Salta el contingut

Projecte de Ciberseguretat en Entorns de les Tecnologies de la Informació (C087)

Proposta didàctica

En aquest mòdul de projecte, l'alumnat integra les competències adquirides al llarg de tots els mòduls del curs d'especialització. El projecte consisteix en identificar una necessitat real del sector de la ciberseguretat, dissenyar una solució tècnica completa, planificar detalladament la seva execució i definir els procediments de seguiment, control i avaluació.

El projecte integra les competències de tots els mòduls del curs d'especialització per identificar necessitats del sector, dissenyar un projecte de ciberseguretat, planificar-ne l'execució i definir procediments de seguiment i control.

Criteris d'avaluació

RA1 - Identificació de necessitats del sector productiu

  • CA1.1 Classifica empreses del sector per les seves característiques organitzatives.

  • CA1.2 Caracteritza les empreses tipus del sector (estructura organitzativa, departaments de ciberseguretat).

  • CA1.3 Identifica les necessitats més demanades a les empreses del sector de la ciberseguretat.

  • CA1.4 Valora les oportunitats de negoci previsibles en el sector.

  • CA1.5 Identifica el tipus de projecte requerit per donar resposta a les demandes previstes.

  • CA1.6 Determina les característiques específiques requerides al projecte.

  • CA1.7 Determina les obligacions fiscals, laborals i de prevenció de riscos laborals, que s'han de tenir en compte.

  • CA1.8 Identifica les ajudes o subvencions per a la incorporació de noves tecnologies de producció o de servei, que es podrien obtenir.

  • CA1.9 Elabora el guió de treball que s'ha de seguir per a l'elaboració del projecte.

RA2 - Disseny del projecte

  • CA2.1 Recopila informació relativa als aspectes que cal tractar en el projecte.

  • CA2.2 Realitza l'estudi de viabilitat tècnica del projecte.

  • CA2.3 Identifica les fases o parts que composen el projecte i la seva relació de precedència i interdependència.

  • CA2.4 Estableix els objectius que es pretenen aconseguir, identificant el seu abast.

  • CA2.5 Preveu els recursos materials i personals necessaris per realitzar el projecte.

  • CA2.6 Realitza el pressupost econòmic corresponent.

  • CA2.7 Identifica les necessitats de finançament extern per a la posada en marxa del projecte.

  • CA2.8 Defineix i elabora la documentació necessària per dissenyar el projecte.

  • CA2.9 Identifica els aspectes que cal controlar per garantir la qualitat del projecte.

RA3 - Planificació de l'execució

  • CA3.1 Seqüencia les activitats ordenant-les en funció de les necessitats de desenvolupament.

  • CA3.2 Determina els recursos i la logística necessària per a cada activitat.

  • CA3.3 Identifica les necessitats de permisos i autoritzacions per dur a terme les activitats.

  • CA3.4 Determina els procediments d'actuació o d'execució de les activitats.

  • CA3.5 Identifica els riscos inherents a l'execució, definint el pla de prevenció de riscos i els mitjans i equips necessaris.

  • CA3.6 Planifica l'assignació de recursos materials i humans i els temps d'execució.

  • CA3.7 Fa la valoració econòmica que dóna resposta a les condicions de la realització.

  • CA3.8 Defineix la documentació necessària per a l'execució.

RA4 - Seguiment i control

  • CA4.1 Defineix el procediment per a l'avaluació de les activitats o intervencions.

  • CA4.2 Defineix els indicadors de qualitat per contrastar el resultat obtingut amb el que es preveia.

  • CA4.3 Defineix el procediment per avaluar les incidències que es puguin presentar durant la realització de les activitats.

  • CA4.4 Defineix el procediment per gestionar els canvis als recursos i a les activitats del projecte.

  • CA4.5 Defineix la documentació necessària per avaluar les activitats i el resultat del projecte.

  • CA4.6 Defineix el procediment per participar els clients en l'avaluació dels resultats.

  • CA4.7 Estableix un sistema per garantir el compliment del plec de condicions del projecte quan n'hi ha.

Continguts de referència

  1. Identificació de necessitats del sector de la ciberseguretat
    • 1.1 Panorama del mercat de la ciberseguretat a Espanya i Europa
    • 1.2 Tipologia d'empreses i les seves necessitats específiques
    • 1.3 Perfils professionals de la ciberseguretat
    • 1.4 Marc legal i regulatori aplicable (ENS, RGPD, NIS2)
    • 1.5 Oportunitats de negoci i ajuts disponibles
  2. Disseny del projecte de ciberseguretat
    • 2.1 Recollida de requisits i estudi de viabilitat
    • 2.2 Estructura del projecte (WBS)
    • 2.3 Objectius SMART i abast
    • 2.4 Planificació de recursos (humans, materials, econòmics)
    • 2.5 Control de qualitat i KPIs
  3. Planificació detallada de l'execució
    • 3.1 Diagrama de Gantt i camí crític
    • 3.2 Gestió de permisos i autoritzacions
    • 3.3 Gestió de riscos del projecte
    • 3.4 Documentació d'execució (plantilles, formularis)
  4. Seguiment, control i presentació del projecte
    • 4.1 Indicadors de seguiment i control
    • 4.2 Gestió d'incidències i canvis
    • 4.3 Documentació final (informe executiu i tècnic)
    • 4.4 Presentació oral i defensa del projecte

Orientacions del projecte

Reflexiona sobre les preguntes següents abans de començar a elaborar el teu projecte de ciberseguretat:

  1. Quin és el problema de ciberseguretat que vol resoldre el teu projecte? A quina organització o sector va dirigit?
  2. Quines competències adquirides al llarg del curs d'especialització hi apliques principalment?
  3. Com has identificat la necessitat que aborda el teu projecte? Ho has fet a partir d'una investigació de mercat, d'una empresa real o d'un cas pràctic fictici?
  4. Quin és l'abast del teu projecte? Quines activitats inclou i quines exclou explícitament?
  5. Quins objectius SMART has definit per al teu projecte? Són mesurables i assolibles en el temps disponible?
  6. Quin tipus de projecte has seleccionat (auditoria, implementació, pla de seguretat, etc.) i per quins motius?
  7. Quines fonts normatives o estàndards apliques al teu projecte (ISO 27001, NIST CSF, ENS, RGPD, NIS2)?
  8. Quins recursos humans necessitaria el teu projecte en un entorn professional real? Quants professionals i amb quins perfils?
  9. Quines eines de programari i maquinari específiques requereix la implementació del teu projecte?
  10. Com has calculat el pressupost del teu projecte? Quines partides has considerat (personal, llicències, maquinari, contingències)?
  11. Quin és el camí crític del teu diagrama de Gantt? Quines tasques no es poden retardar sense afectar la data de lliurament?
  12. Quins riscos has identificat per al teu projecte? Com els has valorat (probabilitat × impacte) i quin pla de contingència has definit?
  13. Quins permisos o autoritzacions legals necessitaria el teu projecte en un context real (carta d'autorització, NDA, contracte)?
  14. Com mesuraràs la qualitat del teu projecte? Quins KPIs has definit i com els registraràs?
  15. Com gestionaràs els canvis imprevistos durant l'execució del projecte? Has definit un procediment formal?
  16. Com participarà el client en l'avaluació dels resultats? Quina documentació entregaràs al final?
  17. Quines obligacions fiscals i laborals hauria de considerar un consultor de ciberseguretat autònom que realitzés aquest projecte?
  18. Existeixen ajuts o subvencions (Next Generation EU, INCIBE, CDTI) als quals podria optar l'organització per finançar el projecte?
  19. Com estructura l'informe final del teu projecte? Diferencies entre informe executiu i informe tècnic?
  20. Quines lliçons apreses identificaries un cop finalitzat el projecte? Quines decisions hauries pres de manera diferent?

Fases del projecte

El mòdul de Projecte té una durada total de 126 hores distribuïdes en cinc fases progressives que segueixen la metodologia de gestió de projectes professional.

gantt
    title Planificació del Mòdul de Projecte C087 (126h)
    dateFormat  YYYY-MM-DD
    axisFormat  %d/%m
    section Fase 1 - Identificació
    Anàlisi del sector            :f1a, 2025-09-01, 10d
    Selecció del projecte         :f1b, after f1a, 6d
    Guió de treball               :f1c, after f1b, 4d
    section Fase 2 - Disseny
    Recollida informació          :f2a, after f1c, 8d
    Viabilitat tècnica            :f2b, after f2a, 6d
    WBS i objectius               :f2c, after f2b, 4d
    Pressupost                    :f2d, after f2c, 4d
    section Fase 3 - Planificació
    Gantt i camí crític           :f3a, after f2d, 8d
    Gestió de riscos              :f3b, after f3a, 6d
    Documentació execució         :f3c, after f3b, 6d
    section Fase 4 - Execució
    Implementació i seguiment     :f4a, after f3c, 14d
    Control de qualitat           :f4b, after f4a, 6d
    section Fase 5 - Presentació
    Redacció informe final        :f5a, after f4b, 8d
    Defensa oral                  :f5b, after f5a, 4d
Fase Descripció Hores Resultats d'Aprenentatge Entregable principal
Fase 1 Identificació de necessitats del sector productiu 26h RA1 Document d'identificació i proposta de projecte
Fase 2 Disseny del projecte de ciberseguretat 26h RA2 Document de disseny amb pressupost
Fase 3 Planificació de l'execució 26h RA3 Pla de projecte complet (Gantt + riscos)
Fase 4 Execució, seguiment i control 26h RA4 Documentació de seguiment i control
Fase 5 Presentació i defensa 22h RA1-RA4 Informe final + presentació oral
Total 126h

Tipologies de projecte

L'alumnat pot escollir una de les tipologies de projecte de ciberseguretat següents. La selecció ha d'estar justificada en funció de les necessitats del sector, la viabilitat tècnica i l'alineació amb les competències del curs.

1. Auditoria de seguretat completa d'una PYME

Descripció: Realització d'una auditoria de seguretat integral per a una petita o mitjana empresa, incloent anàlisi de vulnerabilitats, revisió de polítiques i informe d'adequació.

Eines típiques: Nessus/OpenVAS, Nmap, Metasploit, Burp Suite, Lynis

Estàndards de referència: ISO 27002, CIS Controls, OWASP

Perfil professional: Auditor de seguretat, Pentester junior


2. Implementació d'un SOC per a una organització

Descripció: Disseny i implementació d'un Centre d'Operacions de Seguretat (SOC) per a una organització mitja, incloent SIEM, playbooks i processos de resposta.

Eines típiques: Wazuh, Elastic SIEM, TheHive, Cortex, MISP

Estàndards de referència: NIST SP 800-61, MITRE ATT&CK

Perfil professional: SOC Analyst, Security Engineer


3. Pla de resposta a incidents per a una empresa

Descripció: Elaboració d'un pla complet de resposta a incidents de ciberseguretat, incloent procediments, playbooks, exercicis de taula i formació del personal.

Eines típiques: TheHive, MISP, Velociraptor, documentació NIST

Estàndards de referència: NIST SP 800-61, ISO 27035, ENS

Perfil professional: Incident Responder, CISO


4. Implementació d'un SGSI basat en ISO 27001

Descripció: Disseny i implementació parcial d'un Sistema de Gestió de la Seguretat de la Informació (SGSI) seguint la norma ISO/IEC 27001:2022.

Eines típiques: Verinice, OpenSAMM, documentació ISO, eines d'anàlisi de riscos (PILAR, MAGERIT)

Estàndards de referència: ISO 27001:2022, ISO 27002:2022, MAGERIT v3

Perfil professional: Responsable de Seguretat, Consultor ISO 27001


5. Avaluació de conformitat RGPD per a una empresa

Descripció: Realització d'una avaluació completa de la conformitat amb el Reglament General de Protecció de Dades (RGPD) i la LOPDGDD, incloent registre d'activitats, DPIAs i mesures correctores.

Eines típiques: OneTrust (versió trial), spreadsheets estructurades, documentació AEPD

Estàndards de referència: RGPD (UE) 2016/679, LOPDGDD, Guies AEPD, ENISA

Perfil professional: DPO (Delegat de Protecció de Dades), Consultor de privacitat


6. Pentest complet d'una aplicació web

Descripció: Realització d'una prova de penetració completa d'una aplicació web (entorn de laboratori o amb autorització expressa), seguint la metodologia OWASP Testing Guide.

Eines típiques: Burp Suite Pro/Community, OWASP ZAP, SQLmap, Gobuster, Nikto, ffuf

Estàndards de referència: OWASP Top 10, OWASP Testing Guide v4.2, PTES

Perfil professional: Pentester web, Red Team junior


7. Pla de continuïtat de negoci per a una empresa

Descripció: Elaboració d'un Pla de Continuïtat de Negoci (BCP/DRP) per a una organització, incloent anàlisi d'impacte (BIA), estratègies de recuperació i exercicis de prova.

Eines típiques: Documentació ISO, fulls de càlcul BIA, Veeam Backup (demo), eines de backup

Estàndards de referència: ISO 22301, ISO 27031, BCI Good Practice Guidelines

Perfil professional: BCM Manager, Consultor de continuïtat


Criteris de selecció del projecte

Com triar el teu projecte

A l'hora de seleccionar el tipus de projecte, considera els factors següents:

  • Afinitat: Quin àmbit de la ciberseguretat t'appassiona més? Auditoria tècnica, gestió, privacitat, resposta a incidents?
  • Viabilitat: Tens accés als recursos necessaris (eines, laboratori, informació del client fictici)?
  • Mercat: Quin tipus de projecte té més demanda en el mercat laboral actual?
  • Competències: Quin projecte et permet demostrar millor les competències del curs?
  • Ambició vs. realisme: El projecte és prou ambicios per ser rellevant però prou realista per completar-se en 126h?

Errors freqüents en la selecció

  • Triar un projecte massa ampli que no es pot completar adequadament en el temps disponible.
  • Seleccionar un projecte sense considerar la disponibilitat d'eines i recursos.
  • Copiar un projecte existent sense adaptar-lo a un context organitzatiu concret.
  • No justificar la selecció del projecte amb dades del mercat o necessitats reals del sector.

Estructura del document de projecte

El document final del projecte ha d'incloure les seccions següents:

Secció Contingut Fase
Portada Títol, autor, data, centre -
Resum executiu Síntesi del projecte (1 pàgina) Fase 5
1. Introducció i context Presentació del problema, justificació Fase 1
2. Anàlisi del sector Mercat, necessitats, oportunitats Fase 1
3. Objectius i abast Objectius SMART, límits del projecte Fase 2
4. Estudi de viabilitat Tècnica, econòmica, temporal Fase 2
5. Disseny del projecte WBS, arquitectura, metodologia Fase 2
6. Pla de projecte Gantt, recursos, riscos Fase 3
7. Pressupost Detall econòmic complet Fase 2-3
8. Execució i seguiment Registres de treball, desviacions Fase 4
9. Control de qualitat KPIs, indicadors, resultats Fase 4
10. Resultats i conclusions Assoliment d'objectius, recomanacions Fase 5
Annexos Autoritzacions, evidències, plantilles Totes
Bibliografia Fonts consultades (format APA) Totes

Rúbrica d'avaluació global

Criteri Pes Excel·lent (9-10) Notable (7-8) Aprovat (5-6) Insuficient (<5)
Qualitat tècnica del projecte 35% Solució tècnica innovadora, justificada i implementable Solució correcta amb petites mancances Solució bàsica però funcional Solució incompleta o incorrecta
Gestió del projecte (Gantt, riscos, pressupost) 25% Planificació professional i completa Planificació correcta amb llacunes menors Planificació bàsica present Planificació absent o incompleta
Qualitat de la documentació 20% Documentació professional, clara i completa Documentació correcta Documentació suficient Documentació deficient
Presentació oral 15% Presentació clara, segura i professional Bona presentació amb millores possibles Presentació adequada Presentació deficient
Resposta a preguntes 5% Domina el tema i respon amb seguretat Respon correctament la majoria Respon preguntes bàsiques No respon adequadament