drð^=al`bkqb= Para conseguir este objetivo el temario de la asignatura se ha dividido en trece temas:

(1)

`ìêëç=^Å~Ç¨ãáÅç=

OMNQ=ö=OMNR

TITULACIÓN GRADO EN SISTEMAS DE INFORMACION CURSO CUARTO CURSO

ASIGNATURA SEGURIDAD Y AUDITORIA DE SISTEMAS DE INFORMACIÓN

drð^=al`bkqb=

NKJ=`~ê~ÅíÉê∞ëíáÅ~ë=ÇÉ=ä~=~ëáÖå~íìê~=

Nombre de la Asignatura

Seguridad y Auditoria de Sistemas de Información

Créditos Grupos Carácter Periodo

Totales Teóricos Prácticos Teoría Práctica Troncal Obligatoria Optativa Anual 1erC 2ºC

6 3 3 X X

OKJ=mêçÑÉëçêÉë=êÉëéçåë~ÄäÉë=ÇÉ=ä~=~ëáÖå~íìê~= Profesores

Grupo Teoría Práctica

José Carlos López Cañas José Carlos López Cañas

PKJ=lÄàÉíáîçë=ÖÉåÉê~äÉë=ÇÉ=ä~=~ëáÖå~íìê~= =

Objetivos de conocimiento

La asignatura pretende formar al alumno en los aspectos fundamentales de la “Seguridad Informática”, con el fin de obtener un conocimiento general acerca de los diferentes conceptos que son necesarios para poder llevar a cabo el plan de seguridad de cualquier organización. El objetivo principal consiste en proporcionar conocimientos generales cada uno de los aspectos que se deben tener presentes a la hora de gestionar la seguridad de los sistemas de información.

Para conseguir este objetivo el temario de la asignatura se ha dividido en trece temas:

En el primer tema, de introducción, se pretende enmarcar la función de la seguridad de los sistemas de información partiendo del concepto general de gobierno TI. Asimismo, se introducen los conceptos de activos de información, riesgos, amenazas y vulnerabilidades. Para finalizar este primer tema se define qué es un plan de seguridad y los elementos que lo componen.

Departamento Área de conocimiento

Ciencias Físicas, Matemáticas y de la Computación

(2)

Objetivos de conocimiento

En los siguientes 4 temas se detalla la seguridad en los niveles físico, lógico, LAN e Internet. En estos temas se estudiarán los elementos a tener en cuenta a la hora de gestionar la seguridad en cada uno de estos niveles. No se pretende profundizar en elementos particulares sino conocer las generalidades de cada uno de ellos.

A continuación se impartirán cuatro temas. En el primero de ellos se centrará en los virus informáticos, en el siguiente se verán fundamentos generales de criptografía, tipos de claves, firmas digitales e infraestructura de clave pública. En el tercer tema se expondrán conceptos generales y aplicaciones de VPN’s (Virtual Private Networks) y en el último de ellos se llevará a cabo una aproximación al concepto de IDS (detección de intrusos).

En el siguiente tema se impartirán nociones de continuidad de negocio y planes de recuperación de desastres. Se hará una mención en uno de los temas a la legislación vigente relacionada con los sistemas de información, como marco regulatorio de obligado cumplimiento por las organizaciones.

Para finalizar se realizará un acercamiento a la auditoria de los sistemas de información destacando los aspectos sobre los que hay que prestar especial atención relacionados con los conceptos

detallados en los temas anteriores. =

Objetivos de aplicación

1. Conocer el concepto de gobierno TI.

2. Identificar, clasificar y analizar riesgos para activos de información. 3. Adquirir conocimientos de seguridad física.

4. Adquirir conocimientos de seguridad lógica. 5. Adquirir conocimientos de seguridad en LAN. 6. Adquirir conocimientos de seguridad en Internet. 7. Conocer nociones generales de tipos de virus.

8. Comprender los conceptos de claves (públicas y privadas), firmas y certificados digitales e infraestructura de clave pública.

9. Conocer qué es una VPN.

10. Comprender los conceptos básicos de detección de intrusos.

11. Adquirir conocimientos de los elementos que componen un plan de continuidad de negocio. 12. Conocer la legislación vigente relativa a tecnologías de la información.

13. Adquirir conocimientos del proceso general de auditoría de seguridad informática. 14. Elaborar un plan de seguridad informática y adquirir conocimiento de los diferentes procedimientos que lo componen.

15. Poseer una visión general de los diferentes aspectos de la seguridad de los sistemas de información.

(3)

17. Tener conocimientos básicos tanto de consultoría como de auditoría de un sistema de gestión de la seguridad según la norma ISO 27000.

=

QKJ=mêçÖê~ã~==

1. Conocer el concepto de gobierno TI.

2. Identificar, clasificar y analizar riesgos para activos de información. 3. Adquirir conocimientos de seguridad física.

4. Adquirir conocimientos de seguridad lógica. 5. Adquirir conocimientos de seguridad en LAN. 6. Adquirir conocimientos de seguridad en Internet. 7. Conocer nociones generales de tipos de virus.

8. Comprender los conceptos de claves (públicas y privadas), firmas y certificados digitales e infraestructura de clave pública.

9. Conocer qué es una VPN.

10. Comprender los conceptos básicos de detección de intrusos.

11. Adquirir conocimientos de los elementos que componen un plan de continuidad de negocio. 12. Conocer la legislación vigente relativa a tecnologías de la información.

13. Adquirir conocimientos del proceso general de auditoría de seguridad informática. 14. Elaborar un plan de seguridad informática y adquirir conocimiento de los diferentes procedimientos que lo componen.

15. Poseer una visión general de los diferentes aspectos de la seguridad de los sistemas de información. 16. LOPD. 17. ISO/IEC 27001. = = Prácticas

Elaborar un sistema de gestión de la seguridad de la información. Diseñar un plan de seguridad.

Diseñar políticas específicas.

Diseñar el plan de recuperación de desastres. Implantación del plan de recuperación de desastres.

Diseño de medidas técnicas para asegurar cumplimiento con LOPD. Elaboración de diferencial con la norma ISO/IEC 27001.

(4)

RKJ=oÉä~Åáμå=Åçå=çíê~ë=~ëáÖå~íìê~ë=

Asignaturas relacionadas y grado de dependencia

=

SKJ=jÉíçÇçäçÖ∞~= Teoría

La asignatura se articula en dos sesiones continuas semanales, una teórica y otra práctica. En las sesiones teóricas el profesor realizará una exposición mediante clase magistral de los contenidos a desarrollar que dará paso a un espacio de trabajo donde cada alumno deberá cumplimentar el caso práctico de trabajo con los conocimientos adquiridos en las clases teóricas anteriores.

Práctica

Empleo de Nuevas Tecnologías

Medios materiales de los que se dispone

Actividades extracurriculares

Asistencia a charlas relacionadas con Auditoría y Seguridad de los sistemas de información.

TKJ=mä~åáÑáÅ~Åáμå=ÇçÅÉåíÉ=ÇÉä=Åìêëç= Calendario

Indicar el calendario previsto de cumplimiento del programa (teoría y práctica)

=

UKJmä~å=ÇÉ=íê~Ä~àç=é~ê~=Éä=~äìãåç=

TRABAJO A DESARROLLAR POR EL ALUMNO

ACTIVIDAD A REALIZAR Fecha de realización Tiempo utilizado

(horas semanales)

Tema 1

o Asistencia a clase.

o Plasmar en trabajo práctico los conocimientos adquiridos en este tema.

- Explicación teórica del tema.

- Sesión práctica.

Total: 3 horas Total: 1 horas Cómputo final: 4 h.

(5)

Tema 2

- Explicación teórica del tema. - Sesión práctica. Total: 2 horas Total: 2 horas Cómputo final: 4 h. Tema 3 o Asistencia a clase.

Total: 1 horas Total: 1 horas Cómputo final: 2 h.

(6)

Tema 10

Total: 1 horas Total: 2 horas Cómputo final: 3 h. Integración plan de seguridad

o Tras haber realizado cada una de las partes que componen un plan de seguridad se deberá llevar a cabo la integración del mismo, la eliminación de incoherencias y una correcta presentación.

Total: 0 horas Total: 4 horas Cómputo final: 4 h. Diferencial con la norma ISO/IEC 27000

o Se analizará cada uno de los planes de seguridad presentados y se modificará para adaptarlo a los requerimientos establecidos en la norma ISO/IEC 27001

Total: 2 horas Total: 4 horas Cómputo final: 8 h. Exposición de los planes de seguridad

o Presentación de los diferentes planes de seguridad con los medios auxiliares que cada uno de los alumnos considere oportuno, con el fin de

“convencer” a los interlocutores de la implantación del mismo.

Total: 0 horas Total: 8 horas Cómputo final: 8 h. Implantación plan de seguridad.

o Tras la exposición se habrá dado a cada uno de los alumnos un proyecto para la implantación de alguna de las políticas de seguridad o plan de continuidad de negocio. Se presentará el documento técnico de implantación con soluciones concretas.

Total: 0 horas Total: 0 horas Cómputo final: 0 h. CARGA DE TRABAJO TOTAL

o Asistencia a clases: 19 x 4 h. = 76 horas

o Preparación de la asignatura: 19 x 1.5 h.= 28,5 horas

o Realización de los trabajos: 9,5 horas Total = 114 horas 19 SEMANAS LECTIVAS CARGA SEMANAL: 6,00 horas = = VKJ=bî~äì~Åáμå=ÇÉä=~éêÉåÇáò~àÉ=

(7)

Criterios de evaluación

La calificación final del alumno se obtiene a través de la evaluación continua que el profesor realiza en clase, atendiendo la participación y actitud del mismo dentro del aula. De esta forma la asistencia a clase deviene obligatoria, por ser la única manera de poder evaluar el trabajo que el alumno realiza semanalmente.

Composición de la nota final:

 OPCION A: Evaluación continua: 100% de la nota final. (recomendada)

o Participación activa en clase: (20%)

o Caso práctico: Elaboración de un plan de seguridad para una organización ficticia, basándose en un caso real (60%).

 Elaboración del plan de seguridad.

 Elaboración de políticas específicas.

 Elaboración de BCP (Plan de recuperación del negocio).

o Implantación de medidas recogidas en LOPD y Reglamento de Seguridad (5%).

o Diferencial con la norma ISO 27001 (5%).

o Presentación del plan de seguridad propuesto (10%).

 OPCION B:

o Examen tipo test: (100%)

En caso de no llevar a cabo el proceso de evaluación continua, el alumno no perderá su derecho a examen final, pero el mismo podrá consistir en dos partes bien diferenciadas donde se compruebe el dominio tanto de los contenidos programáticos como de las habilidades/ destrezas asignados al conjunto de la asignatura. En ambos casos para superar la asignatura el alumno deberá aprobar (nota mayor o igual a 5) la evaluación.

= =

Valoración final del alumno

Método de evaluación Porcentaje

Pruebas parciales 00.00 %

Trabajo escrito individual 00.00 %

Trabajo en grupo 70.00 %

Exposición 10.00 %

Lecturas (participación en clase) 20.00 %

Talleres 00.00 % Ejercicios prácticos 00.00 % Otras (especificar) 00.00 % = = NMKJ=j~íÉêá~ä=ÇÉ=êÉÑÉêÉåÅá~= Bibliografía básica

Apuntes facilitados en clase.

(8)

Bibliografía complementaria

Information Systems Audit and Control Association (ISACA). “2006. CISA Review Manual”.

LUCENA LÓPEZ, Manuel José. “Criptografía y Seguridad en Computadores”. Dpto. de Informática Universidad de Jaén. Edición virtual.

KLEIN, Daniel V. Foiling the Cracker: A Survey of, and Improvement to, Password Security.

British Standard Institute; BS ISO/IEC 17799:2000, BS799-1:2000. “Information Technology – Code of practice for information security management”. 2000.

Garfinkel Simson; Gene Spafford. “Web Security, Privacy and Commerce”. O’reilly And Associates. 2002. Hernández Hdez., Enrique. “Administración y Seguridad de la Tecnología de la Información: metodología, procesos y tareas claves”. Grupo Adneti. 2005.

McClure, Mark; “Writing a computer forensic technical report”. McGraw Hill. 2005.

Piper, Fred; Simon Blake-Wilson; John Mitchell. “Digital Signatures – Security and Controls”. IT Governance Institute. 1999.

Barret, Neil. “Traces of Guilt”. Transworld Publishing. 2004.

Chan, David. “What auditors should know about encryption”. Information Systems Control Journal. V3.2004. Chapin, David. “How can security be measured”. Information Systems Control Journal. V2.2005.

Dimitriadis Christos. “Biometrics, risks and controls”. Information Systems Control Journal. V4.2004. Business Continuity Institute. “Good practices guidelines”. 2002.

Business Continuity Institute. “Business Continuity Management Standards”. 2002.

Disaster Recovery Institute International. “Professional Practices for Business Continuity Professionals”. 2004. IT Governance Institute and Deloitte & Touche. “e-commerce security – Business Continuity Planning”. 2002. Otros recursos

NNKJ=oÉÅçãÉåÇ~ÅáçåÉë=~=äçë=~äìãåçë=é~ê~=Åìêë~ê=ä~=~ëáÖå~íìê~== Recomendaciones

Para la elaboración del trabajo que se evaluará es recomendable ir redactándolo conforme se vean los conceptos teóricos en clase.

Estimación en horas semanales de tiempo de estudio/trabajo recomendado para el alumno 2 horas.

NOKJ=eçê~êáçë=ó=äìÖ~ê=ÇçåÇÉ=ëÉ=áãé~êíÉ= Horario (teoría y práctica)

(9)

Lugar donde se imparte (teórica y práctica)

NPKJ=^ÅÅáçåÉë=ÇÉ=~éçóç= Tutorias (horario y ubicación)

Tutorías virtuales

Otras actividades

NQKJ=oÉéÉêÅìëáμå=~ÅíáîáÇ~ÇÉë=ÇÉ=áåîÉëíáÖ~ÅáμåL~ÅíáîáÇ~Ç=éêçÑÉëáçå~ä=Éå=Éä=éêçÖê~ã~=Ñçêã~íáîç= Repercusión líneas de investigación