Universidad ESAN

IV PROGRAMA DE ESPECIALIZACIÓN PARA EJECUTIVOS 2021

Del 16 de agosto al 9 de octubre del 2021

DATOS GENERALES DE LA ASIGNATURA

Asignatura : Gerencia de la Ciberseguridad

Área académica : Operaciones y Tecnologías de Información

DATOS DEL PROFESOR

Profesor : Gianncarlo Gómez Morales

Correo electrónico : ggomez@esan.edu.pe

I. SUMILLA

La asignatura pertenece al área académica de Operaciones y Tecnologías de

Información, es de naturaleza teórico-práctica, y tiene el propósito de
proporcionar a los participantes los conocimientos necesarios para un
adecuado resguardo de la Información, datos personales y activos críticos en
el ciberespacio, todo ello a partir de la descripción de conceptos y el análisis
y gestión de las principales consideraciones técnicas y legales que los riesgos
y amenazas en el ciberespacio suponen a la seguridad de los datos personales,
a los activos de información e infraestructuras críticas. Así como el análisis de
distintos frameworks de ciberseguridad, seguridad de la información y
privacidad de datos personales.

Se desarrollan tres “unidades de aprendizaje”: 1. Fundamentos de

ciberseguridad, 2. Arquitectura de ciberseguridad y protección de datos
personales, y 3. Gestión de la ciberseguridad.

1
II. OBJETIVO DE LA ASIGNATURA

Al finalizar la asignatura, el participante es capaz de:

 Conocer los conceptos fundamentales de Ciberseguridad y Protección de

Datos Personales.
 Analizar el panorama de la Ciberseguridad en América Latina.
 Analizar las Amenazas persistentes avanzadas.
 Comprender y aplicar los conceptos y métodos de ciberresiliencia.
 Comprender y aplicar el Cybersecurity Framework del NIST.
 Comprender y aplicar la norma ISO/IEC 27032:2012 - Directrices para la
Ciberseguridad.

III. PROGRAMACIÓN DE CONTENIDOS

Unidad de aprendizaje I: Fundamentos de Ciberseguridad

Resultados de aprendizaje de la Unidad:

Al finalizar la unidad de aprendizaje, el estudiante es capaz de comprender los
conceptos relativos a la ciberseguridad.

Sesiones 1 y 2 Fundamentos de Ciberseguridad

Lecturas, casos, material de apoyo:

ISACA (2015). Fundamentos de Ciberseguridad: guía de estudio.
(Será entregado por el profesor)

Sesión 3 Ciberseguridad en la Cadena de Suministros

Lecturas, casos, material de apoyo:

Herramienta de evaluación de requisitos de ciberseguridad para proveedores
de servicios, Centro de Ciberseguridad Industria - Españas.
(Será entregado por el profesor)

Sesión 4 Ciberresiliencia - Resiliencia Cibernética

Lecturas, casos, material de apoyo:

Cert de Seguridad Industrial (2017). Metodología de evaluación de indicadores
para mejora de la ciberresiliencia (IMC) (15 p.) Madrid: CERTSI. (069469)

Caso:
Análisis del nivel de madurez de ciberresiliencia.

2
Sesiones 5 y 6 Gestión de Riesgos de Ciberseguridad

Lecturas, casos, material de apoyo:

Organismo Internacional de Estandarización (2018). Gestión del riesgo —
Directrices: ISO 31000 (18 p.) (2a ed) Ginebra: ISO. (069470)

Ministerio de Hacienda y Administraciones Públicas (2012). MAGERIT –

versión 3.0: Metodología de análisis y gestión de riesgos de los sistemas de
información, libro I - método (127 p.) Madrid: Ministerio de Hacienda y
Administraciones Públicas. (069471)

Ministerio de Hacienda y Administraciones Públicas (2012). MAGERIT –

versión 3.0: Metodología de análisis y gestión de riesgos de los sistemas de
información, libro II - catálogo de elementos (75 p.) Madrid: Ministerio de
Hacienda y Administraciones Públicas. (069472)

Ministerio de Hacienda y Administraciones Públicas (2012). MAGERIT –

versión 3.0: Metodología de análisis y gestión de riesgos de los sistemas de
información, libro III - guía de técnicas (42 p.) Madrid: Ministerio de Hacienda
y Administraciones Públicas. (069473)

Caso de estudio:
Aplicación de la metodología de análisis y gestión de riesgos en una empresa
determinada.

Unidad de aprendizaje II: Arquitectura de Ciberseguridad y

Protección de Datos Personales

Resultados de aprendizaje de la Unidad:

Al finalizar la unidad de aprendizaje, el estudiante es capaz de analizar,
comprender y aplicar una adecuada arquitectura de ciberseguridad, gestión
de personal en ciberseguridad buenas prácticas de la protección de datos
personales y la privacidad.

Sesión 7 Arquitectura de Ciberseguridad

Lecturas, casos, material de apoyo:

Donaldson, S., Siegel, S., Williams, C., y Aslam, A. (2015). Enterprise
Cybersecurity: How to Build a Successful Cyberdefense Program Against
Advanced Threats. Apress (Será entregado por el profesor)

Caso:
Análisis de Data Breach.

3
Sesión 8 NICE Cybersecurity Workforce Framework

Lecturas, casos, material de apoyo:

Newhouse, W., Keith, S., Scribner, B. y Witte, G. (2017). National Initiative
for Cybersecurity Education (NICE): Cybersecurity Workforce Framework (135
p.) [s.l.]: National Institute of Standards and Technology. (071235)

Sesión 9 Marco de Privacidad

Lecturas, casos, material de apoyo:

Organismo Internacional de Estandarización (2011). Tecnología de la
información - Técnicas de seguridad - Marco de privacidad: ISO/IEC 29100(32
p.) (1a ed) Ginebra: ISO. (069474)

Trabajo:
A ser asignado por el profesor.

Sesión 10 Controles para la Protección de la Confidencialidad de la

Información de Identificación Personal (PII)

Lecturas, casos, material de apoyo:

McCallister, E., Grance, T. y Scarfone, K. (2018). Guía para la protección de
la confidencialidad de la información de identificación personal (PII) (datos
personales): recomendaciones del Instituto Nacional de Estándares y
Tecnología (55 p.) (Trad. G. Gómez). Maryland: NIST. (069475)

Trabajo:
A ser asignado por el profesor.

Unidad de aprendizaje III: Gestión de la Ciberseguridad

Resultados de aprendizaje de la Unidad:

Al finalizar la unidad de aprendizaje, el estudiante es capaz de comprender y
aplicar los distintos frameworks para la gestión de la Ciberseguridad.

Sesiones 11 y 12 CSF - Cybersecurity Framework del NIST

Lecturas, casos, material de apoyo:

Instituto Nacional de Estándares y Tecnología (2018). Marco para mejorar la
ciberseguridad de las infraestructuras críticas: versión 1.1 (59 p.) (Trad. G.
Gómez). (069476)

Caso:
Determinación del Nivel de madurez del CSF del NIST.

4
 Sesiones 13 y 14 Cybersecurity Assessment Tool - Federal
Financial Institutions Examination Council FFIEC)

Lecturas, casos, material de apoyo:

Federal Financial Institutions Examination Council (2018). Cybersecurity
resource guide for financial institutions (086907)

Trabajo:
A ser asignado por el profesor.

Sesión 15 Examen Final

IV. METODOLOGÍA

 Estrategias didácticas para entornos presenciales y virtuales de

aprendizaje: Aprendizaje autónomo, aprendizaje colaborativo y
aprendizaje activo.
 Actividades de enseñanza aprendizaje: sincrónicas y asincrónicas.

 Recursos: plataforma virtual para entornos virtuales de aprendizaje.

Opcional: uso de herramientas digitales que dinamicen la sesión de clase
en los diferentes momentos de la sesión de clase.

 Momentos de la sesión de aprendizaje presencial y/o virtual:

Al inicio de la sesión:
- Bienvenida: presentación de la asignatura y recursos que generen
interés y conexión con el tema a desarrollar (videos, audios, anécdotas,
noticias, entre otros recursos).
- Exploración: preguntas de reflexión vinculada con el contexto y
experiencias previas de los estudiantes.

Durante la sesión
- Construcción de los conceptos con los estudiantes:
argumentación de los conceptos a la luz de la teoría, intercambio de
opiniones y debates presenciales y/o en foros sobre el tema.
- Espacio práctico: adquisición de conceptos con ejercicios y aplicación
práctica individual y/o grupal sobre los temas desarrollados en
entornos presenciales y/o virtuales con el fin de generar un espacio
para que los estudiantes participen en discusiones, exposiciones,
estudio de casos, juego de roles, entre otros e intervengan activamente
en las clases presenciales o a través de la plataforma/ vía chat o
micrófono.

Después de la sesión
- Cierre y Evaluación de la unidad: Conclusiones de la sesión con los
estudiantes: lluvia de ideas, cuestionarios, intervenciones orales,
mapas mentales, plenarios presenciales y/o virtuales, entre otras
actividades.

5
V. EVALUACIÓN

Participación en clase : 20%

Controles de lectura : 40%
Presentación de trabajos : 40%
TOTAL : 100%

VI. FUENTES DE INFORMACIÓN

Texto adicional:
 Servicio Ecuatoriano de Normalización (2016). Tecnologías de la
información ─ Técnicas de seguridad ─ Código de práctica para la
protección de La información de identificación personal (PII) en nubes
públicas actuando como procesadores de PII (ISO/IEC 27018:2014, IDT):
NTE INEN-ISO/IEC 27018(37 p.) (1a ed) Quito: INEN. (069478)

6
VII. INFORMACIÓN ADICIONAL

Gianncarlo Gómez Morales

Ingeniero Informático con Maestría en Administración y Dirección de

Tecnologías de la Información, Posgrado en Seguridad de la Información por
ESAN, especialización en la UNE-ISO/IEC 27001 por el INTECO-CERT de
España, Lead Auditor en ISO/IEC 27001, Cybersecurity NexusTM (CSX),
Certified Blockchain Expert, ITIL Foundation, Sistemas de Gestión de I+D+i
UNE 166002, especialización en Protección de Datos Personales por la Agencia
Española de Protección de Datos, especialización en Ciberseguridad por la
Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad
por la Universidad Nacional de Defensa de EEUU - Washington D.C.

Se desempeñó como CISO en el OSIPTEL, Gerente Adjunto de Arquitectura

de Seguridad en el Banco de Crédito del Perú, y Actualmente se desempeña
como Head or Cybersecurity Audit en el BIF, Coordinador y Docente del
Diploma Internacional en Gestión de la Ciberseguridad y Privacidad de ESAN
y Adjunct Professor del curso Cyber Policy Development en la National Defense
University en Washington DC.