guía docente 2017/2018 - ucam universidad online · auditoría y peritaje . audit and computer...

hola

Universidad Católica San Antonio de Murcia – Tlf: (+34) 968 278 160 [email protected] – www.ucam.edu

Guía Docente 2017/2018

Auditoría y Peritaje

Audit and computer expert witness

Grado en Ingeniería en Informática

Modalidad a distancia


Auditoría y Peritaje - Tlf: (+34) 902 102 101

1

Índice[Nombre Asignatura] ............................................................... ¡Error! Marcador no definido.

Breve descripción de la asignatura ................................................................................... 2

Requisitos Previos .............................................................................................................. 3

Objetivos .............................................................................................................................. 3

Competencias y resultados de aprendizaje ...................................................................... 4

Metodología ............................................................................. ¡Error! Marcador no definido.

Temario ..................................................................................... ¡Error! Marcador no definido.

Relación con otras asignaturas del plan de estudios .......... ¡Error! Marcador no definido.

Sistema de evaluación ............................................................ ¡Error! Marcador no definido.

Bibliografía y fuentes de referencia ....................................... ¡Error! Marcador no definido.

Web relacionadas .................................................................... ¡Error! Marcador no definido.

Recomendaciones para el estudio ......................................... ¡Error! Marcador no definido.

Material didáctico .................................................................... ¡Error! Marcador no definido.

Tutorías .................................................................................... ¡Error! Marcador no definido.



2

Auditoría y Peritaje Módulo: Ingeniería aplicada a la empresa. Materia: Auditoría y Peritaje. Carácter: Obligatoria. Nº de créditos: 4.5 ECTS. Unidad Temporal: 4º Curso – 2º Semestre. Profesor/a de la asignatura: Javier Cao Avellaneda. Email: [email protected]

Horario de atención a los alumnos/as: Jueves de 19:00h a 20:00 h. Fuera de ese horario se puede

solicitar cita en el campus virtual o enviando un correo electrónico al profesor al menos un par de

días antes.

Profesor/a coordinador del curso: Alberto Caballero Martínez. Profesor coordinador de módulo: José Luis Abellán Miguel.

Breve descripción de la asignatura La asignatura de ha estructurado en tres grandes ejes: la auditoría de sistemas de información, las normas y estándares existentes en materia de seguridad de la información y el peritaje informático.

En la primera área temática, la auditoría, se describirá los diferentes tipos que pueden realizarse sobre los sistemas de información, los objetivos perseguidos por cada una de ellas, así como las herramientas y técnicas utilizables durante el proceso. En relación con el ejercicio profesional de esta actividad se describirá la metodología de trabajo que debe utilizarse tanto para la realización de las actividades de auditoría así como los requisitos formales a la hora de realizar la toma de datos, revisión de elementos, elaboración de informes finales y exposición de resultados.

En la segunda área temática, las normas y estándares se describirán cómo están siendo aplicados a la informática los marcos de gestión basados en la mejora continua, entrando a profundizar sobre las norma internacional que actualmente está siendo implantada por las organizaciones para lograr la gestión y control de los sistemas de información: ISO 27001, que especifica los requisitos de un sistema de gestión de la seguridad de la información.

En la tercera área temática, el peritaje informático se describirá la labor del perito informático, los diferentes tipos de peritaje que existen. En relación con el ejercicio profesional de esta actividad se describirá la metodología de trabajo que debe utilizarse tanto para la realización de las actividades de peritaje como los requisitos formales a la hora de realizar la toma de datos, análisis de las pruebas, elaboración de informes y dictámenes periciales y la exposición de resultados en juicio. Los alumnos aprenderán que tareas son necesarias en las diferentes etapas en relación con la planificación, preparación, ejecución y evaluación de resultados, así como las capacidades que el perito debe mostrar en las recogidas de información y presentación de resultados o conclusiones.



3

Brief Description

The subject has been structured into three main areas: information systems auditing, standards and existing standards on information security and computer expertise.

In the first area, the audit, describe the different types that can be performed on information systems, the objectives of each and the tools and techniques used during the process. Regarding the practice of this activity will describe the methodology that should be used both for carrying out audit activities and formal requirements when conducting data collection, review of items, preparation of final reports and presentation of results.

In the second area, rules and standards describing how they are being applied to data management frameworks based on continuous improvement, going into depth on the international standard currently being deployed by organizations to achieve management and control Information systems: ISO 27001, which specifies the requirements of a system management information security.

The third topic area, the computer expert will describe the work of the expert computer, different types of expertise that exist. Regarding the practice of this activity will describe the methodology that should be used both for carrying out expert activities as the formal requirements when performing data collection, analysis, testing, reporting and expert reports and the presentation of results at trial. Students will learn that tasks are required at different stages in relation to the planning, preparation, implementation and evaluation of results and the capabilities that the expert must show on the collected information and presentation of results or conclusions.

Requisitos Previos Conocimiento de la legislación vigente en materia de protección de datos de carácter personal.

Objetivos 1. Proporcionar al alumno los conocimientos y habilidades necesarios para poder desempeñar

en el futuro las actividades relacionadas con la auditoría de sistemas de información y el peritaje informático, de acuerdo a los diferentes marcos de revisión y control interno que existen en la actualidad.

2. Describir las metodologías de trabajo utilizadas para planificar y realizar auditorías de cumplimiento de normas y requisitos legales.

3. Dotar de las habilidades necesarias para poder realizar las auditorías del cumplimento de las medidas de seguridad establecidas por el R.D. 1720/2007 para garantizar el buen funcionamiento de las medidas de seguridad implantadas en sistemas de información que participen en un tratamiento de datos de carácter personal según los requisitos de la Ley 15/1999 de Protección de Datos de Carácter Personal.

4. Describir la función del perito informático y dar a conocer la metodología de trabajo a utilizar en relación con el ejercicio profesional de esta actividad, así como los requisitos formales a la hora de realizar la toma de datos, análisis de las pruebas, elaboración de informes y dictámenes periciales y la exposición de resultados en juicio.



4

Competencias y resultados de aprendizaje Competencias transversales

UCAM2 - Ser capaz de proyectar los conocimientos, habilidades y destrezas adquiridos para promover una sociedad basada en los valores de la libertad, la justicia, la igualdad y el pluralismo.

T1 - Capacidad de análisis y síntesis.

T2 - Capacidad de organización y planificación.

T3 - Capacidad de gestión de la información.

T4 - Resolución de problemas.

T5 - Toma de decisiones.

T11 - Razonamiento crítico.

T14 - Aprendizaje autónomo.

T15 - Adaptación a nuevas situaciones.

T19 - Motivación por la calidad.

T21 - Capacidad de reflexión.

T22 - Comprender los puntos principales de textos claros y en lengua estándar si tratan sobre cuestiones relacionadas con el ámbito de estudio.

T23 - Producir textos sencillos y coherentes sobre temas relacionados con el ámbito de estudio.

Competencias específicas

IS3 - Capacidad de dar solución a problemas de integración en función de las estrategias, estándares y tecnologías disponibles.

IS4 - Capacidad de identificar y analizar problemas y diseñar, desarrollar, implementar, verificar y documentar soluciones software sobre la base de un conocimiento adecuado de las teorías, modelos y técnicas actuales.

IS5 - Capacidad de identificar, evaluar y gestionar los riesgos potenciales asociados que pudieran presentarse.

Resultados de aprendizaje



5

RA 3.1.1. Identificar los requisitos legales establecidos por la ley vigente de protección de datos de carácter personal.

RA 3.1.2. Conocer la metodología de trabajo a aplicar en la ejecución de una auditoria.

RA 3.1.3. Seleccionar el conjunto adecuado y pertinente de pruebas de auditoría que deberán realizarse para garantizar la verificación del cumplimiento de los requisitos legales de aplicación en la ejecución de la auditoría.

RA 3.1.4. Juzgar los hechos y resultados de las pruebas realizadas durante la ejecución de la auditoría y redactar el informe de auditoría con los resultados finales.

RA 3.1.5. Analizar los procesos de una organización e identificar los elementos necesarios para modelar la seguridad de la información de una organización.

RA 3.1.6. Evaluar el nivel de riesgo de una organización en materia de seguridad de la información en relación a los activos, amenazas y vulnerabilidades de una organización.

RA 3.1.7. Conocer la metodología a aplicar en la ejecución de una peritación informática, los tipos de peritaciones existentes y su ámbito de aplicación en relación al tipo de conflictos donde pueden ser requeridas.

RA 3.1.8. Analizar el tipo de pruebas periciales necesarias a realizar para satisfacer los objetivos planteados y redactar un informe pericial con los resultados finales obtenidos tras la ejecución del proceso pericial que dé respuesta a los objetivos planteados.

Metodología

Metodología Horas Horas de trabajo

presencial

Horas de trabajo

no presencial

Evaluación 45 6 horas (5 %)

Tutoría 4,9

106.5 horas (95 %)

Estudio personal 44,2

Lecturas recomendadas y búsqueda de información

10,1

Realización de ejercicios, presentaciones, trabajos y casos prácticos

44,2

TOTAL 112.5 6 106.5



6

Temario

Programa de la enseñanza teórica

TEMA 1: INFORMÁTICA Y CONTROL INTERNO

1. Introducción.

2. Gobierno TI

3. Necesidades de control interno.

4. Esquemas de gestión y control interno.

5. La función de auditoría de sistemas de información.

TEMA 2: AUDITORÍA DE SISTEMAS DE INFORMACIÓN

1. Introducción

2. Definiciones y conceptos

3. Principios de auditoría

4. La evidencia de auditoria

5. Código deontológico del auditor

6. Metodología para la realización de una auditoría: pre-auditoría, ejecución y entrega de resultados

TEMA 3: AUDITORÍA ESTABLECIDA POR EL R.D. 1720/2007.

1. Introducción a la LOPD

2. La auditoría obligatoria establecida por la LOPD.

3. Preparación de la pre-auditoría.

4. Preparación de los programas de auditoría para auditar el cumplimiento de las medidas de seguridad.

5. Informe de auditoría del R.D. 1720/2007.

TEMA 4: PERITAJE INFORMÁTICO

1. Introducción.

2. El perito.

3. Tipos de peritaciones.



7

4. Metodología para la realización de una peritación.

5. Delitos, sanciones y faltas del perito.

TEMA 5: ESTANDARES Y NORMAS RELACIONADAS CON LA GESTIÓN Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN

1. Sistemas de gestión y el ciclo de mejora continua

2. Análisis y gestión de riesgos de la seguridad de la información

3. ISO 27001, Sistemas de gestión de la seguridad de la información

Programa de la enseñanza práctica

PRACTICA 1. PLANIFICACIÓN DE UNA AUDITORIA.

• Diseño de los papeles de trabajo y cuestionarios para la auditoría del Titulo VIII del R.D. 1720/2007.

PRACTICA 2. TRABAJO DE CAMPO DE UNA AUDITORIA.

• Ejecución de los programas de trabajo seleccionados aportando evidencias de auditoría que verifiquen el cumplimiento o no de los artículos revisados.

PRACTICA 3. REALIZAR UNA RECOPILACION DE EVIDENCIAS FORENSES.

• El alumno deberá recabar sobre un sistema operativo concreto las evidencias digitales relacionadas con la información solicitada por el profesor en relación a averiguar diferentes tipos de hechos acaecidos y lograr encontrar qué comandos o aplicaciones es necesario usar para hallar dichas evidencias.

Un enunciado más detallado de las prácticas, así como las fechas de entrega será mostrado en el campus virtual, en primera instancia en el plan de trabajo de la asignatura, y posteriormente en las tareas correspondientes a cada práctica que serán dadas de alta en el campus virtual. La presentación de las prácticas deberá realizarse antes de la fecha prevista subiendo los archivos a través del campus virtual como respuesta del alumno a la tarea creada.

Relación con otras asignaturas del plan de estudios • Deontología y Legislación

• Seguridad y Administración de Sistemas de Información

• Soluciones Informáticas para la Empresa

• Control y Mejora de Procesos



8

Sistema de evaluación Convocatoria de Febrero/Junio:

- Prueba primer parcial: 35% del total de la nota.

Se evaluará el conocimiento del proceso de auditoría y la capacidad de realizar una valoración del nivel de cumplimiento en un escenario ficticio: Temas 1, 2 y 3.

- Prueba final: 70% del total de la nota.

Se evaluará la metodología de realización de una peritación informática y el conocimiento en materia de gestión de la seguridad de la información con un ejercicio práctico de análisis de riesgos: Temas 4 y 5. Aquellos alumnos que no hayan superado el temario del primer parcial se examinarán del contenido completo de la asignatura.

- Evaluación de prácticas y problemas: 30% del total de la nota.

1. Diseño de los papeles de trabajo de una auditoría (Práctica 1 – Tema 2-3): 5%

2. Trabajo de campo de una auditoría (Práctica 2 –Temas 2 y 3): 10%

3. Recopilación de evidencias forenses (Práctica 3 – Temas 4) 15%

Convocatoria de Septiembre: - Parte teórica: 60% del total de la nota.

- Parte práctica: 40% del total de la nota.

Bibliografía y fuentes de referencia Bibliografía básica

• Lacasta / Sanmartí / Velasco “Auditoría de la protección de datos”. 1ª ed. Barcelona, Bosch. 2009. ISBN: 9788497904940 (Disponible en la biblioteca UCAM)

• Lopez Rivera “Peritaje informático y tecnológico”, 2012. ISBN 978-84-6160-895-9 • García, X. y Melendi D. “La peritación informática: un enfoque práctico”. 1ª ed. Oviedo,

C.O.I.I.P.A. 2008. ISBN: 978-84-612-4594-9 (Disponible en la biblioteca UCAM)

Bibliografía complementaria • DEL PESO, E. “Peritajes informáticos”. 2ª ed. Madrid, Diaz de Santos. 2001. ISBN: 84-

7978-497-0



9

• PIATTINI, M. y DEL PESO, E. “Auditoría informática: Un enfoque práctico”. 2ª ed. Madrid, Ra-Ma. 2001. ISBN: 84-7897-444-X

• AENOR. Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. UNE-ISO/IEC 27001:2007). Madrid: AENOR, 2007.

• AENOR. Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. UNE-ISO/IEC 27001:2014). Madrid: AENOR, 2014.

• ISO/IEC 27037:2012 “Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence”

• España. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Boletín Oficial del Estado, 14 de diciembre de 1999, n. 298, p. 43088 – 43099.

• España. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Boletín Oficial del Estado, 19 de enero de 2008, n. 17, p. 4103 - 4136.

• RFC 3227 Guidelines for evidence collection and archiving.

Web relacionadas • Agencia Española de Protección de datos. http://www.agpd.es. • Instituto Nacional de Ciberseguridad. http://www.incibe.es • Information Systems Audit and Control Association (ISACA). http://www.isaca.org • Asociación Española de Profesionales de la Privacidad. http://www.apep.es

Recomendaciones para el estudio Es fundamental que el alumno vaya realizando el seguimiento de la asignatura según la planificación temporal que figura en el calendario de la asignatura dentro del campus virtual.

Al final de cada exposición del temario, el alumno podrá repasar y tener claros todos los conceptos relevantes proporcionando para ello el profesor a través del campus virtual la realización de unos test de autoevaluación que permitan verificar el nivel de asimilación de los conceptos más relevantes. Algunas de las preguntas de estos retos podrán suponer la valoración o respuesta a preguntas planteadas sobre el material audiovisual suministrado como recurso y que el alumno deberá previamente haber visualizado para poder responder al test. Se recomienda que el alumno realice un seguimiento teórico/práctico de la asignatura como el establecido en el plan de trabajo.

Material didáctico Material didáctico

El alumno dispondrá mediante el campus virtual (zona recursos) del material didáctico necesario para el correcto seguimiento de la asignatura. El material será organizado en temario con materia para examen y bibliografía complementaria. El alumno podrá encontrar dentro de la zona recursos diferentes tipos de contenidos multimedia que consistirán en:

http://www.apep.es/



10

• Presentaciones con el temario a estudiar para el examen.

• Enlaces a otros sitios donde aumentar la información sobre los temas.

• Test de autoevaluación para la comprobación por parte del alumno del nivel de adquisición de los conocimientos elementales de cada uno de los temas.

• Videos y documentales colgados en Internet a través de canales de Youtube o Vimeo.

• Documentos con ejercicios en blanco a modo de reto que posteriormente son resueltos por el profesor a modo de ejemplo dando explicaciones pertinentes sobre el proceso de resolución.

Software/Hardware

Para la elaboración de las prácticas será preciso utilizar un editor de texto. Se podrá utilizar cualquier editor de texto: Microsoft Word (http://office.microsoft.com), OpenOffice Writer (gratuito, https://www.openoffice.org), Libre Office (gratuito, http://www.libreoffice.org), Google Drive (gratuito y online, https://docs.google.com), etc.

Todas las herramientas necesarias para la asignatura se encuentran instaladas en los laboratorios del grado de informática o disponibles a través de API Virtual que es una plataforma que permite acceder, desde cualquier dispositivo con conexión a internet, a un gran número de aplicaciones informáticas sin necesidad de ninguna instalación previa. Los programas están listos para usarse directamente desde el portal en la dirección API.UCAM. EDU

Tutorías A través del campus virtual se van a establecer diferentes mecanismos de tutorización, soportados por las distintas herramientas disponibles:

• Chat: Para la discusión de temas concretos y la aclaración de dudas. Servirá para también para puesta en contacto entre los alumnos. Los alumnos podrán solicitar la presencia del profesor en el chat mediante correo electrónico. En caso de no ser solicitada el profesor contestará los comentarios de una manera asíncrona a los mismos o a través de los foros abiertos.

• Foros: Sirven para promover la interacción entre todos los participantes en la asignatura. Recoger todas las dudas, aclaraciones, sugerencias, etc. que se van produciendo a lo largo del curso. Debe ser el primer punto de revisión para la aclaración de dudas. Se ofrecen foros para el debate de los contenidos relacionados con el temario y para el debate de las prácticas. Más en concreto habrá un foro para comentar dudas relacionadas con el temario de la asignatura y un foro para resolver cuestiones relacionadas con las prácticas.

• Videoconferencia: Para la discusión de temas concretos y la aclaración de dudas. El profesor propondrá al menos cuatro videoconferencias: presentación, seguimiento de las



11

prácticas y aclaración de dudas previas a cada uno de los exámenes. Además de las propuestas por el profesor los alumnos podrán solicitar la realización de videoconferencias.

• Mensajes privados y/o correo electrónico: Toda la comunicación directa con el profesor puede realizarse mediante estas herramientas. Preferiblemente correo electrónico. Se realizará diariamente, con un compromiso de respuesta en menos de 48 horas lectivas desde la recepción del mismo. Cualquier consulta que se realice a través de este canal pero que sea de interés general para el resto de alumnos será resuelta en el foro, respondiendo al alumno por correo electrónico dónde encontrar la respuesta en foros.

• Teléfono: En las horas de tutorías el profesor atenderá a los alumnos por éste método, fuera de ese horario también será posible contactar con el profesor por teléfono o por videoconferencia previa petición.

guía docente 2017/2018 - ucam universidad online · auditoría y peritaje . audit and computer...

Documents