Taller de auditoria

250 visualizaciones

Publicado el

investigacion

Publicado en: Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
250
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Taller de auditoria

  1. 1. Nombre de la asignatura: Carrera: Clave de la asignatura: (Créditos) SATCA1 Taller de Auditoria de Sistemas Seguridad de la Información. Ingeniería en Sistemas Computacionales 4-2-6 PRESENTACIÓN Caracterización de la asignatura. Esta materia aporta las técnicas y herramientas para el proceso de evaluación en el área de los Sistemas de Gestión de seguridad de la información implementados en las organizaciones, considerando la aplicación de técnicas y herramientas en la evaluación del Hardware, Software, Información, telecomunicaciones y personal implicado del área. Pudiendo identificar el nivel de aceptabilidad y aplicación de los estándares de calidad, así como conocer los lineamientos y normativas que debe cumplir el auditor para discernir los elementos aplicables a un proceso de auditoría en esta área del conocimiento. Tiene relación con las asignaturas de Fundamentos de la gestión de la seguridad de la Información, calidad del software, lo que le permitirá mediante una base sólida al alumno generar propuestas de formulación, diseño, planeación e implementación de procesos de evaluación como parte del control interno de un área informática, a su vez, lograr la interrelación de la auditoría con los conocimientos adquiridos durante y después de la asignatura, así como con algunas otras que complementan el proceso de aprendizaje en esta área de conocimiento. Intención didáctica. El temario se estructura en siete unidades donde se inicia con una introducción a la auditoria, pasando por los tipos, las normativas aplicables y las características más importantes de los Sistemas de Gestión de Seguridad de la Información. La unidad dos tiene como finalidad que el alumno conozca y analice los lineamientos establecidos en la normatividad aplicada a la auditoría en informática. Así mismo le permitirá contar con los conocimientos y herramientas necesarias para planificar una auditoría informática sobre el hardware, software, redes, telecomunicaciones y personal considerando la administración, instalación, operación y seguridad bajo la normativa aplicable. La unidad tres busca implicar al estudiante en el ámbito de la auditoria de la función informática considerando la evaluación de recursos humanos a través de entrevistas con personal de informática, entrevistas con el personal usuario así como también la situación presupuestal y financiera de la organización. La unidad cuatro y cinco parte con los temas relacionados sobre generalidades de seguridad física, seguridad lógica, confidencialidad, seguridad del personal así como los controles organizacionales de seguridad en los datos y software de aplicación y mecanismos para su evaluación, seguridad teleinformática, síntomas de riesgo, 1 Sistema de asignación y transferencia de créditos académicos
  2. 2. técnicas y herramientas de auditoria relacionadas con seguridad en una organización. La unidad siete considera los temas y actividades correspondientes a la realización del informe, los criterios para la evaluación, estructura del informe, objetivo y alcance, las observaciones y recomendaciones producto de la auditoria. La unidad siete proyecto final considera la realización de un producto que evidencie la planificación, la realización de la auditoria en el ámbito se seguridad de la información y sus evidencias de realización así como sus resultados. El desarrollo de las diferentes actividades didácticas permitirá comprender la finalidad de una auditoría, aclarando que no es la detección de errores y fallas. Si no mucho más que eso, pues tiene como fin evaluar y mejorar la eficacia y eficiencia del área informática, al examinar su gestión. Las actividades serán guiadas y con seguimiento presencial del docente, para que integradas todas, le permitan a alumno iniciar, planear, aplicar y coordinar un proceso de Auditoria así como dar seguimiento a los resultados, generando en los alumnos de desarrollo de sus competencias como auditor en un entorno real.
  3. 3. COMPETENCIAS A DESARROLLAR Competencias específicas: Utilizar técnicas y herramientas en la evaluación de las diferentes áreas relacionadas con la informática en las organizaciones. Competencias genéricas: Competencias instrumentales  Elige alternativas y cursos de acción con base a criterios sustentados.  Asume las consecuencias de sus comportamientos y decisiones.  Administra los recursos disponibles teniendo en cuenta las restricciones para el logro de sus metas. Competencias interpersonales  Desarrollarse de manera ética en las funciones de auditor.  Maneja las tecnologías de la información y la comunicación para obtener información y expresar ideas.  Aplica distintas estrategias comunicativas según quienes sean los interlocutores, dentro del contexto en el que se ubica y los objetivos que persigue.  Desarrollará la capacidad de Trabajo en equipo.  Será capaz de aplicar un sentido de crítica constructiva, hacia los problemas del mundo real, basados en la solución a través de auditorías informáticas. Competencias sistémicas  Capacidad de aplicar los conocimientos en la práctica.  Habilidades de investigación.  Capacidad de aprender.  Capacidad de adaptarse a nuevas situaciones.  Capacidad de generar nuevas ideas (creatividad).  Habilidad de liderazgo en proyectos.  Habilidad para trabajar en forma autónoma.  Preocupación por la calidad.  Búsqueda del logro.
  4. 4. HISTORIA DEL PROGRAMA Lugar y fecha de elaboración o revisión Participantes Observaciones Instituto Tecnológico de Lázaro Cárdenas, Michoacán Junio 2006 Junio 2012 Academia de Ingeniería en Sistemas Computacionales Este programa de estudios se elaboró en base a las necesidades del Módulo de Especialidad para la carrera de Ingeniería en Sistemas Computacionales. UBICACIÓN DE LA ASIGNATURA a) Relación con otras Asignaturas del Plan de Estudio POSTERIORES POSTERIORES Asignatura Asignatura Ninguna Ninguna b) Aportación de la Asignatura al Perfil de la Especialidad  Capacidad de auditar el funcionamiento de los sistemas de Gestión de seguridad de la información a fin de proporcionar recomendaciones que permitan evaluar sus riesgos así como la implementación del establecimiento de controles que permita corregir vulnerabilidades técnicas y de la función informática identificadas.  Capacidad de auditar los recursos de computo en las instalaciones de sistemas a fin de lograr un mayor rendimiento de los equipos del hardware, software y equipo de comunicaciones.  Capacidad de auditar a t r a v é s d e normas y procedimientos de operación de las instalaciones de sistemas con el fin de garantizar la operación y seguridad de la información de los usuarios. ANTERIORES ANTERIORES Asignatura Asignatura Sistemas Operativos, Taller de Base de Datos, Planificación y modelado, Desarrollo de proyectos de software, Contabilidad Financiera. Sistemas Operativos, Taller de Base de Datos, Planificación y modelado, Desarrollo de proyectos de software, Contabilidad Financiera.
  5. 5. OBJETIVO GENERAL DEL CURSO El estudiante conocerá los conceptos de auditoria informática y las metodologías aplicadas con el propósito de fortalecer su formación con una visión de consultoría aplicada hacia la Auditoria de Sistemas de Gestión en el ámbito de la seguridad de la información. COMPETENCIAS PREVIAS  Análisis crítico y reflexivo del actuar ético en su entorno inmediato y contexto social y profesional.  Conocer, analizar, diseñar, proponer y coordinar proyectos informáticos en las organizaciones.  Conocer, identifica y aplicar los elementos administrativos que le permitirán ubicarse y desempeñarse de manera efectiva en un contexto informático.  Aplicar normas y estándares de calidad necesarias en el desarrollo de sistemas de información.
  6. 6. TEMARIO Unidad Temas Subtemas I Introducción a la auditoria informática 1.1. Definición y clasificación. 1.2. Tipos de auditoría y su relación con la auditoría en Informática. 1.3. Normas y procedimientos de auditoría. 1.4. Planeación y supervisión del trabajo de auditoría. 1.5. Uso de técnicas asistidas por computadora. 1.6. Responsabilidad del auditor en el descubrimiento de errores y desviaciones. 1.7. Importancia relativa y riesgo de auditoría. 1.8. Documentación de la auditoría. 1.9. Evidencia comprobatoria. 1.10. Control interno. 1.11. Resumen. 1.12. Metodología para el desarrollo e implantación de auditoría. 1.13. Informe final de la auditoría. 1.14. Tipos de normas. 1.15. Normas actuales y emergentes aplicadas a la auditoria informática (ISO, CISA, COBIT, otras). 1.16. Sistemas de Gestión de seguridad de la Información. II Planeación de la auditoria Informática 2.1. Introducción 2.2. Metodología a utilizar 2.3. Norma ISO 19011 2.4. Fases Auditoria Informática 2.5. Planeación de la Auditoria 2.6. Revisión preliminar 2.7. Revisión detallada 2.8. Examen evaluación de información 2.9. Pruebas a controles del usuario 2.10. Pruebas Sustantivas 2.11. Evaluación de sistemas de Acuerdo al Riesgo 2.12. Personal participante en la Auditoria 2.13. Perfil del Auditor 2.14. Perfil del usuario 2.15. Definición de estructura organizacional para la auditoria 2.16. Seguimiento al plan de trabajo III Auditoria de la función informática 3.1. Introducción 3.2. Recopilación de información Organizacional 3.3. Evaluación de Recursos Humanos 3.4. Entrevistas con personal de informática 3.5. Entrevistas con el personal usuario 3.6. Situación Presupuestal y Financiera
  7. 7. Auditoria Informática 3.7. Presupuestos Auditoría Informática 3.8. Recursos Financieros y Materiales Auditoria Informática IV Seguridad física, lógica y del personal 4.1. Introducción 4.2. Generalidades de seguridad área física 4.3. Seguridad Lógica y Confidencial 4.4. Seguridad Personal 4.5. Clasificación Controles de Seguridad 4.6. Seguridad de Datos y Software de Aplicación 4.7. Controles para Evaluar Software de Aplicación 4.8. Controles para prevenir fraudes informáticos 4.9. Plan de Contingencia Seguros y procedimientos de recuperación de desastres 4.10. Técnicas y herramientas relacionadas con seguridad física y del personal 4.11. Técnicas y herramientas relacionadas con seguridad de datos y software de aplicación 4.12. Control de cambios en el software de aplicación 4.13. Control de roles de acceso a las aplicaciones 4.14. Control de licencias de las aplicaciones Control V Seguridad en Teleinformática 5.1. Introducción 5.2. Generalidades Seguridad Área Teleinformática 5.3. Objetivos Criterios de Auditoria 5.4. Área Teleinformática. 5.5. Síntomas de Riesgo Teleinformática 5.6. Técnicas y Herramientas Auditoria Relacionadas con Seguridad Teleinformática. VI Informe de Auditoria 6.1. Introducción 6.2. Características del informe 6.3. Criterios para la evaluación de recomendaciones 6.4. Estructura del informe 6.5. Observaciones y recomendaciones VII Proyecto Final 7.1. Introducción 7.2. Planeación de la Auditoria 7.3. Desarrollo de la Auditoria 7.4. Informe final
  8. 8. SUGERENCIAS DIDÁCTICAS El docente debe:  Propiciar la elección de alternativas y cursos de acción con base en criterios sustentados y en el marco de un proyecto de auditoría informática.  Habilidad para administrar los recursos disponibles teniendo en cuenta las restricciones para el logro de la auditoria.  Propiciar la participación en prácticas relacionadas con los demás equipos.  Fomentar la toma de decisiones a partir de la valoración de las consecuencias de distintos hábitos en el levantamiento de la auditoria y reconocer las conductas de riesgo.  Identificar las ideas clave en una entrevista de auditoría y determinara o infiere conclusiones a partir de ellas.  Ordenar la información de acuerdo a categorías, jerarquías y relaciones obtenidas en el levantamiento de la auditoria.  Construye hipótesis, diseña y aplica modelos para probar su desarrollo y validez en el proceso de establecimiento del control interno.  Sintetiza evidencias obtenidas mediante la observación y/o evaluación para producir conclusiones y formular nuevas preguntas.  Habilidad para elegir las fuentes de información más relevantes para un propósito específico.  Estructurar ideas y argumentos de manera clara.  Aportar puntos de vista con apertura y considera los de otras personas de manera reflexiva.  Asumir una actitud constructiva, congruente con los conocimientos y habilidades de los demás. SUGERENCIAS DE EVALUACIÓN La evaluación de la asignatura será diagnóstica, continua, sumativa y formativa, por lo que debe de considerarse el desempeño de cada una de las actividades de aprendizaje, haciendo especial énfasis en:  Reportes escritos de trabajos extra clase, derivados de la unidad temática desarrollada en ese momento.  Presentar de manera individual y/o en equipo conclusiones a cerca de los conocimientos adquiridos durante el desarrollo de trabajos.  Tareas relacionadas con el modelado de la solución de problemas.  Exámenes escritos, para comprobar la adquisición de conocimientos.  Cumplimiento en tiempo y forma sobre los avances de la actividad integradora.  Proyecto Final.
  9. 9. UNIDADES DE APRENDIZAJE Unidad 1: Introducción a la auditoria informática Competencia específica a desarrollar Actividades de Aprendizaje Identificar las áreas de oportunidad en la aplicación de la auditoría informática. Realizando una planificación del proceso de la auditoría informática. 1. Formación de equipos de trabajo. 2. Trabajos de investigación y exposición de temas. 3. Definición y preparación de perfiles del auditor. Unidad 2: Planeación de la auditoria Informática Competencia específica a desarrollar Actividades de Aprendizaje Conocer y analizar los lineamientos establecidos en la normatividad relativa a la aplicación de la auditoría informática. 1. Formación de equipos de trabajo. 2. Trabajos de investigación y exposición de temas. 3. Preparación de una relación de los procesos a auditar y explicar su propósito. 4. Elaboración de plan de auditoria y discusión del mismo. Unidad 3: Auditoria de la función informática Competencia específica a desarrollar Actividades de Aprendizaje Identificar las áreas de oportunidad en la aplicación de la auditoría informática. Realizando una planificación del proceso de la auditoría informática. Conocer, Identificar y seleccionar los requerimientos y estándares para una auditoría del hardware que se deben considerar para determinar el nivel de aplicación en la administración, instalación, operación, seguridad, así como del personal responsable. 1. Formación de equipos de trabajo 2. Trabajos de investigación y exposición de temas. 3. Preparación de un presupuesto de sistemas y discusión del mismo. 4. Establecer estrategias para la obtención de información, definiendo las técnicas a utilizar para la obtención de la misma 5. Preparación de cuestionarios, encuestas.
  10. 10. Unidad 4: Seguridad física, lógica y del personal Competencia específica a desarrollar Actividades de Aprendizaje Conocer, Identificar y seleccionar los requerimientos y estándares para una auditoría de redes que se deben considerar para determinar el nivel de aplicación en la administración, instalación, operación, seguridad, así como del personal responsable. 1. Formación de equipos de trabajo 2. Trabajos de investigación y exposición de temas. 3. Preparar relación de los controles de seguridad con los que debe de contar una instalación informática. 4. Preparación de cuestionarios para aplicarlos en una auditoría. 5. Establecer dinámicas de auditoría entre los mismos grupos de trabajo. 6. Realizar una visita a una instalación real y obtener repuesta a los cuestionarios elaborados. Unidad 5: Seguridad en Teleinformática Competencia específica a desarrollar Actividades de Aprendizaje Conocer, Identificar y seleccionar los requerimientos y estándares para una auditoría de las telecomunicaciones que se deben considerar para determinar el nivel de aplicación en la administración, instalación, operación, seguridad, así como del personal responsable. 1. Formación de equipos de trabajo. 2. Trabajos de investigación y exposición de temas. 3. Preparar relación de los controles de seguridad con los que debe de contar una instalación informática. 4. Preparación de cuestionarios para aplicarlos en una auditoría. 5. Establecer dinámicas de auditoría entre los mismos grupos de trabajo. 6. Realizar una visita a una instalación real y obtener repuesta a los cuestionarios elaborados. Unidad 6: Informe de Auditoria Competencia específica a desarrollar Actividades de Aprendizaje El alumno conocerá las principales características y la estructura del informe final, así como la presentación de resultados y las recomendaciones o acciones que deberá de aplicar el área de Informática auditada. 1. Formación de equipos de trabajo. 2. Trabajos de investigación y exposición de temas. 3. Revisión de cada punto del informe final. 4. Revisión del enfoque de las recomendaciones.
  11. 11. Unidad 7: Proyecto Final Competencia específica a desarrollar Actividades de Aprendizaje Que el alumno fortalezca los conocimientos adquiridos en las unidades previas a través de la elaboración de un proyecto con características de una auditoría de Informática real. 1. Formación de equipos de trabajo. 2. Trabajos de investigación y exposición de temas. 3. Definición de metodología a utilizar. 4. Elaboración de cuestionarios. 5. Elaboración de procesos a evaluar. 6. Establecer planeación de la auditoría. FUENTES DE INFORMACIÓN 1. Piattini Velthuis, Mario G., Peso Navarro, Emilio del. Auditoria Informática. 2. Un enfoque práctico.(2ª edición ampliada y revisada). 3. José Antonio Echenique. Auditoria Informática. Mc-Graw Hill. 4. Enrique Hernández Hernández. Auditoría en Informática. CECSA. 5. Emilio Áttomo Arop, Delip. Auditoria Informática: Un enfoque práctico. Mc-Graw Hill. 6. Solís Montes, Gustavo Adolfo. Reingeniería de la Auditoria Informática. Trillas. 7. Derrien, Yann. Técnicas de la Auditoria Informática. Alfaomega. 8. Javier F. Kuong. Seguridad, Control y Auditoria de las Tecnologías de Información. MASP. PRÁCTICAS PROPUESTAS Actividad integradora:  En equipos de trabajo, durante el transcurso de la asignatura realizar un proyecto de auditoría informática en el ámbito de la seguridad de la información para lo cual, se deberán llevar a cabo las siguientes actividades:  Estudio inicial del entorno auditable.  Determinación de los objetivos y alcance de la auditoria.  Elaboración de plan y programa del trabajo de auditoría: T a r e a s , calendario, responsables, presupuesto.  Redacción de checklist.  Elaboración de los instrumentos que permitan obtener la información pertinente sobre el nivel de aplicación de la normatividad al personal, administración, instalación, operación y seguridad de los elementos más importantes dentro del área informática.  Análisis y cruzamiento de la información y evidencias recopiladas para la redacción de las conclusiones, y determinación del dictamen.  Estructuración y desarrollo del informe final.  Integración de la Carpeta de Evidencias de la Auditoria aplicada.

×