Auditoria forense de la Ciberdelincuencia Máster en Ciberdelincuencia 2017-18
GUÍA DOCENTE Asignatura: Auditoria forense de la Ciberdelincuencia Titulación: Master en Ciberdelincuencia Curso Académico: 2017-18 Carácter: Obligatoria Idioma: Castellano Modalidad: semipresencial Créditos: 6 Curso: 1º Semestre: 2º Profesores/Equipo Docente: D. Juan Ignacio Ruiz Zorrilla 1. COMPETENCIAS Y RESULTADOS DE APRENDIZAJE 1.1. Competencias COMPETENCIAS GENERALES CG2.- El alumno debe ser capaz de entender cómo su profesión afecta a otros departamentos de la empresa o institución en el ámbito de la ciberdelincuencia. CG3.- El alumno debe dominar las técnicas de lucha contra la ciberdelincuencia suficientes en el ámbito de la ciberdelincuencia que le permitan obtener y analizar información, evaluar su relevancia y validez, sintetizarla y adaptarla al contexto. CG4.- El alumno debe ser capaz de tratar situaciones complejas e impredecibles de forma sistemática y creativa, con juicio crítico, con información incompleta, asumiendo riesgos, tomando decisiones y comunicándolas a una audiencia profesional del ámbito de la ciberseguridad y ciberdelincuencia CG5.- El alumno debe ser capaz de comunicarse correctamente tanto oralmente como por escrito, utilizando la tecnología más actual, en el ámbito de la ciberseguridad y ciberdelincuencia. CG6.- El alumno debe ser capaz de actuar de forma autónoma en la planificación e implementación de proyectos y decisiones sobre prevención y actuación frente a la ciberdelincuencia. CG8.- El alumno, en el ámbito de la actuación frente a la ciberdelincuencia, debe ser capaz de reconocer la necesidad del cambio y debe tener la habilidad necesaria para gestionarlo. CG9.- El alumno debe ser capaz de actuar de forma autónoma en un marco de libertad responsable, en el ámbito de la actuación frente a la ciberdelincuencia. CG10.- El alumno debe ser capaz de aportar valor a la empresa o institución mediante su creatividad y participación en la actuación frente a la ciberdelincuencia COMPETENCIAS ESPECÍFICAS CE1- Analizar y desarrollar sistemas de seguridad web. CE2- Asesorar sobre el cumplimiento de la legislación reguladora de la protección de datos en materia de seguridad CE3 - Prevenir fraudes en comercio electrónico. CE5- Adquirir una visión general e integrada del asesoramiento en seguridad informática, que permita la colaboración con otros departamentos de la entidad. [2]
CE9 - Comprender el funcionamiento, características y nivel de riesgo de los servicios de las empresas y establecer mecanismos de protección. CE10- Diseñar un plan de seguridad adaptado a las necesidades del entorno y su perfil de riesgos. CE12- Realizar, presentar y defender, una vez obtenidos todos los créditos del plan de estudios, un ejercicio original ante un tribunal universitario, consistente en un proyecto de investigación en el campo de la ciberdelincuencia en el que se sinteticen las competencias adquiridas en las enseñanzas. 1.2. Resultados de aprendizaje Que los estudiantes hayan demostrado: Adquirir las capacidades necesarias para obtener, mantener y procesar evidencias digitales utilizando procedimientos y herramientas específicas. Desarrollar técnicas y utilizar herramientas que exploten al máximo tus habilidades y conocimientos para la realización de pruebas de intrusión a sistemas y redes. Lograr obtener un conocimiento profundo de la gestión de la ciberseguridad, siendo capaz de explicar y mitigar los ataques más communes Comprender y dominar las herramientas monitorización y correlación de eventos de seguridad, mediante el estudio, la elaboración e interpretación de informes reales. Realizar desarrollos en programación segura y mejorar tus habilidades en auditoría de seguridad en el análisis y evaluación del código fuente de las aplicaciones. Realizar auditorías de seguridad, analizando los hechos y la información de seguridad recopilada, y aplicará la ingeniería inversa y la ciberinteligencia. Desarrollar un correcto análisis forense. Saber aplicar la seguridad ofensiva desde las metodologías de un ciberataque. 2. CONTENIDOS 2.1. Requisitos previos Ninguno. 2.2. Descripción de los contenidos El Módulo consta de cuatro temas: I. Introducción al concepto de Auditoria y Desarrollo de la Auditoria de Sistemas de Información. II. Prevención de la Ciberdelincuencia en base a la Gestión de Riesgos y al Control Interno. III. Auditorias especificas de lucha contra la Ciberdelincuencia. IV. Análisis de Seguridad En el Módulo 5 Auditoria y Ciberdelincuencia Conoceremos la misión de Auditoria en las Organizaciones y los distintos trabajos que se llevan a cabo, profundizando en los relacionados con los Sistemas de Información, lo que permitirá desarrollar trabajos específicos de Auditoria de lucha contra la Ciberdelincuencia. En este bloque estudiaremos elementos fundamentales en la prevención y detección de la Ciberdelincuencia como la Gestión de Riesgos y el Control Interno, pasando de conceptos genéricos como el Buen Gobierno a conceptos muy específicos como análisis forense, análisis de malware o test de penetración. El Tema I se dedica a explicar que es Auditoria, su misión en las Organizaciones y el rol de Auditoria con base en Estándares y Guías, que son reconocidas internacionalmente. Se profundizará en la Auditoria de Sistemas Información, como área con mayor relación con la [3]
Ciberdelincuencia, revisando los aspectos fundamentales de la actividad: tipos de trabajos, evidencias, técnicas asistidas por ordenador, diligencia profesional, irregularidades, ciclo de vida, privacidad, así como otros aspectos significativos. En el Tema II se revisará los aspectos fundamentales en la prevención y detección de toda clase de delitos, entre los que se encuentran los relacionados con la Ciberdelincuencia. En base a mejores prácticas internacionales se comentarán Modelos para la Gestión de Riesgos (identificar, evaluar y gestionar los riesgos de forma eficaz) y el establecimiento de un efectivo Control Interno, que permita garantizar entre otros objetivos la Salvaguarda de activos. El Tema III concreta procedimientos de trabajo para realizar auditorias especificas en la lucha contra la Ciberdelincuencia, como por ejemplo: procedimiento de virus y otros códigos maliciosos, cortafuegos, análisis de vulnerabilidades, control de cambios en software o procedimiento de gestión de claves. Finalmente en el Tema IV, se bajará un escalón en el nivel de detalle de los trabajos y se realizarán análisis específicos de Ciberseguridad, entre los que se encuentran los análisis forenses, de malware, caja blanca, caja negra, o fuentes abiertas. Al finalizar el estudio de estos cuatro temas el alumno dispondrá de información suficiente para poder realizar trabajos de auditoria conforme a normas internacionales lo que le permitirá que su trabajo sea reconocido por terceros, dentro y fuera de las Organizaciones. También conocerán que información se puede obtener de los informes de auditoria realizados por Auditores Internos y Externos. Finalmente podrán elaborar mapas de riesgo y establecer controles que permitan mitigar los riesgos identificados relacionados con la Ciberdelincuencia. Contenido detallado Presentación de la asignatura. I. Introducción al concepto de Auditoria y Desarrollo de la Auditoria de Sistemas de Información. II. Prevención de la Ciberdelincuencia en base a la Gestión de Riesgos y al Control Interno. III. Auditorias específicas de lucha contra la Ciberdelincuencia. IV. Análisis de Seguridad Sesiones presenciales Módulo 5 Tutorías Módulo 5 Autoevaluación Módulo 5 2.3. Actividades Dirigidas Teoría: Los contenidos didácticos de la asignatura se insertan en el Campus Virtual Avanzado, en el apartado de Itinerarios formativos. Estos contenidos se completan con presentaciones y gráficos que hacen más amena su lectura y su estudio por los alumnos. [4]
Tutorías: Seguimiento personalizado del alumno aprovechando los recursos tecnológicos del Campus Virtual Estudio individual y prácticas: Lectura y asimilación de los contenidos didácticos y recensiones de artículos, documentos y trabajos de investigación de interés y actualidad. Participación en el Foro de debate y lectura, análisis y resolución de los test de evaluación y casos prácticos. 3. SISTEMA DE EVALUACIÓN 3.1. Sistema de calificaciones El sistema de calificaciones finales se expresará numéricamente del siguiente modo: 0-4,9 Suspenso (SS) 5,0-6,9 Aprobado (AP) 7,0-8,9 Notable (NT) 9,0-10 Sobresaliente (SB) La mención de "matrícula de honor" podrá ser otorgada a alumnos que hayan obtenido una calificación igual o superior a 9,0. 3.2. Criterios de evaluación Convocatoria ordinaria Modalidad: Semipresencial y A distancia Sistemas de evaluación Porcentaje Examen final o trabajo final presencial 50% Participación en las actividades programadas 15% Presentación de trabajos y proyectos (Prácticas individuales y trabajo en equipo) 35% Convocatoria extraordinaria Modalidad: Semipresencial y A distancia Sistemas de evaluación Porcentaje Presentación de trabajos y proyectos (Prácticas individuales y trabajo en equipo) 20% Examen final o trabajo final presencial 80% 3.3. Restricciones Calificación mínima Para poder hacer media con las ponderaciones anteriores es necesario obtener al menos una calificación de 5 en la prueba final. Asistencia El alumno que, injustificadamente, deje de asistir a más de un 25% de las clases presenciales podrá verse privado del derecho a examinarse en la convocatoria ordinaria. Normas de escritura Se prestará especial atención en los trabajos, prácticas y proyectos escritos, así como en los [5]
exámenes tanto a la presentación como al contenido, cuidando los aspectos gramaticales y ortográficos. El no cumplimiento de los mínimos aceptables puede ocasionar que se resten puntos en dicho trabajo. 3.4. Advertencia sobre plagio La Universidad Antonio de Nebrija no tolerará en ningún caso el plagio o copia. Se considerará plagio la reproducción de párrafos a partir de textos de auditoría distinta a la del estudiante (Internet, libros, artículos, trabajos de compañeros ), cuando no se cite la fuente original de la que provienen. El uso de las citas no puede ser indiscriminado. El plagio es un delito. En caso de detectarse este tipo de prácticas, se considerará Falta Grave y se podrá aplicar la sanción prevista en el Reglamento del Alumno. 4. BIBLIOGRAFÍA Bibliografía básica y textos legales Marco Internacional para la Práctica Profesional de la Auditoria Interna. Enero 2016. Instituto de Auditores Internos. Three Lines of Defence. ECIIA Gestión de Riesgos Corporativos. Marco Integrado. 2004. Committee of Sponsoring Organitatios (COSO) Marco para la Auditoria de los Sistemas de Información. 2009. ISACA. Manual de Preparación al Examen CISA 2014. ISACA. Prepara CIA. Manual para la preparación del examen CIA. Instituto de Auditores Internos. Control Interno Marco Integrado 2013. COSO. Objetivos de control para la información y tecnologías relacionadas COBIT. ISACA. Fraud 101. Techniques and Strategies for Detection. Howard R. Davia. 5. DATOS DEL PROFESOR Nombre y Apellidos Departamento Titulación académica Correo electrónico Localización Tutoría Juan Ignacio Ruiz Zorrilla Derecho y Seguridad Licenciado en Ciencias Económicas y Empresariales juanignacio.rz@telefonica.net Campus de Princesa. Sala de Profesores Contactar con el profesor previa petición de hora por e-mail [6]
Licenciado en Ciencias Económicas y Empresariales con Postgrado PDG en el IESE. Poseedor de certificaciones profesionales internacionalmente reconocidas como: CIA- Certified Internal Auditor y CFE- Certified Fraud Examiner. Durante los últimos 15 años ha sido el máximo responsable de la Función de Auditoria Interna en distintas empresas: (2002-2007) Grupo TPI/ YELL; (2007-2012) Telefónica España; (2012-abril 2016) Corporativo de todo el Grupo Telefónica con actividades en 25 países. Experiencia docente, investigadora y/o profesional, así como investigación del profesor aplicada a la asignatura, y/o proyectos profesionales de aplicación. En la última etapa como responsable de Auditoria Interna para el Grupo Telefónica ha reportado a la Comisión de Auditoría y Control los resultados de su actividad. Así mismo ha sido miembro del Comité de Principios de Actuación; miembro del Comité de Seguridad del Grupo Telefónica y miembro del Comité de Prevención de Riesgos Penales. Desde 1997 participa frecuentemente como ponente en jornadas internacionales de América y Europa en temas de Auditoria, Gobierno Corporativo, Riesgos, Control Interno y Cumplimiento. Actualmente es consejero de la empresa AUDIOLIS Vicepresidente del Instituto de Auditores Internos de España. Donde también desarrolla la actividad como profesor titular de la formación para la obtención de la Certificación Internacional de Auditor Interno- CIA. Miembro de la Dirección de la Confederación Europea de Institutos de Auditores Internos ECIIA, que con sede en Bruselas, agrupa a Institutos de Auditoria de 37 países Europeos. Secretario General del Instituto para el Cumplimiento Normativo y la Prevención del Fraude. Profesor en el Master de Ciberdelincuencia de la Universidad Nebrija. [7]