Auditoria tècnica Codi:  M1.710    :  6
Consulta de les dades generals   Descripció   L'assignatura en el conjunt del pla d'estudis   Camps professionals en què es projecta   Coneixements previs   Informació prèvia a la matrícula   Objectius i competències   Continguts   Consulta dels recursos d'aprenentatge de què disposa l'assignatura   Recursos d'aprenentatge i eines de suport   Informacions sobre l'avaluació a la UOC   Consulta del model d'avaluació  
ATENCIÓ: Aquest és el pla docent de l'assignatura per al primer semestre del curs 2020-2021. Us servirà per planificar la matrícula (consulteu si l'assignatura s'ofereix aquest semestre a l'espai del Campus Més UOC / La Universitat / Plans d'estudis). Un cop comenci la docència, heu de consultar-lo a l'aula. (El pla docent pot estar subjecte a canvis.)

El present curs denominat Auditoria Tècnica i de Certificació pretén donar les pautes més esteses i utilitzades actualment en les empreses per verificar la correcta gestió i pràctiques que les diferents organitzacions duen a terme en relació a l'auditoria i la certificació.

Habitualment les organitzacions més madures en la gestió de la seguretat recorren a activitats d'auditoria per completar el seu cicle de gestió i verificar la manera en què els controls de seguretat dissenyats compleixen de manera eficaç i eficient els seus objectius. D'aquesta manera, obtenen una retroalimentació en el seu sistema de gestió que permetrà continuar en la millora contínua de les mesures de seguretat implantades per protegir la informació. D'altra banda, perquè aquestes bones pràctiques implantades transcendeixin a altres organitzacions i per tenir un punt de vista més imparcial sobre la qualitat de la seva gestió, les organitzacions desitjaran un reconeixement extern de les seves bones pràctiques. En aquest sentit han sorgit recentment diverses normatives, internacionalment reconegudes i certificables, perquè les organitzacions puguin disposar d'un element diferenciador pel que fa a les seves competidores.

Durant tot aquest curs es donaran els fonaments o els aspectes més importants a considerar per una organització que pretengui aconseguir qualsevol dels dos objectius anteriorment descrits.

Cal tenir present que les casuístiques amb les quals ens podem trobar són enormes, per la qual cosa aquest curs donarà certes indicacions sobre la manera en què s'han d'afrontar les auditories, tant les que es desenvolupin a títol intern (executades internament o amb participació d'una entitat externa) en una organització, com les externes realitzades amb l'objectiu d'obtenir una certificació. Per tant, es donaran les bases per al coneixement de les millors pràctiques d'auditoria aplicades avui dia. No obstant, el detall i el coneixement profund de les tècniques així com del manteniment actualitzat d'aquest coneixement adquirit en el curs és una tasca contínua de l'auditor. Per tant, aquest curs no pretén ser un punt final sinó tot el contrari, un punt d'inici per a una carrera professional dedicada a l'auditoria dels Sistemes d'Informació amb l'objectiu de comprovar l'aplicació de les millors pràctiques en la matèria.

Amunt

L'assignatura d'Auditoria Tècnica es troba dins de l'especialització de Gestió i Auditoria de la Seguretat del Màster Interuniversitari en Seguretat de les Tecnologies de la Informació i de les Comunicacions . Aquesta assignatura està pensada com una continuació de l'assignatura de Sistemes de Gestió de la Seguretat de la Informació, i en ella es treballa l'auditoria i certificació dels SGSI.

Amunt

La present assignatura es projecta sobre nombrosos camps professionals, entre els quals podem destacar els següents:

  • Auditor de Sistemes de Gestió de la Seguretat de la Informació

  • Responsable de seguretat de la informació

  • Gestor/a de projectes de programari

  • Consultor/a de la gestió de la informació

  • Enginyer/a d'integració, proves i implantació

  • Integrador/a de sistemes

  • Director/a de projectes TIC

  • Director/a de desenvolupament

Amunt

La present assignatura no pressuposa coneixements previs. No obstant, es recomana haver cursat prèviament les assignatures de "Legislació i regulació" i "Sistemes de gestió de la seguretat de la informació". Per aquells estudiants que hagin de cursar complements de formació, es recomana haver cursat prèviament les següents assignatures:

  • Estructura de computadors

  • Seguretat en xarxes de computadors

  • Criptografia

Amunt

La present assignatura no pressuposa coneixements previs. No obstant, es recomana haver cursat prèviament les assignatures de "Legislació i regulació" i "Sistemes de gestió de la seguretat de la informació". Per aquells estudiants que hagin de cursar complements de formació, es recomana haver cursat prèviament les següents assignatures:

  • Estructura de computadors

  • Seguretat en xarxes de computadors

  • Criptografia

Amunt

Els objectius generals de l'assignatura poden sintetitzar-se de la següent forma:

  • Conèixer els diferents tipus d'auditories de seguretat aplicables als Sistemes d'Informació.

  • Conèixer el procés d'auditoria a seguir a Espanya per obtenir una certificació del Sistema de Gestió de la Seguretat de la Informació implantat per una organització.

  • Conèixer quin és el procés correcte per realitzar una auditoria de seguretat que comprovi el grau d'implantació dels controls de seguretat.

  • Conèixer quins són les tècniques d'auditoria més habituals

Mitjançant la consecució d'aquests objectius, la realització de la present assignatura contribueix a l'adquisició de les següents competències del Màster Interuniversitari en Seguretat de les TIC:

  • CT1 - Capacitat d'anàlisi i síntesi de la seguretat d'un sistema.

  • CT2 - Capacitat per exercir l'activitat professional d'acord al codi ètic i als aspectes legals actuals a l'entorn de les TIC

  • CT3 - Capacitat de comunicació tant a públic especialitzat com no especialitzat de manera clara i sense ambigüitats.

  • CT4 - Capacitat d'aprenentatge autònom consultant informació

  • CT5 - Capacitat per seleccionar, aplicar i integrar els coneixements tècnics i científics adequats per resoldre problemes en entorns nous

  • CT6 - Coneixement d'eines i tendències tecnològiques del mercat de la seguretat informàtica

  • CE32 - Capacitat per gestionar la certificació d'un sistema de gestió de la seguretat de la informació, així com capacitat per comprendre, interpretar i explicar els avantatges que aporta la certificació d'aquests sistemes.

  • CE33 - Capacitat d'elaborar i implementar un pla d'auditoria. Ús de les eines habituals per realitzar una auditoria tècnica de seguretat.

  • CE35 - Capacitat per aplicar les consideracions legals adquirides per realitzar la gestió d'un incident de seguretat.

Amunt

Introducció a l'auditoria informàtica

  • Definició d'auditoria

  • Components d'una auditoria

  • Procés d'auditoria

  • Programa d'auditoria

  • Estandardització de la labor d'auditoria

  • Govern de les TIC

  • Equip auditor

  • El peritatge informàtic

Auditoria de certificació ISO 27001

  • Sistemes de gestió de la seguretat de la informació

  • Certificació de SGSI contra l'estàndard ISO/IEC 27001:2005

  • Procés de certificació de SGSI contra la ISO 27001

Auditoria tècnica de seguretat

  • Factors d'èxit d'una auditoria tècnica

  • Abast de l'auditoria tècnica

  • Tipus d'auditories

  • Planificació d'una auditoria tècnica de seguretat

Metodologies

  • Metodologies i guies del NIST

  • Metodologies del moviment de programari lliure

  • Metodologia de la indústria de les targetes de crèdit

  • Estàndards d'auditoria de la ISACA

Tècniques d'auditories

  • Revisió de documentació

  • Entrevistes

  • Visites d'auditoria

  • Proves tècniques de sistemes d'informació i comunicacions

Amunt

Amunt

El material didàctic del curs es compon de diferents mòduls didàctics en format web i paper.

Amunt

La Normativa acadèmica de la UOC disposa que el procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat dels exercicis fets.

La manca d'originalitat en l'autoria o el mal ús de les condicions en què es fa l'avaluació de l'assignatura és una infracció que pot tenir conseqüències acadèmiques greus.

Es qualificarà l'estudiant amb un suspens (D/0) si es detecta manca d'originalitat en l'autoria d'alguna activitat avaluable (pràctica, prova d'avaluació contínua (PAC) o final (PAF), o la que es defineixi al pla docent), sigui perquè ha utilitzat material o dispositius no autoritzats, sigui perquè ha copiat textualment d'internet, o ha copiat d'apunts, de materials, de manuals o d'articles (sense la citació corresponent), d'altres estudiants, o per qualsevol altra conducta irregular.

La qualificació de suspens (D/0) en les qualificacions finals d'avaluació contínua pot comportar l'obligació de fer l'examen presencial per a superar l'assignatura (si hi ha examen i si superar-lo és suficient per a superar l'assignatura segons indiqui el pla docent).

Quan aquesta mala conducta es produeixi durant la realització de les proves d'avaluació finals presencials, l'estudiant pot ser expulsat de l'aula, i l'examinador farà constar tots els elements i la informació relatius al cas.

D'altra banda, aquesta conducta pot donar lloc a la incoació d'un procediment disciplinari i l'aplicació, si escau, de la sanció que correspongui.

La UOC habilitarà els mecanismes que consideri oportuns per a vetllar per la qualitat de les seves titulacions i garantir l'excel·lència i la qualitat del seu model educatiu.

Amunt

Aquesta assignatura es pot superar per una doble via: d'una banda, a partir de l'avaluació contínua (AC) i, d'altra banda, mitjançant la realització d'un examen final (EX) virtual. La fórmula d'acreditació de l'assignatura és la següent: AC o EXVir.

 

Amunt