ESPECIFICACIONES

PROGRAMA DEL MÓDULO Código: EA-PL-01-01

Versión: 0
Edición: 26-02-2015

UNIVERSIDAD AUTÓNOMA “GABRIEL RENÉ MORENO”

FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y
TELECOMUNICACIONES

“SCHOOL OF ENGINEERING”

CURSO:
AUDITORÍA DE SISTEMAS
Docente:
MSc. Carlos Daniel Sandoval Banegas

Noviembre 2018
Santa Cruz – Bolivia

UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y TELECOMUNICACIONES

CALLE ÑUFLO DE CHAVEZ No. 40 (entre rene moreno y Chuquisaca) TELEFONO: 3-346703 E-mail: info@soe.uagrm.edu.bo
página Web: www.soe .uagrm.edu.bo
 ESPECIFICACIONES

PROGRAMA DEL MÓDULO Código: EA-PL-01-01

Versión: 0
Edición: 26-02-2015

I. ASPECTOS GENERALES
Fecha de Inicio : 10/11/2018
Fecha de Finalización : 1/12/2018
Horarios : Sábados 08:30 – 12:30
Duración del Curso : 4 semanas
Costo : 1000 Bs.
Descuento del 30% por inscripción temprana hasta el miércoles 7 de noviembre
Costo con Descuento : 700 Bs.
Inscripciones en la Calle Ñuflo de Chávez #40 (Atención Lunes a Viernes de 15:00 a 21:00)
Celular : 726-79840
II. PRESENTACIÓN DEL CURSO
“Auditoría de Sistemas” es aplicable a las organizaciones de distintas naturalezas y madurez,
considera metodologías, herramientas, estándares, etc, es de fundamental importancia, en virtud
de verificar la protección de entornos tecnológicos asociados directamente con la información y
datos, a efectos de corroborar la efectividad de los controles de TI. Esto conlleva a mitigar
riesgos, establecer controles de TI aplicados sobre dicho entorno tecnológico y
consecuentemente a la información asegurando su confiabilidad, integridad y disponibilidad.
El curso se centra básicamente desarrollar sólidos conocimientos y experiencias, referentes a
“auditorías de sistemas”, comprender los riesgos de TI, controles de TI, uso de herramientas
disponibles, ejecutar planes de trabajo de auditoría de sistemas, llevar acabo la gestión de
auditoría de sistemas en cuanto a su planificación, ejecución y resultados, organizar los papeles
de trabajo que supone el desarrollo de auditoría de sistemas, y efectuar prácticas.
El curso aplica a: auditores internos, auditores externos, instancias de control de gestión,
instancias controller, oficiales de seguridad de la información, oficiales de cumplimiento,
fiscalizadores. Incluso aplica a jefaturas de sistemas, o personas interesadas que requieran
adquirir experiencias o conocimientos en auditoría de sistemas.

III. OBJETIVO DE APRENDIZAJE DEL CURSO

Objetivo General
Transmitir a los participantes experiencias y sólidos conocimientos para su formación como
“auditor de sistemas” considerando metodologías, estándares, normativas vigentes, controles
de TI, gestión de riesgos, herramientas de auditoría (software), planes de trabajo y otros
aspectos necesarios que permitan llevar acabo exitosas auditorías de sistemas en distintos tipos
de organizaciones o bien para estar preparados ante revisiones relacionadas con el ámbito.

Objetivos específicos
 Transmitir conceptos introductorios sobre Auditoría de Sistemas.
 Enfatizar aspectos relacionados a Normas y Estándares: ISO 27001, COBIT 5
 Enfatizar aspectos relacionados a Regulación Local y aspectos legales vigentes.

UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y TELECOMUNICACIONES

CALLE ÑUFLO DE CHAVEZ No. 40 (entre rene moreno y Chuquisaca) TELEFONO: 3-346703 E-mail: info@soe.uagrm.edu.bo
página Web: www.soe .uagrm.edu.bo
 ESPECIFICACIONES

PROGRAMA DEL MÓDULO Código: EA-PL-01-01

Versión: 0
Edición: 26-02-2015

 Transmitir conocimientos y experiencias sobre procesos significativos en organizaciones

desde la perspectiva de auditoría de sistemas e identificación de riesgos asociados.
 Desarrollar ejemplos prácticos sobre casos reales de Controles Generales de TI y Seguridad
Informática aplicado a empresas de diversos rubros.
 Desarrollar ejemplos prácticos sobre Seguridad Lógica: sistemas operativos, base de datos
y aplicaciones.
 Transmitir conocimientos avanzados sobre Seguridad Física aplicados en Centros de Datos
casos reales.
 Desarrollar ejemplos prácticos sobre Controles de Aplicación.
 Transmitir conocimientos y experiencias sobre CAATs [Técnicas de auditoría Asistidas por
Computadora].
 Transmitir conocimientos y experiencias sobre Gestión de Riesgos de TI.
 Transmitir conocimientos y experiencias sobre Plan de Continuidad del Negocio y
Contingencias Tecnológicas.
 Desarrollar consideraciones necesarias para realizar auditoría de sistemas: planificación,
ejecución y resultados.
 Desarrollar ejemplos de auditoría forense, informática forense.
 Desarrollar ejemplos haciendo uso de distintas herramientas informáticas.
 Otros.

IV. UNIDADES DEL CURSO:

El contenido del curso comprende el desarrollo 7 de capítulos organizados del siguiente modo:

CAPITULO 1. ASPECTOS INTRODUCTORIOS

Objetivo:
 Transmitir los participantes conceptos generales sobre auditoría de sistemas, para su
comprensión e inicialización.

Contenido Analítico:
 Concepto de seguridad informática.
 Concepto de auditoría de sistemas.
 Auditoría interna / Auditoría de sistemas
 Segregación de funciones
 Diferencias conceptuales.
 Riesgos, características y evaluación de riesgos.
 Vulnerabilidades en tecnología.
 Fraudes.
 Revisiones forenses.
 Controles y su clasificación.
 Sistemas de información y seguridad informática.

UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y TELECOMUNICACIONES

CALLE ÑUFLO DE CHAVEZ No. 40 (entre rene moreno y Chuquisaca) TELEFONO: 3-346703 E-mail: info@soe.uagrm.edu.bo
página Web: www.soe .uagrm.edu.bo
 ESPECIFICACIONES

PROGRAMA DEL MÓDULO Código: EA-PL-01-01

Versión: 0
Edición: 26-02-2015

 Papel del profesional de TI en cuanto a seguridad informática.

 Estándares, directrices y procedimientos.
 Modelo de madurez de procesos.
 Procesos significativos relacionados a TI.
 Ambiente de TI.
 Modelo de seguridad.
 Valoración de datos, software e infraestructura.
 Gestión de la información.
 Consideraciones a tener en cuenta en seguridad informática.
 Estándares: COBIT, ISO 27001, ITIL
 Regulación local
 Otros conceptos y definiciones.

Actividades del capítulo:

Caso Práctico / Ejercicio Práctico:
 Ejemplo en clases sobre casos prácticos de relevamientos de procesos referentes a TI y
detección de riesgos y controles. Ejemplos basados en casos reales.

CAPÍTULO 2. CONTROLES GENERALES DE LA TECNOLOGÍA DE LA INFORMACIÓN

Objetivo:
 Transmitir los participantes conceptos y experiencias referentes a Controles Generales de TI
y Seguridad Informática aplicado a empresas de diversos rubros.

Contenido Analítico
 Auditoría a cambios o modificaciones en sistemas.
 Cirugía de datos.
 Auditoría a los accesos
 Controles complementarios.
 Riesgos relacionados en controles generales de TI
 Seguridad lógica básica en sistemas operativos.
 Seguridad lógica básica en base de datos.
 Seguridad lógica básica en aplicaciones.
 ABM de usuarios.
 Seguridad Física (Medidas de seguridad contra incendio, Consideraciones por inundación,
Consideraciones de aire acondicionado, Sistema eléctrico, Seguridad física, Mantenimiento
de los respaldos, Instalaciones alternas)
 Otros aspectos relacionados.
 Ejemplos: casos reales, en empresas: industriales, comerciales, banca, otras.

Actividades del capítulo

Caso Práctico /Ejercicio Práctico:
 Ejemplos sobre controles generales de TI y uso de herramientas en laboratorio. Ejemplo sobre
la base de casos reales en organizaciones.

UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y TELECOMUNICACIONES

CALLE ÑUFLO DE CHAVEZ No. 40 (entre rene moreno y Chuquisaca) TELEFONO: 3-346703 E-mail: info@soe.uagrm.edu.bo
página Web: www.soe .uagrm.edu.bo
 ESPECIFICACIONES

PROGRAMA DEL MÓDULO Código: EA-PL-01-01

Versión: 0
Edición: 26-02-2015

CAPITULO 3. CONTROLES DE APLICACIÓN

Objetivo:
 Transmitir conocimientos avanzados sobre Controles de Aplicación.

Contenido Analítico
 Controles de verificación
 Controles de validación
 Controles de cálculos
 Controles de interfaz
 Controles de autorización

Actividades del capítulo

Caso Práctico / Ejercicio Práctico:
 Laboratorio sobre controles de aplicación.

CAPITULO 4. TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADORA

Objetivo:
 Transmitir conocimientos y experiencias sobre CAATs [Técnicas de auditoría Asistidas por
Computadora].

Contenido Analítico
 Definición de CAATs
 Herramientas Funcionalidades
 Metodología para realizar revisiones.
 Revisiones de datos a través de software para CAATs
 Documentación de pruebas CAATs

Actividades del capítulo

Caso Práctico / Ejercicio Práctico:
 Laboratorio casos reales haciendo uso de Arbutus Analyzer. Basado en datos de casos reales.

CAPITULO 5. GESTIÓN DE RIESGOS

Objetivo:
 Transmitir conocimientos y experiencias sobre gestión de riesgos de TI.

Contenido Analítico
 Control Interno

UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y TELECOMUNICACIONES

CALLE ÑUFLO DE CHAVEZ No. 40 (entre rene moreno y Chuquisaca) TELEFONO: 3-346703 E-mail: info@soe.uagrm.edu.bo
página Web: www.soe .uagrm.edu.bo
 ESPECIFICACIONES

PROGRAMA DEL MÓDULO Código: EA-PL-01-01

Versión: 0
Edición: 26-02-2015

 COSO
 ISO 31000
 Identificación, Análisis, Evaluación y Tratamiento de riesgos TI.
 Metodología empleada para la gestión riesgos.
 Otros aspectos complementarios.

Actividades del capítulo

Caso Práctico / Ejercicio Práctico:
 Desarrollo de casos vinculados a la Gestión de Riesgos de TI y elaboración de matriz de
riesgos.

CAPITULO 6. Continuidad del Negocio y Contingencia Tecnológicas

Objetivo:
 Transmitir conocimientos y experiencias sobre aspectos vinculados con el Plan de
Continuidad de Negocio (Plan de Contingencia Tecnológica)

Contenido Analítico
 Planificación de continuidad
 Implementación de continuidad
 Verificación, revisión y evaluación de continuidad.
 Disponibilidad
 Consideraciones a tener en la ejecución de pruebas de continuidad.
 Situación actual local.
 Otros.

Actividades del capítulo

Caso Práctico / Ejercicio Práctico:
 Simulación de casos de continuidad de negocio y contingencia tecnológica.

CAPITULO 7. Estándares ISO 27001 y COBIT 5

Objetivo:
 Transmitir conocimientos y experiencias sobre aspectos vinculados con los estándares ISO
27001 y COBIT 5.

Contenido Analítico
 Gobierno de TI Cobit 5.
 Dominios ISO 27001.
 ISO 27002
 Mapeo Cobit Vs ISO 27001.
 Mapeo Cobit Vs COSO.

Actividades del capítulo

UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y TELECOMUNICACIONES

CALLE ÑUFLO DE CHAVEZ No. 40 (entre rene moreno y Chuquisaca) TELEFONO: 3-346703 E-mail: info@soe.uagrm.edu.bo
página Web: www.soe .uagrm.edu.bo
 ESPECIFICACIONES

PROGRAMA DEL MÓDULO Código: EA-PL-01-01

Versión: 0
Edición: 26-02-2015

Caso Práctico / Ejercicio Práctico:

 Alineación casos a los estándares, sobre la base de Controles de TI.

CAPITULO 8. NORMAS INTERNAS DE TI

Objetivo:
 Transmitir conocimientos y experiencias sobre qué normativas internas o políticas y
procedimientos de TI, son los claves a considerar en auditoría de sistemas.

Contenido Analítico
 Estructuras organizativas.
 Consideraciones previas de control interno
 Políticas de TI.
 Procedimientos de TI.
 Instructivos de TI.

Actividades del capítulo

Caso Práctico / Ejercicio Práctico:
 Alineación casos asociados a políticas, procedimientos de TI, sobre la base de Controles
Generales de TI.

CAPITULO 9. HERRAMIENTAS
Objetivo:
 Transmitir conocimientos y experiencias sobre el uso de herramientas a considerar en
auditoría de sistemas.

Contenido Analítico
 Software
 Scripts
 Planes de trabajo técnicos.

Actividades del capítulo

Caso Práctico / Ejercicio Práctico:
 Desarrollo de casos de auditoría de sistemas haciendo uso de herramientas sobre la base de
Controles Generales de TI.

CAPITULO 10. GESTIÓN DE AUDITORÍA DE SISTEMAS

Objetivo:

UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y TELECOMUNICACIONES

CALLE ÑUFLO DE CHAVEZ No. 40 (entre rene moreno y Chuquisaca) TELEFONO: 3-346703 E-mail: info@soe.uagrm.edu.bo
página Web: www.soe .uagrm.edu.bo
 ESPECIFICACIONES

PROGRAMA DEL MÓDULO Código: EA-PL-01-01

Versión: 0
Edición: 26-02-2015

 Desarrollar una revisión de principio a fin cuasi real, con base al uso de herramientas y planes
de trabajo, cumpliendo todas las etapas correspondientes a la gestión de auditoría de
sistemas.

Contenido Analítico
 Etapas a considerar en auditoría de sistemas (Planificación, Ejecución y Resultados)
 Papeles de trabajo de auditoría de sistemas.
 Emisión de informe de auditoría y formalidades

Actividades del capítulo

Caso Práctico / Ejercicio Práctico:
 Ejemplo casos prácticos basado en casos reales.

CAPITULO 11. CONSIDERACIONES EN INFORMÁTICA FORENSE

Objetivo:
 Transmitir conocimientos necesarios en “informática forense” para el análisis de distintos
elementos informáticos, aspectos complementarios de sustentos, aspectos referentes a
delitos informáticos, obtención de videncias, metodologías forenses, usos de herramientas
informáticas, otros.

Contenido Analítico
 Aspectos introductorios
 Auditoría Forense
 Informática Forense
 Metodología de Informática Forense
 Desarrollo de casos mediante herramientas.
 Otros aspectos complementarios.

Actividades del capítulo

Caso Práctico / Ejercicio Práctico:
Ejemplo casos prácticos basado en casos reales haciendo uso de herramientas forenses.

CAPITULO 12. CONSIDERACIONES LEGALES

Objetivo:
 Transmitir conocimientos necesarios en “informática forense” para el análisis de distintos
elementos informáticos, aspectos complementarios de sustentos, aspectos referentes a

UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y TELECOMUNICACIONES

CALLE ÑUFLO DE CHAVEZ No. 40 (entre rene moreno y Chuquisaca) TELEFONO: 3-346703 E-mail: info@soe.uagrm.edu.bo
página Web: www.soe .uagrm.edu.bo
 ESPECIFICACIONES

PROGRAMA DEL MÓDULO Código: EA-PL-01-01

Versión: 0
Edición: 26-02-2015

delitos informáticos, obtención de videncias, metodologías forenses, usos de herramientas

informáticas, otros.

Contenido Analítico
 Introducción a la legislación
 ¿Qué se tiene en materia de legislación en el país?
 Instrumentos legales a tomar en cuenta: Leyes, Decretos, otros.
 Tipificaciones / vacíos
 Casos relacionados con Legislación y TI
 Casos relacionados con auditoría forense e informática forense.
 Informe pericial.

Actividades del capítulo

Caso Práctico / Ejercicio Práctico:

UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN Y TELECOMUNICACIONES

CALLE ÑUFLO DE CHAVEZ No. 40 (entre rene moreno y Chuquisaca) TELEFONO: 3-346703 E-mail: info@soe.uagrm.edu.bo
página Web: www.soe .uagrm.edu.bo