MASTER EN AUDITORÍA INFORMÁTICA

Luis Enrique Sánchez Crespo

 


Aspectos Generales de Seguridad

Aspectos Generales de Auditoria

Proyecto Fin de Master

Certified Information System Auditor (CISA)

 

 

Volver a página principal

 


A continuación se incluye una breve descripción de los módulos realizados en la Universidad Politécnica de Madrid (UPM) durante el periodo comprendido entre enero del año 2003 y julio del año 2004. También se incluye una breve descripción de los conocimientos necesarios para la obtención del certificado CISA. Aunque estos cursos no eran necesarios para la obtención de los créditos contemplados en el periodo de docencia del programa de doctorado “Arquitectura y Gestión de la Información y del Conocimiento en Sistemas de Red”, se han incluido en este documento al estar el contenido de los mismos directamente relacionados con la materia de la investigación.

 

Se ha dividido en cuatro partes:

·        La primera contiene los módulos de materias asociadas a la Seguridad Informática.

·        La segunda parte contiene los módulos de materias asociadas a la Auditoria Informática.

·        La tercera parte expone el proyecto final de master realizado.

·        La última parte se centra en los conocimientos necesarios para la obtención del certificado CISA.

 

Para cada modulo se indica el objetivo principal y los profesores que lo impartieron.

 

Aspectos Generales de Seguridad

 

-         Modulo C1: El gobierno de la Tecnología de la Información y las Comunicaciones.

Profesores: Dr. José Carrillo Verdún

Contenido: El gobierno de la Tecnología de la Información y las Comunicaciones. Políticas de la Información.

 

-         Modulo C2: Arquitectura de Seguridad de la Información.

Profesores: José María González Zubieta

Contenido: Arquitectura de Seguridad de la Información: Las Política de la Seguridad de la Información. Estándares y Procedimientos. Controles y Objetivos de Control. El Manual de Procedimientos. Organización de la Seguridad. Clasificación de la Información.

 

-         Modulo C3: Metodología para el Análisis y Evaluación de Riesgos.

Profesores: Rafael Garay Ramos

Contenido: Metodología para el Análisis y Evaluación de Riesgos. La Gestión del Riesgo. Magerit. Caso Práctico: “Los riesgos en el Comercio Electrónico”.

 

-         Modulo C4: La seguridad Física.

Profesores: Ricardo Cañizares Sales

Contenido: La seguridad Física. Amenazas y Medidas de Salvaguarda.

 

-         Modulo C5: La Seguridad de los Datos.

Profesores: Dr. José Luis Morant

Contenido: La Seguridad de los Datos. Control de Acceso de Datos. Criptografía. Software de Seguridad. Control de Acceso Inalámbrico en Internet.

 

-         Modulo C6: La Seguridad en las Configuraciones de los Sistemas.

Profesores: Dr. José Luis Morant

Contenido: La Seguridad en las Configuraciones de los Sistemas:

-         Los Sistemas Operativos (ESA, UNIX, Windows, Linux).

 

-         Modulo C7: La Seguridad en las Comunicaciones.

Profesores: Dr. Arturo Ribagorda Garnacho

Contenido: La Seguridad en las Comunicaciones.

-         Las Redes Físicas. Los Entornos. Los Contenidos de los Mensajes.

-         Virus y Antivirus.

-         El Negocio Electrónico y el Comercio Electrónico.

-         El Dinero Electrónico.

 

-         Modulo C8: La Seguridad en la Operación de Sistemas.

Profesores: Guillermo Torres Díaz, Mar León Sánchez, José Ramón Santos Remetería, Antonio Hernández.

Contenido: La Seguridad en la Operación de Sistemas:

-         La Operación de los Ordenadores y de las Redes. Las Preparación de los Datos. La Gestión de Librerías. Planificación de la Capacidad y la Evaluación del Rendimientos. Niveles de Servicio.

-         La Seguridad en el Help Desk y el Soporte Técnico.

-         La Gestión de la externalización de Servicios (Outsourcing).

-         La Seguridad en los Call Centres.

 

-         Modulo C9: La Seguridad en el Diseño y Construcción de Aplicaciones.

Profesores: Dr. Tomás San Feliu Gilabert, José Antonio Calvo-Manzano Villalón, Dr. Edmundo Tovar.

Contenido: La Seguridad en el Diseño y Construcción de Aplicaciones. Garantía de Calidad de Software.

 

-         Modulo C10: La Propiedad y Certificación del Software.

Profesores: Carlos Manuel Fernández, Oscar Deleito.

Contenido: La Propiedad y Certificación del Software.

 

-         Modulo C11: Las Seguridad y las Personas.

Profesores: Ricardo Cañizares Sales

Contenido: La Seguridad y las Personas. Los Controles de Seguridad Personal. Identificación de las Personas.

 

-         Modulo C12: Planes de seguridad.

Profesores: Faustino Villarubia Carmona.

Contenido: Plan de Seguridad: Conceptos Básicos.

 

-         Modulo C13: Marco Jurídico de la Seguridad y la Auditoría Informática.

Profesores: Dr. Miguel Ángel Davara Fernández de Marcos

Contenido: Marco Jurídico de la Seguridad y la Auditoria Informática.

 

-         Modulo C14: LOPD y LSSI.

Profesores: Santos Corral de Abia

Contenido: Privacidad y legislación sobre Protección de Datos. Relación con la LSSI.

 

 


Aspectos Generales de Auditoria

 

-         Modulo A1: Introducción a la Auditoría Informática.

Profesores: Manuel Palao.

Contenido: Introducción a la Auditoría Informática. La Función de la Auditoría Informática en las Organizaciones. El Auditor Informático y la Dirección.

 

-         Modulo A2: Preparación del Examen CISA.

Profesores: Manuel Palao

Contenido: Preparación para el Examen CISA.

 

-         Modulo A3.

Profesores: Cristina Bausá Rosa, Rafael Rodríguez de Cora.

Contenido: Objetivos de Control de las T.I. (Cobit). Su implantación.

 

-         Modulo A4.

Profesores: Elena Mora González (Deloitte&Touch), Cecilia Sánchez-Aparisi (Deloitte&Touch)

Contenido: Desarrollo de una Auditoria Informática. Metodologías y técnicas del Auditor. Las Herramientas del Auditor. El Informe de Auditoria.

 

-         Modulo A5.

Profesores: Isabel Setién (Deloitte&Touch), Mónica Sanz (Deloitte&Touch), Andrés Peral (Deloitte&Touch), Juan Ramon Fontan (Deloitte&Touch), Manuel Vilchéz (Deloitte&Touch).

Contenido: Prácticas de la Auditoría Informática.

-         La Gestión de lo S.I. y de las TIC

-         El Acceso a los Sistemas.

-         Los Datos / Bases de Datos.

-         Las Comunicaciones.

-         Los Procesos: S.O. y Aplicaciones.

-         El Desarrollo del Software/Calidad de Software.

-         Los Canales de Distribución.

-         La Eficacia y la Eficiencia en la Gestión de los Sistemas Informáticos.

 

-         Modulo A6.

Profesores: Angel Juarros

Contenido: Documentación de Seguridad de la LOPD y su Auditoría.

 

-         Modulo A7.

Profesores: Rafael Rodríguez de Cora, Juan Antonio Morales.

Contenido: Software Específico de Auditoría (CAATS).

 

-         Modulo A8.

Profesores: Angel Juarros, José Manuel Ferrer Server.

Contenido: Peritaciones en Informática.

 

 


Proyecto Fin de Master

 

Titulo: Proyecto de Securización de Entornos.

 

Profesores: Elena Mora González (Deloitte&Touch) y Carmen Sánchez Tenorio (Deloitte&Touch).

 

Contenido:

El proyecto consistió en crear una aplicación que permitía a las compañías conocer el nivel de securización de sus aplicaciones más importantes (aquellas cuyo cometido es mantener los datos vitales para su modelo de negocio), de forma que los auditores pueden realizar su trabajo en un menor tiempo, reduciendo los costes de las Auditorias, sin que por ello se vea afectada la calidad de la misma.

Para alcanzar el objetivo del proyecto se siguieron tres fases:

·        Fase I: Se realizo un estudio en profundidad del sistema operativo Windows 2000 y de los dos SGBD más utilizados en entornos Microsoft (Oracle 9i, SQL Server 2000), definiendo los objetivos de control que permitan realizar posteriores auditorias.

o       Definir las herramientas a securizar:

o       Definir el sistema de Medición del Nivel de Securización del entorno.

o       Obtener los objetivos de control para cada una de esas aplicaciones.

o       Obtener los scripts y pruebas de cada objetivo de control.

·        Fase II: Se desarrollo una aplicación para la realización de Auditorias sobre el conjunto de aplicaciones definidas en la Fase I, obteniendo una valoración del grado de securización de dichas aplicaciones según su configuración actual y unas recomendaciones asociadas a las acciones a acometer  para aumentar su nivel de securización. El checklist realizado en la aplicación es mixto (controles automáticos y manuales).

·        Fase III: Se aplico la herramienta desarrollada, sobre diversos sistemas que funcionaban en la compañía SNT y en otros clientes de la misma, obteniendo un conjunto de resultados de las auditorias que permitieron determinar el nivel de securización de los entornos y tomar medidas adecuadas.

 

 


Certified Information System Auditor (CISA)

 

Contenido:

La obtención del certificado CISA llevo asociada la adquisición de un conjunto de conocimientos formados por los siguientes contenidos:

 

-         Capitulo 1 - El proceso de Auditoria de Sistemas de Información: i) Estándares y directrices de ISACA para la Auditoría de Sistemas de Información, ii) Análisis de Riesgos, iii) Controles Internos, iv) Realización de una Auditoría de SI, v) Autoevaluación del control, vi) Gobierno Corporativo.

 

-         Capitulo 2 - Administración, Planeación y Organización de SI: i) Estrategia de los Sistemas de Información, ii) Políticas y procedimientos, iii) Prácticas de gerencia de Sistemas de Información, iv) Estructura organizacional y responsables de SI, v) Auditoría de las Administración, Planeación y Organización de SI.

 

-         Capitulo 3 - Infraestructura técnicas y prácticas operativas: i) Hardware de Sistemas de Información, ii) Arquitectura y Software de Sistemas de Información, iii) Infraestructura de las Redes de Sistemas de Información, iv) Operaciones de los Sistemas de Información, v) Auditoría de la infraestructura y de las operaciones.

 

-         Capitulo 4 - Protección de los activos de información: i) Importancia de la administración de la seguridad de información, ii) Exposiciones y controles de acceso lógico, iii) Seguridad de la infraestuctura de la red, iv) Auditoría de la administración de seguridad de información, v) Acceso lógico y problemas de virus, vi) Auditoría de seguridad de infraestructura de red, vii) Exposiciones y controles ambientales, viii) Exposiciones y controles de acceso físico, ix) Seguridad de las computadoras personales (LAPTOP) (Problemas de acceso lógico / físico).

 

-         Capitulo 5 - Recuperación de desastres y continuidad del negocio: i) Planeación de la continuidad del negocio / recuperación de desastres, ii) Auditoría al plan de continuidad del negocio / recuperación de desastres.

 

-         Capitulo 6: Desarrollo, Adquisición, Implementación y Mantenimiento de los Sistemas de Aplicación del negocio: i) Desarrollo de aplicaciones de negocio, ii) Estrategias alternativas de desarrollo de software, iii) Prácticas de mantenimientos de los sistemas de información, iv) Prácticas de administración / gestión de proyectos, v) Herramientas para el desarrollo de sistemas y ayudas a la productividad, vi) Prácticas de mejoramiento del proceso de desarrollo de software, vii) Auditoría al desarrollo, adquisición y mantenimiento de sistemas.

 

-         Capitulo 7: Evaluación de procesos de negocio y administración del riesgo: i) Evaluación del proceso del negocio y administración del riesgo, ii) Reingeniería del proceso del negocio y proyectos de cambio de procesos, iii) Procesos, iv) Administración del riesgo, v) Gobierno de TI, vi) Controles en las aplicaciones, vii) Sistemas de aplicación del negocio.

 

  Ultima actualización, el 01 de Septiembre de 2008