red
International Strategy for Cyberspace httpswwwwhitehousegovsitesdefaultfilesrss_viewerinternational_strategy_for_cyberspacepdf
JESCHKE Rebecca EFF to Apple Shareholders Your Company Is Fighting for All of Us Electronic Frontier Foundation 26022016
httpswwwefforgesdeeplinks201602eff-apples-shareholders-meeting-statement-support
KRUGER LG Internet governance and Developing countries implications for India RIS Policy Brief nuacutem 63 marzo de 2014
httpwwwrisorginsitesdefaultfilespdfRIS20Policy20Brief-63pdf
KRUGER LG Internet governance and domain names system Issues for Congress Congressional Research Service 23 de marzo de 2016
httpswwwfasorgsgpcrsmiscR42351pdf
LERIG Lawrence Code versioacuten 20 httpcodev2ccdownload+remixLessig-Codev2pdf
LESSIG Lawrence El coacutedigo y otras leyes del ciberespacio Taurus Digital 2001 httpwwwnodo50orglecturaslessig_el_codigohtm
LEWIS JA Internet Governance Inevitable Transitions CIGI (Center for International Governance Innovation) paper nuacutemero 4 octubre de 2013
httpswwwcigionlineorgpublications201310internet-governance-inevitable-transitions
MAZANEC B Why International Order in Cyberspace Is Not Inevitable Strategic Studies Quarterly verano de 2015
httpwwwauafmilaussqdigitalpdfSummer_2015mazanecpdf
PERRY BARLOW John A Declaration of Independence of Cyberspace 8 de febrero de 1996 Disponible en httpswwwefforgescyberspace-independence
SAacuteNCHEZ DE ROJAS Emilio Cooperacioacuten internacional en temas de ciberseguridad capiacutetulo 5 de la Monografiacutea 137 del CESEDEN Necesidad de una conciencia nacional de ciberseguridad La ciberdefensa un reto prioritario paacutegina 262 Publicaciones de Defensa 2013 ISBN 978-84-9781-862-9Consultado el 22 de marzo de 2016
httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros137_NECESIDAD_DE_UNA_CONCIENCIA_NACIONAL_DE_CIBERSEGURIDAD_LA_CIBERDEFENSA_UN_RETO_PRIORITARIOpdf
Sentencia del TJUE sobre el Derecho al olvido httpwwwabogaciaeswp-contentuploads201405Sentencia-131-12-TJUE-derecho-al-olvidopdf
SINGH Parminder Jeet ldquoIndiarsquos Proposal Will Help Take the Web out of US Controlrdquo Hindu Online 17 de mayo de 2012
httpwwwthehinducomopinionop-edarticle3426292ece
YANAKOGEORGOS Panayotis A Internet governance and National Security Strategic Studies Quarterly volumen 6 nuacutemero 3 otontildeo de 2012
httpwwwauafmilaussq2012fallyannakogeorgospdf Bibliografiacutea recomendada y complementaria
LIBICKI Martin Conquest in Cyberspace New York Cambridge University Press 2007
WU Tim The Master Switch The Rise and Fall of Information Empires New York Alfred A Knopf 2010 ISBN 978-0307390998
ABBATE Janet Inventing the Internet The MIT Press 1999 ISBN 9780262011723
Estudios Propios 8
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS DOCTRINALES PLANEAMIENTO DE OPERACIONES
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Javier Lopez de Turiso y Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO COMO ENTORNO OPERATIVO
Introduccioacuten a los instrumentos de poder de los estados
El instrumento de poder militar
El campo de batalla operativo el ciberespacio
Conceptos del empleo militar en el ciberespacio
Doctrinas de empleo del poder militar en el ciberespacio
UD2 CAPACIDADES DE LA CIBERDEFENSA
Capacidades requeridas para operar en el ciberespacio
Fuerzas de ciberdefensa Estructura y organizacioacuten
UD3 OPERACIONES MILITARES EN EL CIBERESPACIO
Operaciones en el ciberespacio Caraacutecter estrateacutegico operacional y taacutectico
Operaciones especiacuteficas conjuntas y combinadas (necesidad de autoridad de control del CS)
Guerra electroacutenica y ciberespacio
Planeamiento de operaciones en el ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Cyber Doctrine Towards a coherent evolutionary framework for learning resilience JP MacIntosh J Reid and LR Tyler
Estudios Propios 9
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Juan Ramoacuten Bermejo Higuera
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN AL ANAacuteLISIS Y GESTIOacuteN DEL RIESGO ESTAacuteTICO Y DINAacuteMICO
Introduccioacuten al Anaacutelisis y gestioacuten de Riesgos
Sistemas de Gestioacuten de Seguridad de la Informacioacuten
Metodologiacuteas de Anaacutelisis y gestioacuten de Riesgos
Modelado de amenazas en Aplicaciones
UD2 PROYECTOS DE ANAacuteLISIS Y GESTIOacuteN DE RIESGOS
Proyectos de Anaacutelisis y gestioacuten de Riesgos AARR
Herramienta PILAR
UD3 ANAacuteLISIS Y GESTIOacuteN DEL RIESGO DINAacuteMICO (DRA)
Introduccioacuten al Anaacutelisis y Gestioacuten del riesgo dinaacutemico
Arquitecturas y tecnologiacuteas DRA
DRA framework Sistema CAESARS
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 SGSI NIST RMF o Risk management framework del NIST
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 6
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS LEGALES POLIacuteTICOS Y EacuteTICOS DEL CIBERESPACIO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Aacutengel Goacutemez de Aacutegreda
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 ASPECTOS EacuteTICOS POLIacuteTICOS Y JURIacuteDICOS DEL CIBERESPACIO
Introduccioacuten
Eacutetica y Ciberespacio
Poliacutetica y Ciberespacio
UD2 ASPECTOS JURIacuteDICOS DE DERECHO NACIONAL
La normativa sobre Ciberseguridad
El estado de la cooperacioacuten sobre ciberseguridad
La normativa espantildeola sobre ciberseguridad
UD3 ASPECTOS JURIacuteDICOS DE DERECHO INTERNACIONAL
El principio de prohibicioacuten del uso y de la amenaza de la fuerza
El derecho internacional de los conflictos armados
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
BARRET JR Barrington M ldquoInformation Warfare Chinarsquos Response to US Technological Advantagesrdquo International Journal of Intelligence and Counterintelligence 18 nuacutemero 4 (2005) paacuteginas 682ndash706
httpwwwtandfonlinecomdoiabs10108008850600500177135
BUCKLAND Benjamin Democratic Governance Challenges of Ciber Security DCAF 2015 httpwwwdcafchPublicationsDemocratic-Governance-Challenges-of-Cyber-Security
Estudios Propios 7
COOK Tim A message to our custormers 16022016 web de Apple httpwwwapplecomcustomer-letter
DEIBERT Ronald The growing dark side of cyberspace Penn State Journal of Law and International Affairs volumen 1 tomo 2 noviembre de 2012
httpelibrarylawpsueducgiviewcontentcgiarticle=1012ampcontext=jlia
FORSYTH James W y POPE B Structural Causes and Cyber Effects Why International Order is Inevitable in Cyberspace Strategic Studies Quarterly nuacutemero de invierno de 2014
httpwwwauafmilaussqdigitalpdfwinter_14forsythpdf
GARCIacuteA MEXIacuteA Pablo Internet el nuevo campo de batalla Foro de la sociedad civil httpwwwforosociedadcivilorginternet-el-nuevo-campo-de-batalla-pablo-garcia-mexia
GARCIacuteA MEXIacuteA Pablo La Ley en la Red Blog de ABCes httpabcblogsabcesley-red
International Strategy for Cyberspace httpswwwwhitehousegovsitesdefaultfilesrss_viewerinternational_strategy_for_cyberspacepdf
JESCHKE Rebecca EFF to Apple Shareholders Your Company Is Fighting for All of Us Electronic Frontier Foundation 26022016
httpswwwefforgesdeeplinks201602eff-apples-shareholders-meeting-statement-support
KRUGER LG Internet governance and Developing countries implications for India RIS Policy Brief nuacutem 63 marzo de 2014
httpwwwrisorginsitesdefaultfilespdfRIS20Policy20Brief-63pdf
KRUGER LG Internet governance and domain names system Issues for Congress Congressional Research Service 23 de marzo de 2016
httpswwwfasorgsgpcrsmiscR42351pdf
LERIG Lawrence Code versioacuten 20 httpcodev2ccdownload+remixLessig-Codev2pdf
LESSIG Lawrence El coacutedigo y otras leyes del ciberespacio Taurus Digital 2001 httpwwwnodo50orglecturaslessig_el_codigohtm
LEWIS JA Internet Governance Inevitable Transitions CIGI (Center for International Governance Innovation) paper nuacutemero 4 octubre de 2013
httpswwwcigionlineorgpublications201310internet-governance-inevitable-transitions
MAZANEC B Why International Order in Cyberspace Is Not Inevitable Strategic Studies Quarterly verano de 2015
httpwwwauafmilaussqdigitalpdfSummer_2015mazanecpdf
PERRY BARLOW John A Declaration of Independence of Cyberspace 8 de febrero de 1996 Disponible en httpswwwefforgescyberspace-independence
SAacuteNCHEZ DE ROJAS Emilio Cooperacioacuten internacional en temas de ciberseguridad capiacutetulo 5 de la Monografiacutea 137 del CESEDEN Necesidad de una conciencia nacional de ciberseguridad La ciberdefensa un reto prioritario paacutegina 262 Publicaciones de Defensa 2013 ISBN 978-84-9781-862-9Consultado el 22 de marzo de 2016
httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros137_NECESIDAD_DE_UNA_CONCIENCIA_NACIONAL_DE_CIBERSEGURIDAD_LA_CIBERDEFENSA_UN_RETO_PRIORITARIOpdf
Sentencia del TJUE sobre el Derecho al olvido httpwwwabogaciaeswp-contentuploads201405Sentencia-131-12-TJUE-derecho-al-olvidopdf
SINGH Parminder Jeet ldquoIndiarsquos Proposal Will Help Take the Web out of US Controlrdquo Hindu Online 17 de mayo de 2012
httpwwwthehinducomopinionop-edarticle3426292ece
YANAKOGEORGOS Panayotis A Internet governance and National Security Strategic Studies Quarterly volumen 6 nuacutemero 3 otontildeo de 2012
httpwwwauafmilaussq2012fallyannakogeorgospdf Bibliografiacutea recomendada y complementaria
LIBICKI Martin Conquest in Cyberspace New York Cambridge University Press 2007
WU Tim The Master Switch The Rise and Fall of Information Empires New York Alfred A Knopf 2010 ISBN 978-0307390998
ABBATE Janet Inventing the Internet The MIT Press 1999 ISBN 9780262011723
Estudios Propios 8
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS DOCTRINALES PLANEAMIENTO DE OPERACIONES
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Javier Lopez de Turiso y Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO COMO ENTORNO OPERATIVO
Introduccioacuten a los instrumentos de poder de los estados
El instrumento de poder militar
El campo de batalla operativo el ciberespacio
Conceptos del empleo militar en el ciberespacio
Doctrinas de empleo del poder militar en el ciberespacio
UD2 CAPACIDADES DE LA CIBERDEFENSA
Capacidades requeridas para operar en el ciberespacio
Fuerzas de ciberdefensa Estructura y organizacioacuten
UD3 OPERACIONES MILITARES EN EL CIBERESPACIO
Operaciones en el ciberespacio Caraacutecter estrateacutegico operacional y taacutectico
Operaciones especiacuteficas conjuntas y combinadas (necesidad de autoridad de control del CS)
Guerra electroacutenica y ciberespacio
Planeamiento de operaciones en el ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Cyber Doctrine Towards a coherent evolutionary framework for learning resilience JP MacIntosh J Reid and LR Tyler
Estudios Propios 9
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Juan Ramoacuten Bermejo Higuera
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN AL ANAacuteLISIS Y GESTIOacuteN DEL RIESGO ESTAacuteTICO Y DINAacuteMICO
Introduccioacuten al Anaacutelisis y gestioacuten de Riesgos
Sistemas de Gestioacuten de Seguridad de la Informacioacuten
Metodologiacuteas de Anaacutelisis y gestioacuten de Riesgos
Modelado de amenazas en Aplicaciones
UD2 PROYECTOS DE ANAacuteLISIS Y GESTIOacuteN DE RIESGOS
Proyectos de Anaacutelisis y gestioacuten de Riesgos AARR
Herramienta PILAR
UD3 ANAacuteLISIS Y GESTIOacuteN DEL RIESGO DINAacuteMICO (DRA)
Introduccioacuten al Anaacutelisis y Gestioacuten del riesgo dinaacutemico
Arquitecturas y tecnologiacuteas DRA
DRA framework Sistema CAESARS
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 SGSI NIST RMF o Risk management framework del NIST
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 7
COOK Tim A message to our custormers 16022016 web de Apple httpwwwapplecomcustomer-letter
DEIBERT Ronald The growing dark side of cyberspace Penn State Journal of Law and International Affairs volumen 1 tomo 2 noviembre de 2012
httpelibrarylawpsueducgiviewcontentcgiarticle=1012ampcontext=jlia
FORSYTH James W y POPE B Structural Causes and Cyber Effects Why International Order is Inevitable in Cyberspace Strategic Studies Quarterly nuacutemero de invierno de 2014
httpwwwauafmilaussqdigitalpdfwinter_14forsythpdf
GARCIacuteA MEXIacuteA Pablo Internet el nuevo campo de batalla Foro de la sociedad civil httpwwwforosociedadcivilorginternet-el-nuevo-campo-de-batalla-pablo-garcia-mexia
GARCIacuteA MEXIacuteA Pablo La Ley en la Red Blog de ABCes httpabcblogsabcesley-red
International Strategy for Cyberspace httpswwwwhitehousegovsitesdefaultfilesrss_viewerinternational_strategy_for_cyberspacepdf
JESCHKE Rebecca EFF to Apple Shareholders Your Company Is Fighting for All of Us Electronic Frontier Foundation 26022016
httpswwwefforgesdeeplinks201602eff-apples-shareholders-meeting-statement-support
KRUGER LG Internet governance and Developing countries implications for India RIS Policy Brief nuacutem 63 marzo de 2014
httpwwwrisorginsitesdefaultfilespdfRIS20Policy20Brief-63pdf
KRUGER LG Internet governance and domain names system Issues for Congress Congressional Research Service 23 de marzo de 2016
httpswwwfasorgsgpcrsmiscR42351pdf
LERIG Lawrence Code versioacuten 20 httpcodev2ccdownload+remixLessig-Codev2pdf
LESSIG Lawrence El coacutedigo y otras leyes del ciberespacio Taurus Digital 2001 httpwwwnodo50orglecturaslessig_el_codigohtm
LEWIS JA Internet Governance Inevitable Transitions CIGI (Center for International Governance Innovation) paper nuacutemero 4 octubre de 2013
httpswwwcigionlineorgpublications201310internet-governance-inevitable-transitions
MAZANEC B Why International Order in Cyberspace Is Not Inevitable Strategic Studies Quarterly verano de 2015
httpwwwauafmilaussqdigitalpdfSummer_2015mazanecpdf
PERRY BARLOW John A Declaration of Independence of Cyberspace 8 de febrero de 1996 Disponible en httpswwwefforgescyberspace-independence
SAacuteNCHEZ DE ROJAS Emilio Cooperacioacuten internacional en temas de ciberseguridad capiacutetulo 5 de la Monografiacutea 137 del CESEDEN Necesidad de una conciencia nacional de ciberseguridad La ciberdefensa un reto prioritario paacutegina 262 Publicaciones de Defensa 2013 ISBN 978-84-9781-862-9Consultado el 22 de marzo de 2016
httpwwwdefensagobescesedenGaleriasdestacadospublicacionesmonografiasficheros137_NECESIDAD_DE_UNA_CONCIENCIA_NACIONAL_DE_CIBERSEGURIDAD_LA_CIBERDEFENSA_UN_RETO_PRIORITARIOpdf
Sentencia del TJUE sobre el Derecho al olvido httpwwwabogaciaeswp-contentuploads201405Sentencia-131-12-TJUE-derecho-al-olvidopdf
SINGH Parminder Jeet ldquoIndiarsquos Proposal Will Help Take the Web out of US Controlrdquo Hindu Online 17 de mayo de 2012
httpwwwthehinducomopinionop-edarticle3426292ece
YANAKOGEORGOS Panayotis A Internet governance and National Security Strategic Studies Quarterly volumen 6 nuacutemero 3 otontildeo de 2012
httpwwwauafmilaussq2012fallyannakogeorgospdf Bibliografiacutea recomendada y complementaria
LIBICKI Martin Conquest in Cyberspace New York Cambridge University Press 2007
WU Tim The Master Switch The Rise and Fall of Information Empires New York Alfred A Knopf 2010 ISBN 978-0307390998
ABBATE Janet Inventing the Internet The MIT Press 1999 ISBN 9780262011723
Estudios Propios 8
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS DOCTRINALES PLANEAMIENTO DE OPERACIONES
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Javier Lopez de Turiso y Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO COMO ENTORNO OPERATIVO
Introduccioacuten a los instrumentos de poder de los estados
El instrumento de poder militar
El campo de batalla operativo el ciberespacio
Conceptos del empleo militar en el ciberespacio
Doctrinas de empleo del poder militar en el ciberespacio
UD2 CAPACIDADES DE LA CIBERDEFENSA
Capacidades requeridas para operar en el ciberespacio
Fuerzas de ciberdefensa Estructura y organizacioacuten
UD3 OPERACIONES MILITARES EN EL CIBERESPACIO
Operaciones en el ciberespacio Caraacutecter estrateacutegico operacional y taacutectico
Operaciones especiacuteficas conjuntas y combinadas (necesidad de autoridad de control del CS)
Guerra electroacutenica y ciberespacio
Planeamiento de operaciones en el ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Cyber Doctrine Towards a coherent evolutionary framework for learning resilience JP MacIntosh J Reid and LR Tyler
Estudios Propios 9
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Juan Ramoacuten Bermejo Higuera
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN AL ANAacuteLISIS Y GESTIOacuteN DEL RIESGO ESTAacuteTICO Y DINAacuteMICO
Introduccioacuten al Anaacutelisis y gestioacuten de Riesgos
Sistemas de Gestioacuten de Seguridad de la Informacioacuten
Metodologiacuteas de Anaacutelisis y gestioacuten de Riesgos
Modelado de amenazas en Aplicaciones
UD2 PROYECTOS DE ANAacuteLISIS Y GESTIOacuteN DE RIESGOS
Proyectos de Anaacutelisis y gestioacuten de Riesgos AARR
Herramienta PILAR
UD3 ANAacuteLISIS Y GESTIOacuteN DEL RIESGO DINAacuteMICO (DRA)
Introduccioacuten al Anaacutelisis y Gestioacuten del riesgo dinaacutemico
Arquitecturas y tecnologiacuteas DRA
DRA framework Sistema CAESARS
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 SGSI NIST RMF o Risk management framework del NIST
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 8
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ASPECTOS DOCTRINALES PLANEAMIENTO DE OPERACIONES
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Javier Lopez de Turiso y Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 EL CIBERESPACIO COMO ENTORNO OPERATIVO
Introduccioacuten a los instrumentos de poder de los estados
El instrumento de poder militar
El campo de batalla operativo el ciberespacio
Conceptos del empleo militar en el ciberespacio
Doctrinas de empleo del poder militar en el ciberespacio
UD2 CAPACIDADES DE LA CIBERDEFENSA
Capacidades requeridas para operar en el ciberespacio
Fuerzas de ciberdefensa Estructura y organizacioacuten
UD3 OPERACIONES MILITARES EN EL CIBERESPACIO
Operaciones en el ciberespacio Caraacutecter estrateacutegico operacional y taacutectico
Operaciones especiacuteficas conjuntas y combinadas (necesidad de autoridad de control del CS)
Guerra electroacutenica y ciberespacio
Planeamiento de operaciones en el ciberespacio
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Cyber Doctrine Towards a coherent evolutionary framework for learning resilience JP MacIntosh J Reid and LR Tyler
Estudios Propios 9
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Juan Ramoacuten Bermejo Higuera
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN AL ANAacuteLISIS Y GESTIOacuteN DEL RIESGO ESTAacuteTICO Y DINAacuteMICO
Introduccioacuten al Anaacutelisis y gestioacuten de Riesgos
Sistemas de Gestioacuten de Seguridad de la Informacioacuten
Metodologiacuteas de Anaacutelisis y gestioacuten de Riesgos
Modelado de amenazas en Aplicaciones
UD2 PROYECTOS DE ANAacuteLISIS Y GESTIOacuteN DE RIESGOS
Proyectos de Anaacutelisis y gestioacuten de Riesgos AARR
Herramienta PILAR
UD3 ANAacuteLISIS Y GESTIOacuteN DEL RIESGO DINAacuteMICO (DRA)
Introduccioacuten al Anaacutelisis y Gestioacuten del riesgo dinaacutemico
Arquitecturas y tecnologiacuteas DRA
DRA framework Sistema CAESARS
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 SGSI NIST RMF o Risk management framework del NIST
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 9
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura ANAacuteLISIS DE RIESGOS ESTAacuteTICO Y DINAacuteMICO
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Juan Ramoacuten Bermejo Higuera
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 INTRODUCCIOacuteN AL ANAacuteLISIS Y GESTIOacuteN DEL RIESGO ESTAacuteTICO Y DINAacuteMICO
Introduccioacuten al Anaacutelisis y gestioacuten de Riesgos
Sistemas de Gestioacuten de Seguridad de la Informacioacuten
Metodologiacuteas de Anaacutelisis y gestioacuten de Riesgos
Modelado de amenazas en Aplicaciones
UD2 PROYECTOS DE ANAacuteLISIS Y GESTIOacuteN DE RIESGOS
Proyectos de Anaacutelisis y gestioacuten de Riesgos AARR
Herramienta PILAR
UD3 ANAacuteLISIS Y GESTIOacuteN DEL RIESGO DINAacuteMICO (DRA)
Introduccioacuten al Anaacutelisis y Gestioacuten del riesgo dinaacutemico
Arquitecturas y tecnologiacuteas DRA
DRA framework Sistema CAESARS
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Enlaces
1 SGSI NIST RMF o Risk management framework del NIST
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 10
httpcsrcnistgovgroupsSMAforumdocumentsForum-121410-Continuous-Monitoring-AJohnsonpdf 2 SGSI ISO 27001
o Portal en espantildeol de la ISO 27001 httpwwwiso27000essgsihtml
3 SGSI ENS o Esquema Nacional de Seguridad
httpameticessitesdefaultfilesmediaINTECO20-20ImplantaciC3B3n20del20ENSpdf httpswwwccn-certcniespublicoensensindexhtmln=2html
4 GUIacuteA STIC 825 sobre el Esquema Nacional de Seguridad o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-seguridad543-ccn-stic-
825-ens-iso27001filehtml
5 GUIacuteA STIC 801 Responsabilidades y funciones en el ENS o httpswwwccn-certcniesseries-ccn-stic800-guia-esquema-nacional-de-
seguridad501-ccn-stic-801-responsibilidades-y-funciones-en-el-ensfilehtml
6 MAGERIT Ministerio de Administraciones Puacuteblicas de Espantildea MAP o MAGERIT es la metodologiacutea de anaacutelisis y gestioacuten de riesgos elaborada por el Consejo
Superior de Administracioacuten Electroacutenica que estima que la gestioacuten de los riesgos es una piedra angular en las guiacuteas de buen gobierno Actualizada en 2012 en su versioacuten
httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlVDUaiU0cTUA
7 STRIDE de Microsoft Security Risk Management Guide de Microsoft o Meacutetodo de modelado de amenazas de la empresa Microsoft
httpwwwmicrosoftcomsecuritysdladoptthreatmodelingaspx httpwwwmicrosoftcomen-usdownloaddetailsaspxid=14719
8 OWASP thread modeling en aplicaciones web httpswwwowasporgindexphpApplication_Threat_Modeling
httpswwwowasporgindexphpModelado_de_Amenazas
9 Microsoft thread modeling en aplicaciones web o httpsmsdnmicrosoftcomen-uslibraryff648644aspx
10 Diversos meacutetodos de modelado de amenazas en aplicaciones en comparacioacuten
o httpfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
11 Information Technology Baseline Protection Manual o Sitio web donde se puede encontrar cataacutelogos de salvaguardas
httpenwikipediaorgwikiIT_Baseline_Protection_Catalogs
12 ISOIEC 13335-12004 o Norma ISO donde se puede encontrar cataacutelogos de salvaguardas
httpwwwisoorgisoiso_cataloguecatalogue_tccatalogue_detailhtmcsnumber=39066
13 BugTraq o Foros de discusioacuten de seguridad puacuteblicos sobre anaacutelisis de riesgos
httpwwwsecurityfocuscomarchive1 httpcatlessnclacukRisks
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 11
14 VulnWatch o Listas de direcciones puacuteblicas de sistemas atacados
httpwwwvulnwatchorg Lecturas complementarias
1 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro I ndash Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Meacutetodo de anaacutelisis de riesgos de MAGERIT o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
2 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten Libro II - Cataacutelogo de Elementos Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas
o Cataacutelogo de elementos de tipos de activos dimensiones de valoracioacuten criterios de valoracioacuten dimensiones de valoracioacuten amenazas y salvaguardas
o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodologpae_MagerithtmlU2_oe2CKB2E
3 MAGERIT ndash versioacuten 30 Metodologiacutea de Anaacutelisis y Gestioacuten de Riesgos de los Sistemas de Informacioacuten
Libro III - Guiacutea de Teacutecnicas Meacutetodo Ministerio de Hacienda y Administraciones Puacuteblicas o Describe algunas teacutecnicas utilizadas en anaacutelisis y gestioacuten de riesgos o httpadministracionelectronicagobespae_Homepae_Documentacionpae_Metodolog
pae_MagerithtmlU2_oe2CKB2E
4 Herramienta PILAR de anaacutelisis de riesgos de uso obligatorio en la Administracioacuten puacuteblica de Espantildea y oficial en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte)
o Manual de usuario de la herramienta de anaacutelisis de riesgos PILAR o Herramienta de anaacutelisis de riesgos de la Administracioacuten puacuteblica del Estado Espantildeol y oficial
en la OTAN (Organizacioacuten del Tratado del Atlaacutentico Norte) Permite analizar los riesgos en varias dimensiones confidencialidad integridad disponibilidad autenticidad y trazabilidad (accountability)
o httpwwwar-toolscomesindexhtml o httpswwwccn-certcniesherramientas-de-ciberseguridadear-pilarpilarhtml
5 CIGITALs architectural risk analysis process
o Meacutetodo de anaacutelisis de riesgo arquitectoacutenico para aplicaciones httpsbuildsecurityinus-certgovbsiarticlesbest-practicesarchitecture10-BSIhtml
6 ASSET (Automated Security Self-Evaluation Tool) National Institute on Standards and Technology (NIST)
o Meacutetodo de anaacutelisis de riesgos del NIST de los EEUU httpcsrcnistgovarchiveassetindexhtml
7 OCTAVE (Operationally Critical Threat Asset and Vulnerability Evaluation) SEI de la Universidad Carnegie Mellon
o Meacutetodo de anaacutelisis de la Universidad Carnegie Mellon httpwwwseicmuedulibraryabstractsreports99tr017cfm
8 CRAMM CCTA Risk Analysis and Management Method o Metodologiacutea de anaacutelisis de riesgos del Reino Unido o httpwwwcrammcom
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 12
9 Ron Ross Stu Katzke Arnold Johnson Marianne Swanson Gary Stoneburner George Rogers Guiacutea NIST SP 800-53 Recommended Security Controls for Federal Information Systems
o Contiene un cataacutelogo de salvaguardas o httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-53r4pdf
10 NIST 800-30 rev1 Risk Management Guide for Information Technology Systems 2012
o Guiacutea del NIST para la realizacioacuten de anaacutelisis de riesgos 2012 o httpcsrcnistgovpublicationsnistpubs800-30-rev1sp800_30_r1pdf
Viacutedeos recomendados y complementarios
1 Leccioacuten 11 Anaacutelisis y gestioacuten de riesgos (intypedia)
Video que indica los pasos que hay que seguir para realizar un correcto anaacutelisis de las amenazas a las que puede enfrentarse un sistema de informacioacuten su impacto y la consiguiente gestioacuten de riesgos recomendando algunas metodologiacuteas
httpswwwyoutubecomwatchv=EgiYIIJ8WnU
2 SGSI - 07 Los activos de Seguridad de la Informacioacuten
La implantacioacuten de un SGSI tiene como objetivo proteger la informacioacuten el activo maacutes importante en una empresa Para ello una de las tareas principales en su implantacioacuten es analizar las dependencias y la relevancia de los activos
httpswwwyoutubecomwatchv=THnQ2FH7NtU
3 SGSI - 08 Anaacutelisis y valoracioacuten de riesgos Metodologiacuteas
Video del INTECO Un negocio debe hacer frente al anaacutelisis y valoracioacuten de riesgos a los que estaacute expuesto Esta tarea aplicando las distintas metodologiacuteas permitiraacute delimitar claramente las aacutereas que deben ser protegidas asiacute como el impacto econoacutemico y la probabilidad realista de que ocurra un incidente de cada uno de ellos Tambieacuten se realiza una demostracioacuten de los ataques populares
httpswwwyoutubecomwatchv=g7EPuzN5Awg
4 SGSI - 09 Gestioacuten y tratamiento de los riesgos
Video del INTECO A la hora de implantar un Sistema de Gestioacuten de la Seguridad de la Informacioacuten (SGSI) es necesario conocer en queacute consiste la gestioacuten de riesgos y coacutemo se deben escoger y documentar los controles que se van a aplicar
httpswwwyoutubecomwatchv=9T9X0q2y6vQ
5 SGSI - 10 Seguimiento monitorizacioacuten y registro de las operaciones de sistema
Video del INTECO Uno de los requisitos maacutes importantes de la Norma UNEISO-IEC 27001 es la revisioacuten que la direccioacuten de la organizacioacuten debe realizar con una cierta periodicidad como miacutenimo anual al Sistema de Gestioacuten de Seguridad de la Informacioacuten
httpswwwyoutubecomwatchv=Z5vaQn7bGhA
6 SGSI - 11 Gestioacuten de la continuidad de negocio
Video del INTECO Con el fin de no comprometer la actividad normal de una empresa se desarrollan disentildeos que constan de varias tareas encaminadas a la obtencioacuten de un plan de continuidad eficaz y viable que permita a la organizacioacuten recuperarse tras un incidente
httpswwwyoutubecomwatchv=KbwhvivHNDI
7 SGSI - 12 Proceso de certificacioacuten
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 13
Video del INTECO Certificar un SGSI seguacuten la Norma UNEISO-IEC 27001 significa obtener un Documento que reconoce y avala la correcta adecuacioacuten del Sistema de Gestioacuten de Seguridad de la Informacioacuten mejorando la confianza de clientes y proveedores
httpswwwyoutubecomwatchv=OQCVpiVCR9k
8 Threat Modeling Tool 2014 Demo
Emil Karafezov explica las nuevas caracteriacutesticas de nueva herramienta de modelado de amenazas Microsoft Modeling Tool 2014
httpswwwyoutubecomwatchv=G2reie1skGg
9 Threat Modeling Tool principles
Interesante viacutedeo sobre la herramienta de modelado de amenazas de Microsoft httpswwwyoutubecomwatchv=wUt8gVxmO-0 Bibliografiacutea recomendada y complementaria
1 Marta Castellaro Susana Romaniz Juan Carlos Ramos Carlos Feck Ivana Gaspoz Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas Argentina Universidad Tecnoloacutegica Nacional Facultad Regional Santa Fe Disponible httpdocplayeres1665552-Aplicar-el-modelo-de-amenazas-para-incluir-la-seguridad-en-el-modelado-de-sistemashtmlmodelado-de-sistemashtml
2 Carlos Ignacio Feck Modelado de Amenazas una herramienta para el tratamiento de la seguridad
en el disentildeo de sistemas UTN ndash Facultad Regional Santa Fe Disponible en httpwwwcriptoredupmescibsicibsi2009docsPapersCIBSI-Dia2-Sesion3(2)pdf
3 Daniel PF Anaacutelisis y Modelado de Amenazas Una revisioacuten detallada de las metodologiacuteas y
herramientas emergentes Metal ATDOT hacktimescom Antildeo 2006 Disponible httpsfortinuxcomwp-contentuploads201012Analisis-y-Modelado-de-Amenazaspdf
4 M Castellaro S Romaniz JC RamosC Feck e I Gaspoz ldquoAplicar el Modelo de Amenazas para incluir
la Seguridad en el Modelado de Sistemasrdquo CIBSI 2009
5 A Shostack ldquoExperiences Threat Modeling at Microsoftrdquo Microsoft 2008 Disponible httpwwwhomeportorg~adammodsec08Shostack-ModSec08-Experiences-Threat-Modeling-At-Microsoftpdf
6 Presentacioacuten de Microsoft Introduction to Microsoftreg Security Development Lifecycle (SDL) Threat
Modeling Disponible httpwwwmicrosoftcomen-usdownloaddetailsaspxid=16420
7 Gary McGraw Software Security Building Security In Addison Wesley Professional Antildeo 2005 ISBN-10 0-321-35670-5
8 ISOIEC 177992005 ndash 270022005 Code of practice for information security management
9 UNE 715022004 Especificaciones para los sistemas de gestioacuten de la seguridad de la informacioacuten
10 ISOIEC 177992000 | UNE-ISOIEC 177992002 1048708 Coacutedigo de buenas praacutecticas para la Gestioacuten de la
Seguridad de la Informacioacuten
11 ISIIEC 27000 (ISMS) Information technology ndash Security techniques ndash Information security management systems
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 14
200x 27000 Glossary [GMITS-1 y 2 ndash MICTS-1]
2005 27001 Requirements [BS 7799-2 ndash UNE 71502]
2005 27002 Code of practice for information security management [BS 7799-1 ndash 177992000 ndash UNE 177992002 ndash 177992005]
200x 27003 Implementation guidance
200x 27004 Measurements
200x 27005 Risk management
xxx 27006 ndash 27009
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 15
GUIacuteA DOCENTE
Antildeo acadeacutemico 2020-2021
Estudio Experto en Gestioacuten de la Ciberdefensa (EL33)
Nombre de la asignatura CONCIENCIA DE LA SITUACIOacuteN Y COMPARTICIOacuteN INFORMACIOacuteN
Caraacutecter (ObligatoriaOptativa) OB
Creacuteditos (1 ECTS=25 horas) 3
Modalidad (elegir una opcioacuten)
Presencial
Semipresencial
x On-line
Profesor responsable Miguel Aacutengel Peacuterez Saacutenchez
Idioma en el que se imparte Espantildeol
DISTRIBUCIOacuteN DE CREacuteDITOS (especificar en horas)
Nuacutemero de horas presencialeson-line asistencia profesor 30
Nuacutemero de horas de trabajo personal del estudiante 45
Total horas 75
CONTENIDOS (Temario)
UD1 CAPACIDADES DE EXPLOTACIOacuteN Parte I bull Introduccioacuten bull La conciencia situacional bull Concepto de empleo de la conciencia de la situacioacuten ciberneacutetica
UD2 CAPACIDADES DE EXPLOTACIOacuteN Parte II bull Enfoque conceptual de la conciencia de la situacioacuten ciberneacutetica bull Necesidades de la conciencia de la situacioacuten ciberneacutetica bull Conciencia situacional para la ciberdefensa
UD3 CAPACIDADES DE EXPLOTACIOacuteN Parte III bull La conciencia situacional ciberneacutetica en apoyo al planeamiento bull Visualizacioacuten de la informacioacuten bull Colaboracioacuten y comparticioacuten de la informacioacuten
EVALUACIOacuteN
La evaluacioacuten de los alumnos se realiza teniendo en cuenta las siguientes valoraciones
Unidades Didaacutecticas 70 de la nota total de la asignatura Controles de seguimiento conformados por una sala de debate un test por cada unidad y un caso praacutectico por cada unidad
Examen Final 30 de la nota total de la asignatura
BIBLIOGRAFIacuteA
Documentacioacuten complementaria 1 Enlaces de intereacutes sobre Conciencia de la situacioacuten
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008
Estudios Propios 16
httpswwwdhsgovsitesdefaultfilespublicationsUsing20Social20Media20for20Enhanced20Situational20Awareness20and20Decision20Supportpdf httpwwwesricomlibrarywhitepaperspdfssituational-awarenesspdf httpswwwraes-hfgcomcrmreportssa-defnspdf httpswwwnapeduread6173chapter9 httpwikiofsciencewikidotcomquasisciencesituational-awareness httpswwwstratforcomweeklypractical-guide-situational-awareness httpwwwskybraryaeroindexphpSituational_Awareness httpswwwnapeduread6173chapter9182 httpswwwarmygovauour-futureblogsituational-awareness httpseswikipediaorgwikiConsciencia_situacional 2 Textos sobre temas relativos a conciencia de la situacioacuten a A Review of Situation Awareness Literature Relevant to Pilot Surveillance Functions John Uhlarik DIANE Publishing 2002 b Situational Awareness Eduardo Salas Routledge Julio 2017 c Human Performance Workload and Situational Awareness Measures Handbook Second Edition Valerie J Gawron CRC Press 2008