FUNDAMENTOS DE AUDITORÍA

La auditoria informática es una disciplina que tiene diferentes fundamentos.

Deberás investigar cuales son dichos fundamentos y la importancia de cada

uno para que una auditoria informática se pueda dar.

Aspectos generales relativos a la seguridad: En el cual se debe

considerar, entre otros: la seguridad operativa de los programas, seguridad

en suministros y funciones auxiliares, seguridad contra radiaciones,

atmósferas agresivas, agresiones y posibles sabotajes, seguridad físicas de

las instalaciones, del personal informático, entre otros.

Aspectos relativos a la confidencialidad y seguridad de la

información: Estos se refieren no solo a la protección del material, el

logicial, los soportes de la información, sino también al control de acceso a

la propia información (a toda o a parte de ella, con la posibilidad de

introducir modificaciones en la misma).

Aspectos jurídicos y económicos relativos a la seguridad de la

información: Este grupo se encarga de analizar la adecuada aplicación del

sistema de información en la empresa en cuanto al derecho a la intimidad y

el derecho a la información, además de controlar los frecuentes delitos

informáticos que se cometen en la misma.

1. Realizar una búsqueda en Internet sobre diferentes cursos de auditoría

ofrecidos en cualquier parte del mundo, estos cursos pueden ser

presénciales o en línea. Puedes utilizar las ligas sugeridas en la sección

anterior o buscarlos por tu cuenta.

CURSO DE HACKING - AUDITORÍA INFORMÁTICA Y SEGURIDAD

http://www.educanet.ec/index.php?

option=com_2j_tabs&Itemid=438

Los participantes saldrán aptos en:

Ajustar la seguridad de una red de datos. Contra atacantes internos o

externos.

Configurar los dispositivos de la red para evitar delitos informáticos.

Advertir cuando la red de información está bajo ataque de un hacker.

Implementar dispositivos de manera correcta y eficiente por ejemplo

Firewalls e IPS (Intrution Prevention Sistems)

Evitar falsos positivos y negativos en alertas de intrusión en tus

equipos de seguridad informática.

Saber cómo operan los hackers para meterte en tu red.

Evitar un punto de falla en tu red y como superarlo.

Elegir el mejor equipo de seguridad para las necesidades de tu red.

Emplear estrategias para iniciar al aseguramiento de tu red

Requisitos:

Conocimientos básicos de Sistemas y/o Auditoría de Sistemas.

Información General

Fecha: 7, 8 y 9 de marzo 2012

Lugar: Hotel Courtyard Marriot Guayaquil

Horario: 8.30 am - 5.30 pm

Inversión: US$450 + IVA

Almuerzo y Coffee Break Incluido

Instructor: Mr Juan Baby

Contacto: 02- 3825592 / 02 – 3825622

Email: ventas@educanet.ec

CONTROLES Y SEGURIDAD INFORMÁTICA

http://sis.senavirtual.edu.co/infocurso.php?semid=687&areaid=1

Lea detenidamente la información de este curso, si desea preinscribirse

puede hacerlo en línea utilizando el botón en la parte inferior. La gran

acogida de esta convocatoria, hace que nuestras páginas se encuentren

congestionadas, agradecemos tener un poco de paciencia o realizar la

inscripción en horas no pico.

Duración

Duración del curso: 40 horas

Generalidades

La auditoría debe de comenzar por la parte administrativa y después seguir

a la parte de aplicaciones evaluando todos los elementos relacionados con

los sistemas pero no sin antes haber analizado todo lo relacionado con

personal, compra de equipo, planeación, control, etc.

También es importante evaluar todo a lo que seguridad informática se

refiere y estar al día en el conocimiento de las diferentes formas en las

cuales la seguridad física y lógica de un sistema puede ser atacada.

Contenidos

Unidades Didácticas:

Unidad 1. Auditoria a la Administración de Sistemas de Información

Unidad 2 Controles Administrativos

Unidad 3. Controles de Aplicación

Unidad 4 Seguridad Informática

Metodología

Competencia (s) Laboral (es) y/o profesional (es) a desarrollar:

1. Evaluar los elementos que se deben controlar y auditar en la parte

administrativa de informática 2. Evaluar los elementos que se deben

controlar y auditar en las aplicaciones del negocio 3. Aplicar y evaluar la

seguridad física y lógica en las organizaciones

Requisitos de ingreso

Requerimientos técnicos: Se requiere que el estudiante AVA tenga dominio

de las condiciones básicas relacionadas con el manejo de herramientas

informáticas y de comunicación: correo electrónico, chats, Messenger,

procesadores de texto, hojas de cálculo, software para presentaciones,

Internet, navegadores y otros sistemas y herramientas tecnológicas

necesarias para la formación virtual.

CURSO SOBRE AUDITORIA DE TECNOLOGÍA INFORMÁTICA Y FRAUDE

CORPORATIVO

http://www.deloitte.com/view/es_CO/co/servicios-ofrecidos/auditoria/

auditoria-interna/index.htm?gclid=CPv37brVka0CFQ5T7AodQUtwpA

Se dicta todos los sábados de 9:30 a 13:30 horas. Pudiendo comenzar el

sábado que usted elija. Objetivos: El objetivo del presente curso es capacitar

a los interesados sobre los aspectos que hacen a la auditoria de tecnología

informática en pos de la protección del bien más preciado en la actualidad,

la información. Alcance: El alcance del presente curso será sobre las

técnicas de auditoría informática y aquellos aspectos que tiendan a impedir

la ocurrencia de fraude corporativo. Duración: Se prevé que el curso tendrá

una duración de 9 (nueve) semanas. Las clases se dictarán los sábados de

9:00 a 13:30 horas. El curso se puede comenzar cualquier sábado, porque

los módulos no son interdependientes. Metodología: La metodología del

presente curso será por medio de exposiciones, acompañadas por

presentaciones en MS PowerPoint®, videos, casos prácticos, debates;

fomentando la participación de los cursantes en todo momento. Los

módulos serán presentados en forma individual, tomando un día por módulo

para enfocar los esfuerzos y recursos de la mejor manera posible, y permitir

a los postulantes ingresar en cualquier semana del curso. Requisitos de los

Cursantes: El curso está destinado a personas que trabajen o aspiren a

trabajar en áreas vinculadas al tema en organizaciones privadas o públicas,

a graduados y/o estudiantes avanzados interesados en los temas de

seguridad informática. Contenido: A continuación se detallan algunos de los

aspectos críticos del contenido del curso, el cual se encuentra dividido en 9

módulos, a saber: El área de sistemas: Estrategia en el área de sistemas.

Alineación con la estrategia de la empresa. Dependencia funcional vs.

Lineal. Cambios de gestión o tecnología críticos para el período bajo

revisión. Personal asignado a las tareas: cantidad y funciones. Tercerización

de servicios. Existencia de documentación actualizada. Funciones de

seguridad informática. Mantenimiento de las aplicaciones: Ambientes de

desarrollo, prueba y producción: separación, acceso y necesidades.

Documentación del proceso de requerimiento de creación/modificación de

programas. Migraciones. Aprobación del usuario clave sobre los cambios.

Implementación de actualizaciones del proveedor de soluciones. Seguridad

lógica: Sistema operativo y su capacidad de implementar niveles adecuados

de seguridad. Caducidad de las contraseñas. Bloqueo de los usuarios.

Registro de intentos fallidos de ingreso. Habilitación de usuarios temporales.

Seguimiento de los eventos de seguridad. Aplicaciones con control total

sobre las carpetas donde se almacenan los datos. Manejo de excepciones.

Aplicación financiera y su capacidad de implementar niveles adecuados de

seguridad. Implementación de la segregación de funciones. Manejo de

excepciones. Continuidad del procesamiento: Plan de contingencia. Sitio

alternativo de procesamiento. Software antivirus. Procedimiento sobre

generación de copias de resguardo. Capacidad, periodicidad, rotación,

almacenamiento y destrucción de las cintas. Centro de cómputos. Medidas

mínimas de seguridad física. Presencia y custodia de los proveedores.

Manejo de excepciones. Mantenimiento de los usuarios: Procedimiento de

administración de usuarios. Gestión del alta, baja y cambio de perfil de un

usuario. Correspondencia de perfiles. Manejo de excepciones. Correlación

con datos del área de Recursos Humanos. Monitoreo y actualización:

Revisión del proceso de TI para su mejora. Manejo de excepciones.

Retroalimentación de áreas del negocio informatizadas. Certificaciones que

existen en el país y el mundo. Fraude Corporativo: Concepto de delito. Tipos

de delitos económicos. Diferencia entre fraude y estafa. Los delitos

tributarios y de seguridad social. El contrabando. El lavado de dinero y

obligaciones de la auditoria. Cibercriminalidad: Concepto de

ciberdelincuencia. Tipos de delitos que se encuentran penados. Tipos de

ciberdelitos existentes. Transnacionalidad de los ciberdelitos. Trabajo

práctico integrador grupal y exposición: Se expondrán temas propuestos por

los grupos o asignados por el titular y podrá ser por medio de

presentaciones MS PowerPoint®, videos, casos prácticos, debates; y deberá

presentarse en formato impreso y electrónico/óptico. Certificación: Se

entregará certificado de aprobación a aquellos cursantes con el 75% de

asistencia y hayan aprobado las evaluaciones. Aquellos con una asistencia

menor recibirán un certificado de asistencia. Costo / Inversión: Se cobrará

una matrícula de $200 y dos pagos mensuales de $200. Para aquellos que

sean estudiantes o graduados del Politécnico, los costos son de $150 cada

uno. La matrícula deberá estar abonada 5 días antes del comienzo del

curso. La cuota mensual se pagará del 1 al 10 del mes. Informes e

Inscripción: los interesados comunicarse telefónicamente o enviar un e-mail

al correo electrónico.

2. Lectura del caso:

ESCOGE UNO

Tú eres el administrador de auditoría interna de una compañía pequeña -

mediana que tiene bien desarrollados sus sistemas batch para todas sus

aplicaciones. Debido a todos los casos de fraude publicados en los

periódicos, la administración de la compañía te ha dado permiso para

contratar un auditor de sistemas, el primero de la compañía por quien tú

serías responsable.

Recibes sólo dos aplicaciones al puesto. Un aspirante trabaja en un staff de

auditoría interna, un graduado contratado hace 6 años por la compañía. Él

primero trabajó como contador para la compañía, pero debido a su talento

fue transferido a auditoría interna. El no tiene relación con computadoras

excepto por un curso que tomó en carrera y como usuario de la salida de los

sistemas. Sin embargo, él tiene buen conocimiento de los sistemas

contables y tú sientes que sus habilidades e inteligencia le permitirán

adquirir los conocimientos computacionales rápidamente.

El otro aspirante es de otra compañía con la que tú estás familiarizado. Ella

es analista programador. A pesar de que ha participado en el diseño e

implantación de sistemas contables, ella no tiene ningún entrenamiento

formal en contabilidad. Su grado académico es en matemáticas. Después de

que la entrevistaste e hiciste un chequeo de su historia con un amigo que

trabaja en la misma compañía con ella, podría ser una empleada muy

capaz.

Piensa en el tipo de entrenamiento que deberían de tener cada uno de los

aspirantes para poder ocupar el puesto.

Para ocupar el puesto estos son algunos de los entrenamientos que debe

tener un aspirante:

Una adecuada inducción sobre auditoría informática (los objetivos,

procesos, métodos, etc.)

Identificación de los métodos, técnicas y herramientas necesarias para

realizar una auditoría informática

Los pasos para llevar a cabo la auditoría.

Los métodos que se van a utilizar para recolectar información.

Los valores y criterios que debe tener y desarrollar un auditor

La ética y moral con la que se debe afrontar el cargo.

Puesta en marcha de lo antes descrito.

3. Indica cuál sería el aspirante que tú escogerías e incluye tu

justificación.

Cada aspirante tiene capacidades muy importantes, pero de acuerdo a los

casos el aspirante más apto para ocupar el puesto, es el graduado que

trabaja desde hace 6 años para la compañía. Porque, su currículo es muy

prominente, además que por sus méritos laborales fue ascendido de puesto,

lo que indica que sobresale en su trabajo y se adapta rápidamente a los

cambios que lo involucran. Conoce muy bien el funcionamiento de la

empresa, por lo cual sería de gran ayuda en el grupo de trabajo que se está

formando.