• Descripció

El present curs denominat Auditoria Tècnica i de Certificació pretén donar les pautes més esteses i utilitzades actualment en les empreses per verificar la correcta gestió i pràctiques que les diferents organitzacions duen a terme en relació a l'auditoria i la certificació.

Habitualment les organitzacions més madures en la gestió de la seguretat recorren a activitats d'auditoria per completar el seu cicle de gestió i verificar la manera en què els controls de seguretat dissenyats compleixen de manera eficaç i eficient els seus objectius. D'aquesta manera, obtenen una retroalimentació en el seu sistema de gestió que permetrà continuar en la millora contínua de les mesures de seguretat implantades per protegir la informació. D'altra banda, perquè aquestes bones pràctiques implantades transcendeixin a altres organitzacions i per tenir un punt de vista més imparcial sobre la qualitat de la seva gestió, les organitzacions desitjaran un reconeixement extern de les seves bones pràctiques. En aquest sentit han sorgit recentment diverses normatives, internacionalment reconegudes i certificables, perquè les organitzacions puguin disposar d'un element diferenciador pel que fa a les seves competidores.

Durant tot aquest curs es donaran els fonaments o els aspectes més importants a considerar per una organització que pretengui aconseguir qualsevol dels dos objectius anteriorment descrits.

Cal tenir present que les casuístiques amb les quals ens podem trobar són enormes, per la qual cosa aquest curs donarà certes indicacions sobre la manera en què s'han d'afrontar les auditories, tant les que es desenvolupin a títol intern (executades internament o amb participació d'una entitat externa) en una organització, com les externes realitzades amb l'objectiu d'obtenir una certificació. Per tant, es donaran les bases per al coneixement de les millors pràctiques d'auditoria aplicades avui dia. No obstant, el detall i el coneixement profund de les tècniques així com del manteniment actualitzat d'aquest coneixement adquirit en el curs és una tasca contínua de l'auditor. Per tant, aquest curs no pretén ser un punt final sinó tot el contrari, un punt d'inici per a una carrera professional dedicada a l'auditoria dels Sistemes d'Informació amb l'objectiu de comprovar l'aplicació de les millors pràctiques en la matèria.

• L'assignatura en el conjunt del pla d'estudis

L'assignatura d'Auditoria Tècnica es troba dins de l'especialització de Gestió i Auditoria de la Seguretat del Màster Interuniversitari en Seguretat de les Tecnologies de la Informació i de les Comunicacions . Aquesta assignatura està pensada com una continuació de l'assignatura de Sistemes de Gestió de la Seguretat de la Informació, i en ella es treballa l'auditoria i certificació dels SGSI.

• Camps professionals en què es projecta

La present assignatura es projecta sobre nombrosos camps professionals, entre els quals podem destacar els següents:

• Auditor de Sistemes de Gestió de la Seguretat de la Informació

• Responsable de seguretat de la informació

• Gestor/a de projectes de programari

• Consultor/a de la gestió de la informació

• Enginyer/a d'integració, proves i implantació

• Integrador/a de sistemes

• Director/a de projectes TIC

• Director/a de desenvolupament

• Coneixements previs

La present assignatura no pressuposa coneixements previs. No obstant, es recomana haver cursat prèviament les assignatures de "Legislació i regulació" i "Sistemes de gestió de la seguretat de la informació". Per aquells estudiants que hagin de cursar complements de formació, es recomana haver cursat prèviament les següents assignatures:

• Estructura de computadors

• Seguretat en xarxes de computadors

• Criptografia

• Informació prèvia a la matrícula

La present assignatura no pressuposa coneixements previs. No obstant, es recomana haver cursat prèviament les assignatures de "Legislació i regulació" i "Sistemes de gestió de la seguretat de la informació". Per aquells estudiants que hagin de cursar complements de formació, es recomana haver cursat prèviament les següents assignatures:

• Estructura de computadors

• Seguretat en xarxes de computadors

• Criptografia

• Objectius i competències

Els objectius generals de l'assignatura poden sintetitzar-se de la següent forma:

• Conèixer els diferents tipus d'auditories de seguretat aplicables als Sistemes d'Informació.

• Conèixer el procés d'auditoria a seguir a Espanya per obtenir una certificació del Sistema de Gestió de la Seguretat de la Informació implantat per una organització.

• Conèixer quin és el procés correcte per realitzar una auditoria de seguretat que comprovi el grau d'implantació dels controls de seguretat.

• Conèixer quins són les tècniques d'auditoria més habituals

Mitjançant la consecució d'aquests objectius, la realització de la present assignatura contribueix a l'adquisició de les següents competències del Màster Interuniversitari en Seguretat de les TIC:

• CT1 - Capacitat d'anàlisi i síntesi de la seguretat d'un sistema.

• CT2 - Capacitat per exercir l'activitat professional d'acord al codi ètic i als aspectes legals actuals a l'entorn de les TIC

• CT3 - Capacitat de comunicació tant a públic especialitzat com no especialitzat de manera clara i sense ambigüitats.

• CT4 - Capacitat d'aprenentatge autònom consultant informació

• CT5 - Capacitat per seleccionar, aplicar i integrar els coneixements tècnics i científics adequats per resoldre problemes en entorns nous

• CT6 - Coneixement d'eines i tendències tecnològiques del mercat de la seguretat informàtica

• CE32 - Capacitat per gestionar la certificació d'un sistema de gestió de la seguretat de la informació, així com capacitat per comprendre, interpretar i explicar els avantatges que aporta la certificació d'aquests sistemes.

• CE33 - Capacitat d'elaborar i implementar un pla d'auditoria. Ús de les eines habituals per realitzar una auditoria tècnica de seguretat.

• CE35 - Capacitat per aplicar les consideracions legals adquirides per realitzar la gestió d'un incident de seguretat.

• Continguts

Introducció a l'auditoria informàtica

• Definició d'auditoria

• Components d'una auditoria

• Procés d'auditoria

• Programa d'auditoria

• Estandardització de la labor d'auditoria

• Govern de les TIC

• Equip auditor

• El peritatge informàtic

Auditoria de certificació ISO 27001

• Sistemes de gestió de la seguretat de la informació

• Certificació de SGSI contra l'estàndard ISO/IEC 27001:2005

• Procés de certificació de SGSI contra la ISO 27001

Auditoria tècnica de seguretat

• Factors d'èxit d'una auditoria tècnica

• Abast de l'auditoria tècnica

• Tipus d'auditories

• Planificació d'una auditoria tècnica de seguretat

Metodologies

• Metodologies i guies del NIST

• Metodologies del moviment de programari lliure

• Metodologia de la indústria de les targetes de crèdit

• Estàndards d'auditoria de la ISACA

Tècniques d'auditories

• Revisió de documentació

• Entrevistes

• Visites d'auditoria

• Proves tècniques de sistemes d'informació i comunicacions

• Consulta dels recursos d'aprenentatge de la UOC per a l'assignatura

• Informació addicional sobre els recursos d'aprenentatge i eines de suport

El material didàctic del curs es compon de diferents mòduls didàctics en format web i paper.

• Informació addicional sobre la bibliografia i fonts d'informació

• Managing a Network Vulnerability Assessment

Thomas R. Peltier, Justin Peltier and John A. Blackley

Editorial: Auerbach Publications, 2003

• Network Security Assessment

Chris McNab

Editorial: O'Reilly, 2004

• Nessus Network Auditing

Renaud Deraison, Haroon Meer, Roelof Temmingh, Charl van der Walt, Raven Alder, Jimmy Alderson, Andy Johnston, George A. Theall

Editorial: Syngress Publishing, 2004

• Auditing Information Systems

Jack J. Champlain

Editorial: John Wiley and Sons, 2nd Edition 2003

• Security Assessment - Case Studies for Implementing the NSA IAM

Russ Rogers, Greg Miles, Ed Fuller, Ted Dykstra, Matthew Hoagberg

Editorial: Syngree Publishing, 2004

• COBIT® 3rd Edition, 4^thEdition

• COBIT® 3rd Edition Audit Guidelines

• IS Standards, Guidelines and Procedures for Auditing and Control Professionals

Information Systems Audit and Control Association (ISACA)

Editorial: Information Systems Audit and Control Foundation (ISACF), y Information Technology Governance Institute

• NIST SP 800 26 - Security Self-Assessment Guide for IT Systems

• NIST SP 800 42 - Guideline on Network Security Testing

Information Technology Laboratory (ITL) at National Institute of Standards and Technology (NIST)

Editorial: U.S. Government Printing Office

• Payment Card Industry (PCI) Data Security Standard - version 1.1

• Payment Card Industry (PCI) Data Security Standard - Security Audit Procedures

PCI Security Standard Council

Editor: PCI Security Standard Council

• Open-Source Security Testing Methodology Manual

Varios autores, dirigido por Pete Herzog

Editor: ISECOM

• OWASP - Guide to building Secure Web Applications and Web Services

http://www.owasp.org/index.php/Guide

Varios autores

Editor: OWASP

• OWASP - Testing Guide

http://www.owasp.org/index.php/OWASP_Testing_Project

Varios autores

Editor: OWASP

Links de interés:

• http://www.isaca.org

• http://csrc.nist.gov/

• http://www.iso27001security.com

• http://www.sans.org/

• http://www.insecure.org

• http://www.isecom.org

• http://www.owasp.org

• http://www.securityfocus.com

• Metodologia

El curs està dividit en 5 mòduls. A cadascun dels mòduls dedicarem el temps convenient per desenvolupar els continguts corresponents.

A l'inici de cada mòdul, el consultor farà la presentació del mòdul en el Tauler, incloent una proposta-resum dels continguts específics que cal aprendre i assimilar, amb les activitats d'aprenentatge a realitzar i els recursos a utilitzar.

Per treballar els mòduls haureu de realitzar la lectura, les activitats i exercicis que porta inclosos. Al llarg de la lectura hi ha anotacions per comentar en el Fòrum, la qual cosa, si es considera oportú, és interessant i molt enriquidor.

A més, és molt important el seguiment actiu dels espais de l'aula (especialment el Tauler i el Fòrum), ja que de forma habitual es plantegen dubtes, es resolen problemes i es tracten qüestions molt relacionades amb els continguts del curs.

Cada mòdul i els seus exercicis d'auto-avaluació tindran unes dates recomanades per a la seva realització. Aquestes dates us permetran el bon seguiment i aprofitament del mòdul. Les úniques dates que es consideren inamovibles, són les d'inici i final de mòdul i les de lliurament d'activitats d'avaluació.

Existeixen, a més de les activitats o exercicis d'aprenentatge de cada mòdul, activitats (ressenyades en la planificació de l'assignatura) que seran a més activitats d'avaluació. Són les denominades PACs (Proves d'Avaluació Contínua) que pertanyen a l'AC (Avaluació Contínua). Això significa que, dins del mòdul, cada estudiant pot seguir la seva pròpia planificació, sempre que respecti les dates anteriorment esmentades.

Les activitats d'avaluació (PACs) s'hauran d'enviar al consultor en les dates indicades dins de la planificació, perquè aquest pugui anar valorant, juntament amb vosaltres, el vostre aprenentatge.

Aquestes activitats d'avaluació són obligatòries i s'hauran de realitzar de forma individual. Els dubtes existents s'aniran compartint, treballant i comentant entre tots els espais compartits (segons la dinàmica proposada pel consultor en cada moment).

Un aspecte important és el fet de treballar de forma contínua, la qual cosa us permetrà assimilar els continguts del curs i els seus objectius. Acumular les tasques per al final provoca que no es gaudeixi del que s'està aprenent a més de no aprofundir en les reflexions que s'estiguin realitzant. És molt important el treball cooperatiu ja que és enriquidor per a tot aquell que participa, però per això es necessita un mínim de sincronia temporal.

Com a conclusió final i fidels a la metodologia que proposem, vosaltres com a estudiants sou el centre del procés d'aprenentatge. Construireu el coneixement de forma significativa, interactuant activament amb els vostres iguals, amb el consultor, amb els materials, amb el nou entorn. En aquest curs, no només aneu a aprendre sobre la formació virtual sinó que també aneu a viure-la, dia a dia, intensament, des de la pròpia experiència.

• Informació sobre l'avaluació a la UOC

El procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat dels exercicis realitzats.

La manca d'autenticitat en l'autoria o d'originalitat de les proves d'avaluació; la còpia o el plagi; l'intent fraudulent d'obtenir un resultat acadèmic millor; la col·laboració, l'encobriment o l'afavoriment de la còpia, o la utilització de material o dispositius no autoritzats durant l'avaluació, entre d'altres, són conductes irregulars que poden tenir conseqüències acadèmiques i disciplinàries greus.

D'una banda, si es detecta alguna d'aquestes conductes irregulars, pot comportar el suspens (D/0) en les activitats avaluables que es defineixin en el pla docent - incloses les proves finals - o en la qualificació final de l'assignatura, sigui perquè s'han utilitzat materials o dispositius no autoritzats durant les proves, com ara xarxes socials o cercadors d'informació a internet, perquè s'han copiat fragments de text d'una font externa (internet, apunts, llibres, articles, treballs o proves d'altres estudiants, etc.) sense la citació corresponent, o perquè s'ha practicat qualsevol altra conducta irregular.

De l'altra, i d'acord amb les normatives acadèmiques, les conductes irregulars en l'avaluació, a més de comportar el suspens de l'assignatura, poden donar lloc a la incoació d'un procediment disciplinari i a l'aplicació, si escau, de la sanció que correspongui.

La UOC es reserva la potestat de sol·licitar a l'estudiant que s'identifiqui o que acrediti l'autoria del seu treball al llarg de tot el procés d'avaluació pels mitjans que estableixi la Universitat (síncrons o asíncrons). A aquests efectes, la UOC pot exigir a l'estudiant l'ús d'un micròfon, una càmera o altres eines durant l'avaluació i que s'asseguri que funcionen correctament.

La verificació dels coneixements per garantir l'autoria de la prova no implicarà en cap cas una segona avaluació.

• Consulta del model d'avaluació

• Avaluació continuada

L'assignatura d'Auditoria Tècnica proporciona una visió global de la mateixa afegint complexitat a mesura que s'avança en el seu estudi, i per això el model que millor s'ajusta per al seu aprenentatge és l'avaluació contínua (AC), la qual és obligatòria i consta d'un conjunt de PACs repartides al llarg del curs. Així doncs, fem diverses proves al llarg del curs per valorar l'adquisició de coneixements per part de l'estudiant.

L'avaluació del curs es realitzarà a partir de:

El vostre seguiment i participació en totes les activitats del curs

El coneixement es construeix dia a dia i conjuntament en els espais compartits de l'aula. D'aquí la importància del seguiment i participació continuada en totes les activitats proposades durant el curs (exercicis d'auto- avaluació i activitats d'avaluació)

Les activitats d'avaluació (4 PACs)

Les activitats d'avaluació (PACs) són de lliurament obligatori i individual al consultor. El consultor les avaluarà i posteriorment penjarà una possible solució a aquesta activitat la qual es podrà debatre en els espais compartits.

L'avaluació de cada PAC es podrà consultar en l'espai d'avaluació assignat.

Dins de la qualificació final es poden tenir en compte aportacions, intervencions en espais de debat o qualsevol altre criteri que estableixi el consultor i que consideri oportú per valorar el nivell d'aprenentatge dels estudiants.

El correcte seguiment de l'assignatura compromet l'estudiant a la realització de les PACs proposades segons les indicacions pautades en aquest Pla Docent o Guia d'aprenentatge, de forma individual. En aquest sentit és important tenir en compte dues qüestions:

• Si el consultor identifica que les activitats no s'han realitzat de forma individual, tots els alumnes implicats en la còpia tindran una D com a nota final de l'avaluació continuada (és a dir, tant el que copia com el que es deixa copiar). Per altra banda, i sempre a criteri dels Estudis, l'incompliment d'aquest compromís pot suposar que no se us permeti superar cap altra assignatura mitjançant avaluació continuada ni en el semestre en curs ni en els següents.

• Totes les col·laboracions entre alumnes s'han de realitzar a través del Fòrum. Això permetrà al consultor, en cas de treballs similars, entendre si és fruit d'una discussió compartida en el Fòrum, o bé, s'ha produït efectivament una còpia de les activitats.

NOTA IMPORTANT:

Tal i com ja s'ha comentat, totes les PACs són obligatòries i s'hauran de lliurar en els terminis establerts.

Quan una PAC no es lliuri dins dels terminis marcats en el calendari de l'assignatura, s'acceptarà el lliurament de la solució sempre que es produeixi abans de la publicació de la solució per part del consultor, la qual cosa tindrà lloc aproximadament una setmana després de la data de lliurament de PAC marcada en el calendari.

En cas que la PAC es lliuri tard, però abans de la data de publicació de la solució, la nota màxima que es podrà obtenir en aquesta PAC serà de C+ (5).

Atès que el model d'aprenentatge de l'assignatura es basa en l'avaluació contínua, en cas de no poder lliurar una PAC abans de la publicació de la solució, s'haurà d'avisar al consultor amb anterioritat, aportant una justificació clara dels motius pels quals no es pot lliurar. Aquesta justificació s'haurà de basar en causes excepcionals que el consultor haurà de considerar suficients. No s'acceptaran justificacions basades en una mala planificació del treball de l'alumne. Una PAC no lliurada sense justificació suficient obligarà l'estudiant a presentar-se a l'examen virtual.

• Avaluació final

Aquells estudiants que no hagin superat l'Avaluació Continuada a través del conjunt de 4 PACs anteriors podran realitzar la PAC de recuperació (Examen Virtual).

En aquesta PAC, es posaran en pràctica tots els coneixements tractats a l'assignatura, amb independència de les PACs que cada estudiant hagi pogut aprovar amb anterioritat.

En la correcció de la darrera PAC de l'assignatura, la PAC 4, el docent us indicarà si heu superat l'Avaluació Continuada i, en cas de no ser així, haureu de realitzar aquesta PAC de recuperació per poder aprovar. La nota final de l'assignatura serà la nota obtinguda en aquesta PAC de recuperació.

Aquesta PAC de recuperació no podrà utilitzar-se per pujar nota a aquells estudiants que hagin aprovat l'Avaluació Continuada.

• Feedback

Tal i com s'ha indicat en la metodologia de l'assignatura, el consultor us guiarà i orientarà a través del Tauler de l'aula per a què pugueu fer un bon seguiment de l'assignatura. També respondrà els dubtes que vagin sortint en el Fòrum de l'aula així com les consultes i comentaris enviats a la seva bústia personal.

El consultor també farà un seguiment personalitzat de l'avaluació contínua, revisarà totes les PAC i pràctiques lliurades i comentarà de forma qualitativa a nivell grupal i/o individual la resolució. Aquests comentaris us ajudaran a progressar en el vostre aprenentatge i adquirir el conjunt de les competències.