Menú local
Guía docente 2020-21 - 13312002 - Auditoría informática
| TITULACIÓN: | Grado en Ingeniería informática |
| CENTRO: | ESCUELA POLITÉCNICA SUPERIOR (JAÉN) |
| CURSO: | 2020-21 |
| ASIGNATURA: | Auditoría informática |
| NOMBRE: Auditoría informática | |||||
| CÓDIGO: 13312002 | CURSO ACADÉMICO: 2020-21 | ||||
| TIPO: Obligatoria | |||||
| Créditos ECTS: 6.0 | CURSO: 3 | CUATRIMESTRE: SC | |||
| WEB: http://dv.ujaen.es/docencia/goto_docencia_crs_351419.html | |||||
| NOMBRE: CONDE RODRÍGUEZ, FRANCISCO DE ASÍS | ||
| IMPARTE: Teoría - Prácticas [Profesor responsable] | ||
| DEPARTAMENTO: U118 - INFORMÁTICA | ||
| ÁREA: 570 - LENGUAJES Y SISTEMAS INFORMÁTICOS | ||
| N. DESPACHO: A3 - A3-342 | E-MAIL: fconde@ujaen.es | TLF: 953212914 |
| TUTORÍAS: https://uvirtual.ujaen.es/pub/es/informacionacademica/tutorias/p/58525 | ||
| URL WEB: http://blogs.ujaen.es/fconde/ | ||
| ORCID: https://orcid.org/0000-0001-6793-1377 | ||
Un sistema de información (SI) debe adaptarse a las necesidades cambiantes de la empresa en la que se implanta. La propia evolución de la empresa, de su entorno, de los marcos legales, etc. obligan a adaptar el SI continuamente para que siga siendo productivo.
La auditoría estudia qué cambios son necesarios en SIs ya implantados para que sigan siendo productivos y cual es la mejor manera de afrontarlos, por eso es una parte muy importante dentro del módulo de de Ingeniería del software y debería figurar en el currículum de cualquier graduado en ingeniería de informática.
| Código | Denominación de la competencia |
| CB2R | Que los estudiantes sepan aplicar sus conocimientos a su trabajo o vocación de una forma profesional y posean las competencias que suelen demostrarse por medio de la elaboración y defensa de argumentos y la resolución de problemas dentro de su área de estudio. |
| CB3R | Que los estudiantes tengan la capacidad de reunir e interpretar datos relevantes (normalmente dentro de su área de estudio) para emitir juicios que incluyan una reflexión sobre temas relevantes de índole social, científica o ética. |
| CT2 | Capacidad para la gestión de la información, manejo y aplicación de las especificaciones técnica y la legislación necesaria para la práctica de la ingeniería. |
| Resultados de aprendizaje | |
| Resultado 1 | Ser capaz de desarrollar, mantener y evaluar servicios y sistemas software que satisfagan todos los requisitos del usuario y se comporten de forma fiable y eficiente, sean asequibles de desarrollar y mantener y cumplan normas de calidad, aplicando las teorías, principios, métodos y prácticas de la Ingeniería del Software. |
| Resultado 7 | Ser capaz de gestionar la información, manejar y aplicar las especificaciones técnicas y la legislación necesaria para la práctica de la ingeniería. |
| Resultado 8R | Ser capaz de evaluar las aplicaciones, instalaciones y sistemas informáticos. Conocer los estándares y normas de calidad aplicados a las TICs. |
| Resultado CIS1R | Capacidad para desarrollar, mantener y evaluar servicios y sistemas software que satisfagan todos los requisitos del usuario y se comporten de forma fiable y eficiente, sean asequibles de desarrollar y mantener y cumplan normas de calidad, aplicando las teorías, principios, métodos y prácticas de la Ingeniería del Software. |
| Resultado CIS5R | Capacidad de identificar, evaluar y gestionar los riesgos potenciales asociados que pudieran presentarse. |
Evaluación de aplicaciones, instalaciones y sistemas informáticos. El proceso de auditoría informática. Estándares y normas de calidad. Deontología del auditor informático. Impacto social y económico.
Contenidos para teoría y para prácticas. En teoría se ven los aspectos teóricos de esos temas y en prácticas los aspectos prácticos.
Capítulo 1: Sistemas de información.
Los sistemas de información (SI) ya implantados en las empresas son el objeto de estudio de las auditorías informáticas. Un buen SI garantiza que se produzca toda la información que la empresa necesita para su correcto funcionamiento, con un coste limitado. Por eso es muy importante comenzar la asignatura repasando conceptos e ideas sobre los SI que influyen en la manera de plantear una buena auditoría informática. Aplicaciones, instalaciones y sistemas informáticos.
Capítulo 2: Análisis de riesgos.
Los distintos componentes de un SI tienen un valor intrínseco y un valor derivado de la utilidad que tenga ese componente para la organización en la que se implanta. Por ejemplo, un servicio de venta on-line genera muchísimo valor para una empresa que venda producntos solo por internet. El análisis de riesgos estudia el valor de los componentes de un SI y cómo las distintas amenazas degradan ese valor. Es una herramienta fundamental a la hora de hacer auditorías.
Capítulo 3: Controles internos o Salvaguardas.
En todo buen SI debe haber controles que prevengan, detecten y corrijan situaciones anómalas que puedan hacer que el SI no funcione correctamente (amenazas(. Por eso una de las tareas de un auditor es revisar si existen dichos controles y su nivel de calidad.
Capítulo 4: Auditoría informática.
Antes de estudiar con detalle cuáles son los pasos a dar para realizar una buena auditoría informática, se estudia qué es una buena auditoría informática. De esta forma se podrán dar los pasos más adecuados para conseguir los mejores resultados con el menor coste. También se estudia la deontología del auditor informático que siempre debe regir el desarrollo de una auditoría.
Capítulo 5: Método de realización de una auditoría informática.
En este capítulo se explica de manera general en qué consisten los pasos para realizar una buena auditoría informática. Es un capítulo introductorio cuya misión es que el estudiante no se pierda en los siguientes capítulos y tenga claro en todo momento qué lugar ocupa cada paso en el proceso global de realización de la auditoría.
Capítulo 6: Preparación de una auditoría informática.
En una auditoría informática hay dos pasos claramente diferenciados, su planificación y su desarrollo. En este capítulo se estudia con detalle cómo debe prepararse una buena auditoría informática y cuáles son las tareas necesarias para planificar correctamente una auditoría siguiendo los estándares que se recogen en la norma UNE-ISO 19011:2018, Directrices para la auditoría de los sistemas de gestión.
Capítulo 7: Desarrollo de una auditoría informática.
En este capítulo se estudia con detalle cómo debe realizarse el trabajo de campo y el análisis de los resultados de la auditoría.
Capítulo 8: Auditorías en contextos específicos.
Los capítulos anteriores describen los pasos comunes necesarios para realizar cualquier auditoría. Sin embargo, según el contexto de auditoría de que se trate, hay aspectos concretos que deben tenerse en cuenta.
En este capítulo se estudian algunos contextos de auditoría que el estudiante va a encontrar durante su vida profesional y cómo afrontarlos correctamente, así como el Impacto social y económico de las auditorías informáticas en esoscontextos específicos.
Nota: Permite completar el estudio de la asignatura. En realidad, no es un capítulo separado, sino que su contenido se ve durante los ejercicios y casos prácticos que acompañan a los otros capítulos.
| ACTIVIDADES | HORAS PRESENCIALES | HORAS TRABAJO AUTÓNOMO | TOTAL HORAS | CRÉDITOS ECTS | COMPETENCIAS (códigos) |
|---|---|---|---|---|---|
A1 - Clases expositivas en gran grupo
|
25.0 | 37.5 | 62.5 | 2.5 |
|
A2R - Clases en pequeño grupo
|
30.0 | 45.0 | 75.0 | 3.0 |
|
A3R - Tutorías colectivas
|
0.0 | 12.5 | 12.5 | 0.5 |
|
| TOTALES: | 55.0 | 95.0 | 150.0 | 6.0 |
Uno de los errores más comunes en la docencia es considerar enseñanza y aprendizaje como dos procesos separados e independientes. La enseñanza y el aprendizaje forman parte de un todo. Por eso en esta asignatura no hay una distinción clara entre clase expositiva, evaluación de los resultados de aprendizaje, o casos prácticos, sino que todo se mezcla para facilitar el proceso de enseñanza-aprendizaje.
Nota: es importante recordar que cada crédito ECTS equivale a 10 clases con un esfuerzo por parte del estudiante de 25 horas.
Cada clase es un todo que se desarrolla en tres actos:
- Estudio previo - 60 minutos - En casa. Es trabajo
autónomo y previo. Cada estudiantes elige su ritmo y
repite las partes que necesite tantas veces como sea necesario.
- Descargar y estudiar el material de la clase (apuntes y/o minivideos y/o bibliografía).
- Anotar dudas.
- Autocomprobación.
- Volver a estudiar las partes con fallos.
- Puesta en acción - 50 minutos - En el aula
(física o virtual*). Es trabajo dirigido y colaborativo.
No se pierde el tiempo en explicar lo que se puede aprender de
forma autónoma, sino que se aprovecha en tareas que ayudan
a entender los estudiado.
- Registrar asistencia.
- Test de seguimiento de la asignatura (no en todas las sesiones en el aula).
- Preguntar dudas. Tomar notas de las respuestas.
- Participar en las tareas. Tomar notas.
- Aprendizaje - 30 minutos - En casa. Es trabajo
autónomo y posterior. Múliples notas para evaluar
en lugar de un único examen. Realimentación
inmediata sobre el progreso de aprendizaje, lo que permite
corregir hábitos de estudio.
- Repasar el material a la luz de lo aprendido en las tareas.
- Realizar el test de evaluación (no en todas las clases).
Este enfoque se aplica tanto a las clases teóricas, como a las prácticas. Lo que cambia es lo que hay que estudiar previamente y las tareas que se desarrollan en el aula (física o virtual*).
* La EPS ha establecido para esta asignatura un formato de clases presencial rotativa al 50%. Clase en el horario y aula asignados a una parte del grupo y retransmisión por videoconferencia al resto, con rotación periódica de estudiantes, según determine el Centro. El Centro podrá establecer un porcentaje de presencialidad distinto dependiendo del número de estudiantes y aforo del aula/laboratorio de acuerdo con las medidas sanitarias.
| ASPECTO | CRITERIOS | INSTRUMENTO | PESO |
|---|---|---|---|
| Asistencia y/o participación en actividades presenciales y/o virtuales | Asistencia y participación | Corrección de ejercicios en clase. | 10.0% |
| Conceptos teóricos de la materia | Conceptos teóricos de la materia | Examen teórico consistente en cuestiones y ejercicios. | 45.0% |
| Realización de trabajos, casos o ejercicios | Realización de trabajos, casos o ejercicios | Ejercicios específicos de clase que requieren investigar y documentarse. | 0.0% |
| Prácticas de laboratorio/campo/uso de herramientas TIC | Prácticas de laboratorio/ordenador | Prácticas en grupos de 4 o cinco personas. | 45.0% |
La nota final de la asignatura se obtiene a partir de múltiples notas a lo largo del curso. Esto tiene ventajas claras para el estudiante:
- No se lo juega todo en una sóla prueba.
- Tiene realimentación inmediata lo que le permite corregir hábitos de estudio.
Nota: Existe una repesca al final del cuatrimestre para quienes no hayan superado la parte de teoría y/o la de prácticas.
Notas que se recopilan durante el curso:
- Asistencia a teoría. Metodología: herramientas on-line de control de aistencia (tanto en clases físicas como virtuales), peso: 5%
- Estudio previo de la materia (teoría). Metodología: test on-line de evaluación mediante plataforma de docencia virtual, peso: 12,5%
- Aprendizaje teoría. Metodología: test on-line de evaluación mediante plataforma de docencia virtual, peso: 32,5%.
- Asistencia a prácticas. Metodología: herramientas on-line de control de aistencia (tanto en clases físicas como virtuales), peso: 5%
- Estudio previo de la materia (prácticas). Metodología: test on-line de evaluación mediante plataforma de docencia virtual, peso: 12,5%
- Aprendizaje prácticas. Metodología: test on-line de evaluación mediante plataforma de docencia virtual, peso: 32,5%.
Es necesario haber obtenido un 15% de la nota de cada apartado (1.5 sobre 10) para poder aprobar.
¿Por qué se evalúa la asistencia?
Un estudio de la Universidad de Cornell asegura que aquellos estudiantes que asisten a clase regularmente y toman sus propias notas obtienen mucho mejor resultado que aquellos estudiantes que no lo hacen. La asistencia a las clases (físicas o virtuales*) es vital.
¿Por qué se evalúa el estudio previo de la materia?
Si el estudiante no ha estudiado la materia previamente a la clase (física o virtual*), no endenderá las tareas que se realicen un no podrá participar en ellas. El estudio previo es una parte vital de la clase. Evaluar los conocimientos de la materia antes de la clase permite conocer si se ha hecho ese estudio o no.
En estos tests se pregunta sobre los aspectos teóricos de la materia que pueden estudiarse de forma autónoma.
¿Cómo se evalúa el aprendizaje?
Mediante tests en los que se pregunta sobre los aspectos prácticos (cómo poner en práctica la teoría) que se han visto en la clase (física o virtual*).
* La EPS ha establecido para esta asignatura un formato de clases presencial rotativa al 50%. Clase en el horario y aula asignados a una parte del grupo y retransmisión por videoconferencia al resto, con rotación periódica de estudiantes, según determine el Centro. El Centro podrá establecer un porcentaje de presencialidad distinto dependiendo del número de estudiantes y aforo del aula/laboratorio de acuerdo con las medidas sanitarias.
Las competencias y resultados de aprendizaje están vinculados al sistema de evaluación de la siguiente forma.
| Metodología | Competencia / resultado |
| Evaluación de asistencia | |
| Evaluación estudio previo | |
| Evaluación aprendizaje | CBR2, CBR3, CT2, R1, R7, R8R, CIS1R, CIS5R |
- Information systems control and audit. Edición: -. Autor: Weber, Ron. Editorial: London [etc.]: Prentice Hall, 1999 (C. Biblioteca)
- IT auditing: using controls to protect information assets. Edición: -. Autor: Davis, Chris. Editorial: New York [etc.]: McGraw-Hill c2007 (C. Biblioteca)
- Auditor's guide to information systems auditing [Recurso electrónico] . Edición: Hoboken, N.J. : J. Wiley & Sons, Inc., 2007.. Autor: Cascarino, Richard.. Editorial: - (C. Biblioteca)
- UNE-EN ISO 19011 Directrices para la auditoría de los sistemas de gestión. Edición: -. Autor: CTN 66 Gestión de la calidad y evaluación de la conformidad. Editorial: Comité europeo de normalización (C. Biblioteca)
- UNE-ISO 31000 Gestión del riesgo. Directrices. Edición: -. Autor: CTN 307 Gestión de riesgos (C. Biblioteca)
- UNE-ISO/TR 31004 IN Gestión del riesgo. Orientación para la implementación de la norma ISO 31000. Edición: -. Autor: Comité técnico AEN/CTN 307 Gestión de riesgos (C. Biblioteca)
| Semana | A1 - Clases expositivas en gran grupo | A2R - Clases en pequeño grupo | A3R - Tutorías colectivas | Trabajo autónomo | Observaciones | |
|---|---|---|---|---|---|---|
| Nº 1 1 - 7 feb. 2021 |
2.0 | 2.0 | 0.0 | 6.5 | Presentación - Sistemas de información | |
| Nº 2 8 - 14 feb. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Sistemas de información - Análisis de riesgos - Valoración activos | |
| Nº 3 15 - 21 feb. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Análisis de riesgos - Valoración amenazas | |
| Nº 4 22 - 28 feb. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Controles - Creación de controles | |
| Nº 5 1 - 7 mar. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Controles - Creación de controles | |
| Nº 6 8 - 14 mar. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Controles - Validación de controles | |
| Nº 7 15 - 21 mar. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Auditoría informática - Alcance | |
| Nº 8 22 - 28 mar. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Planificación de la auditoría - Obtener conocimiento global | |
| Nº 9 29 mar. - 4 abr. 2021 |
0.0 | 0.0 | 0.0 | 0.0 | Semana Santa | |
| Nº 10 5 - 11 abr. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Planificación de la auditoría - Plan / contrato | |
| Nº 11 12 - 18 abr. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Examen del Sistema de Información - Partición | |
| Nº 12 19 - 25 abr. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Examen del Sistema de Información - Listas de comprobación I | |
| Nº 13 26 abr. - 2 may. 2021 |
2.0 | 2.0 | 0.0 | 7.0 | Examen del Sistema de Información - Listas de comprobación II | |
| Nº 14 3 - 9 may. 2021 |
1.0 | 2.0 | 0.0 | 5.5 | Examen del Sistema de Información - Entrevistas | |
| Nº 15 10 - 16 may. 2021 |
0.0 | 2.0 | 0.0 | 3.0 | Examen del Sistema de información - Notas Informe | |
| Nº 16 17 - 19 may. 2021 |
0.0 | 2.0 | 0.0 | 3.0 | Repescas | |
| Total Horas | 25.0 | 30.0 | 0.0 | 95.0 | ||
La metodología docente, el sistema de evaluación (tests on-line) y los recursos son exactamente los mismos que en el escenario de docencia presencial normal.
Lo único que cambia es que las clases serán en formato semipresencial con asistencia rotatoria con un grado de presencialidad que variará entre el 25% y el 50%. El resto de los estudiantes podrán seguir las clases por medios telemáticos.
Si la Universidad proporciona los recursos, todas las clases serán grabadas por el profesor y puestas a disposición de los estudiantes de la asignatura, para su visualización asíncrona.
Se ha optado por esta configuración para que la transición entre los distintos escenarios no suponga ningún cambio ni a los estudiantes, ni al profesorado, al tiempo que se extreman las medidas de prevención frente a la Covid-19.
La metodología docente, el sistema de evaluación (tests on-line) y los recursos son exactamente los mismos que en el escenario de docencia presencial normal.
Lo único que cambia es que las clases serán impartidas/seguidas usando medios telemáticos.
Si la Universidad proporciona los recursos, todas las clases serán grabadas por el profesor y puestas a disposición de los estudiantes de la asignatura, para su visualización asíncrona.
Se ha optado por esta configuración para que la transición entre los distintos escenarios no suponga ningún cambio ni a los estudiantes, ni al profesorado, al tiempo que se extreman las medidas de prevención frente a la Covid-19.
Responsable del tratamiento: Universidad de Jaén, Campus Las Lagunillas, s/n, 23071 Jaén
Delegado de Protección de Datos:dpo@ujaen.es
Finalidad: Conforme a la Ley de Universidades y demás legislación estatal y autonómica vigente, realizar los exámenes correspondientes a las asignaturas en las que el alumno o alumna se encuentre matriculado. Con el fin de evitar fraudes en la realización del mismo, el examen se realizará en la modalidad de video llamada, pudiendo el personal de la Universidad de Jaén contrastar la imagen de la persona que está realizando la prueba de evaluación con los archivos fotográficos del alumno en el momento de la matrícula. Igualmente, con la finalidad de dotar a la prueba de evaluación de contenido probatorio de cara a revisiones o impugnaciones de la misma, de acuerdo con la normativa vigente, la prueba de evaluación será grabada.
Legitimación: cumplimiento de obligaciones legales (Ley de Universidades) y demás normativa estatal y autonómica vigente.
Destinatarios: prestadores de servicios titulares de las plataformas en las que se realicen las pruebas con los que la Universidad de Jaén tiene suscritos los correspondientes contratos de acceso a datos.
Plazos de conservación: los establecidos en la normativa aplicable. En el supuesto en concreto de las grabaciones de los exámenes, mientras no estén cerradas las actas definitivas y la prueba de evaluación pueda ser revisada o impugnada.
Derechos: puede ejercitar sus derechos de acceso, rectificación, cancelación, oposición, supresión, limitación y portabilidad remitiendo un escrito a la dirección postal o electrónica indicada anteriormente. En el supuesto que considere que sus derechos han sido vulnerados, puede presentar una reclamación ante el Consejo de Transparencia y Protección de Datos de Andalucía www.ctpdandalucia.es
Responsable del tratamiento: Universidad de Jaén, Paraje Las Lagunillas, s/n; Tel.953 212121; www.ujaen.es
Delegado de Protección de Datos (DPO): TELEFÓNICA, S.A.U. ; Email: dpo@ujaen.es
Finalidad del tratamiento: Gestionar la adecuada grabación de las sesiones docentes con el objetivo de hacer posible la enseñanza en un escenario de docencia multimodal y/o no presencial.
Plazo de conservación: Las imágenes serán conservadas durante los plazos legalmente previstos en la normativa vigente.
Legitimación: Los datos son tratados en base al cumplimiento de obligaciones legales (Ley Orgánica 6/2001, de 21 de diciembre, de Universidades) y el consentimiento otorgado mediante la marcación de la casilla habilitada a tal efecto.
Destinatarios de los datos (cesiones o transferencias): Toda aquella persona que vaya a acceder a las diferentes modalidades de enseñanza.
Derechos: Ud. podrá ejercitar los derechos de Acceso, Rectificación, Cancelación, Portabilidad, Limitación del tratamiento, Supresión o, en su caso, Oposición. Para ejercitar los derechos deberá presentar un escrito en la dirección arriba señalada dirigido al Servicio de Información, Registro y Administración Electrónica de la Universidad de Jaén, o bien, mediante correo electrónico a la dirección de correo electrónico. Deberá especificar cuál de estos derechos solicita sea satisfecho y, a su vez, deberá acompañarse de la fotocopia del DNI o documento identificativo equivalente. En caso de que actuara mediante representante, legal o voluntario, deberá aportar también documento que acredite la representación y documento identificativo del mismo. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrá interponer una reclamación ante el Consejo de Transparencia y Protección de Datos de Andalucía www.ctpdandalucia.es