ASIGNATURA

AUDITORIA Y CONTROL DE

SISTEMAS DE INFORMACIÓN

Master Universitario en Ingeniería

Informática

Universidad de Alcalá

Curso Académico 2017/18

GUÍA DOCENTE

2

GUÍA DOCENTE

Nombre de la asignatura: AUDITORÍA Y CONTROL DE SISTEMAS DE

INFORMACIÓN

Código:

Titulación en la que se imparte: Master Universitario de Ingeniería en

Informática

Departamento y Área de

Conocimiento: CIENCIAS DE LA COMPUTACIÓN

Carácter: Obligatoria

Créditos ECTS: 6

Curso y Cuatrimestre 1er Curso, 2º cuatrimestre

Profesorado:

Dr. José Manuel Gómez Pulido

Dr. José Luis Castillo Sequera

Horario de Tutoría:

Idioma en el que se imparte: Español

3

1 PRESENTACIÓN

La asignatura tiene 6 créditos ECTS, los cuales están divididos en 4 teóricos y 2

prácticos. La impartición de la materia pretende proporcionar al alumno una conciencia

global de lo que significa la Auditoría y el control de procesos en los Sistemas de

Información de una organización. Para ello se repasan los fundamentos, términos,

conceptos y definiciones relacionadas con el tema, como primer paso, para

posteriormente estudiar aspectos específicos relacionados con las técnicas de

auditoría y el control que permitirán apreciar el papel vital que una adecuada

gobernanza de las TIC’s en una organización.

La asignatura sitúa y relaciona los sistemas y tecnologías propias del control y

auditoría en el contexto del resto de los sistemas de información de la organización,

mediante ejemplos seleccionados y casos prácticos. A lo largo del desarrollo de la

asignatura se adquieren los conocimientos teóricos y prácticos relacionados con la

competencia del Máster “CETI3 - Capacidad para asegurar, gestionar, auditar y

certificar la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y

productos informáticos” a través de técnicas de auditoria.

.

2. COMPETENCIAS

Esta asignatura, y de forma más amplia la materia de la que forma parte, desarrolla

en el alumno las siguientes competencias:

Competencias genéricas:

1. Que los estudiantes sepan aplicar los conocimientos adquiridos y su capacidad

de resolución de problemas en entornos nuevos o poco conocidos dentro de

contextos más amplios (o multidisciplinares) relacionados con su área de

estudio.

2. Que los estudiantes sean capaces de integrar conocimientos y enfrentarse a

la complejidad de formular juicios a partir de una información que, siendo

incompleta o limitada, incluya reflexiones sobre las responsabilidades sociales

y éticas vinculadas a la aplicación de sus conocimientos y juicios.

4

3. Que los estudiantes sepan comunicar sus conclusiones y los conocimientos y

razones últimas que las sustentan a públicos especializados y no

especializados de un modo claro y sin ambigüedades.

4. Capacidad para la puesta en marcha, dirección y gestión de procesos de

fabricación de equipos informáticos, con garantía de la seguridad para

personas y bienes, la calidad final de los productos y su homologación.

5. Capacidad para la aplicación de los conocimientos adquiridos y de resolver

problemas en entornos nuevos o poco conocidos dentro de contextos más

amplios y mulitidisciplinares, siendo capaces de integrar estos conocimientos.

Competencias específicas:

6. Conocer los conceptos fundamentales relacionados con la Auditoría y el

Control de los Sistemas de Información en una organización.

7. Distinguir, a través de ejemplos específicos de funcionalidad, los conceptos

teóricos, las metodologías de trabajo y las técnicas de auditoría para el control

de TIC’s.

8. Verificar y comprobar el buen funcionamiento de las tecnologías de la

información incorporadas en una organización, a través de técnicas de

auditoría informática, teniendo la capacidad de aplicar la función de auditoría

y su marco jurídico.

9. Capacidad para asegurar, gestionar, auditar y certificar la calidad de los

desarrollos, procesos, sistemas, servicios, aplicaciones y productos

informáticos.

10. Capacidad para diseñar, desarrollar, gestionar y evaluar mecanismos de

certificación y garantía de seguridad en el tratamiento y acceso a la información

en un sistema de procesamiento local o distribuido.

11. Capacidad para proyectar, calcular y diseñar procesos de auditoría y

certificación de sistemas informáticos, y tener la capacidad de desarrollar un

informe de auditoría informática.

Resultados de Aprendizaje:

RA1 Conocer los fundamentos de la Auditoría, y las metodologías de evaluación y

certificación de sistemas y productos de T.I.

RA2 Analizar y evaluar para su aplicación a un sistema específico diversas

metodologías de auditoría.

RA3 Conocer las normas y estándares nacionales, europeos e internacionales

relativos a la seguridad de sistemas informáticos.

RA4 Conocer los acuerdos internacionales de reconocimiento mutuo de certificación

de la seguridad y sus requisitos. Describir y conocer las regulaciones y los aspectos

jurídicos que le afectan.

5

RA5 Ser capaz de realizar una auditoría de conformidad con la legislación vigente de

ficheros y sistemas conteniendo datos de carácter personal.

RA6 Ser capaz de llevar a cabo una auditoria de la calidad de los desarrollos,

procesos, sistemas, servicios, aplicaciones y productos informáticos.

6

3. CONTENIDOS

Bloques de contenido (se pueden especificar los

temas si se considera necesario)

Horas

(150 en total)

1. El Gobierno de las TIC’s 5

2. Función de la Auditoría Informática y su marco

jurídico, Sistemas y requisitos para el

reconocimiento mutuo de certificaciones.

5

3. Metodologías, Técnicas para el Gobierno de TSI,

Técnicas de Auditoría, criterios y esquemas de

evaluación y certificación.

20

4. Implantación del Gobierno de la seguridad de las

TSI, Informes de Auditoría, Certificación de

Sistemas y Productos de TI

20

5. Cuadros de mando para el Gobierno de TSI 15

6. Modelos de Madurez para SGSI desde un

enfoque aplicado.

15

7. Panorámica general sobre normas de seguridad

de TIC’S, Normas y estándares de Auditoría

Informática, Auditoria de Sistemas distribuidos y

redes, ficheros y sistemas que contienen datos

de carácter personal

15

8. COBIT 5 35

9. Norma ISO 27001,ISO 20000, ITIL 3 20

7

4. METODOLOGÍAS DE ENSEÑANZA-APRENDIZAJE.-ACTIVIDADES

FORMATIVAS

4.1. Distribución de créditos (especificar en horas)

4.1. Distribución de créditos (especificar en horas)

Número de horas presenciales: 45h (clases teóricas, problemas + 3h

pruebas)

Número de horas del trabajo

propio del estudiante: 102 h

Total horas 150 h

4.2. Estrategias metodológicas, materiales y recursos didácticos

La asignatura Auditoría y Control de Sistemas de Información se organiza como una

asignatura cuatrimestral de 6 ECTS.

En el proceso de enseñanza-aprendizaje de los contenidos anteriormente reseñados

se emplearán las siguientes actividades formativas:

• Clases teóricas presenciales.

• Clases prácticas: trabajos y resolución de casos presenciales.

• Prácticas en laboratorio presenciales.

• Tutorías individuales

Además, en función de la naturaleza de las distintas partes de la materia objeto de

estudio, se podrán utilizar, entre otras, las siguientes actividades formativas:

• Elaboración de trabajos con responsabilidad individual, pero con gestión de la

información como equipo.

• Puesta en común de la información, problemas y dudas que aparezcan en la

realización de los trabajos.

8

• Organización y realización de jornadas públicas con presentaciones orales y

discusión de resultados.

• Utilización de Plataforma de Aula Virtual.

Actividades presenciales

1. En el aula: exposición y discusión de los contenidos de

la asignatura. Planteamiento y resolución teórica de casos y

supuestos relacionados.

2. En el laboratorio: planteamiento y desarrollo de

ejercicios prácticos que permitan solventar problemas que

contribuyan al desarrollo de la capacidad de análisis de

resultados, razonamiento crítico y comprensión de los métodos

de resolución planteados, así como su implementación práctica.

Actividades No

presenciales

1. Análisis y asimilación de los contenidos de la materia,

resolución de casos, consulta bibliográfica, preparación de

trabajos individuales y grupales, realización de pruebas de

evaluación presenciales y autoevaluaciones.

2. Tutorías: asesoramiento individual durante el proceso

de enseñanza-aprendizaje, bien en forma presencial o a

distancia.

9

5. EVALUACIÓN: Procedimientos, criterios de evaluación y de

calificación1

La evaluación de esta asignatura tratará de establecer, para cada estudiante, el grado

al que ha llegado en la adquisición de las competencias previstas. Los criterios de

evaluación están basados en el conjunto de normas apoyadas en la legislación vigente

y en los estatutos de la Universidad de Alcalá, que inciden cada vez más en el

reconocimiento de la evaluación formativa y continua como criterio inspirador de todo

el proceso.

Por ello se han establecido Pruebas de Evaluación Continua (PEC) distribuidas a lo

largo del periodo de impartición de la asignatura, consistentes en:

1. Un trabajo intermedio propuesto por el profesor de la asignatura, utilizando

como base la documentación básica y adicional del propio material del curso.

2. Un trabajo final en el que el estudiante desarrolle algún aspecto relacionado

con la materia estudiada, tratado en profundidad y utilizando también material

obtenido por el propio estudiante. El trabajo podrá estar dividido en varias partes

presentadas independientemente.

3. Un examen de tipo test, de duración acotada, para medir los conocimientos

generales adquiridos de la asignatura, en base al material formativo puesto a

disposición del estudiante en la plataforma virtual.

4. Varias pruebas de autoevaluación, al finalizar cada módulo de la asignatura,

que permitan al estudiante conocer su progreso en la asimilación de la materia de

estudio.

La evaluación continua se caracteriza por utilizar diferentes procedimientos y

evidencias, por lo que, además de la entrega de trabajos y la realización de tareas de

evaluación y autoevaluación, se tendrá en cuenta el intercambio de información y

juicios críticos entre estudiantes para realizar aportes en los foros de la asignatura y

en las clases presenciales que redunden en una mejora de los aprendizajes.

1 Siguiendo la Normativa reguladora de los procesos de evaluación de los

aprendizajes, aprobada en Consejo de Gobierno de 24 de Marzo de 2011, es

importante señalar los procedimientos de evaluación: por ejemplo evaluación

continua, final, autoevaluación, co-evaluación. Instrumentos y evidencias:

trabajos, actividades. Criterios o indicadores que se van a valorar en

relación a las competencias: dominio de conocimientos conceptuales,

aplicación, transferencia conocimientos. Para el sistema de calificación hay

que recordar la Normativa del Consejo de Gobierno del 16 de Julio de 2009.

10

Para la evaluación de los trabajos realizados por el estudiante, se tendrán en cuenta

los siguientes criterios:

• Esfuerzo de la investigación que ponga de manifiesto el número y calidad de

las referencias consultadas.

• Claridad y originalidad en la argumentación de los razonamientos expuestos y

de las conclusiones a las que se haya llegado.

• Calidad de la presentación y de la redacción, así como de los recursos

adicionales (gráficos, figuras, tablas, etc.) utilizados.

Tanto la entrega de los trabajos, como el examen, se llevarán a cabo en las fechas y

plazos fijados en el calendario de la asignatura, dados a conocer por el profesor, al

comienzo del curso.

Para la calificación final se tendrá en cuenta el conjunto de las tres pruebas de

evaluación descritas, con la siguiente ponderación:

• Trabajo intermedio: 25%

• Trabajo final: 50%

• Examen: 20%

• Pruebas de Autoevaluación, Aportaciones y participación: 5%

El estudiante que, por razones excepcionales, no sea evaluado mediante el sistema

de evaluación continua expuesto, podrá serlo mediante una evaluación sumativa o

única para demostrar las competencias exigidas. Dicha evaluación consistirá en la

presentación y defensa de los dos trabajos (intermedio y final) propuestos durante el

desarrollo del curso y la realización de un examen final escrito, con preguntas de tipo

test y/o de respuestas cortas, que tendrá lugar en las fechas establecidas en el

calendario de exámenes (día, hora y duración) y en dos convocatorias distintas:

ordinaria y extraordinaria.

Procedimientos de Evaluación

1. Convocatoria Ordinaria: La evaluación en la convocatoria ordinaria debe estar

inspirada en los criterios de Evaluación continua (Normativa de Regulación de los

Procesos de Enseñanza Aprendizaje, NRPEA, art 3), atendiendo siempre a la

adquisición de las competencias especificadas en la asignatura

Evaluación Continua: Consistente en la realización y superación de las

prácticas de laboratorio, la realización y superación del trabajo de la

asignatura, y la realización y superación de exámenes. La superación de

las prácticas, del trabajo de la asignatura y de los exámenes se realizará a

lo largo del cuatrimestre.

Se considerará que el alumno se ha presentado a la Evaluación Continua en el

momento en el que se presente a la primera de las pruebas parciales de Evaluación

Continua. Para poder aprobar la Evaluación Continua el alumno debe entregar las

actividades de aprendizaje propuestas y presentarse a las evaluaciones en las

fechas establecidas.

2. Convocatoria Extraordinaria: en la convocatoria extraordinaria, los alumnos que

no hayan superado la convocatoria ordinaria realizarán una prueba global que

incluirá pruebas teóricas, problemas y defensa de las prácticas y/o trabajos de

11

investigación propuestos para esta convocatoria. Los alumnos deberán ponerse

en contacto con los profesores de la asignatura para que éstos les informen de las

prácticas y/o trabajos que deberán presentar. Estas pruebas constituirán el 100%

de la nota de la asignatura. Se plantean dos situaciones:

• En caso de que el estudiante haya realizado el trabajo de la asignatura, si así

lo decide, se le asignará la calificación obtenida en la convocatoria ordinaria.

El resto de la evaluación se basará en un examen final.

• El estudiante no ha realizado el trabajo o decide no considerarlo. La

evaluación consistiría en un examen final de dicha parte.

En todos los procedimientos de evaluación los problemas servirán para evaluar la

adquisición de las competencias relativas a la capacidad para resolver problemas y

casos de la asignatura, así como evaluar los conocimientos básicos relativos a la

Auditoría y control de Sistemas de Información.

Las cuestiones teóricas permiten evaluar la adquisición de competencias en la

comprensión y dominio de los conceptos básicos, y del conocimiento aplicado al

ámbito dela Auditoría y Control. Con los trabajos y problemas de laboratorio se evalúa

la adquisición de la competencia sobre el uso de metodologías y normas en el

desarrollo de una Auditoría y Control. Se evaluará la capacidad del alumno para

resolver problemas con iniciativa, toma de decisiones, creatividad, razonamiento

crítico, y su habilidad de poder plantear y auditar casos prácticos.

6. BIBLIOGRAFÍA

Bibliografía Básica

• ISACA Journal (http://www.isaca.org/Journal)

• "COBIT 5, descargable de la página web de ISACA (www.isaca.org)

• Gobierno de las Tecnologías y los Sistemas de Información, Mario Piattini,

Fernando Hervada, Editorial Rama, 2007

Bibliografía Complementaria

• ISACA (Information Systems Audit and Control Association) COBIT, Control

Objectives for Information and Related Technologies., .

• ISACA (Information Systems Audit and Control Association) CISA Review

Manual (Certified Information Systems Auditor)., .

• ISO/IEC 15408 Common Criteria for Information Technology Security

Evaluation. Part 1: Introduction and general model., July 2009.

• UNE-ISO/IEC 27001:2005. Sistemas de Gestión de la seguridad de la

Información., AENOR. Noviembre 2007.

12

• "Auditoría Informática: Un enfoque práctico", M.G. Piattini y E. del Peso, edit.

Rama

• Auditoría de Tecnologías y Sistemas de Información, Mario Piattini y otros,

Editorial Rama 2008.