Auditoría técnica Código:  M1.810    :  6
Consulta de los datos generales   Descripción   La asignatura en el conjunto del plan de estudios   Campos profesionales en el que se proyecta   Conocimientos previos   Información previa a la matrícula   Objetivos y competencias   Contenidos   Consulta de los recursos de aprendizaje de los que dispone la asignatura   Recursos de aprendizaje y herramientas de apoyo   Informaciones sobre la evaluación en la UOC   Consulta del modelo de evaluación  
Este es el plan docente de la asignatura para el segundo semestre del curso 2023-2024. Podéis consultar si la asignatura se ofrece este semestre en el espacio del campus Más UOC / La universidad / Planes de estudios). Una vez empiece la docencia, tenéis que consultarlo en el aula. El plan docente puede estar sujeto a cambios.

El presente curso denominado Auditoría Técnica y de Certificación pretende dar las pautas más extendidas y empleadas actualmente en las empresas para verificar la correcta gestión y prácticas que las distintas organizaciones llevan a cabo en relación a la auditoría y la certificación.

Habitualmente las organizaciones más maduras en la gestión de la seguridad recurren a actividades de auditoría para completar su ciclo de gestión y verificar el modo en que los controles de seguridad diseñados cumplen de manera eficaz y eficiente sus objetivos. De este modo, obtienen una retroalimentación en su sistema de gestión que permitirá continuar en la mejora continua de las medidas de seguridad implantadas para proteger la información. Por otra parte, para que estas buenas prácticas implantadas trasciendan a otras organizaciones y para tener un punto de vista más imparcial sobre la calidad de su gestión, las organizaciones desearán un reconocimiento externo de sus buenas prácticas. En este sentido han surgido recientemente diversas normativas, internacionalmente reconocidas y certificables, para que las organizaciones puedan disponer de un elemento diferenciador con respecto a sus competidoras.

Durante todo este curso se darán los fundamentos o los aspectos más importantes a considerar por una organización que pretenda conseguir cualquiera de los dos objetivos anteriormente descritos.

Hay que tener presente que las casuísticas con las que nos podemos encontrar son enormes, por lo que este curso dará ciertas indicaciones sobre el modo en que se deben afrontar las auditorías, tanto las que se desarrollen a título interno (ejecutadas internamente o con participación de una entidad externa) en una organización, como las externas realizadas con el objetivo de obtener una certificación. Por tanto, se darán las bases para el conocimiento de las mejores prácticas de auditoría aplicadas hoy en día. Sin embargo, el detalle y el conocimiento profundo de las técnicas así como del mantenimiento actualizado de este conocimiento adquirido en el curso es una tarea continua del auditor. Por lo tanto, este curso no pretende ser un punto final sino todo lo contrario, un punto de inicio para una carrera profesional dedicada a la auditoría de los Sistemas de Información con el objetivo de comprobar la aplicación de las mejores prácticas en la materia.

Amunt

La asignatura de Auditoría Técnica se encuentra dentro de la especialización de Gestión y Auditoría de la Seguridad del Máster Interuniversitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones. Esta asignatura está pensada como una continuación de la asignatura de Sistemas de Gestión de la Seguridad de la Información, y en ella se trabaja la auditoría y certificación de los SGSI.

Amunt

La presente asignatura se proyecta sobre numerosos campos profesionales, entre los que podemos destacar los siguientes:

  • Auditor de Sistemas de Gestión de la Seguridad de la Información
  • Responsable de seguridad de la información
  • Gestor/a de proyectos de software
  • Consultor/a de la gestión de la información
  • Ingeniero/a de integración, pruebas e implantación
  • Integrador/a de sistemas
  • Director/a de proyectos TIC
  • Director/a de desarrollo

Amunt

La presente asignatura no presupone conocimientos previos. Sin embargo, se recomienda haber cursado previamente las asignaturas de "Legislación y regulación" y "Sistemas de gestión de la seguridad de la información". Para aquellos estudiantes que tengan que cursar complementos de formación, se recomienda haber cursado previamente las siguientes asignaturas:

  • Estructura de computadores

  • Seguridad en redes de computadores

  • Criptografía

Amunt

La presente asignatura no presupone conocimientos previos. Sin embargo, se recomienda haber cursado previamente las asignaturas de "Legislación y regulación" y "Sistemas de gestión de la seguridad de la información". Para aquellos estudiantes que tengan que cursar complementos de formación, se recomienda haber cursado previamente las siguientes asignaturas:

  • Estructura de computadores

  • Seguridad en redes de computadores

  • Criptografía

Amunt

Los objetivos generales de la asignatura pueden sintetizarse de la siguiente forma:

  • Conocer los distintos tipos de auditorías de seguridad aplicables a los Sistemas de Información.

  • Conocer el proceso de auditoría a seguir en España para obtener una certificación del Sistema de Gestión de la Seguridad de la Información implantado por una organización.

  • Conocer cuál es el proceso correcto para realizar una auditoría de seguridad que compruebe el grado de implantación de los controles de seguridad.

  • Conocer cuáles son las técnicas de auditoría más habituales

Mediante la consecución de estos objetivos, la realización de la presente asignatura contribuye a la adquisición de las siguientes competencias del Máster Interuniversitario en Seguridad de las TIC:

  • CT1 - Capacidad de análisis y síntesis de la seguridad de un sistema.

  • CT2 - Capacidad para ejercer la actividad profesional de acuerdo al código ético y a los aspectos legales actuales en el entorno de las TIC

  • CT3 - Capacidad de comunicación tanto a público especializado como no especializado de modo claro y sin ambigüedades.

  • CT4 - Capacidad de aprendizaje autónomo consultando información

  • CT5 - Capacidad para seleccionar, aplicar e integrar los conocimientos técnicos y científicos adecuados para resolver problemas en entornos nuevos

  • CT6 - Conocimiento de herramientas y tendencias tecnológicas del mercado de la seguridad informática

  • CE32 - Capacidad para gestionar la certificación de un sistema de gestión de la seguridad de la información, así como capacidad para comprender, interpretar y explicar las ventajas que aporta la certificación de estos sistemas.

  • CE33 - Capacidad de elaborar e implementar un plan de auditoría. Uso de las herramientas habituales para realizar una auditoría técnica de seguridad.

  • CE35 - Capacidad para aplicar las consideraciones legales adquiridas para realizar la gestión de un incidente de seguridad. (Perfil de Gestión y Auditoría de Seguridad)

Amunt

Introducción a la auditoría informática

  • Definición de auditoría

  • Componentes de una auditoría

  • Proceso de auditoría

  • Programa de auditoría

  • Estandarización de la labor de auditoría

  • Gobierno de las TIC

  • Equipo auditor

  • El peritaje informático

Auditoría de certificación ISO 27001

  • Sistemas de gestión de la seguridad de la información

  • Certificación de SGSI contra el estándar ISO/IEC 27001:2005

  • Proceso de certificación de SGSI contra la ISO 27001

Auditoría técnica de seguridad

  • Factores de éxito de una auditoría técnica

  • Alcance de la auditoría técnica

  • Tipos de auditorías

  • Planificación de una auditoría técnica de seguridad

Metodologías

  • Metodologías y guías del NIST

  • Metodologías del movimiento de software libre

  • Metodología de la industria de las tarjetas de crédito

  • Estándares de auditoría de la ISACA

Técnicas de auditorías

  • Revisión de documentación

  • Entrevistas

  • Visitas de auditoría

  • Pruebas técnicas de sistemas de información y comunicaciones

Amunt

Amunt

El material didáctico del curso se compone de diferentes módulos didácticos en formato web y papel.


Amunt

La Normativa académica de la UOC dispone que el proceso de evaluación se fundamenta en el trabajo personal del estudiante y presupone la autenticidad de la autoría y la originalidad de los ejercicios realizados.

La falta de originalidad en la autoría o el mal uso de las condiciones en las que se hace la evaluación de la asignatura es una infracción que puede tener consecuencias académicas graves.

El estudiante será calificado con un suspenso (D/0) si se detecta falta de originalidad en la autoría de alguna actividad evaluable (práctica, prueba de evaluación continua (PEC) o final (PEF), o la que se defina en el plan docente), ya sea porque ha utilizado material o dispositivos no autorizados, ya sea porque ha copiado de forma textual de internet, o ha copiado de apuntes, de materiales, manuales o artículos (sin la citación correspondiente) o de otro estudiante, o por cualquier otra conducta irregular.

La calificación de suspenso (D/0) en la evaluación continua (EC) puede conllevar la obligación de hacer el examen presencial para superar la asignatura (si hay examen y si superarlo es suficiente para superar la asignatura según indique este plan docente).

Cuando esta mala conducta se produzca durante la realización de las pruebas de evaluación finales presenciales, el estudiante puede ser expulsado del aula, y el examinador hará constar todos los elementos y la información relativos al caso.

Además, esta conducta puede dar lugar a la incoación de un procedimiento disciplinario y la aplicación, si procede, de la sanción que corresponda.

La UOC habilitará los mecanismos que considere oportunos para velar por la calidad de sus titulaciones y garantizar la excelencia y la calidad de su modelo educativo.

Amunt

Esta asignatura puede superarse por una doble vía: por una parte, a partir de la evaluación continua (EC) y, por otra parte, mediante la realización de un examen final (EX) virtual. La fórmula de acreditación de la asignatura es la siguiente: EC o EXVir.

 

Amunt