1. Datos Generales de la asignatura.

Nombre de la asignatura: Legislación y normativa en seguridad

de la información
Clave de la asignatura: CPD-181

SATCA1: 3-2-5

Carrera: Ingeniería en Tecnologías de la

Información y Comunicaciones.

2. Presentación
Caracterización de la asignatura
La asignatura de Legislación y Normativa en Seguridad de la Información aporta al
perfil de egreso del Ingeniero en Tecnologías de Información y Comunicaciones la
capacidad para:

 Identificar e implementar sistemas de gestión de seguridad de la información

bajo normas nacionales e internacionales, en las organizaciones.
 Identificar e implementar modelos de gestión en la seguridad de la
información para garantizar que la información sea fiable y segura.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso

de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de
la seguridad de la información es, por tanto, garantizar que los riesgos de la
seguridad de la información sean conocidos, asumidos, gestionados y minimizados
por la organización de una forma documentada, sistemática, estructurada,
repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el
entorno y las tecnologías.

Por lo anterior, la asignatura tiene como objetivo introducir a los estudiantes en los
fundamentos de La seguridad de la información, con la finalidad de preservar su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados
en su tratamiento, dentro de una organización.

Esta materia se relaciona con la Seguridad en la Nube para IoT, Criptografía y

Protección de Datos que ofrecen los sistemas en la nube mientras mantiene la
seguridad de los datos.
Intención didáctica
El estudio de la materia se divide en cuatro unidades integradas, que abordan
temas para conocer y aplicar conceptos de seguridad de la información.

1 Sistema de Asignación y Transferencia de Créditos Académicos

En la primera unidad, se identifican los conceptos básicos de seguridad de la
información, los elementos que la componen; así como la legislación nacional e
internacional.

En la segunda unidad, se identifican y aplican sistemas de gestión de seguridad de

la información, considerando conceptos básicos, políticas y planes de seguridad,
implantación y fases de un Sistema de Gestión de Seguridad de la Información
(SGSI).

En la tercera unidad, se identifican y aplican los requisitos principales de la norma

de seguridad de la información, ISO/IEC 27000.

Por último, en la cuarta unidad se identifican y aplican modelos para la gestión en

la seguridad de la información.

Es importante que el estudiante desarrolle la habilidad para identificar e

implementar normas para la gestión de seguridad de la información; mediante un
proceso sistemático, documentado y conocido por toda la organización, para el
cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones
variables del entorno, la protección adecuada de los objetivos de negocio para
asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de
negocio.

Cabe mencionar que una de las labores del profesor es hacer que el estudiante
pueda identificar la importancia de la seguridad de la información en las
organizaciones.
3. Participantes en el diseño y seguimiento curricular del programa

Lugar y fecha de Participantes Observaciones

elaboración o revisión
Instituto Tecnológico Integrante de academia
Superior del Occidente de Ing. en TICS del
del Estado de Hidalgo Instituto Tecnológico
25 de abril del 2018 Superior del Occidente
del Estado de Hidalgo.

4. Competencia(s) a desarrollar
Competencia(s) específica(s) de la asignatura
Identificar y aplicar marcos legislativos y normativos en seguridad de la información.
5. Competencias previas
 Identifica y analiza necesidades de información para su representación,
tratamiento y automatización para la toma decisiones.
 Identifica e implementa ambientes distribuidos para sistemas operativos y
bases de datos
6. Temario
No. Temas Subtemas
1 Fundamentos de seguridad de la 1.1. Conceptos básicos de seguridad
información informática y seguridad de la
información.
1.2. Elementos de seguridad de la
información: confidencialidad,
integridad y disponibilidad.
1.3. Amenazas y riesgos
informáticos.
1.4. Legislación nacional e
internacional de la seguridad de
la información.
2 Sistema de gestión de seguridad 2.1. Conceptos básicos de sistema
de la información (SGSI). de gestión de seguridad de la
información.
2.2. Introducción a políticas y planes
de seguridad.
2.3. Implantación de un SGSI.
2.4. Fases de un SGSI.
3 Normativa de seguridad: ISO/IEC 3.1. Introducción a los estándares de
27000 seguridad de la información.
3.2. Introducción a la familia ISO/IEC
27000.

4 Modelos para la gestión en la
seguridad de la información
3.3. Origen de la norma ISO/IEC
27001
3.4. Estructura de la ISO/IEC27001
3.5. Requisitos principales de la
norma ISO/IEC27001.
3.5.1. Política de seguridad de la
información
3.5.2. Organización de la
seguridad de la información
3.5.3. Seguridad de los recursos
humanos
3.5.4. Gestión de activos
3.5.5. Control de acceso
3.5.6. Criptografía
4.1. COBIT
4.1.1. Los 5 Principios de COBIT.
4.1.2. Los 7 Habilitadores de
COBTI
4.1.3. Arquitectura del Marco
COBIT
4.1.4. Marcos referenciales de
ISACA: Val IT, Risk IT, BMIS
(Business Model for
Information Security), ITAF
(IT Assurance Framework)
4.2. ITIL
4.2.1. Origen
4.2.2. Estructura de ITIL
4.2.3. Beneficios
4.2.4. Modelo ITIL
7. Actividades de aprendizaje de los temas
Nombre de tema: Fundamentos de seguridad de la información.
Competencias Actividades de aprendizaje
Específica(s): Identificar los conceptos Investigar los conceptos básicos de
básicos de seguridad de la información. seguridad informática y seguridad de la
información
Genéricas:
 Habilidad para buscar y analizar Exponer casos de estudio de
información proveniente de vulnerabilidades, amenazas y riesgos
fuentes diversas. informáticos.
 Solución de problemas.
 Toma de decisiones. Coordinar grupos de trabajo para
 Trabajo en equipo desarrollar un proyecto o dar
 Habilidades de investigación. seguimiento a los avances.
 Capacidad de aprender.
Nombre de tema: Sistema de gestión de seguridad de la información (SGSI).
Competencias Actividades de aprendizaje
Específica(s): Investigar conceptos básicos de
Identificar políticas, fases y planes de un sistema de gestión de seguridad de
sistema de gestión de seguridad de la la información.
información (SGSI). Identificar y discutir las políticas y
planes de seguridad de un SGSI.
Genéricas: Investigar y exponer las fases de un
 Habilidad para buscar y analizar SGSI.
información proveniente de Implementar un SGSI aplicado a un
fuentes diversas. caso de estudio.
 Solución de problemas.
 Toma de decisiones.
 Trabajo en equipo
 Habilidades de investigación.
 Capacidad de aprender.
Nombre de tema: Normativa de seguridad, ISO/IEC 27000.
Competencias Actividades de aprendizaje
Específica(s): Investigar el concepto y origen de la
Identificar y aplicar la normativa de familia ISO/IEC 27000.
seguridad: ISO/IEC 27001.
Investigar, analizar y exponer la
Genéricas: estructura de la ISO/IEC 27001.
 Habilidad para buscar y analizar
información proveniente de Implementar los requisitos
fuentes diversas. principales de la norma ISO/IEC
 Solución de problemas. 27001 en el proyecto a desarrollar y
 Toma de decisiones. coordinar los grupos de trabajo para
  Trabajo en equipo
 Habilidades de investigación.
 Capacidad de aprender.
Nombre de tema: Modelos para la gestión de seguridad de la información.
Competencias
Específica(s):
Identificar y aplicar un modelo para la
gestión de seguridad de la información.
Genéricas:
 Habilidad para buscar y analizar
información proveniente de
fuentes diversas.
 Solución de problemas.
 Toma de decisiones.
 Trabajo en equipo
 Habilidades de investigación.
 Capacidad de aprender.
hacer una revisión de los avances del
mismo.
Actividades de aprendizaje
Investigar sobre los modelos para la
gestión de seguridad de la
información que actualmente existen
en México y en el mundo.
Analizar, comparar y discutir acerca
de los modelos de gestión de
seguridad: COBIT, ITIL.
Coordinar grupos de trabajo y revisar
el último avance del proyecto
(Proyecto terminado).

8. Práctica(s)
Analizar los requisitos para una implementación eficaz de Sistema de gestión de
seguridad de la información (SGSI) en un área de TI.

Con base en un caso de estudio, analizar los requisitos para una implementación
eficaz de la normativa de seguridad: ISO/IEC 27001.

Analizar los requisitos para una implementación eficaz de un modelo para la gestión
en la seguridad de la información en un área de TI.

9. Proyecto de asignatura
Proyecto: Seleccione un área de oportunidad de un caso real para la administración
de la seguridad en la organización.

 Fundamentación:

El objetivo del proyecto es desarrollar en equipo una propuesta de sistema de

gestión de seguridad de la información (SGSI). Los proyectos a realizarse se
establecen a partir de especificaciones que realice el docente o necesidades que
los estudiantes determinen en el entorno local, regional, nacional e internacional,
factibles en los aspectos de seguridad, considerando el marco referencial (teórico,
conceptual, contextual, legal) en el cual se fundamenta el proyecto de acuerdo con
un diagnóstico realizado, mismo que permite a los estudiantes lograr la
comprensión de la realidad o situación objeto de estudio para definir un proceso de
intervención o hacer el diseño de un sistema de gestión de seguridad.

 Planeación:
Con base en un diagnóstico previo, en esta fase se realiza el diseño del proyecto
por parte de los estudiantes con asesoría del docente; implica planificar un
proceso: de intervención empresarial, social o comunitaria, el diseño de un
modelo, entre otros, según el tipo de proyecto. Determinar las actividades a
realizar, los recursos requeridos y el cronograma de trabajo. Los equipos serán
de 3 a 5 integrantes, el proyecto a realizar debe considerar las competencias
adquiridas en asignaturas relacionadas seguridad en la información.

 Ejecución:
Consiste en la ejecución de la planeación del proyecto; es decir, en la
intervención o construcción del modelo propuesto y acorde el tipo de proyecto.
Es la fase de mayor duración que implica el desempeño de las competencias
genéricas y específicas.

Para realizar lo anterior, es necesario que los estudiantes asuman los roles y
funciones asignadas para ejecutar tareas específicas, con el asesoramiento y
coordinación del profesor.

El proyecto debe contemplar los siguientes requisitos para aplicar la norma

ISO/IEC 27001:
Política de seguridad de la información
Organización de la seguridad de la información
Seguridad de los recursos humanos
Gestión de activos
Control de acceso
Criptografía

 Evaluación:
Es la fase final que aplica un juicio de valor en el contexto laboral-profesión,
social e investigativo, ésta se debe realizar a través del reconocimiento de
logros y aspectos a mejorar. Se estará promoviendo el concepto de “evaluación
para la mejora continua”, la metacognición, el desarrollo del pensamiento crítico
y reflexivo en los estudiantes.

 El avance del proyecto corresponde al 30% de la calificación final en cada corte

parcial.
10. Evaluación por competencias
La evaluación debe ser continua y formativa por lo que se debe considerar el
desempeño en cada una de las actividades de aprendizaje, haciendo especial
énfasis en:

Legislación nacional e internacional de la seguridad de la información.

Requisitos principales de la norma ISO/IEC 27001.
Modelo para la gestión en la seguridad de la información COBIT
Modelo para la gestión en la seguridad de la información ITIL
El seguimiento de los avances y documentación del proyecto

11. Fuentes de información

1. Miguel Pérez, Julio César. (2015). Protección de datos y seguridad de la
información. 4ª edición. México: Ra-Ma
2. International Organization for Standardization (2018). Sitio Oficial ISO.
Obtenido de https://www.iso.org/home.html
3. ISACA(2018). COBIT 5 Spanish. Obtenido de:
http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
4. Farenden, Peter. (2012). ITIL FOR Dummies. EU: For Dummies. (e-book)
5. Harmer, Geoff(2014). Governance of Enterprise IT based on COBIT 5