1. DATOS INFORMATIVOS: MATERIA AUDITORIA INFORMÁTICA CÓDIGO: CARRERA: ADMINISTRACIÓN Y CONTABILIDAD NIVEL: OCTAVO PARALELO: No. DE CREDITOS 4 CRÉDITOS DE TEORÍA: 4 SEMESTRE: II SEMESTRE 2008-2009 CREDITOS DE PRACTICA: PROFESOR: Nombre: Grado académico o título profesional: Breve indicación de la línea de actividad académica: Indicación de horario de atención a estudiantes: Correo electrónico: JEFE DE ÁREA ING. NANCY PÉREZ CAJIAO INGENIERA COMERCIAL CON MENCIÓN EN CONTABILIDAD Y AUDITORÍA CONTABILIDAD Y AUDITORÍA nperezc@puce.edu.ec 2. DESCRIPCIÓN DEL CURSO 3. OBJETIVOS Proporcionar a los alumnos los conocimientos fundamentales para la ejecución de la auditoria con y en informática. Exponer en clase cuales son y como se deben evaluar los controles internos informáticos. Dotar a los estudiantes de un conocimiento claro del uso de técnicas de auditoria asistidas por el computador. 4. CONTENIDO UNIDAD 1 - Fundamentos de Auditoria Informática. Definición y Clases de Auditoria. Definición de Auditoria Informática. Enfoques de Auditoria Informática (auditoria con y en informática). La Auditoria Informática como apoyo de las otras auditorias. Perfil Profesional del Auditor Informático. ISACA (Information System Audit.and Control Association) y la Certificación CISA (Certified Information System Auditor / Auditor de Sistemas de Información Certificado). Normas Relacionadas con Auditoria Informática. Control Objetives for Information and Related Technology - COBIT. ISO 27001:2005 Sistema de Gestión de Seguridad de Información - SGSI. 1 / 5 4
Information Technology Infrastructure Library ITIL (Mejores Prácticas para la Administración de Tecnología de Información). National Institute of Standards and Technology NIST. UNIDAD 2 - Sistemas de Información Computarizados. Definición de un Sistema de Información Sistemas de Información computarizados. Plan Informático. Proceso de Desarrollo e Implantación de sistemas. Organización de datos. Métodos de Procesamiento Automático de Datos. Conectividad: Redes. Datawarehouse. Datamining. Inteligencia Artificial (IA). E Business / E - Commerce. Plan de Recuperación de Desastres. UNIDAD 3 - El Control en los Sistemas de Información Computarizados. Vulnerabilidad de los Sistemas. Controles Informáticos Controles Preventivos. Controles Detectivos. Controles Correctivos. Pistas de Auditoria (logs). Seguridad Informática. Seguridad física Seguridad lógica Controles Informáticos en Redes. Controles Informáticos en bases de datos. Encriptamiento de la Información Cortafuegos (Firewalls). Ethical Hacking. Delitos Informáticos. Hackers / Crackers Malware - Malicious Software: virus informáticos, caballos de troya, bombas lógicas y gusanos. Keylogger (captura de teclado), adware (advertising software), spyware (spy software), remote access (acceso remoto), phishing (pesca mail para actualización de datos en páginas web falsas), spoofing (engaño identidad de red falsa), dialers (programas de marcado aumento de facturación telefónica), joke programs (bromas), spam (correo electrónico no solicitado) y otros similares. UNIDAD 4 - Auditoria Informática. Fases de la Auditoria Informática. Planeación. Revisión Preliminar. Revisión Detallada. Examen y Evaluación de la Información. Pruebas de Consentimiento. 2 / 5 4
Pruebas de Controles del Usuario. Pruebas Sustantivas. Comunicación de Resultados. Cronograma de Cumplimiento de Recomendaciones. Software de Auditoria (como apoyo a otras auditorias) Software Genérico de Auditoría (extracción y análisis de datos). Herramientas de Análisis de Información de Bases de Datos TAAC s Técnicas de Auditoría Asistidas por el Computador. 5. METODOLOGIA, RECURSOS 6. EVALUACIÓN El profesor deberá sujetarse para las evaluaciones a los estudiantes de acuerdo a lo determinado en los artículos 32. 33 y 34 del Reglamento General de Estudiantes. FECHA DE ENTREGA DE CALIFICACIONES EN SECRETARIA: FECHAS Entrega de Calificaciones en Secretaría 16 de marzo del 2009 Último plazo para entregar primera nota parcial /10 20 de abril del 2009 Último plazo para entregar segunda nota parcial /10 25 de mayo del 2009 Último plazo para entregar tercera nota parcial /10 Último plazo para entregar tercera nota final /20 7. BIBLIOGRAFÍA ANAYA MULTIMEDIA EDITORIAL; Spam / Spammer X; 2005. BAYUK, J; Stepping Through the IS Audit ; 2004; BERNAL MONTAÑES, Rafael / COLTEL SIMON, Oscar; Auditoría de los Sistemas de Información; Universidad Politécnica de Valencia España; 1999; www.isaca.org/nonenglishbooks. CASCARINO, Richard; Auditor`s Guide to Information Systems Auditing; 2007; www.isaca.org/essentialsbooks. CHAMPLAIN, Jack; Practical IT Auditing ; 2006; CODERRE, David; CAATTs and Other BEASTs for Auditors; 2005; www.isaca.org/essentialsbooks. CRUMBLEY, Larry / ZEIGENFUSS, Douglas; U.S. Master Auditing Guide ; 2005; DAVIS, Chris / SCHILLER, Mike / WHEELER, Kevin; IT Auditing: Using Controls to Protect Information Assets ; 2006; DE LA FUENTE, Reynaldo; Aportes a la Seguridad y Privacidad en Informática y Comunicación de Datos; 1995; www.isaca.org/nonenglishbooks. DELGADO ROJAS, Xiomar; Auditoría Informática; 1998; www.isaca.org/nonenglishbooks. ECHENIQUE, José Antonio; Auditoría en Informática ; McGraw Hill; México; 2001. GALLEGOS, Frederick / MANSON, Daniel; Information Technology Control and Audit ; 2004; GRAHAM, Lynford / LEY PARKER, Xenia; Information Technology Audits ; 2007; 3 / 5 4
HERNÁNDEZ HERNÁNDEZ, Enrique; Auditoría de Informática: Un Enfoque Metodológico y Práctico; 2004; www.isaca.org/nonenglishbooks. HUIDROBO, José / ROLDÁN, David; La tecnología e business; 2005; ediciones Paraninfo. HUNTON, James / BRYANT, Stephanie / BAGRANOFF, Nancy; Core Concepts of Information Technology Auditing; 2003; www.isaca.org/essentialsbooks. KRIST, Martin; A Standard for Auditing Computer Applications ; 1999; Ley de Comercio Electrónico, Firmas y Mensajes de Datos; Ley No. 67; R.O. Suplemento 557 de 17 de abril de 2002; República del Ecuador. LOCKHART, Andrew; Seguridad de Redes, Los Mejores Trucos; Anaya Multimedia; 2007. MITNICK, Kevin / SIMON, William; Teha Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers ; 2005; MUÑOZ RAZO, Carlos; Auditoria en Sistemas Computacionales; Pearson Educación; México; 2002. NITESH, Dhanjani; Claves Hackers en Linux y Unix; McGraw Hill; 2004. PIATTINI, Mario G. / DEL PESO, Emilio; Auditoría Informática: Un Enfoque Práctico; 1998; www.isaca.org/nonenglishbooks. PIATTINI, M / HERVADA, F; Gobierno de las Tecnologías y los Sistemas de Información ; 2007; Reglamento a la Ley de Comercio Electrónico, Firmas y Mensajes de Datos; Decreto Ejecutivo No. 3496; R.O. 735 de 31 de Diciembre de 2002; República del Ecuador. RÍOS, Wellington; Auditoría Informática. SALLÉS, Manuel; La Consultoría Tecnológica; Gestión 2000; 2006. TYNAN, Dan; Privacidad Informática; Editorial Anaya Multimedia; 2006. VALLE SÁNCHEZ, Mario; Guía para la Auditoría de Sistemas Automatizados. WEIRICH, Thomas / PEARSON, Thomsas / REINSTEIN, Alan; Accounting and Auditing Research; 2005; www.isaca.org/essentialsbooks. Adicionalmente a los libros antes mencionados, se considera una buena fuente de información complementaria (FIC) acerca de la materia, la disponible en las siguientes direcciones de internet: Con formato: Justificado Organización / Información Organizaciones que presentan información de Auditoría Informática ACL Audit Command Language Dirección de Internet www.acl.com Con formato: Español (Ecuador) AsociaciónIIA Latinoamericana de Investigadores de Fraudes y Crímenes Financieros ALIFC Association of Certified Fraud Examiners ACFE www.alifc.org www.cfenet.com AudIT SecurIT Auditnet Control Solutions (Data Analytics and Continuous Monitoring) www.auditsecurit.com www.auditnet.com www.controlsolutions.com Con formato: Justificado Con formato: Título 5 4 / 5 4
CSI (Governance, Risk & Compliance GRC) www.csi4grc.com Datasec (IT Security & Control) www.datasec-soft.com Delitos Informáticos www.delitosinformaticos.com Favored Solutions (GRC Solution) www.favoredsolutions.net IDEA Interactive Data Extraction and Analysis www.caseware-idea.com IIA www.theiia.org/itaudit Institute of Internal Auditors / IT Audit Information Security Writers www.infosecwriters.com Information Security Inc. Isec www.i-sec.org Information Security Inc. On Line www.infosecurityonline.org Internet Crime Complaint Center www.ic3.gov ISACA www.isaca.org Information Systems audit and Control Association ISACA www.isaca.org.ec Information Systems audit and Control Association Capítulo Ecuador ISO 27000 Sistemas de Gestión de Seguridad de la Información SGSI www.iso27000.es i-sprint innovations (security solutions) www.i-sprint.com IT Audit www.itaudit.org Microsoft Academia Latinoamericana de Management www.microsoft.com/latam/techne t/alm Microsoft Academia Latinoamericana de Seguridad Informática www.microsoft.com/latam/techne t/video/alsi.mspx Microsoft FOREFRONT www.microsoft.com/forefront Net Security www.netsecurity.org PAISLEY Software for Governance, Risk & Compliance GRC www.paisley.com PICALO Data Analysis Application www.picalo.org Powertech (AS / 400 Auditor) www.powertech.com PROTIVITI (Independent Risk Consulting) www.protiviti.com Proyecto Atlatl México (USAID) www.atlatl.com.mx Proyecto ResponDabilidad / Anticorrupción en las Américas www.respondanet.com AAA Americas Accountability / Anti-Corruption Project (USAID) Safe IT www.safeit.org SAI Global (information security) www.saiglobal.com TAAC IT www.taac.it Team Mate (Audit Management System) www.pwc.com/teammate United States InterAmerican Community Affairss www.interamericanusa.com WizSoft (Data Minig for Auditors) www.wizsoft.com Organizaciones AICPA www.aicpa.org American Institute of Certified Public Accountants IIA www.theiia.org Institute of Internal Auditors IIA www.theiia.org/chapters/flai Federación Latinoamericana de Auditores Internos FLAI IIA Ecuador www.iaiecuador.org Instituto de Auditores Internos del Ecuador IFAC www.ifac.org International Federation of Accountants INTOSAI www.intosai.org International Organization of Supreme Audit Institutions (Organización Internacional de Entidades Fiscalizadoras Superiores) OLACEFS www.olacefs.org.pa Organización Latinoamericana y del Caribe de 5 / 5 4
Entidades Fiscalizadoras Superiores. Firmas de Auditoría. Deloitte Ernest & Young KPMG Price Waterhouse Coopers Entidades Fiscalizadoras Superiores (Contralorías) Auditoría General de la Nación República de Argentina Contraloría General de la República de Bolivia Contraloría General de la República de Chile Contraloría General de la República de Colombia Contraloría General de la República de Ecuador Contraloría General de la República de Perú Contraloría General de la República Bolivariana de Venezuela www.deloitte.com www.ey.com www.kpmg.com www.pwc.com www.agn.gov.ar www.cgr.gov.bo www.contraloría.cl www.contraloria.gov.co www.contraloria.gov.ec www.contraloría.gob.pe www.cgr.gov.ve MINIMOS PARA APROBAR LA MATERIA: MINIMO EXAMEN MINIMO FINAL TOTAL (50) 8/20 30/50 D.G.A. 12/12/2008 6 / 5 4