Diplomado en Auditoria Informática: Preparación Para El Examen de Certificación.

Módulo: 1 El proceso de auditoria de sistemas de información.
Proporcionar al participante un panorama general de la función de auditoria de sistemas de información, así mismo el estudiante aprende a definir cada uno de los procesos de la función, desde la planeación estratégica de las auditorias, tipos de auditorías, la conformación de un área de auditoría de SI y el establecimiento de comités, con la utilización de leyes, regulaciones y estándares acordes a las mejores practicas internacionales (COBIT, ISO etc.).

Comprensión referente a análisis de riesgos y clasificación de los controles, aplicación de pruebas de cumplimiento y de pruebas sustantivas, así como el enfoque y diseño de observaciones, su seguimiento y documentación de la auditoría; logrando con esto una Autoevaluación del Control (Control Self Assessment).

Temario

1. Función y objetivos de la auditoría en informática.

2. Normas y directrices para la Auditoria de Sistemas de Información.

3. Código de ética profesional.

4. Misión de la auditoría en informática.
4.1. Planeación
4.2. Leyes y regulaciones

5. Conformación de un área de auditoria en informática y comités.

6. Clasificación de las auditorias.

7. Etapas y enfoque actual de la auditoria.

8. Metodologías de auditoria.
8.1. Metodología basada en riesgos
8.2. Metodología COBIT e ISO

9. Análisis y clasificación de riesgos.

10. Controles Internos:
10.1 Objetivos de control interno
10.2 Objetivos de control de los sistemas de información
10.3 Procedimientos generales de control
10.4 Procedimientos de control de los sistemas de información

11. Clasificación de controles.

12. Pruebas sustantivas y de cumplimiento.

13. Documentación y evidencias de la auditoría.
13.1. Evaluación de debilidades y fortalezas de controles
13.2. Juzgando la importancia (materialidad) de los hallazgos

14. Diseño de un documento efectivo de observaciones y su impacto.

15. Estructura y contenido de un reporte final de auditoria.

16. Auto evaluación del control.

Duración: 18 horas

Módulo: 2 Auditoría al gobierno corporativo de tecnología de la información.
En este módulo se proporciona al participante los conceptos generales de la estructura del gobierno corporativo de TI y su propósito, así como la estructura organizacional y responsabilidades del área de TI.

El participante adquirirá los conocimientos para evaluar si existe un proceso de planeación estratégica del negocio considerando aspectos tales como la existencia de una clara definición de la visión y misión del negocio; revisando la planeación estratégica y táctica de TI para asegurar que:

1. Los objetivos de TI están alineados con los de la empresa
2. Los recursos de TI son usados responsablemente
3. Los riesgos relacionados con TI son administrados adecuadamente.

Temario

1. Gobierno corporativo
1.1. Mejores prácticas para gobierno corporativo

2. Monitoreo y aseguramiento de las prácticas de la Junta Ejecutiva de Administración.

3. Estrategia de los sistemas de información
3.1 Planeación estratégica
3.2 Comités de seguimiento

4. Políticas y procedimientos de tecnología de la información

5. Administración de riesgos
5.1 Desarrollo del programa de administración de riesgos
5.2 Proceso de administración de riesgos
5.3 Métodos de administración de riesgos

6. Prácticas de gerencia de sistemas de información
6.1 Política de seguridad de la información
6.2 Administración de personal
6.3 Prácticas de outsourcing (Acuerdos de niveles de servicio)
6.4 Administración de cambios de tecnología de la información

7. Estructura organizacional y responsabilidades de tecnología de la información
7.1 Roles y responsabilidades de tecnología de la información
7.2 Segregación de funciones dentro de tecnología de la información
7.3 Controles de segregación de funciones

8. Auditoria al gobierno corporativo y tecnología de la información.

Duración: 18 horas

Módulo: 3

Administración del ciclo de vida de los sistemas e infraestructura.
Que el participante conozca los conceptos de las prácticas de administración de proyectos, del ciclo de vida del desarrollo de sistemas (CVDS) tradicional, SDLC (Systems Development Life Cycle), enfoques alternos y herramientas de desarrollo incluyendo las prácticas de mantenimiento y una metodología para evaluar el control interno de cada una de las etapas del CVDS, para asegurar que los sistemas de información cuenten con las medidas de control y seguridad suficientes que satisfagan los objetivos del negocio de la organización.

Temario

1. Comprensión de los negocios

2. Prácticas de administración de proyectos
2.1 Iniciación de un proyecto
2.2. Planeación de un proyecto
2.3. Administración general del proyecto
2.4 Cierre del proyecto

3. Desarrollo de aplicaciones del negocio

4. Estrategias alternativas de desarrollo de aplicaciones

5. Prácticas de desarrollo / adquisición de infraestructura

6. Prácticas de mantenimiento de sistemas de información

7. Herramientas de desarrollo de sistemas y ayudas de productividad

8. Prácticas de mejoramiento de procesos

9. Controles de los sistemas de información

10. Auditoría de los controles de los sistemas de información

11. Auditoría al desarrollo, mantenimiento y adquisición de sistemas de información

12. Sistemas de aplicación del negocio

Duración: 24 horas

Módulo: 4 Servicios de tecnología y soporte.
En este módulo se proporciona al participante un panorama general de las plataformas de hardware que constituyen los sistemas del negocio de las organizaciones de hoy en día. Describe los conceptos básicos de los diferentes tipos de computadoras desarrolladas y los distintos tipos de adelantos que han ocurrido en los sistemas de información. Así como los principales procesos de sistemas de información, para la operación y la entrega y soporte de productos y servicios que le son entregados a las unidades del negocio en las organizaciones, con el uso de las mejores prácticas a nivel internacional.

Temario

1. Operaciones de sistemas de información
1.1 Administración de las operaciones de SI
1.2 Administración de servicios de tecnología
1.3 Operación de infraestructura
1.4 Monitoreo de uso de recursos
1.5 Gestión de problemas
1.6 Soporte / Help Desk
1.7 Proceso de control de cambios
1.8 Sistemas de administración de bibliotecas
1.9. Sistema de control de bibliotecas
1.10 Administración de liberaciones
1.11 Aseguramiento de calidad

2. Equipamiento para los sistemas de información
2.1 Componentes físicos y arquitectura de computadoras
2.2 Programa de mantenimiento de equipo
2.3 Procedimiento de monitoreo de equipo
2.4 Administración y planeación de capacidades

3. Aplicaciones y arquitectura de los sistemas de información
3.1 Sistemas operativos
3.2 Aplicaciones para el control de las comunicaciones
3.3 Administración de datos
3.4 Sistemas de administración de bases de datos(BDMS)
3.5 Sistemas de administración de discos y cintas magnéticas
3.6 Programas de utilerías

4. Infraestructura de red de los sistemas de información
4.1 Arquitectura de la red corporativa
4.2 Tipos de red
4.3 Servicios de red
4.4 Estándares y protocolos de red
4.5 Arquitectura OSI
4.6 Aplicaciones de OSI
4.7 Modelos en arquitectura de red

5. Auditoría de infraestructura y operaciones
5.1 Revisiones de equipo
5.2 Revisiones de sistemas operativos
5.3 Revisiones a las bases de datos
5.4 Revisiones a las redes LAN
5.5 Revisiones al control operativo de redes
5.6 Revisiones a las operaciones de los sistemas de información
5.7 Operaciones sin atención (luces apagadas)
5.8 Revisión de reportes de administración de problemas
5.9 Revisión de reportes de uso y disponibilidad de equipo
5.10 Revisión de agendas

Duración: 24 horas

Módulo: 5 Protección de los activos de información.
En este módulo se proporciona al participante un panorama general de la seguridad física, ambiental y de la infraestructura informática. También obtendrá los conocimientos para emitir una opinión acerca de los controles de seguridad necesarios para salvaguardar los activos de información en contra de accesos no autorizados, pérdidas, modificaciones accidentales o intencionales, así como una visión estratégica de seguridad de la información y la importancia de su implementación y cumplimiento en los negocios y organizaciones.

Temario

1. Importancia de la administración de la seguridad
1.1 Elementos clave de la administración
1.2. Roles y responsabilidades
1.3 Responsabilidad y clasificación de los activos de información

2. Control de acceso lógico / vulnerabilidades de acceso
2.1 Identificando los puntos de acceso
2.2 Software de control de acceso
2.3 Identificación y autentificación
2.4 Ingeniería social
2.5 Acceso remoto seguro
2.6 Acceso remoto con dispositivos móviles
2.7 Log’s de monitoreo
2.8 Acceso restringido y monitoreo
2.9 Controles de acceso

3. Seguridad en redes
3.1 Redes LAN
3.2 Controles de acceso Dial-Up
3.3 Seguridad en cliente - servidor
3.4 Seguridad en Internet
3.4.1 Vulnerabilidades en redes
3.4.2 Ataques pasivos
3.4.3 Ataques activos
3.4.4 Causas de ataques
3.4.5 Controles de seguridad
3.4.6 Firewalls
3.4.7 Detección de intrusos (IDS)
3.4.8 HIONEYPOTS y HONEYNETS

4. Encripción
4.1 Elementos de los sistemas de encripción
4.2 Encripción con llave privada
4.3 Encripción con llave pública
4.5 Encripción de curva elíptica
4.6 Criptografía quántica
4.7 Estándar avanzado de encripción (AES)
4.8 Firmas digitales
4.9 Sobre electrónico
4.10 Infraestructura de llave pública
4.11 Encripción en protocolos OSI
4.12 Aplicación de criptografía
4.13 Riesgos de encripción

5. Virus
5.1 Controles contra virus y gusanos
5.2 Controles de administración de procedimientos
5.3 Controles técnicos
5.4 Antivirus

6. Redes inalámbricas, seguridad y riesgos

7. Auditoria de la administración de la seguridad y control de acceso lógico
7.1 Auditoria de la administración de la seguridad
7.2 Revisión de políticas, procedimientos y estándares
7.3 Políticas de acceso lógico
7.4 Cultura de la seguridad y capacitación
7.5 Dueños de los datos
7.6 Custodios de los datos
7.7 Usuarios de los datos
7.8 Administrador de la seguridad
7.9 Cancelación de privilegios de acceso
7.10 Estándares
7.11 Auditoria del acceso lógico
7.12 Documentación de las rutas de acceso
7.13 Entrevistas con el personal
7.14 Revisión de reportes del software de control de acceso
7.15 Probando la seguridad
7.16 Reportes de intrusiones
7.17 Seguimiento a las detecciones de intrusiones
7.18 Investigando el crimen Informático
7.19 Resguardando las evidencias
7.20 Identificación de huecos en la seguridad

8. Auditoria de la seguridad en redes
8.1 Auditando el acceso remoto
8.2 Auditando los servicios de Internet
8.3 Pruebas de intrusión a redes
8.4 Revisiones de redes e identificación de equipos
8.5 Control de cambios en la configuración
8.6 Computo forense

9. Controles ambientales y su auditoria
9.1 Panel de alarmas
9.2 Detectores de agua
9.3 Extinguidotes de mano
9.4 Alarma de fuego manual
9.5 Detectores de Humo
9.6 Sistemas anti-incendio
9.7 Ubicación del centro de cómputo
9.8 Protección contra interrupción de la corriente eléctrica
9.9 Muros contra incendios
9.10 Generador de corriente eléctrica
9.11 Swith de emergencia
9.12 Subestaciones eléctricas
9.13 Plan de evacuación
9.14 Controles de humedad y temperatura

10. Control de acceso físico
10.1 Riesgos en acceso físico
10.2 Controles de acceso físico
10.3 Auditoría del acceso físico

Duración: 24 horas

Módulo: 6 Continuidad del negocio y recuperación de desastres.
En este módulo se proporciona al participante un panorama general de las principales herramientas y mejores prácticas para la definición, desarrollo e implementación de Planes de la Continuidad de los Negocios y las Organizaciones, así como la evaluación del control interno en estas herramientas y estrategias. Tales como análisis de impacto en el negocio (BIA y BCM).

Temario

1. Planes de continuidad del negocio y recuperación de desastres
1.1 Planes de continuidad del negocio
1.2 Recuperación de casos de desastres de los sistemas de información
1.3 Casos de desastres y otras interrupciones
1.4 Análisis de impacto sobre el negocio (BIA Bussines Impact Análisis)
1.5 Clasificación de operaciones y análisis crítico
1.6 Objetivo del punto de recuperación y objetivo del tiempo de recuperación
1.7 Desarrollando estrategias de recuperación
1.8 Alternativas de recuperación
1.9 Desarrollando un plan detallado
1.10 Organización y asignación de responsabilidades
1.11 Otros aspectos a tener en cuenta en el desarrollo del plan

2. Componentes de un BCP ( Bussines Continuity Plan)
2.1 Personal clave para la toma de decisiones
2.2 Respaldo de los suministros requeridos
2.3 Métodos de recuperación de desastres de las redes de telecomunicaciones
2.4 Métodos de recuperación de desastres del servidor
2.5 Arreglos redundantes
2.6 Servidor con tolerancia a fallas
2.7 Seguros

3. Pruebas del plan de continuidad / recuperación
3.1 Especificaciones
3.2 Ejecución de pruebas
3.3 Documentación de resultados
3.4 Análisis de resultados
3.5 Mantenimiento del plan de continuidad y recuperación

4. Bibliotecas en el sitio alterno de almacenamiento
4.1 Controles de la biblioteca en sitio alterno
4.2 Seguridad y control en las instalaciones alternas
4.3 Respaldos de los medios y la documentación
4.4 Procedimientos alternos de las copias de respaldo
4.5 Frecuencia de rotación
4.6 Mejores prácticas

5. Auditoría al plan de continuidad del negocio y recuperación de desastres
5.1 Revisión y evaluación de todas las fases del plan BCP/DRP
5.2 Evaluar resultados de las pruebas
5.3 Evaluar el sitio de almacenamiento alterno
5.4 Revisar el contrato de procesamiento alternativo
5.4 Revisar cobertura de servicios

Duración: 18 horas