UNIVERSIDAD PRIVADA ANTENOR ORREGO FACULTAD DE INGENIER??A CARRERA PROFESIONAL DE ING. COMPUTACION Y SIST.

SEMESTRE ACAD??MICO 2014-00

SLABO
I DATOS GENERALES

1.1 Nombre de la asignatura 1.2 C??digo 1.3 Ciclo de estudios 1.4 Cr??ditos 1.5 Nivel 1.6 Campus 1.7 Fecha de inicio/fin 1.8 Duraci??n semanas

1.9

Prerrequisitos

1.10 Profesores

: :ICSI-259 :09 :5 :PREGRADO : TRUJILLO, :06/01/2014 al 07/03/2014 :8 :(ELEC-133 Y ICSI-158) O (ELEC-133 Y ICSI-247 Y ICSI-256) O (ELEC-133 Y ICSI-247 Y ICSI-257) O (ELEC-133 Y ICSI247 Y ICSI-260) O (ELEC-133 Y ICSI-247 Y ICSI-261) O (ICSI-250 Y ICSI-158) O (ICSI-250 Y ICSI-247 Y ICSI-256) O (ICSI-250 Y ICSI-247 Y ICSI-257) O (ICSI-250 Y ICSI-247 Y ICSI-260) O (ICSI-250 Y ICSI-247 Y ICSI-261) O (ICSI-247 Y ICSI-255) O (ICSI-247 Y ICSI-250) O (ELEC-133 Y ICSI-247) O (ICSI-250 Y ICSI-158) : DIAZ SANCHEZ, JAIME EDUARDO ; MELENDEZ REVILLA, KARLA VANESSA ;

II FUNDAMENTACI??N

La asignatura de Auditora y Seguridad de Informacin aporta en el proceso formativo del Ingeniero de Computacin y Sistemas proveyendo el conocimiento para entender la importancia de los enfoques preventivos de la seguridad de informacin y los sistemas de control interno y externo, bajo un enfoque de gestin de riesgos en el marco jurdico actual.

III SUMILLA

El propsito de esta asignatura es brindar los conceptos fundamentales, metodologas y estndares internacionales actuales de la seguridad de informacin y auditora de Tecnologas de Informacin basada en riesgos tecnolgicos, desarrollar casos de estudio aplicando los estndares internacionales tratados y las tcnicas de defensa en profundidad por capas o niveles de la red organizacional; as como comprender las actividades profesionales a desarrollarse, los mbitos de aplicacin y el valor agregado que le brinda a los procesos de negocio organizacionales; promoviendo la prctica de los valores y la tica profesional

dentro del contexto del curso y su rol dentro del desarrollo de la sociedad.

IV COMPETENCIAS DE LA ASIGNATURA

1. Adquiere los conceptos fundamentales de la auditora de informtica permitiendo entender la necesidad de controlar y auditar las tecnologas de informacin. 2. Adquiere los conceptos de control interno de los sistemas, permitiendo con criterio preparar el documento de control interno alinendolo con la visin y misin de la organizacin. 3. Adquiere los conceptos fundamentales de la administracin de riesgos, como base fundamental para una auditora de tecnologas de informacin y/o para la seguridad de informacin moderna. 4. Desarrolla las principales metodologas, tcnicas y estndares internacionales para la auditora informtica y gestin de la seguridad de informacin, diseando la defensa perimetral de la red organizacional y estableciendo sus polticas de seguridad. 5. Aplica los conceptos fundamentales de la gestin de la seguridad de informacin, permitiendo entender la necesidad de proteger la informacin considerando la integridad, disponibilidad y confidencialidad de la misma. 6. Conoce las principales certificaciones existentes, sus requisitos y exigencias para convertirse en un auditor informtico internacional o un administrador de la seguridad de informacin internacional.

V PROGRAMACI??N POR UNIDADES DE APRENDIZAJE

UNIDAD 01 AUDITOR??A DE SISTEMAS DE INFORMACI??N (ASI) Duraci??n: 06/01/2014 al 01/02/2014 1. Define y diferencia los conceptos de auditora, auditora informtica, auditora de sistemas de informacin y control interno. 2. Define el proceso de Auditora de Sistemas de Informacin 3. Adquiere los conceptos de la Auditora en el Ciclo de Vida del Desarrollo de Sistemas de Informacin y como realizar una auditora a los controles de aplicacin, auditoria del desarrollo, adquisicin y mantenimiento de Sistemas de Informacin. 4. Utiliza COBIT en el proceso de Auditora de Sistemas de Informacin.

N?? Semanas

Contenidos Conceptuales

Contenidos Procedimentales Contenidos Actitudinales

Semana 1

Teora Conceptos de auditora, auditora de Sistemas de Informacin y Auditora de Tecnologas de Informacin. Objetivos de las Auditoras. Perfil del Auditor. Deontologa y cdigos ticos del Auditor. Tipos de Auditora de SI. Asesora Plan de Auditora: Alcance, Objetivos, Organizacin del Equipo, Planificacin. El Proceso de Auditora: organizacin, planificacin, ejecucin, informe y seguimiento. Explicacin del Proyecto de Auditora de un Sistema de Informacin (PASI). COBIT: Definicin, antecedentes, caractersticas, principios, recursos, marco de trabajo, modelos de madurez. Exposicin de Avance 1 del Proyecto Plan de Auditora. Laboratorio Bsqueda de informacin acerca de Metodologas y Mtodos. Bsqueda de informacin acerca de Estndares (12207, 15504, entre otros).

Participa en la definicin de los conceptos e identifica la relacin de la auditora y seguridad en la organizacin con una visin de riesgos. Analiza y discute los esquemas de Auditoras e identifica los objetivos de una Auditora. Reconoce la importancia de Plan de Auditora. Identifica las diferentes clases de auditora y enuncia sus diferencias. Busca en Internet y elabora un cuadro comparativo entre Metodologas, Mtodos y Estndares. Lee e interpreta el Marco Referencial y los Domimios 1 y 2 de COBIT. Identifica las caractersticas y diferencias del modelo de madurez. Delibera sobre la utilidad y caractersticas de los estndares internacionales.

Delibera la importancia de ubicar adecuadamente las diferentes reas dentro de una organizacin Asume actitudes de puntualidad, orden y veracidad Selecciona el Sistema de Informacin que evaluar Participa en los casos y ejemplos propuestos por el Docente Elabora el Plan de Auditora cumpliendo los lineamientos del Silabo Asimila los conceptos de auditora valorando el impacto que sta tiene sobre el cumplimiento de lo establecido. Asume actitudes crticas respecto al Marco Referencial de COBIT. Asume actitudes de puntualidad, orden y responsabilidad en la presentacin de Avance 1 del PASI. Asume actitudes de investigacin y responsabilidad en la bsqueda de informacin. Cumple con los formatos de Informes de Investigacin.

Semana 2

Teora Los Controles: concepto de Control, tipos, estructura, formulacin y evolucin. Control Interno vs Auditora Interna. Auditora del proceso de Ciclo de Vida del Desarrollo de Sistemas (CVDS). NTP ISO/IEC 12207:2008 Ciclo de Vida del Desarrollo de Software Asesora Actividades de Auditora: Procedimientos y Requerimientos. COBIT: Planificacin y Organizacin (PO) y Adquisicin e Implementacin (AI). COBIT: Entrega y Soporte (ES), y Monitoreo y Seguimiento (M). Activiades de Auditora: Elaboracin de Cuestionarios y Listas de Verificacin. Exposicin del Avance 2 del PASI Requerimientos, Custionarios y Listas de Verificacin. Laboratorio Software para Auditoria de Base de Datos (reingeniera de BD, anlisis de las estructuras, integridad de datos). Software para Auditoria de Datos (anlisis de datos usando ACL, IDEA). La Ley de Benford.

Asimila los conceptos de Control Interno y de Participa en la ponencia Auditora de SI. sobre Control Interno y Identifica paralelos entre el Auditora de SI. Control Interno y la Auditora Delibera sobre la importancia de SI. del control dentro de una Asume actitudes de organizacin. puntualidad, orden y Analiza esquemas veracidad. procedimentales y Elabora procedimientos y requerimientos de requerimientos de Auditora informacin para una utilizando los Dominios PO y Auditora. AI de COBIT. Lee e interpreta los Dominios Asume actitudes de 3, 4 y 5 de COBIT. investigacin y Identifica y utiliza responsabilidad en la herramientas de control bsqueda de informacin. aplicables a la Auditora de Cumple con los formatos de Datos. Informes de Investigacin. Participa en las definiciones Asimila los conceptos del CVDS. relacionados al CVDS Lee, interpreta e identifica los incluidos en la NTP ISO/IEC procesos de la NTP ISO/IEC 12207:2008. 12207:2007 aplicables a una Asume actitudes de Auditora. puntualidad, orden y Enuncia Preguntas para la responsabilidad en la conformacin de presentacin de Avance 2 Cuestionarios y Listas de del PASI. Verificacin. Asume actitudes de Presenta el Avance 2 del investigacin y PASI "Requerimientos, responsabilidad en la Cuestionarios y Listas de bsqueda de informacin. Verificacin" Cumple con los formatos de Informes de Investigacin.

Semana 3

Semana 4

Teora COBIT: complementacin al avance de la Asesora. Auditora de Estructuras fsicas y lgicas de las bases de datos. Control de carga y mantenimiento de las bases de datos. Integridad de los datos y proteccin de accesos. Estndares para anlisis y programacin en el uso de bases de datos. Procedimientos de respaldo y de recuperacin de datos. Asesora Complementacin de COBIT. Elaboracin de Procedimientos de Auditora de Base de Datos. Elaboracin de Observaciones de Auditora. Exposicin del Avance 3 del PASI Borrador de Observaciones. Control de Lectura de la NTP ISO/IEC 12207:2008 y COBIT 5. Laboratorio Auditora a la Usabilidad de un Sistema de Informacin. Bsqueda y utilizacin de software para realizar evaluaciones a la Ingeniera de Requerimientos (IR). Teora Auditora Gubernamental: Justificacin, Sistema Nacional de Informtica y Normas de Control Interno. EXAMEN PARCIAL. Asesora Papeles de Trabajo: organizacin, elaboracin y obtencin. Exposicin de los Informes de Auditora Laboratorio Bsqueda y utilizacin de software para realizar evaluaciones a Portales Web. Clculo del Promedio de Laboratorios.

Participa con ejemplos de los indicadores de medicin. Identifica el nivel de madurez Participa y enuncia ejemplos del rea de auditora y de la de diferentes indicadores de seguridad de informacin medicin del nivel de dentro de la organizacin. madurez. Demuestra destreza en la Participa en la formulacin seleccin de preguntas de una Auditora de Base de utilizando los Dominios de Datos. COBIT. Identifica y utiliza Asume actitudes de herramientas de control investigacin y aplicables a la IR. responsabilidad en la Realiza un trabajo bsqueda de informacin. comparativo entre estas Cumple con los formatos de herramientas. Informes de Investigacin. Presenta el Avance 3 del Asume actitudes de PASI "Borrador de puntualidad, orden y Observaciones". responsabilidad en la presentacin de Avance 3 del PASI.

Participa en la diferenciacin de la Auditora Gubernamental y la Privad Propone esquemas de integracin de ambos tipos de auditoras Participa en la criterios de organizacin y elaboracin de los Papeles de Trabajo de una Auditora Asimila la estructura del Informe de Auditora Identifica y utiliza herramientas de control aplicables a la Auditora de Portales Web y realiza un trabajo comparativo entre estas herramientas

Asume una actitud crtica el proceso de Auditora en las entidades gubernamentales Demuestra destreza en la elaboracin de los Papeles de Trabajo Asume actitudes de investigacin y responsabilidad en la bsqueda de informacin Cumple con los formatos de Informes de Investigacin

UNIDAD 02 SEGURIDAD DE SISTEMAS DE INFORMACI??N (SSI) Duraci??n: 03/02/2014 al 01/03/2014

1. Define los conceptos de auditora, riesgos y seguridad. 2. Establece diferencias entre auditoria y seguridad de TI bajo el enfoque de riesgos de TI. 3. Adquiere los conceptos de la administracin de riesgos como cimiento de una moderna seguridad de informacin. 4. Conoce las diferentes metodologas de administracin de riesgos. 5. Adquiere los conceptos de gobierno de la seguridad de informacin. 6. Define los conceptos de administracin de riesgos de informacin. 7. Adquiere y aplica los conceptos del Plan de seguridad de Informacin PSI. 8. Adquiere y aplica de los conceptos de administracin de la Seguridad de informacin. 9. Adquiere los conceptos de Continuidad de negocios y contingencias de TI.

N?? Semanas

Contenidos Conceptuales

Contenidos Procedimentales Contenidos Actitudinales

Semana 5

Teora Conceptos de riesgos y metodologas para su administracin. Seguridad de la Informacin: conceptos, objetivos, criterios, etc. Delitos Informticos: Concepto, caractersticas, tipos, Sabotaje informtico, Privacidad Informtica NTP ISO/IEC 27001:2008 "Buenas Prcticas de Seguridad de la Informacin": introduccin, estructura, controles, etc. Asesora ISO 31000:2009 "Gestin de Riesgos": introduccin, estructura y marco de trabajo ISO 31010:2009 "Tcnicas para la Indentificacin de Riesgos": mapas de riesgos, identificando componentes de procesos, software, hardware, comunicaciones, ambientales, agentes internos y externos, redes, etc. ISO 27001:2008 "Seguridad de la Informacin". Elaboracin del Inventario de Activos Informticos y Sensibilidad de la Informacin. Presentacin del Avance 1 del Proyecto de Seguridad de Sistemas de Informacin (PSSI) "Inventario y Sensibilidad de la Informacin". Laboratorio Instalacin y manejo del software aplicativo PILAR, identificando sus caractersticas ms importantes relacionadas a la administracin de riesgos. Aplicacin de PILAR a su caso de estudio.

Participa en la definicin de los conceptos. Diferencia los estndares internacionales para la seguridad de la informacin Identifica los elementos que originan el riesgo de TI y el riesgo de operacin Participa en la identificacin de la secuencia de pasos de la aplicacin PILAR y en sus funcionalidades. Participa en la identificacin de la secuencia de pasos del Proceso de Gestin de Riesgos de la 31000:2009. Identifica la aplicabilidad de la ISO/IEC 27001:2008. Presenta el Avance 1 del PSSI "Inventario y Sensibilidad de la Informacin".

Asimila los conceptos de riesgos y la importancia de su adecuada administracin. Participa con criterio en la solucin de los cuestionamientos propuestos por el docente. Cumple con los formatos de Informes de Investigacin. Identifica ejemplos en cada uno de los pasos de la metodologa. Asume actitudes de investigacin y responsabilidad en la bsqueda de informacin. Presenta el Avance 1 del PSSI "Inventario y Sensibilidad de la Informacin"

Semana 6

Teora Plan de Seguridad: introduccin, objetivos, metas, estructura, controles, procedimientos, responsabilidad, etc. Plan de Contingencia del SI (PCSI): introduccin, objetivos, estructura, procedimientos, etc. Asesora Proceso de Gestin de Riesgos de la ISO 31000:2009. NTP ISO/IEC 27002:2008. Desarrollo y objetivos de la estrategia, recursos y limitaciones. Exposicin del Avance 2 de su Proyecto Etapas 1 al 3 del Proceso dela ISO 31000:2009. Control de Lectura de la ISO 31000:2009, ISO 31010:2009 y NTP ISO/IEC 27002:2008. Laboratorio OSSIM: Instalacin, configuracin, operacin bsica y aplicacin en su Proyecto de Seguridad.

Discute acerca de la estructura de un Plan de Seguridad Enuncia ejemplos para cada uno de los pasos de la gestin de riesgos de la ISO 31000:2009. Participa en el proceso de ejemplificacin de los mapas de riesgos. Aplica el software aplicativo OSSIM para la administracin de riesgos en su Proyecto. Elabora e identifica los procedimientos de contingencia para la recuperacin de los servicios asociados al SI. Conoce y utiliza herramientas para automatizar los sistemas para la seguridad de la informacin. Participa en las demostraciones que realiza el Docente. Presenta el Avance 2 del PSSI "Gestin de Riesgos".

Delibera sobre la importancia de administrar un Plan de Seguridad de la Informacin (PSI) Participa en la identificacin y alcance de la estructura de un PSI Asume una actitud crtica sobre el impacto de la administracin de riesgos en las organizaciones Demuestra habilidad en la diagramacin de los mapas de riesgos Asume actitudes de puntualidad, orden y responsabilidad en la presentacin de Avance 2 del Proyecto Asume una actitud crtica respecto a las utilizacin de OSSIM como software para la administracin de la seguridad de la informacin Cumple con los formatos de Informes de Investigacin. Presenta el Avance 2 del PSSI "Gestin de Riesgos"

Semana 7

Teora Examen Final. Asesora Exposicin del PSSI. Laboratorio Clculo del Promedio de Laboratorios.

Semana 8

Examen de Aplazados.

Demuestra valores y Aplica los conocimientos y responsabilidad al resolver competencias adquiridas en de manera individual su la resolucin del Examen. Examen. Cumple con los requisitos de Cumple con los requisitos de documentacin de documentacin de Proyectos. Proyectos. Expone el Plan se Expone el Plan se Segudidad de Sistemas de Segudidad de Sistemas de Informacin. Informacin. Aplica los conocimientos y Demuestra valores y competencias adquiridas en la responsabilidad al resolver de resolucin del Examen. manera individual su Examen.

VI ESTRATEGIAS METODOL??GICAS

Para el desarrollo del curso se aplicarn los siguientes procedimientos didcticos: 1. 2. Clases tericas: Con exposicin basada en Casos por parte del Docente y la participacin activa de los Alumnos. Asesora. Se asesora en la solucin de un caso real empresarial a travs de dos proyectos: Un en Auditora y el otro en Seguridad. 3. Laboratorio: Se desarrolla utilizando la herramienta apropiada y elaborando Informes ejecutivos por sesin.

VII MATERIALES EDUCATIVOS Y OTROS RECURSOS DID??CTICOS

La asignatura de desarrollar utilizando: 1. Computadoras en los Laboratorios de Computacin. 2. Proyector multimedia en las Aulas y Laboratorios. 3. Papel, pizarra, plumones, mota y transparencias. 4. Libros, Diapositivas, Separatas, Manuales Tcnicos y Revistas Especializadas. 5. Servicio de Internet en las Aulas y Laboratorios. 6. Software de Aplicacin: Microsoft Office 2007 Professional, PILAR, OSSIM y otros. 7. Sistema Operativo: Microsoft Windows XP Professional, Microsoft Windows Server 2008 y Linux, de ser necesario.

VIII T??CNICAS, INSTRUMENTOS E INDICADORES DE EVALUACI??N

FRMULA PARA EL CLCULO DE LA NOTA PROMOCIONAL(PROM) 5%*C1 + 10%*C2 + 20%*EP + 15%*C3 + 25%*C4 + 25%*EF PARAMETROS DE EVALUACIN:

COMPONENTE

C1 SUBCOMPONENTES COD CL1 PL1

CALCULO:

60%*CL1+40%*PL1 DESCRIPCIN Control de Lectura de COBIT 5 e ISO 122072008 Promedio de Laboratorio 1

COMPONENTE

C2 SUBCOMPONENTES COD PAASI IASI

CALCULO:

30%*PAASI+70%*IASI DESCRIPCIN Promedio de Avances Proyecto de Auditora de SI Informe Proyecto de Auditora de SI

COMPONENTE

C3 SUBCOMPONENTES COD CL2 PL2

CALCULO:

60%*CL2+40%*PL2 DESCRIPCIN Control de Lectura ISO 27001, 31000 y 31010 Promedio de Laboratorio 2

COMPONENTE

C4 SUBCOMPONENTES COD PASSI ISSI

CALCULO:

30%*PASSI+70%*ISSI DESCRIPCIN Promedio de Avances Proyecto de Seguridad de SI Informe Proyecto de Seguridad de SI

IX PROGRAMA DE CONSEJER??A

La Tutora y Consejera es una actividad acadmica que tiene como propsito el de orientar y apoyar a los estudiantes durante el proceso de su formacin profesional. Las horas de Tutoras se desarrollarn en el Ambiente G-805 los das Lunes y Martes de 10:00 a 10:40. Tambin podrn resolverse consultas a travs del correo electrnico jdiazs@upao.edu.pe

X REFERENCIAS BIBLIOGR??FICAS

B??SICA

Emigdio Alfaro Medina MAIGTI: METODOLOG??A PARA LA AUDITOR??A INTEGRAL DE LA GESTI??N DE LAS TECNOLOG??AS DE LA

INFORMACI??N 2011 1ra. ed., Lima, Ed. Universidad Privada Norbert Wiener S.A. - Fondo Editorial.

Javier Areitio SEGURIDAD DE LA INFORMACI??N: REDES, INFORM??TICA Y SISTEMAS DE INFORMACI??N 2008 1ra. ed., Madrid, Editorial PARANINFO

Asociaci??n de auditor??a y control de sistemas de informaci??n (ISACA) MANUAL DE PREPARACI??N AL EXAMEN CISM (CERTIFIED INFORMATION SECURITY MANAGER) 2006 2006

Consejo Superior de Inform??tica de Espa??a METODOLOG??A DE AN??LISIS Y GESTI??N DE RIESGOS DE LOS SISTEMAS DE INFORMACI??N DE LAS ADMINISTRACIONES P??BLICAS (MAGERIT) VERSI??N 1.0 2005 1ra. Ed., Madrid, s/Editorial

Javier Dolado y Luis Fern??ndez MEDICI??N PARA LA GESTI??N EN LA INGENIER??A DEL SOFTWARE 2000 1ra. ed., Madrid, Editorial Ra-Ma

Contralor??a General de la Rep??blica (CGR) NORMAS DE CONTROL INTERNO. 2006 Resoluci??n de Contralor??a General N?? 320-2006-CG del 30/10/2006. Lima

Echenique J. AUDITOR??A EN INFORM??TICA 2001 2da. ed, M??xico DF. Ed. Mc Graw Hill.

INDECOPI NORMA T??CNICA PERUANA NTP-ISO/IEC 12207:2004 ??CICLO DE VIDA DEL DESARROLLO DE SOFTWARE - 1RA. ED." 2004 Resoluci??n N?? 0048-2004/CRT-INDECOPI del 02/06/2004. Lima

INDECOPI NORMA T??CNICA PERUANA NTP-ISO/IEC 17799:2007 EDI. TECNOLOG??A DE LA INFORMACI??N. C??DIGO DE BUENAS PR??CTICAS PARA LA GESTI??N DE LA SEGURIDAD DE LA INFORMACI??N - 2DA. EDICI??N?? 2004 Resoluci??n N?? 0048-2004/CRT-INDECOPI del 02/06/2004, Lima

Information Systems Audit and Control Asociation (ISACA) e IT Governance Institute (ITGI) COBIT OBJETIVOS DE CONTROL PARA LA INFORMACI??N Y LAS TECNOLOG??AS RELACIONADAS 2004 ISACA-ITGI

ISO/IEC SISTEMA DE GESTI??N DE LA SEGURIDAD DE INFORMACI??N ISO 27001:2005 2005 s/e, Ginebra. s/Ed.

Microsoft e-Learning APLICACI??N PR??CTICA DE LA SEGURIDAD EN AMBIENTES MICROSOFT 2005 1ra.ed., Delaware,Edit. Microsoft Latinoam??rica

ONGEI OFICINA NACIONAL DE GOBIERNO ELECTR??NICO E INFORMACI??N (ONGEI) 2012 [En l??nea] [Citado el: 09 de marzo de 2012.] www.ongei.gob.pe

Mario Piattini, Emilio Del Peso y Mar Del Peso AUDITOR??A INFORM??TICA: UN ENFOQUE PR??CTICO 2003 2da. ed, Madrid. Editorial Alfa y Omega.

Mario Piattini, F??lix Garc??a e Ismael Caballero CALIDAD DE SISTEMAS INFORM??TICOS 2007 1ra. ed., M??xico D.F., Editorial Alfaomega & Ra-Ma

??lvaro G??mez Vieites ENCICLOPEDIA DE LA SEGURIDAD INFORM??TICA 2007 1ra. ed., M??xico D.F., Editorial Alfaomega & Ra-Ma

Joaquin Rodr??guez Valencia AUDITOR??A ADMINISTRATIVA 2010 9a. ed., M??xico D.F., Editorial Trillas