Descripció
L´assignatura està dividida en dos grans blocs, Auditoria i Seguretat. Bloc 1 (Auditoria) En el desenvolupament de l´assignatura els alumnes adquiriran coneixements dels diferents Estàndars de les Tecnologies de la Informació, reconeguts mundialment, com són el COBIT (Control dels Objectius de las Tecnologies de la Informació) i la ISO/IEC 27001:2005 (Sistema de Gestió de Seguretat de la Informació). Així com, la norma espanyola LOPD (Llei Orgànica de Protecció de Dades) i les diverses metodologies per la realització d´ Anàlisi de Riscos, Pla de Continuïtat del Negoci, Anàlisi d´ Impacte al Negoci i la realització de les diferents Auditories relacionades amb les Tecnologies de la Informació. Bloc 2 (Seguretat) S´estudien els conceptes bàsics necessaris per efectuar la Gestió de la Seguretat Informàtica a l´entorn empresarial, detectant riscos i amenaces, coneixent les responsabilitats legals i la tecnologia disponible, i capacitant l´alumne a dissenyar la resposta a aplicar davant d´hipotètic desastre a l´empresa.
Tipus assignatura
Optativa
Semestre
Primer
Crèdits
5.00
Coneixements previs

Cap

Objectius

Els alumnes que cursen la signatura adquireixen els coneixements, i desenvolupen les habilitats que s'indiquen a continuació:

Objectius Bloc 1 (Auditoria)

1. Aprendre els conceptes fonamentals de l´Estàndard del COBIT (Control dels Objectius de les Tecnologies de la Informació) per a poder aplicar-los en les vostres futures organitzacions.

2. Desenvolupar coneixements en les àrees: dels Processos de la Auditoria dels Sistemes de Informació, del Govern de les Tecnologies de la Informació, de l´ Administració del Cicle de Vida de Sistemes i Infraestructura, de l´Entrega i Suport de les Tecnologies de la Informació, de la Protecció dels Actius de la Informació, i de la Continuïtat del Negoci i Recuperació de Desastres com base de la formació per l´obtenció de la Certificació Internacional CISA (Auditor Certificat en Sistemes de Informació).

3. Aprendre els conceptes fonamentals de l´Estàndard ISO/IEC 27001:2005 (Sistema de Gestió de Seguritat de la Informació) per a poder aplicar-los en les vostres futures organitzacions.

4. Entendre els conceptes fonamentals de la Norma LOPD (La Llei Orgànica de Protecció de Dades) per a poder aplicar-los en les vostres futures organitzacions.

5. Comprendre les diverses metodologies existents en la realització d´Anàlisi de Riscos, del Pla de Continuïtat del Negoci i de l´Anàlisi de l´Impacte al Negoci.

6. Desenvolupar els coneixements i habilitats suficients per a ser capaços de realitzar les diferents Auditories relacionades amb les Tecnologies de la Informació.

Objectius Bloc 2 (Seguretat)

1. Dominar el conceptes bàsics relatius a la Seguretat Informàtica, i desenvolupar una visió global de tots el factors determinants d´un entorn Segur.

2. Adquirir la capacitat d´identificar el actius de l´empresa, els riscos i les amenaces a la Seguretat, mitjançant l´elaboració d´un anàlisis de riscos.

3. Conèixer els requeriments legals, les directives i la legislació actual en matèria de Seguretat d´Informació mitjançant la utilització de les eines existents (Polítiques de Seguretat, Estàndards, guies i procediments).

4. Adquirir la capacitat d´alinear la seguretat amb l´estratègia del negoci mitjançant la definició de factors crítics d´èxit, KPI´s i KGI´s.

5. Dominar el procés de definició d´un Pla de Recuperació de Desastres (DRP) a l´entorn empresarial.

Continguts

El Bloc 1 (Auditoria) de l´ Assignatura té 4 parts, el temari detallat és el següent:

A. COBIT (Control dels Objectius de les Tecnologies de la Informació).

A.1. HISTÒRIA I ANTECEDENTS.

A.2. RESUM EXECUTIU.

A.3. MARC REFERENCIAL.

A.4. OBJETIUS DE CONTROL:
4.1. Planificació i Organització.
4.2. Adquisició i Organització.
4.3. Entrega de Serveis i Suport.
4.4. Monitorització.

B. CISA (Auditor Certificat en Sistemes d´ Informació).

B.1. PROCÉS DE AUDITORIA DE SISTEMES D´ INFORMACIÓ:

5.1. Introducció.
5.2. Estàndars i Directrius.
5.3. Anàlisi de Riscos.
5.4. Controls Interns.
5.5. Execució d´ una Auditoria de SI.

B.2. GOVERN DE TI (IT Governance):
6.1. Govern Corporatiu.
6.2. Estratègia, Polítiques i Procediments de SI.
6.3. Administració dels Riscos.
6.4. Estructura Organitzacional i Responsabilitats de SI.
6.5. Auditoria del Govern de TI.

B.3. ADMINISTRACIÓ DEL CICLE DE VIDA DE SISTEMES I INFRAESTRUCTURA:
7.1. Estructura de la Gerència de Projectes.
7.2. Administració de la Gestió de Projectes.
7.3. Estratègies i Mètodes per al Desenvolupament de Software.
7.4. Adquisició d´ Infraestructures.
7.5. Manteniment dels SI.
7.6. Millora dels Processos.
7.7. Controls d´ Aplicació.
7.8. Auditoria del Desenvolupament, Adquisició i Manteniment de Sistemes.

B.4. ENTREGA I SOPORT DE TI:
8.1. Operacions de SI.
8.2. Hardware de SI.
8.3. Arquitectura i Software de SI.
8.4. Infraestructura de les Xarxes de SI.
8.5. Auditoria de la Infraestructura i de las Operacions.

B.5. SEGURITAT DELS ACTIUS D´ INFORMACIÓ:
9.1. Gestió de la Seguretat de l´ Informació.
9.2. Controls d´ Accés Lògic, Físic, Ambientals.
9.3. Seguritat de la Infraestructura de Xarxa.
9.4. Auditoria de SI.

B.6. CONTINUÏTAT DEL NEGOCI I RECUPERACIÓ DE DESASTRES:
10.1. Pla de continuïtat del Negoci / Recuperació de Desastres.
10.2. Auditoria del Pla de Continuïtat del Negoci / Recuperació de Desastres.

C. La ISO/IEC 27001:2005 (Sistema de Gestió de Seguretat de l´ Informació):
11.1. Legislació Vigent sobre la ISO/IEC 27001:2005.
11.2. Objectius de la ISO/IEC 27001:2005.
11.3. Polítiques de la ISO/IEC 27001:2005.
11.4. Controls de la ISO/IEC 27001:2005.
11.3. Auditoria de la ISO/IEC 27001:2005.

D. LOPD (La Llei Orgànica de Protecció de Dades):
12.1. Legislació Vigent sobre la LOPD.
12.2. Objectius de la LOPD.
12.3. Auditoria de la LOPD.

El Bloc 2 (Seguretat) contempla els següents apartats:

1. Disaster Recovery Plan
a. Conceptes Generals
b. Procés d´elaboració

2. Importància de la Seguritat en les TIC
a. Objectius i factors determinants
b. Visió Global Riscos generals
c. Visió Global - Amenaces i tipus d´ atacs
d. Hacking. Capacitat de les amenaces
e. Situació actual en incidents de seguritat
f. Els Virus
g. La Seguritat física
h. Internet

3. Prevenció i solucions tecnològiques

4. Requeriments legals de Seguretat en les TIC
a. Directives i Lleis
b. Aspectes bàsics de la LOPD i LSSI
c. Responsabilitats i sancions

5. Necessitat de Gestionar la Seguritat
a. Costos
b. Principis d´un sistema segur
c. Funcions d´un sistema segur

6. Gestió Bàsica de la Seguretat
a. Visió General - Pla de Seguretat
b. Normes i Certificacions

7. Anàlisi de Riscos
a. Conceptes Generals
b. Metodologies (Magerit)

8. Polítiques de Seguretat
a. Estàndars, Guies i procediments
b. Metodologia d´ Implementació

9. La Seguretat i el control estratègic de l´organització
a. FCE, KGI & KPI´s
b. Seguretat gestionada

10. Conclusions

Metodologia

Bloc 1 (Auditoria)

L´objectiu de la metodologia pretén ser que al finalitzar l´ assignatura, l´alumne, sigui capaç d´aplicar totes les capacitats adquirides en els seus futurs treballs. De la mateixa forma, es pretén que la càrrega de treball es trobi dins les hores lectives de la matèria, per això es disposa del següent mètode formatiu:

Les classes es dividiran en dos parts, una teòrica en que s´impartirà emprant diapositives i la transmissió de l´experiència pràctica del professor en las diferents matèries de l´ assignatura, i una segona pràctica en la que a través dels treballs en grup i presentacions, autoritzades pel professor de l´ assignatura, per a reforçar els conceptes exposats.

L´ assistència en l´assignatura es fonamental per adquirir els coneixements, realitzar les diferents pràctiques i participar activament per enriquir les exposicions realitzades pel professor de l´assignatura.

Al final de l´assignatura se realitzarà un examen tipus test i/o treball individual final para fixar els coneixements adquirits al llarg de l´assignatura.

Bloc 2 (Seguretat)

Cobrirem la matèria del curs a partir de les sessions presencials, l´assistència de les quals serà controlada. A les classes es donaran les explicacions dels temes troncals de l´assignatura amb interacció i participació dels alumnes en les dinàmiques de les classes, on revisàrem la documentació subministrada. La documentació de l´ assignatura conté totes les diapositives emprades en les sessions amb informació ampliada sobre les mateixes.

Existirà documentació complementària, i deurà realitzar-se un treball central en grups, d´entrega obligatòria, que servirà per avaluar l´assignatura i es plantejaran dos treballs optatius individuals orientats a matitzar la nota de cada alumne. Llegir la documentació per avançat ajudarà a realitzar interessants preguntes, i fer fàcil el treball en els projectes que es cobreixin en classe o bé fora de classe.

En la mesura del possible es dedicarà temps en les classes a plantejar i desenvolupar el treball en grup de l´assignatura.

Avaluació

Bloc 1 (Auditoria) 50% de la Nota :

Els mètodes d´ avaluació emprats en la matèria són:

C. Exàmens tipus test
E. Treballs individuals
F. Treballs en grup
I. Presentacions
J. Participació en classe

L´objectiu de l´assignatura és que l´alumne aprengui els coneixements anteriorment explicats i que sigui capaç d´aplicar-los en la seva vida professional posterior, és per això, que els criteris d´avaluació pretendran que s´assimilin els coneixements adquirits i no aportar una càrrega addicional de treball.

En base a l´exposat, es valorarà molt positivament la participació a classe (enriquir, ampliar i fixar els coneixements), es realitzaran treballs en grup i presentacions a classe de les matèries apreses (l´aplicació pràctica dels coneixements adquirits concreta l´aplicabilitat dels conceptes teòrics), com avaluació final de l´ assignatura se podrà realitzar un examen tipus test amb tot el material educatiu que es vulgui o un treball individual (pretén recordar i interioritzar els conceptes treballats). Aquells que desitgin una millor qualificació podran realitzar el test i el treball individual.

Mètode de Puntuació:

20% Participació en Classe.
20% Assistència a Classe.
20% Treballs en Grup i Presentacions en Classe.
40% Test de comprensió Final i/o Exercici Individual Final.

Nota: en el cas de realitzar el test i addicionalment l´exercici individual final, l´exercici se computarà com un 20% addicional.

Bloc 2 (Seguritat) 50% de la Nota :

Els mètodes d´ avaluació emprats en la matèria són:

C. Exàmens tipus test
E. Treballs individuals
F. Treballs en grup
I. Presentacions
J. Participació en classe

A - La base de la qualificació es calcularà a partir de l´avaluació del Treball en Grup Obligatori (L´Elaboració del DRP). (70%)

B - La participació i interactivitat i l´entrega dels treballs optatius serviran per ajustar i personalitzar la nota. (30%)

C- És obligatòria l´assistència a classe (o en el seu cas la recuperació de les mateixes en el temps previst), i la no assistència a dos classes suposarà que l´ alumne no serà avaluat.

Criteris avaluació

Bloc 1 (Auditoria)

Objectiu 1: L´ estudiant ha de demostrar les seves capacitats d´anàlisi, de síntesi, d´organitzar i de planificar en la realització dels treballs en grup i les seves respectives presentacions. [F, I].

Objectiu2: L´estudiant ha de demostrar que coneix els conceptes fonamentals de les àrees dels diferents estàndards, normatives, metodologies i diverses tipologies d´auditoria a l´examen tipus test, treballs individuals i en la seva participació a classe. [C, E, J].

Objectiu 3: L´estudiant ha de demostrar la seva destresa en l´ús de les comunicacions orals i escrites en els diferents mètodes d´avaluació de l´assignatura. [E, F, I, J].

Objectiu 4: En l´àmbit interpersonal, es valorarà que l´alumne desenvolupi les seves capacitats de crítica i d´autocrítica, i les seves habilitats de treball en un equip interdisciplinar. [F, I].

Objectiu 5: L´estudiant ha de comprendre les diferents tècniques existents per a dissenyar i gestionar els projectes tecnològics, amb la capacitat d´aplicar els coneixements adquirits en la pràctica. [F, I].

Bloc 2 (Seguretat)

Criteris que s´utilitzaran per avaluar els resultats obtinguts per l´estudiant.

Objectiu 1: Dominar els conceptes bàsics per a desenvolupar un Pla de Recuperació davant Desastres. Els alumnes hauran d´elaborar el DRP o bé de l´ empresa definida en el seu Treball en Grup, o bé de l´ empresa on treballen aplicant els mètodes i coneixements estudiats en classe. (D,F,I,J).

Objectiu 2: Prendre consciència de la problemàtica i l´importància de la Seguretat de la Informació. A l´objectiu de comprendre i entendre les problemàtiques existents i l´importància de la seguretat, s´haurà de presentar el treball optatiu sobre el anàlisi de riscos en l´empresa. Aquest treball és optatitiu. (D,F,J).

Objectiu 3: Capacitar-nos per avaluar els riscos a considerar en el nostre entorn empresarial. L´objectiu ha de comprendre les eines i mètodes existents per exercir una gestió eficaç i eficient de la Seguretat, s´haurà de presentar el treball optatiu sobre les Polítiques de Seguretat. Aquest treball serà optatiu. (F,J).

Objectiu 4: Capacitar-nos per a Gestionar la Seguretat de la Informació en l´entorn empresarial. La capacitat de l´alumne per adaptar-se d´una forma dinàmica a l´escenari de la empresa haurà de quedar reflexada en com estan integrats en cada un dels treballs presentats els conceptes analitzats. (D,F,J).

Bibliografia bàsica

Bloc 1 (Auditoria)

Apunts del Seminari Auditoria Informàtica del curs. Valentín Faura
Guies d´ Estudi del Seminari Auditoria Informàtica del curs. Valentín Faura

Bloc 2 (Seguretat)

William Caelli, Dennis Longley and Michael Shain. Information Security for Managers. M Stockton Press
William Caelli, Dennis Longley, Michael Shain.Information Security Handbook. Macmillan Publishers, Ltf.
Ken Wong and Steve Watt. Managing Information Security. Elsevier Advanced Technology

Material complementari

Bloc 1 (Auditoria)

1. COBIT. IT Governance Institute.
2. MANUAL DE PREPARACIÓN AL EXAMEN CISA. ISACA.
3. ISO/IEC 27001:2005.
4. Ley Orgánica 15/1999, de 13 de enero de Protección de Datos de Carácter Personal (LOPD).
5. RD 994/1999, de 11 de junio que aprobó el Reglamento de Medidas de Seguridad.

Bloc 2 (Seguretat)

Data Security Management. Auerbach Publishers.
William E. Perry and Javier F. Kuong. EDP Risk Analysis and Controls Justification. MAP
D.W. Davies and W. L. Price. Security for Computer Networks. John Wiley and Sons.
Seguridad Informática y Comunicaciones.
Firma Electrónica. Propietat Intelectual. Leyes. LORTAD. Reglament. MHAbogados.