Información General del Programa

Año académico: 2.002-2003
Centro: Escuela Politécnica Superior
Estudios: Ingeniería Técnica en Informática de Gestión / Ingeniería Técnica en Informática de Sistemas
Asignatura: Auditoría Informática
Ciclo: 1º
Curso: 3º
Cuatrimestre: 2º
Carácter: Optativa
Créditos teóricos: 4.5
Créditos prácticos.: 1.5
Profesor/es: Antonio Becerra Terón
Area: Lenguajes y Sistemas Informáticos

Programa de teoría

Programa resumido de teoría

Tema Temporización
1. Introducción a la Auditoría Informática 6
2. Control Interno y Auditoría Informática 5
3. Herramientas y Metodologías de Control y Auditoría 10
4. Auditoría del Desarrollo y Control de Calidad 6
5. Auditoría de los Datos 7
6. Auditoría de la Seguridad 9
7. Auditoría Informática en el Sector Aéreo 2

Programa detallado de teoría


Tema 1. Introducción a la Auditoría Informática

1.1. Introducción a la evaluación de sistemas

1.2. Función de auditoria

1.2.1. Auditoría interna

1.2.2. Auditoría externa

1.2.3 Efecto informático sobre la función auditora

1.3. Necesidad de la auditoría informática

1.3.1. Efecto de errores y pérdidas de datos

1.3.2. Toma de decisiones incorrectas

1.3.3 Abuso de computadores

1.3.4. Valores de los recursos informáticos

1.3.5 Mantenimiento de la privacidad

1.4. Definición de auditoría informática

          1.4.1. Auditoría informática interna

          1.4.2. Auditoría informática externa

1.5. Objetivos de la auditoría informática

1.5.1. Objetivos de salvaguarda de activos

1.5.2. Objetivos de integridad

1.5.3. Objetivos de eficiencia y efectividad

Tema 2. Control Interno y Auditoría Informática

2.1. Introducción al control interno informático

2.2. Control interno informático

2.2.1. Definición y tipos de controles

2.2.2. División en subsistemas

2.2.3. Controles generales de gestión

2.2.4. Controles generales de aplicación

2.3. Función de control interno y auditoría informática

2.3.1. Función de control interno

2.3.2. Función de auditoría informática

2.3.3. Relación entre control y auditoría informática

2.4. Implantación de un sistema de control interno

2.4.1. Controles organizativos

2.4.2. Controles de desarrollo y mantenimiento

2.4.3. Controles de explotación

2.4.4. Controles en aplicaciones

2.4.5. Controles de tecnología

2.5. Clases de auditoría informática

2.5.1. Auditoría de la dirección

2.5.2. Auditoría del desarrollo

2.5.3. Auditoría de la explotación

2.5.4. Auditoría técnica de sistemas

2.5.5. Auditoría de aplicaciones

2.5.6. Auditoría de la seguridad

2.5.7. Auditoría de redes

Tema 3. Herramientas y Metodologías de Control y Auditoría Informática

3.1. Introducción a las metodologías en control y auditoría

3.2. Herramientas de control y auditoría informática

3.2.1. Funcionalidad de las herramientas

3.2.2. Entrevistas

3.2.3. Checklists

3.2.4. Pistas de auditoría

3.2.5. Introducción a las técnicas concurrentes

3.3. Metodologías de evaluación de sistemas

3.3.1. Conceptos fundamentales

3.3.2. Tipos de metodologías

3.4. Metodología de análisis de riesgos

3.4.1. Esquema básico

3.4.2 MAGERIT (análisis y gestión de riesgos)

3.5. Metodología de auditoría y control informático

3.5.1. Clasificación de información y procedimientos de control

3.5.2. Plan del auditor informático

3.5.3. Estándar de la ISACA - Modelo por dominios COBIT

3.6. El informe de la auditoría

Tema 4. Auditoría del Desarrollo y Control de la Calidad

4.1. Introducción a la auditoría del desarrollo

4.2. Auditoría del desarrollo de proyectos

4.2.1. Introducción al proceso de desarrollo

4.2.2. Importancia de la auditoría del desarrollo

4.2.3. Planteamiento de la auditoría del desarrollo

4.2.4. Auditoría de la gestión del desarrollo

4.2.5. Auditoría de proyectos de desarrollo de sistemas

4.3. Auditoría de la calidad

4.3.1. Características del control de calidad

4.3.2. Objetivos de la auditoría de la calidad

4.3.3. Planteamiento de la auditoría de la calidad

4.4. Perspectiva COBIT en el desarrollo y calidad

Tema 5. Auditoría de la Datos

5.1. Introducción a los datos como recursos crítico

5.2. Auditoría y control en la entrada de datos

5.2.1. Métodos de entrada de datos

5.2.2. Controles de código de datos

5.2.3. Validación de los datos de entrada

5.3. Auditoría y control en bases de datos

5.3.1 Función del AD y ABD

5.3.2. Control sobre el AD y ABD

5.3.3. Controles de acceso a la base de datos

5.3.4. Controles de concurrencia

5.4. Auditoría y control en la salida de datos

5.4.1. Controles de inferencia

5.4.2. Controles de distribución de salida

5.4.3. Controles de existencia en la salida

5.5. Perspectiva COBIT para la auditoría de los datos

5.6. Auditoría de la protección de datos

5.6.1. LOPD. Una visión general

5.6.2. Niveles de protección

5.6.3. Sanciones y recomendaciones

Tema 6. Auditoría de la Seguridad

6.1. Introducción a la seguridad y protección de la información

6.2. Áreas de la auditoría de la seguridad

6.2.1. Seguridad física

6.2.2. Seguridad lógica

6.2.3. Seguridad en redes y comunicaciones

6.2.4. Continuidad de operaciones

6.3. Auditoría y control de la seguridad física

6.4. Auditoría y control de la seguridad lógica

6.4.1. Controles de acceso

6.4.2. Controles sobre el uso de servicios

6.4.3. Controles de hacking

6.5. Auditoría y control de las redes y comunicaciones

6.5.1 Vulnerabilidad en redes

6.5.2. Redes abiertas (TCP/IP)

6.5.3. Auditoría de la red física

6.5.4. Auditoría de la red lógica

6.6. Auditoría de la continuidad de operaciones

6.6.1. Controles de backup

6.6.2. Planes de contingencia

6.7. Perspectiva COBIT para la auditoría de la seguridad

Tema 7. Auditoría Informática en el Sector Aéreo

7.1. Sistema de reservas AMEDEUS

7.1.1. Facturación entre compañías aéreas

7.1.2. Sistemas de distribución (CRS)

7.1.3. Procesos informáticos

7.2. Auditoría informática

7.2.1. Datos personales

7.2.2. Proceso ticketing y BSP

7.3.3. Controles de seguridad

Programa de prácticas de laboratorio

Práctica Temporización
1. Auditoría y control del registro en Windows 2000 Server 3
2. Auditoría y control de recursos en Windows 2000 Server 3
3. Auditoría y control de la seguridad en redes. SessionWall 3
4. Desarrollo de un proyecto de auditoría y control 6

Bibliografía Básica

M. Pattini y E. del Peso Navarro. Auditoría Informática. Un Enfoque Práctico (2ª  Edición). RA-MA, 2001. piattini.jpg (11847 bytes)
R. Weber. Information Systems Control and Audit. Prentice Hall, 1999 weber.jpg (5167 bytes)
ISACF. Objetivos de Control para la Információn y Tecnología Relacionada. COBIT-ISACF, 1998 cobit.jpg (3926 bytes)
ISACA. Normas Generales del Estándar de la ISACA. ISACA, 2002 standard.jpg (814666 bytes)
Ministero de Administraciones Públicas. MAGERIT: Guía de Procedimientos. MAP y BOE, 2001 mageritprocedimientos.jpg (72952 bytes)

Observaciones

No existen requerimientos especiales, si bien el haber seguido asignaturas relacionados con el tratamiento de la información facilita la comprensión y aprovechamiento de la auditoria de
los sistemas de información. La asignatura puede tener interés con independencia de la función profesional, por los principios, técnicas y métodos que se presentan y por la visión sobre
el control y la gestión de las diferentes áreas de la informática..

Evaluación

Se fundamenta en la realización de un examen final y una evaluación global de los supuestos prácticos realizados durante el desarrollo del programa práctico.