Auditoría y Seguridad de Sistemas

UNIVERSIDAD PRIVADA ANTENOR ORREGO
FACULTAD DE INGENIERIA

ESCUELA PROFESIONAL DE INGENIERIA COMPUTACIÓN Y SISTEMAS

SEMESTRE ACADEMICO 2011-0

SILABO
1. Datos Generales

1.1. Nombre de Asignatura : Auditoría y Seguridad de Información.
1.2. Código : ICSI-259.
1.3. Ciclo : IX (Noveno).
1.4. Créditos : 04 (Cuatro).
1.5. Pre-Requisito : Administración de Base de Datos
Administración de Redes.
1.6. Extensión horaria : 16 horas semanales (128 horas semestrales).
Teoría : 04 horas semanales
Asesoría : 08 horas semanales.
Laboratorio : 04 horas semanales.
1.7. Duración : 08 semanas.
Inicio : 10 Enero de 2011.
Término : 05 Marzo de 2011.
1.8. Semestre : 2011 – 0.
1.9. Profesores : Ing. Jaime Díaz Sánchez, jdiazs@upao.edu.pe
Ing. Karla Meléndez Revilla, kmelendezr@upao.edu.pe
Ing. Oscar Tincopa Urbina, otincopau@upao.edu.pe

2. Fundamentación

2.1. Aporte de la asignatura en el perfil profesional

La asignatura de Auditoría y Seguridad de Información aporta en el proceso formativo del
Ingeniero de Computación y Sistemas proveyendo el conocimiento para entender la
importancia de los enfoques preventivos de la seguridad de información y los sistemas de
control interno y externo, bajo un enfoque de gestión de riesgos en el marco jurídico actual.

2.2. Sumilla

El propósito de esta asignatura es brindar los conceptos fundamentales, metodologías y
estándares internacionales actuales de la seguridad de información y auditoría de
Tecnologías de Información basada en riesgos tecnológicos, desarrollar casos de estudio
aplicando los estándares internacionales tratados y las técnicas de defensa en profundidad
por capas o niveles de la red organizacional; así como comprender las actividades
profesionales a desarrollarse, los ámbitos de aplicación y el valor agregado que le brinda a los
procesos de negocio organizacionales; promoviendo la práctica de los valores y la ética
profesional dentro del contexto del curso y su rol dentro del desarrollo de la sociedad.

3. Competencias de la Asignatura

3.1. Adquiere los conceptos fundamentales de la auditoría de informática permitiendo entender la
necesidad de controlar y auditar las tecnologías de información.
3.2. Adquiere los conceptos de control interno de los sistemas, permitiendo con criterio preparar el
documento de control interno alineándolo con la visión y misión de la organización.

Silabo de Auditoría y Seguridad de Sistemas de Información - Semestre 2011-0
Docentes: Ing, Jaime Díaz Sánchez, Ing. Karla Meléndez Revilla, Ing. Oscar Tincopa Urbina

3.3. Adquiere los conceptos fundamentales de la administración de riesgos, como base
fundamental para una auditoría de tecnologías de información y/o para la seguridad de
información moderna.
3.4. Aplica los conceptos fundamentales de la gestión de la seguridad de información, permitiendo
entender la necesidad de proteger la información considerando la integridad, disponibilidad y
confidencialidad de la misma.
3.5. Desarrolla las principales metodologías, técnicas y estándares internacionales para la
auditoría informática y gestión de la seguridad de información, diseñando la defensa
perimetral de la red organizacional y estableciendo sus políticas de seguridad.
3.6. Conoce las principales certificaciones existentes, sus requisitos y exigencias para convertirse
en un auditor informático internacional o un administrador de la seguridad de información
internacional.

4. Programación por Unidades de Aprendizaje

4.1. Unidad 1: Auditoría de Sistemas de Información (ASI) y Aplicación de COBIT.

4.1.1. Competencias
 Define y diferencia los conceptos de auditoría, auditoría informática, auditoría de
sistemas de información y control interno.
 Define el proceso de Auditoría de Sistemas de Información
 Adquiere los conceptos de la Auditoría en el Ciclo de Vida del Desarrollo de
Sistemas de Información y como realizar una auditoría a los controles de
aplicación, auditoria del desarrollo, adquisición y mantenimiento de Sistemas de
Información.
 Utiliza COBIT en el proceso de Auditoría de Sistemas de Información.

4.1.2. Programación de contenidos

Contenidos
Sem. Conceptual Procedimental Actitudinal
1 Teoría - Participa en la definición de - Delibera la importancia de
- Conceptos de auditoría, los conceptos. ubicar adecuadamente las
auditoría de Sistemas de - Identifica la relación de la diferentes áreas dentro de
Información y Auditoría de auditoría y seguridad en la una organización
Tecnologías de organización con una - Asimila los conceptos de
Información visión de riesgos. auditoría valorando el
- Objetivos de las Auditorías - Identifica las diferentes impacto que ésta tiene
- Perfil del Auditor clases de auditoría. sobre el cumplimiento de lo
- Deontología y códigos - Identifica los elementos de establecido
éticos del Auditor las tecnologías de - Asume actitudes de
- Tipos de Auditoría de SI información puntualidad, orden y
- Enuncia las diferencias veracidad
entre los 3 tipos de
Auditoria
Asesoría - Analiza y discute los - Selecciona el Sistema de
- Plan de Auditoría: Alcance, esquemas de Auditorías Información que evaluará
Objetivos, Organización del - Identifica los objetivos de - Participa en los casos y
Equipo, Planificación una Auditoría ejemplos propuestos por el
- COBIT: Definición, - Reconoce la importancia Docente
antecedentes, de Plan de Auditoría - Elabora el Plan de
características, principios, - Lee e interpreta el Marco Auditoría cumpliendo los
recursos, marco de trabajo, Referencial de COBIT lineamientos del Silabo
modelos de madurez. - Identifica las - Asume actitudes críticas
características y respecto al Marco
diferencias del modelo de Referencial de COBIT
madurez
Laboratorio - Busca en Internet y elabora - Asume actitudes de


Contenidos
Búsqueda de información comparativos sobre este investigación y
acerca de Metodologías, tema, enunciando las responsabilidad en la
Métodos y Estándares diferencias y similitudes. búsqueda de información
- Delibera sobre la utilidad y - Cumple con los formatos
características de los de Informes de
estándares internacionales Investigación
- Realizar un trabajo
comparativo entre
Metodologías, Métodos y
Estándares
2 Teoría - Participa en la ponencia - Asimila los conceptos de
- El Control Interno: sobre Control Interno y Control Interno y de
concepto de Control, tipos, Auditoría de SI Auditoría de SI
estructura, formulación y - Delibera sobre la - Identifica paralelos entre el
evoluión importancia del control Control Interno y la
- El Proceso de Auditoría: dentro de una organización Auditoría de SI
organización, planificación, - Identifica los procesos de - Asume una actitud crítica
ejecución, informe y auditoría. sobre la utilidad del control
seguimiento en las organizaciones
Asesoría - Analiza esquemas - Elabora procedimientos y
- Actividades de Auditoría procedimentales de una requerimientos de
(procedimientos y Auditoría Auditoría utilizando los
requerimientos) - Identifica los Dominios PO y AI de
- COBIT: Planificación y requerimientos de COBIT
Organización (PO) y información para una - Asume actitudes de
Adquisición e Auditoría puntualidad, orden y
Implementación (AI) - Lee e interpreta los veracidad
Dominios PO y AI de
COBIT
Laboratorio - Identifica y utiliza - Asume actitudes de
- Herramientas para la herramientas de control investigación y
auditoria de Base de Datos aplicables a la Auditoría de responsabilidad en la
(reingeniería de BD, Datos búsqueda de información
análisis de las estructuras, - Realiza un trabajo - Cumple con los formatos
integridad de datos) comparativo entre estas de Informes de
- La Ley de Benford herramientas Investigación
- Software para Auditoria de
Datos (análisis de datos
usando ACL, IDEA)
3 Teoría - Participa en las - Asimila los conceptos
- Auditoría del proceso de definiciones del CVDS relacionados al CVDS
Ciclo de Vida del - Lee, interpreta e identifica incluidos en la NTP
Desarrollo de Sistemas los procesos de la NTP ISO/IEC 12207:2004
(CVDS) ISO/IEC 12207:2004 - Participa con ejemplos de
- NTP ISO/IEC 12207:2004 aplicables a una Auditoría los indicadores de
“Ciclo de Vida del - Participa y enuncia medición
Desarrollo de Software” ejemplos de diferentes - Identifica el nivel de
- COBIT: complementación indicadores de medición: madurez del área de
al avance de la Asesoría KSF, KPI y KGI y nivel de auditoría y de la seguridad
madurez de información dentro de la
organización
Asesoría - Enuncia Preguntas para la - Demuestra destreza en la
- Elaboración de conformación de selección de preguntas
Cuestionarios y Listas de Cuestionarios y Listas de utilizando los Dominios de
Verificación Verificación COBIT
- COBIT: Entrega y Soporte - Lee e interpreta los - Asume actitudes de


Contenidos
(ES), y Monitoreo y Dominios ES y M de puntualidad, orden y
Seguimiento (M) COBIT responsabilidad en la
presentación de Avance 1
del Proyecto
Búsqueda y utilización de herramientas de control investigación y
software para realizar aplicables a la Auditoría del responsabilidad en la
evaluaciones: CVDS y a la IR búsqueda de información
- Al Ciclo de Vida de - Realiza un trabajo - Cumple con los formatos
Desarrollo de Software y comparativo entre estas de Informes de
- A la Ingeniería de herramientas Investigación
Requerimientos (IR)
4 Teoría: - Participa en la - Asume una actitud crítica
Auditoría Gubernamental: diferenciación de la el proceso de Auditoría en
Justificación, Sistema Auditoría Gubernamental y las entidades
Nacional de Informática, la Privada gubernamentales
Normas de Control Interno, - Propone esquemas de - Visita el Portal Web de la
Dispositivos Legales, integración de ambos tipos ONGEI para identificar la
Normas Técnicas Peruanas de auditorías normatividad vigente
y otros - Reconoce el contexto de la aplicables a una Auditoría
normatividad vigente Gubernamental
Asesoría - Participa en la criterios de - Demuestra destreza en la
- Papeles de Trabajo: organización y elaboración elaboración de los Papeles
organización, elaboración y de los Papeles de Trabajo de Trabajo
obtención de una Auditoría - Asume actitudes de
- Redacción del Informe de - Asimila la estructura del puntualidad, orden y
Auditoría Informe de Auditoría responsabilidad en la
presentación de Avance 2
del Proyecto
software para realizar aplicables a la Auditoría de responsabilidad en la
evaluaciones a Portales Web Portales Web y a Sistemas búsqueda de información
y a Sistemas Operativos Operativos - Cumple con los formatos
- Realiza un trabajo de Informes de
comparativo entre estas Investigación
herramientas
5 Teoría Aplica los conocimientos y Demuestra valores y
Examen Parcial competencias adquiridas en responsabilidad al resolver
la resolución del Examen de manera individual su
Examen
Asesoría Aplica los conocimientos y Asume actitudes de
Exposición de los Informes competencias adquiridas en puntualidad, orden y
de Auditoría la Sustentación del Informe responsabilidad en la
de Auditoría presentación del Proyecto
software para realizar aplicables a Computadoras responsabilidad en la
evaluaciones a y Accesorios de Red búsqueda de información
Computadoras y Accesorios - Realiza un trabajo - Cumple con los formatos
de Red comparativo entre estas de Informes de
herramientas Investigación

4.2. Unidad 2: Administración de Riesgos y de la Seguridad de la Información.


4.2.1. Competencias
 Define los conceptos de auditoría, riesgos y seguridad.
 Establece diferencias entre auditoria y seguridad de TI bajo el enfoque de
riesgos de TI.
 Adquiere los conceptos de la administración de riesgos como cimiento de una
moderna seguridad de información.
 Conoce las diferentes metodologías de administración de riesgos.
 Adquiere los conceptos de gobierno de la seguridad de información.
 Define los conceptos de administración de riesgos de información.
 Adquiere y aplica los conceptos del Plan de seguridad de Información PSI.
 Adquiere y aplica de los conceptos de administración de la Seguridad de
información.
 Adquiere los conceptos de Continuidad de negocios y contingencias de TI.

4.2.2. Programación de contenidos

Contenidos
6 Teoría - Participa en la definición de - Asimila los conceptos de
- Conceptos de los conceptos. riesgos y la importancia de
riesgos y - Identifica los elementos su adecuada
metodologías para que originan el riesgo de administración
su administración TI. - Asume una actitud crítica
- Administración de - Identifica los componentes sobre el impacto de la
riesgos AS/NZS: del riesgo de operación. administración de riesgos
objetivos y fases - Enuncia ejemplos para
cada uno de los pasos de
la metodología de
administración de riesgos
AS/NZS
Asesoría - Participa en la - Identifica ejemplos en cada
- Desarrollo identificación de la uno de los pasos de la
metodológico de la secuencia de pasos de la metodología
administración de metodología AS/NZS 4360, - Participa con criterio en la
riesgos los componentes de ERM solución de los
- Elaboración de COSO y las ISO/IEC cuestionamientos
mapas de riesgos, 17799 y 27001. propuestos por el docente.
identificando - Elabora un paralelo entre - Demuestra habilidad en la
componentes de COSO y COBIT diagramación de los mapas
procesos, software, - Participa en el proceso de de riesgos
hardware, ejemplificación de los - Asume actitudes de
comunicaciones, mapas de riesgos puntualidad, orden y
ambientales, veracidad
agentes internos y
externos, redes, etc.
Laboratorio - Conoce y utiliza las - Demuestra destreza en la
Instalación y manejo tecnologías para la identificación de
del software aplicativo administración de riesgos componentes de
PILAR, identificando - Aplica el software tecnología de información
sus características aplicativo PILAR para la - Cumple con los formatos
más importantes administración de riesgos de Informes de
relacionadas a la en su Proyecto Investigación
administración de - Asume actitudes de
riesgos investigación y
responsabilidad en la
búsqueda de información


7 Teoría - Delibera sobre la - Asimila los conceptos de la
- Plan de seguridad importancia de administrar clase
de información un Plan de Seguridad de la - Asume una actitud crítica
- Planes de Información (PSI) el alcance que debe tener
continuidad de - Participa en la un PSI
negocios –PCN–. identificación y alcance de - Participa con criterio en la
Contingencias en el la estructura de un PSI selección de los
área de tecnologías - Elabora propuestas y componentes críticos de TI
de información formas de medida - Discierne sobre las
adecuadas de seguridad métricas adecuadas para
de TI relacionándola con el el nivel de madurez de
nivel de riesgo seguridad de la
organizacional aceptado organización
- Participa en la - Planifica las actividades del
identificación de las proceso de una prueba de
mejores prácticas de continuidad
seguridad que le hacen
falta a la organización
Asesoría - Elabora procedimientos - Asume actitudes de
Gobierno de la alternos ante la caída de puntualidad, orden y
Seguridad de la los servicios de TI veracidad
Información: - Elabora e identifica los - Asume actitudes de
- Desarrollo y procedimientos de puntualidad, orden y
objetivos de la contingencia para la responsabilidad en la
estrategia, recursos recuperación de los presentación de Avance 1
y limitaciones servicios de TI del Proyecto
- Introducción las
normas ISO 27001,
ISO 27002
Laboratorio - Conoce y utiliza - Asume una actitud crítica
OSSIM: herramientas para respecto a las utilización
- Introducción a los automatizar los sistemas de OSSIM como software
sistemas para la para la seguridad de la para la administración de la
seguridad de la información seguridad de la
información, - Conoce y utiliza el software información
estructura y disponible utilizado para - Asume una actitud crítica
elementos detectar intrusos respecto a las
principales - Participa en las herramientas utilizadas
- Instalación, demostraciones que realiza para la detección de
configuración y el docente intrusos
operación básica - Cumple con los formatos
de Informes de
Investigación
8 Teoría Aplica los conocimientos y Demuestra valores y
- Examen Final competencias adquiridas en responsabilidad al resolver
- Examen de la resolución del Examen de manera individual su
Aplazados Examen
Asesoría Aplica los conocimientos y Asume actitudes de
Exposición de los competencias adquiridas en puntualidad, orden y
Informes de la Sustentación del Informe responsabilidad en la
Seguridad de Seguridad presentación del Proyecto
Laboratorio Aplica los conocimientos y Asume actitudes de
Exposición del uso competencias adquiridas en puntualidad, orden y
de PILAR en su la Sustentación del Informe responsabilidad en la
Proyecto de de Seguridad presentación del Proyecto
Seguridad


5. Estrategias Metodológicas

Para el desarrollo del curso se aplicarán los siguientes procedimientos didácticos:
- Clases teóricas: Con exposición por parte del Docente y la participación activa de los Alumnos.
- Asesoría. Se asesora la aplicación correcta de los conocimientos teóricos en la solución de un
caso real organizacional llevado en un proyecto.
- Laboratorio: Se desarrolla utilizando la herramienta apropiada.

6. Materiales Educativos y otros Recursos Didácticos

La asignatura de desarrollará utilizando:
- Computadoras en los Laboratorios de Computación.
- Proyector multimedia.
- Papel, pizarra, plumones, mota y transparencias.
- Libros, Diapositivas, Separatas, Manuales Técnicos y Revistas Especializadas.
- Servicio de Internet en Aula y Laboratorios.
- Software de Aplicación: Microsoft Office 2007 Professional.
- Sistema Operativo: Microsoft Windows XP Professional, Microsoft Windows Server 2008 y
Linux.

7. Tecnicas, Instrumentos e Indicadores de Evaluación

La Universidad establece que:
- El Promedio Final se calculará con carácter permanente, sumativo y vigésimal (00 a 20)
- Solo para el Promedio Final, la fracción 0.5 ó mayor favorece al Estudiante.
- El 30% de inasistencia injustificadas desaprueba automáticamente al Alumno, sin derecho a
rendir el Examen de Aplazados.
- El Control de Asistencia se realizará en todas las sesiones y mensualmente deben publicarse
las estadísticas de este control.
- La Entrega de los Exámenes se realicen la siguiente semana de su ejecución.
- La Revisión de los Exámenes y cualquier reclamo se hará en el horario de Asesoría
establecido por los Docentes.

La Evaluación comprenderá los siguientes ítems: Trabajos de Laboratorios (TL), Proyectos en
Asesoría (PA) y Exámenes Parcial y Final (EP y EF). Las Evaluaciones no rendidas o Trabajos no
presentados se calificarán con 00. Las justificaciones de Inasistencias que conlleven a realizar una
Evaluación fuera de su programación, deben ser autorizadas por la Dirección de Escuela.

Los Proyectos de Asesoría (PA) serán grupales (máximo 5 integrantes del mismo NRC) y
complementarios al avance del Contenido de las Asesorías. Los criterios de presentación y
calificación se indican en el Anexo 1. El Promedio de Proyectos de Asesoría (PPA) de cada
Unidad se calculará de la siguiente manera:

PPA = 0.4*Promedio_Avances + 0.6*Exposición_Proyecto

Los Trabajos de Laboratorios (TL) se desarrollan semanalmente y relacionados con los temas
desarrollados en los Laboratorios y deben ser presentados siguiendo las indicaciones del Anexo 2.
El Promedio de Trabajos de Laboratorio (PTL) de cada Unidad se calculará de la siguiente
manera:

PTL = ∑TLj / N

Es necesario indicar, que el de N puede variar en función a los Trabajos de Laboratorios
asignados, es decir pueden aplicarse los cuatro o solo uno por cuestiones de tiempo y/o
capacidad técnica de los equipos.

Los Exámenes Escritos (Parcial y Final) se aplicarán con la formulación de problemas de
orientación teórica y/o práctica y las respuestas serán calificadas basadas en su objetividad,


análisis y síntesis. En el enunciado de cada pregunta se identificará el tema relacionado y su
puntuación máxima.

El Cronograma de Evaluaciones será el siguiente:

Semana Fecha Aula Evaluación
5 07/02/2011 C305 Examen Parcial
5 08/02/2011 C306 Exposición de Proyectos
8 28/02/2011 C305 Examen Final
8 01/03/2011 C306 Exposición de Proyectos
8 01/03/2011 COM8 Examen de Laboratorio 2
8 04/03/2011 C305 Examen Aplazados

El Promedio de Unidad (PU) se calculará de la siguiente manera:

PUi = 0.2*PTLi + 0.35*PPAi + 0.5*Exameni

Donde i es el identificador de Unidad 1 ó 2, PTL es el Promedio de Trabajos de Laboratorio, PPA
es el Promedio de Proyectos de Asesoría, y Examen es la Nota del Examen Parcial o Final según
la Unidad.

El Promedio Semestral (PS) tiene como nota mínima aprobatoria 10.5 y se calculará de la
siguiente manera:

PS = ( PU1 + PU2 ) / 2

Los alumnos con Promedio Semestral entre 07 y 10.4 tienen derecho a rendir el Examen de
Aplazados y es la Nota Promocional del Curso.

8. Tutoría y Consejería

La Tutoría y Consejería es una actividad académica que tiene como propósito el de orientar y
apoyar a los estudiantes durante el proceso de su formación profesional.

Las horas de Tutorías se desarrollarán en la Sala de Profesores de la Escuela y con:
- Jaime Díaz Sánchez los días Lunes de 14:20 a 15:10,
- Karla Meléndez Revilla los días Martes de 10:40 a 11:30, y
- Oscar Tincopa Urbina los días Miércoles de 14:20 a 15:10.

También podrán resolverse consultas a través de nuestros correos electrónicos
jdiazs@upao.edu.pe y jrodriguezm@upao.edu.pe.

Nuestra páginas Web se encuentra en:
- Jaime Díaz Sánchez Jaime  http://www.upao.edu.pe/webs/index.aspx?id=000000861
- Karla Meléndez Revilla  http://www.upao.edu.pe/webs/index.aspx?id=000034072
- Oscar Tincopa Urbina  http://www.upao.edu.pe/webs/index.aspx?id=000080113

9. Bibliografía

- Asociación de auditoría y control de sistemas de información (ISACA) (2005). Manual de
preparación al examen CISM (Certified Information Security Manager) 2006, ISACA.

- Consejo Superior de Informática (2005). Metodología de análisis y gestión de riesgos de los
sistemas de información de las administraciones públicas (MAGERIT) versión 1.0, 1ra. Ed.,
Madrid. s/Ed.

- Echenique J. (2001) Auditoría en informática, 2da. ed, México DF. Ed. Mc Graw Hill.


- ISO/IEC (2005) Sistema de gestión de la seguridad de información ISO 27001:2005. s/e,
Ginebra. s/Ed.

- La Information Systems audit. And Control Asociation (ISACA) y el IT Governance Institute
(ITGI) (2000), COBIT Objetivos de control para la información y las tecnologías relacionadas,
ISACA-ITGI.

- Microsoft e Learning (2005). Aplicación práctica de la seguridad en ambientes Microsoft,
Microsoft Latinoamérica.

- Piattini, M. y Del Peso, E. (2003). Auditoría informática: un enfoque práctico, 2da. ed,
Madrid. Ed. Alfa y Omega.

- Presidencia del Consejo de Ministros (PCM) (2007). Norma Técnica Peruana NTP-ISO/IEC
17799:2007. 1ra. ed., Lima.

IX. Horario de Clases

NRC Tipo Día Horario Aula Docente
1216 Teoría Lunes 10:40 - 14:15 C303 J. Díaz
1355 Asesoría Martes 10:40 - 14:15 C306 O. Tincopa
Miércoles 10:40 - 14:15 C306
1356 Laboratorio Martes 07:00 - 08:45 COM8 K. Meléndez
Jueves 08:50 - 10:35 COM8


Auditoría y Seguridad de Sistemas

Recomendados

Recomendados

Más contenido relacionado

Similar a Auditoría y Seguridad de Sistemas

Similar a Auditoría y Seguridad de Sistemas (20)

Último

Último (20)

Auditoría y Seguridad de Sistemas