asignatura · norma iso 27001,iso 20000, itil 3 20 . 7 4. ... total horas 150 h 4.2. estrategias...
TRANSCRIPT
ASIGNATURA
AUDITORIA Y CONTROL DE
SISTEMAS DE INFORMACIÓN
Master Universitario en Ingeniería
Informática
Universidad de Alcalá
Curso Académico 2017/18
GUÍA DOCENTE
2
GUÍA DOCENTE
Nombre de la asignatura: AUDITORÍA Y CONTROL DE SISTEMAS DE
INFORMACIÓN
Código:
Titulación en la que se imparte: Master Universitario de Ingeniería en
Informática
Departamento y Área de
Conocimiento: CIENCIAS DE LA COMPUTACIÓN
Carácter: Obligatoria
Créditos ECTS: 6
Curso y Cuatrimestre 1er Curso, 2º cuatrimestre
Profesorado:
Dr. José Manuel Gómez Pulido
Dr. José Luis Castillo Sequera
Horario de Tutoría:
Idioma en el que se imparte: Español
3
1 PRESENTACIÓN
La asignatura tiene 6 créditos ECTS, los cuales están divididos en 4 teóricos y 2
prácticos. La impartición de la materia pretende proporcionar al alumno una conciencia
global de lo que significa la Auditoría y el control de procesos en los Sistemas de
Información de una organización. Para ello se repasan los fundamentos, términos,
conceptos y definiciones relacionadas con el tema, como primer paso, para
posteriormente estudiar aspectos específicos relacionados con las técnicas de
auditoría y el control que permitirán apreciar el papel vital que una adecuada
gobernanza de las TIC’s en una organización.
La asignatura sitúa y relaciona los sistemas y tecnologías propias del control y
auditoría en el contexto del resto de los sistemas de información de la organización,
mediante ejemplos seleccionados y casos prácticos. A lo largo del desarrollo de la
asignatura se adquieren los conocimientos teóricos y prácticos relacionados con la
competencia del Máster “CETI3 - Capacidad para asegurar, gestionar, auditar y
certificar la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y
productos informáticos” a través de técnicas de auditoria.
.
2. COMPETENCIAS
Esta asignatura, y de forma más amplia la materia de la que forma parte, desarrolla
en el alumno las siguientes competencias:
Competencias genéricas:
1. Que los estudiantes sepan aplicar los conocimientos adquiridos y su capacidad
de resolución de problemas en entornos nuevos o poco conocidos dentro de
contextos más amplios (o multidisciplinares) relacionados con su área de
estudio.
2. Que los estudiantes sean capaces de integrar conocimientos y enfrentarse a
la complejidad de formular juicios a partir de una información que, siendo
incompleta o limitada, incluya reflexiones sobre las responsabilidades sociales
y éticas vinculadas a la aplicación de sus conocimientos y juicios.
4
3. Que los estudiantes sepan comunicar sus conclusiones y los conocimientos y
razones últimas que las sustentan a públicos especializados y no
especializados de un modo claro y sin ambigüedades.
4. Capacidad para la puesta en marcha, dirección y gestión de procesos de
fabricación de equipos informáticos, con garantía de la seguridad para
personas y bienes, la calidad final de los productos y su homologación.
5. Capacidad para la aplicación de los conocimientos adquiridos y de resolver
problemas en entornos nuevos o poco conocidos dentro de contextos más
amplios y mulitidisciplinares, siendo capaces de integrar estos conocimientos.
Competencias específicas:
6. Conocer los conceptos fundamentales relacionados con la Auditoría y el
Control de los Sistemas de Información en una organización.
7. Distinguir, a través de ejemplos específicos de funcionalidad, los conceptos
teóricos, las metodologías de trabajo y las técnicas de auditoría para el control
de TIC’s.
8. Verificar y comprobar el buen funcionamiento de las tecnologías de la
información incorporadas en una organización, a través de técnicas de
auditoría informática, teniendo la capacidad de aplicar la función de auditoría
y su marco jurídico.
9. Capacidad para asegurar, gestionar, auditar y certificar la calidad de los
desarrollos, procesos, sistemas, servicios, aplicaciones y productos
informáticos.
10. Capacidad para diseñar, desarrollar, gestionar y evaluar mecanismos de
certificación y garantía de seguridad en el tratamiento y acceso a la información
en un sistema de procesamiento local o distribuido.
11. Capacidad para proyectar, calcular y diseñar procesos de auditoría y
certificación de sistemas informáticos, y tener la capacidad de desarrollar un
informe de auditoría informática.
Resultados de Aprendizaje:
RA1 Conocer los fundamentos de la Auditoría, y las metodologías de evaluación y
certificación de sistemas y productos de T.I.
RA2 Analizar y evaluar para su aplicación a un sistema específico diversas
metodologías de auditoría.
RA3 Conocer las normas y estándares nacionales, europeos e internacionales
relativos a la seguridad de sistemas informáticos.
RA4 Conocer los acuerdos internacionales de reconocimiento mutuo de certificación
de la seguridad y sus requisitos. Describir y conocer las regulaciones y los aspectos
jurídicos que le afectan.
5
RA5 Ser capaz de realizar una auditoría de conformidad con la legislación vigente de
ficheros y sistemas conteniendo datos de carácter personal.
RA6 Ser capaz de llevar a cabo una auditoria de la calidad de los desarrollos,
procesos, sistemas, servicios, aplicaciones y productos informáticos.
6
3. CONTENIDOS
Bloques de contenido (se pueden especificar los
temas si se considera necesario)
Horas
(150 en total)
1. El Gobierno de las TIC’s 5
2. Función de la Auditoría Informática y su marco
jurídico, Sistemas y requisitos para el
reconocimiento mutuo de certificaciones.
5
3. Metodologías, Técnicas para el Gobierno de TSI,
Técnicas de Auditoría, criterios y esquemas de
evaluación y certificación.
20
4. Implantación del Gobierno de la seguridad de las
TSI, Informes de Auditoría, Certificación de
Sistemas y Productos de TI
20
5. Cuadros de mando para el Gobierno de TSI 15
6. Modelos de Madurez para SGSI desde un
enfoque aplicado.
15
7. Panorámica general sobre normas de seguridad
de TIC’S, Normas y estándares de Auditoría
Informática, Auditoria de Sistemas distribuidos y
redes, ficheros y sistemas que contienen datos
de carácter personal
15
8. COBIT 5 35
9. Norma ISO 27001,ISO 20000, ITIL 3 20
7
4. METODOLOGÍAS DE ENSEÑANZA-APRENDIZAJE.-ACTIVIDADES
FORMATIVAS
4.1. Distribución de créditos (especificar en horas)
4.1. Distribución de créditos (especificar en horas)
Número de horas presenciales: 45h (clases teóricas, problemas + 3h
pruebas)
Número de horas del trabajo
propio del estudiante: 102 h
Total horas 150 h
4.2. Estrategias metodológicas, materiales y recursos didácticos
La asignatura Auditoría y Control de Sistemas de Información se organiza como una
asignatura cuatrimestral de 6 ECTS.
En el proceso de enseñanza-aprendizaje de los contenidos anteriormente reseñados
se emplearán las siguientes actividades formativas:
• Clases teóricas presenciales.
• Clases prácticas: trabajos y resolución de casos presenciales.
• Prácticas en laboratorio presenciales.
• Tutorías individuales
Además, en función de la naturaleza de las distintas partes de la materia objeto de
estudio, se podrán utilizar, entre otras, las siguientes actividades formativas:
• Elaboración de trabajos con responsabilidad individual, pero con gestión de la
información como equipo.
• Puesta en común de la información, problemas y dudas que aparezcan en la
realización de los trabajos.
8
• Organización y realización de jornadas públicas con presentaciones orales y
discusión de resultados.
• Utilización de Plataforma de Aula Virtual.
Actividades presenciales
1. En el aula: exposición y discusión de los contenidos de
la asignatura. Planteamiento y resolución teórica de casos y
supuestos relacionados.
2. En el laboratorio: planteamiento y desarrollo de
ejercicios prácticos que permitan solventar problemas que
contribuyan al desarrollo de la capacidad de análisis de
resultados, razonamiento crítico y comprensión de los métodos
de resolución planteados, así como su implementación práctica.
Actividades No
presenciales
1. Análisis y asimilación de los contenidos de la materia,
resolución de casos, consulta bibliográfica, preparación de
trabajos individuales y grupales, realización de pruebas de
evaluación presenciales y autoevaluaciones.
2. Tutorías: asesoramiento individual durante el proceso
de enseñanza-aprendizaje, bien en forma presencial o a
distancia.
9
5. EVALUACIÓN: Procedimientos, criterios de evaluación y de
calificación1
La evaluación de esta asignatura tratará de establecer, para cada estudiante, el grado
al que ha llegado en la adquisición de las competencias previstas. Los criterios de
evaluación están basados en el conjunto de normas apoyadas en la legislación vigente
y en los estatutos de la Universidad de Alcalá, que inciden cada vez más en el
reconocimiento de la evaluación formativa y continua como criterio inspirador de todo
el proceso.
Por ello se han establecido Pruebas de Evaluación Continua (PEC) distribuidas a lo
largo del periodo de impartición de la asignatura, consistentes en:
1. Un trabajo intermedio propuesto por el profesor de la asignatura, utilizando
como base la documentación básica y adicional del propio material del curso.
2. Un trabajo final en el que el estudiante desarrolle algún aspecto relacionado
con la materia estudiada, tratado en profundidad y utilizando también material
obtenido por el propio estudiante. El trabajo podrá estar dividido en varias partes
presentadas independientemente.
3. Un examen de tipo test, de duración acotada, para medir los conocimientos
generales adquiridos de la asignatura, en base al material formativo puesto a
disposición del estudiante en la plataforma virtual.
4. Varias pruebas de autoevaluación, al finalizar cada módulo de la asignatura,
que permitan al estudiante conocer su progreso en la asimilación de la materia de
estudio.
La evaluación continua se caracteriza por utilizar diferentes procedimientos y
evidencias, por lo que, además de la entrega de trabajos y la realización de tareas de
evaluación y autoevaluación, se tendrá en cuenta el intercambio de información y
juicios críticos entre estudiantes para realizar aportes en los foros de la asignatura y
en las clases presenciales que redunden en una mejora de los aprendizajes.
1 Siguiendo la Normativa reguladora de los procesos de evaluación de los
aprendizajes, aprobada en Consejo de Gobierno de 24 de Marzo de 2011, es
importante señalar los procedimientos de evaluación: por ejemplo evaluación
continua, final, autoevaluación, co-evaluación. Instrumentos y evidencias:
trabajos, actividades. Criterios o indicadores que se van a valorar en
relación a las competencias: dominio de conocimientos conceptuales,
aplicación, transferencia conocimientos. Para el sistema de calificación hay
que recordar la Normativa del Consejo de Gobierno del 16 de Julio de 2009.
10
Para la evaluación de los trabajos realizados por el estudiante, se tendrán en cuenta
los siguientes criterios:
• Esfuerzo de la investigación que ponga de manifiesto el número y calidad de
las referencias consultadas.
• Claridad y originalidad en la argumentación de los razonamientos expuestos y
de las conclusiones a las que se haya llegado.
• Calidad de la presentación y de la redacción, así como de los recursos
adicionales (gráficos, figuras, tablas, etc.) utilizados.
Tanto la entrega de los trabajos, como el examen, se llevarán a cabo en las fechas y
plazos fijados en el calendario de la asignatura, dados a conocer por el profesor, al
comienzo del curso.
Para la calificación final se tendrá en cuenta el conjunto de las tres pruebas de
evaluación descritas, con la siguiente ponderación:
• Trabajo intermedio: 25%
• Trabajo final: 50%
• Examen: 20%
• Pruebas de Autoevaluación, Aportaciones y participación: 5%
El estudiante que, por razones excepcionales, no sea evaluado mediante el sistema
de evaluación continua expuesto, podrá serlo mediante una evaluación sumativa o
única para demostrar las competencias exigidas. Dicha evaluación consistirá en la
presentación y defensa de los dos trabajos (intermedio y final) propuestos durante el
desarrollo del curso y la realización de un examen final escrito, con preguntas de tipo
test y/o de respuestas cortas, que tendrá lugar en las fechas establecidas en el
calendario de exámenes (día, hora y duración) y en dos convocatorias distintas:
ordinaria y extraordinaria.
Procedimientos de Evaluación
1. Convocatoria Ordinaria: La evaluación en la convocatoria ordinaria debe estar
inspirada en los criterios de Evaluación continua (Normativa de Regulación de los
Procesos de Enseñanza Aprendizaje, NRPEA, art 3), atendiendo siempre a la
adquisición de las competencias especificadas en la asignatura
Evaluación Continua: Consistente en la realización y superación de las
prácticas de laboratorio, la realización y superación del trabajo de la
asignatura, y la realización y superación de exámenes. La superación de
las prácticas, del trabajo de la asignatura y de los exámenes se realizará a
lo largo del cuatrimestre.
Se considerará que el alumno se ha presentado a la Evaluación Continua en el
momento en el que se presente a la primera de las pruebas parciales de Evaluación
Continua. Para poder aprobar la Evaluación Continua el alumno debe entregar las
actividades de aprendizaje propuestas y presentarse a las evaluaciones en las
fechas establecidas.
2. Convocatoria Extraordinaria: en la convocatoria extraordinaria, los alumnos que
no hayan superado la convocatoria ordinaria realizarán una prueba global que
incluirá pruebas teóricas, problemas y defensa de las prácticas y/o trabajos de
11
investigación propuestos para esta convocatoria. Los alumnos deberán ponerse
en contacto con los profesores de la asignatura para que éstos les informen de las
prácticas y/o trabajos que deberán presentar. Estas pruebas constituirán el 100%
de la nota de la asignatura. Se plantean dos situaciones:
• En caso de que el estudiante haya realizado el trabajo de la asignatura, si así
lo decide, se le asignará la calificación obtenida en la convocatoria ordinaria.
El resto de la evaluación se basará en un examen final.
• El estudiante no ha realizado el trabajo o decide no considerarlo. La
evaluación consistiría en un examen final de dicha parte.
En todos los procedimientos de evaluación los problemas servirán para evaluar la
adquisición de las competencias relativas a la capacidad para resolver problemas y
casos de la asignatura, así como evaluar los conocimientos básicos relativos a la
Auditoría y control de Sistemas de Información.
Las cuestiones teóricas permiten evaluar la adquisición de competencias en la
comprensión y dominio de los conceptos básicos, y del conocimiento aplicado al
ámbito dela Auditoría y Control. Con los trabajos y problemas de laboratorio se evalúa
la adquisición de la competencia sobre el uso de metodologías y normas en el
desarrollo de una Auditoría y Control. Se evaluará la capacidad del alumno para
resolver problemas con iniciativa, toma de decisiones, creatividad, razonamiento
crítico, y su habilidad de poder plantear y auditar casos prácticos.
6. BIBLIOGRAFÍA
Bibliografía Básica
• ISACA Journal (http://www.isaca.org/Journal)
• "COBIT 5, descargable de la página web de ISACA (www.isaca.org)
• Gobierno de las Tecnologías y los Sistemas de Información, Mario Piattini,
Fernando Hervada, Editorial Rama, 2007
Bibliografía Complementaria
• ISACA (Information Systems Audit and Control Association) COBIT, Control
Objectives for Information and Related Technologies., .
• ISACA (Information Systems Audit and Control Association) CISA Review
Manual (Certified Information Systems Auditor)., .
• ISO/IEC 15408 Common Criteria for Information Technology Security
Evaluation. Part 1: Introduction and general model., July 2009.
• UNE-ISO/IEC 27001:2005. Sistemas de Gestión de la seguridad de la
Información., AENOR. Noviembre 2007.