Gestión, Seguridad y Auditoría de las Tecnologías de la Información

Transcripción

1 FACULTAD DE INGENIERÍA DE SISTEMAS CENTRO INTEGRAL DE EDUCACIÓN CONTINUA - CIEC CURSO DE ESPECIALIZACIÓN EN Gestión, Seguridad y Auditoría de las Tecnologías de la Información Del 30 de abril al 3 de setiembre de 2011 (*) Miércoles de a horas y Sábado de 9.00 a horas (*) No se han programado clases los días miércoles 29 de junio, miércoles 27 y sábado 30 de julio DURACIÓN El curso tiene una duración de 81 horas. LUGAR Campus de la Universidad de Lima. INTRODUCCIÓN El escenario actual nos revela cómo la Tecnología de Información (TI), ha pasado de ser un apoyo en la gestión, a convertirse en un factor diferencial que potencia la competitividad de las organizaciones en sus respectivos sectores. Así, las empresas se ven obligadas a salvaguardar los activos de información críticos y efectuar la gestión de los riesgos, basada en el fortalecimiento del control interno en el ámbito tecnológico que las rige, a fin de garantizar el normal funcionamiento de los sistemas de información considerados fundamentales. En tal sentido, la Auditoría de Sistemas y la Seguridad de Información, bajo el marco de trabajo del buen gobierno de TI, apoya a las organizaciones en la revisión y evaluación de los controles, procedimientos y políticas, para utilizar la información de la manera más efectiva, eficiente y segura, de modo que se garantice el logro de los objetivos del negocio. La Auditoría de Sistemas de Información se convierte, entonces, no solo en una actividad fiscalizadora, sino en un componente de valor agregado para el negocio, pues al asegurar la seguridad física, lógica, ambiental, de sistemas y Página 1 de 9

2 de redes, entre otros aspectos, se está garantizando en buena medida la continuidad del negocio y las bases para el éxito empresarial. Por otra parte, además de apoyar el cumplimiento del marco regulatorio correspondiente, la seguridad de información, sirve de pilar para la protección del activo más preciado de las organizaciones: la información proveniente de los procesos y de su personal, así como de las relaciones que establezcan con terceros. Ante este panorama, las empresas han experimentado en los últimos años un creciente interés en contar entre su personal con especialistas en auditoría, gestión de la seguridad de información, gestión de continuidad de negocios, gestión de riesgos tecnológicos y gobierno de TI, que cuenten con los conocimientos y las habilidades necesarias para una correcta toma de decisiones, que ayude a su empresa a ser más eficiente y competitiva. El curso Gestión, Seguridad y Auditoria de las tecnologías de la Información está diseñada para cubrir esta necesidad. El curso brinda los conocimientos teórico-prácticos sobre Auditoría de Sistemas, Seguridad de la Información y buen Gobierno de TI, que permitirá a quienes estén interesados en optar por las certificaciones internacionales CISA y CISM 1, rendir el examen de certificación Cobit Foundation. PARTICIPANTES El curso está dirigido a profesionales de las áreas de Sistemas, Informática, Tecnologías de Información y áreas afines que desarrollan actividades relacionadas con el control interno, la auditoría interna, la auditoría de sistemas de información, la seguridad integral, la seguridad de sistemas de información o gobierno de TI. El curso tiene como potenciales participantes a quienes ocupan alguno de los siguientes cargos: Oficiales de Seguridad de la Información. Gerentes o encargados de seguridad de información. Auditores de sistemas y tecnologías de información. Analistas de riesgos en tecnologías de información. Analistas de seguridad de información. Analistas de continuidad de negocios. Auditores en general. Gerentes de continuidad de negocios. Gerentes de servicios de TI. Gerentes funcionales. 1 Certificaciones de ISACA (Information Systems Audit and Control Association). Página 2 de 9

3 OBJETIVOS OBJETIVOS GENERALES El curso proporcionará a los profesionales de informática, sistemas, tecnologías de la información, administración, contabilidad y ramas afines, los conocimientos y prácticas internacionalmente reconocidas que les permitirá asumir con éxito los retos presentados por las tecnologías de información y comunicaciones, en el contexto de la auditoría, la seguridad, el control y el gobierno de TI, así como las bases para obtener algunas de las más importantes certificaciones de la especialidad. El curso permitirá a los participantes: Aplicar los conocimientos y habilidades adquiridas para potenciar su actividad profesional en materia de auditoría, seguridad, control y gobierno de la Tecnología de la Información, a partir de las normas y estándares internacionales. Tener una base de conocimientos que contribuya positivamente a su posterior certificación como CISA (Certified Information Systems Auditor) y CISM (Certified Information Security Manager) y a la aprobación del examen de COBIT Foundation. Aplicar en sus organizaciones las nuevas tendencias, técnicas y metodologías de auditoría, control, seguridad y gobierno de TI. OBJETIVOS ESPECÍFICOS COBIT: Marco de Trabajo para la Implantación de Gobierno de TI Proporcionar los fundamentos, conceptos y estructura del marco de trabajo de COBIT 4.1 y su relación con el concepto de Gobierno de TI en las organizaciones. Aprender como el COBIT satisface los requerimientos de un marco de Gobierno de TI. Uso práctico del COBIT mediante el desarrollo de talleres de solución de casos usando las herramientas de COBIT y el enfoque de Gobierno de TI. SEGUNDO MÓDULO: Seguridad de la Información Proporcionar los aspectos conceptuales y técnicas base del campo de la seguridad de la información, generando una conciencia de su necesidad, especialmente en entornos corporativos; asimismo, desarrollar el potencial de participación en iniciativas de seguridad a través del uso de técnicas como el análisis de riesgos, la definición de respuesta ante incidentes y el manejo de un programa de seguridad de la información, entre otras acciones. Página 3 de 9

4 TERCER MÓDULO: Auditoría de Sistemas de Información Proporcionar los conocimientos de base necesarios para conocer y entender en qué consiste la auditoría de los sistemas de información, qué normas regulan el desempeño de quienes la llevan a cabo, cuál es su rol dentro de la función de la Auditoría, qué metodologías se utilizan, de qué manera se ejecutan las labores de los auditores de sistemas, así como las técnicas y herramientas disponibles para la ejecución de los trabajos. CONTENIDO MÓDULO DURACIÓN (horas) EXPOSITOR FECHAS PRIMER MÓDULO COBIT: Marco de trabajo para la implantación del Gobierno de TI 33 Manuel Yrigoyen Quintanilla Clases: Del 30 de abril al 4 de junio. Examen: 8 de junio. Entrega de notas: 11 de junio. SEGUNDO MÓDULO Seguridad de la Información TERCER MÓDULO Auditoría de Sistemas de Información Total de Horas 81 Carlos Torres Paredes Manuel Guevara Valdiviezo José Fernando Gallarday Vega Clases: Del 15 de junio al 13 de julio. Examen: 20 de julio. Entrega de notas: 23 de julio. Clases: Del 3 al 27 de agosto. Examen: 31 de agosto. Entrega de notas: 3 de setiembre. Página 4 de 9

5 PRIMER MÓDULO COBIT: Marco de Trabajo para la Implantación de Gobierno de TI Gobierno de TI: La necesidad de Gobierno. Modelo de Gobierno. Impulsores e Inhibidores. Definiciones de Gobierno Corporativo y Gobierno de TI. Áreas focales de Gobierno de TI. Los Stakeholders. Introducción al Cobit: Cobit como marco de trabajo para el Gobierno de TI. El marco de control del Cobit. El Cubo de Cobit. Interrelaciones de los componentes de Cobit. Alineamiento estratégico: Criterios de información. Metas de negocio habilitadas por TI. Metas de TI. Recursos de TI. Procesos de TI: El Dominio PO. El Dominio AI. El Dominio DS. El Dominio ME. Controles de procesos: Objetivos de control de procesos detallados. Objetivos de control de procesos genéricos (PCn). Controles de aplicaciones: Controles generales de TI y control de las aplicaciones. Objetivos de control de las aplicaciones (ACn). Modelos de madurez: Modelo de Madurez genérico. Atributos de Madurez. Medición del desempeño: Metas y métricas de TI. Metas y métricas de procesos. Métricas y métricas de actividades. BSC de TI. Directrices gerenciales: Entradas y salidas de los procesos de TI. Matriz RACI. Prácticas de control: Proceso General. Procesos Específicos. Aplicaciones. Preparándose para el examen COBIT: Consejos prácticos para el examen. Esquema del examen. Simulacro de examen. SEGUNDO MÓDULO: Seguridad de la Información Introducción a la seguridad de la información. La seguridad de la información. Conceptos básicos. Arquitectura de la seguridad de la información. Gobierno de la seguridad de la información Políticas de seguridad y gestión del riesgo. Definición y formulación de políticas de seguridad. Inventario de activos de información. Análisis del riesgo. Alcances é impacto. Cuantificación del riesgo. Metodologías para la gestión del riesgo. Estándares y normativa en seguridad de la información. Visión global de los estándares en seguridad de la Información. Normativa peruana aplicable a la seguridad de la información. Los sistemas de gestión de la seguridad de la información, SGSI. La norma ISO 27001, ISO Los dominios de la seguridad de la información. Políticas. Aspectos organizacionales de la seguridad. Clasificación y control de activos. Seguridad en recursos humanos. Seguridad física y del entorno. Gestión de comunicaciones y operaciones. Control de accesos. Adquisición, desarrollo y mantenimiento de sistemas. Gestión de incidentes en la seguridad de la información. Gestión de la continuidad del negocio. Cumplimiento. Respuesta ante incidentes de seguridad. Definición, detección, manejo y reporte de incidentes. Análisis del impacto en el negocio, BIA. Página 5 de 9

6 Planeamiento de la continuidad del negocio, BCP. Planeamiento para la recuperación ante desastres, DRP. Programa de seguridad de la información. Iniciativas de concientización en seguridad de la información. Rol de la capacitación en el programa. Gerencia del programa de seguridad de la información. Prácticas de generación de políticas de seguridad, análisis de riesgos, enfoque BCP y DRP en la organización, iniciativas en un programa de seguridad de la información. TERCER MÓDULO: Auditoría de Sistemas de Información La auditoría de los sistemas de información: Definición y ubicación dentro de la función de auditoría. Estructura organizacional de la función: Composición y ubicación en el organigrama. Planeamiento de auditorías basadas en evaluación de riesgos. Funciones de la auditoría de sistemas: Propias y de soporte a los auditores no especializados en TI. Tipos de auditorías: De sistemas de información, operativas, integradas, financieras, especializadas (SAS 70), forenses. Áreas de desempeño: Controles generales, de aplicación, gobierno de TI. Conceptos clave: Materialidad, evidencia, independencia, análisis de riesgo, riesgo de auditoría, responsabilidad frente a fraudes, aseguramiento. Normas aplicables a la función: Código de ética profesional, normas y directrices de ISACA, IIA; leyes y regulaciones. Modelos de soporte: COBIT, COSO, ITIL. Informes de Auditoría: Estructura y redacción de observaciones, estructura y contenido del informe, resumen ejecutivo, calificación de la auditoría. Ejemplos de auditorías: Controles generales (control de cambios); Controles de aplicación (planillas), gobierno de TI (gestión de TI). CAATs Computer Assisted Audit Techniques: Importancia, tipos, planeamiento requerido, ejemplos. PROFESORES Manuel Yrigoyen Quintanilla Ingeniero Electrónico, UNI. Magister en Administración de Empresas, ESAN. Candidato a Doctor en Administración de Empresas, UIGV. COBIT Foundation Certificate y CISM aprobado de ISACA. Ha obtenido las certificaciones CCNA (Cisco Certified Network Associate) y CCAI (Cisco Certified Academy Instructor) de Cisco. Ha cursado estudios de especialización en tecnologías de información y gestión en USA, Japón y España. Cuenta con más de 24 años de experiencia en empresas del sector Telecomunicaciones. Ha sido Gerente de las áreas de Sistemas de Información de las empresas Entel Perú S.A y Telefónica del Perú. Ha sido Asesor del Banco Central de Reserva del Perú, en temas de Tecnologías de Información. Actualmente se desempeña como profesor asociado, investigador y coordinador Página 6 de 9

7 académico del área de Sistemas Digitales, Conectividad y Redes de la facultad de Sistemas de la Universidad de Lima. Manuel Guevara Valdiviezo Administración de Empresas en la Universidad de Lima. CISA desde 1998, con certificación vigente, por ISACA. Tiene más de treinta años de experiencia, habiendo iniciado y dirigido la función de Auditoría de Sistemas en dos bancos nacionales, pionero en la aplicación de software para CAATTs en el Perú. Consultor en el uso de herramientas de software para la función de auditoría, en empresas nacionales y en entidades gubernamentales extranjeras, a través de la OEA, el BID y la fundación alemana GTZ. Profesor de la Universidad de Lima sobre temas relacionados con la Auditoría de Sistemas y el Gobierno de la TI. Integrante de los equipos de preparación para las certificaciones CISA y CIA, de ISACA y The IIA, de las cuales es miembro activo. Es Vice Presidente de ISACA Lima. Actualmente se desempeña como Jefe de Sistemas en una planta industrial. José Fernando Gallarday Vega Licenciado en Computación, Universidad Nacional Mayor de San Marcos (UNMSM). Magíster en Administración de Negocios, MBA, Universidad San Ignacio de Loyola. Es Auditor certificado de sistemas de información CISA por ISACA y Auditor interno certificado CIA por IIA. Ha cursado diversos estudios de especialización en tecnología y gestión de negocios en el Perú y los Estados Unidos, tales como ISACA, CANAUDIT, IBM, entre otros. Expositor y docente de postgrado en materias de auditoría y seguridad. Cuenta con más de 22 años de experiencia en empresas financieras y de servicios informáticos líderes en diversos campos. Actualmente trabaja en Scotiabank Perú como Gerente Principal de Auditoría de Operaciones Centrales y Tecnologías de Información y ha sido designado IT risk owner de Scotiabank para Latinoamérica. Es miembro del comité de auditoría de VisaNet Perú y ha liderado equipos de profesionales informáticos en misiones de observación internacional electoral en el exterior, para la OEA. Carlos Torres Paredes Ingeniero Electrónico, Universidad Ricardo Palma. Estudios culminados de la Maestría de Gestión de Tecnologías de Información, Universidad Inca Garcilaso de la Vega. Especialización en Operación y seguridad de Redes de Datos. Cuenta con más de diez años de experiencia en empresas del sector financiero en temas relacionados a tecnologías de información. Ha obtenido las Certificaciones CompTIA Security+, CCNA (Cisco Certified Network Associate), y CCAI (Cisco Certified Academy Instructor). CISM aprobado de ISACA. Actualmente se desempeña como Investigador y docente para los cursos del área de Conectividad y Redes y como instructor del Cisco Networking Academy Program de la Facultad de Ingeniería de Sistemas de la Universidad de Lima. Página 7 de 9

8 METODOLOGÍA Las clases se desarrollarán considerando una metodología teórico-práctica, permitiendo afianzar los conocimientos teóricos mediante el desarrollo de talleres de solución de casos y a través del uso de herramientas de software. SISTEMA DE EVALUACIÓN La nota final del curso se obtendrá del promedio ponderado de las notas que cada módulo (controles de lectura, trabajos prácticos, desarrollo de casos). MATERIAL DE ESTUDIO Los alumnos recibirán los siguientes libros como parte del material de estudio del curso: Copia de presentaciones de clase y casos de estudio. COBIT 4.1 Manual. ITGI (IT Governance Institute). CISM (Cerfified Information Security Manage) Review Manual ISACA (Information Systems Audit and Control Association). CISA (Cerfified Information Systems Auditor) Review Manual ISACA (Information Systems Audit and Control Association). Principios de Auditoría y Control de Sistemas de Información. Tupia Consultores y Auditores. Primera edición, Administración de la Seguridad de Información. Tupia Consultores y Auditores. Primera edición, INVERSIÓN Persona Natural: Público en General: S/. 3,200 Graduados de la Universidad de Lima: S/. 2,720 Tipo de comprobante de pago: Boleta Empresas / Instituciones: Tarifa Público en General (1 participante): S/. 3,200 (*) Tarifa Corporativa (de 2 a 4 participantes): S/. 2,720 Tarifa Corporativa Especial: S/. 2,400 (De 5 a más participantes) Página 8 de 9

9 Tipo de comprobante de pago: Factura * En caso el participante sea un graduado de la Universidad de Lima, prevalecerá la tarifa de ex alumno. Importante: Cualquier anulación de inscripción, cambio de participante o adquiriente, se debe realizar dos días útiles antes de la fecha de inicio del curso y enviando una carta que solicite lo propio, caso contrario la Universidad de Lima no aceptará modificaciones en el proceso de inscripción. INFORMES E INSCRIPCIONES Universidad de Lima Centro Integral de Educación Continua - CIEC Av. Javier Prado Este, cuadra 46. Urb. Monterrico Pabellón H, primer piso Teléfono anexos y Fax anexo ciecinformes@ulima.edu.pe Rev.MC. Página 9 de 9