ANX-PR/CL/001-02 GUÍA DE APRENDIZAJE ASIGNATURA Auditoria informatica CURSO ACADÉMICO - SEMESTRE 2015-16 - Primer semestre GA_61IF_615000132_1S_2015-16
Datos Descriptivos Nombre de la Asignatura Titulación Centro responsable de la titulación Semestre/s de impartición Módulo Materia Carácter Auditoria informatica 61IF - Grado en Ingenieria del Software Quinto semestre Modulo 4: materias optativas Optativas Optativa Código UPM 615000132 Nombre en inglés Information Systems Audit Datos Generales Créditos 6 Curso 3 Curso Académico 2015-16 Período de impartición Septiembre-Enero Idioma de impartición Castellano Otros idiomas de impartición Requisitos Previos Obligatorios Asignaturas Superadas El plan de estudios Grado en Ingenieria del Software no tiene definidas asignaturas previas superadas para esta asignatura. Otros Requisitos El plan de estudios Grado en Ingenieria del Software no tiene definidos otros requisitos para esta asignatura. Conocimientos Previos Asignaturas Previas Recomendadas El coordinador de la asignatura no ha definido asignaturas previas recomendadas. Otros Conocimientos Previos Recomendados No se requieren unos conocimientos previos específicos más allá de los conocimientos y competencias adquiridas en los cursos previos (1º, 2º y 3º) del grado de Ingeniería del Software. GA_61IF_615000132_1S_2015-16 1
Competencias E6. - Capacidad de identificar, evaluar y gestionar los riesgos potenciales asociados que pudieran presentarse G9. - Razonamiento crítico I18 - Conocimiento de la normativa y la regulación de la informática en los ámbitos nacional, europeo e internacional Resultados de Aprendizaje RA515 - Conocer los conceptos básicos de auditoría de los sistemas de información de acuerdo a normas y estándares nacionales e internacionales RA486 - Realiza un análisis de riegos identificando activos, amenazas e impacto según una metodología establecida RA516 - Planifica y diseña los roles, procesos y actividades de un programa de Auditoría así como de los instrumentos, cuestionarios y checklists que se utilizan en un auditoría. RA517 - Elabora informes de auditoría basados en hallazgos y sus evidencias, diferenciados evidencias de opiniones, analizando resultados y proponiendo mejoras a las deficiencias detectadas. RA518 - Realiza juicios y toma decisiones de forma razonada: analiza, interpreta y evalúa información y argumentos desde distintos puntos de vista. GA_61IF_615000132_1S_2015-16 2
Profesorado Profesorado Nombre Despacho e-mail Tutorías Gallardo Perez, Carolina (Coordinador/a) Sanchez Lopez, Jesus Rivero Laguna, Jesus carolina.gallardop@upm.es jesus.sanchezl@upm.es jesus.rivero@upm.es Fernandez Aller, Maria Celia mariacelia.fernandez@upm.es Nota.- Las horas de tutoría son orientativas y pueden sufrir modificaciones. Se deberá confirmar los horarios de tutorías con el profesorado. GA_61IF_615000132_1S_2015-16 3
Descripción de la Asignatura La asignatura presenta los conceptos fundamentales de sistemas de gestión de la seguridad informática (SGSI), análisis y gestión de riesgos y auditoría informática. Se estudian la metodología, técnicas y herramientas más habituales de la auditoría informática, así como la normativa y el código deontológico del auditor. Se cierra la asignatura con un ciclo de conferencias de profesionales de reconocido prestigio del área de la auditoría informática. La asignatura adopta un enfoque eminentemente normativo y profesional. Temario 1. Introducción a la Auditoría de los SSII 1.1. Introducción 1.2. La organización y su sistema de información. 2. El sistema de gestión de la seguridad de la información 2.1. SGSI: ISO 27001 2.2. Controles: ISO 27002 2.3. Esquema Nacional de Seguridad 3. Análisis y Gestión de Riesgos 3.1. Método Magerit 3.2. Herramientas de apoyo 4. Metodología de la auditoría en los SSII 4.1. Técnicas y herramientas 4.2. Informe de auditoría 4.3. Códigos deontológicos 5. Aspectos legales relacionados con la seguridad de la información 5.1. Protección de datos 5.2. Cuestiones de derecho relevantes para la seguridad de la información 6. Áreas de actuación de la Auditoría y Certificaciones 6.1. Áreas de actuación 6.2. Certificaciones internacionales de referencia: CISA 6.3. Certificaciones profesionales afines 7. Perfiles profesionales 7.1. Conferencias y seminarios GA_61IF_615000132_1S_2015-16 4
Cronograma Horas totales: 45 horas Horas presenciales: 45 horas (28.8%) Peso total de actividades de evaluación : 100% Peso total de actividades de evaluación sólo prueba final: 100% Semana Actividad Prensencial en Aula Actividad Prensencial en Laboratorio Otra Actividad Presencial Actividades Evaluación Semana 1 Semana 2 Semana 3 Semana 4 T1. Introducción. Duración: 02:00 Actividades prácticas Tema 1 Duración: 01:00 T2. SGSI Duración: 02:00 Actividades prácticas ISO27k Duración: 01:00 T2. SGSI Duración: 02:00 Actividades prácticas ENS Duración: 01:00 T3. AGR Duración: 02:00 Actividades prácticas Duración: 01:00 Actividades Tema 1 Trabajos SGSI Test tema 2 GA_61IF_615000132_1S_2015-16 5
Semana 5 Semana 6 Semana 7 Semana 8 Semana 9 T3. AGR Duración: 01:30 Actividades prácticas Duración: 01:30 T3. AGR Duración: 01:30 Actividades prácticas Duración: 01:30 T4. Aspecto legales T5. Metodología de la auditoría T5. Metodología de la auditoría Test tema 3 Trabajos AGR (supuesto práctico) Test tema 4 Trabajo LOPD Actividades Auditoria Caso Práctico TG: Técnica del en Grupo Test tema 5 GA_61IF_615000132_1S_2015-16 6
Semana 10 T6. Áreas de actuación Semana 11 T6. Áreas de actuación Semana 12 T7. Perfiles profesionales Actividades Certificaciones y Áreas de actuación Semana 13 T7. Perfiles profesionales Semana 14 T7. Perfiles profesionales Trabajo Seminarios y Conferencias Actividad presencial Semana 15 Examen (Eval Cont) Actividad presencial Semana 16 Semana 17 Examen Solo prueba final Evaluación sólo prueba final Actividad presencial Nota.- El cronograma sigue una planificación teórica de la asignatura que puede sufrir modificaciones durante el curso. Nota 2.- Para poder calcular correctamente la dedicación de un alumno, la duración de las actividades que se repiten en el tiempo (por ejemplo, subgrupos de prácticas") únicamente se indican la primera vez que se definen. GA_61IF_615000132_1S_2015-16 7
Actividades de Evaluación Semana Descripción Duración Tipo evaluación Técnica evaluativa Presencial Peso Nota mínima Competencias evaluadas 1 Actividades Tema 1 00:00 Evaluación 3 Trabajos SGSI 00:00 Evaluación 3 Test tema 2 00:00 Evaluación 6 Trabajos AGR (supuesto práctico) 00:00 Evaluación 6 Test tema 3 00:00 Evaluación 7 Trabajo LOPD 00:00 Evaluación 7 Test tema 4 00:00 Evaluación 8 Actividades Auditoria 00:00 Evaluación 9 Caso Práctico 00:00 Evaluación 9 Test tema 5 00:00 Evaluación TG: Técnica del en Grupo No 4% No 8% G9., I18 No 4% No 8% E6. No 4% No 5% I18 No 4% No 4% I18, G9. No 7% 5 / 10 E6., I18, G9. No 4% 12 Actividades Certificaciones y Áreas de actuación 00:00 Evaluación No 6% I18 14 Trabajo Seminarios y Conferencias 00:00 Evaluación Sí 12% 15 Examen (Eval Cont) 03:00 Evaluación 17 Examen Solo prueba final 00:00 Evaluación sólo prueba final Sí 30% 5 / 10 Sí 100% 5 / 10 G9., I18, E6. Criterios de Evaluación El proceso de enseñanza-aprendizaje contempla un mecanismo de evaluación. Para poder aprobar la asignatura por evaluación, se debe obtener una nota igual o superior a 5. Se establecen los siguientes requisitos y notas mínimas: Actividad Peso Requisitos y notas mínimas Resultado de aprendizaje Teoría 30% 5 RA_515 GA_61IF_615000132_1S_2015-16 8
Trabajo personal Asistencia 10% -- 60% Obtener una calificación media igual o superior a 5 en el conjunto de las actividades propuestas. Entrega de al menos un 60% de las actividades propuestas RA_486, RA_515, RA_516, RA_517, RA_518 De manera más concreta, dentro del Trabajo Personal, se asocian los RRAA se evalúan de la siguiente forma: Trabajos SGSI: RA_515, RA_516, RA_518 Trabajo AGR: RA_486 Trabajo LOPD: RA_515, RA_516 Actividades auditoría: RA_515, RA_516 Caso Práctico: RA_516, RA517, RA_518 Actividades Certificaciones: RA_515, RA_516 Evaluación por Examen Final Para aprobar la asignatura se requiere obtener una calificación igual o superior a 5 en el examen final. El examen final evalúa todos los RRAA (RA_486, RA_515, RA_516, RA_517, RA_518). Los alumnos que decidan no seguir el sistema de evaluación deberán comunicarlo al coordinador de la asignatura en un plazo de dos meses desde el inicio de la actividad docente. La fecha límite será el 10 de noviembre de 2015. La evaluación de la asignatura se realizará mediante un examen final escrito que incluye tanto preguntas cortas y temas de desarrollo como simulación de casos prácticos. GA_61IF_615000132_1S_2015-16 9
Recursos Didácticos Descripción Tipo Observaciones M. Piattini y E. del Peso, Emilio. 2000. Auditoría Informática: Un enfoque práctico. 2ª Edición. Madrid: Ra-ma. S. Senft y F. Gallegos. 2009. Information Technology Control and Audit. 3rd Edition. Boston (MA): Auerbach. J. Sánchez, C. Gallardo, P. Martínez, C. Fernández. 2010. Análisis y Gestión de Riesgos en los Sistemas de Información. 2010. Servicio de Publicaciones? EUI. Bibliografía Bibliografía Bibliografía MAGERIT Bibliografía Ministerio de Administraciones Publicas. 2006. Magerit - Metodología para la Gestión de Riesgos Tecnológicos, versión 2. Madrid Materiales de la asignatura Recursos web Material de elaboración propia así como recursos didácticos de la plataforma de teleformación on-line (https://moodle.upm.es/titulaciones/oficiales). Aula-laboratorio Equipamiento Aula de la EUI con al menos un PC por alumno para que puedan realizar las prácticas y cañón de video para poder guiar dicha realización Otra Información Se trata de una asignatura optativa donde se evalúa la competencia transversal G9 Razonamiento Crítico así como la competencia I18 Conocimiento de la normativa y la regulación de la informática en los ámbitos nacional, europeo e internacional. Las actividades para evaluar la competencia G9 serán los trabajos planteados en los temas 2, 4 y 5 que consistirán en la realización de trabajos prácticos, bien de manera individual bien en equipo que culminan con la realización de un informe final sobre los casos planteados donde el alumno deberá justificar las conclusiones presentadas acerca del trabajo práctico que incluye los siguientes apartados: a) análisis de riesgos, b) propuesta de planes directores para gestionar el riesgo; y c) informe de auditoría. Todos estos trabajos evalúan de manera natural tanto la competencia G9 como la I18). El peso de la competencia transversal en la asignatura es de (aproximadamente) el 20%. GA_61IF_615000132_1S_2015-16 10