Memoriaanual|2014Cátedra de Innovación

en Seguridad de la Información, Prevención de Fraude

y Gestión del Riesgo Tecnológico

#1

Memoriaanual|2014Cátedra de Innovación

en Seguridad de la Información, Prevención de Fraude

y Gestión del Riesgo Tecnológico

Índice

01. Cartas de la Dirección 202. Resumen 403. La Cátedra 604. Instrumentación y promoción inicial 8

04.01 Instrumentos de gobierno 10

04.02 Página web 12

04.03 Anuncios en revista SIC y portales universitarios 13

04.04 Cursos de verano URJC y Jornadas BBVA 13

05. Investigación 1405.01 Validación de la implementación del algoritmo de

tokenización en los sistemas de información de BBVA 16

05.02 Estudio de aplicación de Redes Parenclíticas

a la Prevención del Fraude 17

05.03 Aduana de Datos 18

05.04 Teoría de los Sistemas de Información 20

06. Publicaciones 2206.01. Towards a Complex Networks’ based

Model for Intentional Technological Risk Analysis 24

06.02. EfficientAlgorithmstoestimatelossofinformationinanetwork

and their application to Intentional Risk Analysis 25

07. Seminarios 26Seminario1-DelegaciónverificabledeComputación

en Outsourcing de Datos 30

Seminario 2 - Redes funcionales 31

Seminario3-Identificaciónfacialenimágenes 32

Seminario 4 - Tokenización Vs Cifrado Clásico 33

Seminario 5 - Redes complejas 34

Seminario 6 - Nuevas tendencias y herramientas de

minería de datos para detección de fraude 35

08. Acciones formativas 36

#2

Cartas de la Dirección

01L

a constitución de la Cátedra I4S-URJC, y de forma más genérica la colaboración Universidad-Empresa, es sin duda el primer ladrillo y la base más consistente sobre la que una empresa de construcción de producto puede apoyarse. Desde I4S

confiamosenlagranventajacompetitivaqueselografomentandoestaincubadoradecientíficosytecnólogos,ideasysistemasquelasimplementan, participando en el ciclo de vida del producto desde la concepción de la idea de seguridad hasta la puesta en marcha de su tangible en un entorno productivo.

Open mind, Open Innovation, Open Source. Fundamentar la marca I4S (Innovation 4 Security) en estos tres pilares para construir un ecosistema en el que se fomente de manera inherente el “Open Mind”, entendido como un punto de encuentro para la divulgación de conocimiento en constante evolución, construido entre todas las personas que lo conforman. Apalancarnos en el “Open Innovation” aumentando los niveles de colaboración internos y externos con vistas a construir plataformas que puedan ayudar a instituciones como BBVA paraelincrementodesucompetitividadyeficacia.Diseñaryconstruirnuestras piezas bajo el sello “Open Source” con la potente ventaja de disponer de la gran variedad de ideas y enfoques que proporciona el trabajo en comunidad.

Rafael OrtegaDirector General de Innovation 4 SecurityCo-director Cátedra I4S-URJC

#3

Es ésta una ocasión especial. Se trata de la memoria de actividades correspondiente al primer añodeandaduradela “Cátedra de Innovación en Seguridad de la Información, Prevención del Fraude y Gestión del Riesgo Tecnológico”,

cátedra que vincula de una manera muy especial y comprometida a la Universidad Rey Juan Carlos y a la empresa I4S, y que pone de relieve el compromiso de ambas instituciones con la sociedad para el desarrollo y la potenciación de actividades de formación y de investigación en torno a materias relacionadas con la prevención del fraude, la gestión del riesgo y la seguridad de las tecnologías de la información.

La globalización tecnológica ha cambiado los riesgos y la forma de gestionarlos, lo que implica inevitablemente la aparición de nuevos tipos de amenazas que hay que afrontar y que conlleva la adopción de nuevas estrategias de protección necesariamente innovadoras. Nuestra intención no es otra que aprovechar la sinergia y las posibilidades que ofrece la colaboración entre ambas instituciones para buscar nuevos caminos, para innovar, para formar a futuros expertos,parahacerllegaralasociedadloquesignificaunabuenagestión de la seguridad de la información y del riesgo tecnológico, lo que constituye el fundamento y una parte esencial de los objetivos de nuestra tarea.

Estamos convencidos de que una sociedad bien informada y formada será capaz de entender mejor los beneficios de cuidar todos losaspectos relacionados con la seguridad de la información y la gestión del riesgo tecnológico así como valorar los esfuerzos que se realizan por potenciar la creación, la innovación y la investigación en este campo.

Queremosseñalar,porúltimo,quenuestrapretensiónesqueesteprimerinforme nos sirva no sólo para poner en valor nuestros logros y aciertos sino que, también, nos permita detectar nuestros vacíos y desaciertos y, en consecuencia, plasmar lo aprendido en nuevos éxitos y objetivos concretos alcanzados. Esperamos poder ofrecer los nuevos logros en lamemoriacorrespondientealpróximoaño.

Cartas de la Dirección

Regino CriadoCatedrático de Matemáticas en URJCCo-director Cátedra I4S-URJC

Resumen anual

02

Indexaciones

Marca Cátedra

Presencia en Medios

http://www.urjc.es/I4S/

23

20 25 36

58

73 78

6 6 14

38 39 41

0

20

40

60

80

100

1 2 3 4 5 6

Inscritos

Asistentes

● DelegaciónverificabledeComputaciónenOutsourcingdeDatos.

● Redes funcionales: desde la dinámica del cerebro hasta la seguridad de los sistemas de información.

● Identificaciónfacialenimágenes.

● Tokenización Vs Cifrado Clásico.

● Redes complejas y su incidencia en la sociedad, en las ciencias biológicas y en la tecnología.

● Nuevas tendencias y herramientas de minería de datos para detección de fraude.

Seminarios

2

Publicaciones ● Towards a Complex Networks’ based

Model for Intentional Technological Risk Analysis.

● EfficientAlgorithmstoestimatelossofinformation in a network and their application to Intentional Risk Analysis.

Actividad formativa

Proyectos conjuntos de investigación

¿Qué sabes de estos conceptos?

Esquema de regateo de John Nash

Redes parenclíticas

Seriestemporales

Ap

ren

diz

aje

sup

erv

isad

oVa

lore

s d

e S

ha

ple

y,

Mye

rso

n, B

an

zha

f

MetodologíaBox-Jenkins

Redes neuronales para machine learning

Modelo Barabási-Albert

Mo

de

loC

asa

nd

ra

Rie

sgo

inte

nc

ion

al

Asi

ste

ncia6

4Certificacióndelosalgoritmosdetokenización.

Reducción de fraude mediante redes parenclíticas.

Teoría de los sistemas de la información.

Algoritmos para la creación de una aduana de datos.

Proyectos Ámbito

Ciberseguridad

Fraude

Riesgo tecnológico

Ciberseguridad

#6

A través de la Cátedra se podrán aportar nuevas disciplinas y enfoquescientíficosalaciberseguridad,laprevencióndelfraudeyla gestión del riesgo tecnológico, algo que siempre redunda en una mejor comprensión de los nuevos paradigmas tecnológicos y una mayor efectividad para la consecución de nuestros objetivos.

#7

La Cátedra

03Innovation 4 Security (I4S), compañía dedicada a la construcciónde productos de ciberseguridad, prevención del fraude y gestión de riesgo tecnológico para BBVA, y la Universidad Rey Juan Carlos (URJC), y más en concreto el Departamento de Matemática Aplicada de la Escuela Superior de Ciencias Experimentales y Tecnología (ESCET) firmaronunconveniodecolaboraciónafecha17demarzode2014.Este plantea como misión aportar una dimensión científica a losenfoques tradicionales de gestión del Riesgo TI, Prevención del Fraude y Seguridad.

Se han marcado los objetivos iniciales de promover el desarrollo de técnicas científicas, para así formalizar nuevas aproximaciones a lagestión de riesgos tecnológicos. Se pretende además, aportar nuevas técnicas de prevención del fraude tecnológico, así como publicar los avancesalrespectotantoenelámbitocientíficocomoenelsectordela ciberseguridad.

Este marco de colaboración universidad-empresa, pretende favorecer la creación de una incubadora de personas y conocimiento que permita sustentar los pilares de I4S como polo tecnológico. Para ello ha resultado fundamental el intercambio de experiencias investigadoras y la realización de investigaciones conjuntas sobre técnicas de gestión del riesgo, prevención del fraude y ciberseguridad.

Desde el órgano de gobierno de la Cátedra, para dar cumplimiento a estos objetivos, se han focalizado los esfuerzos en cinco líneas principales:

x Instrumentación y promoción inicial x Investigación x Seminarios x Publicacionesx Acciones formativas

La Cátedra

#8

Las Comisiones Directiva y Ejecutiva velan por el cumplimiento del convenio así como por la planificación y evaluación de cada actividad formativa y/o proyecto de investigación. Además de dotar a la Cátedra del instrumento para su gobierno, resulta fundamental dotarla de instrumentos que permitan trasladar el conocimiento generado fuera de la misma.

#9

Instrumentación y promoción inicial

04TraslafirmadelconvenioparalaconstitucióndelaCátedra,sedecidiódotarla de los instrumentos necesarios para habilitar los procesos tanto de gestión como de publicitación y anuncio de sus principales actividades.Enbaseaestoseplanificaronaccionescomolacreacióndeunapáginaweb,lapublicacióndeanunciosenrevistasinfluyentesdel sector y emisión de diferentes notas de prensa.

Instrumentación y promoción inicial

#10

04.01 Instrumentos de gobiernoPara el seguimiento del convenio asícomopara laplanificaciónyevaluación de cada actividad y/o proyectos de investigación se han creado dos comisiones: Comisión Directiva y Comisión Ejecutiva.

x Comisión Directiva

x Comisión Ejecutiva

Presidente I4S Rector URJC

Director del Departamento de

Matemática Aplicada

Representante del Departamento de

Matemática Aplicada

Director General I4S

Representante I4S

Expertos asesores

#11

Órganos de direcciónFunciones, nombramientos y periodicidad de juntas:

Instrumentación y promoción inicial

x Comisión Directiva

x Comisión Ejecutiva

FUNCIONES

FUNCIONES

COMPOSICIÓN

COMPOSICIÓN

PERIODICIDAD Anual

PERIODICIDAD Mensual

•Seguimiento de las actividades realizadas en el ámbito de la cátedra.•Aprobación de líneas estratégicas de trabajo.•Aprobación del plan de trabajo anual.•Aprobación de los presupuestos anuales.

•Proposición y Aprobación de Actividades Formativas.•Proposición y Aprobación de Proyectos de Investigación.•Seguimiento de las actividades Formativas.•Seguimiento de los Proyectos de Investigación.•Control Presupuestario.•Tratamiento de riesgos, incidencias y problemas.

•Excmo.RectorMagnífico•D. Regino Criado

•D. Regino Criado•D. Miguel Romance

•D. Santiago Moral•D. Rafael Ortega•D. Franz Hassmann (Secretario)

•D. Rafael Ortega•D. Jorge Sánchez Rubio (Secretario)

#12

04.02 Página webComo principal instrumento de comunicación destacamos la creación de la página web http://www2.urjc.es/I4S que pretende ser un repositorio de todos los trabajos y acciones realizadas en el marco de la Cátedra.

x Detalle de las áreas de la página web:

x Se muestran dos de los apartados principales destinados a la exposición, tanto de acciones de publicación como de seminarios realizados.

#13Instrumentación y promoción inicial

UNIVERSIDADES

Nueva Cátedra de la Universidad Rey JuanCarlos09/10/2014

I4S y la Universidad Rey Juan Carlos crean la Cátedra I4S-URJC de Investigación enSeguridad de la Información, Prevención del Fraude y Riesgo Tecnológico.

I4S, empresa dedicada a la prestaciónde servicios de gestión del riesgo TI,prevención del fraude y seguridad y laUniversidad Rey Juan Carlos hanfirmado un convenio de Colaboraciónque pretende aportar dimensióncientífica a los enfoques tradicionalesde gestión del Riesgo TI, Prevencióndel Fraude y Seguridad. La UniversidadRey Juan Carlos albergará la CátedraI4S-URJC de Investigación en IT

RF&S (IT Risk, Fraud & Security), según el convenio de colaboración suscrito el pasado 23de mayo entre D. Santiago Moral Rubio, Presidente de I4S y D. Fernando Suárez Bilbao,Excmo. Rector Magnífico de la Universidad Rey Juan Carlos. A la firma del acuerdo hanasistido también los co-responsables de esta nueva Cátedra, D. Regino Criado Herrero, Directordel Departamento de Matemática Aplicada de la URJC y D. Rafael Ortega García, DirectorGeneral de I4S. La Cátedra, que estará vinculada al Departamento de Matemática Aplicadade la Escuela Superior de Ciencias Experimentales y Tecnología (ESCET), promoverá eldesarrollo de técnicas científicas que formalicen nuevas aproximaciones a la gestión de riesgostecnológicos y aporten nuevas técnicas de prevención del fraude tecnológico, así como promoversu conocimiento tanto en el sector científico como en el sector de la seguridad TI. “Para I4S esuna satisfacción poder hacer realidad esta Cátedra con la Universidad Rey Juan Carlos, a travésde la cual podremos aportar nuevas disciplinas y enfoque científico a la Seguridad TI, laprevención del fraude y la gestión del riesgo tecnológico, algo que siempre redunda en unamejor comprensión de los nuevos paradigmas tecnológicos y una mayor efectividad a la hora deconseguir nuestros objetivos.” apuntó el Director General de I4S, Rafael Ortega. Durante suprimer año, la Cátedra I4S-URJC de Investigación en IT RF&S patrocinará varios seminarios yconferencias organizados por el Departamento de Matemática Aplicada, entre otras,orientadas a nuevas técnicas de cifrado y su aplicación al sector financiero. Asimismo, setrabajará durante el periodo 2014- 2015 en el desarrollo de un Curso de Modelos CientíficosAplicados a riesgo tecnológico, prevención de fraude y seguridad TI, que evolucionará en cursosposteriores a un Master Propio de Investigación en IT RF&S. La Cátedra facilitará también larealización de prácticas por parte de estudiantes de dichos cursos en I4S, así como el intercambio

Copyright © 2014 Universia España. Todos los derechos reservados. Página 1 de 2

x Revista SIC x Revista Universia04.03 Anuncios en revista SIC y portales universitariosSe publicaron diferentes notas de prensaenrevistas influyentesdelsector y en portales universitarios. Noticias de las que se hicieron eco en otros portales con elevado impacto social, provocando el crecimiento exponencial en el reconocimiento de la marca “Cátedra I4S URJC”.

Como resultado puramente objetivo encontramos que al realizar lasbúsquedas,“CátedraI4S-URJC” o “Cátedra I4S” en Google, éste indexa una media de entre 25 y 30 referencias en diferentes páginas.

04.04 Cursos de verano URJC y Jornadas BBVAEn ambos eventos en su acto de clausura se presentaron las intenciones y el foco principal de las acciones de la Cátedra, todo ello desde la perspectiva del marco colaborativo Universidad-Empresa.

Se presentó la Cátedra como instrumento que se apalanca sobre los

siguientes conceptos:

• Cambiocultural(beneficiomutuo)

Espacios de intercambio de conocimiento entre el mundo

académico y el empresarial que fomentan la investigación

aplicada (ventajas competitivas) y la investigación básica (avanzar

en el conocimiento).

• Motor de innovación tecnológica

Alcanzarnuevosespaciosenelmundodigitalen losquediseñar

y fabricar tecnologías de seguridad innovadoras gracias a las

capacidades de ambos mundos (universidad-empresa).

#14

Se han ejecutado varios proyectos de investigación de mutuo interés tantoparaalUniversidadcomoparaI4S,otrosaúnestánenmarchayarrojando resultados prometedores. Estos trabajos además han dado piealapublicacióndeartículoscientíficosenrevistasderenombre.

#15

Investigación

05Una empresa dedicada a la construcción de productos y un centro de investigación o un centro universitario constituyen un binomio perfecto desde el punto de vista estratégico en el ciclo de vida completo de un producto. Desde la concepción de la idea hasta su tangible.

Se pretende que la combinación de ambos “modelos” (universidad-empresa) a través de proyectos de investigación conjuntos permita nutrirdelamáscompletavisióncientífico-técnica,acadaunadelasideas que hayan de convertirse en productos competitivos y de alto valorañadidoenelmercado.

A lo largodeesteprimerañodeCátedrasehan iniciadounaseriede proyectos conjuntos con resultados objetivamente satisfactorios y esperanzadores. Siempre desde el marco de la seguridad, riesgo y fraude IT, se ha decidido realizar proyectos cuyas investigaciones partan desde diferentes niveles de madurez; esto es, en unos casos se ha pretendido abrir investigaciones basadas en teorías aúninexploradas o poco aplicadas al mundo IT como la aplicación de la mecánica estadística en entornos IT, y en otros casos se ha trabajado directamente en el análisis y mejora de algoritmos o sistemas ya existentesyenunafasequepodríadefinirsecomomadura.

Investigación

#16

05.01 Validación de la implementación del algoritmo de tokenización en los sistemas de información de BBVA

Los objetivos de este proyecto han sido:

El punto de partida de este trabajo eran los resultados de dos proyectos anteriores que el equipo investigador de la Universidad Rey Juan Carlos realizó al amparo del Art. 83 de la L.O.U. para el grupo BBVA, “Análisis de algoritmos de tokenización: estado del arte” y “Análisis de algoritmos de tokenización y asesoramiento teórico para su implementación”.

En el primero de éstos se realizó un estudio prospectivo para elegir un algoritmo adecuado de tokenización (cifrado preservando el formato) que pudiese incorporarse a los sistemas de información con lasmáximasgarantíasdeseguridadyeficiencia.

Una vez elegido el sistema adecuado, en el segundo proyecto se realizó una labor de asesoramiento al equipo implementador a la hora de desarrollar e implementar el algoritmo de tokenización en distintas plataformas.

Finalizado

• Identificar las distintas

implementaciones del algoritmo

de tokenización que estén en

la actualidad en uso dentro de

los sistemas de información de

BBVA.

• En estrecha colaboración

con los implementadores y

desarrolladores involucrados en

la introducción de los algoritmos

de tokenización, determinar

qué implementaciones distintas

se están manejando y en qué

ámbitos, y cómo se especifica

la gestión de claves asociadas.

• Verificar formalmente las

implementaciones. Estudiar si

los algoritmos asociados están

bien construidos y coordinados,

y si reflejan fidedignamente el

diseñooriginalpropuesto.

• Verificar el funcionamiento real

de dichas implementaciones.

A través de experimentos o

estudio de salidas de los mismos,

comprobar que su actuación

práctica es coherente con su

estructura formal.

• Establecer las pautas para el

aprovechamiento óptimo de

los algoritmos de tokenización.

Sugerir las reformas pertinentes

para solventar los problemas

que se hayan detectado

durante la validación.

• Estudiar nuevos escenarios de

aplicación dentro del entorno

delBBVAqueaúnno sehayan

explorado y en los que estos

algoritmos puedan resultar

de utilidad sin apenas coste

adicional.

El resultado fue altamente satisfactorio, habiéndose encontrado importantes puntos de mejora en la implementación algorítmica en cuanto a flexibilización, rendimiento y gestión del tweak.

#17

05.02 Estudio de aplicación de Redes Parenclíticas a la Prevención del Fraude

Investigación

Los objetivos que fueron marcados para este proyecto son los siguientes:

Este proyecto planteaba el reto de obtener una nueva herramienta de detección de transacciones ilícitas empleando la metodología y algoritmos inherentes al modelo de redes parenclíticas.

El análisis de redes parenclíticas ha demostrado ser una herramienta útil en la detección de transacciones fraudulentas tanto desde elpunto de vista teórico como desde el punto de vista práctico.

Desde el punto de vista teórico, se ha demostrado que hay información valiosa sobre la licitud de una transacción tanto en sus features como en las correlaciones entre ellas.

Desde el punto de vista práctico, los tiempos de ejecución muestran queelcostecomputacionalnecesarioparalaclasificaciónautomáticade la licitud de una transacción es plenamente asumible.

Finalizado

• Elaboración de un soporte

para la creación de un Dataset

para la realización de pruebas

y validación y verificación

de los algoritmos específicos

desarrollados.

• Clasificación-individuación de

transacciones fraudulentas,

tanto en la base de datos

global como en las bases de

datos específicas. A partir de

aquí, se podrá estudiar si los

algoritmos desarrollados para

la herramienta están bien

construidos y coordinados, así

como verificar que reflejan

f idedignamente el diseño

original propuesto.

• Análisis exploratorio para

extraer las características de

las transacciones fraudulentas.

Construir las redes de las

transacciones fraudulentas y

analizarlas por separado para

extraer y estandarizar tipologías.

• Análisis estructural de las redes

obtenidas para caracterizar

dichas tipologías. Establecer

nuevas pautas de detección a

partir de dicho análisis.

• Publicación de resultados en

revistascientíficas para llamar la

atención y el interés del sector

de la Seguridad y el Fraude

Científico.

La información obtenida mediante el análisis de redes parenclíticas es complementaria a la desarrollada con otros algoritmos usados en el Problema de Detección de Fraude de forma que combinando este nuevo paradigma con otros métodos clásicos se puede obtener una imagen más precisa sobre la licitud o fraudulencia de cada transacción.

El entrenamiento del sistema necesario en el análisis de redes parenclíticas es mucho más eficiente que el necesario en otros métodos clásicos.

A la vista de los excelentes resultados obtenidos en el desarrollo de este proyecto, son muchas las líneas de trabajo que podrían desarrollarse en el futuro para profundizar en el uso del análisis de redes parenclíticas en el Problema de la Detección del Fraude.

#18

05.03 Aduana de datos

El objetivo de este proyecto planteaba la elaboración de una propuesta teórica de diseño de distintas herramientas susceptibles de ser integrables en un sistema de información que maneje grandes volúmenes de datos almacenados en la nube. Dichas herramientas permitirían efectuar diversas operaciones con los datos posibilitando lo siguiente:

El punto de partida de este trabajo han sido los resultados de dos proyectos anteriores que el equipo investigador de la U. Rey Juan Carlos realizó al amparo del Art. 83 de la L.O.U. para el grupo BBVA, “Análisis de algoritmos de tokenización: estado del arte” y “Análisis de algoritmos de tokenización y asesoramiento teórico para su implementación”. En el primero de éstos se realizó un estudio prospectivo para elegir un algoritmo adecuado de tokenización (cifrado preservando el formato) que pudiese incorporarse a los sistemas de información con lasmáximasgarantíasdeseguridadyeficiencia.Unavezelegidoelsistema adecuado, en el segundo proyecto se realizó una labor de asesoramiento al equipo implementador a la hora de desarrollar e implementar el algoritmo de tokenización en distintas plataformas.

En ejecución

• La transmisión de datos a la

nube en claro o tokenizados,

con garantías de integridad y la

máximaeficiencia.

• La utilización selectiva de datos

enclarootokenizados,según

sea de interés para cada

apl icación, per mit iéndose

por e jemplo e l desar ro l lo

de estudios estadísticos con

datos sanitizados (gracias a

la tokenización). Algunas de

las aplicaciones que a priori

c o n t e m p l a m o s i n c l u y e n :

e s t a d í s t i c a s d e s c r i p t i v a s

de los datos , es tudios de

inferencia (predict ivos) , o

manipulaciones selectivas de

datos(previamenteclasificados

antes de la tokenización o no).

• La verif icabi l idad desde el

s istema externo a la nube.

Con e l m ín imo cos te (en

comunicación y computación),

e l s i s tema exte r no podrá

efectuar test criptográficos de

verificaciónparacertificarque

las operaciones efectuadas

por la nube son correctas (es

decir, siguen la especificación

elegida por el sistema y utilizan

los datos designados para

el proceso). Dependiendo

del tipo de operaciones que

interese hacer sobre los datos,

se estudiarán nuevas técnicas

decomputaciónverificableyse

explorará su adecuación a este

contexto.

• L a i n t e r a c c i ó n e n t r e

distintos usuarios de la nube,

e s t a b l e c i e n d o n u e v a s

s inergias que les permitan

colaboraciones ventajosas sin

poner en riesgo su privacidad.

#19Investigación

Para todo ello se han planteado desde el inicio tres importantes hitos:

DESCRIPCIÓN DEL MARCO y SELECCIÓN DE OPERACIONES DE INTERéS.

• Se analizará cuál es el marco

exacto de la interacción con

la nube, cómo se establece la

comunicación sistema-nube y

qué tecnologías son susceptibles

de incorporarse a corto plazo

paraagilizarydiversificardicha

interacción. Se seleccionarán

operaciones críticas para el

sistema y se detallará cada una

de ellas.

DESARROLLO TEÓRICO DE ALGORITMOS PARA LAS OPERACIONES SELECCIONADAS.

• Se estudiará qué algoritmos se

utilizan (independientes de la

tokenización) para desarrollar las

aplicaciones críticas de interés

para el sistema. Posteriormente,

se elaborará el diseño teórico

de algoritmos que incorporen la

funcionalidad de la tokenización

y saquen el mayor partido a sus

características, manteniendo

en lo posible su flexibilidad y

eficiencia. En este punto se

evaluará también la posibilidad

de desarrol lar algor i tmos

cooperativos con distintos

usuarios que almacenen sus

datos en la nube.

ESTUDIO DE APLICAbILIDAD DE TéCNICAS DE vERIFICAbILIDAD PARA LOS ALGORITMOS DISEñADOS.

• Se tratará de incorporar,

manten iendo usab i l idad

y eficiencia, técnicas de

computación verificable a los

algoritmosdiseñados.

La consecución de este proyecto permitirá sentar las bases óptimas para la creación de un sistema tokenizador que previsiblemente constituirá un producto altamente demandado tanto en el entorno bancario como en el mercado.

#20

05.04 Teoría de los Sistemas de Información

El análisis eficiente de los Sistemas de Información constituye unode los principales retos para poder gestionar de forma efectiva los Sistemas y pronosticar su desarrollo futuro, permitiendo así una ventaja estratégica en la Gestión Tecnológica de una organización. Existen diferentes enfoques clásicos que tratan de dar respuesta a este reto, sibienelcrecimientodesmesuradodel tamañode los sistemasyelconsiguiente aumento de la complejidad de los mismos hace que estas herramientas clásicas estén próximas a alcanzar el límite de su rango y poder de aplicación. Existen diferentes precedentes en otros campos del conocimiento en los que el aumento de la complejidad ha precisado el desarrollo de nuevas herramientas capaces de dar un diagnóstico más profundo de fenómenos complejos.

Un primer ejemplo de esta situación lo encontramos en el desarrollo de la Mecánica Estadística. A mediados del siglo XIX, la comunidad física estudió de forma sistemática los sistemas térmicos empleando técnicas parecidas a las introducidas por Daniel Bernoulli en el siglo XVIII para sistemasdefluidos.Unosdelosprincipalesinconvenientesencontradosen este desarrollo era la incapacidad de emplear las herramientas tradicionales (mecánica clásica), pues en los nuevos sistemas térmicos(comoen lossistemasdefluidos)elnúmerodepartículasysus interacciones, tanto lineales como no-lineales, presentaban un escenario en el que debían convivir varias escalas de resolución: desde los micro-estados entre elementos concretos hasta fenómenos de escala global en el que se agregan de forma no-lineal todos los elementosdelsistema.FueLudwigBoltzmannquienafinalesdelsigloXIX estableció las relaciones entre las diferentes escalas empleando herramientas matemáticas de la probabilidad y el cálculo variacional estocástico, inaugurando el desarrollo de la Mecánica Estadística. Esta nueva disciplina permite el estudio detallado de sistemas físicos conunagrancantidaddeelementosqueinteractúandeformano-lineal y que exhiben el comportamiento de un sistema complejo.

Una situación similar la encontramos en el desarrollo de la Teoría de la Información. A mediados del siglo XX y después de la incipiente irrupción de las nuevas tecnologías en las comunicaciones, Claude E. Shannon y Warren Weaver desarrollaron una teoría matemática el proceso de transmisión de la información así como la capacidad de los sistemas de comunicación para transmitir y procesarla. En este entorno los sistemas considerados muestran de nuevo un comportamiento complejo,puesestánconstituidosporunenormenúmerodeelementosqueinteractúanparaconformaruncomportamientoglobal no-lineal.

En ejecución

#21Investigación

Un tercer precedente más cercano lo encontramos en el estudio de sistemas reales modelados mediante grafos. La teoría de grafos es una disciplina clásica de las matemáticas en las que se estudian sistemas reales que pueden modelarse como interacciones entre un conjunto finitodeelementos.Conelaumentodelacapacidadcomputacionaldesarrollado en los últimos 20 años resulta ahora posible modelarmatemáticamentesistemasdeestetipoperoconunnúmeroingentede estos elementos. Ejemplos de este tipo de sistemas son las redes sociales digitales (Facebook, Twitter,...), redes de información digital (WWW, Internet,...), redes biológicas complejas (el cerebro como red de neuronas, redes genéticas,...) o redes socio-económicas (interacciones bursátiles, redes de comercio de gran escala,...). Con el nacimiento del siglo XXI se ha demostrado que las herramientas clásicas de la Teoría de Grafos resultan insuficientes para analizarestos nuevos sistemas, ya que las interacciones (lineales y no lineales) entreelingentenúmerodeelementosquelosformannopuedensercapturadas por los métodos tradicionales.

Como alternativa, se está desarrollando el Análisis de Redes Complejas como una nueva disciplina en la que se establecen relaciones entre las diferentes escalas de los sistemas considerados (redes complejas), empleando conceptos y resultados procedentes de la Mecánica Estadística. A la vista de estos precedentes, es de esperar que el estudio actual de los actuales sistemas de información esté en la misma fase de evolución que el estudio de los sistemas térmicos a mediados del siglo XIX o es estudio de la información a mediados del siglo XX, por lo que una nueva teoría matemática que capture las interacciones no-lineales de estos sistemas complejos debe desarrollarse para obtener una nueva generación de herramientas de análisis, gestión y predicción del comportamiento de los Sistemas de Información. El objetivo fundamental de este proyecto consiste en comenzar a establecer las bases matemáticas y fundacionales de esta nueva teoría de análisis de los sistemas de información.

El principal objetivo de este proyecto es fundamentar de forma matemáticamente rigurosa los conceptos y principales resultados de la Teoría de los Sistemas de Información, entendiendo estos sistemas como objetos formados por una gran cantidad de elementos básicos que interaccionan de forma lineal y no-lineal y exhiben un comportamiento global complejo.

#22

Nuestraspublicacionescientíficasconstituyeneldocumento formal de comunicación al exteriordenuestrosavancescientífico/técnicoseinvestigaciones.

#23

Publicaciones

06Otro de los objetivos fundamentales de la Cátedra, es el de realizar investigaciones y sus posteriores publicaciones, que permitan a la Cátedra convertirse en un referente en cuanto a las temáticas estudiadas tanto por novedosas como por su aplicación en el día a día real de la empresa.

Publicaciones

#24

06.01Towards a Complex Networks’ based Model for Intentional Technological Risk AnalysisEl artículo se centra en plantear un modelo de gestión del riesgo basado en redes complejas ante un ataque intencional en entornos digitales.Este modelo permitirá analizar y mitigar el riesgo tecnológico intencional en redes y entornos digitales. Dentro de este contexto, se introduce específicamenteuna descripción completa de un nuevo algoritmo llamado max-path dedicado a asignar un valor específicoa cada componentede la red (nodos y bordes), distribuyendo el valor inicial de los activos de información que se encuentran en áreas (llamadas bóvedas) a lo largo de toda la red.

#25Publicaciones

06.02EfficientAlgorithmstoestimate loss of information in a network and their application to Intentional Risk Analysis.En este trabajo se propone un modelo para la difusión de información en una red compleja. La principal hipótesis del modelo es que la información se encuentra inicialmente en ciertos nodos y luego se difunde, con pérdidas ocasionales al atravesar los bordes, hacia el resto de la red. Presentamos dos algoritmos eficientes, quellamamos max-ruta y sum-ruta, para calcular, respectivamente, los límites inferior y superior para la cantidad de información recibida en cada nodo. Finalmente, se provee una aplicación de estos algoritmos para el análisis de riesgo intencional.

#26

Abarcando una gran variedad de temas relacionados con la seguridad TI, gestión del riesgo y prevención del fraude, los seminarios de la Cátedra han tenido una gran acogida entre profesionales del sector y estudiantes universitarios, tanto por la relevancia de los tópicostratadoscomoporelperfildesusponentes.

#27

Seminarios

07Ha supuesto uno de los grandes éxitos durante este primer año deCátedra por su positiva evolución en cuanto a impacto y asistencia. Fruto de las temáticas escogidas, la calidad de sus ponentes y los centros en los que se han impartido, los seminarios han superado las expectativas inicialmente planteadas.

Se han realizado un total de seis seminarios de diferentes pero siempre interesantes temáticas, durante los cuales se ha observado una notable evolución de asistencia. Un papel importante lo han jugado las ubicaciones escogidas para su impartición. Desde el salón de actosdeledificiodeMatemáticasde laURJCoelCPDdeBBVAenTres Cantos hasta el Centro de Innovación de BBVA, que ha sido la sedede lasúltimastresponencias, favoreciendo laasistenciadeunmayornúmerodeinvitadosybrindándonoslaposibilidaddepublicitary grabar cada uno de los actos.

A continuación se disponen cada uno de los seminarios realizados y las cifras de la más que positiva evolución de asistencia. x DelegaciónverificabledeComputaciónenOutsourcingdeDatosx Redes funcionales: desde la dinámica del cerebro hasta la

seguridad de los sistemas de informaciónx Identificaciónfacialenimágenesx Tokenización Vs Cifrado Clásicox Redes complejas y su incidencia en la sociedad, en las ciencias

biológicas y en la tecnologíax Nuevas tendencias y herramientas de minería de datos para

detección de fraude

Seminarios

#28

1. DelegaciónverificabledeComputaciónenOutsourcingde Datos

2. Redes funcionales: desde la dinámica del cerebro hasta la seguridad de los sistemas de información

3. Identificaciónfacialenimágenes

4. Tokenización Vs Cifrado Clásico

5. Redes complejas y su incidencia en la sociedad, en las ciencias biológicas y en la tecnología

6. Nuevas tendencias y herramientas de minería de datos para detección de fraude

Sem

ina

rios

#29Seminarios

20 25 36

58

73 78

6 6 14

38 39 41

1 2 3 4 5 6

Inscritos

Asistentes

#30

Seminario 1DelegaciónverificabledeComputaciónenOutsourcingdeDatos

Abstract:Gestionamos el problema en el que un cliente almacena una gran cantidad de datos con un servidor no es deconfianza,detalmaneraque,encualquiermomento,elclientepuedepediralservidorquecalculeunafunciónsobreunapartedesusdatosexternalizados.Enesteescenario,elclientedebesercapazdeverificareficazmenteelcorrectoresultadoapesardenosaberlasentradasdelacomputacióndelegada,debesercapazdeseguirañadiendoelementosasualmacenamientoremoto,ynotienequefijarlodeantemano(esdecir,enelmomentodelaexternalizacióndedatos)lasfuncionesquevaadelegar.Siendoaúnmásambiciosos, losclientesdebensercapacesdeverificaren tiempo independientementedel tamañodeentrada - una característica muy atractiva para los cálculos a través de enormes cantidades de datos.Enestacharlasepresentaronnuevastécnicascriptográficasqueresuelvenelproblemaanteriorparalaclase de cálculos que se puede expresar por medio de circuitos aritméticos de grado limitado. En particular, sehablódeunasolucióneficienteparaelcasodelospolinomiosdesegundogradoenungrannúmerodevariables.Estaclasecubreunaampliagamadecálculosaritméticossignificativos—enparticular,muchasestadísticas importantes—. Para confirmar la eficacia de nuestra solución,mostramos los resultados derendimientoalentadores,porejemplo,pruebasdecorrecciónquetienenuntamañoinferiora1KByquesonverificablesporlosclientesenmenosde10milisegundos.

Título DelegaciónverificabledeComputaciónenOutsourcingdeDatos

Ponente Darío Fiore

Fecha 23/05/2014

Centro URJC

Ponente:Dario Fiore recibió su Ph.D.

Licenciado en Ciencias de la

Computación de la Universidad de

Catania, Italia, en 2010. Antes de

unirse al Instituto IMDEA Software

en noviembre de 2013, Darío tuvo

posiciones postdoctorales en el

Instituto Max Planck para Sistemas de

Software (Alemania) , la Universidad

de Nueva York ( EE.UU), y la Ecole

Normale Superieure (Francia).

Durante su doctorado, fue también

un estudiante visitante en el Centro

de Investigación IBM TJ Watson y de

la Universidad de Nueva York.

Los intereses de investigación

de Darío están en Criptografía y

Seguridad. Trabaja principalmente

eneldiseñodeprimitivasyprotocolos

criptográficos demostrablemente

seguros, con un énfasis particular

en la seguridad de las aplicaciones

en la nube. Más específicamente,

algunos de los temas en los que

trabaja son: la delegación segura

de los datos y la computación

a la nube, autentificadores

homomórficos, sistemasdepruebas

con cero-conocimiento, cifrado

funcional, cifrado homomórfico y

fundamentos de la criptografía.

#31

Seminario 2Redes funcionales

Seminarios

Abstract:Para llevar a cabo las tareas cognitivas, diferentes áreas del cerebro deben cooperar, formando así redes complejas de interacciones conocidas como redes funcionales cerebrales. En las redes funcionales, los nodos están representados por las áreas del cerebro y los vínculos que los unen por alguna medida que cuantificalamaneraenquesuactividadsecorrelaciona.Lacapacidaddedetectarrelacionesvirtualesenla dinámica de las partes de un sistema, sobre y por encima del hardware de conexión entre ellos, se puede usar para conocer la presencia de patrones de actividad anormales en redes de comunicación y de cálculo. Tomando la inspiración de la neurociencia y, más en general de la investigación biomédica, proponemos que ordenadores individuales pueden ser representados como nodos, su actividad por diferentes series de tiempo (CPU y memoria, bytes transmitidos por la red, etc.) Las redes funcionales pueden ser construidos, medianteladeteccióndepatronesdeparesdesincronización.Dichoparadigmaenúltimainstancia,sepuede utilizar para detectar, entre otras cosas, la actividad de un virus, de fuerza bruta intentos de ataque utilizandomúltiplesestacionesdetrabajo;oelesfuerzodecolaboracióndevariosusuarios, tratandoderomper una barrera de seguridad, incluso si no hay conexión física está presente entre ellos.

Título Redes funcionales: desde la dinámica del cerebro hasta la seguridad de los sistemas de información

Ponente David Papo

Fecha 31/10/2014

Centro URJC

Ponente:David Papo

• Director del Departamento de

Neurociencia. LPC Institute.

Agosto 2014 – presente.

• Asociado Post-doctoral Senior.

Universidad Politécnica de

Madrid. Julio 2011 – Julio 2014.

• Post-doc. Technion.

Julio 2007 – Septiembre 2009.

• Post-doc. Universidad de Tel Aviv

University.

Julio 2005 – Septiembre 2007.

#32

Seminario 3Identificaciónfacialenimágenes

Abstract:Laidentificaciónfacialhapasadoentansoloveinteañosdesertrabajodeinvestigaciónenunlaboratorioa estar comercializado por grandes empresas de software. Partiendo de los métodos considerados como referenciaenlaliteratura,mostraremoslosúltimosavancesyhaciadondeseenfocaahoralainvestigación.Se mostrarán algunos resultados efectuados con algoritmos biométricos de reconocimiento facial, recalcando las lecciones aprendidas.

Título Identificaciónfacialenimágenes

Ponente Enrique Cabello

Fecha 21/11/2014

Centro BBVA – Tres Cantos

Ponente:Enrique Cabello es Profesor de la

URJC desde 1998. Coordinador

del grupo de Investigacion FRAV

(Face Recognition and Artificial

Vision). Con amplia experiencia en

visión artificial y reconocimiento

de patrones aplicado a Biometría

Facial, ha sido Investigador Principal

de la URJC en el proyecto europeo

Visor Base (V Programa Marco UE) y

enotrosproyectosfinanciadostanto

por el Ministerio como con fondos

privados. Es miembro de los comités

de estandarización ISO SC 37 y

CEN TC 224 WG 18: Biometrics. Ha

sido co-editor de la Especificación

Técnica “Personal identification

– Recommendations for using

biometrics in European Automated

Border Control” y ahora es el editor

de la “Borders and Law Enforcement

Application Profiles for mobile

biometric identification systems”.

Pertenece a los Grupos Externos de

Expertos de Frontex: IDCHECKS2013

and Expert Frontex/CEI/48/2013.

#33

Seminario 4Tokenización vs Cifrado Clásico

Seminarios

Abstract:Enlosúltimosañoslastécnicasdecifradosimétricohanevolucionadoaumentandolaplasticidaddelosmétodosparaconseguirnosolomayoreficiencia,sinotambiénparapermitireldesarrollodeoperacionessobre datos cifrados. La posibilidad de reutilizar recursos disponibles para bases de datos ordinarias con datos sensibles sin necesidad de descifrarlos tiene varias ventajas evidentes; por un lado, hay una innegable ganancia de rendimiento y por otro, en muchos casos, se evitan los riesgos derivados de delegar la funcionalidad de descifrado a terceros. Aparecen, sin embargo, nuevos desafíos con el objetivo de minimizar los cambios necesarios para ejecutar procesos sobre datos cifrados reutilizando en todo lo posible las tecnologías y sistemas disponibles para el tratamiento de datos en claro.El cifrado preservando el formato (FPE) o tokenización es una solución óptima en este escenario. Con este tipodealgoritmoscriptográficoslosdatos,alsercifrados,nocambiandeformato,conloqueesposiblereutilizarmuchosprocesosdiseñadosparalostextosclarosasociados.Enestaconferenciapresentaremosdistintos métodos de FPE, comentaremos brevemente sus ventajas y puntos débiles y resaltaremos en qué sediferenciandeotrastécnicascriptográficasqueconvivenconlatokenizaciónendistintosentornosdeaplicación.

Título Tokenización Vs Cifrado Clásico

Ponente Maribel González y Julio Pérez

Fecha 19/01/2015

Centro Centro de Innovación BBVA

Ponentes:Maribel González es Licenciada

en Matemáticas por la Universidad

de Oviedo (1999). Desde el 2003

es profesora del departamento

de Matemáticas Aplicada de la

Universidad Rey Juan Carlos, en

el que es Titular desde Marzo de

2009. Sus tareas de investigación

se centran en el diseño y análisis

de herramientas criptográficas

basadas en teoría de grupos, así

como en la seguridad demostrable

deprotocolos criptográficos como

esquemasdefirma,establecimiento

de clave, o control de acceso en

entornos multiusuario. Ha publicado

más de 30 artículos en revistas y

actas de congresos especializados,

es miembro del comité editorial de

la revista Journal of Mathematical

Cryptology (de Gruyter) y sirve de

manera habitual como recensora de

revistas de referencia en criptografía

(journal of Cryptology, AAECC,

Designs Codes and Cryptology, etc.)

Participa frecuentemente en comités

de programa de conferencias

internacionales de referencia dentro

de lacriptologíadeclavepública

(PKC, ACISP, ICITS) y ha formado

parte del comité organizador de

dos escuelas internacionales en

criptología matemática (2008)

y seguridad demostrable (2009).

Es, además, miembro de la IAR

(International Association for

Cryptologic Research).

Julio Pérez cursó estudios de

informática en la Escuela

Universitaria de Informática de la

Universidad Complutense de Madrid.

Cuentacon30añosdeexperiencia

laboral, fundamentalmente en el

entorno z/OS de IBM, trabajando

como colaborador externo o como

plantilla interna en las siguientes

empresas: IBM, Renfe, Caja Madrid,

Caja de Ahorros de Toledo. Desde

1990 se encuentra en BBVA en

las áreas de Medios de Pago y

Seguridad.CEI/48/2013.

#34

Seminario 5Redes complejas

Abstract:Si echamos una mirada a la inmensa mayoría de fenómenos que ocurren a nuestro alrededor (desde aquellosqueinfluenciannuestrasrelacionessociales,pasandolasquetransformanelconjuntodelmedioambiente donde vivimos, hasta incluso aquellas que afectan nuestro propio funcionamiento biológico), nos damos cuenta inmediatamente que no son nada más que el resultado de la organización dinámica emergente de sistemas que, involucran una multitud de componentes básicos (o entidades) interactuando entreellosmediantealgúntipodepatróncomplicado.Uno de los mayores esfuerzos de la física moderna es por tanto proveer representaciones apropiadas de los sistemas, donde los componentes son considerados como nodos (o unidades) de una red, y las interacciones son modeladas por enlaces de la misma red.Losúltimos15añoshanvistoelnacimientodeunmovimientodentrodelaciencia,conocidaampliamentehoy en día bajo el nombre de teoría de redes complejas. Este incluye el esfuerzo interdisciplinario de varios denuestrosmejorescientíficosconelobjetivodeexplotarladisponibilidadactualdelbigdataconelfindeextraer la representación más óptima y puntera de los sistemas complejos y mecanismos subyacentes. En esta charla, procuraré ilustrar los principales conceptos a través de los cuales se puede:

• Extraer principios unificados que pueden acompasarse y describir (bajo algunas reglas genéricas yuniversales) la estructura que está siendo detectada ubicuamente, y

• Modelar la dinámica emergente resultante que explica que estamos viendo y experimentando actualmente a partir de la observación de estos sistemas.

Ponente:Stefano boccaletti recibió su PhD en

Física en 1995. A lo largo de su carrera

ha estado en primera línea en la

investigación en física estática y no

lineal. Su mayor línea de investigación

son el modelado de patrones

de formación y competencia en

óptica no lineal activa y pasiva, el

estudio de estrategias adaptativas

para el reconocimiento, control y

sincronización del caos.

Título Redes complejas y su incidencia en la sociedad, en las ciencias biológicas y en la tecnología

Ponente Stefano Boccaletti

Fecha 02/02/2015

Centro Centro de Innovación BBVA

#35

Título Nuevas tendencias y herramientas de minería de datos para detección de fraude

Ponente KarinaGibert

Fecha 12/03/2015

Centro Centro de Innovación BBVA

Seminario 6Nuevas tendencias y herramientas de minería de datos para detección de fraude

Abstract:La explosión de las nuevas tecnologías ha generado la posibilidad de recoger todo tipo de información sobre las grandes organizaciones y sobre todo tipo de procesos, dando lugar al fenómeno del BigData. Actualmente todas las organizaciones disponen de riquísimas fuentes de datos, la mayor parte de las veces infraexplotadas. Por su parte, la Minería de Datos ofrece la posibilidad de comprender la realidad a través de lo que se denominan data-driven models, y constituye la mejor herramienta actualmente disponible para aportar valor a las organizaciones a través del análisis del BigData. Las interrelaciones entre Minería de Datos, BigData y Toma de Decisiones han dado lugar a lo que recientemente se viene en llamar Data Science. En esta charla se dará una visión general de este enfoque, y se presentarán algunas herramientas particularmente potentes en la detección de fraude.

Ponente:Karina Gibert es Profesora Asociada

de la Universitat Politècnica de

Catalunya- (UPC) desde 1990. Ph.D.

en Ciencias de la Computación (UPC,

1995). Conduce cursos relacionadas

con Estadística, Análisis Multivariante,

DataMining,PresentacióndeKnow-

How en procesos de decisión y

Apoyo de Decisiones inteligentes

en varios Grados Oficiales, Masters

o programas de Ph. D. de la UPC

(1990) y en el Máster de Innovación

en Atención de la Salud, Universidad

de Cádiz (2010-2014). Está centrada

en el diseño de metodologías

híbridas de Inteligencia Artificial y

Data Mining Estadístico.

Seminarios

#36

La experiencia obtenida durante el diseño del Curso de Formación Continua en “Ciencia aplicada a entornos de riesgo tecnológico, prevención de fraude y seguridad TI” servirá de base para la creación de nuevas acciones formativas de la Cátedra.

#37

Acciones formativas

08DuranteesteprimerañodeCátedraseharealizado lapreparaciónde los contenidos de un curso de formación continua en “Ciencia aplicada a entornos de riesgo tecnológico, prevención de fraude y seguridad TI”

Acciones formativas

#38

01. INTRODUCCIÓN AL CURSO Y BASES DE SEGURIDADLa seguridad de los sistemas de la información se ha convertido en uno de los principales pilares de la nueva era digital en la que nos encontramos. El adecuado entendimiento y comprensión de las bases y fundamentos de los diferentes dominios en materia de seguridad de la información son necesarias para una aproximación pragmática y con éxito a la gestión de la seguridad. En todos los dominios del temario se hará referencia a cómo los nuevos modelos de IT (cloud, Big Data, movilidad) se ven afectados en la seguridad de los mismos.

02. INGENIERÍA DE DECISIÓNEl objetivo de este curso es proporcionar los conocimientos y herramientas necesarias para extraer la información fundamental contenida en los datos experimentales. Que el estudiante sea capaz de liderar equipos multidisciplinares con el fin de afrontar y resolver problemas detoma de decisiones. Se analizan las principales herramientas para el tratamiento de las relaciones entre variables, series temporales y la realización de predicciones. Su principal objetivo es familiarizar al alumno con el análisis estocástico

de series temporales, estudiando sus fundamentos teóricos y algunas de sus principales aplicaciones enelámbitoeconómicoyfinanciero.

03. TEORÍA DE JUEGOS Y RIESGO TI El incremento de uso de sistemas informatizados en red ha provocado un aumento de medidas de seguridad para redes informáticas. La gestión de la seguridad, preservar altos niveles de privacidad o mantener ciertos nodos ocultos dificulta laseguridad de la red. La teoría de juegos permite modelar, estudiar y analizar de forma teórica este problema diferenciando entre dos tipos de jugadores: los atacantes y los defensores de la red con intereses contrapuestos. La resolución de estos modelos permite encontrar estrategias adecuadas para mejorar la seguridad de una red así como comparar la vulnerabilidad de diferentes redes en función del tipo de atacantes a través de la evaluación del riesgo de la misma.

04. PATRONES Y ARQUITECTURAS DE SEGURIDADEl objetivo de este curso es que el alumno se familiarice con los conceptos básicos necesarios para el diseño y construcción de sistemasde información seguros en entornos reales y

ObjetivoEste curso de formación continua tiene como objetivo principal introducir al estudiante en los conocimientos teóricos sobre nuevas técnicas de seguridad, más allá de las técnicas clásicas y especialmente darle a conocer las nuevas técnicas ágiles y su aplicación a la gestión de la seguridad. También se pretende que el estudiante comprenda losnuevosmodeloscientíficosaplicadosal riesgotecnológicoyqueaprenda los métodos de prevención de fraude tecnológico.

DestinatariosTanto el personal sin experiencia en seguridad de la información que quiera conocer los nuevos métodos de gestión, como los profesionales del sector que deseen realizar otro enfoque en la gestión del riesgo intencional.

Temario

#39Acciones formativas

complejos.Esta tareadediseño tecnológico sebasa en el concepto de Patrones de Seguridad como herramienta para el análisis y diseño desistemas de información robustos, homogéneos y seguros. Este curso está enfocado a la práctica y en él, se pretende iniciar al alumno en la disciplina de análisis de riesgos de seguridad y tecnológicos de un sistema de información y, al diseño dearquitecturas de seguridad utilizando patrones de seguridad, para mitigarlos. Se recomienda que el alumno tenga conocimientos básicos sobre seguridad en sistemas de información, tecnologías y mecanismos de seguridad y elementos fundamentales de una red.

05. RECONOCIMIENTO DE PATRONES Y MACHINE LEARNING El objetivo de este curso introductorio es que el alumno se familiarice con los fundamentos del reconocimiento de patrones y el aprendizaje máquina, así como con su aplicación en la resolución de problemas reales. Se trata de un curso práctico en el que, se pretende iniciar al alumno en el manejo de estructuras de datos para la representación de patrones, la extracción y seleccióndecaracterísticas, y laclasificación

supervisada y no supervisada, mediante el uso del software adecuado. Se recomienda que el alumno tenga conocimientos previos de cálculo y álgebra lineal básicos, así como experiencia en programación y/oelmanejodealgúnentornodecálculodecaráctercientífico.

06. REDES COMPLEJAS PARA RF&S El análisis de redes complejas se ha revelado como una de las herramientas más potentes en el estudio de muy diferentes disciplinas científicas. Desdela comprensión del funcionamiento del cerebro hasta el estudio de las redes sociales, pasando por las redes tecnológicas y de comunicaciones, el análisis estructural y la dinámica de las redes complejas ha jugado un papel central en el estudio del comportamiento de estos sistemas. En esta asignatura se presentarán las técnicas básicas y avanzadas de este nuevo campo multidisciplinar, poniendo especial acento en las potenciales aplicaciones al análisis de riesgos tecnológicos, prevención del fraude y gestión de la seguridad digital.

Formato Semi-presencial, Vie 17:00 a 21:00. Horas: 120h

Dónde Presencial: Campus Móstoles Laboratorio I, Seminario 003. Online: Campus Virtual URJC

Preinscripción Inicio: 1 Diciembre 2014 / Fin: 16 Enero 2014

Matrícula Inicio: 19 Enero 2015 / Fin: 27 Febrero 2015 Importe: 899 €

Duración Clases: 6 Marzo al 19 Junio 2015 Trabajo final: 26 Junio 2015 / Defensa : 01 al 03 Julio 2015

Obtención de becas Enviando CV y carta de motivación al email de contacto. Se analizará la documentación aportada para la concesión de 2 becas del 50% de valor de la matrícula.

Prácticas remuneradas Tras el análisis de la valía y desempeño de los alumnos durante el curso, se dará la oportunidad a un número limitado de personas de realizar prácticas en I4S para aplicar los modelos aprendidos.

Convalidaciones Hasta un total de 10 créditos serán convalidados posteriormente si decides inscribirte en el Máster Título Propio (2015 - 2016)* que expandirá los contenidos incluidos en el presente curso.

* apertura sujeta a un mín. de alumnos

Contacto e instrucciones Títulos Propios y Formación Continua Teléfono: 91 488 70 40 titulopropio.info@urjc.es http://www.urjc.es/estudios/titulos_propios/

Patrones y Arquitecturas de Seguridad Familiariza al alumno con los conceptos básicos necesarios para el diseño y construcción de sistemas de información seguros en entornos reales y complejos. Esta asignatura está enfocada a la práctica y en ella, se pretende iniciar al alumno en la disciplina de análisis de riesgos de seguridad y tecnológicos de un sistema de información y, al diseño de arquitecturas de seguridad utilizando patrones de seguridad para mitigarlos. Docentes: • Roberto Ortiz (BBVA)

Reconocimiento de Patrones y Machine Learning Presenta los fundamentos del reconocimiento de patrones y el aprendizaje máquina, así como su aplicación en la resolución de problemas reales. Se trata de una asignatura práctica en la que, se pretende iniciar al alumno en el manejo de estructuras de datos para la representación de patrones, la extracción y selección de características, y la clasificación supervisada y no supervisada, mediante el uso del software adecuado. Docentes: • Alberto Olivares González (URJC) • Pablo Santamaría (BBVA)

Redes Complejas para Riesgo, Fraude & Seguridad El análisis de redes complejas se ha revelado como una de las herramientas más potentes en el estudio de muy diferentes disciplinas científicas. Desde la comprensión del funcionamiento del cerebro hasta el estudio de las redes sociales, pasando por las redes tecnológicas y de comunicaciones, el análisis estructural y la dinámica de las redes complejas ha jugado un papel central en el estudio del comportamiento de estos sistemas. En esta asignatura se presentarán las técnicas básicas y avanzadas de este nuevo campo multidisciplinar, poniendo especial acento en las potenciales aplicaciones al análisis de riesgos tecnológicos, prevención del fraude y gestión de la seguridad digital. Docentes: • Regino Criado, Miguel Romance y Alejandro García (URJC) • Massimiliano Zanin (Innaxis Foundation & Research Institute)

4 5

Programa Introducción al Curso y Bases de Seguridad La seguridad de los sistemas de la información se ha convertido en uno de los principales pilares de la nueva era digital en la que nos encontramos. El adecuado entendimiento y comprensión de las bases y fundamentos de los diferentes dominios en materia de seguridad de la información son necesarias para una aproximación pragmática y con éxito a la gestión de la seguridad. En todos los dominios del temario se hará referencia a cómo los nuevos modelos de IT (cloud, Big Data, movilidad) impactan en la gestión de la seguridad. Docentes: • Regino Criado (URJC) • Franz Hassmann y Javier Losa (I4S)

Ingeniería de la Decisión Proporciona los conocimientos y herramientas necesarias para extraer la información fundamental contenida en los datos experimentales. El estudiante será capaz de liderar equipos multidisciplinares con el fin de afrontar y resolver problemas de toma de decisiones. En esta asignatura se analizan las principales herramientas para el tratamiento de las relaciones entre variables, series temporales y la realización de predicciones. Su principal objetivo es familiarizar al alumno con el análisis estocástico de series temporales, estudiando sus fundamentos teóricos y algunas de sus principales aplicaciones en el ámbito económico y financiero. Docentes: • Ana E. García Sipols (URJC) • Juan López-Rubio (I4S) Teoría de Juegos y Riesgo TI El incremento de uso de sistemas informatizados en red ha provocado un aumento de medidas de seguridad para redes informáticas. La gestión de la seguridad, preservar altos niveles de privacidad o mantener ciertos nodos ocultos influyen directamente sobre la seguridad de la red. La teoría de juegos permite modelar, estudiar y analizar de forma teórica este problema diferenciando entre dos tipos de jugadores: los atacantes y los defensores de la red con intereses contrapuestos. La resolución de estos modelos permite encontrar estrategias adecuadas para mejorar la seguridad de una red así como comparar la vulnerabilidad de diferentes redes en función del tipo de atacantes a través de la evaluación del riesgo de la misma. Docentes: • Celeste Pizarro y Clara Simón (URJC) • Pedro Moral (I4S)

Objetivo Introducir al estudiante en los conocimientos teóricos sobre nuevas técnicas de seguridad, más allá de las técnicas clásicas y especialmente darle a conocer las nuevas técnicas ágiles y su aplicación a la gestión de la seguridad. También se pretende que el estudiante comprenda los nuevos modelos científicos aplicados al riesgo tecnológico y que aprenda los métodos de prevención de fraude tecnológico.

Qué nos diferencia Existe una gran oferta de cursos de formación y títulos propios sobre seguridad, riesgo y fraude en las tecnologías de la información. Sin embargo hasta el momento no se ha creado ninguno como éste, abordando la gestión de la seguridad, riesgo y fraude TI mediante aproximaciones científicas. Este curso es: • Único por las técnicas y teorías orientadas a gestionar el riesgo, fraude y

seguridad en TI desde una perspectiva actualizada. • De alto valor añadido por la valía de los profesores que lo imparten

(equipo multidisciplinario tanto de la URJC como de BBVA e I4S) y por la calidad en los contenidos de su temario y su aplicación en entornos reales.

• Útil porque el mercado demanda perfiles con conocimientos como los propuestos en este curso, por las perspectivas profesionales que aporta y por la posibilidad para determinados alumnos de realizar prácticas laborales sobre lo aprendido.

A quién va dirigido • Ingenieros y licenciados. • Estudiantes de carreras técnico-científicas que quieran compatibilizar y/o

complementar sus estudios. • Estudiantes de grados medios o superiores. • Trabajadores del sector TI que deseen conocer las nuevas aproximaciones

y modelos de gestión.

3

Programa Introducción al Curso y Bases de Seguridad La seguridad de los sistemas de la información se ha convertido en uno de los principales pilares de la nueva era digital en la que nos encontramos. El adecuado entendimiento y comprensión de las bases y fundamentos de los diferentes dominios en materia de seguridad de la información son necesarias para una aproximación pragmática y con éxito a la gestión de la seguridad. En todos los dominios del temario se hará referencia a cómo los nuevos modelos de IT (cloud, Big Data, movilidad) impactan en la gestión de la seguridad. Docentes: • Regino Criado (URJC) • Franz Hassmann y Javier Losa (I4S)

Ingeniería de la Decisión Proporciona los conocimientos y herramientas necesarias para extraer la información fundamental contenida en los datos experimentales. El estudiante será capaz de liderar equipos multidisciplinares con el fin de afrontar y resolver problemas de toma de decisiones. En esta asignatura se analizan las principales herramientas para el tratamiento de las relaciones entre variables, series temporales y la realización de predicciones. Su principal objetivo es familiarizar al alumno con el análisis estocástico de series temporales, estudiando sus fundamentos teóricos y algunas de sus principales aplicaciones en el ámbito económico y financiero. Docentes: • Ana E. García Sipols (URJC) • Juan López-Rubio (I4S) Teoría de Juegos y Riesgo TI El incremento de uso de sistemas informatizados en red ha provocado un aumento de medidas de seguridad para redes informáticas. La gestión de la seguridad, preservar altos niveles de privacidad o mantener ciertos nodos ocultos influyen directamente sobre la seguridad de la red. La teoría de juegos permite modelar, estudiar y analizar de forma teórica este problema diferenciando entre dos tipos de jugadores: los atacantes y los defensores de la red con intereses contrapuestos. La resolución de estos modelos permite encontrar estrategias adecuadas para mejorar la seguridad de una red así como comparar la vulnerabilidad de diferentes redes en función del tipo de atacantes a través de la evaluación del riesgo de la misma. Docentes: • Celeste Pizarro y Clara Simón (URJC) • Pedro Moral (I4S)

Objetivo Introducir al estudiante en los conocimientos teóricos sobre nuevas técnicas de seguridad, más allá de las técnicas clásicas y especialmente darle a conocer las nuevas técnicas ágiles y su aplicación a la gestión de la seguridad. También se pretende que el estudiante comprenda los nuevos modelos científicos aplicados al riesgo tecnológico y que aprenda los métodos de prevención de fraude tecnológico.

Qué nos diferencia Existe una gran oferta de cursos de formación y títulos propios sobre seguridad, riesgo y fraude en las tecnologías de la información. Sin embargo hasta el momento no se ha creado ninguno como éste, abordando la gestión de la seguridad, riesgo y fraude TI mediante aproximaciones científicas. Este curso es: • Único por las técnicas y teorías orientadas a gestionar el riesgo, fraude y

seguridad en TI desde una perspectiva actualizada. • De alto valor añadido por la valía de los profesores que lo imparten

(equipo multidisciplinario tanto de la URJC como de BBVA e I4S) y por la calidad en los contenidos de su temario y su aplicación en entornos reales.

• Útil porque el mercado demanda perfiles con conocimientos como los propuestos en este curso, por las perspectivas profesionales que aporta y por la posibilidad para determinados alumnos de realizar prácticas laborales sobre lo aprendido.

A quién va dirigido • Ingenieros y licenciados. • Estudiantes de carreras técnico-científicas que quieran compatibilizar y/o

complementar sus estudios. • Estudiantes de grados medios o superiores. • Trabajadores del sector TI que deseen conocer las nuevas aproximaciones

y modelos de gestión.

3

Memoriaanual|2014Cátedra de Innovación

en Seguridad de la Información, Prevención de Fraude

y Gestión del Riesgo Tecnológico