UNIVERSIDAD DE ESPECIALIDADES ESPÍRITU SANTO FACULTAD DE SISTEMAS Y TELECOMUNICACIONES SYLLABUS VERSIÓN ESPAÑOL FOR DAC 11 VER 27 04 09 MATERIA: AUDITORIA DE SISTEMAS CÓDIGO: UCOM411 Paralelo: 21 NOMBRE DEL PROFESOR/A: ING. JOSÉ LAÌNEZ ROMÁN CRÉDITOS: 3 No HORAS PRESENCIALES: 48 No HORAS NO PRESENCIALES: 12 AÑO: 2011 PERÍODO: INTENSIVO I 2012 DÍAS: 9 DE ENERO DE 2012 A 6 DE MARZO DE 2012 HORARIO: LUNES A JUEVES DE 19:30 A 20:50 AULA: G - 101 Fecha elaboración syllabus: 13 DE DICIEMBRE DE 2011 1.- DESCRIPCIÓN La auditoría de sistemas, es la ciencia que se ocupa de realizar el análisis y recomendaciones de la planificación, ejecución y seguimiento en el área informática de una organización para contar con una gestión adecuada y que soporte los procesos de negocios de dicha organización, y los objetivos estratégicos de la misma. 2.- JUSTIFICACIÓN La auditoría informática, justifica su presencia dentro de un pensum de ingeniería de sistemas, con el objetivo de que el profesional consiga una clara concepción de manera global y a detalle de los planes, políticas y ejecución de las mismas para precautelar la seguridad de información, y que la infraestructura, procesos y sistemas sean un verdadero soporte para una organización. 3.- OBJETIVOS GENERALES Conseguir un conocimiento global y a detalle de los planes, políticas y acciones de seguridad, organización, y cumplimiento de los objetivos de un departamento de informática para que cumpla con las expectativas de una organización y soporte sus procesos de negocios 4.- OBJETIVOS ESPECIFICOS Hacer una evaluación inicial de conocimientos en varias áreas de informática Conocer las normas y estándares internacionales de seguridad de la información. Conocer los modelos y metodologías de gobierno y organización de una infraestructura y personas relacionadas con el manejo de tecnologías de información de una organización. Establecer un conjunto de buenas prácticas para el manejo de sistemas, que se encuentran fuera de las normas y estándares, de acuerdo a los tiempos de giro de negocios de las empresas, aplicado a Ecuador. Conocer la teoría y la metodología para una correcta gestión de riesgos informáticos Manejar al detalle la metodología y estructura de una auditoría de sistemas Realizar un proyecto que clarifique y aplique los conocimiento adquiridos, brindando un conjunto de soluciones reales 4.- COMPETENCIAS Al finalizar esta asignatura cada alumno debe ser competente para: 1. Establecer un plan informático completo para una organización 2. Llevar un correcta gestión de riesgos informáticos 3. Manejar las normas y estándares más aceptados a nivel internacional para la gestión de seguridad, gobierno y gestión de tecnologías de información 4. Conocer las mejores prácticas aplicables de acuerdo a distintos modelos de negocios y tipos de empresas en el Ecuador 5. Aplicar los conceptos y conocimientos adquiridos en un proyecto real 5.- CONTENIDO PROGRAMÁTICO Fecha Contenidos Cantidad de horas 1.5 Evaluación inicial y conceptos Evaluación inicial y conceptos Establecer un plan informático completo para una organización Presentación del curso y verificación de nivel de conocimientos Conceptos introductorios Conceptos introductorios Conceptos y metodología para realizar un plan informático Forma de evaluación No aplica 1.5 No aplica 1.5 No aplica 1.5 No aplica 16/01/2012 Establecer un plan informático completo para una organización Conceptos y metodología para realizar un plan informático 1.5 No aplica 17/01/2012 Aplicar los conceptos y conocimientos adquiridos en un Presentar el proyecto del curso 1.5 Proyecto final de curso 09/01/2012 10/01/2012 11/01/2012 12/01/2012 Competencias específicas Evaluación inicial proyecto real 18/01/2012 Establecer un plan informático completo para una organización 19/01/2012 Establecer un plan informático completo para una organización 23/01/2012 Llevar una correcta gestión de riesgos informáticos 24/01/2012 Conceptos y metodología para realizar un plan informático, orientado a casos específicos de industrias Conceptos y metodología para realizar un plan informático orientados a casos específicos de comercios y empresas de servicios Conceptos y metodología para elaborar un correcto plan de riesgos informáticos 1.5 Caso práctico 1.5 Caso práctico 1.5 No aplica Llevar una correcta gestión de riesgos informáticos Conceptos y metodología para elaborar un correcto plan de riesgos informáticos, y su relación con las distintas normas de seguridad informática 1.5 No aplica 25/01/2012 Llevar una correcta gestión de riesgos informáticos 1.5 Caso práctico y control de lectura 26/01/2012 Llevar una correcta gestión de riesgos informáticos 1.5 Caso práctico y control de lectura 30/01/2012 Aplicar los conceptos y conocimientos adquiridos en un proyecto real Conceptos y metodología para elaborar un correcto plan de riesgos informáticos, con un caso práctico Conceptos y metodología para elaborar un correcto plan de riesgos informáticos, con un caso práctico Verificar avance del proyecto final en primera entrega 1.5 Exposiciones y preguntas de toda la clase y profesor 31/01/2012 Aplicar los Verificar avance del 1.5 Exposiciones y conceptos y conocimientos adquiridos en un proyecto real 01/02/2012 02/02/2012 proyecto final en primera entrega preguntas de toda la clase y profesor Evaluación Primer parcial Revisión de Revisión evaluación Manejar las normas Distintos modelos y y estándares más estándares de aceptados a nivel seguridad, gobierno y internacional para la gestión de TICs, gestión de seguridad, basados en estándares gobierno y gestión internacionales, uso de tecnologías de de ISO 17799 información 1.5 1.5 Examen escrito Revisión 1.5 No aplica 07/02/2012 Manejar las normas Distintos modelos y y estándares más estándares de aceptados a nivel seguridad, gobierno y internacional para la gestión de TICs, uso gestión de seguridad, de ISO 17799 gobierno y gestión de tecnologías de información 1.5 Control de lectura 08/02/2012 Manejar las normas Distintos modelos y y estándares más estándares de aceptados a nivel seguridad, gobierno y internacional para la gestión de TICs, uso gestión de seguridad, de PCI gobierno y gestión de tecnologías de información 1.5 No aplica 09/02/2012 Manejar las normas Distintos modelos y y estándares más estándares de aceptados a nivel seguridad, gobierno y internacional para la gestión de TICs, uso gestión de seguridad, de PCI gobierno y gestión de tecnologías de información 1.5 control de lectura 13/02/2012 Manejar las normas y estándares más 1.5 Caso práctico 06/02/2012 Distintos modelos y estándares de aceptados a nivel seguridad, gobierno y internacional para la gestión de TICs, uso gestión de seguridad, de COBIT e ITIL gobierno y gestión de tecnologías de información 14/02/2012 Manejar las normas Distintos modelos y y estándares más estándares de aceptados a nivel seguridad, gobierno y internacional para la gestión de TICs, uso gestión de seguridad, de COBIT e ITIL gobierno y gestión de tecnologías de información 1.5 Caso práctico 15/02/2012 Conocer las mejores prácticas aplicables de acuerdo a distintos modelos de negocios y tipos de empresas en el Ecuador Normas y regulaciones de Ecuador en cuanto a seguridad de información 1.5 No aplica Normas y regulaciones de Ecuador en cuanto a seguridad de información 1.5 No aplica Manejar las normas y estándares más aceptados a nivel internacional para la gestión de seguridad, gobierno y gestión de tecnologías de información 16/02/2012 Conocer las mejores prácticas aplicables de acuerdo a distintos modelos de negocios y tipos de empresas en el Ecuador Manejar las normas y estándares más aceptados a nivel internacional para la gestión de seguridad, gobierno y gestión de tecnologías información de 22/02/2012 Conocer las mejores Conocimientos y prácticas aplicables experiencias de otras de acuerdo a empresa que han distintos modelos de pasado por procesos negocios y tipos de de auditoría de empresas en el sistemas Ecuador 1.5 Control de lectura 23/02/2012 Conocer las mejores Conocimientos y prácticas aplicables experiencias de otras de acuerdo a empresa que han distintos modelos de pasado por procesos negocios y tipos de de auditoría de empresas en el sistemas Ecuador 1.5 Caso práctico 27/02/2012 Conocer las mejores Conocimientos y prácticas aplicables experiencias de otras de acuerdo a empresa que han distintos modelos de pasado por procesos negocios y tipos de de auditoría de empresas en el sistemas Ecuador 1.5 Caso práctico 28/02/2012 Aplicar los conceptos y conocimientos adquiridos en un proyecto real proyecto final 1.5 Exposiciones y preguntas de toda la clase y profesor 29/02/2012 Aplicar los conceptos y conocimientos adquiridos en un proyecto real proyecto final 1.5 Exposiciones y preguntas de toda la clase y profesor 01/03/2012 Aplicar los conceptos y conocimientos adquiridos en un proyecto real proyecto final 1.5 Exposiciones y preguntas de toda la clase y profesor 05/03/2012 Evaluación 1.5 06/03/2012 Revisión de evaluación Examen segundo parcial revisión Examen escrito práctico Revisión 1.5 6.- METODOLOGÍA Dentro del aula El ingreso de los estudiantes al aula de clases debe ser puntual, con un rango máximo de 10 minutos para que puedan ingresar. Al inicio de cada clase se hará un repaso de lo tratado en la clase anterior, y al final de la misma se procederá a realizar un resumen y definir los objetivos del capítulo tratado. Al final de la clase se proporcionará los datos de la lectura necesaria parea profundizar lo tratado en clase, lo cual se revisará al inicio de la clase siguiente. Participación activa de los estudiantes mediante talleres de trabajo durante casi cada capítulo. Queda terminantemente prohibido hacer uso de teléfonos celulares dentro de clases o realizar cualquier otra actividad fuera de ella, sin que ésta sea absolutamente necesaria, previa autorización del profesor. Descripción del tipo de trabajos requeridos Al inicio del curso se enviará un Proyecto, el cual deberá ser desarrollado en grupos de trabajo (máximo 4 personas dependiendo del número de estudiantes) y de manera simultánea al avance de la materia. Los temas deben ser innovadores, factibles de ejecutarlos y dirigidos a la construcción de software. Su entrega estará pautada en dos partes: la primera parte, que corresponde a la parte de conceptualización, planificación y diseño lógico del proyecto, deberá ser expuesto en clase y entregar el primer borrador la semana de exámenes de primer parcial, y la segunda restante, la última semana de clases. Participación en clase Además de la presentación del producto terminado del Proyecto, los estudiantes deberán realizar exposiciones de los avances parciales del trabajo y justificar su trabajo de cada uno de los participantes, para evitar integrantes que se aprovechen del resto. En los capítulos se enviarán casos prácticos para ser desarrollados en casa y revisados en clase. Se requiere de laboratorio para hacer talleres y prácticas. En cada uno de los puntos del programa académico se usará andragogía descriptiva y explicativa por parte del profesor, luego de lo cual los alumnos desarrollarán casos prácticos. 7.- EVALUACIÓN Controles de lectura Talleres Proyecto Examen Sobre 100 Sobre 100 Sobre 100 Sobre 100 7.1 Criterios de Evaluación Los criterios de evaluación serán los siguientes: Asistencia a clases y participación Nivel de manejo de conceptos adquiridos en el curso Aplicación práctica de teoría aprendida en el curso mediante casos Manejo de situaciones y trabajo grupal Liderazgo de grupo de trabajo al que sea asignado Consecución de objetivos de proyecto final grupal Investigaciones y nuevos aportes para la clases realizadas por el alumno(a) 7.2 Indicadores de Desempeño Porcentaje de clases asistidas Promedio de intervenciones en clase Cantidad de preguntas contestadas en clase con respecto a conceptos impartidos Cantidad de ejercicios prácticos de diseño y construcción realizados correctamente Acciones lideradas por el alumno para conseguir objetivos de proyecto del grupo Cantidad de preguntas contestadas correctamente y coherentemente con el resto de los alumnos del grupo de trabajo Porcentaje de retención de preguntas 7.3 Ponderación Trabajos: Nota primer parcial = Promedio de nota de avance de trabajo de grupo, más controles de lecturas más notas de actividades en clase. Nota segundo parcial = Promedio de nota de trabajo final de grupo, más controles de lecturas más notas de actividades en clase. Nota final: Primer parcial =Promedio de nota de examen más promedio de nota de trabajos Segundo parcial =Promedio de nota de examen más promedio de nota de trabajos 8.- BIBLIOGRAFÍA 8.1 Bibliografía Básica PCI SECURITY STANDARD COUNCIL; PCI Norma de seguridad de datos. 78 páginas ISO Council; ISO/IEC 17799. 170 páginas ITIL Metodología estándar COBIT Metodología Estándar 8.2 Bibliografía Complementaría 8.3 Folletos 8.4 Páginas WEB 9.- DATOS DEL PROFESOR/A NOMBRE José Francisco APELLIDOS Laínez Román Ingeniero Informático de Gestión Magister en Nuevos Negocios Magister en dirección estratégica de TICs Diplomado en administración (cursando) Gerenciamiento y comercialización de proyectos tecnológicos y de consultoría de procesos 11 años 042348472 - 042688313 (08) 4365296 [email protected] [email protected] PROFESION UNIVERSITARIA AREA DE ESPECIALIZACION EXPERIENCIA EN EL AREA TELEFONO CELULAR E-MAIL 10.- FIRMA DEL PROFESOR Y EL DECANO/A Ó DIRECTOR/A Ing. Antonio Cevallos Decano Ing. José Laínez Román Profesor