Ninguno
Los alumnos que cursan la asignatura adquieren los conocimientos, y desarrollan las habilidades que se indican a continuación:
Objetivos Bloque 1 (Auditoría)
1. Aprender los conceptos fundamentales del Estándar COBIT (Control de los Objetivos de las Tecnologías de la Información) para poder aplicarlos en vuestras futuras organizaciones.
2. Desarrollar vuestros conocimientos en las áreas: de los Procesos de la Auditoría de los Sistemas de Información, del Gobierno de las Tecnologías de la Información, de la Administración del Ciclo de Vida de Sistemas e Infraestructura, de la Entrega y Soporte de las Tecnologías de la Información, de la Protección de los Activos de la Información y de la Continuidad del Negocio y Recuperación de Desastres como base de la formación en la obtención de las Certificación Internacional CISA (Auditor Certificado en Sistemas de Información).
3. Aprender los conceptos fundamentales del Estándar ISO/IEC 27001:2005 (Sistema de Gestión de Seguridad de la Información) para poder aplicarlos en vuestras futuras organizaciones.
4. Entender los conceptos fundamentales de la Norma LOPD (La Ley Orgánica de Protección de Datos) para poder aplicarlos en vuestras futuras organizaciones.
5. Comprender las diversas metodologías existentes en la realización de Análisis de Riesgos, Plan de Continuidad del Negocio, Análisis de Impacto al Negocio.
6. Desarrollar los conocimientos y habilidades suficientes para ser capaces de realizar las diferentes Auditorías relacionadas con las Tecnologías de la Información.
Objetivos Bloque 2 (Seguridad)
1. Dominar los conceptos básicos relativos a la Seguridad Informática, y desarrollar una visión global de los factores determinantes de un entorno seguro.
2. Adquirir la capacidad de identificar los activos de la empresa, los riesgos y las amenazas a la Seguridad mediante la elaboración de un Análisis de Riesgos.
3. Conocer los requerimientos legales, las directivas y la legislación actual en materia de Seguridad de la Información mediante la utilización de las herramientas existentes (Políticas de Seguridad, Estándares, Guías y Procedimientos).
4. Adquirir la capacidad de alinear la seguridad con la estrategia del negocio mediante la definición de factores críticos de éxito, KPI´s i KGI´s.
5. Dominar el proceso de definición de un Plan de Recuperación de Desastres (DRP) en el entorno empresarial.
El Bloque 1 (Auditoría) de la Asignatura tiene 4 partes cuyo temario detallado es el siguiente:
A. COBIT (Control de los Objetivos de las Tecnologías de la Información).
A.1. HISTORIA Y ANTECEDENTES.
A.2. RESUMEN EJECUTIVO.
A.3. MARCO REFERENCIAL.
A.4. OBJETIVOS DE CONTROL:
4.1. Planificación y Organización.
4.2. Adquisición y Organización.
4.3. Entrega de Servicios y Soporte.
4.4. Monitorización.
B. CISA (Auditor Certificado en Sistemas de Información).
B.1. PROCESO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN:
5.1. Introducción.
5.2. Estándares y Directrices.
5.3. Análisis de Riesgos.
5.4. Controles Internos.
5.5. Ejecución de una Auditoría de SI.
B.2. GOBIERNO DE TI (IT Governance):
6.1. Gobierno Corporativo.
6.2. Estrategia, Políticas y Procedimientos de SI.
6.3. Administración de Riesgos.
6.4. Estructura Organizacional y Responsabilidades de SI.
6.5. Auditoría del Gobierno de TI.
B.3. ADMINISTRACIÓN DEL CICLO DE VIDA DE SISTEMAS E INFRAESTRUCTURA:
7.1. Estructura de la Gerencia de Proyectos.
7.2. Administración de la Gestión de Proyectos.
7.3. Estrategias y Métodos para el Desarrollo de Software.
7.4. Adquisición de Infraestructuras.
7.5. Mantenimiento de los SI.
7.6. Mejora de los Procesos.
7.7. Controles de Aplicación.
7.8. Auditoría del Desarrollo, Adquisición y Mantenimiento de Sistemas.
B.4. ENTREGA Y SOPORTE DE TI:
8.1. Operaciones de SI.
8.2. Hardware de SI.
8.3. Arquitectura y Software de SI.
8.4. Infraestructura de las Redes de SI.
8.5. Auditoría de la Infraestructura y de las Operaciones.
B.5. SEGURIDAD DE LOS ACTIVOS DE INFORMACIÓN:
9.1. Gestión de la Seguridad de la Información.
9.2. Controles de Acceso Lógico, Físico, Ambientales.
9.3. Seguridad de la Infraestructura de Red.
9.4. Auditoría de SI.
B.6. CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN DE DESASTRES:
10.1. Plan de continuidad del Negocio / Recuperación de Desastres.
10.2. Auditoría del Plan de Continuidad del Negocio / Recuperación de Desastres.
C. La ISO/IEC 27001:2005 (Sistema de Gestión de Seguridad de la Información):
11.1. Legislación Vigentes sobre la ISO/IEC 27001:2005.
11.2. Objetivos de la ISO/IEC 27001:2005.
11.3. Políticas de la ISO/IEC 27001:2005.
11.4. Controles de la ISO/IEC 27001:2005.
11.3. Auditoría de la ISO/IEC 27001:2005.
D. LOPD (La Ley Orgánica de Protección de Datos):
12.1. Legislación Vigente sobre la LOPD.
12.2. Objetivos de la LOPD.
12.3. Auditoría de la LOPD.
El Bloque 2 (Seguridad) contempla los siguientes apartados siguientes:
1.Disaster Recovery Plan
a.Conceptos Generales
b.Proceso de elaboración
2. Importancia de la Seguridad en las TIC
a.Objetivos y factores determinantes
b.Visión Global Riesgos generales
c.Visión Global - Amenazas y tipos de ataques
d.Hacking. Capacidad de las amenazas
e.Situación actual en incidentes de seguridad
f.Los Virus
g.La Seguridad física
h.Internet
3. Prevención y soluciones tecnológicas
4.Requerimientos legales de Seguridad en las TIC
a.Directivas y Leyes
b.Aspectos básicos de la LOPD y LSSI
c.Responsabilidades y sanciones
5.Necesidad de Gestionar la Seguridad
a.Costos
b.Principios de un sistema seguro
c.Funciones de un sistema seguro
6.Gestión Básica de la Seguridad
a.Visión General - Plan de Seguridad
b.Normas i Certificaciones
7.Análisis de Riesgos
a.Conceptos Generales
b.Metodologías (Magerit)
8.Políticas de Seguridad
a.Estándares, Guías y procedimientos
b.Metodología de Implementación
9.La Seguridad y el control estratégico de la organización
a.FCE, KGI & KPI´s
b.Seguridad Gestionada
10.Conclusiones
Bloque 1 (Auditoría)
El objetivo de la metodología pretende ser que al finalizar la asignatura, el alumno, sea capaz de aplicar todas las capacidades adquiridas en sus futuros trabajos. De igual modo, se pretende que la carga de trabajo se encuentre dentro de las horas lectivas de la asignatura. Para ello se propone el siguiente método formativo:
Las clases se dividirán en dos partes, una teórica en que se impartirá usando diapositivas y la transmisión de la experiencia práctica del profesor en las diferentes materias de la asignatura, y una segunda práctica en la que a través de los trabajos en grupo y presentaciones, autorizadas por el profesor de la asignatura, para reforzar los conceptos expuestos.
La asistencia en la asignatura es fundamental para adquirir los conocimientos, realizar las diferentes prácticas y participar activamente para enriquecer las exposiciones realizadas por el profesor de la asignatura.
Como colofón de la asignatura se realizará un examen tipo test y/o trabajo individual final para fijar los conocimientos adquiridos a lo largo de la asignatura.
Bloque 2 (Seguridad)
Cubriremos la materia del curso a partir de las sesiones presenciales cuya asistencia será controlada. En las clases de darán explicaciones a los temas troncales de la asignatura con interacción y participación de los alumnos en las dinámicas de las clases, en las que revisaremos la documentación suministrada. La documentación de la asignatura contiene todas las diapositivas utilizadas en las sesiones con información ampliada sobre las mismas.
Existirá documentación complementaria, y deberá realizarse un trabajo central en grupos, de entrega obligatoria, que servirá para evaluar la asignatura y se plantearan dos trabajos optativos individuales orientados a matizar la nota de cada alumno. Leer la documentación por avanzado os ayudará a realizar interesantes preguntas, y hacer fácil el trabajar en los proyectos que se cubran en clase o bien fuera de clase.
En la medida de lo posible se dedicará tiempo en las clases a plantear y desarrollar el trabajo en grupo de la asignatura.
Bloque 1 (Auditoría) 50% de la Nota :
Los métodos de evaluación utilizados en la asignatura son:
C. Exámenes tipo test
E. Trabajos individuales
F. Trabajos en grupo
I. Presentaciones
J. Participación en clase
El objetivo de la asignatura es que el alumno aprenda los conocimientos anteriormente mencionados y que sea capaz de aplicarlos en su vida profesional posterior, es por ello, que los criterios de evaluación pretenderán que se asimilen los conocimientos adquiridos y no aportar una carga adicional de trabajo.
En base a lo expuesto, se valorará muy positivamente la participación en clase (enriquece, amplia y fija los conocimientos), se realizarán trabajos en grupo y presentación en clase de las materias aprendidas (la aplicación práctica de los conocimientos adquiridos afianza la aplicabilidad de los conceptos teóricos), como evaluación final de la asignatura se podrá realizar un examen tipo test con todo el material educativo que se quiera o un trabajo individual (pretende recordar e interiorizar los conceptos trabajados). Aquellos que deseen una mejor calificación podrán realizar el test y el trabajo individual.
Método de Puntuación:
20% Participación en Clase.
20% Asistencia a Clase.
20% Trabajos en Grupo y Presentaciones en Clase.
40% Test de comprensión Final y/o Ejercicio Individual Final.
Nota: en el caso de realizar el test y adicionalmente el ejercicio individual final, el ejercicio se computará como un 20% adicional.
Bloque 2 (Seguridad) 50% de la Nota :
Los métodos de evaluación utilizados en la asignatura son:
C. Exámenes tipo test
E. Trabajos individuales
F. Trabajos en grupo
I. Presentaciones
J. Participación en clase
A - La base de la calificación se calculará a partir de la evaluación del Trabajo en Grupo Obligatorio (La Elaboración del DRP). (70%)
B - La participación e interactividad y la entrega de los trabajos optativos servirán para ajustar y personalizar la nota. (30%)
C- Es obligatoria la asistencia a clase (o en su caso la recuperación de las mismas en el tiempo previsto), y la no asistencia a dos clases supondrá que el alumno no será evaluado.
Bloque 1 (Auditoría)
Objetivo 1: El estudiante debe demostrar sus capacidades de análisis, de síntesis, de organizar y de planificar en la realización de los trabajos en grupo y sus respectivas presentaciones. [F, I].
Objetivo 2: El estudiante debe demostrar que conoce los conceptos fundamentales de las áreas de los diferentes estándares, normativas, metodologías y diversas tipologías de auditoría en el examen tipo test, trabajos individuales y en su participación en clase. [C, E, J].
Objetivo 3: El estudiante debe demostrar su destreza en el uso de sus comunicaciones orales y escritas en los diferentes métodos de evaluación de la asignatura. [E, F, I, J].
Objetivo 4: En el ámbito interpersonal, se valorará que el alumno desarrolle sus capacidades crítica y autocrítica, y de sus habilidades de trabajo en un equipo interdisciplinar. [F, I].
Objetivo 5: El estudiante debe comprender las diferentes técnicas existentes para diseñar y gestionar los proyectos tecnológicos, con la capacidad de aplicar los conocimientos adquiridos en la práctica. [F, I].
Bloque 2 (Seguridad)
Criterios que se usan para evaluar los resultados obtenidos por el estudiante.
Objetivo 1: Dominar los conceptos básicos para desarrollar un Plan de Recuperación ante Desastres. Los alumnos deberán elaborar el DRP o bien de la empresa definida en su Trabajo en Grupo, o bien de la empresa donde trabajen aplicando los métodos y conocimientos estudiados en clase. (D,F,I,J).
Objetivo 2: Tomar conciencia de la problemática y la importancia de la Seguridad de la Información. Al objeto de comprender y entender las problemáticas existentes y la importancia de la seguridad, se deberá presentar el trabajo optativo sobre el análisis de riesgos en su Cía. Este trabajo será optativo. (D,F,J).
Objetivo 3: Capacitarnos para evaluar los riesgos a considerar en nuestro entorno empresarial. Al objeto de comprender las herramientas y métodos existentes para ejercer una gestión eficaz y eficiente de la Seguridad, se deberá presentar el trabajo optativo sobre las Políticas de Seguridad. Este trabajo será optativo. (F,J).
Objetivo 4: Capacitarnos para Gestionar la Seguridad de la Información en el entorno empresarial. La capacidad del alumno para adaptarse de una forma dinámica al escenario de la empresa deberá quedar reflejada en como están integrados en cada uno de los trabajos presentados los conceptos analizados. (D,F,J).
Bloque 1 (Auditoría)
Apuntes del Seminario Auditoría Informática del curso. Valentín Faura
Guías de Estudio del Seminario Auditoría Informática del curso. Valentín Faura
Bloque 2 (Seguridad)
William Caelli, Dennis Longley and Michael Shain. Information Security for Managers. M Stockton Press
William Caelli, Dennis Longley, Michael Shain.Information Security Handbook. Macmillan Publishers, Ltf.
Ken Wong and Steve Watt. Managing Information Security. Elsevier Advanced Technology
Bloque 1 (Auditoría)
1. COBIT. IT Governance Institute.
2. MANUAL DE PREPARACIÓN AL EXAMEN CISA. ISACA.
3. ISO/IEC 27001:2005.
4. Ley Orgánica 15/1999, de 13 de enero de Protección de Datos de Carácter Personal (LOPD).
5. RD 994/1999, de 11 de junio que aprobó el Reglamento de Medidas de Seguridad.
Bloque 2 (Seguridad)
Data Security Management. Auerbach Publishers.
William E. Perry and Javier F. Kuong. EDP Risk Analysis and Controls Justification. MAP
D.W. Davies and W. L. Price. Security for Computer Networks. John Wiley and Sons.
Seguridad Informática y Comunicaciones.
Firma Electrónica. Propietat Intelectual. Leyes. LOPD. Reglament. MHAbogados.