UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOSFundada en 1551

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICAEscuela Académico Profesional de Ingeniería de Sistemas

SILABO

1. ESPECIFICACIONES GENERALES

Nombre del Curso : AUDITORIA Y SEGURIDAD INFORMATICA.Código curso : 209001 Créditos : 4.0Carácter : ObligatorioDuración : SemestralSemestre Académico : 2011-IHoras semanales : 3 Teoría y 2 de PrácticaPRE Requisitos : 207001

2. SUMILLA

Se desarrollaran los siguientes temas:1. El Proceso de la Auditoria de Sistemas de Información. 2. Gobierno Corporativo y de Tecnología de Información.3. Ciclo de Vida de Productos Informáticos y sus controles asociados.4. Servicio de entrega y soporte de Tecnología de Información.5. Seguridad de la Información.6. Continuidad del Negocio y recuperación de desastres.

3. OBJETIVOS DEL CURSO

Considerando la coyuntura actual en relación a la ventaja competitiva que las Organizaciones obtienen a través del adecuado uso de las tecnologías de Información,, se hace imprescindible que los estudiantes conozcan cómo realizar un examen de Auditoría, cuáles son las etapas típicas que se deben realizar, los alcances que pueden tener y conocer los modelos, estándares, procedimientos, técnicas y herramientas pertinentes que apoyan esta labor.

4. COMPETENCIAS DEL CURSO

En cada una de las unidades de aprendizaje programadas:

1. Asegurar que el estudiante tenga los conocimientos necesarios de Auditoría de Sistemas de Información de conformidad con los estándares y mejores prácticas, para apoyar a la organización a validar que su tecnología de información y sus sistemas están protegidos y controlados.

2. Asegurar que el Estudiante entienda y sea capaz de evaluar si la organización tiene establecidas las políticas que soportan la gestión del servicio y prácticas de monitoreo para satisfacer los requerimientos del gobierno corporativo de las tecnologías de Información.

3. Asegurar que el estudiante entienda y sea capaz de evaluar si las prácticas para el desarrollo y adquisición, prueba, implementación, mantenimiento y disposición de los sistemas e infraestructura reúnan los objetivos requeridos de la organización.

4. Asegurar que el estudiante entienda y sea capaz de evaluar si los servicios de Tecnología de Información son administradas a través de prácticas que garanticen el cumplimiento de los niveles de servicio requeridos para cumplir con los objetivos organizacionales.

5. Asegurar que el estudiante entienda y pueda proporcionar garantía de que la arquitectura de seguridad (políticas, estándares, procedimientos y controles) garantiza la confidencialidad, integridad y disponibilidad de los activos de información.

6. Asegurar que el Estudiante tenga el conocimiento suficiente para evaluar la capacidad de una organización para re-establecer los servicios a un nivel acordado de calidad y los procesos de desarrollo, comunicación y mantenimiento de un plan de continuidad de negocios debidamente documentado y probado.

5. UNIDADES DE APRENDIZAJE

UNIDAD DE APRENDIZAJE I: EL PROCESO DE AUDITORÍA DE SI

COMPETENCIA: Asegurar que el estudiante tenga los conocimientos necesarios de Auditoría de Sistemas de Información de conformidad con los estándares y mejores prácticas, para apoyar a la organización a validar que su tecnología de información y sus sistemas están protegidos y controlados.

Sesión / Temas Actividades Fecha / SemanaEl proceso de auditoría de TI: Desarrollar e implementar una estrategia de

auditoría basada en los riesgos de la organización en cumplimiento con los estándares y mejores prácticas de auditoría de Sistemas de Información. (Sarbanex Oxley, COSO, Basilea y otros).

Planificar auditorias específicas para validar que la Tecnología de Información y los sistemas/ aplicativos de negocio son protegidos y controlados.

Conducir auditorias de Sistemas de Información de conformidad con los estándares y mejores prácticas de auditoría de Sistemas de Información para alcanzar los objetivos planeados en auditoría. (COBIT, NTP ISO/IEC 17799, ISO 27001, NAGU, Circular SBS G-105, ley de contrataciones con el estado, de transparencia, de informe previo y otros).

Comunicar los hallazgos emergentes, riesgos potenciales y resultados de auditorías a los accionistas o "stakeholders" clave.

Exposición del Profesor.Discusión de lecturas.Trabajos de Investigación.Exposición de trabajos.

1, 2 y 3

UNIDAD DE APRENDIZAJE II: GOBIERNO DE TECNOLOGÍA DE LA INFORMACIÓN.

COMPETENCIA: Asegurar que el Estudiante entienda y sea capaz de evaluar si la organización tiene establecidas las políticas que soportan la gestión del servicio y prácticas de monitoreo para satisfacer los requerimientos del gobierno corporativo de las TI.

Sesión / Temas Actividades Fecha / SemanaGobierno de Tecnología de Información: Capacidad para evaluar la efectividad de la

estructura, prácticas de inversión y gestión de Gobierno de TI.

Capacidad para evaluar la estructura organizacional de TI y la gestión de los recursos humanos para garantizar que soportan los objetivos y las estrategias de la organización.

Capacidad para evaluar la estrategia de TI y el proceso para su desarrollo, aprobación, implementación y mantenimiento.

Capacidad para evaluar las políticas, los estándares y los procedimientos de TI de la organización y los procesos para su desarrollo, aprobación, implementación y mantenimiento, para asegurar que soportan las estrategias de TI y el cumplimiento legal y regulatorio.

Capacidad para evaluar las estrategias y políticas de contratación de TI así como las prácticas de gestión de contratos.

Capacidad para evaluar las prácticas de gestión del riesgo para asegurar que los riesgos de TI de la organización estén debidamente administrados.

Capacidad para Evaluar las prácticas de monitoreo y aseguramiento para garantizar que la Alta Dirección reciba información suficiente y oportuna sobre el desempeño de TI.

Exposición del ProfesorDiscusión de lecturas.

4 y 5

UNIDAD DE APRENDIZAJE III: ADMINISTRACIÓN DEL CICLO DE VIDA DE LOS SISTEMAS Y LA INFRAESTRUCTURA

COMPETENCIA: Asegurar que el estudiante entienda y sea capaz de evaluar si las prácticas para el desarrollo y adquisición, prueba, implementación, mantenimiento y disposición de los sistemas e infraestructura reúnan los objetivos requeridos de la organización.

Sesión / Temas Actividades Fecha / SemanaAdministración del ciclo de vida de los sistemas y la infraestructura: Capacidad para evaluar la estructura y prácticas

de la gestión de proyectos Entender como apoyan cuerpos de conocimiento

vinculados como el Pmbok del PMI y el CMMI en su nivel 2.

Capacidad para evaluar el proceso de desarrollo y mantenimiento de aplicaciones.

Capacidad para evaluar esquemas alternativos detallando las correspondientes a la NTP-12207, CMMI, Moprosoft, Spice y otros.

Capacidad para evaluar prácticas implementadas para el desarrollo / adquisición de infraestructura.

Capacidad para evaluar la implementación de herramientas para el desarrollo y ayudas de productividad.

Capacidad para evaluar la implementación de prácticas para mejora de procesos. IDEAL y otros.

Exposición del ProfesorTrabajos de investigación

6 y 7

UNIDAD DE APRENDIZAJE IV: SERVICIO DE ENTREGA Y SOPORTE DE TI

COMPETENCIA: Asegurar que el estudiante entienda y sea capaz de evaluar si los servicios de TI son administradas a través de prácticas que garanticen el cumplimiento de los niveles de servicio requeridos para cumplir con los objetivos organizacionales.

Sesión / Temas Actividades Fecha / SemanaServicio de entrega y soporte de TI:

Evaluar que el nivel de los servicios administran prácticas para garantizar que el nivel de atención de los servicios internos y externos están definidos y gestionados.

Conocer el apoyo de modelos como ITIL y otros. Valorar si la gestión de operaciones de TI

aseguran que las TI soportan adecuadamente las necesidades del negocio.

Valorar si las prácticas de administración de datos garantizan la integridad y la optimización de bases de datos.

Valorar si el uso de la capacidad y el monitoreo aseguran que los cambios realizados al entorno de producción son adecuadamente controlados y documentados.

Valorar si los cambios, configuración y liberación de versiones, aseguran que los cambios realizados de la producción son adecuadamente controlados y documentados.

Valorar si se implementan prácticas para solucionar problemas y gestionar incidentes y asegurar que los incidentes son registrados, analizados y resueltos de manera oportuna.

Valorar si la funcionalidad de la infraestructura de TI (componentes de red, hardware, software del sistema), garantizan adecuado soporte a los objetivos de la organización.

Exposición del ProfesorTrabajos de investigaciónExposición de Trabajos

9 y 10

UNIDAD DE APRENDIZAJE V: PROTECCIÓN DE ACTIVOS DE LA INFORMACIÓN

COMPETENCIA : Asegurar que el estudiante entienda y pueda proporcionar garantía de que la arquitectura de seguridad (políticas, estándares, procedimientos y controles) garantiza la confidencialidad, integridad y disponibilidad de los activos de información.

Sesión / Temas Actividades Fecha / SemanaProtección de activos de la información:

Valorar si la implementación de controles de TI se despliegan en base a un adecuada evaluación de riesgos.

Valorar si se han institucionalizado políticas y procedimientos para el aseguramiento de la seguridad de la información.

Valorar si la organización ha implementado una adecuada organización que garantice la implementación de prácticas orientadas al aseguramiento de la seguridad de información.

Valorar si se ha clasificado la información y su tratamiento se da conforme a su criticidad.

Valorar si se han implementado procedimientos para garantizar la seguridad para con el personal, seguridad física, seguridad en las operaciones y comunicaciones.

Valorar si se han implementado procedimientos para la seguridad en el desarrollo y mantenimiento de software y si a través de los mismos se garantiza el cumplimiento regulatorio.

Exposición del ProfesorPresentación de casosDesarrollo de cuestionarios

11, 12 y 13

UNIDAD DE APRENDIZAJE VI: LA CONTINUIDAD DEL NEGOCIO Y LA RECUPERACIÓN DEL DESASTRE.

COMPETENCIA : Asegurar que el Estudiante tenga el conocimiento suficiente para evaluar la capacidad de una organización para re-establecer los servicios a un nivel acordado de calidad y los procesos de desarrollo, comunicación y mantenimiento de un plan de continuidad de negocios debidamente documentado y probado.

Sesión / Temas Actividades Fecha / SemanaLa continuidad del negocio y la recuperación de desastres: Conocer aspectos del planeamiento de la

continuidad y recuperación ante desastres. Conocer aspectos de organización y asignación

de responsabilidades. Conocer los componentes de un plan de

continuidad de negocios efectivo. Conocer aspectos vinculados a las pruebas que

se deben realizar

Exposición del Profesor 14

15ª Semana: Entrega de Trabajo Práctico. Exposición, sustentación y entrega de informe final.

16ª Semana: Examen Final.

17ª Semana: Examen Sustitutorio.

6. METODOLOGIA

El curso es presentado en 17 sesiones (incluyendo exámenes parcial, final y sustitutorio) en los que se emplearán diapositivas de la sesión, lecturas de textos y documentos especializados.

La participación del alumno es fundamental y será continua a través de exposiciones, informes de avance en grupo, así como controles orales y escritos periódicos.

Se prevé el desarrollo de un trabajo práctico, que será desarrollado en grupo y en el que se aplicarán los conceptos vertidos en la parte teórica y práctica.

Usualmente, las clases constarán de dos partes: La teoría y la práctica. En la teoría, se efectuará la clase con los temas relacionados a la sesión de acuerdo al programa y en la que se espera una amplia intervención de parte de los alumnos. En la Práctica, (1) durante los primeros 30 minutos, los participantes discutirán y aclararán, si fuese necesario, los conceptos de las lecturas que se entreguen y avances del trabajo práctico, alternativamente, estará constituido por un control escrito respecto a los temas de lectura o de conceptos tratados en la sesión anterior; (2) En el tiempo restante (1 Hora con 30 minutos), se efectuará la exposición grupal de una tarea o discusión de caso asignado en una sesión anterior, o avance del trabajo práctico con la presentación de un informe escrito cuando sea el caso.

Tanto la participación individual o en grupo, la presentación de informes y los controles escritos constituyen elementos que conllevan a obtener parte de la nota aprobatoria.

Instrucciones: Al inicio del ciclo, los alumnos deben formar grupos de 4 o 5 personas, tanto para las exposiciones de casos en la parte

práctica, así como para exposición de casos referidos al curso encargadas por el profesor. Además, cada alumno a través del curso debe desarrollar un trabajo prácticos que serán asignados en clase.

El trabajo práctico del proyecto informático se asignará en la cuarta semana y el tiempo que cada alumno dedique a su desarrollo es independiente al de asistencia a clases.

Al término del ciclo, los alumnos presentarán un “Informe del Trabajo” asignado, con su respectiva exposición en clase. El material a usarse en el curso estará constituido por: (1) Las diapositivas de clase, las separatas dejadas en el área de

fotocopias y otros documentos alcanzados para sacar copia; (2) los temas de los libros, separatas y documentos impresos y otros contenidos señalados en los sitios internet indicados en la bibliografía.

7. SISTEMA DE EVALUACIÓN

Concepto Porcentaje Descripción

Informes Parciales del Proyecto. 20% Informes + Exposiciones.

Informe Final del Proyecto. 20% Informe, exposición final del trabajo.

Examen Parcial. 30% Temas tratados de 1era. a 7ma. Sesión (escrito).

Examen Final. 30% Temas tratados de 9na. a 15ava. Sesión (escrito).

8. BIBLIOGRAFÍA

L : LIBROS

L1: Manual de preparación al examen CISA de la Asociación de Auditoría y Control de Sistemas de Información (ISACA).

L2: Auditoria Informática/ Un enfoque práctico Mario Piattini, Emilio del Peso Ed. Alfaomega Ra-ma Edición 2da

D : DOCUMENTOS

D1: Auditoria conceptos y control interno Material entregado en clase.

D2: Normas de C.I. para los SIC´S- 500 Normas Técnicas de Control Interno para el Sector Publico - Contraloría General de La República.

D3: Norma Técnica Peruana “NTP-ISO/IEC 12207:2004 TECNOLOGÍA DE LA INFORMACIÓN. Procesos del ciclo de vida del software. 1ª Edición” en entidades del Sistema Nacional de Informática.

D4: COBIT DEL IT Governance Institute Versión 4 en español.

D5: Normas de Auditoría Gubernamental – Contraloría general de la República.

D6: Buen Gobierno de las inversiones en TI – ISACA

D7: Estándares, Guías, Procedimientos de Auditoría – ISACA

I : DIRECCIONES DE INTERNET

I1: Information Systems audit and Control Association www.isaca.org

I2: Informática Normas legales www.pcm.gob.peI3: CAATs www.wizsoft.com; www.acl.com; www.ecora.com

I4: Normas Nacionales www.ongei.gob.pe; www.inei.gob.pe; www.cgr.gob.pe; www.sbs.gob.pe