DIPLOMADO SUPERIOR EN AUDITORIA INFORMATICA. a. Justificación, Propósito y Objetivos. Justificación

Transcripción

1 DIPLOMADO SUPERIOR EN AUDITORIA INFORMATICA a. Justificación, Propósito y Objetivos Justificación La Escuela Superior Politécnica del Litoral (ESPOL) ha dictado tres programas de este Diplomado previamente (bajo aprobación de CONESUP) gracias a lo cual se ha conseguido contribuir a la comunidad con auditores informáticos que rápidamente se han colocado en las organizaciones que han generado simultáneamente la demanda laboral para esta especialidad. Las expectativas de la ESPOL en este campo se cumplieron en los tres primeros programas. Entre las organizaciones beneficiadas con la nueva especialidad se cuentan al momento importantes grupos industriales, comerciales, organizaciones del sector financiero e incluso entidades de control tal como la Fiscalía del Guayas. Paralelamente los estudiantes que no decidieron seguir una actividad laboral profesional en el campo de la Auditoria Informática y más bien han seguido una actividad laboral administrativa en la gestión de sistemas han aprendido a realizar con mejor desenvoltura sus responsabilidades administrativas, al incluir la visión de riesgos, controles, seguridades y mejores prácticas en su gestión. La dependencia creciente de la información automatizada en los distintos niveles de las organizaciones, ha logrado mejorar la calidad y la productividad de las mismas, ratificando a la información en el centro de las estrategias, pero al mismo tiempo expone a cada Organización a nuevos riesgos y amenazas relacionados con la seguridad, confiabilidad e integridad de la información, haciendo necesario el continuo desarrollo y aplicación de nuevos y modernos enfoques de auditoria de sistemas para detectar las vulnerabilidades, los riesgos y definir los controles que fortalezcan a las organizaciones frente a esas amenazas y mitiguen la exposición a los riesgos. De acuerdo a estadísticas confiables a nivel global, cada año las organizaciones pierden de 5% a 7% de sus ingresos brutos a causa de fraudes, el 95% de ellos soportados por la informática. De acuerdo a esto, se vuelve imprescindible el uso de modernas técnicas y conocimientos que permitan evaluar los controles, sistemas y procedimientos informáticos implementados en las organizaciones. Paralelamente al crecimiento de la necesidad, en los últimos años hemos visto el desarrollo y posicionamiento global de modelos, normas y estándares de control, o nuevas versiones de estos, que están disponibles para que las organizaciones a nivel mundial adopten mejores prácticas en sus sistemas de control interno, y que constituyen una herramienta poderosa para los auditores informáticos. No podemos desconocer el valor de estas herramientas. Entre estos modelos tenemos: MODELO / NORMA / DESCRIPCION Diplomado en Auditoria Informática Pág. 1/29

2 ESTANDAR COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) / COSO- ERM Control Objectives by Information related Technology (Cobit) V 4.1 ISO/IEC 27001:2005 ISO/IEC 27002:2005 CREADO EN Constituye en los últimos años el principal referente para la implementación y mejoramiento de control interno en las operaciones productivas, administrativas y financieras de las organizaciones. Diversos gobiernos en América y el mundo han adoptado COSO como su modelo de referencia para mejorar el control interno en las organizaciones. En Ecuador, la Superintendencia de Bancos y Seguros lo aplica en sus auditorias y lo exige a las instituciones controladas del sistema financiero mediante la resolución 834 sobre riesgo operativo. COSO ha evolucionado a una moderna versión donde adopta un enfoque de administración de riesgos corporativos (Enterprise Risk Management. COSO-ERM es aplicable para cualquier tamaño y tipo de empresa en cualquier sector de actividad empresarial. Primera versión generada en Desarrollado específicamente para el control de la tecnología de la información, el modelo de control COBIT Integra y concilia normas existentes como: COSO, OECD (Organization for Economic Cooperation and Development), ISO (International Standars Organization), NIST (National Institute of Standars and Technology), DTI (Departament of Trade and Industry of the U.K), ITSEC (Information Technology Security Evaluation Criteria - Europa), TCSEC (Trusted Computer Evaluatión Criteria - Orange Book- E.U), IIA SAC (Institute of Internal Auditors - Systems Auditability and Control), IS Auditing Standars -Japón, Objetivos de Control emitidos por ISACA (EDPAA) Todas estas normas regulan actividades y definiciones sobre seguridad informática, controles informáticos y auditoria de sistemas. Las últimas versiones de Cobit consideran un refuerzo a la gestión de sistemas a nivel de Gobierno Corporativo. A nivel mundial los auditores de sistemas de las cuatro principales firmas de auditoria globales (Price Waterhouse & Coopers, Deloitte & Touche, Ernst & Young, KMPG) usan Cobit como herramienta de auditoria informática. Norma ISO (certificable a nivel global) que contempla las especificaciones para implementar en las organizaciones a nivel integral un sistema de gestión de la seguridad de la información, para proteger la integridad, confidencialidad y disponibilidad de la información donde quiera que esta se encuentre en la empresa, en cualquier forma que esté representada. Incluye un catalogo de controles recomendados, basados en mejores prácticas obtenidos a partir de modelos existentes. El posicionamiento de esta versión a nivel global se está dando de manera generalizada, de tal modo que existen requerimientos puntuales de consultoría y auditoria basadas en esta norma. En Ecuador al menos diez empresas ya han iniciado procesos de adopción de la norma para certificación. Los auditores de la Superintendencia de Bancos y Seguros del Ecuador usan esta norma para sus auditorias de sistemas sobre las empresas controladas del sistema financiero ecuatoriano. ISO está desarrollando, en los presentes años, complementarias normas y Diplomado en Auditoria Informática Pág. 2/29

3 guías dentro de la familia para apoyar aun más el trabajo de las auditorias. Information Technology Infraestructure Library (ITIL) V3. Resolución No. JB de 20 de octubre del 2005) Sobre la gestión de Riesgo Operativo. Compendio de mejores prácticas desarrolladas a fines de los 80s con el apoyo del gobierno británico, establecido como un estándar de facto a nivel europeo hasta que en los últimos años, con la comprensión de que fue considerado como una fuente relevante para el desarrollo de las últimas versiones de Cobit, ISO/IEC y 27002, su fama trascendió a nivel global, y hoy ha surgido una tendencia fuerte en América de adoptarlo para cubrir aspectos operativos y técnicos del control interno dentro del departamento de sistemas de las organizaciones. Para adoptarlo, las instituciones requieren una evaluación bajo la filosofía de auditoria informática para asegurarse que se seleccionan para la posterior implementación, las mejores prácticas que son más adecuadas y convenientes para la organización. Resolución de 19 páginas y 146 controles emitida por la Superintendencia de Bancos y Seguros del Ecuador como una obligación para que las instituciones controladas del sistema financiero ecuatoriano implementen controles y mejores prácticas con respecto a su gestión sobre las tecnologías de la información, planificación de contingencias sobre la continuidad del negocio, procesos, personas y eventos externos. Basada en recomendaciones del Comité de Supervisión Bancaria de Basilea en Suiza, esta resolución no es obligatoria para los otros sectores empresariales, pero su redacción es tan genérica que puede ser tomada tal cual por las otras entidades reguladoras del país para cada empresa controlada en su sector. Las organizaciones obligadas a cumplirla buscan profesionales con experiencia y conocimientos en auditoria informática, tal cual hace la misma Superintendencia en su reclutamiento de profesionales para completar su área de auditoria a las empresa controladas. Además de las referencias explícitas a estos temas, es conocido para todos que la necesidad de mejorar los controles en la adquisición, desarrollo e implementación de los sistemas aumenta continuamente en las organizaciones. Del mismo modo se ha observado un incremento en la demanda de evaluación de proyectos en función de los mínimos elementos metodológicos que deben estar presentes en toda gestión de proyectos, principalmente proyectos informáticos. La nueva versión del programa de estudios de este Diplomado incluye la enseñanza sobre modelos, estándares y normas vigentes y aplicables en nuestro medio, para asegurar que los participantes transmitan un valor a la comunidad que consiga el progreso de las instituciones a auditar, en función de la evaluación contra las mejores prácticas reconocidas a nivel global. Es importante declarar que la enseñanza de estos temas no está contemplada en los programas de pregrado de las universidades ecuatorianas, con lo cual el Diplomado de Auditoria Informática se posicionará como el referente para el aprendizaje sobre estos temas. En el ámbito privado los tópicos Diplomado en Auditoria Informática Pág. 3/29

4 relacionados con estos temas se dictan como seminarios rápidos en hoteles, con menor tiempo de duración y con una visión genérica, no necesariamente adaptada a la realidad ecuatoriana. Con el presente programa de estudios, compilado en el Diplomado en auditoria Informática, entregamos a la comunidad el trabajo de expertos en el área de la auditoria y la Informática, fusionando de esta manera estas dos importantes disciplinas para el desarrollo de los controles y seguridades de las organizaciones. Objetivos Proporcionar al participante la base cognoscitiva necesaria para la revisión y evaluación de los controles, gestión, sistemas de información, procedimientos informáticos, procesamiento de datos, implementados en las organizaciones. Entrenar al participante en el uso de las normas, estándares, modelos de control, técnicas, mejores prácticas y herramientas globales vigentes disponibles para realizar evaluaciones de riesgos y controles, acorde con las necesidades organizacionales de los actuales tiempos. Estructura del Diplomado en Auditoria Informática MÓDULO TEMA Académicas Presenciales 1 Conceptos de Auditoria Informática 2 Gobierno y Alineamiento Estratégico de las Tecnologías de la Información 3 Control Interno en Ambientes Informáticos en Aspectos Operativos y Técnicos 4 Seguridad de la Información y Seguridad Informática 5 Auditoria en el Ciclo de Vida de los Sistemas 6 Marco Jurídico del Auditor Informático 7 Auditoria Informática Aplicada a la Gestión de Proyectos 8 Control Interno en la Gestión de Procesos soportados por Desarrollo Proyectos lectivas y Autónomas Número de Créditos Diplomado en Auditoria Informática Pág. 4/29

5 Tecnología 9 Auditoria del Almacén de Datos Talleres de apoyo con especialistas Taller: Software de Auditoria - Ejemplo: ACL ( 8 horas) Taller: SEGURIDAD IT APLICADA (ethical hacking) ( 8 horas) Taller: Planificación de Contingencias para la recuperación de desastres ( 16 horas) Proyecto de Grado Total Sistema de Contenidos del Diplomado Nombre de los Módulos 1. Conceptos de Auditoria Informática Académicas Presenciales Desarrollo Proyecto Lectivas y Autónomas Núm. de Créditos Riesgo Operacional, Disciplinas y Sub-disciplinas de la Auditoria Informática 2.- Administración de Riesgo Operacional 3.- Tecnologías de la Información y Seguridad de la Información 4.- Procesos, personas, Planificación de la Continuidad del Negocio y de recuperación de desastres, administración de servicios de terceros. 5.- Curso Preparación para la Certificación Internacional CISA (Certified Information Systems Auditor) 5.1.-Proceso De auditoria De TI Organización de la Función de auditoria de TI Estándares y Directrices de ISACA para la auditoria de TI Análisis de Riesgos Controles Internos Técnicas de Evaluación de Riesgos Pruebas de Cumplimiento vs Pruebas Sustantivas 5.2 -Gobierno de TI Estrategias de Sistemas de Información Política de Seguridad de Información Administración del Riesgo Prácticas de Sourcing Segregación de Funciones dentro de TI 5.3 -Administración del ciclo de vida de sistemas e infraestructura Estructura de la Gerencia de Proyectos Prácticas de Administración /Gestión de Proyectos Descripción de las etapas tradicionales de SDLC (Systems Development Diplomado en Auditoria Informática Pág. 5/29

6 Life Cycle) Controles de Aplicación Sistemas de Aplicación del Negocio Entrega y soporte de servicio de TI Administración de Servicios de TI Proceso de Administración de Cambios Sistemas de Administración de Bibliotecas de Programas Aseguramiento de la Calidad Administración de Seguridad de Información Administración de la Capacidad 5.5 -Protección de los activos de información Elementos clave de la Administración/Gestión de la Seguridad de la Información Clasificación de los activos de Información Problemas y exposiciones del crimen informático Exposiciones y controles de acceso lógico Técnicas para probar la seguridad Exposiciones y controles de acceso físico Continuidad del negocio y recuperación de desastres Planeación de la continuidad del negocio/recuperación de desastres de TI Proceso de BCP (Business Continuity Plan) Análisis de Impacto al Negocio Estrategias y Alternativas de Recuperación Componentes de un BCP **SIMULACRO DEL EXAMEN CISA con preguntas y respuestas Taller de ejercicios prácticos de preguntas y respuestas. Todos los casos son extraídos de los exámenes CISA. Diplomado en Auditoria Informática Pág. 6/29

7 2. Gobierno y Alineamiento Estratégico de las Tecnologías de la Información Académicas Presenciales Desarrollo Proyecto Lectivas y Autónomas Núm. de Créditos El modelo COBIT COBIT : La estructura y la importancia Marco referencial de COBIT Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir procesos, organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Administración de Calidad Evaluación y Administración de Riesgos Administración de Proyectos Monitorear y evaluar el desempeño de TI Monitorear y valuar el control Interno Garantizar cumplimiento regulatorio Proveer Gobierno de TI Objetivos de Control COBIT COBIT - indicadores COBIT Pautas para gerentes de SI/TI COBIT Auditorias SI como apoyo para el ciclo del negocio Focalización en el desarrollo de Gobierno de TI 2.- Proceso de Planificación de auditoria Planificación estratégica de la auditoria Actividades preliminares para la planificación. Plan de auditoria, programa y alcance Clasificación, alcance de las auditorias Carta de entendimiento: propósito y contenido de las cartas de entendimiento Valoración de riesgo: auditoria basada en riesgo; métodos de valoración de riesgo. Estándares: AS-NZ 4360, CRAMM Evaluación preliminar de controles internos: recopilación de la información y evaluación de las técnicas de control Plan de auditoria, programa y alcance: pruebas de controles vs. pruebas sustantivas, aplicación de la valoración de riesgo a la auditoria Clasificación, alcance de las auditorias: ej., financiera, operacional, general, aplicación, OS, física, lógica 3.- Administración de la auditoria Diplomado en Auditoria Informática Pág. 7/29

8 Distribución/categorización/planificación/ ejecución/reasignación/ Administración de los recursos Evaluación de la calidad de la auditoria y la revisión entre colegas Identificación de la mejor práctica CIS Desarrollo de la carrera de auditoria Planificación de la trayectoria de la carrera Valoración del desempeño, consejería y retroalimentación del desempeño Capacitación del Auditor (interna/externa) Desarrollo profesional del Auditor (certificaciones, participación profesional, etc.) 4.- Proceso de Obtención de Evidencia en la auditoria Evidencia, características Técnicas de recopilación de evidencia. Pruebas de control vs. pruebas sustantivas: naturaleza de las pruebas de control y las pruebas sustantivas y sus diferencias, tipos de pruebas de control, tipos de pruebas sustantivas Muestreo: conceptos de muestreo, enfoques estadísticos y no estadísticos, diseño y selección de muestras, evaluación de los resultados de la muestra Técnicas de auditoria computarizadas (Computer-assisted audit techniques CAATs): necesidad, tipos, planificación y uso de CAATs, enfoque de la auditoria continuamente en línea Documentación: relación con evidencia de la auditoria; usos de la documentación; contenido mínimo; custodia, retención y recuperación Análisis de resultados evaluar la materialidad de los resultados e identificar las condiciones reportables y alcanzar las conclusiones Revisión: proveer la garantía razonable de que se han alcanzado los objetivos 5.- Seguimiento del Informe de auditoria Forma y contenido del informe de auditoria: propósito; estructura y contenido; estilo; usuario; tipo de opinión; consideración de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecución TALLER: Software de Auditoria - ACL Objetivos Antecedentes Tipos de herramientas de análisis Interrogación de archivos Conceptos ACL Estructura de archivos ACL Pruebas de auditoria y utilización de ACL Diplomado en Auditoria Informática Pág. 8/29

9 3. Control Interno en Ambientes Informáticos en Aspectos Operativos y Técnicos Académicas Presenciales Desarrollo Proyecto Lectivas y Autónomas Núm. de Créditos Gerencia de SI/TI SI/IT planificación estratégica Gobierno de TI Gestión de Servicios IT. Las 4 P s (People, Processes, Product and Partners) 2.- Administración de Servicios IT (ITSM) Estándares/guías de las operaciones: COBIT, ITIL, BS-15000, ISO Gestión de servicios IT con ITIL Calidad en procesos de servicios usando Seis SIGMA e ISO El Modelo de gestión ITIL Estructura Del Modelo ITIL Administración de la configuración Mesa de Ayuda (Service Desk) Administración de incidentes. Gestión de problemas. Administración de Cambios. Administración de versiones. Administración de niveles de servicio. Administración de disponibilidad. Administración de la capacidad. Administración de continuidad. Administración financiera. Administración de infraestructura TIC Administración de Aplicaciones. Administración de seguridad. Planeación para implantar gestión de servicios IT. Perspectiva del Negocio. Administración de activos de software (SAM) Estándares y guías relacionados: BS , BS , PD 0005, PD Cuadro de Mando Integral IT Modelo de indicadores Cuadro de Mando Integral IT 5.- Implantación de un Sistema de Gestión IT Programa de mejoramiento de servicios continuo Proceso de implantación del Sistema de Gestión IT 6.- ISO 20000:2005 Diplomado en Auditoria Informática Pág. 9/29

10 4. Seguridad de la Información y Seguridad Informática Académicas Presenciales Desarrollo Proyecto Lectivas y Autónomas Núm. de Créditos Conceptos básicos de seguridad de la Información Estándares, cumplimiento y aseguramiento en seguridad de TI: ISO e ISO 27100, ITIL, COBIT, NIST Sistema de Gestión de Seguridad de la Información ISO Evolución del estándar ISO de Seguridad de la Información Estructura y contenido de la norma ISO Modelo PDCA Anexo A: Objetivos de Control y Controles Requerimientos de seguridad de la información Factores Críticos de Éxito del Sistema de Gestión de Seguridad de la Información Proceso para establecer el Sistema de Gestión de Seguridad de la Información Inicio del proceso Definir el Mapa de Procesos Análisis y Evaluación del Riesgo Identificación de los Activos Tasación de los Activos Identificación de Amenazas y Vulnerabilidades Estimación del Riesgo Determinación de la probabilidad y análisis de impacto. Opciones de mitigación del riesgo Factores a considerar al seleccionar los controles Enunciado de Aplicabilidad Metodología para implementar el Sistema de Gestión de Seguridad de la Información Estructura y Contenido Norma ISO 27002:2005 Controles de Práctica Común para la Seguridad de la Información Análisis de los 11 dominios de la ISO 27002:2005 Análisis de controles Recomendación de controles Análisis e Interpretación ISO Política de la seguridad de la información Infraestructura de la seguridad de la información Seguridad del acceso de terceras personas Abastecimiento externo Responsabilidad por los activos Clasificación de la información Seguridad de la definición del trabajo y el abastecimiento Capacitación del usuario Responder a los incidentes y mal funcionamiento de la seguridad Áreas seguras Diplomado en Auditoria Informática Pág. 10/29

11 Seguridad del equipo Controles generales Controles de red Seguridad Lógica Política de control de acceso Control de acceso al sistema de operación Control de acceso a la aplicación Control y uso de sistemas de monitoreo Computación Móvil y Telecomunicaciones Requerimientos de seguridad de los sistemas Seguridad en los sistemas de aplicación Controles de criptografía Seguridad de los archivos del sistema Seguridad en los procesos de desarrollo y apoyo Gestión de la continuidad del negocio Cumplimiento con requerimientos legales Revisiones de política de seguridad y cumplimiento técnico Consideraciones de auditoria de sistemas. TALLER: SEGURIDAD IT APLICADA Comunicaciones y seguridad de la red: o de Internet y telecomunicaciones, el cortafuego o Otros recursos de la protección de la conectividad (criptografía, firmas digitales, políticas de gerencia dominantes). o Sistemas de detección de intrusos. Seguridad del sistema y de la aplicación de base de datos Seguridades del servidor de Internet y herramientas de desarrollo en Internet. Herramientas de evaluación, monitoreo y control IT Auditoria forense - proceso forense Pruebas de penetración: metodología OSSTMM Pruebas de penetración: utilización de productos específicos. Diplomado en Auditoria Informática Pág. 11/29

12 Académicas Presenciales Desarrollo Proyecto Lectivas y Autónomas Núm. de Créditos 5. Auditoria en el Ciclo de Vida de los Sistemas 1.- Desarrollo, Adquisición y Mantenimiento de Sistemas de Información Gerencia de proyectos de los sistemas de información La cadena de valor del área de sistemas Estándares de Administración de Proyectos SI: PMBOK, RUP, MSF Procesos de adquisición de soluciones Métodos tradicionales para el desarrollo del ciclo de vida del sistema (SDLC) Mantenimiento de sistemas y procedimientos para el control de cambios Estándares de desarrollo de Software, ISO , SW CMM, UML Estándares de Evaluación de Seguridad: Cobit, ISO Desarrollo del Software Metodología de administración de riesgos Modelado del Negocio: casos de uso del negocio Requisitos: especificaciones de casos de uso Análisis y Diseño; modelo de análisis y diseño, modelo de datos Proceso de implantación de aplicaciones Modelo de implementación: clases y objetos; componentes Pruebas: Casos de prueba Distribución 3.- Auditoria de Proyectos SI Metodología de auditoria en el desarrollo y operación de sistemas de información Problemas de riesgo y control, analizar y evaluar características y riesgos del proyecto Contenido de la normativa ecuatoriana en lo que se refiere al ambiente de control del sistema de información Planificación de la auditoria El ciclo de vida del proyecto Evaluación de las fases del ciclo de vida. Los procesos de Administración del centro de información y la segregación de funciones Evaluación de la gestión del proyecto. Diplomado en Auditoria Informática Pág. 12/29

13 Académicas Presenciales Desarrollo Proyecto Lectivas y Autónomas Núm. de Créditos 6. Marco Jurídico del Auditor Informático Asuntos Legales de la Gerencia De SI/TI Normas legales aplicables al comercio electrónico Elementos que configuran las infracciones por Internet Propiedad intelectual en el espacio cibernético Cómo se constituyen los derechos de autor y su reconocimiento Problemas éticos Privacidad Fraude Informático Delitos de alta tecnología. 2.- Contratos Términos y condiciones contractuales Reglas de defensa del consumidor que deben observarse en la contratación electrónica Contratos de servicios de auditoria y Consultoría Obligaciones que deben incluirse en la contratación inherentes a servicios informáticos Forma en que corresponde establecer las condiciones de uso para que no contraríen la norma legal 4.- Legislación vigente Leyes y regulaciones: estatutos y normas de la auditoria Ley de transparencia y acceso a la Información Pública Diplomado en Auditoria Informática Pág. 13/29

14 7. Auditoria Informática Aplicada a la Gestión de Proyectos Informáticos Académicas Presenciales Desarrollo Proyecto Lectivas y Autónomas Núm. de Créditos Fundamentos sobre la documentación de la auditoria a proyectos Aspectos metodológicos para la ejecución de Proyectos Informáticos Estructura y Organización de Proyectos para una exitosa ejecución Tipos de Documentación de Proyecto Documentación de la estructura del Proyecto Documentación de la Gestión del Proyecto Documentación del Análisis de Riesgos Documentación Requerida para Diseño Conceptual y Diseño Lógico Mejores prácticas y tips para la documentación Documentación Requerida para Diseños Físicos Enfoque Practico Enfoque en proyectos de aplicación e infraestructura que soportan negocios Creación de documentación suficiente a nivel de sistema para soportar las soluciones del negocio Código Que Documentación es Relevante? Documentación de las pruebas Documentación Útil para Usuarios Revisión de Templates sugeridos Reportes para el Aseguramiento de la Calidad Documentación Requerida para la Implementación Revisiones al Proyecto auditoria y Control Diplomado en Auditoria Informática Pág. 14/29

15 8. Control Interno en la Gestión de Procesos soportados por Tecnología Académicas Presenciales Desarrollo Proyecto Lectivas y Autónomas Núm. de Créditos COSO ERM: posicionamiento global. principios básicos. Control Interno y Gestión Empresarial de Riesgos. Ambiente Interno Establecimiento de Objetivos Identificación de Eventos Evaluación de Riesgos Respuesta Tratamiento a los Riesgos Actividades de Control Información y Comunicación Monitoreo Introducción a la gestión de calidad Generalidades de ISO 9001 Documentación de los sistemas de calidad Generalidades de ISO 9001 Cláusula 5/6 Discusión de la cláusula 5-3 Revisión de Manual de Calidad Evaluación sobre ISO Reporte de no conformidad y acciones correctivas. Administración de la auditoria Cláusulas de ISO 9001 y sus interrelaciones Listas de verificación Enfoque de la auditoria aspectos psicológicos y de comunicaciones Auditor. Papel Responsabilidades y calificaciones Diplomado en Auditoria Informática Pág. 15/29

16 9. Auditoria del Almacén de Datos Académicas Presenciales Desarrollo Proyecto Lectivas y Autónomas Núm. de Créditos Conceptos básicos sobre Base de Datos: Reforzar conceptos básicos sobre base de datos. Definir las características de las bases de datos. Estructura de Base de Datos: Conocer las diferentes formas de estructurar una base de datos. Identificación de los tipos de almacén de datos. Objetivos de control: Relacionados con los sistemas de información. Controles que provee la base de datos. Alcance en el proceso de auditoria de los diferentes tipos de almacenes de datos. Metodología de auditoria del Almacén de Datos. Proceso de Revisión de un Almacén de Datos. Conocer las categorías de riesgos a revisar en un almacén de datos. Presentación de proyectos. Revisión de programas de trabajo para auditoria de base de datos. Presentación del informe final de las auditorias realizadas a las deferentes tipos de almacenes de datos. SEMINARIO TALLER: PLANIFICACION DE CONTINGENCIAS PARA LA RECUPERACION DE DESASTRES Objetivos Planificación de la continuidad del negocio Análisis de Impacto Definición de estrategias Preparación del Plan Pruebas Actualización del plan 10. Proyecto de Grado Subtotales de Académicas Subtotales de Créditos Académicos Duración en Créditos Académicos Este programa tiene una duración total de créditos académicos, por lo tanto cumple con el Art. 11 literal b) El programa académico del Diplomado debe cumplir con un mínimo de quince créditos. Diplomado en Auditoria Informática Pág. 16/29

17 m. Claustro Docente Requerido y Disponible Materia Conceptos Generales de Auditoria Informática Gobierno y Alineamiento Estratégico de las Tecnologías de la Información Control Interno en Ambientes Informáticos en Aspectos Operativos y Técnicos Seguridad de la Información y Seguridad Informática Auditoria en el Ciclo de Vida de los Sistemas Marco Jurídico del Auditor Informático Auditoria Informática a la Gestión de Proyectos Control Interno en la Gestión de Procesos soportados por Tecnología auditoria del Almacén de Datos Talleres de apoyo con especialistas Taller: Software de Auditoria - Ejemplo: ACL Taller: SEGURIDAD IT APLICADA( ethical hacking) Taller: Planificación de Contingencias para la recuperación de desastres Instructor Principal LSI. Jorge Olaya, MBA/ ISACA Ing. Socrates Dueñas, MAE LSI. Jorge Olaya, MBA Ing. Lenin Espinosa, MAE Ing. Antonio Marquez, MAE Ab. Pablo Guevara, MAE Ing. John Barbery, MAE Ing. Lenin Freire, MSC LSI. Jazmin Torres, MAE Ing.Karol Hidalgo Ing. Nestor Arreaga, MSC Ing. Socrates Dueñas, MAE n. Instructores de Respaldo Curriculum resumido de los Instructores OLAYA TAPIA JORGE ENRIQUE (MÓDULOS 1 Y 3) Licenciado en Sistemas de Información, ESPOL. Master en Administración de Empresas, ESPOL. Master in Business Administration, UQAM, Canada Profesor de Maestría en Sistemas de Información Gerencial, FIEC ESPOL. Consultor Independiente.- Organización y Sistemas de múltiples empresas en cinco provincias. Supervisor de Concesionarios/Gerente de Ventas Regional, Xerox del Ecuador. Gerente de Proyectos, IBM del Ecuador. Consultor Senior de auditoria de Sistemas, Price Waterhouse del Ecuador. Director de Tesis, Universidad Católica de Santiago de Guayaquil. Profesor de Ingeniería en Sistemas y Maestrías, Universidad Católica de Santiago de Guayaquil. DUEÑAS SOCRATES (MÓDULO 2) Vicepresidente de Proyectos y Desarrollo Organizacional de Banco de Guayaquil desde Fué Gerente de Enterprise Risk Services en Deloitte Ecuador, experiencia de más de 18 años en auditoria de sistemas de información en empresas ecuatorianas y extranjeras. Posee certificación CISA (certified Information System Auditor) emitido por el ISACA y también concluyó Diplomado en Auditoria Informática Pág. 17/29

18 sus estudios de MBA en la ESPOL. Ha participado y Gerenciado proyectos de seguridad en tecnología en las empresas más grandes e importantes del Ecuador. ESPINOSA LENIN (MÓDULO 4) Desde hace 12 años es Gerente de Servicios de Riesgos Empresariales de la firma DELOITTE & TOUCHE. Obtuvo el Certified Information System Auditor - CISA el Es Master en Sistemas de Información graduado en el Tec de Monterrey - México. También tiene los títulos de Ingeniero Comercial y Contador Público obtenidos en la Universidad Central del Ecuador. Su experiencia profesional acumula más de 20 años en servicios de consultoría relacionados con auditoría de sistemas según COBIT, evaluación de controles generales de computadora, auditoría de aplicaciones automatizadas, evaluación del riesgo operativo y riesgo tecnológico en instituciones financieras, implantación de seguridades según las normas ISO y 17799, evaluación de la gestión de IT según COBIT e ITIL, desarrollo de planes estratégicos de IT y de negocio, mejoramiento de procesos con énfasis en tecnología. MARQUEZ ANTONIO (MÓDULO 5) Estudios de maestría en Informática y Computación, Escuela Politécnica Nacional, Escuela de Post Grado Ingeniero en Electrónica y Telecomunicaciones, Lcdo. en Física y Matemática, Escuela Politécnica Nacional, Facultad de Ingeniería Eléctrica y Electrónica Director de Desarrollo Organizacional del Grupo CRECOS, Créditos Económicos - Encargado de administrar el Proceso de Planificación Estratégica de Negocios, Coordinar la ejecución de nuevos proyectos de desarrollo y de supervisar las actividades del área de Organización y Métodos. Profesor de la Universidad Espíritu Santo, Facultad de Economía en Gerencia Estratégica, Sistemas de Información Gerencial, Auditoria de Sistemas, Organización y Métodos, Logística y Nuevas Tecnologías en los negocios. GUEVARA PABLO (MÓDULO 6) Socio de la Consultora Legal & Tributaria en la firma FIDESBURO Cia. Ltda. (2007) Ex-Gerente de Consultoría Legal en Deloitte ( ) Master en Tributación de la ESPAE-ESPOL (2005) BARBERY JOHN (MÓDULO 7) Profesional con 20 años de experiencia en el sector de tecnología y sistemas Diplomado en Auditoria Informática Pág. 18/29

19 de información. Especializado en el sector financiero nacional e internacional. Por mi trayectoria tanto en la industria del hardware-software en IBM, en la banca (Filanbanco y ahora Banco de Guayaquil) y Microsoft, mi especialidad se oriente principalmente al sector financiero. FREIRE LENIN (MÓDULO 8) Magíster en Sistemas de Información Gerencial Ingeniero en Computación Director de la Maestría en Sistemas de Información Gerencial Gerente de Consultoría de Empresas de Software Consultor de procesos Líder Auditor ISO 9001:2000 TORRES JAZMIN (MÓDULO 9) PricewaterhouseCoopers del Ecuador Cía. Ltda. Guayaquil, Ecuador Gerente de SPA (Systems & Process Assurance) en Ecuador con especialización en auditoría y evaluación de controles y procesos. Experiencia en soporte en auditoría informática, consultoría (evaluación de procesos, evaluación de controles y seguridades de sistemas de información, evaluación de aplicaciones) en compañías locales y multinacionales en el Ecuador. o. Reglamentación para la Implementación del Programa Requisitos de Admisión 1.- Poseer Título de Tercer Nivel (en cualquier disciplina). 2.- Disponibilidad del 100% en el tiempo que demande el Programa. 3.- Copia Certificada del Título Profesional y Registro del Conesup Fotografías Tamaño Carnet y a Colores. 5.- Fotocopia de la Cédula de Identidad. 6.- Formulario de Registro del alumno. 7.- Carta de la entidad o empresa que auspicia al participante, en caso de aplicarse. INVERSIÓN Y FINANCIAMIENTO FORMAS DE FINANCIAMIENTO 1.-Tarjeta de crédito 2.-Crédito con el IECE (Teléfonos este trámite es directo entre el Participante y este organismo): Requisitos para el crédito con el IECE: Diplomado en Auditoria Informática Pág. 19/29

20 a.- Ser ecuatoriano b.- No constar en la central de riesgo de la Superintendencia de Bancos. c.- Presentar dos garantes (que no vivan en la misma residencia) d.- Carta que lo acredite como estudiante ya matriculado. ** El IECE NO FINANCIA EXAMENES DE SUFICIENCIA Y CURSOS PROPEDEUTICOS 3.- Financiamiento directo con el CEC (Centro de Educación Continua INVERSION DIPLOMADO $ 3.000,00 Inscripción $ 500,00 Saldo $ 2.500,00 7 Cuotas $ a.- Firmar acta de compromiso y letras de cambio c.- Presentar dos garantes (que no vivan en la misma residencia) Información General El valor total de la inversión fijada por participante cubre: participación en las semanas del diplomado, material de estudios de cada módulo, cafetería permanente, parqueadero sin costo El valor no incluye la tasa de arancel vigente fijada por la ESPOL por Derecho de título. INFORMES e INSCRIPCIONES Centro de Educación Continua Malecón 100 y Loja (Campus Las Peñas). Teléfonos: FAX.: Wendy Bastidas postgrados_cec@espol.edu.ec Guayaquil Ecuador Diplomado en Auditoria Informática Pág. 20/29

21 CRONOGRAMA MATERIAS DURACION FECHA Dias HORARIO Conceptos de Auditoria Informática 46 Sesión mar-10 Jueves 18:30-21:30 Sesión mar-10 Viernes 18:30-21:30 Sesión mar-10 Sábado 08:00-12:30 y 14:00-18:30 Sesión mar-10 Jueves 18:30-21:30 Sesión mar-10 Viernes 18:30-21:30 Sesión mar-10 Sábado 08:00-12:30 y 14:00-18:30 Sesión mar-10 Jueves 18:30-21:30 Sesión mar-10 Viernes 18:30-21:30 Sesión mar-10 Sábado 08:00-12:30 y 14:00-17:30 Examen 2 14-abr-10 miércoles 19:00-21:00 Gobierno y Alineamiento Estratégico de las Tecnologías de la Información 40 Sesión abr-10 Jueves 18:30-21:30 Sesión abr-10 Viernes 18:30-21:30 Sesión abr-10 Sábado 08:00-12:30 y 14:00-18:30 Sesión abr-10 Jueves 18:30-21:30 Sesión abr-10 Viernes 18:30-21:30 Sesión abr-10 Sábado 08:00-12:30 y 14:00-18:30 Sesión abr-10 Jueves 18:30-21:30 Sesión abr-10 Viernes 18:30-21:30 Sesión may-10 Sábado 09:00-13:00 Examen 2 26-may-10 miércoles 19:00-21:00 Control Interno en Ambientes Informáticos en Aspectos Operativos y Técnicos 32 Sesión may-10 Jueves 18:30-21:30 Sesión may-10 Viernes 18:30-21:30 Sesión may-10 Sábado 08:00-12:30 y 14:00-18:30 Sesión jun-10 Jueves 18:30-21:30 Sesión jun-10 Viernes 18:30-21:30 Sesión jun-10 Sábado 08:00-12:30 y 14:00-18:30 Examen 2 23-jun-10 miércoles 19:00-21:00 Seguridad de la Información y Seguridad Informática 32 Sesión jun-10 Jueves 18:30-21:30 Sesión jun-10 Viernes 18:30-21:30 Sesión jul-10 Jueves 18:30-21:30 Sesión jul-10 Viernes 18:30-21:30 Sesión jul-10 Sábado 08:00-12:30 y 14:00-17:30 Sesión jul-10 Jueves 18:30-21:30 Sesión jul-10 Viernes 18:30-21:30 Diplomado en Auditoria Informática Pág. 21/29

22 4 10-jul-10 Sábado 08:00-12:00 Examen 2 28-jul-10 miércoles 19:00-21:00 Auditoria en el Ciclo de Vida de los Sistemas 40 Sesión jul-10 Jueves 18:30-21:30 Sesión jul-10 Viernes 18:30-21:30 Sesión jul-10 Sábado 08:00-12:30 y 14:00-18:30 Sesión ago-10 Jueves 18:30-21:30 Sesión ago-10 Viernes 18:30-21:30 Sesión ago-10 Sábado 08:00-12:30 y 14:00-17:30 Sesión ago-10 Jueves 18:30-21:30 Sesión ago-10 Viernes 18:30-21:30 Sesión ago-10 Sábado 09:00-12:00 Examen 2 15-sep-10 miércoles 19:00-21:00 Marco Jurídico del Auditor Informático 20 Sesión sep-10 Jueves 18:30-21:30 Sesión sep-10 Viernes 18:30-21:30 Sesión sep-10 Sábado 08:00-12:30 y 14:00-18:30 Sesión sep-10 Jueves 18:30-21:30 Examen 2 13-oct-10 miércoles 19:00-21:00 Auditoria Informática Aplicada a la Gestión de Proyectos Informáticos 20 Sesión oct-10 Jueves 18:30-21:30 Sesión oct-10 Viernes 18:30-21:30 Sesión oct-10 Sábado 08:00-12:30 y 14:00-17:30 Sesión oct-10 Jueves 19:00-21:00 Sesión oct-10 Viernes 19:00-21:00 Examen 2 10-nov-10 miércoles 19:00-21:00 Control Interno en la Gestión de Procesos soportados por Tecnología 20 Sesión nov-10 Jueves 18:30-21:30 Sesión nov-10 Viernes 18:30-21:30 Sesión nov-10 Sábado 08:00-12:30 y 14:00-17:30 Sesión nov-10 Jueves 19:00-21:00 Sesión nov-10 Viernes 19:00-21:00 Examen 2 01-dic-10 miércoles 19:00-21:00 Auditoria del Almacén de Datos 16 Sesión dic-10 Jueves 18:30-21:30 Sesión dic-10 Viernes 08:00-12:30 y 14:00-17:30 Sesión dic-10 Jueves 18:30-21:30 Sesión dic-10 Viernes 19:00-21:00 Diplomado en Auditoria Informática Pág. 22/29