Menú local
Guía docente 2021-22 - 74012006 - Auditoría y seguridad en sistemas de información
| TITULACIÓN: | Máster Univ. en Ingeniería informática (74012006) |
| CENTRO: | ESCUELA POLITÉCNICA SUPERIOR (JAÉN) |
| TITULACIÓN: | Doble Máster en Ingeniería informática y Seguridad informática (77612002) |
| CENTRO: | ESCUELA POLITÉCNICA SUPERIOR (JAÉN) |
| CURSO: | 2021-22 |
| ASIGNATURA: | Auditoría y seguridad en sistemas de información |
| NOMBRE: Auditoría y seguridad en sistemas de información | |||||
| CÓDIGO: 74012006 (*) | CURSO ACADÉMICO: 2021-22 | ||||
| TIPO: Obligatoria | |||||
| Créditos ECTS: 6.0 | CURSO: 1 | CUATRIMESTRE: SC | |||
| WEB: https://platea.ujaen.es | |||||
| NOMBRE: CARMONA DEL JESÚS, CRISTÓBAL JOSÉ | ||
| IMPARTE: Teoría - Prácticas [Profesor responsable] | ||
| DEPARTAMENTO: U118 - INFORMÁTICA | ||
| ÁREA: 075 - CIENCIA DE LA COMPUTACIÓN E INT. ARTIFICIAL | ||
| N. DESPACHO: A3 - A3-226 | E-MAIL: ccarmona@ujaen.es | TLF: 953211722 |
| TUTORÍAS: https://uvirtual.ujaen.es/pub/es/informacionacademica/tutorias/p/25933 | ||
| URL WEB: http://simidat.ujaen.es/members/cjcarmona | ||
| ORCID: - | ||
| NOMBRE: ARBOLEDAS MÁRQUEZ, JUAN LUIS | ||
| IMPARTE: Teoría - Prácticas | ||
| DEPARTAMENTO: - | ||
| ÁREA: - | ||
| N. DESPACHO: - | E-MAIL: - | TLF: - |
| TUTORÍAS: https://uvirtual.ujaen.es/pub/es/informacionacademica/tutorias/p/63961 | ||
| URL WEB: - | ||
| ORCID: - | ||
La presencia cada vez mayor de los Sistemas de
Información en todos los ámbitos de la sociedad
(comercio, entretenimiento, comunicaciones sociales, medios de
comunicación, etc.), junto con su elevado nivel de
conectividad, hacen que la eficiencia y seguridad de estos sistemas
sea un aspecto fundamental en su diseño y mantenimiento. Del
correcto desempeño de estas tareas se encarga la
auditoría y seguridad en los sistemas de información.
Resulta pues crucial el estudio de esta
materia para el desarrollo profesional de la ingeniería
informática.
El Centro podrá establecer presencialidad rotativa dependiendo del número de estudiantes y aforo del aula/laboratorio de acuerdo con las medidas sanitarias (clase en el horario y aula/laboratorio asignados a una parte del grupo y retransmisión por videoconferencia al resto, con rotación periódica de estudiantes, según determine el Centro).
El alumnado que presente necesidades específicas de apoyo educativo, lo ha de notificar personalmente al Servicio de Atención y Ayudas al Estudiante para proceder a realizar, en su caso, la adaptación curricular correspondiente.| código | Denominación de la competencia |
| CB10R | Que los estudiantes posean las habilidades de aprendizaje que les permitan continuar estudiando de un modo que habrá de ser en gran medida autodirigido o autónomo. |
| CB8R | Que los estudiantes sean capaces de integrar conocimientos y enfrentarse a la complejidad de formular juicios a partir de una información que, siendo incompleta o limitada, incluya reflexiones sobre las responsabilidades sociales y éticas vinculadas a la aplicación de sus conocimientos y juicios |
| CET1 | Capacidad para modelar, diseñar, definir la arquitectura, implantar, gestionar, operar, administrar y mantener aplicaciones, redes, sistemas, servicios y contenidos informáticos. |
| CET3 | Capacidad para asegurar, gestionar, auditar y certificar la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y productos informáticos. |
| CET4 | Capacidad para diseñar, desarrollar, gestionar y evaluar mecanismos de certificación y garantía de seguridad en el tratamiento y acceso a la información en un sistema de procesamiento local o distribuido. |
| CG1 | Capacidad para proyectar, calcular y diseñar productos, procesos e instalaciones en todos los ámbitos de la ingeniería informática. |
| CG10 | Capacidad para aplicar los principios de la economía y de la gestión de recursos humanos y proyectos, así como la legislación, regulación y normalización de la informática. |
| CG2 | Capacidad para la dirección de obras e instalaciones de sistemas informáticos, cumpliendo la normativa vigente y asegurando la calidad del servicio. |
| CG5 | Capacidad para la elaboración, planificación estratégica, dirección, coordinación y gestión técnica y económica de proyectos en todos los ámbitos de la Ingeniería en Informática siguiendo criterios de calidad y medioambientales. |
| CG7 | Capacidad para la puesta en marcha, dirección y gestión de procesos de fabricación de equipos informáticos, con garantía de la seguridad para las personas y bienes, la calidad final de los productos y su homologación. |
| CG8 | Capacidad para la aplicación de los conocimientos adquiridos y de resolver problemas en entornos nuevos o poco conocidos dentro de contextos más amplios y multidisciplinares, siendo capaces de integrar estos conocimientos. |
| CG9 | Capacidad para comprender y aplicar la responsabilidad ética, la legislación y la deontología profesional de la actividad de la profesión de Ingeniero en Informática. |
| CTI1 | Capacidad para trabajar, dirigir y gestionar conflictos en un grupo multidisciplinar y/o un entorno multilingüe. |
| CTI2 | Capacidad para la gestión de la información, manejo y aplicación de las especificaciones técnica y la legislación necesaria para la práctica de la ingeniería. |
| CTI3 | Capacidad de emprendimiento y cultura emprendedora. |
| CTI4 | Respeto a los derechos humanos y de los que sufren alguna discapacidad y voluntad para eliminar factores discriminatorios con género, origen, etc. |
| Resultados de aprendizaje | |
| Resultado 2.1R | Conocer los procesos de auditoría informática como mecanismo para garantizar el buen funcionamiento de un sistema informático. |
| Resultado 2.2R | Conocer las principales normas y certificaciones de Gestión de Seguridad de la Información. |
| Resultado 2.3R | Saber aplicar técnicas forenses para el análisis de incidencias en un sistema informático. |
| Resultado 2.4R | Conocer los principales mecanismos que permiten garantizar las buenas propiedades de la información en grandes redes de computadores. |
| Resultado 2.5R | Conocer los aspectos básicos de la legislación vigente en cuanto a protección de datos de carácter personal. |
- Auditoría de sistemas informáticos.
- Certificaciones.
- Delitos informáticos y análisis forense.
- Seguridad en sistemas de información.
- Leyes de protección de datos
PARTE TEÓRICA
Tema 1: Sistemas de Gestión de la Seguridad de la Información
- Tema 1.1: Buenas prácticas, normas y certificaciones.
- Tema 1.2: Protección de sistemas críticos.
- Tema 1.3: Desarrollo de Software Seguro.
Tema 2: Auditoría
- Tema 2.1: Sistemas de gestión de la inoformación
- Tema 2.2: Auditoría informática: método, preparación, realización y plan de contingencias.
Tema 3: Análisis forense y legislación
- Tema 3.1: Delitos informáticos y análisis forense.
- Tema 3.2: Leyes de protección de datos.
PARTE PRÁCTICA
Tema 1: Sistemas de Gestión de la Seguridad de la Información
- Práctica 1: Wargames
- Práctica 2: DSNIFF
- Práctica 3: NMAP
- Práctica 4: Modelado de amenazas
- Práctica 5: Aplicación sobre los sistemas de seguridad
Tema 2: Auditoría
- Práctica 1: Alcance de los activos. Mejoras
- Práctica 2: Amenazas y vulnerabilidades
- Práctica 3: Controles y riesgo residual
Tema 3: Análisis forense y legislación
- Práctica 1: Informática forense
| ACTIVIDADES | HORAS PRESENCIALES | HORAS TRABAJO AUTÓNOMO | TOTAL HORAS | CRÉDITOS ECTS | COMPETENCIAS (códigos) |
|---|---|---|---|---|---|
A1 - Clases expositivas en gran grupo
|
30.0 | 45.0 | 75.0 | 3.0 |
|
A2R - Clases en pequeño grupo
|
30.0 | 45.0 | 75.0 | 3.0 |
|
| TOTALES: | 60.0 | 90.0 | 150.0 | 6.0 |
- Lección magistral (Clases teóricas-expositivas)
Descripción: Presentación en el aula de los conceptos propios de la materia, haciendo uso de metodología expositiva con lecciones magistrales participativas y medios audiovisuales. Evaluación y examen de las capacidades adquiridas.
Propósito: Transmitir los contenidos de la materia, motivando al alumnado a la reflexión, facilitándole el descubrimiento de las relaciones entre diversos conceptos y formándole una mentalidad crítica.
- Actividades prácticas (Clases prácticas de laboratorio en aulas de informática)
Descripción: Actividades a través de las cuales se pretende mostrar al alumnado cómo debe actuar a partir de la aplicación de los conocimientos adquiridos.
Propósito: Desarrollo en el alumnado de las habilidades instrumentales de la materia.
- Seminarios
Descripción: Modalidad organizativa de los procesos de enseñanza y aprendizaje donde tratar en profundidad una temática relacionada con la materia. Incorpora actividades basadas en la indagación, el debate, la reflexión y el intercambio.
Propósito: Desarrollo en el alumnado de las
competencias cognitivas y procedimentales de la materia.
- Actividades no presenciales individuales (Estudio y trabajo autónomo)
Descripción:
- Actividades (guiadas y no guiadas) propuestas por el profesor, a través de las cuales, y de forma individual, se profundiza en aspectos concretos de la materia, posibilitando al estudiante avanzar en la adquisición de determinados conocimientos y procedimientos de la materia.
- Estudio individualizado de los contenidos de la materia.
- Actividades evaluadoras (informes, pruebas de autoevaluación, etc.).
Propósito: Favorecer en el estudiante la capacidad para autorregular su aprendizaje, planificándolo, diseñándolo, evaluándolo y adecuándolo a sus condiciones e intereses específicos.
- Actividades no presenciales grupales (Estudio y trabajo en grupo)
Descripción: Actividades (guiadas y no guiadas)
propuestas por el profesor, a través de las cuales se
profundiza en grupo en aspectos concretos de la materia,
posibilitando a los estudiantes avanzar en la adquisición de
determinados conocimientos y procedimientos de la materia.
Propósito: Favorecer en los estudiantes la generación e intercambio de ideas, la identificación y análisis de diferentes puntos de vista sobre una temática, la generalización o transferencia de conocimiento y la valoración crítica del mismo.
- Tutorías académicas
Descripción: Manera de organizar los procesos de
enseñanza y aprendizaje que se basa en la interacción
directa entre el estudiante y el profesor.
Proposito:
- Orientar el trabajo autónomo y grupal del alumnado.
- Profundizar en distintos aspectos de la materia.
- Orientar la formación académica integral del estudiante.
| ASPECTO | CRITERIOS | INSTRUMENTO | PESO |
|---|---|---|---|
| Asistencia y/o participación en actividades presenciales y/o virtuales | - Asistencia y participación en las clases teóricas. - Asistencia y participación en las sesiones de prácticas. | Observación y notas del profesor | 20.0% |
| Conceptos teóricos de la materia | Dominio de los conocimientos teóricos y operativos de la materia | Examen escrito: - Preguntas objetivas. - Preguntas de respuesta breve | 50.0% |
| Realización de trabajos, casos o ejercicios | - Dominio de los conocimientos prácticos de la materia. - Presentación de trabajos prácticos y validación de los mismos. | - Memoria en formato electrónico. - Formatos abiertos (pdf, OpenDocument, HTML) - Incluir todo el material que considere oportuno | 30.0% |
Atendiendo a lo recogido en el art. 13 del Reglamento de Régimen Académico y de Evaluación del alumnado de la Universidad de Jaén, la evaluación de la asignatura será global.
Para alcanzar las competencias de la asignatura se evaluarán los siguientes aspectos:
- Participación: participación activa del alumno en clases y seminarios, y realización, exposición y debate de los casos prácticos que se vayan proponiendo en clase (tanto de teoría como de prácticas).
- Pruebas escritas: examen final escrito de la parte de teoría y entrega de memorias de prácticas que se defenderán ante el profesor, o en su caso, superación de un examen de prácticas.
- La asistencia y aprovechamiento de las clases prácticas supondrá que el alumno no tendrá que realizar forzosamente el examen práctico. En ese caso, la nota final de prácticas se obtendrá de la evaluación continuada y la entrega y defensa de las prácticas ante el profesor.
Los objetos que NO vayan a ser utilizados para la realización del examen (libro, teléfonos móviles, etc.) se depositarán en el lugar que indiquen los profesores.
No se permitirá ni el uso ni la posesión de aparatos electrónicos, teléfonos móviles (encendidos o apagados), libros, apuntes, instrumentos particulares ni otros objetos distintos de los especificados por los profesores.
COMPETENCIAS POR SISTEMA DE EVALUACIÓN:
Con este sistema se evaluarán las competencias CB10R, CB8R, CET1, CET3, CET4, CG1, CG10, CG2, CG5, CG7, CG8, CG9, CTI1, CTI2, CTI3 y CTI4.
RESULTADOS POR SISTEMA DE EVALUACIÓN:
Tanto con la evaluación de la parte teórica de la asignatura como con la parte práctica se consigue evaluar de forma adecuada los resultados de aprendizaje de la asignatura 2.1R, 2.2R, 2.3R, 2.4R y 2.5R.
- Threat modeling [Recurso electrónico] : designing for security. Edición: -. Autor: Shostack, Adam. Editorial: Indianapolis, IN : J. Wiley & Sons, c2014 (C. Biblioteca)
- Técnicas de análisis forense informático para peritos judiciales profesionales . Edición: -. Autor: Vila Avendaño, Pilar. Editorial: Madrid : ZeroXword Computing, 2017 (C. Biblioteca)
- Information systems control and audit. Edición: -. Autor: Weber, Ron. Editorial: London [etc.]: Prentice Hall, 1999 (C. Biblioteca)
- Auditoría informática en la empresa. Edición: -. Autor: Acha Iturmendi, J. José. Editorial: Madrid: Paraninfo, 1994 (C. Biblioteca)
- Auditoría informatica. Edición: -. Autor: Alonso Rivas, Gonzalo. Editorial: Madrid: Díaz de Santos, D.L. 1989 (C. Biblioteca)
- Técnicas de la auditoría informática. Edición: -. Autor: Derrien, Yann. Editorial: Barcelona: Marcombo, D.L. 1994 (C. Biblioteca)
- Auditoría informática: un enfoque práctico. Edición: 2 ed. amp. y rev. Autor: -. Editorial: Madrid: ra-ma, 2001 (C. Biblioteca)
- Auditoría informática. Edición: -. Autor: Thomas, A. J.. Editorial: Madrid: Paninfo, 1987 (C. Biblioteca)
- La auditoría informática: métodos, reglas, normas. Edición: -. Autor: Thorin, Marc. Editorial: Barcelona: Masson, 1989 (C. Biblioteca)
- Auditing EDP systems. Edición: -. Autor: Watne, Donald A.. Editorial: Englewood Cliffs (New Jersey): Prentice Hall, cop. 1990 (C. Biblioteca)
|
Semana |
A1 |
A2 |
A3 |
T.A. |
Observaciones |
|
Nº 1: 14 feb - 20 feb 2021 |
2 |
2 |
|
|
Tema 1 |
|
Nº 2: 21 feb - 27 feb 2021 |
2 |
2 |
|
|
Tema 1 |
|
Nº 3: 28 feb - 6 mar 2021 |
2 |
2 |
|
|
Tema 1 |
|
Nº 4: 7 - 13 mar 2021 |
2 |
2 |
|
|
Tema 1 |
|
Nº 5:
|
2 |
2 |
|
|
Tema 1 |
|
Nº 6:
|
2
|
2
|
|
|
Tema 2 |
|
Nº 7:
28 mar - 3 abr 2021 |
2 |
2 |
|
|
Tema 2
|
|
Nº 8:
|
2 |
2 |
|
|
Tema 2 |
|
Período no docente: 11 - 17 abr 2021 |
|
|
|
|
|
|
Nº 9:
|
2 |
2 |
|
|
Tema 2 |
|
Nº 10:
|
2 |
2 |
|
|
Tema 2
|
|
Nº 11:
|
2 |
2 |
|
|
Tema 3
|
|
Nº 12:
|
2 |
2 |
|
|
Tema 3
|
|
Nº 13:
|
2 |
2 |
|
|
Tema 3 |
|
Nº 14:
|
2 |
2 |
|
|
Tema 3 |
|
Nº 15:
|
2 |
2 |
|
|
Tema 3
|
|
Total |
30 |
30 |
Las actividades que no puedan realizarse de forma presencial se desarrollarán en formato semipresencial con asistencia rotatoria, y utilización de sistemas de videoconferencia, siempre que el aforo y la infraestructura del espacio asignado para la docencia de la asignatura lo permitan.
El Centro podrá variar el porcentaje de presencialidad dependiendo del número de estudiantes y el aforo del aula/laboratorio de acuerdo con las medidas sanitarias. En caso de presencialidad inferior al 100%, se realizará rotación periódica de estudiantes según determine el Centro.
Queda expresamente prohibida la grabación por ningún medio de las actividades presenciales o no presenciales síncronas.
Las actividades que no puedan realizarse de forma presencial se realizarán mediante actividades síncronas y/o asíncronas realizadas mediante la plataforma de docencia virtual.
Queda expresamente prohibida la grabación por ningún medio de las actividades presenciales o no presenciales síncronas.
El sistema e instrumentos de evaluación serán los mismos que para la modalidad presencial, sustituyendo las pruebas presenciales por pruebas similares desarrolladas mediante el uso de la plataforma de docencia online, siempre que se garantice la identidad del estudiante.
Responsable del tratamiento: Universidad de Jaén, Campus Las Lagunillas, s/n, 23071 Jaén
Delegado de Protección de Datos:dpo@ujaen.es
Finalidad: Conforme a la Ley de Universidades y demás legislación estatal y autonómica vigente, realizar los exámenes correspondientes a las asignaturas en las que el alumno o alumna se encuentre matriculado. Con el fin de evitar fraudes en la realización del mismo, el examen se realizará en la modalidad de video llamada, pudiendo el personal de la Universidad de Jaén contrastar la imagen de la persona que está realizando la prueba de evaluación con los archivos fotográficos del alumno en el momento de la matrícula. Igualmente, con la finalidad de dotar a la prueba de evaluación de contenido probatorio de cara a revisiones o impugnaciones de la misma, de acuerdo con la normativa vigente, la prueba de evaluación será grabada.
Legitimación: cumplimiento de obligaciones legales (Ley de Universidades) y demás normativa estatal y autonómica vigente.
Destinatarios: prestadores de servicios titulares de las plataformas en las que se realicen las pruebas con los que la Universidad de Jaén tiene suscritos los correspondientes contratos de acceso a datos.
Plazos de conservación: los establecidos en la normativa aplicable. En el supuesto en concreto de las grabaciones de los exámenes, mientras no estén cerradas las actas definitivas y la prueba de evaluación pueda ser revisada o impugnada.
Derechos: puede ejercitar sus derechos de acceso, rectificación, cancelación, oposición, supresión, limitación y portabilidad remitiendo un escrito a la dirección postal o electrónica indicada anteriormente. En el supuesto que considere que sus derechos han sido vulnerados, puede presentar una reclamación ante el Consejo de Transparencia y Protección de Datos de Andalucía www.ctpdandalucia.es
Responsable del tratamiento: Universidad de Jaén, Paraje Las Lagunillas, s/n; Tel.953 212121; www.ujaen.es
Delegado de Protección de Datos (DPO): TELEFÓNICA, S.A.U. ; Email: dpo@ujaen.es
Finalidad del tratamiento: Gestionar la adecuada grabación de las sesiones docentes con el objetivo de hacer posible la enseñanza en un escenario de docencia multimodal y/o no presencial.
Plazo de conservación: Las imágenes serán conservadas durante los plazos legalmente previstos en la normativa vigente.
Legitimación: Los datos son tratados en base al cumplimiento de obligaciones legales (Ley Orgánica 6/2001, de 21 de diciembre, de Universidades) y el consentimiento otorgado mediante la marcación de la casilla habilitada a tal efecto.
Destinatarios de los datos (cesiones o transferencias): Toda aquella persona que vaya a acceder a las diferentes modalidades de enseñanza.
Derechos: Ud. podrá ejercitar los derechos de Acceso, Rectificación, Cancelación, Portabilidad, Limitación del tratamiento, Supresión o, en su caso, Oposición. Para ejercitar los derechos deberá presentar un escrito en la dirección arriba señalada dirigido al Servicio de Información, Registro y Administración Electrónica de la Universidad de Jaén, o bien, mediante correo electrónico a la dirección de correo electrónico. Deberá especificar cuál de estos derechos solicita sea satisfecho y, a su vez, deberá acompañarse de la fotocopia del DNI o documento identificativo equivalente. En caso de que actuara mediante representante, legal o voluntario, deberá aportar también documento que acredite la representación y documento identificativo del mismo. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrá interponer una reclamación ante el Consejo de Transparencia y Protección de Datos de Andalucía www.ctpdandalucia.es