MODULOS, OBJETIVO Y CONTENIDO MINIMO:

1. GESTION DE RIESGOS

• OBJETIVO.- Desarrollar métodos cualitativos y cuantitativos para efectuar un adecuado análisis de riesgo y en función a ello plantear una seria de estrategias de control de los objetivos del negocio y sus contramedidas, planificación de la auditoria y evaluación de los métodos utilizados por el Negocio para minimizar el impacto que podría ocasionarse a la Tecnología y al Negocio.

• CONTENIDO MINIMO:

1. Introducción a la administración de Riesgos
2. Roles y responsabilidades
3. Proceso de administración de Riesgos
4. Amenazas
5. Vulnerabilidades
6. Riesgos
7. Impactos
8. Controles y Contramedidas
9. Clasificación de los Activos de Información
10. Limites (Baselines) de control de Tecnología de información
11. Monitoreo y Comunicación
12. Documentación
13. NIST 800/30 – Los 9 pasos

2. AUDITORIA AL GOBIERNO DE TI - PLAN DE CONTINUIDAD DEL NEGOCIO(BCP)

• OBJETIVO.- Asegurar que el auditor de SI entienda y pueda dar garantía que la organización tiene establecidas la estructura, las políticas, los mecanismos de registro y las practicas de monitoreo para satisfacer los requerimientos del gobierno corporativo de TI.Asegurar que el Auditor entienda y pueda proveer garantía de que el caso de un interrupción, los procesos de continuidad del negocio y recuperación de desastres aseguren el reinicio a su debido tiempo de los servicios de TI mientras que se minimiza el impacto sobre el negocio.

• CONTENIDO MINIMO:

1. Gobierno Corporativo
2. Practicas de Monitoreo y Aseguramiento para la Dirección y Gerencia Ejecutiva.
3. Gobierno de Seguridad de la Información
4. Estrategias de Sistemas de Información
5. Políticas y procedimientos de Seguridad de la información
6. Administración de Riesgo
7. Administración del Personal
8. Practicas de Sourcing
9. Estructura Organizacional y Responsabilidades de SI
10. Segregación de funciones dentro de SI
11. Auditoria de la Estructura e Implementación de Gobierno de TI
12. Proceso del BCP
13. Política de continuidad del Negocio
14. Administración de incidentes dentro del BCP
15. Estrategias de Recuperación
16. Alternativas de Recuperación
17. Organización y Asignación de Responsabilidades
18. Componentes de un BCP
19. Pruebas del Plan
20. Respaldo (backup) y Recuperación
21. Auditoria al Plan de Continuidad del Negocio

3. AUDITORIA A LA GESTION DE SEGURIDAD DE TI BASADO EN LA ISO 27001-2

• OBJETIVO.- Asegurar que el auditor de SI entienda y pueda dar garantía que la organización tiene establecidas una adecuada Gestion de Seguridad, que permita mantener al mayor nivel los criterios de integridad, disponibilidad y confidencialidad, basado en la ISO NB 27001 - 2

• CONTENIDO MINIMO:

1. Política de Seguridad
2. Organización de la Seguridad
3. Clasificación de la Información
4. Controles físicos
5. Controles lógicos
6. Controles Ambientales
7. Plan de Contingencia
8. Adm. Problemas e incidentes
9. Cumplimiento.
10. ETC.

4. AUDITORIA A LA ADMINISTRACION DE DESARROLLO Y APLICACIONES

• OBJETIVO.- Asegurar que el auditor de SI, entienda y pueda proveer certeza de que las practicas de administración para el desarrollo, adquisición, pruebas, implementación, mantenimiento y eliminación de aplicaciones e infraestructura, cumplirán los objetivos de la organización.

• CONTENIDO MINIMO:

1. Realización del Negocio
2. Administración y Gestión de Proyectos
3. Desarrollo de aplicaciones de Negocio
4. Riesgos asociados con el Desarrollo de Software
5. Estrategias alternativas para el Desarrollo de Aplicaciones
6. Auditoria a cambios en programas
7. Adquisición de infraestructuras
8. Mantenimiento de los Sistemas de Información
9. Herramientas para el desarrollo de Sistemas (CASE)
10. Reingeniería del Proceso del Negocio
11. Auditoria del Desarrollo, adquisición y mantenimiento de Sistemas.
12. Banca Electrónica

5. AUDITORIA A LA GESTION DE SEGURIDAD FISICA DE LA INFORMACION

• OBJETIVO.- Asegurar que el auditor de SI entienda y pueda proporcionar garantía de que la arquitectura de seguridad (políticas, estándares, procedimientos y controles), asegure la confidencialidad, integridad y disponibilidad de los activos de información.

• CONTENIDO MINIMO:

1. Almacenar, recuperar, transportar y descartar información confidencial (Backups)
2. Auditoria de la Estructura de Seguridad de la Información
3. Auditoria de Seguridad de la infraestructura física
4. Auditoria de los Controles ambientales
5. Auditoria de los Controles de Acceso Físico
6. Auditoria de Sala de Equipos
7. Auditoria de CCTV
8. Ataques a la seguridad física de TI.
9. Computación móvil.
10. Auditoria a Help Desk
11. Auditoria de Cajeros Automáticos ATMs

6. AUDITORIA A LA INFRAESTRUCTURA DE REDES Y TELECOMUNICACIONES

• OBJETIVO.- Asegurar que el Auditor de SI, entienda y pueda proveer seguridad con relación a que las prácticas de gerencia aseguraran la entrega de los niveles de servicio requeridos para el soporte de los objetivos de la organización.

• CONTENIDO MINIMO:

1. Auditoria a las políticas de seguridad en Redes
2. Auditoria al Hardenning de Equipos de Red.
3. Mecanismos de Acceso Seguro a la Red (Radius y TACACS+)
4. Auditoria de Firewalls y Sistemas Detectores de Intrusos (IDS/IPS)
5. Auditoria a las configuraciones de seguridad en redes
6. Criptografia
7. Auditoria de VLANs
8. Auditoria de Redes inalámbricas
9. Auditoria a la Telefonía IP
10. Auditoria de Redes privadas virtuales (VPNs)

7. AUDITORIAS ESPECIALES

• OBJETIVO.- Desarrollar nuevas habilidades y conocimientos para aplicar AUDITORIAS ESPECIALES, que por su característica exigen asumir conocimientos apropiados para la colecta y determinación de los hallazgos de auditoría en TI.

• CONTENIDO MINIMO:
  Tipos de Auditorias Especiales:

1. Test de Penetración
2. Aud. Pre-Forense
3. Aud. Forense
4. Ciclo de vida del ataque informático
5. Técnicas de Ethical Hacking
6. Controles de seguridad informática
7. Hacking Wireless
8. Auditoria de CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informatica)
9. Tratamiento de escena del hecho
10. Aspectos Legales en la colecta y preservación de evidencia.

8. PROCESOS DE AUDITORIA DE SISTEMAS DE INFORMACION

• OBJETIVO.- Garantizar que el Auditor tenga los conocimientos necesarios para proporcionar servicios de auditoria de sistemas de información, en conformidad a los estándares, directrices y mejores practicas de SI para apoyar a la organización a validar que su tecnología de información y sus sistemas de negocio estén protegidos y controlados.

• CONTENIDO MINIMO:

1. Introducción a la Auditoria de SI
2. Riesgos de control en Auditoria de SI
3. Planeacion de la Auditoria de SI
4. Estándares y Directrices para la Auditoria de SI (ISACA)
5. Evaluación de Pistas de Auditoria lógica
6. Evaluación de Controles en TI (edición, validación, accesos, etc.)
7. Auditoria por procesos: Metodología COBISO – MATTA.
8. Auditoria a la Seguridad Lógica de la Información.
9. Auditoria a los controles automatizados (Aplicativo y BD)
10. Auditoria a los controles de aplicación
11. Evaluación de Controles de Accesos lógicos e Integridad en Datos (Pruebas de Cumplimiento y Sustantivas).
12. Uso de CAATs y NO CAATs (importancia y alcance)
13. Detección de Fraudes e irregularidades en Datos.
14. Control Self Assessment
15. Elaboración e informe de Hallazgos de Auditoria (método de las: 3C, E, R) y papeles de trabajo.
16. Comunicación de los resultados de Auditoria
17. Demostraciones y Prácticas con FULL HERRAMIENTAS

9. CONTROL INTERNO EN TI

• OBJETIVO.- Permitir un entendimiento común entre el auditor y el auditado respecto a las acciones de control interno en TI, basados en buenas prácticas, en estándares y directrices de SI para apoyar a la organización a validar que su tecnología de información y sus sistemas de negocio estén protegidos y controlados y minimicen los riesgo para cumplir los objetivos del negocio.

• CONTENIDO MINIMO:

1. Introducción
2. Control Interno en TI
3. Clasificación del Control Interno
4. Implementación de los Controles
5. Metodologías: COBIT, ISO 27001, etc.
6. Tips de control interno en TI, basados en la metodología COBISO
7. Taller con Cobit
8. Taller con ISO 27001- 27002

10. TALLER AUDISIS 100% PRÁCTICO, CON TECNICA COBISO MATTA Y USO DE CAATTs

EXAMEN Y APROBACION

o Las pruebas son elaboradas bajo el mismo método de los exámenes anuales para optar la certificación internacional CISA, CISM de ISACA

o Al final de cada Modulo, se tomaran exámenes-modelo vía AULA VIRTUAL de 10 a 15 preguntas, modalidad AUTOEVALUACION, como también debe realizarse el Taller final (Evaluaciones, casos de estudio y talleres, generan 20 puntos ponderados).

o Y al final del curso (15 días hábiles después) se tomara un examen que incluya todos los módulos, compuesto por 100 preguntas en 2.5 Hrs. Nota mínima de aprobación 65 ptos, sumándose la NOTA PONDERADA, señalado en el punto anterior.

o El participante que NO apruebe o NO se presente al examen final, podrá presentarse nuevamente en la fecha del examen final del siguiente curso o se programara una fecha en un plazo máximo de 90 días, previo pago de $us. 50.- (costos administrativos)

o Todos lo participantes que tengan una asistencia presencial mayor al 75% de la carga horaria, se harán acreedores a un Certificado de Participación.

CARGA HORARIA