• No se han encontrado resultados

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "AUDITORÍA DE SISTEMAS DE INFORMACIÓN"

Copied!
6
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 6 página )

Texto completo

(1)

ESCUELA DE POSTGRADO

CENTRO INTEGRAL DE EDUCACION CONTINUA – CIECUR

CURSO DE EDUCACIÓN CONTINUA (CEC)

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Del 20 de Noviembre al 11 de Diciembre de 2007

Martes y Jueves, de 19.00 a 22.00 horas

Duración 21 horas. Introducción

Las empresas están expuestas a diversos riesgos que pueden afectar la continuidad del negocio; riesgos que pueden generar gastos imprevistos, pérdidas e incluso fracasos en los negocios. La experiencia ha demostrado que la mayoría de los problemas se deriva de una inadecuada administración de los riesgos operativos y tecnológicos en la empresa. Las organizaciones se enfrentan a mercados globales, la consolidación de su sector y el incremento de la competencia, así como el uso de nuevas tecnologías. Precisamente la incursión cada vez mayor de las organizaciones en el uso de la tecnología, que les provee de ventaja competitiva, también les expone a diversas amenazas que obligan a una administración del riesgo basado en el fortalecimiento del control interno en el ámbito tecnológico. Los temas asociados a las Tecnologías de Información (TI) deben también ser considerados ineludiblemente por la función de Auditoría, para descargar adecuadamente sus responsabilidades frente a los accionistas, si fuera pertinente, a la Alta Dirección de la entidad y a las entidades reguladoras y de gobierno, de ser el caso.

Sumilla

El curso ofrece una visión de conjunto de los procesos y aspectos de la Tecnología de la Información (TI) que están expuestos a diversos riesgos que pueden impactar negativamente la continuidad del negocio. En el curso se impartirán los conocimientos necesarios para la ejecución de una auditoría y para la evaluación de los controles implantados para mitigar los principales riesgos, exponiéndose técnicas y herramientas de auditoría en las cuales se puede apoyar el auditor, las que se sustentan en estándares y prácticas para la auditoría de sistemas, aceptadas por los profesionales en control, auditoría y seguridad de sistemas a nivel mundial (ISACA). El curso enfatiza la discusión de casuística, en la que los expositores comparten su experiencia, lo que propicia la asimilación de los fundamentos que coadyuvarán a mejorar el entendimiento de TI, sus riesgos, controles y auditoría.

Desarrolla los temas de:

EU-02-CIEC-R-059 Versión N° 1 Fecha: 30.07.2007

(2)

• El proceso de la Auditoría de Sistemas.

• Auditoría a la gestión de la unidad de Sistemas. • Auditoría al servicio de la unidad de Sistemas.

• Auditoría a la protección de los activos de información. • Auditoría al mantenimiento de la continuidad del negocio.

• Auditoría a la administración del ciclo de vida de los sistemas y su infraestructura.

Objetivo general

El objetivo del curso es proporcionar a los participantes los fundamentos necesarios para comprender el proceso de la Auditoría de Sistemas, así como dotarles de los conocimientos necesarios para la ejecución de una auditoría de sistemas, entendiendo las interrelaciones y escenarios asociados a las TI, así como sus objetivos de control y su impacto sobre los procesos de la entidad. Esto permitirá al participante, perfilar el desarrollo de habilidades y conocimientos para planificar y ejecutar una auditoría de sistemas, considerando adecuadamente el alcance, la oportunidad y los recursos necesarios para evaluar el nivel de funcionamiento de los controles de TI, haciendo énfasis en la discusión de casuística con la que se puede encontrar el auditor.

Objetivos específicos

Al finalizar el curso, los alumnos estarán en capacidad de:

• Conocer las fases de la Auditoría de Sistemas, acordes a los estándares generalmente aceptados, así como las principales técnicas y herramientas de auditoría asistidas por computador, así como las situaciones y condiciones apropiadas para su mejor utilización.

• Comprender los principales procesos y técnicas de auditoría que permiten evaluar la administración de la unidad de sistemas de una empresa, así como la evaluación de los sistemas que apoyan el aseguramiento que los riesgos se administran de modo acorde a los objetivos de negocio de la organización. • Entender los principales procesos y técnicas para auditar el servicio y soporte

provisto por la unidad de sistemas.

• Conocer los principales procesos y técnicas para evaluar la seguridad lógica y física de sistemas.

• Comprender los aspectos y las consideraciones de TI necesarios para evaluar la capacidad de la empresa para restaurar los servicios y proveer continuidad de operaciones del negocio.

• Conocer los principales procesos y la auditoría del desarrollo, la adquisición y el mantenimiento de los sistemas, así como los riesgos asociados a estas actividades.

Contenido Sesión 1

El Proceso de la Auditoría de Sistemas

(3)

Sesión 2

El Proceso de la Auditoría de Sistemas (Cont.)

Consideraciones en la ejecución de la auditoría. Técnicas de evaluación de riesgos. Pruebas de cumplimiento y sustantivas. Técnicas y herramientas de auditoría asistidas por computador – CAATTs. Data Test Deck, Integrated Test Facility, Code Comparison, Snapshot, Parallel Simulation, SARF / SCARF, Software Generalizado de auditoría. Informe de Auditoría.

Sesión 3

Auditoría a la Gestión de la Unidad de Sistemas

Planeamiento estratégico de sistemas. Políticas y procedimientos. Administración de RRHH: Contratación, entrenamiento, rotación, evaluación, término del vínculo laboral. Acuerdos de nivel de servicio (Outsourcing). Roles y responsabilidades en TI. Operaciones. Administración de Sistemas. Administración de Seguridad. Administración de bases de datos. Análisis y programación de sistemas ó aplicaciones. Segregación de funciones en TI. Controles en la segregación de funciones: Autorización. Custodia. Acceso a los datos. Tablas de autorización. Controles compensatorios. Técnicas para la auditoría de la administración, planeación y organización de TI. Correlación de los sistemas de información con los procesos de negocios. El riesgo inherente al negocio. Controles sobre la entrada, el procesamiento y la salida de un sistema de información. Interacción entre los controles manuales y los controles del sistema.

Sesión 4

Auditoría al Servicio de la Unidad de Sistemas

Definición de los niveles de servicio. Aseguramiento del servicio ininterrumpido. Identificación y asignación de costos. Gestión de la Mesa de Ayuda. Gestión de problemas. Gestión de datos. Gestión del ambiente físico. Administración de las operaciones. Técnicas de auditoría al Servicio de la Unidad de Sistemas.

Sesión 5

Auditoría a la Protección de Activos de Información

Clasificación de los activos de información. Políticas, prácticas y procedimientos. Administración de la seguridad de los activos de información. Riesgos derivados del acceso lógico. Controles sobre el acceso lógico. Riesgos derivados del acceso físico. Controles sobre el acceso físico. Controles de seguridad para Internet. Logs del acceso al sistema. Riesgos derivados del ambiente. Controles ambientales. Técnicas de auditoría a la protección de Activos de Información.

Sesión 6

Auditoría al Mantenimiento de la Continuidad del Negocio

Planeación de la continuidad del negocio / recuperación de desastres. Análisis del impacto sobre las operaciones. Estrategias de recuperación. Plan de continuidad / recuperación. Técnicas de auditoría al mantenimiento de la continuidad del negocio.

(4)

Sesión 7

Auditoría a la Adquisición, el Desarrollo, la Implantación y el Mantenimiento de Sistemas

Ciclo de vida del desarrollo de los sistemas (SDLC). Relación de los sistemas de aplicación con los objetivos del negocio. Desarrollo vs. Adquisición. Mantenimiento de los sistemas. Gestión de Proyectos. Herramientas para el desarrollo del software. Medios de mejoramiento del proceso de desarrollo del software. Técnicas de auditoría a la Adquisición, el Desarrollo, la Implantación y el Mantenimiento de Sistemas.

Metodología

• Presentación de las fases de la auditoría y los conceptos necesarios para el planeamiento y ejecución de la misma, con apoyo audio-visual (multimedia).

• Interacción activa de cada participante con los expositores. • Discusión de casuística.

Bibliografía

ƒ Information Technology Audits, Xenia Ley Parker, Miller, 2004, Capítulos 5, 6, 8 y 10.

ƒ Single-Volume CIA Review Part 3, Irvin N. Gleim, de Gleim Publications Inc. ƒ IS Standards, Guidelines and Procedures for Audit and Control Professionals,

ISACA, Illinois, USA, 2003, www.isaca.org/standards

ƒ COBIT Resumen Ejecutivo / Objetivos de Control ISACA. 4ª Edición. 2005. ƒ Information Systems Control Journal, Volumen 6, 2002, “A survey of Application

Security in Current International Standards”, págs. 47-51.

ƒ Information Systems Control Journal, Volumen 1, 2003, “Using CAATs to support IS audit.”, págs. 21-23.

ƒ Information Systems Control Journal, Volumen 2, 2003, “Risk-aware Decision Making for New IT Investments”, págs. 17-19.

ƒ Information Systems Control Journal, Volumen 2, 2003, “Business Continuity Management Standards – A Side by Side Comparison”, págs. 26-28.

ƒ Information Systems Control Journal, Volumen 3, 2003, “Implementing Enterprise Security: A Case Study”, págs. 34-39.

ƒ Normas Internacionales ISO 9000, 9001, 9002, 9003, 9004, 9126, International Organization for Standardization.

ƒ Information Systems Control and Audit. Ron Weber, Prentice hall, USA, 1999, Capítulos 2, 3, 4, 5, 6, 7, 8, 9, 10, 12, 17,21, 22, 23.

ƒ Digital Signatures- Security and Controls, Fred Piper, Simon Blake-Wilson, John Mitchell. ISACA, USA 1999.

ƒ E-Commerce Security, Weak Links, Best Defenses. Anup K. Ghosh, John Wiley & Sons, Incl., New York, USA, 1998.

ƒ Web Security, Privacy & Commerce, 2° Edición, Simson Garfinkel, Gene Spafford, O’reylly & Associates, USA, 2002.

(5)

ƒ A Guide to the Project Management body of Knowledge, The Project Management Institute, USA, 2000.

ƒ Technical Report: Banking — Security and other financial services – Framework for security in financial systems ISO/TR 17944:2002.

ƒ International Standard: Information technology – Code of Practice for Information Security Management ISO/IEC 17799:2000.

Páginas Web recomendadas: http://www.isaca.org http://www.isaca.org.pe http://www.theiia.org http://www.iaiperu.org http://www.theiia.org/itaudit/index.cfm?fuseaction=forum&fid=275 http://www.iso.org http://www.auditnet.org/asapind.htm http://www.auditsoftware.net/community/ http://www.sans.org http://www.acl.com http://www.ifac.org/ http://packetstormsecurity.org http://www.astalavista.net http://www.sarbanes-oxley.com/index.php

Expositores de Educación Continua Manuel Guevara Valdiviezo

Licenciado en Administración de Empresas, Certified Information Systems Auditor (CISA) por la Information Systems Audit and Control Association - ISACA.

Cuenta con más de veinticinco años de experiencia en Auditoría de Sistemas y Consultoría, en Ernst & Young y Andersen Consulting, y en entidades financieras, y también como profesional independiente, en instituciones privadas y públicas. Ha sido pionero en el Perú de la difusión y utilización de una herramienta de software para el análisis de datos por parte de los auditores.

Ha integrado equipos de consultoría y auditoría en proyectos auspiciados por el Banco Interamericano de Desarrollo - BID, y la Organización de Estados Americanos – OEA, en Honduras y Bolivia. Además, expuso en un seminario sobre Auditoría de Sistemas auspiciado por ALIDE para el Banco de Crédito de Cuba y en un evento similar a cargo del capítulo en formación de ISACA en Cochabamba, Bolivia.

Es expositor sobre temas de Auditoría, Seguridad y Control para la Tecnología de la Información, en la preparación de profesionales interesados en optar por las certificaciones CISA y CIA, de ISACA y el IAI, respectivamente, así como en la Universidad de Lima y en las universidades César Vallejo (UCV) y Antenor Orrego (UPAO), de Trujillo.

Es socio fundador y ha sido el primer Presidente de la Asociación Peruana de Auditoría y Control de Sistemas de Información – APACSI, el capítulo peruano de ISACA, además de Presidente del Sub-Comité de Auditores de Sistemas de la Asociación de Bancos del Perú.

Desde el año 1999, se desempeña como Auditor de Sistemas en el área de Auditoría Interna de la Oficina de Normalización Previsional, entidad gubernamental a cargo de los regímenes de jubilación del estado peruano.

(6)

Fernando Gallarday Vega

Licenciado en Computación de la UNMSM,Magíster en Administración de USIL, MBA de Fullerton, Certified Information Systems Auditor (CISA) por la Information Systems Audit & Control Asociation - ISACA.

Actualmente labora en el Scotiabank Perú siendo el responsable de la Auditoría de TI. Ha cursado estudios de especialización en el Perú y en Estados Unidos, en diversas áreas de Tecnologías de Información y gestión de negocios en ISACA, CANAUDIT, IBM, MIGE, KPMG, PWC, USIL, UNI, entre otros.

Cuenta con más de 21 años de experiencia en empresas financieras y de servicios informáticos líderes en diversos campos de las Tecnologías de Información, habiéndose concentrado los últimos 15 años en los campos del Control, Seguridad y Auditoría de Sistemas. Ha liderado equipos de profesionales informáticos para misiones de observación electoral en el exterior por la Organización de Estados Americanos - OEA.

Fue Presidente del Sub Comité de Auditores de Sistemas de la Asociación de Bancos del Perú - ASBANC, así como socio fundador, y actual Presidente del Capítulo Peruano de ISACA.

Ha dictado y dicta cátedra y conferencias en materias de Auditoría y Seguridad Informática en diversas universidades tales como Universidad de Lima, San Ignacio de Loyola, San Marcos, Ricardo Palma, Regional del Norte, e instituciones de prestigio tales como la Asociación Peruana de Auditoría, Control y Seguridad en Sistemas de Información, el Instituto de Auditores Internos del Perú, Colegio de Contadores Públicos de Lima, Colegio de Ingenieros del Perú y el Instituto de Formación Bancaria – IFB.

Inversión

Público en General: S/.1160.00

Tarifa Corporativa* y Graduados de la Universidad de Lima:S/. 986.00 Tarifa Corporativa Especial**: S/. 870.00 * Para inscripciones de 2 participantes como mínimo.

** Para inscripciones de 5 participantes como mínimo.

Importante: Cualquier anulación de inscripción, cambio de participante o adquiriente, se debe realizar dos días útiles antes de la fecha de inicio del curso y enviando una carta que solicite lo propio, caso contrario la Universidad de Lima no aceptará modificaciones en el proceso de inscripción.

Informes e Inscripciones

Universidad de Lima. Av. Javier Prado Este, Cuadra 46, Urb. Monterrico

Centro Integral de Educación Continua. Pabellón H, primer piso, oficina H-112

T 437 6767 anexos 30190, 30191 y 30194 F 437 6767 anexo 39018

ciecinformes@correo.ulima.edu.pe www.ciec.ulima.edu.pe

Referencias

Descargar ahora ( PDF - 6 página - 62.84 KB )

Documento similar

Estaciones de la Red pública de control y vigilancia de la contaminación atmosférica de Castilla-La Mancha

Fuente de emisión secundaria que afecta a la estación: Combustión en sector residencial y comercial Distancia a la primera vía de tráfico: 3 metros (15 m de ancho)..

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

guía de registro

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Introducción

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

Capítulo 1

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Capítulo 2

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Capítulo 7

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in