plan de curso 338

UNIVERSIDAD NACIONAL ABIERTA

VICERRECTORADO ACADEMICO

SUBPROGRAMA DE DISEÑO ACADÉMICO

AREA: INGENIERÍA / CARRERA: INGENIERÍA DE

SISTEMAS

PLAN DE CURSO I. Identificación Nombre: SISTEMAS DE INFORMACIÓN III Código: 338 U.C: 4 Carrera: Ingeniería de Sistemas Código: 236 Semestre: VIII Prelaciones: Sistemas de Información II (336) Requisito: Ninguno Autor: MSc. Carmen Z. Maldonado (Especialista de contenido) Teléfono: (0212) - 5552360 Correo electrónico: [email protected] Asesores: MSc. Carmen Z. Maldonado (Coordinadora de la carrera) Lic. Carmen Velásquez (Evaluadora de la Carrera) Dr. Antonio Alfonzo (Diseñador de instrucción)

Nivel Central

Caracas, Julio 2013

Plan de curso: Sistemas de Información III - Elaborado por Prof. Carmen Z. Maldonado . – UNA 2013

2

II. FUNDAMENTACIÓN

Sistemas de Información III, es un curso fundamentado en el estudio de la Auditoría de los sistemas de Información. En los últimos años ha surgido una nueva necesidad de evaluación para los auditores de sistemas, quienes requieren una especialización cada vez mas profunda en los sistemas de información y de computación, es por ello, que existe la necesidad de evaluar no sólo los sistemas, sino también la información, componentes y todo lo relacionado con estos sistemas. Este curso ofrece una visión general de la auditoria y su importancia dentro de la organización. Haciendo énfasis en la Seguridad Física y Lógica de los equipos de cómputo de una empresa. También se darán a conocer los conceptos generales del Control Interno como herramienta para la Evaluación y Control de Riesgos en los que se pueden ver involucrados todos los sistemas de información en sus distintas áreas.

A través de este curso se pretende desarrollar en los estudiantes aptitudes y destrezas; así como también, capacidad crítica y ética para revisar, analizar y evaluar los procesos informáticos encaminados hacia la búsqueda de problemas existentes dentro de los sistemas utilizados. El estudiante estará en capacidad de proponer soluciones idóneas de acuerdo a los problemas detectados en el sistema informático, siempre y cuando dichas soluciones no violen las leyes ni los principios éticos propios de la auditoría. Con estas capacidades y habilidades se fortalecerá al egresado en su formación y su desempeño profesional.

Con el aprendizaje impartido en este curso, se intenta dotar al futuro egresado de Ingeniería de Sistemas de herramientas para aplicar los métodos de evaluación y de control involucrados en las actividades del área de sistemas, el modo de prevenir y detectar errores, fraudes y/o delitos ocurridos a través del computador, que les permita incorporarse en organizaciones públicas o privadas en la función de Auditor Especialista en Sistemas.

Esta asignatura es de carácter obligatorio y está ubicada en el octavo semestre, dentro del grupo de asignaturas de formación profesional de la carrera. Es pertinente mencionar que la misma constituye el último eslabón del bloque de asignaturas de sistemas, la dinámica de trabajo se complementa con un material instruccional y el desarrollo del trabajo práctico; en consecuencia, se considera el curso de naturaleza teórico - práctico.

Para la administración del curso se concibe el siguiente paquete instruccional:

El libro de estudio: Auditoría Informática: Un Enfoque práctico de Piattini, M.G. y del Peso, [2001] Editorial Ra-ma, Alfaomega Grupo Editor, S.A. 2da edición, este libro brinda de manera didáctica una panorámica actual y completa sobre la auditoría de Sistemas de Información.

Material Instruccional de Apoyo (MIA).

Referencias a páginas WEB que tendrá el efecto de enriquecer los conocimientos adquiridos.


3

III. PLAN DE EVALUACION

Las pruebas son de modalidad presencial y de desarrollo.

Ponderación de los objetivos: La ponderación consiste en la

asignación de pesos a los objetivos evaluables de la asignatura, de

acuerdo a la importancia y/o complejidad que tienen. La escala de

ponderación de esta asignatura es de 1 a 5 puntos. Esta ponderación

está determinada por la incidencia de los objetivos evaluables en: el

perfil de la carrera, el objetivo terminal de la asignatura y los

objetivos terminales de las asignaturas sobre las que existe

prelación.

Las especificaciones del trabajo práctico (TP) se suministran al

estudiante adjunto a la primera prueba parcial. Si el estudiante no va

a presentar esta prueba deber retirar un ejemplar del mismo en el

Centro Local.El estudiante consignará el TP resuelto con la Prueba

Integral.

PRIMERA PARCIAL 1,2,3

MÓDULO: I

UNIDADES: 1,2, 3

SEGUNDA PARCIAL

4,5,6

MÓDULO: I UNIDADES:4 MÓDULO II UNIDADES

5Y 6

PRUEBA INTEGRAL

1 al 6

MÓDULOS: I, II UNIDADES: 1 al 6

TRABAJO PRÁCTICO

7,8 Y 9

MÓDULO: III UNIDADES: 7,8

y 9

M U O OBJETIVOS I

1

1

Especificar los controles internos informáticos a través de una metodología planteada, fundamentando las fases, objetivos y herramientas de control en concordancia con la situación dada.

2 2 Especificar los objetivos de control, y/o niveles de cumplimiento mínimos en función de la auditoría de desarrollo. y/o los acuerdos de auditoría técnica de sistemas, que sean considerados en la situación dada.

3 3 Analizar los controles de auditoría y/o las actividades del proceso de dirección, fundamentando cada elemento involucrado en la situación dada.

4 4 Analizar en el entorno de la organización del departamento de auditoría las posibles causas que afectan la función de Auditoria de los Sistemas de Información en la situación dada. Proponiendo mejoras de solución.

II

5 5 Elaborar un Plan de Contingencias relacionado a un caso específico, donde se diagnostique las áreas de la seguridad física a través de la auditoría física.

6 6 Evaluar a través de un caso específico, la seguridad o protección de la información, considerando los aspectos relacionados con la auditoría de la seguridad.


4

Objetivo 1 2 3 4 5 6 7 8 9

Peso 1

2 2 3 43 4 5 5 5

Peso Acumulado 1 – 14 15 – 16 17 – 18 19 – 20 21 – 22 23 24 – 25 26–27 28–29 30–31

Calificación 1 2 3 4 5 6 7 8 9 10

Peso máximo posible: 31 puntos Criterio de dominio académico: 23

M U O OBJETIVOS

III

7 7 Fundamentar al documento que sustenta el procedimiento de auditoría de la explotación, siguiendo la clasificación propuesta por el proyecto CobiT. y/o incluyendo los planes de aseguramiento de la calidad previstos para los sistemas de información.

8 8 Evaluar el sistema de base de datos y/o el sistema físico y lógico de la red, verificando el cumplimiento de las técnicas y los objetivos de control, dado un sistema.

9 9 Evaluar el sistema de información dado, especificando la información pertinente al documento de auditoría y a los principios deontológicos presentes en dicho sistema.


5

ORIENTACIONES GENERALES

El texto recomendado para este curso, está disponible en la Biblioteca del Centro Local, como servicio de préstamo en sala y Préstamo Circulante.

El Material Instruccional de Apoyo (MIA) recomendado para este curso, lo entregaran en el almacén del Centro Local, previa presentación del comprobante de inscripción.

El trabajo práctico, se entrega adjunto a la Primera Prueba Parcial.

Lea las instrucciones que aparecen en el MIA y Realice los ejercicios propuestos en cada unidad, en el Material de Apoyo y el texto de estudio.

Elabore mapas conceptuales (MC) para fundamentar lo aprendido en cada objetivo. El MC le permite la conexión de los conceptos con ideas previas por parte del estudiante, esto le apoyará la parte creativa con respecto a las relaciones conceptuales o por el contrario, a solventar los malentendidos conceptuales.

Resuelva los ejercicios “Cuestiones de Repaso” de ambos capítulos propuestos en el libro de estudio y verifique sus respuestas con el MC, si persisten dudas consulte con el asesor de la asignatura del Centro Local al cual pertenece.

Consulte las direcciones electrónicas especificadas en el MIA y el Trabajo Práctico. Si no se hacen referencias específicas, se recomienda buscar el tema en Internet, empleando un buscador.

Consulte con los asesores, bien sea a través del correo electrónico o de manera presencial las dudas pertinentes a esta unidad. Adicionalmente, puede comunicarse con el profesor que administra la asignatura a través de la dirección de correo electrónico que suministra la carrera.

Si desea hacer algún comentario o sugerencia acerca del curso, comuníquese con el profesor que lo administra a través de la dirección de correo electrónico suministrada por la carrera.


6

IV. DISEÑO DE LA INSTRUCCIÓN DEL CURSO

Objetivo Contenido

1

Concepto de auditoría. Clases de auditoría. Procedimientos. Variación del objeto. Concepto de consultoría. Ventajas. Funciones de control interno y de la auditoría. Sistema de control interno informático. Metodologías: de evaluación de sistemas y de auditoría informática. El plan del auditor. Control interno informático: métodos y procedimientos. Las herramientas de control.

2

Importancia, planteamiento y metodología de la Auditoría de Desarrollo. Auditoria de la organización y gestión del área de desarrollo. Auditoría de proyectos de desarrollo de sistemas de información. Definición de la función de Auditoría Técnica de Sistemas. El nivel de servicio. Procedimientos. Controles. Auditoría de la función.

3 Controles de auditoría. Seguridad. Planificación. Organización y coordinación. Control de la Gestión de Auditoría.

4

Clases y tipos de auditoría. Funciones de auditoría. Organización de la función de auditoría. Protección de los datos. La protección jurídica de los programas de un computador. Bases de datos y multimedia. Delitos informáticos. Contratos informáticos. Transferencia electrónica de fondos. Contratación electrónica. El documento electrónico.

5

La seguridad física. Áreas de la seguridad física. Fuentes y objetivos de la Auditoría física. Técnicas y herramientas del auditor. Responsabilidades. Fases y su desarrollo de la Auditoría Física.

6

Áreas de la Auditoría de la Seguridad. Evaluación de Riesgos. Fases de la Auditoría de la Seguridad. Auditaría de la Seguridad física y lógica. Auditoría de la seguridad de los datos. Auditoría de la Seguridad en comunicaciones y redes. Relación de auditoría con Administración de seguridad.

Objetivo del curso: Evaluar sistemas de información empleando métodos, técnicas y herramientas de la auditoría informática con sentido crítico y ético.


7

Objetivo Contenido

7

Sistemas de Información. Planificación. Procedimientos. Informes. Documentación. Características de la calidad ISO 9126. Modelo ISO. Objetivos de la Auditoría de la Calidad. Proceso de Auditoría de software. Proceso de aseguramiento de la calidad. Proceso de Auditoría ISO 12207.Esquemas de procedimiento siguiendo la clasificación de los controles CobiT.

8

Metodología para Auditoría de Base de Datos. Objetivos de control en el ciclo de vida de Base de Datos. Auditoría y Control Interno. Técnicas para el control de las Bases de Datos. Vulnerabilidades en redes. Auditando la gerencia de comunicaciones. Auditando la red física y lógica.

9 Normas de la auditoría. La evidencia. Las irregularidades. La documentación. El informe. Principios deontológicos.


8

OBJETIVO ESTRATEGIAS INSTRUCCIONALES ESTRATEGIAS DE EVALUACIÓN

1

Lea el prólogo la primera y segunda edición del Libro Auditoría Informática (AI), los cuales le proporcionará una visión más comprensible de la AI y ASI.

Lea el capítulo 1 “La informática como herramienta del auditor financiero, a fin de que pueda obtener una analogía entre la AI con la Auditoría Financiera y la incorporación de las tecnologías de Información (TI), las cuales le servirán de base para comprender los siguientes temas a estudiar.

Estudie del capítulo 2 libro AI, Control Interno y Auditoría Informática (AI). Páginas 25-44, lo siguiente: - Las funciones de control interno y auditoría informáticos: Control Interno Informático, y la AI. Control interno y auditoría Informáticos. Sistema de Control Interno Informático. Definición y tipos de controles internos. Control Interno y auditoría Informáticos. Implantación de un sistema de controles internos informáticos.

Estudie del capítulo 3 del libro AI, Metodologías de Control Interno, Seguridad y Auditoría Informática. Páginas 45-91, lo siguiente: - Metodologías de Evaluación de Sistemas: Conceptos fundamentales. Tipos de metodologías. Las metodologías de AI, El plan informático y el Control interno informático. La función de control. Metodologías de clasificación de la información y obtención de los procedimientos de control. Las herramientas de control.

Producto: Especificación de los controles internos informáticos partiendo de una metodología dada una situación. Procedimiento: Se valorará: la correcta descripción de las ventajas, las

funciones de control interno y de auditoría en la especificación del sistema de control interno informático, conjuntamente con la revisión y argumentación de los controles sobre aplicaciones.

Instrumento: Prueba presencial de desarrollo. Momento: Se aplicará en el momento de la primera prueba parcial y la integral.

2

Estudie del capítulo 12 libro AI, Auditoría del Desarrollo (AD). Páginas 260-293, lo siguiente: - Importancia de la AD, Planteamiento y Metodología, Auditoría de la Organización y Gestión del área de Desarrollo. - Auditoría de proyectos de desarrollo de SI: Aprobación, planificación y gestión del proyecto. Auditoría de la Fase de Análisis. Auditoría de la Fase de Diseño. Auditoría de la Fase de Construcción. Auditoría de la Fase de Implantación.

Estudie del capítulo 15 del libro AI, Auditoría de Técnica de Sistemas (ATS). Páginas 335-359, lo siguiente: - Ámbito de Técnica de Sistemas, Definición de la función, el nivel de servicio. - Los procedimientos: Instalación y puesta en servicio. Mantenimiento y soporte. Requisitos para otros componentes, Resolución de incidencias, seguridad y control.

- Los Controles, auditoría de la función, consideraciones sobre la tecnología y su evolución.

Producto: Especificación de los objetivos de control en la AD y/o especificación funcional del sistema y/o de los objetivos de control de la Auditoría Técnica de Sistemas (ATS), dada una situación. Procedimiento: Se valorará: La correcta precisión de los objetivos de

control en el área de desarrollo, gestión de los proyectos y en las distintas fases de la Auditoría de Desarrollo.

La correcta precisión en los acuerdos de niveles de servicios en la ATS.

Instrumento: Prueba Presencial de desarrollo. Momento: Se aplicará en el momento de la primera prueba parcial y la integral.

3 Estudie del capítulo 9 libro AI, Auditoría de la Ofimática. Páginas 197-210, lo

siguiente: - Controles de Auditoría:

Producto: Análisis de los controles de auditoría especificando los criterios relacionado y/o las actividades del proceso de gestión de SI, dada


9

OBJETIVO ESTRATEGIAS INSTRUCCIONALES ESTRATEGIAS DE EVALUACIÓN Economía, eficacia y eficiencia. Seguridad.

Estudie del capítulo 10 del libro AI, Auditoría de la Dirección. Páginas 211-228, lo siguiente: - Planificar. Plan Estratégico de Sistemas de Información y otros planes. Organizar y Coordinar. Comité de Informática. Posición de Departamento de Informática (DI) de la empresa. Descripción de funciones y responsabilidades del DI. Estándares de funcionamiento y procedimientos. Gestión de RRHH. Comunicación. Gestión económica. Seguros. - Controlar. Control y seguimiento. Cumplimiento de la normativa legal.

Realice el análisis de los controles presentes en la situación dada.

una situación. Procedimiento: Se valorará: El análisis correcto del guión de trabajo del

auditor basándose en los criterios rela-cionados con aspectos de economía, eficacia, eficiencia y seguridad.

El conjunto de procesos que intervienen en la elaboración correcta del plan estratégico de los SI.

Instrumento: Prueba Presencial de desarrollo. Momento: Se aplicará en el momento de la primera prueba parcial y la integral.

4

Estudie del capítulo 5 del libro AI, Organización del Departamento de Auditoría Informática (ODA). Páginas 107-117, lo siguiente: - Clases y tipos de AI. - Función de la AI: Definición. Perfiles profesionales de la función de AI. Funciones a desarrollar por la función de AI. - Organización de la función de AI.

Estudie del capítulo 6 del libro AI, El Marco Jurídico de la Auditoría Informática. Páginas 121-149, lo siguiente: - La protección de datos y programas. - BD y multimedia. Delitos informáticos. Contratos informáticos.

- Transferencia electrónica de datos. Contratación y el documento electrónico.

Realice un análisis en el entorno de cualquier ODA, de manera que detecte las causas que afectan la función de auditoría de los SI y proponga posibles soluciones de mejoras.

Producto: Análisis del entorno de la ODA, las posibles causas que afecten la función de ASI y generación de propuse-tas de mejoras dada una situación. Procedimiento: Se valorará: El correcto estudio de los elementos presen-

tes en la función de AI. La propuesta correcta de mejoras de

solución. Instrumento: Prueba Presencial de desarrollo. Momento: Se aplicará en el momento de la segunda prueba parcial y la integral.

5

Involúcrese con un centro de procesamiento de datos (CPD) cuya finalidad es la de auditar la seguridad física de dicho Centro, tomando en cuenta los activos humanos, lógicos y materiales de ese CPD.

Estudie del capítulo 8 del libro AI, Auditoría Física Páginas 181-195, lo siguiente: - El desarrollo de la auditoría del plan de contingencia.

Construya un esquema que le sirva para aplicarlo al caso de estudio CPD, de manera que sea una herramienta para el levantamiento de la información y así realizar la evaluación pertinente.

Producto: Elaboración del plan de contingencia a través de AF al caso específico. Procedimiento: Se valorará: La correcta elaboración del plan de

contingencia al caso. El diagnóstico correcto aplicado a las áreas

de la seguridad física. Instrumento: Prueba Presencial de desarrollo. Momento: Se aplicará en el momento de la segunda prueba parcial y la integral.


10


6

El estudiante debe relacionarse con el administración de un centro de procesamiento de datos (CPD) con la finalidad de auditar la seguridad en los sistemas de información para evaluar los modelos de seguridad y los controles internos.

Estudie el capítulo 17l libro AI, Auditoría de la seguridad(AS) Páginas 389-422 y profundizar en las consideraciones respecto al informe contentivo a la AS.

Construya un esquema que le sirva para aplicarlo al caso de estudio, de manera que sea una herramienta para el levantamiento de la información y así realizar la evaluación pertinente.

Verifique a través de una lista de cotejo los aspectos involucrados con la AS.

Producto: La evaluación de la seguridad o protección de la información involucrando los aspectos de la AS. Procedimiento: Se valorará, la correcta verificación de: Modelos de seguridad. Grupos de controles, objetivos de control y

el sistema de control interno. Áreas de la AS Evaluación de los riesgos. Amenazas y protecciones físicas de los

datos, programas, instalaciones, equipos, redes, soporte y personas.

Instrumento: Prueba Presencial de desarrollo. Momento: Se aplicará en el momento de la segunda prueba parcial y la integral.

7

Lea el capítulo 19 “Auditoría de Aplicaciones”, con el objeto de llevar a cabo las auditorias pertinentes a sistemas de información y/o aplicaciones, lo cual le permitirá al estudiante centrarse en la compresión de las siguientes unidades a estudiar.

Estudie del capítulo 11 libro AI, Auditoría de la explotación (AE) Páginas 231-258, lo siguiente: Sistemas de Información. Planificación: Planificación estratégica. La guía del proyecto CobiT. Evaluación de los controles internos. Establecimientos de los objetivos. Planificación administrativa Planificación técnica.

Estudie del capítulo 16 libro AI, Auditoría de la calidad Páginas 361-388, lo siguiente: Definiciones previas e Introducción Revisión: Características: calidad ISO 9126. Objetivos: auditorías de calidad.

Procesos de calidad y auditoría del software. Auditoría de sistemas de calidad de software. Proceso AC ISO 12207 y el proceso.

Construya un esquema que le proporcione la información pertinente para llevar a cabo la auditoría al sistema de estudio.

Verifique que los elementos presentes en el proyecto CobiT y los planes de aseguramiento de calidad estén presentes en el documento de AE.

Producto: La fundamentación del procedimiento de la AE basado en CobiT y/o de los planes de asegura-miento de calidad al sistema de información de estudio. Procedimiento: Se valorará: La correcta verificación del cumplimiento de

los controles del proyecto cobiT en AE. La correcta verificación de los elementos

aplicables del plan de aseguramiento de la calidad han sido desarrollados.

Instrumento: Trabajo práctico. Momento: Lo referente a las especificaciones y a la entrega del trabajo resuelto se explica en las Orientaciones Generales (sección III).


11


8

Lea el capítulo 19 “Auditoría de Aplicaciones”, con el objeto de llevar a cabo las auditorias pertinentes a sistemas de información y/o aplicaciones, lo cual le permitirá al estudiante centrarse en la compresión de las siguientes unidades a estudiar.

Estudie del capítulo 14 libro AI, Auditoría de Base de Datos (ABD) Páginas 311- 333, lo siguiente: - Metodología para la ABD: Metodología tradicional y de evaluación de riesgos. - Objetivos de control en el ciclo de vida de una BD: Estudio previo y plan de trabajo. Concepción de la BD y selección del equipo. Diseño y carga. Explotación y mantenimiento y otros procesos. - Auditoria y control interno en un entorno de BD: SGBD. SW de auditoría. Sistema (S) de monitorización y ajuste. SO. Monitor de transacciones. Protocolos y S distribuidos. Diccionarios de datos. H CASE. Facilidades de usuario. Herramientas de minería de datos.

Estudie del capítulo 18 del libro AI, Auditoría de Redes Páginas 423- 444, lo siguiente: Terminología de redes. Vulnerabilidades en redes. Protocolos de alto nivel. Redes abiertas (TCP/IP). Auditando la gerencia de comunicaciones. Auditando la red física. Auditando la red lógica. Construya un esquema que le proporcione la información pertinente para llevar a cabo la auditoría al sistema de estudio. Verifique el cumplimiento de las técnicas y los objetivos de control en el sistema de BD y/o el sistema físico y lógico de la red, presentes en un sistema de información.

Producto: La evaluación del sistema de base de datos y/o el sistema físico y lógico de la red, al sistema de información de estudio. Procedimiento: Se valorará: La correcta verificación del entorno en que

opera el sistema de gestión de BD y el cumplimiento de sus objetivos con la empresa.

La correcta verificación de la función de la gestión de redes y comunicaciones, y el cumplimiento con los objetivos de control.


9

Lea el capítulo 27 “El Contrato de Auditoría”, con el fin de obtener mayor información que le sirve de base al estudiante al momento de fundamentar el informe de auditoría.

Estudie el capítulo 4 del libro AI, El Informe de Auditoría Páginas 93 – 106.

Estudie el capítulo 7 del libro AI, Deontología del Auditor Informático y Códigos éticos Páginas 150 – 178.

Construya un esquema que le proporcione la información pertinente para elaborar el documento de auditoría del SI de estudio.

Verifique que el documento de auditoría contenga la información y los principios deontológicos y que se correspondan con el SI de estudio.

Producto: La evaluación del sistema de información en estudio, se llevará a través de un documento de auditoría debidamente fundamentado e incorporando los principios deontológicos presentes en el sistema auditado. Procedimiento: Se valorará la correcta: Organización de la información obtenida en

las unidades correspondientes a este módulo en el documento de auditoría, que permita la evaluación del sistema

Verificación de los principios deontológicos aplicables al SI en estudio.



12

V. BIBLIOGRAFÍA

Obligatoria Piattini, M.G. y del Peso, E [2001.] Auditoría Informática: Un Enfoque práctico. Madrid,

España. Editorial Ra-ma, Alfaomega Grupo Editor, S.A. 2da edición. Complementaria Material Instruccional de Apoyo, Sistemas de Información III. Echenique, José [2001]. Auditoría en Informática. México.. McGraw-Hill. 2da edición. Muñoz R, Carlos [2002]. Auditoría en Sistemas Computacionales. México. Pearson

Educación. Whitten, J y otros [1999]. Análisis y Diseño de Sistemas de Información. Colombia. Editorial Nomos S.A.

plan de curso 338

Education