ESCUELA DE POSTGRADO CENTRO INTEGRAL DE EDUCACION CONTINUA CIEC CURSO DE EDUCACIÓN CONTINUA (CEC) AUDITORÍA DE SISTEMAS DE INFORMACIÓN Del 21 de Agosto al 13 de Setiembre de 2007 Martes y jueves, de 19.00 a 22.00 horas Duración 21 horas. Introducción Las empresas están expuestas a diversos riesgos que pueden afectar la continuidad del negocio; riesgos que pueden generar gastos imprevistos, pérdidas e incluso fracasos en los negocios. La experiencia ha demostrado que la mayoría de los problemas se deriva de una inadecuada administración de los riesgos operativos y tecnológicos en la empresa. Las organizaciones se enfrentan a mercados globales, la consolidación de su sector y el incremento de la competencia, así como el uso de nuevas tecnologías. Precisamente la incursión cada vez mayor de las organizaciones en el uso de la tecnología, que les provee de ventaja competitiva, también les expone a diversas amenazas que obligan a una administración del riesgo basado en el fortalecimiento del control interno en el ámbito tecnológico. Los temas asociados a las Tecnologías de Información (TI) deben también ser considerados ineludiblemente por la función de Auditoría, para descargar adecuadamente sus responsabilidades frente a los accionistas, si fuera pertinente, a la Alta Dirección de la entidad y a las entidades reguladoras y de gobierno, de ser el caso. Sumilla El curso ofrece una visión de conjunto de los procesos y aspectos de la Tecnología de la Información (TI) que están expuestos a diversos riesgos que pueden impactar negativamente la continuidad del negocio. En el curso se impartirán los conocimientos necesarios para la ejecución de una auditoría y para la evaluación de los controles implantados para mitigar los principales riesgos, exponiéndose técnicas y herramientas de auditoría en las cuales se puede apoyar el auditor, las que se sustentan en estándares y prácticas para la auditoría de sistemas, aceptadas por los profesionales en control, auditoría y seguridad de sistemas a nivel mundial (ISACA). El curso enfatiza la discusión de casuística, en la que los expositores comparten su experiencia, lo que propicia la asimilación de los fundamentos que coadyuvarán a mejorar el entendimiento de TI, sus riesgos, controles y auditoría. Desarrolla los temas de: El proceso de la Auditoría de Sistemas. 1
Auditoría a la gestión de la unidad de Sistemas. Auditoría al servicio de la unidad de Sistemas. Auditoría a la protección de los activos de información. Auditoría al mantenimiento de la continuidad del negocio. Auditoría a la administración del ciclo de vida de los sistemas y su infraestructura. Objetivo general El objetivo del curso es proporcionar a los participantes los fundamentos necesarios para comprender el proceso de la Auditoría de Sistemas, así como darles los conocimientos necesarios para la ejecución de una auditoría de sistemas, entendiendo las interrelaciones y escenarios asociados a las TI, así como sus objetivos de control y su impacto sobre los procesos de la entidad. Esto permitirá al participante, perfilar el desarrollo de habilidades y conocimientos para planificar y ejecutar una auditoría de sistemas, considerando adecuadamente el alcance, la oportunidad y los recursos necesarios para evaluar el nivel de funcionamiento de los controles de TI, haciendo énfasis en la discusión de casuística con la que se puede encontrar el auditor. Objetivos específicos Al finalizar el curso, los alumnos estarán en capacidad de: Conocer las fases de la Auditoría de Sistemas, acordes a los estándares generalmente aceptados, así como las principales técnicas y herramientas de auditoría asistidas por computador, así como las situaciones y condiciones apropiadas para su mejor utilización. Comprender los principales procesos y técnicas de auditoría que permiten evaluar la administración de la unidad de sistemas de una empresa, así como la evaluación de los sistemas que apoyan el aseguramiento que los riesgos se administran de modo acorde a los objetivos de negocio de la organización. Entender los principales procesos y técnicas para auditar el servicio y soporte provisto por la unidad de sistemas. Conocer los principales procesos y técnicas para evaluar la seguridad lógica y física de sistemas. Comprender los aspectos y las consideraciones de TI necesarios para evaluar la capacidad de la empresa para restaurar los servicios y proveer continuidad de operaciones del negocio. Conocer los principales procesos y la auditoría del desarrollo, la adquisición y el mantenimiento de los sistemas, así como los riesgos asociados a estas actividades. Contenido Sesión 1 El Proceso de la Auditoría de Sistemas Organización y Administración de la función de Auditoría. Planificación de la auditoría. Estándares y prácticas generalmente aceptadas para la auditoría de sistemas. Análisis de riesgos. Objetivos de control. Realización de una auditoría: Clasificación de la auditoría. Metodología de la auditoría. Consideraciones en el Planeamiento. 2
Sesión 2 El Proceso de la Auditoría de Sistemas (Cont.) Consideraciones en la ejecución de la auditoría. Técnicas de evaluación de riesgos. Pruebas de cumplimiento y sustantivas. Técnicas y herramientas de auditoría asistidas por computador CAATTs. Data Test Deck, Integrated Test Facility, Code Comparison, Snapshot, Parallel Simulation, SARF / SCARF, Software Generalizado de auditoría. Informe de Auditoría. Sesión 3 Auditoría a la Gestión de la Unidad de Sistemas Planeamiento estratégico de sistemas. Políticas y procedimientos. Administración de RRHH: Contratación, entrenamiento, rotación, evaluación, término del vínculo laboral. Acuerdos de nivel de servicio (Outsourcing). Roles y responsabilidades en TI. Operaciones. Administración de Sistemas. Administración de Seguridad. Administración de bases de datos. Análisis y programación de sistemas ó aplicaciones. Segregación de funciones en TI. Controles en la segregación de funciones: Autorización. Custodia. Acceso a los datos. Tablas de autorización. Controles compensatorios. Técnicas para la auditoría de la administración, planeación y organización de TI. Correlación de los sistemas de información con los procesos de negocios. El riesgo inherente al negocio. Controles sobre la entrada, el procesamiento y la salida de un sistema de información. Interacción entre los controles manuales y los controles del sistema. Sesión 4 Auditoría al Servicio de la Unidad de Sistemas Definición de los niveles de servicio. Aseguramiento del servicio ininterrumpido. Identificación y asignación de costos. Gestión de la Mesa de Ayuda. Gestión de problemas. Gestión de datos. Gestión del ambiente físico. Administración de las operaciones. Técnicas de auditoría al Servicio de la Unidad de Sistemas. Sesión 5 Auditoría a la Protección de Activos de Información Clasificación de los activos de información. Políticas, prácticas y procedimientos. Administración de la seguridad de los activos de información. Riesgos derivados del acceso lógico. Controles sobre el acceso lógico. Riesgos derivados del acceso físico. Controles sobre el acceso físico. Controles de seguridad para Internet. Logs del acceso al sistema. Riesgos derivados del ambiente. Controles ambientales. Técnicas de auditoría a la protección de Activos de Información. Sesión 6 Auditoría al Mantenimiento de la Continuidad del Negocio Planeación de la continuidad del negocio / recuperación de desastres. Análisis del impacto sobre las operaciones. Estrategias de recuperación. Plan de continuidad / recuperación. Técnicas de auditoría al mantenimiento de la continuidad del negocio. 3
Sesión 7 Auditoría a la Adquisición, el Desarrollo, la Implantación y el Mantenimiento de Sistemas Ciclo de vida del desarrollo de los sistemas (SDLC). Relación de los sistemas de aplicación con los objetivos del negocio. Desarrollo vs. Adquisición. Mantenimiento de los sistemas. Gestión de Proyectos. Herramientas para el desarrollo del software. Medios de mejoramiento del proceso de desarrollo del software. Técnicas de auditoría a la Adquisición, el Desarrollo, la Implantación y el Mantenimiento de Sistemas. Metodología Presentación de las fases de la auditoría y los conceptos necesarios para el planeamiento y ejecución de la misma, con apoyo audio-visual (multimedia). Interacción activa de cada participante con los expositores. Discusión de casuística. Expositores de Educación Continua Manuel Guevara Valdiviezo Licenciado en Administración de Empresas, Certified Information Systems Auditor (CISA) por la Information Systems Audit and Control Association - ISACA. Tiene más de veinticinco años de experiencia en Auditoría de Sistemas y Consultoría, en Ernst & Young y Andersen Consulting, y en entidades financieras. Ha sido pionero en el Perú de la difusión y utilización de una herramienta de software para el análisis de datos por parte de los auditores. Ha integrado equipos de consultoría y auditoría en proyectos auspiciados por el Banco Interamericano de Desarrollo - BID, y la Organización de Estados Americanos OEA, en Honduras y Bolivia. Además, expuso en un seminario sobre Auditoría de Sistemas auspiciado por ALIDE para el Banco de Crédito de Cuba y en un evento similar a cargo del capítulo en formación de ISACA en Cochabamba, Bolivia. Es expositor sobre temas de Auditoría, Seguridad y Control para la Tecnología de la Información, en la preparación de profesionales interesados en optar por las certificaciones CISA y CIA, de ISACA y el IAI, respectivamente, así como en la Universidad de Lima y en las universidades César Vallejo (UCV) y Antenor Orrego (UPAO), de Trujillo. Es socio fundador y ha sido el primer Presidente de la Asociación Peruana de Auditoría y Control de Sistemas de Información APACSI, el capítulo peruano de ISACA, además de Presidente del Sub-Comité de Auditores de Sistemas de la Asociación de Bancos del Perú. Fernando Gallarday Vega Licenciado en Computación de la UNMSM,Magíster en Administración de USIL, MBA de Fullerton, Certified Information Systems Auditor (CISA) por la Information Systems Audit & Control Asociation - ISACA. Actualmente labora en el Scotiabank Perú siendo el responsable de la Auditoría de TI. Ha cursado estudios de especialización en el Perú y en Estados Unidos, en diversas áreas de Tecnologías de Información y gestión de negocios en ISACA, CANAUDIT, IBM, MIGE, KPMG, PWC, USIL, UNI, entre otros. 4
Cuenta con más de 21 años de experiencia en empresas financieras y de servicios informáticos líderes en diversos campos de las Tecnologías de Información, habiéndose concentrado los últimos 15 años en los campos del Control, Seguridad y Auditoría de Sistemas. Ha liderado equipos de profesionales informáticos para misiones de observación electoral en el exterior por la Organización de Estados Americanos - OEA. Fue Presidente del Sub Comité de Auditores de Sistemas de la Asociación de Bancos del Perú - ASBANC, así como socio fundador, y actual Presidente del Capítulo Peruano de ISACA. Ha dictado y dicta cátedra y conferencias en materias de Auditoría y Seguridad Informática en diversas universidades como Universidad de Lima, San Ignacio de Loyola, San Marcos, Ricardo Palma, Regional del Norte, e instituciones de prestigio tales como la Asociación Peruana de Auditoría, Control y Seguridad en Sistemas de Información, el Instituto de Auditores Internos del Perú, Colegio de Contadores Públicos de Lima, Colegio de Ingenieros del Perú y el Instituto de Formación Bancaria IFB. Inversión Público en General: S/.1160.00 Tarifa Corporativa* y Graduados de la Universidad de Lima:S/. 986.00 Tarifa Corporativa Especial**: S/. 870.00 * Para inscripciones de 2 participantes como mínimo. ** Para inscripciones de 5 participantes como mínimo. Importante: Cualquier anulación de inscripción, cambio de participante o adquiriente, se debe realizar dos días útiles antes de la fecha de inicio del curso y enviando una carta que solicite lo propio, caso contrario la Universidad de Lima no aceptará modificaciones en el proceso de inscripción. Informes e inscripciones Universidad de Lima. Av. Javier Prado Este, Cuadra 46, Urb. Monterrico Centro Integral de Educación Continua. Pabellón H, primer piso, oficina H-112 T 437 6767 anexos 30190, 30191 y 30194 F 437 6767 anexo 39018 ciecinformes@correo.ulima.edu.pe www.ciec.ulima.edu.pe 5