Guía Docente 2013-14 Auditoria y Peritaje Audit and computer expert witness Grado en Ingeniería Informática Presencial Rev. 10 Universidad Católica San Antonio de Murcia Tlf: (+34) 902 102 101 info@ucam.edu www.ucam.edu
29/04/2014 13:03 Índice Auditoria y Peritaje...3 Breve descripción de la asignatura...3 Requisitos Previos...4 Objetivos...4 Competencias...5 Competencias transversales... 5 Competencias específicas... 5 Metodología...6 Temario...6 Programa de la enseñanza teórica... 6 Programa de la enseñanza práctica... 8 Relación con otras materias...8 Sistema de evaluación...8 Convocatoria de Febrero/Junio:... 8 Convocatoria de Septiembre:... 8 Bibliografía y fuentes de referencia...8 Bibliografía básica... 8 Bibliografía complementaria... 8 Web relacionadas...9 Recomendaciones para el estudio y la docencia...9 Material necesario...9 Tutorías...9 2
Auditoria y Peritaje Módulo: Ejercicio Profesional. Materia: Auditoría y peritaje. Carácter: Obligatorio. Nº de créditos: 4,5 ECTS. Unidad Temporal: 4º curso 1º semestre Profesor de la asignatura: Javier Cao Avellaneda (web profesorado). Email: jcao@ucam.edu Horario de atención a los alumnos/as: Lunes y Jueves de 13:00 a 14:00 Profesor coordinador de curso: Alberto Caballero Martínez Breve descripción de la asignatura La asignatura de ha estructurado en tres grandes ejes: la auditoría de sistemas de información, las normas y estándares existentes en materia de seguridad de la información y el peritaje informático. En la primera área temática, la auditoría, se describirá los diferentes tipos que pueden realizarse sobre los sistemas de información, los objetivos perseguidos por cada una de ellas así como las herramientas y técnicas utilizables durante el proceso. En relación con el ejercicio profesional de esta actividad se describirá la metodología de trabajo que debe utilizarse tanto para la realización de las actividades de auditoría así como los requisitos formales a la hora de realizar la toma de datos, revisión de elementos, elaboración de informes finales y exposición de resultados. En la segunda área temática, las normas y estándares se describirán cómo están siendo aplicados a la informática los marcos de gestión basados en la mejora continua, entrando a profundizar sobre las norma internacional que actualmente está siendo implantada por las organizaciones para lograr la gestión y control de los sistemas de información: ISO 27001, que especifica los requisitos de un sistema de gestión de la seguridad de la información. En la tercera área temática, el peritaje informático se describirá la labor del perito informático, los diferentes tipos de peritaje que existen. En relación con el ejercicio profesional de esta actividad se describirá la metodología de trabajo que debe utilizarse tanto para la realización de las actividades de peritaje como los requisitos formales a la hora de realizar la toma de datos, análisis de las pruebas, elaboración de informes y dictámenes periciales y la exposición de resultados en juicio. Los alumnos aprenderán que tareas son necesarias en las diferentes etapas en relación con la planificación, preparación, ejecución y evaluación de resultados, así como las capacidades que el perito debe mostrar en las recogidas de información y presentación de resultados o conclusiones. 3
Brief Description The subject has been structured into three main areas: information systems auditing, standards and existing standards on information security and computer expertise. In the first area, the audit, describe the different types that can be performed on information systems, the objectives of each and the tools and techniques used during the process. Regarding the practice of this activity will describe the methodology that should be used both for carrying out audit activities and formal requirements when conducting data collection, review of items, preparation of final reports and presentation of results. In the second area, rules and standards describing how they are being applied to data management frameworks based on continuous improvement, going into depth on the international standard currently being deployed by organizations to achieve management and control Information systems: ISO 27001, which specifies the requirements of a system management information security. The third topic area, the computer expert will describe the work of the expert computer, different types of expertise that exist. Regarding the practice of this activity will describe the methodology that should be used both for carrying out expert activities as the formal requirements when performing data collection, analysis, testing, reporting and expert reports and the presentation of results at trial. Students will learn that tasks are required at different stages in relation to the planning, preparation, implementation and evaluation of results and the capabilities that the expert must show on the collected information and presentation of results or conclusions. Requisitos Previos Conocimiento de la legislación vigente en materia de protección de datos de carácter personal. Objetivos 1. Proporcionar al alumno los conocimientos y habilidades necesarios para poder desempeñar en el futuro las actividades relacionadas con la auditoría de sistemas de información y el peritaje informático, de acuerdo a los diferentes marcos de revisión y control interno que existen en la actualidad. 2. Describir las metodologías de trabajo utilizadas para planificar y realizar auditorías de cumplimiento de normas y requisitos legales. 3. Dotar de las habilidades necesarias para poder realizar las auditorías del cumplimento de las medidas de seguridad establecidas por el R.D. 1720/2007 para garantizar el buen funcionamiento de las medidas de seguridad implantadas en sistemas de información que participen en un tratamiento de datos de carácter personal según los requisitos de la Ley 15/1999 de Protección de Datos de Carácter Personal. 4. Describir la función del perito informático y dar a conocer la metodología de trabajo a utilizar en relación con el ejercicio profesional de esta actividad así como los requisitos formales a la hora de realizar la toma de datos, análisis de las pruebas, elaboración de informes y dictámenes periciales y la exposición de resultados en juicio. 4
Competencias Competencias transversales 1. Capacidad de análisis y síntesis. 3. Capacidad para trabajar en equipo y habilidades en las relaciones interpersonales. 5. Razonamiento crítico. 7. Adaptación a nuevas situaciones. Competencias específicas 12. Aprender de manera autónoma nuevos conocimientos y técnicas adecuadas para la concepción, el desarrollo o la explotación de sistemas informáticos. 13. Comunicar de forma efectiva, tanto por escrito como oral: conocimientos, procedimientos, resultados e ideas relacionadas con las TIC y, concretamente de la Informática, conociendo su impacto socioeconómico. 16. Diseñar, desarrollar, evaluar y asegurar la accesibilidad, ergonomía, usabilidad y seguridad de los sistemas, aplicaciones y servicios informáticos, así como de la información que proporcionan, conforme a la legislación y normativa vigentes. 5
Metodología Metodología Horas Clases magistrales 22 Laboratorio 6 Tutorías 9 Exposición de trabajos 5 Exámenes 3 Estudio personal 20 Preparación trabajos 37.5 Actividades aprendizaje virtual 10 Horas de trabajo presencial 45 (40 %) Horas de trabajo no presencial 67.5 (60 %) TOTAL 112.5 45 67.5 Temario Programa de la enseñanza teórica Tema 1: Informática Y Control Interno 1. Introducción. 2. Gobierno TI 3. Necesidades de control interno. 4. Esquemas de gestión y control interno. 5. La función de auditoría de sistemas de información. Tema 2: Auditoría De Sistemas De Información 1. Introducción 2. Definiciones y conceptos 6
3. Principios de auditoría 4. La evidencia de auditoria 5. Código deontológico del auditor 6. Metodología para la realización de una auditoría: pre-auditoría, ejecución y entrega de resultados Tema 3: Auditoría establecida por el r.d. 1720/2007. 1. Introducción a la LOPD 2. La auditoría obligatoria establecida por la LOPD. 3. Preparación de la pre-auditoría. 4. Preparación de los programas de auditoría para auditar el cumplimiento de las medidas de seguridad. 5. Informe de auditoría del R.D. 1720/2007. Tema 4: Peritaje Informático 1. Introducción. 2. El perito. 3. Tipos de peritaciones. 4. Metodología para la realización de una peritación. 5. Auditar versus peritar. 6. Delitos, sanciones y faltas del perito. Tema 5: Gestión de evidencias digitales 1. Valoración del escenario 2. Procesos de recogida de evidencias digitales. 3. Custodia y conservación. 7
Practica 1. Planificación de una auditoria Programa de la enseñanza práctica Elaboración de una planificación, cronograma de auditoría. Diseño de los papeles de trabajo y cuestionarios para la auditoría del Titulo VIII del R.D. 1720/2007. Relación con otras materias Deontología y Legislación Seguridad y Administración de Sistemas de Información Soluciones Informáticas para la Empresa Control y Mejora de Procesos Sistema de evaluación Convocatoria de Febrero/Junio: - Parte teórica: 60% del total de la nota. - Parte práctica: 40% del total de la nota. Convocatoria de Septiembre: - Parte teórica: 60 del total de la nota. - Parte práctica: 40% del total de la nota. Bibliografía y fuentes de referencia Bibliografía básica Lacasta, Sanmartí, Velasco Auditoría de la protección de datos. 1ª ed. Barcelona, Bosch. 2009. ISBN: 9788497904940 García, X. y Melendi D. La peritación informática: un enfoque práctico. 1ª ed. Oviedo, C.O.I.I.P.A. 2008. ISBN: 978-84-612-4594-9 Bibliografía complementaria Del Peso, E. Peritajes informáticos. 2ª ed. Madrid, Diaz de Santos. 2001. Piattini, M. y Del Peso, E. Auditoría informática: Un enfoque práctico. 2ª ed. Madrid, Ra-Ma. 2001. 8
AENOR. Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. UNE-ISO/IEC 27001:2007). Madrid: AENOR, 2007. AENOR. Tecnología de la información. Gestión del servicio. Parte 1: Especificaciones. UNE- ISO/IEC 20000-1:2007. Madrid: AENOR, 2007. Web relacionadas Instituto Nacional de Tecnologías de la comunicación S.A: (http://www.inteco.es) ISACA: (http://www.isaca.org/template.cfm?section=espanol) Consejo Superior de Informática. Ministerio de Administraciones Públicas: (http://www.csi.map.es/) Recomendaciones para el estudio y la docencia España. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Boletín Oficial del Estado, 14 de diciembre de 1999, n. 298, p. 43088 43099. España. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Boletín Oficial del Estado, 19 de enero de 2008, n. 17, p. 4103-4136. RFC 3227 Guidelines for evidence collection and archiving. ISO/IEC 27037:2012 Information technology Security techniques Guidelines for identification, collection, acquisition and preservation of digital evidence Material necesario Para el normal desarrollo de la asignatura el alumno necesitará: El material proporcionado por el profesora a través del campus virtual. Acceso a la bibliografía recomendada Ordenador con acceso a Internet Tutorías Se propondrán ejercicios para resolver por grupos, así como presentaciones orales de los mismos. La valoración dependerá de la calidad general del trabajo, las habilidades y actitudes expuestas. También se resolverán dudas planteadas por los alumnos. 9