Universidad de Jaén

Menú local

Guía docente 2023-24 - 74012006 - Auditoría y seguridad en sistemas de información

TITULACIÓN: Máster Univ. en Ingeniería informática (74012006)
CENTRO: ESCUELA POLITÉCNICA SUPERIOR (JAÉN)
TITULACIÓN: Doble Máster en Ingeniería informática y Seguridad informática (77612002)
CENTRO: ESCUELA POLITÉCNICA SUPERIOR (JAÉN)
CURSO: 2023-24
ASIGNATURA: Auditoría y seguridad en sistemas de información
GUÍA DOCENTE
1. DATOS BÁSICOS DE LA ASIGNATURA
NOMBRE: Auditoría y seguridad en sistemas de información
CÓDIGO: 74012006 (*) CURSO ACADÉMICO: 2023-24
TIPO: Obligatoria
Créditos ECTS: 6.0 CURSO: 1 CUATRIMESTRE: SC
WEB: https://platea.ujaen.es
2. DATOS BÁSICOS DEL PROFESORADO
NOMBRE: CARMONA DEL JESÚS, CRISTÓBAL JOSÉ
IMPARTE: Teoría - Prácticas [Profesor responsable]
DEPARTAMENTO: U118 - INFORMÁTICA
ÁREA: 075 - CIENCIA DE LA COMPUTACIÓN E INT. ARTIFICIAL
N. DESPACHO: A3 - A3-226 E-MAIL: ccarmona@ujaen.es TLF: 953211722
TUTORÍAS: https://uvirtual.ujaen.es/pub/es/informacionacademica/tutorias/p/25933
URL WEB: http://simidat.ujaen.es/members/cjcarmona
ORCID: -
 
NOMBRE: MATA MATA, FRANCISCO
IMPARTE: Teoría - Prácticas
DEPARTAMENTO: U118 - INFORMÁTICA
ÁREA: 570 - LENGUAJES Y SISTEMAS INFORMÁTICOS
N. DESPACHO: A3 - 144 E-MAIL: fmata@ujaen.es TLF: 953212202
TUTORÍAS: https://uvirtual.ujaen.es/pub/es/informacionacademica/tutorias/p/63651
URL WEB: -
ORCID: https://orcid.org/0000-0001-6099-0016
 
3. PRERREQUISITOS, CONTEXTO Y RECOMENDACIONES
PRERREQUISITOS:
-
CONTEXTO DENTRO DE LA TITULACIÓN:

La presencia cada vez mayor de los Sistemas de Información en todos los ámbitos de la sociedad (comercio, entretenimiento, comunicaciones sociales, medios de comunicación, etc.), junto con su elevado nivel de conectividad, hacen que la eficiencia y seguridad de estos sistemas sea un aspecto fundamental en su diseño y mantenimiento. Del correcto desempeño de estas tareas se encarga la auditoría y seguridad en los sistemas de información.
Resulta pues crucial el estudio de esta materia para el desarrollo profesional de la ingeniería informática.

RECOMENDACIONES Y ADAPTACIONES CURRICULARES:

El Centro podrá establecer un porcentaje de presencialidad distinto dependiendo del número de estudiantes y aforo del aula/laboratorio.

El alumnado que presente necesidades específicas de apoyo educativo, lo ha de notificar personalmente al Servicio de Atención y Ayudas al Estudiante para proceder a realizar, en su caso, la adaptación curricular correspondiente.
4. COMPETENCIAS Y RESULTADOS DE APRENDIZAJE
código Denominación de la competencia
CB10R Que los estudiantes posean las habilidades de aprendizaje que les permitan continuar estudiando de un modo que habrá de ser en gran medida autodirigido o autónomo.
CB8R Que los estudiantes sean capaces de integrar conocimientos y enfrentarse a la complejidad de formular juicios a partir de una información que, siendo incompleta o limitada, incluya reflexiones sobre las responsabilidades sociales y éticas vinculadas a la aplicación de sus conocimientos y juicios
CET1 Capacidad para modelar, diseñar, definir la arquitectura, implantar, gestionar, operar, administrar y mantener aplicaciones, redes, sistemas, servicios y contenidos informáticos.
CET3 Capacidad para asegurar, gestionar, auditar y certificar la calidad de los desarrollos, procesos, sistemas, servicios, aplicaciones y productos informáticos.
CET4 Capacidad para diseñar, desarrollar, gestionar y evaluar mecanismos de certificación y garantía de seguridad en el tratamiento y acceso a la información en un sistema de procesamiento local o distribuido.
CG1 Capacidad para proyectar, calcular y diseñar productos, procesos e instalaciones en todos los ámbitos de la ingeniería informática.
CG10 Capacidad para aplicar los principios de la economía y de la gestión de recursos humanos y proyectos, así como la legislación, regulación y normalización de la informática.
CG2 Capacidad para la dirección de obras e instalaciones de sistemas informáticos, cumpliendo la normativa vigente y asegurando la calidad del servicio.
CG5 Capacidad para la elaboración, planificación estratégica, dirección, coordinación y gestión técnica y económica de proyectos en todos los ámbitos de la Ingeniería en Informática siguiendo criterios de calidad y medioambientales.
CG7 Capacidad para la puesta en marcha, dirección y gestión de procesos de fabricación de equipos informáticos, con garantía de la seguridad para las personas y bienes, la calidad final de los productos y su homologación.
CG8 Capacidad para la aplicación de los conocimientos adquiridos y de resolver problemas en entornos nuevos o poco conocidos dentro de contextos más amplios y multidisciplinares, siendo capaces de integrar estos conocimientos.
CG9 Capacidad para comprender y aplicar la responsabilidad ética, la legislación y la deontología profesional de la actividad de la profesión de Ingeniero en Informática.
CTI1 Capacidad para trabajar, dirigir y gestionar conflictos en un grupo multidisciplinar y/o un entorno multilingüe.
CTI2 Capacidad para la gestión de la información, manejo y aplicación de las especificaciones técnica y la legislación necesaria para la práctica de la ingeniería.
CTI3 Capacidad de emprendimiento y cultura emprendedora.
CTI4 Respeto a los derechos humanos y de los que sufren alguna discapacidad y voluntad para eliminar factores discriminatorios con género, origen, etc.
 
Resultados de aprendizaje
Resultado 2.1R Conocer los procesos de auditoría informática como mecanismo para garantizar el buen funcionamiento de un sistema informático.
Resultado 2.2R Conocer las principales normas y certificaciones de Gestión de Seguridad de la Información.
Resultado 2.3R Saber aplicar técnicas forenses para el análisis de incidencias en un sistema informático.
Resultado 2.4R Conocer los principales mecanismos que permiten garantizar las buenas propiedades de la información en grandes redes de computadores.
Resultado 2.5R Conocer los aspectos básicos de la legislación vigente en cuanto a protección de datos de carácter personal.
5. CONTENIDOS

  • Auditoría de sistemas informáticos.
  • Certificaciones.
  • Delitos informáticos y análisis forense.
  • Seguridad en sistemas de información.
  • Leyes de protección de datos

PARTE TEÓRICA

Tema 1: Sistemas de Gestión de la Seguridad de la Información.

  • Tema 1.1: Buenas prácticas, normas y certificaciones.
  • Tema 1.2: Protección de sistemas críticos.
  • Tema 1.3: Desarrollo de Software Seguro.

Tema 2: Auditoría.

  • Tema 2.1: Sistemas de gestión de la información.
  • Tema 2.2: Auditoría informática: método, preparación, realización y plan de contingencias.

Tema 3: Análisis forense y legislación.

  • Tema 3.1: Delitos informáticos y análisis forense.
  • Tema 3.2: Leyes de protección de datos.

 

PARTE PRÁCTICA

Tema 1: Sistemas de Gestión de la Seguridad de la Información.

  • Práctica 1: Wargames.
  • Práctica 2: DSNIFF.
  • Práctica 3: NMAP.
  • Práctica 4: Modelado de amenazas.
  • Práctica 5: Aplicación sobre los sistemas de seguridad.

Tema 2: Auditoría.

  • Práctica 1: Alcance de los activos. Mejoras.
  • Práctica 2: Amenazas y vulnerabilidades.
  • Práctica 3: Controles y riesgo residual.

Tema 3: Análisis forense y legislación.

  • Práctica 1: Informática forense.

6. METODOLOGÍA Y ACTIVIDADES
 
ACTIVIDADES HORAS PRESEN­CIALES HORAS TRABAJO AUTÓ­NOMO TOTAL HORAS CRÉDITOS ECTS COMPETENCIAS (códigos)
A1 - Clases expositivas en gran grupo
  • M1 - Clases magistrales
  • M2 - Exposición de teoría y ejemplos generales
 30.0 45.0 75.0 3.0
  • CB10R
  • CB8R
  • CET1
  • CET3
  • CET4
  • CG1
  • CG10
  • CG2
  • CG5
  • CG7
  • CG8
  • CG9
  • CTI1
  • CTI2
  • CTI3
  • CTI4
A2R - Clases en pequeño grupo
  • M7MF - Aulas de informática
 30.0 45.0 75.0 3.0
  • CB10R
  • CB8R
  • CET1
  • CET3
  • CET4
  • CG1
  • CG10
  • CG2
  • CG5
  • CG7
  • CG8
  • CG9
  • CTI1
  • CTI2
  • CTI3
  • CTI4
TOTALES: 60.0 90.0 150.0 6.0  
 
INFORMACIÓN DETALLADA:
  • Lección magistral (Clases teóricas-expositivas)

Descripción: Presentación en el aula de los conceptos propios de la materia, haciendo uso de metodología expositiva con lecciones magistrales participativas y medios audiovisuales. Evaluación y examen de las capacidades adquiridas.

Propósito: Transmitir los contenidos de la materia, motivando al alumnado a la reflexión, facilitándole el descubrimiento de las relaciones entre diversos conceptos y formándole una mentalidad crítica.

  • Actividades prácticas (Clases prácticas de laboratorio en aulas de informática)

Descripción: Actividades a través de las cuales se pretende mostrar al alumnado cómo debe actuar a partir de la aplicación de los conocimientos adquiridos.

Propósito: Desarrollo en el alumnado de las habilidades instrumentales de la materia.

  • Seminarios

Descripción: Modalidad organizativa de los procesos de enseñanza y aprendizaje donde tratar en profundidad una temática relacionada con la materia. Incorpora actividades basadas en la indagación, el debate, la reflexión y el intercambio.

Propósito: Desarrollo en el alumnado de las competencias cognitivas y procedimentales de la materia.

  • Actividades no presenciales individuales (Estudio y trabajo autónomo)

Descripción:

  1. Actividades (guiadas y no guiadas) propuestas por el profesor, a través de las cuales, y de forma individual, se profundiza en aspectos concretos de la materia, posibilitando al estudiante avanzar en la adquisición de determinados conocimientos y procedimientos de la materia.
  2. Estudio individualizado de los contenidos de la materia.
  3. Actividades evaluadoras (informes, pruebas de autoevaluación, etc.).

Propósito: Favorecer en el estudiante la capacidad para autorregular su aprendizaje, planificándolo, diseñándolo, evaluándolo y adecuándolo a sus condiciones e intereses específicos.

  • Actividades no presenciales grupales (Estudio y trabajo en grupo)

Descripción: Actividades (guiadas y no guiadas) propuestas por el profesor, a través de las cuales se profundiza en grupo en aspectos concretos de la materia, posibilitando a los estudiantes avanzar en la adquisición de determinados conocimientos y procedimientos de la materia.

Propósito: Favorecer en los estudiantes la generación e intercambio de ideas, la identificación y análisis de diferentes puntos de vista sobre una temática, la generalización o transferencia de conocimiento y la valoración crítica del mismo.

  • Tutorías académicas

Descripción: Manera de organizar los procesos de enseñanza y aprendizaje que se basa en la interacción directa entre el estudiante y el profesor.

Propósito:

  1. Orientar el trabajo autónomo y grupal del alumnado.
  2. Profundizar en distintos aspectos de la materia.
  3. Orientar la formación académica integral del estudiante.
7. SISTEMA DE EVALUACIÓN
 
ASPECTO CRITERIOS INSTRUMENTO PESO
Asistencia y/o participación en actividades presenciales y/o virtuales - Asistencia y participación en las clases teóricas. - Asistencia y participación en las sesiones de prácticas. Observación y notas del profesor 20.0%
Conceptos teóricos de la materia Dominio de los conocimientos teóricos y operativos de la materia Examen escrito: - Preguntas objetivas. - Preguntas de respuesta breve 50.0%
Realización de trabajos, casos o ejercicios - Dominio de los conocimientos prácticos de la materia. - Presentación de trabajos prácticos y validación de los mismos. - Memoria en formato electrónico. - Formatos abiertos (pdf, OpenDocument, HTML) - Incluir todo el material que considere oportuno 30.0%
El sistema de calificación se regirá por lo establecido en el RD 1125/2003 de 5 de septiembre por el que se establece el sistema europeo de créditos y el sistema de calificaciones en la titulaciones universitarias de carácter oficial
INFORMACIÓN DETALLADA:

Atendiendo a lo recogido en el art. 13 del Reglamento de Régimen Académico y de Evaluación del alumnado de la Universidad de Jaén, la evaluación de la asignatura será global.

Para alcanzar las competencias de la asignatura se evaluarán los siguientes aspectos:

  • Participación: participación activa del alumno en clases y seminarios, y realización, exposición y debate de los casos prácticos que se vayan proponiendo en clase (tanto de teoría como de prácticas).
  • Pruebas escritas: examen final escrito de la parte de teoría y entrega de memorias de prácticas que se defenderán ante el profesor, o en su caso, superación de un examen de prácticas.
  • La asistencia y aprovechamiento de las clases prácticas supondrá que el alumno no tendrá que realizar forzosamente el examen práctico. En ese caso, la nota final de prácticas se obtendrá de la evaluación continuada y la entrega y defensa de las prácticas ante el profesor.

Los objetos que NO vayan a ser utilizados para la realización del examen (libro, teléfonos móviles, etc.) se depositarán en el lugar que indiquen los profesores.

No se permitirá ni el uso ni la posesión de aparatos electrónicos, teléfonos móviles (encendidos o apagados), libros, apuntes, instrumentos particulares ni otros objetos distintos de los especificados por los profesores.

COMPETENCIAS POR SISTEMA DE EVALUACIÓN:

Con este sistema se evaluarán las competencias CB10R, CB8R, CET1, CET3, CET4, CG1, CG10, CG2, CG5, CG7, CG8, CG9, CTI1, CTI2, CTI3 y CTI4.

RESULTADOS POR SISTEMA DE EVALUACIÓN:

Tanto con la evaluación de la parte teórica de la asignatura como con la parte práctica se consigue evaluar de forma adecuada los resultados de aprendizaje de la asignatura 2.1R, 2.2R, 2.3R, 2.4R y 2.5R.

8. DOCUMENTACIÓN / BIBLIOGRAFÍA
ESPECÍFICA O BÁSICA:
  • Threat modeling [Recurso electrónico] : designing for security. Edición: -. Autor: Shostack, Adam. Editorial: Indianapolis, IN : J. Wiley & Sons, c2014  (C. Biblioteca)
  • Técnicas de análisis forense informático para peritos judiciales profesionales . Edición: -. Autor: Vila Avendaño, Pilar. Editorial: Madrid : ZeroXword Computing, 2017  (C. Biblioteca)
  • Information systems control and audit. Edición: -. Autor: Weber, Ron. Editorial: London [etc.]: Prentice Hall, 1999  (C. Biblioteca)
  • Auditoría informática en la empresa. Edición: -. Autor: Acha Iturmendi, J. José. Editorial: Madrid: Paraninfo, 1994  (C. Biblioteca)
GENERAL Y COMPLEMENTARIA:
  • Auditoría informatica. Edición: -. Autor: Alonso Rivas, Gonzalo. Editorial: Madrid: Díaz de Santos, D.L. 1989  (C. Biblioteca)
  • Técnicas de la auditoría informática. Edición: -. Autor: Derrien, Yann. Editorial: Barcelona: Marcombo, D.L. 1994  (C. Biblioteca)
  • Auditoría informática: un enfoque práctico. Edición: 2 ed. amp. y rev. Autor: -. Editorial: Madrid: ra-ma, 2001  (C. Biblioteca)
  • Auditoría informática. Edición: -. Autor: Thomas, A. J.. Editorial: Madrid: Paninfo, 1987  (C. Biblioteca)
  • La auditoría informática: métodos, reglas, normas. Edición: -. Autor: Thorin, Marc. Editorial: Barcelona: Masson, 1989  (C. Biblioteca)
  • Auditing EDP systems. Edición: -. Autor: Watne, Donald A.. Editorial: Englewood Cliffs (New Jersey): Prentice Hall, cop. 1990  (C. Biblioteca)
9. CRONOGRAMA

Semana

A1

A2

A3

T.A.

Observaciones

Nº 1:

12 feb - 16 feb 2024

2

2

 

 6

Tema 1 (T y P)

Nº 2:

19 feb - 23 feb 2024

2

2

 

 6

Tema 1 (T y P)

Nº 3:

26 feb - 1 mar 2024

2

2

 

 6

Tema 1 (T y P)

Nº 4:

4 mar - 8 mar 2024

2

2

 

 6

Tema 1 (T y P)

Nº 5:

11 mar - 15 mar 2024

2

2

 

 6

Tema 1 (T y P)

Nº 6:
18 mar - 22 mar 2024

2

2

 

 6

Tema 2 (T y P)

Nº 7:
1 abr - 5 abr 2024

2

2

 

 6

Tema 2 (T y P)

Nº 8:
8 abr - 12 abr 2024

 2

 2

 

 6

 Tema 2 (T y P)

Nº 9:
15 abr - 19 abr 2024

2

2

 

 6

Tema 2 (T y P)

Nº 10:
22 abr - 26 abr  2024

2

2

 

 6

Tema 2 (T y P)

Nº 11:
29 abr - 3 may 2024

2

2

 

 6

Tema 3 (T y P)

Nº 12:
6 may - 10 may 2024

2

2

 

 6

Tema 3 (T y P)

Nº 13:
13 may - 17 may 2024

2

2

 

 6

Tema 3 (T y P)

Nº 14:
20 may - 24 may 2024

2

2

 

 6

Tema 3 (T y P)

Nº 15:
27 may - 31 may 2024

2

2

 

 6

Tema 3 (T y P)

Total

30

30

   90  
10. ESCENARIO MULTIMODAL O MIXTO

1) METODOLOGÍA DOCENTE Y ACTIVIDADES FORMATIVAS.

A1 - Clases expositivas en gran grupo. En modalidad presencial al 100% (*). Clase a todos los estudiantes del grupo en el horario y aula asignados.

A2 - Clases en pequeño grupo. En modalidad presencial al 100% (*). Clase a todos los estudiantes del grupo en el horario y aula asignados.

(*) El Centro podrá establecer un porcentaje de presencialidad distinto dependiendo del número de estudiantes y aforo del aula/laboratorio.

2) SISTEMA DE EVALUACIÓN

El sistema e instrumentos de evaluación serán los mismos que para la modalidad presencial, sustituyendo las pruebas presenciales en el caso de los grupos con turno a distancia en la rotación por pruebas similares desarrolladas mediante el uso de la plataforma de docencia online u otras que la Universidad de Jaén permita o habilite, siempre que quede garantizada la identificación del estudiante.

3) RECURSOS.

Se utilizarán los sistemas de videoconferencia que estén disponibles en los espacios que se habiliten para la docencia, así como las plataformas digitales disponibles en la Universidad de Jaén.

Queda expresamente prohibida la grabación, retransmisión o reproducción del discurso, imagen, voz y explicaciones de cátedra por ningún medio en las actividades presenciales o no presenciales síncronas sin permiso explícito del personal docente que imparte la actividad.

11. ESCENARIO NO PRESENCIAL

1) METODOLOGÍA DOCENTE Y ACTIVIDADES FORMATIVAS.

Las actividades docentes, cuando estas no puedan realizarse de forma presencial lo harán mediante actividades síncronas y/o asíncronas realizadas a través de las plataformas y herramientas de educación a distancia (videoconferencia y docencia virtual) que proporcione la Universidad de Jaén.

2) SISTEMA DE EVALUACIÓN.

El sistema e instrumentos de evaluación serán los mismos que para la modalidad presencial, sustituyendo las pruebas presenciales por pruebas similares desarrolladas mediante el uso de la plataforma de docencia online u otras que la Universidad permita o habilite, siempre que quede garantizada la identificación del estudiante.

3) RECURSOS.

Se utilizarán los sistemas de videoconferencia que estén disponibles en los espacios que se habiliten para la docencia, así como las plataformas digitales disponibles en la Universidad de Jaén.

Queda expresamente prohibida la grabación, retransmisión o reproducción de su discurso, imagen, voz y explicaciones de cátedra por ningún medio en las actividades presenciales o no presenciales síncronas sin permiso explícito del personal docente que imparte la actividad.

CLÁUSULA DE PROTECCIÓN DE DATOS (evaluación on-line)

Responsable del tratamiento: Universidad de Jaén, Campus Las Lagunillas, s/n, 23071 Jaén

Delegado de Protección de Datos:dpo@ujaen.es

Finalidad: Conforme a la Ley de Universidades y demás legislación estatal y autonómica vigente, realizar los exámenes correspondientes a las asignaturas en las que el alumno o alumna se encuentre matriculado. Con el fin de evitar fraudes en la realización del mismo, el examen se realizará en la modalidad de video llamada, pudiendo el personal de la Universidad de Jaén contrastar la imagen de la persona que está realizando la prueba de evaluación con los archivos fotográficos del alumno en el momento de la matrícula. Igualmente, con la finalidad de dotar a la prueba de evaluación de contenido probatorio de cara a revisiones o impugnaciones de la misma, de acuerdo con la normativa vigente, la prueba de evaluación será grabada.

Legitimación: cumplimiento de obligaciones legales (Ley de Universidades) y demás normativa estatal y autonómica vigente.

Destinatarios: prestadores de servicios titulares de las plataformas en las que se realicen las pruebas con los que la Universidad de Jaén tiene suscritos los correspondientes contratos de acceso a datos.

Plazos de conservación: los establecidos en la normativa aplicable. En el supuesto en concreto de las grabaciones de los exámenes, mientras no estén cerradas las actas definitivas y la prueba de evaluación pueda ser revisada o impugnada.

Derechos: puede ejercitar sus derechos de acceso, rectificación, cancelación, oposición, supresión, limitación y portabilidad remitiendo un escrito a la dirección postal o electrónica indicada anteriormente. En el supuesto que considere que sus derechos han sido vulnerados, puede presentar una reclamación ante el Consejo de Transparencia y Protección de Datos de Andalucía www.ctpdandalucia.es

Cláusula grabación de clases PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Responsable del tratamiento: Universidad de Jaén, Paraje Las Lagunillas, s/n; Tel.953 212121; www.ujaen.es

Delegado de Protección de Datos (DPO): TELEFÓNICA, S.A.U. ; Email: dpo@ujaen.es

Finalidad del tratamiento: Gestionar la adecuada grabación de las sesiones docentes con el objetivo de hacer posible la enseñanza en un escenario de docencia multimodal y/o no presencial.

Plazo de conservación: Las imágenes serán conservadas durante los plazos legalmente previstos en la normativa vigente.

Legitimación: Los datos son tratados en base al cumplimiento de obligaciones legales (Ley Orgánica 6/2001, de 21 de diciembre, de Universidades) y el consentimiento otorgado mediante la marcación de la casilla habilitada a tal efecto.

Destinatarios de los datos (cesiones o transferencias): Toda aquella persona que vaya a acceder a las diferentes modalidades de enseñanza.

Derechos: Ud. podrá ejercitar los derechos de Acceso, Rectificación, Cancelación, Portabilidad, Limitación del tratamiento, Supresión o, en su caso, Oposición. Para ejercitar los derechos deberá presentar un escrito en la dirección arriba señalada dirigido al Servicio de Información, Registro y Administración Electrónica de la Universidad de Jaén, o bien, mediante correo electrónico a la dirección de correo electrónico. Deberá especificar cuál de estos derechos solicita sea satisfecho y, a su vez, deberá acompañarse de la fotocopia del DNI o documento identificativo equivalente. En caso de que actuara mediante representante, legal o voluntario, deberá aportar también documento que acredite la representación y documento identificativo del mismo. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrá interponer una reclamación ante el Consejo de Transparencia y Protección de Datos de Andalucía www.ctpdandalucia.es