Guias Docentes

  GUÍA DOCENTE DE LA ASIGNATURA: GESTIÓN DE AUDITORÍA Y SEGURIDAD    
1. Datos generales
Asignatura: GESTIÓN DE AUDITORÍA Y SEGURIDAD Código: 310608
Tipología: OBLIGATORIA Créditos ECTS: 6
Grado: 2327 - MASTER UNIVERSITARIO EN INGENIERÍA INFORMÁTICA (AB) Curso académico: 2017-18
Centro: (604) E.S. DE INGENIERIA INFORMATICA ALBACETE Grupo(s): 10 11
Curso: 1 Duración: Primer cuatrimestre
Lengua principal de impartición: Español Segunda lengua: Inglés
Uso docente de otras lenguas: English Friendly: No
Página Web: https://campusvirtual.uclm.es/login/index.php
Nombre del profesor: ENRIQUE ARIAS ANTUNEZ - Grupo(s) impartido(s): 10 11
 
Despacho Departamento Teléfono Correo electrónico Horario de tutoría
Agrupación Politécnica/ Desp. 0.A.8 SISTEMAS INFORMÁTICOS 2497 enrique.arias@uclm.es The tutoring schedule will be at the Computing Systems Dept. web site:

http://www.dsi.uclm.es/pers.php?codpers=earias
2. Requisitos previos

No se han establecido.

3. Justificación en el plan de estudios, relación con otras asignaturas y con la profesión
Esta asignatura pertenece a la materia de "Calidad y Seguridad", y ofrece al alumno una amplia visión de los conceptos de auditoría y seguridad, así como el papel que estos conceptos juegan en los sistemas de información de las empresas. Esta asignatura se entrelaza con la asignatura de “Gestión, Certificación y Evaluación de Sistemas de Información” para ofrecer una visión completa de las competencias relativas a garantizar la calidad y la seguridad (como elemento destacado de calidad) de las tecnologías de la información.
Mediante Gestión de Auditoría y Seguridad se pretende dar conocer los aspectos relativos a la auditoría y seguridad de los sistemas y tecnologías de información, contemplando tanto los aspectos legislativos como los normativos, entre otras dimensiones.
En la profesión de Ingeniería Informática, las competencias relativas con la gestión de la auditoría y seguridad son de las más demandadas y reconocidas, desde el gobierno y gobernanza de las TI, hasta la creación y gestión de Sistemas de Gestión de la Seguridad de la Información (SGSI), la realización de análisis y gestión de riesgos, así como análisis de su impacto en las empresas. La puesta en marcha de departamentos de auditoría y gestión de la seguridad (Control Interno), así como afrontar otros retos en temas emergentes de gestión de la auditoría y la seguridad en las Ciudades Inteligentes, llegando a entender normativa existente relativa a ciberseguridad, infraestructuras críticas, planes de contingencia y recuperación ante desastres, también son actividades clave para esta profesión.
4. Competencias de la titulación que la asignatura contribuye a alcanzar
Competencias propias de la asignatura
CE6 Capacidad para asegurar, gestionar, auditar y certificar la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y productos informáticos
INS3 Capacidad de gestión de la información
INS4 Capacidad de resolución de problemas aplicando técnicas de ingeniería
INS5 Capacidad para argumentar y justificar lógicamente las decisiones tomadas y las opiniones
PER1 Capacidad de trabajo en equipo
PER2 Capacidad de trabajo en equipo interdisciplinar
PER4 Capacidad de relación interpersonal
PER5 Reconocimiento a la diversidad, la igualdad y la multiculturalidad
SIS1 Razonamiento crítico
SIS2 Compromiso ético
SIS3 Aprendizaje autónomo
SIS9 Tener motivación por la calidad
UCLM2 Capacidad para utilizar las Tecnologías de la Información y la Comunicación
UCLM4 Compromiso ético y deontología profesional
5. Objetivos o resultados de aprendizaje esperados
Resultados propios de la asignatura
Realizar auditorías de la dirección de informática en base a las normas y estándares existentes
Realizar auditorías de seguridad de los sistemas en base a las normas y estándares existentes
Evaluar y certificar la seguridad de los sistemas software en base a las normas y estándares existentes, así como a los modelos de madurez de la seguridad más adecuados
Planificar, poner en marcha y explotar departamentos responsables de las tareas de auditoría, seguridad y gestión de la calidad en las empresas
6. Temario / Contenidos
 Tema 1 Introducción a la Gestión de la Auditoría y la Seguridad
 Tema 2 Introducción a la Seguridad y Adutoría de los Sistemas de Información
 Tema 3 GRC: Gobernanza, Gestión del Riesgo y Cumplimiento. Grado de Madurez frente al riesgo.
 Tema 4 Gestión de la Auditoría y la Seguridad en Ciudades Inteligentes
 Tema 4.1  Introducción a las ciudades inteligentes
 Tema 4.2  Ciberseguridad, resiliencia e infraestructuras críticas.
 Tema 4.3  Práctica de Ciberseguridad
 Tema 5 Procesamiento de Eventos Complejos aplicados a IoT
 Tema 5.1  Introducción al Procesamiento de Eventos Complejos
 Tema 5.2  Introducción a Esper
 Tema 5.3  Práctica de Procesamiento de Eventos Complejos
 Tema 6 Introducción al diseño e implementación de un Sistema de Gestión de Sistemas de Información. MAGERIT y PILAR
 Tema 6.4  Práctica: Identificación de activos.
 Tema 6.5  Práctica: Apreciación del riesgo. Creación de una matriz de riesgos. Análisis de riesgos.
 Tema 6.6  Práctica: Selección de Controles. Gestión del Riesgo.
 Tema 7 Informe auditor
 Tema 7.1  ¿Cómo redactar un informe auditor?
 Tema 7.2  Práctica: Auditoría del entorno (físico)
 Tema 8 Introducción a los Planes de Continuidad de Negocio
 Tema 8.1  Planes de Continuidad de Negocio
 Tema 8.2  Planes de Recuperación ante Desastres
 Tema 8.3  Práctica: Planes de Recuperación ante Desastres.
  Comentarios adicionales sobre el temario

A partir del tema 6  nos centramos en la implementación de un SGSI que será la contribución de esta asignatura para el proyecto común. Por tanto, se irá intercalando la teoría con la práctica.

7. Actividades o bloques de actividad y metodología

Actividad formativa Metodología Competencias relacionadas ECTS Horas Ev Ob Rec Descripción
Enseñanza presencial (Teoría) [PRESENCIAL] Combinación de métodos CE6, INS3, INS4, INS5, SIS1, SIS2, SIS9, UCLM4 0.60 15.00 No Esta actividad se desarrolla durante el espacio de tiempo dedicado a grupo grande exponiendo los conceptos fundamentales que serán objeto del examen final. Los alumnos semipresenciales la realizarán bien por videoconferencia, o visionando las grabaciones de la clase a posteriori.
Resolución de problemas o casos [PRESENCIAL] Aprendizaje basado en problemas (ABP) CE6, INS3, INS4, INS5, SIS1, SIS2, SIS9, UCLM4 0.60 15.00 No No competencias los alumnos han de desarrollar en las prácticas un SGSI por lo que inicialmente se propone a los alumnos que identifiquen los activos de una empresa y justifiquen el por qué se considera que son activos. Igualmente, una vez identificados riesgos y salvaguardas, hay que decidir qué hacer para gestionarlas. Esta actividad se desarrolla en el aula en grupo grande.
Los alumnos semipresenciales, deberán enviar un pequeño informe que refleje el trabajo realizado a través de campus Virtual.
Prácticas de laboratorio [PRESENCIAL] Aprendizaje orientado a proyectos CE6, INS3, INS4, INS5, PER1, PER2, PER4, PER5, SIS1, SIS2, SIS3, SIS9, UCLM2, UCLM4 0.90 22.50 Las prácticas de laboratorio se organizan de la siguiente manera, desarrollándose en el laboratorio.
.- Ciberseguridad (2 sesiones)
.- Procesamiento de Eventos Complejos (2 sesiones)
.- Análisis de riesgos (2 sesiones)
.- Selección de salvaguardas (2 sesiones)
.- Auditoría del entorno físico (2 sesiones)
.- Elaboración de un documento de Declaración de aplicabilidad (2 sesiones)
.- Elaboración de un Plan de Recuperación ante Desastres (2 sesiones)
Estas actividades se desarrollarán en el laboratorio, si bien los alumnos semipresenciales dispondrán del software necesario para realizar esta actividad dirigida sin necesidad de desplazamiento. Se podrá dirigir por videoconferencia o por tutoría digital. Los alumnos semipresenciales deberán presentar una breve memoria para que el tutor pueda valorar la buena marcha de las prácticas. Las entregas se realizarán a través de Campus Virtual.
Tutorías individuales [PRESENCIAL] SIS1, SIS2, SIS9, UCLM4 0.30 7.50 No - - Esta actividad se realiza de manera presencial en el despacho del tutor y de manera semipresencial a través de videoconferencia por tutoría digital.
Otra actividad no presencial [AUTÓNOMA] Aprendizaje basado en problemas (ABP) CE6, INS3, INS4, INS5, PER1, PER2, PER4, PER5, SIS1, SIS2, SIS3, SIS9, UCLM2, UCLM4 1.80 45.00 No - - Resolución de problemas y preparación de casos: Esta actividad se realiza fuera de aula y/o laboratorio que consiste en repaso de documentación adicional necesaria para la marcha correcta del grupo grande. Se suele basar en los recursos adicionales proporcionados por el profesor a través de la plataforma Campus Virtual. Además, se han de analizar y estudiar de manera individual normativas como LOPD para comentar en el foro.
Estudio o preparación de pruebas [AUTÓNOMA] Trabajo autónomo CE6, INS3, INS4, INS5, PER1, PER2, PER4, PER5, SIS1, SIS2, SIS3, SIS9, UCLM2, UCLM4 1.80 45.00 No - - PLAB Preparación de prácticas de laboratorio: Previo al desarrollo de las prácticas, los alumnos han de repasar los estándares internacionales en las que estas se basan, así como el funcionamiento de las herramientas que se utilizarán para la realización de las mismas.
Total: 6.00 150.00  
Créditos totales de trabajo presencial: 2.40 Horas totales de trabajo presencial: 60.00
Créditos totales de trabajo autónomo: 3.60 Horas totales de trabajo autónomo: 90.00
Ev: Actividad formativa evaluable
Ob: Actividad formativa de superación obligatoria
Rec: Actividad formativa recuperable
8. Criterios de evaluación y valoraciones

  Valoraciones  
Sistema de evaluación Estud. pres. Estud. semipres. Descripción
Práctico 30.00% 25.00% (LAB)
El trabajo realizado por los estudiantes presenciales en prácticas se valora por observación en el instante en que desarrollan la práctica en el laboratorio, y con entrevista del trabajo realizado en el laboratorio. En el caso de los estudiantes semipresenciales han de entregar una memoria por práctica para vigilar el correcto funcionamiento de las mismas, pero dificulta más la apreciación del profesor siendo por tanto menor el porcentaje.
Elaboración de trabajos teóricos 15.00% 25.00% (INF)
Tanto para los alumnos presenciales como semipresenciales han de presentar, obligatoriamente, un informe de prácticas al final del curso que corresponde al trabajo realizado en el proyecto común (15%). En este apartado de evaluación también se evalúan las entregas correspondientes a tareas relacionadas con la resolución de casos y que sólo han de realizar los semipresenciales. Es por eso que, en semipresenciales, la puntuación es 10% mayor que la del presencial.
Presentación oral de temas 15.00% 10.00% (PRES)
Este apartado de evaluación refleja la presentación del proyecto común desarrollado en el seno del máster, y referido a esta asignatura, así como la participación en los seminarios y diferentes conferencias. En el caso de los presenciales el 10%, igual que en los semipresenciales, corresponde a la presentación del proyecto común. El otro 5% de los presenciales valora la asistencia a las conferencias/seminarios que se imparten en el seno de la asignatura.
Prueba final 40.00% 40.00% (ESC)
Este apartado de evaluación refleja la nota obtenida mediante el examen final, así como el trabajo realizado a lo largo del año en las tareas online. Tanto en presenciales como en semipresenciales el porcentaje de nota es el mismo, y se desglosa 20% examen final y 20% correspondiente a actividades on-line (5% correspondiente a participación en glosario, wiki, foros, etc) y trabajo en equipo (Competencias de trabajo en equipo 15%). Aquellos alumnos que no puedan realizar todo el trabajo común en grupo, deberán, al menos realizar una tarea grupal durante la semana de pruebas de progreso sobre una auditoría del entorno debiendo presentar una memoria sobre dicha auditoría que será evaluad con un 5% del 15% de trabajo en grupo. El resto de nota se podrá obtener si además se realiza esa semana auditoría de las comunicaciones presentando su correspondiente memoria y haciendo presentación grupal de todas las auditorías.
Total: 100.00% 100.00%  

Criterios de evaluación de la convocatoria ordinaria:
Los porcentajes anteriores ya indican la nota que va a tener cada apartado. Además en la descripción se desglosa más en qué se invierte dicho porcentaje.

No obstante, a continuación se detalla más cada una de las partes:

Es deseable que los trabajo se realicen en equipos, salvo excepciones que se realizarán de manera individual. La memoria de verificación sí lo permite. El trabajar o no en equipo será decisión del alumno, aunque el profesor sugerirá que el trabajo se realice en equipo.

Puntuación desglosada por apartados
Concepto Subconcepto Presenciales Semipresenciales
Examen Final 20% 20%
ESC Actividades on-line 5% 5%
Trabajo en equipo 15% 15%

INF Informe Final 15% 15%
Entregas de resolución de casos 10%

LAB Prácticas de laboratorio 30% 25%

PRES Presentación proyecto común 10% 10%
Asistencia a conferencias y seminarios 5%
TOTAL 100% 100%

¿Qué se puntúa en actividades on-line?
1. Participación en foros: 1%
2. Participación en glosario: 1%
3. Participación en Wiki: 3%
¿Qué puntúa trabajo en equipo?
1. Descripción del equipo: Quién es quién, en qué es bueno cada miembro, atendiendo a en qué es bueno cada uno qué rol va a desarrollar y por qué (1%).
2. Estructura de Desglose de Trabajo del proyecto a desarrollar describiendo los paquetes de trabajo y una breve descripción de tareas a realizar en cada uno (5%) a partir de los requisitos especificados por el profesor.
3. Diagrama de Gantt y cálculo del camino crítico (4%).
4. Seguimiento del proyecto con método KANBAN. Mínimo tres reuniones en el proyecto. (3%).
5. Evaluación del equipo por parte del propio equipo (2%). El profesor proporcionará la rúbrica de evaluación al finalizar el proyecto. Esta valoración se enviará al profesor, siendo anónima para el resto de los miembros del grupo.
¿Qué puntúa asistencia a conferencias y seminarios?
A lo largo del cuatrimestre se llevará a cabo, cuanto menos, un seminario sobre Procesamiento de Eventos Complejos que lo aplicaremos a seguridad y que se valora con 5%. En cualquier caso, si se impartiesen, en horario de la asignatura otras conferencias y/o seminarios el 5% se dividirá entre todos dichos eventos de manera proporcional. A los que no puedan acudir en directo no se les tendrá en cuenta esta puntuación, aunque no va en perjuicio de su nota ya que sigue sumando el 100%.
Particularidades de la convocatoria extraordinaria:
Se deberán superar las partes en las que no se ha obtenido un mínimo.
Particularidades de la convocatoria especial de finalización:
Se deberán superar las partes en las que no se ha obtenido un mínimo.
9. Secuencia de trabajo, calendario, hitos importantes e inversión temporal
Tema 1 (de 8): Introducción a la Gestión de la Auditoría y la Seguridad
Actividades formativas Horas
Enseñanza presencial (Teoría) [PRESENCIAL] [Combinación de métodos] (15 h tot.) 2
Tutorías individuales [PRESENCIAL] (7.5 h tot.) 0.5
Otra actividad no presencial [AUTÓNOMA] [Aprendizaje basado en problemas (ABP)] (45 h tot.) 6
Periodo temporal: Semana 1
Comentario: .
Tema 2 (de 8): Introducción a la Seguridad y Adutoría de los Sistemas de Información
Actividades formativas Horas
Enseñanza presencial (Teoría) [PRESENCIAL] [Combinación de métodos] (15 h tot.) 1.75
Resolución de problemas o casos [PRESENCIAL] [Aprendizaje basado en problemas (ABP)] (15 h tot.) 2
Tutorías individuales [PRESENCIAL] (7.5 h tot.) 0.5
Otra actividad no presencial [AUTÓNOMA] [Aprendizaje basado en problemas (ABP)] (45 h tot.) 6
Periodo temporal: Semana 1 y 2
Tema 3 (de 8): GRC: Gobernanza, Gestión del Riesgo y Cumplimiento. Grado de Madurez frente al riesgo.
Actividades formativas Horas
Enseñanza presencial (Teoría) [PRESENCIAL] [Combinación de métodos] (15 h tot.) 1
Resolución de problemas o casos [PRESENCIAL] [Aprendizaje basado en problemas (ABP)] (15 h tot.) 0.75
Periodo temporal: Semanas 2
Tema 4 (de 8): Gestión de la Auditoría y la Seguridad en Ciudades Inteligentes
Actividades formativas Horas
Enseñanza presencial (Teoría) [PRESENCIAL] [Combinación de métodos] (15 h tot.) 2
Resolución de problemas o casos [PRESENCIAL] [Aprendizaje basado en problemas (ABP)] (15 h tot.) 1.75
Prácticas de laboratorio [PRESENCIAL] [Aprendizaje orientado a proyectos] (22.5 h tot.) 3.75
Tutorías individuales [PRESENCIAL] (7.5 h tot.) 0.5
Otra actividad no presencial [AUTÓNOMA] [Aprendizaje basado en problemas (ABP)] (45 h tot.) 6
Estudio o preparación de pruebas [AUTÓNOMA] [Trabajo autónomo] (45 h tot.) 6
Periodo temporal: Semanas 3-4
Tema 5 (de 8): Procesamiento de Eventos Complejos aplicados a IoT
Actividades formativas Horas
Enseñanza presencial (Teoría) [PRESENCIAL] [Combinación de métodos] (15 h tot.) 1.75
Resolución de problemas o casos [PRESENCIAL] [Aprendizaje basado en problemas (ABP)] (15 h tot.) 2
Prácticas de laboratorio [PRESENCIAL] [Aprendizaje orientado a proyectos] (22.5 h tot.) 3.75
Tutorías individuales [PRESENCIAL] (7.5 h tot.) 1
Otra actividad no presencial [AUTÓNOMA] [Aprendizaje basado en problemas (ABP)] (45 h tot.) 6
Estudio o preparación de pruebas [AUTÓNOMA] [Trabajo autónomo] (45 h tot.) 6
Periodo temporal: Semana 5 y 6
Tema 6 (de 8): Introducción al diseño e implementación de un Sistema de Gestión de Sistemas de Información. MAGERIT y PILAR
Actividades formativas Horas
Enseñanza presencial (Teoría) [PRESENCIAL] [Combinación de métodos] (15 h tot.) 1.75
Resolución de problemas o casos [PRESENCIAL] [Aprendizaje basado en problemas (ABP)] (15 h tot.) 2
Prácticas de laboratorio [PRESENCIAL] [Aprendizaje orientado a proyectos] (22.5 h tot.) 9.75
Tutorías individuales [PRESENCIAL] (7.5 h tot.) 2
Otra actividad no presencial [AUTÓNOMA] [Aprendizaje basado en problemas (ABP)] (45 h tot.) 12
Estudio o preparación de pruebas [AUTÓNOMA] [Trabajo autónomo] (45 h tot.) 12
Periodo temporal: Semanas 7, 8, 9 y 10
Tema 7 (de 8): Informe auditor
Actividades formativas Horas
Enseñanza presencial (Teoría) [PRESENCIAL] [Combinación de métodos] (15 h tot.) 1
Resolución de problemas o casos [PRESENCIAL] [Aprendizaje basado en problemas (ABP)] (15 h tot.) 1
Prácticas de laboratorio [PRESENCIAL] [Aprendizaje orientado a proyectos] (22.5 h tot.) 1.75
Tutorías individuales [PRESENCIAL] (7.5 h tot.) 0.5
Otra actividad no presencial [AUTÓNOMA] [Aprendizaje basado en problemas (ABP)] (45 h tot.) 3
Estudio o preparación de pruebas [AUTÓNOMA] [Trabajo autónomo] (45 h tot.) 3
Periodo temporal: Semana 11
Tema 8 (de 8): Introducción a los Planes de Continuidad de Negocio
Actividades formativas Horas
Enseñanza presencial (Teoría) [PRESENCIAL] [Combinación de métodos] (15 h tot.) 3.75
Resolución de problemas o casos [PRESENCIAL] [Aprendizaje basado en problemas (ABP)] (15 h tot.) 5.5
Prácticas de laboratorio [PRESENCIAL] [Aprendizaje orientado a proyectos] (22.5 h tot.) 3.5
Tutorías individuales [PRESENCIAL] (7.5 h tot.) 2.5
Otra actividad no presencial [AUTÓNOMA] [Aprendizaje basado en problemas (ABP)] (45 h tot.) 6
Estudio o preparación de pruebas [AUTÓNOMA] [Trabajo autónomo] (45 h tot.) 18
Actividad global
Actividades formativas Suma horas
Enseñanza presencial (Teoría) [PRESENCIAL] [Combinación de métodos] 15
Resolución de problemas o casos [PRESENCIAL] [Aprendizaje basado en problemas (ABP)] 15
Prácticas de laboratorio [PRESENCIAL] [Aprendizaje orientado a proyectos] 22.5
Tutorías individuales [PRESENCIAL] [] 7.5
Otra actividad no presencial [AUTÓNOMA] [Aprendizaje basado en problemas (ABP)] 45
Estudio o preparación de pruebas [AUTÓNOMA] [Trabajo autónomo] 45
Total horas: 150
Comentarios generales sobre la planificación: La planificación podría varias en función de la dinámica del propio grupo. Los cambios serán consensuados por todos los agentes implicados y notificados en la plataforma virtual de manera pertinente y siempre por adelantado.
10. Bibliografía, recursos
Autor/es Título Editorial Población ISBN Año Descripción Enlace Web Catálogo biblioteca
Página web dedicada a la normativa ISO27000 www.iso27000.es  
Information Systems Audit and Control Association www.isaca.org  
BSI Group www.bsigroup.es  
Asociación Española de Normalización www.aenor.es  
National Institute of Standards and Technology www.nist.gov  
MAGERIT versión 3. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/  
The Committee of Sponsoring Organizations of the Treadway Commission (COSO) http://www.coso.org/  

Web mantenido y actualizado por el Servicio de Informática.