Última actualización: 26/08/2019


Curso Académico: 2019/2020

Auditoria y Certificación de Sistemas Informáticos
(14340)
Titulación: Master Universitario en Ingeniería Informática (228)
Escuela de Ingeniería y Ciencias Básicas


Coordinador/a: RIBAGORDA GARNACHO, ARTURO

Departamento asignado a la asignatura: Departamento de Informática

Tipo: Obligatoria
Créditos: 6.0 ECTS

Curso:
Cuatrimestre:




Materias que se recomienda haber superado
No procede
Competencias que adquiere el estudiante y resultados del aprendizaje.
El alumno debe adquirir una serie de competencias genéricas, conocimientos, capacidades y actitudes, que se describen a continuación: Competencias transversales genéricas: o Capacidad de análisis y síntesis o Capacidad de organizar y planificar o Capacidad de abstracción y deducción. o Resolución de problemas. o Trabajo en equipo. o Capacidad de aplicar los conocimientos en la práctica. Competencias actitudinales: o Capacidad para generar nuevas ideas (creatividad) o Actitud crítica respecto a los conocimientos actuales o Preocupación por la calidad de los programas y sistemas informáticos o Motivación de logro o Interés por investigar y buscar soluciones a nuevos problemas que presentan la auditoría y certificación de los sistemas informáticos Competencias específicas del módulo de la materia: 1. Capacidad para asegurar, gestionar, auditar y certificar la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y productos informáticos. 2. Capacidad para diseñar, desarrollar, gestionar y evaluar mecanismos de certificación y garantía de seguridad en el tratamiento y acceso a la información en un sistema de procesamiento local o distribuido. 3. Capacidad para aplicar los principios de la regulación y normalización de la informática. 4. Capacidad para proyectar, calcular y diseñar procesos de auditoría y certificación de sistemas informáticos. Resultados de aprendizaje: o Conocimiento de las metodologías de evaluación y certificación de sistemas y productos de T.I. o Conocimiento de los acuerdos internacionales de reconocimiento mutuo de certificación de la seguridad y sus requisitos o Conocimiento las normas y estándares nacionales, europeos e internacionales relativos a la seguridad de los sistemas de información, principalmente las normas de la familia ISO/IEC 27000 o Capacidad de analizar y evaluar, para su aplicación a un sistema específico, diversas metodologías de auditoría. o Capacidad para llevar a cabo una auditoría de la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y productos informáticos, y de su seguridad. o Capacidad para realizar una auditoría de conformidad con la legislación vigente de tratamientos y sistemas conteniendo datos de carácter personal.
Descripción de contenidos: Programa
1. Normalización, evaluación, certificación y acreditación. Marco legal 2. La auditoría y la consultoría informática. 3. La normalización de los SGSI (ISMS). Familia 27xxx. Estudio de las normas UNE-ISO/IEC 27000, 27001, 27002. 4. Auditoría de sistemas distribuidos y redes. Auditoría de ciberseguridad. 5. Auditoría de tratamientos y sistemas sujetos a cumplimiento legal. 6. Certificación de sistemas y productos de T.I.
Actividades formativas, metodología a utilizar y régimen de tutorías
Clases magistrales. o Orientadas a la enseñanza de las competencias específicas de la materia. En ellas se presentarán los conocimientos que los alumnos deben adquirir. Para facilitar su desarrollo los alumnos recibirán las notas de clase y tendrán textos básicos de referencia que les permita completar y profundizar en aquellos temas en los cuales estén más interesados. Además, los estudiantes tendrán acceso a normas, estándares y disposiciones legales de uso común en auditoria y certificación de sistemas informáticos. Prácticas individuales o en grupo. o Dentro de esta materia se llevarán a cabo prácticas, que podrían ser en grupo. Entre otras actividades, los estudiantes podrían realizar auditorías de componentes determinados de sistemas y redes, para después sacar conclusiones y elaborar el correspondiente informe de auditoría, que podría presentarse en grupo. También llevarán a cabo la auditoría de cumplimiento del de la legislación de protección de datos en sistemas ficticios o reales anonimizados. Así mismo, dado un sistema en un entorno operacional determinado, deberán escoger aquellos productos o equipos de seguridad certificados que minimicen los riesgos que sufre. Actividades académicamente dirigidas. o Resolución de ejercicios y casos prácticos de forma participativa. Se incluirán, entre otras actividades el análisis y comentario crítico de informes de la Agencia Española de Protección de Datos (u Órganos correspondientes de alguna Autonomía que los tenga). Así mismo, dado un campo específico de las T.I., deberán hallar aquellos estándares de facto o de iure que lo regulan, comentando los aspectos relevantes de dicha normalización. Finalmente realizarán trabajos de auditoría de la calidad o de la seguridad de un sistema informático. Trabajo personal y estudio del alumno. o Orientado especialmente a la adquisición de la Capacidad para la autoorganización y planificación del trabajo individual y del proceso de aprendizaje.
Sistema de evaluación
  • Peso porcentual del Examen Final 40
  • Peso porcentual del resto de la evaluación 60
Bibliografía básica
  • AENOR. UNE-ISO/IEC 27000:2014. UNE-EN ISO/IEC 27001:2017. UNE-EN ISO/IEC 27002:2017.. AENOR. 2014 Y 2015 (según se indica)
  • ISACA. CISA (Certified Information Systems Auditor) Review Manual. ISACA.
  • ISACA. CISM (Certified Information Security Manager). ISACA.
  • ISACA . COBIT (Information Systems Audit and Control Association) . ISACA.
  • ISO/IEC. ISO/IEC 15408. Common Criteria for Information Technology Security Evaluation. Part 1: Introduction and general model.. ISO/IEC. 2009
  • JTC1. ISO/IEC. ISO/IEC 27007: 2011. Guidelines for information security management systems auditing. ISO/IEC. 2011
  • PIATTINI, Mario y otros.. Auditoría de Tecnologías y Sistemas de Información.. RA-MA. . Madrid, 2008
Contenido detallado de la asignatura o información adicional para TFM

El programa de la asignatura y la planificación semanal podrían sufrir alguna variación por causa de fuerza mayor debidamente justificada o por eventos académicos comunicados con antelación.


Dirección web para más información: https://cosec.inf.uc3m.es/