curricula cisa

7/31/2019 Curricula CISA

1/62


2/62

ISACA Model Curriculum for IS Audit and Control

2

Information System Audit and Control Association Con ms de 35000 miembros en ms de 100 pases, la Information System Audit and Control Association(ISACA) (www.isaca.org) es un reconocido lder mundial en gobernabilidad de TI, control, seguridad yaseguramiento. Fundado en 1969, la ISACA patrocina conferencias internacionales, publica elInformation SystemsControl Journal (el Diario de Control de Sistemas de Informacin), desarrolla estndares internacionales deauditora y control de sistemas de informacin y administra el globalmente reconocido Certified Information

Systems Auditor (CISA) designacin obtenida por ms de 35000 profesionales desde el inicio y la designacindel Certified Information Security Manager (CISM), una innovadora credencial ganada por 5000 profesionalesen sus primeros dos aos.

NegacinLa Information System Audit and Control Association y los autores han diseado y creado esta publicacin, tituladaISACA Model Curriculum for IS Audit and Control (Modelo acadmico para la Auditora y Control de Sistemas deInformacin) principalmente como un recurso educativo para los profesionales acadmicos, profesionales deaseguramiento y profesionales de control. La ISACA no garantiza que el uso de este producto asegure un resultadoexitoso. Esta publicacin no debe ser considerada como parte de ninguna informacin, procedimientos yevaluaciones formal o excluida de otra informacin, procedimientos y evaluaciones que son razonablementedirigidas para obtener los mismos resultados. Para determinar la propiedad de cualquier procedimiento o evaluacin,los profesionales de seguridad y control debern usar su juicio profesional para cada circunstancia especfica decontrol presentada en un sistema particular o en el ambiente de tecnologa de informacin.

Copias del plan de estudio modelo estn disponibles sin costo para todos los miembros de la ISACA, colegios yuniversidades y pueden ser obtenidas en www.isaca.org. Copias impresas estn disponibles por una pequeacantidad a travs de la librera de la ISACA. Enve un e-mail a [email protected] ms detalles.

AccesoDerechos de autor 2004 por la Information System Audit and Control Association. Todos los derechos sonreservados. Permiso expreso para reimpresin o reproduccin es concedida solamente a las instituciones acadmicascon fines educativos, y debe incluir un reconocimiento completo de la fuente del material . Ningn otro derecho opermiso es concedido con respecto a este trabajo.

Information System Audit and Control Association3701 Algonquin Road, Suite 1010

Rolling Meadows, IL 60008, USAPhone: +1.847.253.1545Fax: +1.847.253.1443E-mail: [email protected] sites: www.isaca.org

ISBN 1-893209-85-7ISACA Model Curriculum for IS Audit and ControlImpreso en los Estados Unidos de Amrica


3/62


3

Reconocimiento

ISACA desea reconocer a:

El Consejo de Fideicomisarios por su apoyoMarios Damianides, CISA, CISM, CA, CPA, Ernst & Young, LLP, USA, International President

Abdul Hamid Bin Abdullah, CISA, CPA, Auditor Generals Office, Singapore, Vice PresidentRicardo J. Bria, CISA, SAFE Consulting, Argentina, Vice PresidentEverett C. Johnson, CPA, Deloitte & Touche LLP, USA, Vice PresidentDean R.E. Kingsley, CISA, CISM, CA, Deloitte Touche Tohmatsu, Australia, Vice PresidentEddy Schuermans, CISA, PricewaterhouseCoopers LLP, Belgium, Vice PresidentRobert S. Roussey, CPA, University of Southern California, USA, Past International PresidentPaul A. Williams, FCA, MBCS, Paul Williams Consulting, United Kingdom, Past International PresidentEmil G. DAngelo, CISA, Bank of Tokyo-Mitsubishi, USA, TrusteeRonald Saull, CSP, The Great-West Life Assurance Company, Canada, TrusteeErik Guldentops, CISA, CISM, Advisor IT Governance Institute

Miembros de la Comisin de Trabajo del Modelo AcadmicoChair, Alan T. Lord, Ph.D., CISA, CPA, Bowling Green State University, USAJos Roberto Alpzar Fallas, CPA, Universidad de Costa Rica, Costa Rica

Peter Best, Ph.D., CPA, CA, FCP, Q.U.T. Accountancy, AustraliaJ. Efrim Boritz, Ph.D., CISA, FCA, University of Waterloo, CanadaAllen Bragan, CISA, CPA, CGFM, DABFA,University of Alabama, USARichard Fisher, CISA, CA, CMA, Lincoln University, New ZealandFrederick Gallegos, CISA, CGFM, California State Polytechnic University, USAS. Michael Groomer, Ph.D., CISA, CPA, CITP, Indiana University, USARodger Jamieson, Ph.D., CPA, CA, University of New South Wales, AustraliaDong Soo Lee, CISA, Jeongwoo Infotech Co., Ltd., KoreaEdmundo Marroquin Tovar, CISA, Universidad Panamericana, MxicoK. Subramanian, Ph.D., CAG/NIC, IndiaWim Van Grembergen, Ph.D., University of Antwerp, BelgiumMargaret E. van Biene-Hershey, VrijeUniversity, NetherlandsG. (John) van der Pijl, Ph.D., Erasmus University, NetherlandsHiroshi Yoshida, Ph.D., Nagoya Bunri University, Japan

Comit de Relaciones AcadmicasChair, Alan T. Lord, Ph.D., CISA, CPA, Bowling Green State University, USAAnjay Agarwal, CISA, ACS, CA, CFE, CIA, Anjay Agarwal & Co., IndiaRosemary Amato, CISA, CMA, CPA, Deloitte & Touche LLP, NetherlandsAshutosh Deshmukh, Ph.D., CISA, CA, CFE, Pennsylvania State University, USAPeter Edwards, Ph.D., University of Sydney, AustraliaRegina Garza Roche, Gobierno del Estado de Yucatn Secretara De la Contralora General, MxicoWanbil William Lee, Caritas Francis Hsu College, Hong KongBalint Molnar, Ph.D., CISA, MTA IT Foundation, HungaryRandall Craig Reid, Ph.D., CISA, CISSP, University of West Florida, USAKaustav Sen, Ph.D., CISA, Pace University, USASmita Dilip Totade, Ph.D., CISA, CISM, National Insurance Academy, IndiaWoon (Dan) Kwan Tse CISA, CISM, CISSP, City University, Hong KongMarkus Warncke, CISA, CIA, CFE, CCSA, Villeroy & Boch AG, Germany

Traductores

Estudiantes del Programa de Maestra en Contabilidad 2004-2005,Bowling Green State University, USAMichelle Carolina HemleppIvn NegrnJafet Pabn


4/62


4

Tabla de ContenidosPginas

1.ANTECEDENTES 5

2.DESARROLLO DEL PLAN DE ESTUDIO DE LA ISACA 8

3.USO DEL PLAN DE ESTUDIO DE LA ISACA 11

4.PLAN DE ESTUDIO MODELO PARA LA AUDITORA Y CONTROL DE SI 13

ANEXO 1.IMPORTANCIA DEL PLAN DE ESTUDIO DE LA ISACA PARA EL MARCOCONCEPTUAL DEL COBIT 19

ANEXO 2.DESTREZAS SUPLEMENTARIAS SUGERIDAS DE LOS AUDITORES DE SI 20

ANEXO 3.TABLA DE CONFORMIDAD CON EL PLAN DE ESTUDIO DE LA ISACA PARA

LA AUDITORA Y CONTROL DE SI 21

ANEXO 4.EJEMPLOS DE COMO DISEARPROGRAMAS PARA EL PLAN DE ESTUDIOMODELO DE LA ISACA EN LA TABLA DE CUMPLIMIENTO 30

ANEXO 5.ACRNIMOS 61

ANEXO 6.REFERENCIAS 62


5/62


5

1. Antecedentes

Historia de la ISACA

La evolucin de la de tecnologa de informacin (TI) afecta el ambiente de negocios de manerasignificativa. Esta evolucin cambia las prcticas de negocios, reduce costos y altera la maneraen que los sistemas deben ser controlados. Adicionalmente, incrementa el nivel de conocimientoy destrezas requeridos para controlar y auditar sistemas de informacin e incrementa lanecesidad de profesionales bien educados en los campos de gobernabilidad, aseguramiento,seguridad y control de los sistemas de informacin (SI). Esta necesidad fue reconocida por laasociacin fundada en 1969 que ahora se conoce como la Information Systems Audit andControl Association (ISACA).

ISACA fue inicialmente formada, y continua existiendo, para satisfacer las nicas y diversasnecesidades de alta tecnologa en el continuamente desarrollado campo de la tecnologa deinformacin. En una industria donde el cambio es constante, ISACA se ha movido con agilidad y

rapidez para conectar las necesidades de la comunidad de negocios internacionales con lacomunidad de control de tecnologa de informacin.

ISACA ha llegado a ser la organizacin lder en gobernabilidad de tecnologa de informacin,aseguramiento, seguridad y control. Los aproximadamente 35000 consultores, profesionales deseguridad, auditores de SI y altos ejecutivos que hacen ISACA han establecido 160 captulosdispersos en ms de 65 de 100 pases representados por la membresa. En las tres y mediadcadas desde su comienzo, ISACA ha llegado a ser la organizacin que fija el ritmo deprofesionales de gobernabilidad de informacin, aseguramiento, seguridad y control. Suauditora de SI y estndares de control de SI son seguidos por practicantes alrededor del mundoy su certificacin, Certified Information System Auditor (CISA), es reconocida globalmente y

obtenida por ms de 30000 profesionales. La recientemente desarrollada certificacin deCertified Information Security Manager (CISM) orientada nicamente a la audiencia deseguridad de informacin. Adicionalmente, ISACA publica el Information Systems ControlJournal, una revista lder en el campo de control de informacin y patrocina una serie deconferencias internacionales enfocadas en temas tcnicos y gerenciales. Juntos, ISACA y su ITGovernance Institute afiliado dirigen a la comunidad de control de tecnologa de informacin ysirve a sus practicantes proveyendo los elementos necesarios a travs de profesionales de TI en elsiempre cambiante ambiente del mundo.

Necesidad de un Plan de EstudioPor varios aos empleadores han estado buscando cubrir posiciones con profesionales encontabilidad y aseguramiento que posean una educacin en auditora, control e informacintecnolgica y se espera que la demanda crezca en el futuro. Con frecuencia los empleadores hantenido dificultad en localizar suficiente nmero de candidatos adecuadamente preparados paralos puestos vacantes. Los profesionales que s poseen la educacin requerida, usualmenteobtienen su educacin formal en auditora de sistemas de informacin en una de estas tresmaneras:


6/62


6

Participacin en una mezcla de entrenamiento laboral y programas internos. Este mtodo deeducacin requiere que un profesional sea un empleado de una organizacin y es msapropiado donde la tecnologa presentada ha sido adoptada e implementada por unaorganizacin particular. El entrenamiento laboral y los programas internos se ajustan paraproporcionar a los empleados la educacin en un rea bien definida y con enfoque limitado,

pero no se ajustan para ofrecer una educacin con bases amplias para los participantes. Participacin en talleres/seminarios presentados por organizaciones profesionales o

comerciales. Este mtodo est disponible para profesionales de diferentes organizaciones y esvalioso en presentar informacin que es nueva o en explorar varios acercamientos a losproblemas de la auditora de SI. En el ambiente de talleres/seminarios, el grupo puedecompartir perspectivas no disponibles por un solo instructor. Sin embargo, lostalleres/seminarios son usualmente ms costosos, quitan tiempo de oficina y no proveenprofunda capacidad tcnica y prctica requerida en auditora de SI. ISACA es bienreconocida por el desarrollo y ofrecimiento de talleres y seminarios de alta calidad.

Participacin en programas de ttulo universitario o certificados que estn dictados en unambiente estudiantil ya sea a tiempo completo o tiempo parcial. Estos programas pueden

conducir a ttulos de bachillerato, pos grados, certificados o diplomas especializados. Estees el mtodo que puede proveer a los profesionales (o futuros profesionales) la ms profunday amplia experiencia educativa. Por eso, ste es el mtodo que la ISACA ha seguido con elcurrculo.

Normalmente, los estudiantes que desean ingresar a la profesin de auditora de sistemas deinformacin, y carecen de experiencia en negocios, buscan obtener conocimiento, destrezas yhabilidades requeridas por medio de trabajo en cursos de negocios complementado con prcticaslaborales. Alrededor del mundo, las universidades estn intentando suplir la creciente demandade los empleadores al preparar a los estudiantes para la profesin de auditora de sistemas. Alnivel universitario bsico, algunas universidades han empezado a integrar cursos de sistemas de

informacin (SI) en los programas de contabilidad y negocios, y cursos de contabilidad ynegocios en los programas de SI. Al nivel de postgrado, algunas universidades han desarrolladoprogramas de aseguramiento ms enfocados en SI. Sin embargo, con frecuencia, lasuniversidades se basan en los programas de contabilidad o sistemas de informacin existentespara preparar a los estudiantes para la profesin de auditora de sistemas de informacin.Desafortunadamente, los programas de contabilidad y de sistemas de informacin tradicionales,por si solos pueden ser inadecuados para satisfacer las necesidades de los empleadores. Latctica histrica y ms comn para este tipo de educacin es hacer que los estudiantes tomen ungrupo de cursos esenciales de negocios y otros cursos seleccionados en una especialidad. (exp.,contabilidad, sistemas de informacin o ciencias de la computacin) y luego los estudiantespueden tomar uno o dos cursos en una segunda rea, como SI o contabilidad, usualmente sin

coordinacin de los contenidos de los cursos entre las diferentes disciplinas.Los auditores de sistemas de informacin necesitan ser capaces de hacer frente al ritmo decambios rpidos de tecnologa y ponerse al da regularmente con conocimiento tcnicocompetente. Eventos recientes, regulaciones gubernamentales y cambios el los procesos denegocios han afectado el rol de la auditora de SI y la metodologa que los auditores usan. Poreso, la profesin de auditora de SI debe entender las nuevas tecnologas, ser capaz de determinarsu impacto en el proceso de control y los procedimientos de auditora y comunicar claramente


7/62


7

que las herramientas y tcnicas de recoleccin de evidencia han sido desarrolladas. El modeloacadmico no slo toma en consideracin los desafos tecnolgicos, sino tambin los asuntosrelacionados con el mejoramiento de las habilidades orales y escritas.

As, uno de los propsitos del modelo acadmico para la educacin en auditora de SI es enfocar

el nivel de educacin formal ofrecida en las universidades. Este modelo est basado en lasnecesidades y expectativas de la profesin de control y auditora de SI y se basa en previasinvestigaciones de acadmicos, practicantes, organizaciones de auditora y organizacionesprofesionales. Uno de los objetivos es identificar los componentes fundamentales del curso deauditora y control de SI para que las universidades puedan educar estudiantes en carreras en laprofesin de auditora y control de SI y asistir estudiantes para que lleguen a ser competitivos enla profesin. Aunque los estudiantes no posean experiencia laboral real, los temas identificadosen el modelo han sido seleccionados para que proporcionen a los estudiantes de pos gradodestrezas y habilidades para la profesin. El modelo asocia las ofertas acadmicas con lasnecesidades de la profesin y provee un marco a las universidades y organizacionesprofesionales que estn desarrollando cursos o rediseando cursos ofrecidos actualmente.

ISACA reconoce que las organizaciones educativas, ya sean universidades u otrasorganizaciones profesionales, van a tener fortalezas, debilidades y obstculos que debern serconsiderados para desarrollar un plan de estudio. Como resultado, cada organizacin educativava a capitalizar en sus fortalezas (como el talento o intereses de un educador) y querrminimizar los efectos de sus debilidades (e.g., recursos limitados de los educadores para enseartemas en particular) u obstculos (e.g., la cantidad de cursos dentro de un programa que puedenser dedicados a los temas de auditora y control de SI). Entonces, no es realista esperar que unainstitucin sea capaz de cubrir todos los temas y sub-temas al nivel presentado en este modelo.La ISACA considerar la transferencia de horas dedicadas en otras reas, que sean en exceso alas recomendadas, en la evaluacin de cumplimiento con el modelo. El formato, arreglo ycontenido del plan de estudio propuesto va a variar dependiendo de la acreditacin de launiversidad y los requerimientos del gobierno.

ConclusinLa profesin de auditora y control de SI contina evolucionando. La publicacin del ITGIControl for Information and related Technology (COBIT) es un ejemplo de los objetivos decontrol de informacin tecnolgica que confrontan la gerencia, auditores, profesionales de SI yusuarios. Las universidades e instituciones educativas deben entender las necesidades de lacomunidad profesional para proporcionar al mercado graduados que posean las destrezasrequeridas y el conocimiento que los profesionales necesitan. El modelo acadmico de laISACA proporciona a las universidades un marco conceptual bsico sobre de la educacin

requerida para desarrollar las destrezas necesarias en la profesin.

En el ambiente de negocios basado en informacin, profesionales de negocios que sontcnicamente competentes in SI, o especialistas en SI que entienden contabilidad, comercio uoperaciones financieras, estn en gran demanda para carreras en auditora de SI. El especialistaen SI y el auditor de SI deben recibir capacitacin contnua para actualizar sus conocimientos,destrezas y habilidades. Las universidades con el plan de estudios apropiado pueden educarcandidatos que pueden ser empleados en auditora y control de SI. Una universidad proactiva que


8/62


8

patrocina un plan de estudios en auditora y control de SI es muy apreciada por los profesionalesque desean cambiar sus carreras o actualizar sus destrezas para mejoramiento en el trabajo. ElISACA 2004 Model Curriculum for Information Systems Auditing and Control se puede vercomo un razonable y comprensivo conjunto de temas relacionados con un programa ideal deauditora y control de SI. El modelo acadmico provee a las universidades alrededor del mundo

la meta de trabajar para suplir la demanda de educacin de futuros profesionales en SI.Adicionalmente, el modelo puede servir para aquellos que estn interesados en la educacin deauditora de SI as como las instituciones educativas alrededor del mundo que estndesarrollando un plan de estudios en auditora y control de SI .

2. Desarrollo del Plan de Estudio de la ISACA

ISACA ha reconocido por mucho tiempo la importancia de tener un modelo acadmico paraasistir en el desarrollo de programas para profesionales aspirantes al aseguramiento de SI, ypuso a disposicin el primer modelo en Marzo de 1998. Un comit mundial que representa

docentes de 15 escuelas de pregrados y pos grados y practicantes de 20 compaas estuvoinvolucrado en el desarrollo del modelo, y otros especialistas de la ISACA que representan losintereses de investigacin, estndares, educacin y certificacin lo revisaron. El modelo fuebasado en las necesidades y expectativas de la profesin de auditora de SI y la previainvestigacin de acadmicos, practicantes, organizaciones de auditora y sociedadesprofesionales. El modelo acadmico fue considerado un documento viviente que debe sercontinuamente actualizado.

En los ltimos aos, asuntos que fueron identificados llevaron a la conclusin de que el plan deestudio modelo necesitaba actualizacin. El mejoramiento tecnolgico y la alta instruccin encomputadoras de los estudiantes hicieron que los cursos recomendados y los cursos impuestos

sean obsoletos. Nuevas tecnologas, que segn los profesionales de aseguramiento de TI eranimportantes en su educacin, no existan cuando el modelo fue creado. Hubo temas enfatizadosen el modelo que ahora son aceptados como parte de la instruccin en computadoras que poseenmuchos de los estudiantes. El modelo fue presentado de acuerdo a cursos que seran ofrecidos eninstituciones, pero actualmente, las universidades y organizaciones profesionales impartenprogramas educativos que usan una amplia variedad de formatos y estructuras.

En marzo del 2000, el Comit de Relaciones Acadmicas de ISACA estableci una comisin detrabajo responsable de la actualizacin del modelo acadmico original. Un esfuerzo dereclutamiento mundial fue lanzado para identificar a miembros de la ISACA que estabancalificados e interesados en formar esta comisin de trabajo. En ltima instancia 15 individuos

aceptaron la invitacin de colaborar. La comisin de trabajo predominantemente se compuso deacadmicos a tiempo completo, sin embargo, varios auditores profesionales de SI que estabaninteresados en el desarrollo del modelo tambin fueron miembros. Durante el proceso deseleccin de la comisin de trabajo, se hizo el esfuerzo para asegurar una representacin mundialde la membresa de ISACA y el resultado fue que los miembros de la comisin de trabajorepresentaron a 11 pases en cinco continentes. La declaracin de la misin para la comisin detrabajo del nuevo modelo acadmico fue:


9/62


9

Determinar si el modelo acadmico acadmico continua satisfaciendo las necesidadesactuales de la profesin de auditora de SI

Identificar los cursos componentes adicionales para satisfacer esas necesidades, o los cursospor ser eliminados

Actualizar las descripciones de cursos especficos en el Anexo del modelo actual

Hacer cualquier revisin necesaria para reconciliar el modelo acadmico con la ms recienteedicin de COBIT, as como las reas de contenido actuales de CISA Formular un plan para estimular el inters actual y futuro de universidades en el modelo

acadmico de la ISACA Crear un procedimiento para que las universidades presenten sus programas a la ISACA para

revisin y confirmacin del cumplimiento con el modelo acadmico, y cuando elcumplimiento sea garantizado, mostraresa informacin en la pagina Web de la ISACA

Establecer un proceso de renovacin para reevaluacin de programas universitarios queasegure el cumplimiento con el modelo acadmico de la ISACA.

Una vez que la comisin de trabajo fue iniciada, sta concluy rpidamente que una mejor

alternativa al "enfoque del curso" que el modelo original utiliz, sera desarrollar un modelo quepresentara los temas que se cubriran en el programa y dejar que cada organizacin o ambienteeducativo decidiera la manera en la cual su contenido educativo sera impartido. Este cambiosignific que la comisin de trabajo no estara simplemente actualizando el modelo de 1998, sinoque estara creando un modelo nuevo y revisado que las instituciones tradicionales de educaciny las organizaciones profesionales podra adoptar ms fcilmente sobre trminos mundiales.

Como se cre el modelo revisadoSe desarroll una lista inicial de los temas que cubriran ms de 350 asuntos.. Los temasentonces fueron agrupados de acuerdo con su urgencia e importancia. La comisin de trabajoconsider que un marco era necesario para organizar todos los temas. La comisin de trabajo

consider que las reas del contenido del examen de CISA podran proporcionar un marco paraorganizar los temas sin crear un plan de estudios de la preparacin de CISA. As, las siete reaspara el examen de CISA y sus subtemas fueron utilizados para proporcionar una estructura yorganizar los asuntos en el modelo acadmico. Las siete principales reas contenidas (categoras)en el examen de CISA son:

Proceso de Auditora Planificacin Gerencial y Organizacin de SI Infraestructura Tcnica y Prcticas Operacionales Proteccin de Activos de Informacin Recuperacin de Desastres y Continuidad de Negocio Desarrollo de Sistemas de Aplicaciones de Negocios, Adquisicin, Implementacin y

Mantenimiento Evaluacin de Procesos de Negocios y Gerencia de Riesgo

COBIT fue considerado en la creacin del modelo y aunque es un marco robusto, se encontrque el contenido del examen de CISA es mejor para este ejercicio acadmico. Se debe notar que


10/62


10

los procesos de COBIT estn integrados en las reas de contenido del CISA (Ver el anexo 1,Importancia del Plan de Estudio de la ISACA para el Marco Conceptual de CobiT.)

La direccin con respecto a la cantidad de cobertura educativa que se deba dedicar a cada temaincluido en el modelo acadmico necesitaba ser suficientemente clara para que los usuarios delmodelo vean el beneficio de la comisin de trabajo, pero no tan restrictiva que reprimiera a loseducadores del desarrollo o la enseanza de sus cursos o del desarrollo del plan de estudios totalde un programa. La gua modelo proporciona horas recomendadas de tiempo de contacto con losestudiantes por cada tema, lo que se puede adaptar a los diversos ambientes educativos usadosmindialmente. Para desarrollar estas estimaciones, la comisin de trabajo decidi queproporcionara la direccin solamente en los temas dentro del nivel de la categora y noprocurara sugerir los tiempos del contacto para cada subtema en detalle. Con esta estructura, losinstructores podran decidir si dedicaban ms tiempo a unos o ms subtemas dentro de un rea yquizs dedicar poco o nada de tiempo a otros subtemas.

Conversaciones con acadmicos y profesionales alrededor del mundo indicaron que un plan deestudios comprensivo para capacitar a nuevos auditores de SI y profesionales del controlfrecuentemente incluira alrededor de 300 horas del contacto. Esta estimacin de 300 horasrepresenta el tiempo de siete cursos en el sistema de tres hora-crditos , o cerca de seis cursos enel sistema de cinco hora-crditos basados en trimestres. Por supuesto, las 300 horas se podandictar en una variedad de formatos incluyendo una serie de seminarios educativos de ocho horas.

La comisin de trabajo entendi que las instituciones probablemente tendran reas que fueronincluidas en su plan de estudios que eran distintas a las reas incluidas en otras instituciones.Estas diferencias son normales y el modelo acadmico de ISACA da un plazo para la enseanzade estos temas que difieren y establece la cobertura de temas que se requiere en solamente 244horas de tiempo de contacto (cerca de 80 por ciento de las 300 horas en muchos programas). Lashoras adicionales en el programa de una institucin se pueden centrar en los temas identificadosno especficamente en el modelo (e.g., temas en el apndice 2, Destrezas SuplementariasSugeridas de los Auditores de SI) o enfocado en la cobertura adicional de los temas modelo.

Una institucin educativa o una organizacin profesional tambin puede estructurar suscomponentes del sistema de enseanza (e.g., cursos, mdulos) para incluir cualquier tema dentrodel modelo y no limitarse a una estructura predeterminada de componentes. Para determinar laconformidad con el modelo, una institucin o la organizacin debe crear un "mapa" de donde lostemas del plan de estudio modelo se entregarn dentro de sus componentes educativos delsistema de enseanza. Este mapa podra ser tan simple como proporcionar una descripcindetallada de los cursos enseados en una universidad y observar dnde los artculos del modeloacadmico se cubren. (Una tabla de Conformidad con el Plan de estudio de la ISACA se

encuentra en el anexo 3, Tabla de conformidad con el Plan de Estudio de la ISACA para laAuditora y Control de SI)

Aunque es importante que los asuntos identificados en el modelo acadmico sean cubiertos, laISACA reconoce que las organizaciones educativas, si son universidades u organizacionesprofesionales, tendrn cada una las fuerzas, las debilidades y apremios institucionales que serntratados al desarrollar un plan de estudios en su organizacin. El formato, el arreglo y elcontenido del plan de estudios propuesto variarn dependiendo de requisitos de la acreditacin


11/62


11

de la universidad y a los requisitos del gobierno de su pas. Para las universidades con unprograma en educacin en negocios en los E.E.U.U., el uso de los estndares de la Association toAdvance Collegiate Schools of Business (AACSB) es un modelo aceptable para el diseo delplan de estudios puesto que el proceso de acreditacin es riguroso y mantiene alto respeto pormuchas universidades alrededor del mundo. Se considerar la transferencia de horas en la

cobertura de un rea en exceso al nmero de horas recomendadas en el modelo a otras reas.El modelo acadmico se disea con el propsito de preparar a un individuo para sacar un ttulocon un enfoque en auditora de SI dentro del alcance de un programa tpico. Un ttulo tpico debachillerato o pos grado incluye programas en SI, contabilidad, comercio y finanzas. Los temasen el modelo acadmico se disean para proporcionar habilidades y capacidades a nuevosprofesionales. (Ver anexo 2)

3. Uso del Plan de Estudio de la ISACA

La conformidad con el modelo acadmico de ISACA da derecho al programa para ser mostrado

en el sitio de Internet de la ISACA y los graduados de un programa avalado califican para un aode experiencia profesional hacia la certificacin para Auditor de Sistemas de InformacinCertificado (CISA).

Los mtodos acostumbrados para impartir educacin a travs del mundo son muy diferentes. Elmodelo original, que fue introducido en mMarzo de 1998, ha funcionado razonablemente bien enlos sistemas educativos que fueron estructurados con un "enfoque del curso". Sin embargo, lasuniversidades en algunos pases no ofrecen programas de pos grado con los establecidos sistemasde cursos como medios primarios de educacin avanzada. En algunas reas, las universidadesofrecen programas de fin de semana que otorgan "certificados que son reconocidos y valoradosen el ambiente de trabajo profesional de esos pases. En otros pases la educacin que sera

similar a la promovida por el modelo 1998 no es ofrecida por las universidades, sino porcaptulos de sociedades profesionales tales como colegios de contadores y captulos de laISACA.

El Modelo Acadmico 2004 para la Auditora y Control de Sistemas de Informacin de laISACA cubre temas propuestos por una amplia gama de miembros de la ISACA que tienencampos de especializacin en gobierno de SI, aseguramiento, seguridad y control. Los temas ysubtemas seleccionados para la inclusin en el modelo se han considerado como importantespara resolver las expectativas de conocimiento del recin graduado de universidad que buscauna posicin del nivel de entrada en auditora de SI y en el campo del control.

Los varios temas y subtemas incluidos en el modelo acadmico estn acompaados por lasestimaciones de horas de contacto que proporcionan direccin con respecto a la cantidad decobertura educativa que se debe dedicar a cada rea. Estas estimaciones fueron determinadas conbase en la experiencia y el conocimiento del Comit de Relaciones Acadmicas de la ISACA, laComisin de Trabajo para el Modelo acadmico y de los participantes de un taller de COBIT enla Educacin. Los participantes del taller eran acadmicos de alrededor del mundo conexperiencia en enseanza de COBIT en sus clases. Se prev que las horas de contacto serantpicamente en un cierto tipo de sala de clase, pero est diseado de modo que el contacto se


12/62


12

pudiera lograr por alguno de los otros mtodos educativos de enseanza incluyendo programasde aprendizaje a distancia. As, si un curso se rene por perodos concentrados en algunos finesde semana o se rene en un cuatrimestre de 10 semanas o en un semestre de 14 a 16 semanas,debe ser relativamente fcil determinar el tiempo de contacto en el que se discuti un tema.

La direccin sobre horas de contacto se proporciona solamente en los niveles de tema dentro delas categoras, no para cada subtema detallado. Con esta estructura, los docentes de cualquieruniversidad o institucin educativa alrededor del mundo pueden decidir dedicar ms tiempo aunos o ms subtemas dentro de un rea y quizs dedicar poco o nada de tiempo a otros subtemas.La institucin educativa podra tambin estructurar sus componentes del sistema de enseanza(e.g., cursos, mdulos) para incluir cualquier tema dentro del modelo y no limitarse a unaestructura predeterminada de componentes.

Como se discuti previamente en este documento, los temas y subtemas estn organizados bajolas ms importantes categoras en el examen de CISA. La descripcin detallada de los temas ysubtemas est incluida en las figuras indicadas en el Captulo 4 de ISACA Model Curriculum for

IS Audit and Control.La categora de; proceso de auditora est dividida en ocho temas, cada uno con diferentessubtemas que van de dos a nueve. Los temas cubren el proceso completo de auditora desde losconceptos bsicos de auditora hasta las etapas de reporte y seguimiento de la auditora. Unadetallada descripcin de los temas y subtemas se enumera en la Figura 1.

La categora de planificacin y organizacin gerenciales de SI se divide en cinco reas quetienen de tres a nueve subtemas cada una. Esta categora se centra en reas de la gerencia delproceso de SI tales como proyectos, infraestructura, recursos humanos, asuntos legales yestndares. Las descripciones detalladas de los temas y subtemas se enumeran en la Figura 2.

La categora de la infraestructura tcnica y de prcticas operacionales tambin incluye subtemascategorizados bajo un rea llamada gerencia del centro de servicio. sta incluye discusionessobre decisiones de funcionamiento y del sistema de software, opciones de comunicacin de lared, opciones de la arquitectura de TI y gerencia de los centros de servicio. Las descripcionesdetalladas de los temas y subtemas se enumeran en la Figura 3.

La categora de la proteccin de los activos de informacin incluye los principios lgicos deseguridad as como muchos asuntos de seguridad de la red, tales como firewalls, sistemas dedeteccin de intrusos y consideraciones de codificacin. Las descripciones detalladas de estostemas y subtemas se enumeran en la Figura 4.

La Figura 5 de la siguiente seccin proporciona los temas y subtemas para la categora de larecuperacin de desastres y la continuidad del negocio. sta incluye no solamente lasresponsabilidades de la gerencia, sino tambin el papel del profesional de aseguramiento en estosasuntos y la importancia de la cobertura de seguro como parte del plan.

La categora de desarrollo de sistemas de aplicaciones de negocios, adquisicin, implementaciny mantenimiento incluye asuntos relacionados con el software de planificacin de recursos


13/62


13

empresariales, asuntos relacionados con la gerencia y la administracin de bases de datos, elciclo de vida del desarrollo de sistemas, y consideraciones del desarrollo de software. Lasdescripciones detalladas de los temas y subtemas se enumeran en la Figura 6.

La ltima categora, la evaluacin de procesos de negocios y gerencia de riesgo tiene solamente

un tema y es la auditora y desarrollo de controles de aplicacin. Hay cuatro subtemas referentesa entrada, salida, y proceso de controles y documentacin de los sistemas de aplicacin. stos seenumeran en la Figura 7.

Para determinar la conformidad con el modelo, la institucin educativa crea un "mapa" de dndelos temas del modelo acadmico se imparten dentro de sus componentes educativos del sistemade enseanza. Los pasos del proceso de hacer el mapa se detallan en la figura siguiente.

4.ISACA Model Curriculum for IS Audit and Control

Los temas cubiertos por el modelo son agrupados en siete categoras. Estas categoras luego son

divididas por temas principales, subtemas para cada tema principal y las horas de clasenecesarias para cubrir cada tema. Cada categora, sus temas, subtemas y las horas requeridas paracada tema estn enlistados en las Figuras de la 1 a la 7.

Figura 1 Proceso de AuditoraTemas Horas Subtemas

Leyes y regulaciones: estatutos de la auditoraNaturaleza de la auditora: demanda por auditoras (Ej., teora de agencia, hiptesis delseguro, hiptesis de la informacin)Naturaleza de auditoras de SI: la necesidad del control y la auditora en los SIcomputarizadosTipos de auditora y de auditores: SI, externa, interna, gobierno/sector pblico

Responsabilidad y autoridad del auditor de SI: estatutos de la auditora; subcontratacinde los servicios de auditora de SI

Conocimientode la Funcin

de la Auditoraen los

Sistemas deInformacin

6

Regulacin y control de la auditora de SI: estndares de ISACA, pautas, cdigo de ticaprofesional; leyes; regulacionesMaterialidad: aplicacin de materialidad a las auditoras de SI en comparacin a lamaterialidad en auditoras de estados financierosEvidencia: tipos de evidencia; significado de la evidencia suficiente, confiable ypertinenteIndependencia: necesidad de independencia en actitud y apariencia; situaciones quepueden deteriorar la independenciaRiesgo de auditora: riesgo inherente, riesgo de control y riesgo de deteccinSI: responsabilidades generales en la auditora ante el fraude

ConceptosFundamenta-

les deAuditora

7

Certeza

Conocimiento del Cdigo de tica Profesional de ISACARevisin de los estndares y pautas vigentes de ISACA para auditoras de SIEstndares y pautas especficos para cada regin/pas: AITP, ACM, AICPA, IIA, ISO,COCO, AGA NIA (IFAC)

Estndares yDirectrices deAuditora de

SI

5

Prcticas y tcnicas en la auditora de SIRelevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones yauditores de SI; estructura de gobierno de TI

Conceptos deControlesInternos

13

Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO,COCO, KING, Ley Sarbanes-Oxley del 2002, SAS94


14/62


14

Figura 1 Proceso de AuditoraTemas Horas Subtemas

Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivoControles generales: de organizacin, de seguridad, de funcionamiento general y derecuperacin del desastre, desarrollo, documentacinControles de aplicacin: objetivos de control; clasificaciones de las aplicaciones

control, ej., computarizado/manual; entrada/procesamiento/salida; preventivo/dedeteccin/correctivo, pistas de auditora intervencinCOBIT: La estructura y la importancia de COBIT para las organizaciones y losauditores de SIPlanificacin estratgica de la auditoraCarta de entendimiento: propsito y contenido de las cartas de entendimientoValoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo.Estndares: AS-NZ 4360, CRAMMEvaluacin preliminar de controles internos: recopilacin de la informacin yevaluacin de las tcnicas de controlPlan de auditora, programa y alcance: pruebas de controles vs. pruebas sustantivas,aplicacin de la valoracin de riesgo a la auditora

Proceso dePlanificacinde Auditora

7

Clasificacin, alcance de las auditoras: e.g., financiera, operacional, general, aplicacin,

OS, fsica, lgicaDistribucin/categorizacin/planificacin/ ejecucin/reasignacin de los recursosEvaluacin de la calidad de la auditora y la revisin entre colegasIdentificacin de la mejor prcticaCISDesarrollo de la carrera de auditoraPlanificacin de la trayectoria de la carreraValoracin del desempeoConsejera y retroalimentacin del desempeoCapacitacin (interna/externa)

Administracin de

laAuditora5

Desarrollo profesional (certificaciones, participacin profesional, etc.)Evidencia: suficiente, confiable, pertinente, y tilTcnicas de recopilacin de evidencia, e.g., observar, preguntar, entrevistar y probarPruebas de control vs. pruebas sustantivas: naturaleza de las pruebas de control y las

pruebas sustantivas y sus diferencias, tipos de pruebas de control , tipos de pruebassustantivasMuestreo: conceptos de muestreo, enfoques estadsticos y no estadsticos, diseo yseleccin de muestras, evaluacin de los resultados de la muestraTcnicas de auditora computarizadas (Computer-assisted audit techniques CAATs):necesidad, tipos, planificacin y uso de CAATs, enfoque de la auditora continuamenteen lneaDocumentacin: relacin con evidencia de la auditora; usos de la documentacin;contenido mnimo; custodia, retencin y recuperacinAnlisis: evaluar la materialidad de los resultados e identificar las condicionesreportables y alcanzar las conclusiones

Proceso deObtencin deEvidencia enla Auditora

12

Revisin: proveer la garanta razonable de que se han alcanzado los objetivosForma y contenido del informe de auditora: propsito; estructura y contenido; estilo;

usuario; tipo de opinin; consideracin de acontecimientos subsecuentes

Seguimiento

del Informede Auditora

3Acciones de la gerencia para poner recomendaciones en ejecucin

Horas Totales 58

Figura 2 Gerencia, planificacin y organizacin de los sistemas de SITemas Horas Subtemas

Gerencia de proyecto TIGerencia deSI/TI

10Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico


15/62


15

Figura 2 Gerencia, planificacin y organizacin de los sistemas de SITemas Horas Subtemas

Software de gerencia de control de calidadAdministracon de la infraestructura de TI y arquitectura de TI, administracon de laconfiguracinAdministracin de la entrega de TI (operaciones) y de apoyo (mantenimiento)

Medida y divulgacin de funcionamiento: cuadro de mando integralContratacin externaAseguramiento de la calidadAcercamiento tcnico-social y cultural a la gerenciaSI/IT planificacin estratgica estrategias competitivas e inteligencia de negocios:enlace con la estrategia corporativaMarco y aplicaciones de los sistemas de informacin: tipos de SI - gerencia delconocimiento, sistemas de apoyo para las decisiones ; clasificacin de los sistemas deinformacinGerencia de recursos humanos de TI, polticas de los empleados, acuerdos y contratos

Segregacin de tareas

PlanificacinEstratgica de

SI/TI8

SI/TI entrenamiento y educacinAsuntos legales relacionados a la introduccin de TI a la empresa (internacional y

local)Asuntos de propiedad intelectual en el espacio ciberntico: marcas registradas, copyrighty patentesProblemas ticosPrivacidadGobierno de TI

AsuntosGerenciales

deSI/TI

9

Mantenimiento de SI/TICOBIT Pautas gerenciales para gerentes de SI/TI

COBIT uso de auditoras como apoyo para el ciclo del negocioHerramientasde Apoyo

6Estndares Internacionales - ISO-I7799, Estndares de Privacidad, COCO, COSO,Cadbury, King, ITILRevisiones de control de cambios

Revisiones operacionalesTcnicas 4 Revisiones de ISO 9000Horas Totales 37

Figura 3 Infraestructura Tcnica (TI) y Prcticas OperacionalesTemas Horas Subtemas

Arquitectura y estndares de TIHardware: todo el equipo de TI incluyendo la unidad central, las mini computadoras,clientes/servidores, los enrutadores, los interruptores, las comunicaciones, las PC, etc.Software: sistemas operacionales, programas de utilidades, bases de datos, etc.Red: el equipo y los servicios de comunicaciones dedicados para proporcionar lasredes, red relacionada al hardware, red relacionada al software, el uso de losproveedores que proporcionan servicios de comunicacin, etc.

Controles fundamentalesSeguridad / pruebas y validacinHerramientas de evaluacin y supervisin de desempeoGobierno de TI Mantenimiento y FuncionamientoSupervisin de controles de TI y herramientas de evaluacin, como vigilancia desistemas de control de acceso o vigilancia de incursin con sistemas de deteccin

Gerencia de recursos de informacin e infraestructura: software de gerencia de empresas

InfraestructuraTcnica

(Planificacin,Implementa-

cin y PrcticaOperacionales)

25

Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL,ISO 17799


16/62


16

Figura 3 Infraestructura Tcnica (TI) y Prcticas OperacionalesTemas Horas Subtemas

Asuntos y consideraciones de centro de servicio vs. infraestructuras tcnicas propietariasSistemas abiertosGerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL,ISO 17799

Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de lasherramientas usadas para controlar la introduccin de productos nuevos al ambiente delcentro de servicio, etc.Gerencia de SeguridadGerencia de Recurso/configuracin: cumplimiento con organizacin/TI estndaresoperacionales, polticas y procedimientos (uso correcto del lenguaje de computadoras)Gerencia de problemas e incidentesPlanificacin y estimacin de capacidadGerencia de la distribucin de sistemas automatizadosAdministracin del lanzamiento y versiones de sistemas automatizadosGerencia de proveedoresEnlaces con clientesAdministracin del nivel de servicios

Contingencia/ Respaldos y administracin de la recuperacinGerencia del centro de llamadasGerencia de las operaciones de la infraestructura (central y distribuida)Administracin de redesGerencia de riesgo

Gerencia deCentros deServicio:

Mantenimientode SI e TI por

medio deOrganizacio-nes dedicadas

a estasactividades

12

Principios claves de gerenciaHoras Totales 37

Figura 4Proteccin de Activos de InformacinTemas Horas Subtemas

Tecnologa informatica y conceptos bsicos de seguridad,conceptos de seguridad de TI;necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerenciaen la seguridad de activos de TI; entrenamiento

Gerencia de laSeguridad delos Activos de

Informacin

8

Estndares, cumplimiento y aseguramiento en seguridad de TIComponentes de la seguridad lgica de TI; problemas en la lgica del control de acceso;software de control de accesoRiesgos lgicos de seguridad, consideraciones de control y auditora (auditora deacceso lgico, prueba de seguridad)

SeguridadLgica de

TecnologaInformatica

9

Caractersticas, herramientas y procedimientos lgicos de la seguridadComunicaciones y seguridad de la red: principios de la seguridad de la red, cliente yservidor, del Internet y de servicios tele-basados, de sistemas de la seguridad delcortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmasdigitales, polticas de gerencia dominantes), sistemas de deteccin de intrusosintrusin,Cobita, revisiones de sistemaInstalaciones de seguridad de la unidad centralUso de la base de datos y seguridad bsicos del sistema

SeguridadAplicada deIT: Recursos

de AltaTecnologa

9

Seguridad en el proceso del desarrollo y del mantenimiento del sistemaProblemas y exposiciones ambientales: conceptos en la seguridad fsica de TISeguridad

Fsica yAmbiental

3 Exposiciones y controles fsicos del acceso

Horas Totales 29

Figura 5 Recuperacin del Desastre y Continuidad del Negocio

Temas Horas Subtemas


17/62


17

Figura 5 Recuperacin del Desastre y Continuidad del Negocio

Temas Horas SubtemasApoyo y compromiso de la gerencia con el procesoPreparacin y documentacin del planAprobacin de la gerencia y distribucin del planPrueba, mantenimiento y revisin del plan; entrenamiento

Rol del auditorProvisiones de los respaldosPlanificacin de la continuidad del negocio

Proteccin dela Arquitecturay Activos de laTecnologa de

Informacin:Planificacin

de laRecuperacindel Desastre

10

Anlisis del impacto del negocio

Descripcin de los segurosArtculos que pueden ser aseguradosTipos de cobertura de seguro

Seguros 2

Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa

Horas Totales 12

Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de Negocio

Temas Horas SubtemasComponentes para manejar SI(datos-procesos-tecnologas-organizacin); entendiendo alos tenedores y sus requerimientosMtodos de planificacin de SI: investigacin del sistema, oportunidades de proceso deintegracin/reingeniera, evaluacin del riesgo, anlisis de costo/beneficio, gravamen deriesgo; anlisis y diseo de los sistemas orientados a objetos

Planificacinde SI

9

Integracin de los usos de la empresa del software de ERP

Supervisin del funcionamiento del porcentaje de disponibilidad contra acuerdos delporcentaje de disponibilidad, calidad del servicio, de la disponibilidad, del tiempo dereaccin, de la seguridad y de los controles, proceso la integridad, aislamiento,remedios, cumpliendo con los niveles de servicio acordados (SLAs por sus siglas eningls)Datos e informacin: analizar, evaluar y disear la arquitectura de informacin (i.e., rol

de las bases de datos y Gerencia de sistemas de bases de datos incluyendo sistemas degerencia del conocimiento, almacenes de datos)Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y lassoluciones); anlisis, evaluacin y diseo de los procesos del negocio de la entidad ylos modelos del negocioGerencia de Informacin (administracin de datos, funciones y administracin de basesde datos, roles y responsabilidades de DBA)Tecnologa de base de datos como herramienta para el auditor

Uso yGerencia deInformacin

16

Estructura de datos y lenguaje bsico SQLGerencia de proyecto de los sistemas de informacin: planificacin, organizacin,despliegue del recurso humano, control del proyecto, supervisin y ejecucinMtodos tradicionales para el desarrollo del ciclo de vida del sistema; analizar, evaluar ydisear las fases del desarrollo del ciclo de vida de un sistema (SDLC)

Acercamientos para el desarrollo del sistema: paquetes de software, prototipo,reingeniera de proceso del negocio, herramientas CASE.Mantenimiento de sistemas y procedimientos para el control de cambios paramodificaciones de sistemas

Desarrollo,Adquisicin y

Mantenimientode Sistemas deInformacin

12

Problemas de riesgo y control, analizar y evaluar caractersticas y riesgos del proyectoImpacto de TI 4 Contratacin externa de Procesos de Negocios (Business Process Outsourcing BPO)


18/62


18

Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de NegocioTemas Horas Subtemasen los

Procesos ySoluciones delos Negocios

Aplicacin de los problemas y de las tendencias del comercio electrnico

Separacin de la especificacin e implementacin en la programacinMetodologa de la especificacin de requisitosDiseo del algoritmo; clasificacin y bsqueda de algoritmosManejo de archivosListas encadenadas y rboles binariosCreacin y manipulacin de la base de datosPrincipios del buen diseo de la pantalla y del informe

Desarrollo delSoftware

11

Alineamiento del lenguaje de programacinHoras Totales 52

Figura 7Evaluacin de los Procesos de Negocios y Gerencia de RiesgoTemas Horas Subtemas

Controles de entrada/ origen

Procedimientos del control de procesoControles de salidaDocumentacin del sistema de aplicacin

Auditora yDesarrollo deControles deAplicacin

19

Pistas de AuditoraHoras Totales 19


19/62


19

Anexo 1. Importancia del Plan de Estudio de la ISACA para elMarco Conceptual del CobiT

Figura 8. Importancia del Plan de Estudio de la ISACA para el Marco Conceptual del CobiT

Los recursos de IT consideran la gente, las aplicaciones de sistemas, la tecnologa, las instalaciones y los datos.

Los temas en el modelo acadmico de la ISACA fueron diseados para proveer destrezasprofesionales y capacidad de nivel bsico en reas de negocio y comercio. Las siete reas decontenido de CISA (categoras) y sus subtemas son usados con el propsito de suministrar unaestructura para organizar los asuntos en el modelo de la ISACA. Los procesos de TI sonenfocados por COBIT, y es integrado en las reas de contenido del CISA. ( Figura 8).


20/62


20

Anexo 2. Destrezas Complementarias Sugeridas para los Auditoresde SILas siguientes habilidades no estn consideradas directamente en el perfil de la auditora de SIporque no son parte de la auditora de SI, pero son requeridas en la mayora de las profesiones.

Comunicacin gerencial y/u Oratoria en Pblico

Las destrezas en comunicacin son empleadas al discutir la amplitud de la auditora, hallazgos yrecomendaciones.

Destrezas para Entrevistas

Estas incluyen la efectiva recoleccin de informacin cuando se entrevista a la gerencia y paracompletar los cuestionarios de control.

Destrezas de Negociacin y/o Venta Personal

Necesarias para convencer a la gerencia con el fin de que implemente las recomendaciones paraun cambio positivo.

Redaccin comercial

til para producir informes comprensibles y tiles, as como otras comunicaciones escritas.

Psicologa Industrial y/o Ciencias del Comportamiento

Incluye la habilidad de entender y manejar efectivamente el comportamiento humano por mediodel proceso de auditora.

Gerencia de Proyectos/Presupuesto de Tiempo

Incluye la habilidad esencial de manejar eficiente y efectivamente el tiempo y las tareas durantela auditora. Los auditores son evaluados frecuentemente de acuerdo al cumplimiento depresupuestos.

Creacin y Direccin de Grupos

Incluye el manejo efectivo de actividades de grupos con adecuada coordinacin y utilizacin delconocimiento y destrezas de los miembros del grupo en la conduccin de la auditora de SI.


21/62


21

Anexo 3. Tabla de conformidad con el Modelo Acadmico de laISACA para la Auditora y Control de SI

Para disear un programa para el Modelo Acadmico de la ISACA para la Auditora y Control sedebe ingresar el nombre de el o los cursos o secciones en el programa que cubre cadadescripcin del rea de temas o subtemas junto con la cantidad de tiempo (en horas) dedicadopara cubrir el tema en cada tabla. Si un tema descrito no es cubierto, indique 0 (cero) en lacolumna de horas de contacto. Para cumplir el modelo, la cantidad total de horas debe ser por lomenos 244 y todas las reas en el modelo deben ser razonablemente cubiertas. Nota: Cuando sedisee el programa de pos grado, se debe incluir los prerrequisitos del programa de pre-grado.Antes de empezar este proceso:

Obtenga los temarios actuales de los cursos. Las descripciones actuales y ampliadas de loscursos proveen mayor detalle y constituyen un mejor recurso. Asegure que los libros de texto actuales sean un apoyo para las clases y que los materialesaudio-visuales que pueden ser usados sean accesibles. Para una pregunta de contenido, refirase

al libro de texto o a diapositivas de PowerPoint. Si alguno de los temas son enseados en otros departamentos o colegios, un representante queconozca lo que se ensea en esas clases puede colaborar. Por esta razn, un programa de pre-grado puede tomar ms tiempo para ser diseado que un programa de pos grado. Un monitor doble que supervise la matriz modelo y el temario o descripcin del curso facilita elproceso.

Los pasos del proceso de diseo se enlistan en la Figura 9.

Pasos para el proceso de mapeo1 Identificar todos los cursos directos y de apoyo que se relacionan con el programa2 Cerciorarse de que el temario actual o la descripcin ampliada del curso y los materiales de ayuda

para los cursos estn accesibles. Toma aproximadamente 16 horas para terminar el mapa si loscontornos ampliados de curso estn disponibles para extraer informacin.

3 Proseguir uno por uno. Seleccionar el primer curso en el programa, examinar los elementos y temadel curso y orientarlo hacia el modelo. Literalmente proseguir semana por semana.

4 Use palabras claves de la plantilla de subtemas de la ISACA para buscar el plan que coincida.Una vez que se haga coincidir, estimar la cantidad de tiempo que la materia ser cubierta con baseen el plan.

5 Si no se est seguro del contenido del material cubierto, ir al libro y a las diapositivas dePowerPoint que se usan como material. Notar que los ttulos genricos que se usan a menudocubren ms de lo que se sobreentiende.

6 Acordarse de asignar el tiempo por curso e identificar el curso que cubra cada tema. Por ejemplo,un sistema de trimestres puede tener 10 semanas y 4 horas de contacto por semana (40 horas) peroalgunos cursos pueden tener laboratorios o proyectos requeridos que puede ser ms de 40 horas.

7 Hacer mapas curso por curso y llevar un registro de la asignacin es un proceso muy sencillo paralas personas que estn familiarizadas con el programa y para quienes tienen informacindisponible.

8 Despus de completar todos los cursos, regresar y revisar que las selecciones- colocaciones seanlas mejores posibles y parezcan razonables.


22/62


22

Pasos para el proceso de mapeo9 Tener un colega que revise los mapas.

Entregar las tablas completas a la ISACA para revisin por correo electrnico,[email protected], fax +1.847.253.1443, o enviar por correo a la atencin del Director de

Investigaciones, Estndares y Relaciones Acadmicas a ISACA, 3701 Algonquin Road, Suite1010, Rolling Meadows, IL 60008, USA. Si el programa cumple lo establecido en ISACA ModelCurriculum for IS Audit and Control, el programa puede ser mostrado en el sitio de Internet de laISACA y los estudiantes graduados del programa califican para un ao de experiencia laboralpara la Certificacin de Auditor de Sistemas de Informacin (Certified Information SystemAuditor CISA).

Tabla 1Dominio del Proceso de la Auditora

Temas Hrs SubtemasNombre del Curso-Subtema Cubierto

Horas

Leyes y Regulaciones: estatutos de laauditora

Naturaleza de la Auditora: demanda porauditoras (Ej., teora de agencia, hiptesisdel seguro, hiptesis de la informacin)Naturaleza de auditoras de SI: la necesidaddel control y la auditora en los SIcomputarizadosTipos de auditora y de auditores: SI, externa,interna, gobierno/sector pblicoResponsabilidad y autoridad del auditor deSI: estatutos de la auditora; subcontratacinde los servicios de auditora de SI

Conocimientode la Funcin

de laAuditora enlos Sistemas

deInformacin

6

Regulacin y control de la auditora de SI:estndares de ISACA, pautas, cdigo de tica

profesional; leyes; regulacionesMaterialidad: aplicacin de materialidad a lasauditoras de SI en comparacin a lamaterialidad en auditoras de estadosfinancierosEvidencia: tipos de evidencia; significado dela evidencia suficiente, confiable ypertinentesIndependencia: necesidad de independenciaen actitud y apariencia; situaciones quepueden deteriorar la independenciaRiesgo de auditora: riesgo inherente, riesgode control y riesgo de la deteccin

SI: responsabilidades generales en laauditora ante el fraude

ConceptosFundamentales de Auditora

7

CertezaConocimiento del Cdigo de tica

Profesional de ISACARevisin de los estndares y pautascorrientes de ISACA para auditoras de SI

Estndares yDirectrices deAuditora de

SI

5

Estndares y pautas especficos para cadaregin/pas: AITP, ACM, AICPA, IIA, ISO,COCO, AGA NIA (IFAC)


23/62


23



Horas

Practicas y tcnicas en la auditora de SIRelevancia, estructura e indicadores de ungobierno efectivo de TI para organizaciones

y auditores de SI; estructura de gobierno deTIObjetivos de control interno; control internoy la documentacin de SI, i.e., COSO,COCO, KING, Acta Sarbanes-Oxley del2002Clasificacin de Controles: preventivo,deteccin y compensatorio/correctivoControles generales: de organizacin, deseguridad, de funcionamiento general y derecuperacin del desastre, desarrollo,documentacinControles de aplicacin: objetivos de control;

clasificaciones de las aplicaciones control,Ej., computarizado/manual;entrada/procesamiento/salida; preventivo/dedeteccin/correctivo, rastros de intervencin


13

COBIT: La estructura y la importancia deCOBIT para las organizaciones y losauditores de SIPlanificacin estratgica de la auditoraCarta de entendimiento: propsito ycontenido de las cartas de entendimientoValoracin de riesgo: auditora basada enriesgo; mtodos de valoracin de riesgo.Estndares: AS-NZ 4360, CRAMM

Evaluacin preliminar de controles internos:recopilacin de la informacin y evaluacinde las tcnicas de controlPlan de auditora, programa y alcance:cumplimiento vs. prueba sustantiva,aplicacin de la valoracin de riesgo a laauditora

Proceso dePlanificacin

de laAuditora

7

Clasificacin, alcance de las auditoras: Ej.,financiera, operacional, general, aplicacin,OS, fsica, lgicaDistribucin/prioritizacin/planificacin/ejecucin/reasignacin de los recursosEvaluando la calidad de la auditora y larevisin entre colegasMejor prctica de identificacinCIS Desarrollo de la carrera de auditoraPlanificacin de la trayectoria de la carreraValoracin del desempeoConsejera y retroalimentacin deldesempeoAdiestramiento (interno/externo)

Gerencia de laAuditora

5

Desarrollo profesional (certificaciones,participacin profesional, etc.)


24/62


24



Horas

Evidencia: suficiente, confiable, relevante, ytilTcnicas de recopilacin de evidencia, Ej.,

observar, preguntar, entrevistar y probarMuestreo: conceptos de muestreo;acercamientos estadsticos y no estadsticos;diseo y seleccin de muestras; evaluacinde los resultados de la muestraTcnicas de auditora computarizadas(CAATs): necesidad de estas ; tipos;planificacin y uso de CAATs; acercamientoen lnea de la auditoraDocumentacin: relacin con evidencia de laauditora; usos de la documentacin;contenido mnimo; custodia, retencin yrecuperacin

Anlisis: evaluar la materialidad de losresultados e identificar las condiciones areportarse y alcanzar las conclusionesRevisin: provee la garanta razonable deque se han alcanzado los objetivos

Proceso deEvidencia dela Auditora

12

Forma y contenido del informe de auditora:propsito; estructura y contenido; estilo;usuario; tipo de opinin; consideracin deacontecimientos subsecuentesAcciones de la gerencia para ponerrecomendaciones en ejecucin

Seguimientoal Reporte de

Auditora3 Muestreo: conceptos de muestreo;

acercamientos estadsticos y no estadsticos;diseo y seleccin de muestras; evaluacinde los resultados de la muestra

Horas Totales 58

Figura 2 Gerencia, Planificacin y Organizacin de Materias de Sistemas de InformacinTemas Hrs Subtemas Nombre del Curso Horas

Gerencia de proyecto IT.

Gerencia de riesgo econmico, social,cultural, gerencia de riesgo tecnolgicoSoftware de gerencia de control de calidadGerencia de infraestructura de IT yarquitectura de IT, gerencia de laconfiguracin

Gerencia de entrega de IT (operaciones) y deapoyo (mantenimiento)Medida y divulgacin de funcionamiento:tarjeta de anotacinContratacin externaValoracin de la calidad

Gerencia de

Sistemas deInformacin 10

Acercamiento tcnico-social y cultural a lagerencia


25/62


25

Figura 2 Gerencia, Planificacin y Organizacin de Materias de Sistemas de InformacinTemas Hrs Subtemas Nombre del Curso Horas

SI/IT planificacin estratgica estrategiascompetitivas y inteligencia de negocio:enlace a estrategia corporativaMarco y aplicaciones de los sistemas de

informacin: tipos de SI - gerencia delconocimiento, sistemas de ayuda de decisin;clasificacin de los sistemas de informacinGerencia de recursos humanos de IT,polticas de los empleados, acuerdos ycontratosSegregacin de deberes

Planificacin

Estratgicade Sistemas

deInformacin

8

SI/TI adiestramiento y educacinAsuntos legales relacionados a laintroduccin de IT a la empresa(internacional y local)Asuntos de propiedad intelectual en elespacio ciberntico: marcas registradas,

copyrighty patentesProblemas ticosPrivacidadGobierno de TI

Controversiasen la

Gerencia de

Sistemas deInformacin

9

Mantenimiento de SI/TICOBIT Guas de gerencia de marcos paragerentes de SI/IT

COBIT uso de auditoras comoapoyo para el ciclo del negocio

Herramientasde Apoyo

6

Estndares Internacionales - ISO-I7799,Estndares de Privacidad, COCO, COSO,Cadbury, King, ITILRevisiones de cambio de control

Revisiones operacionalesTcnicas 4Revisiones de ISO 9000

HorasTotales

37

Figura 3 Infraestructura Tcnica (TI) y Practicas OperacionalesTemas Hrs Subtemas Nombre del Curso Horas

Arquitectura y estndares de TI

Hardware: todo el equipo de TI incluyendola unidad central, las mini computadoras,cliente/servidor, las rebajadoras, losinterruptores, las comunicaciones, las PC,

etc.Software: sistemas operacionales,programas de utilidades, bases de datos, etc.

Infraestructura Tcnica

(Planificacin,

Implementac

in yPracticaOperacional)

25

Red: el equipo y los servicios decomunicaciones dedicados paraproporcionar las redes, red relacionada alhardware, red relacionada al software, eluso de los proveedores que proporcionanservicios de comunicacin, etc.


26/62


26

Figura 3 Infraestructura Tcnica (TI) y Practicas OperacionalesTemas Hrs Subtemas Nombre del Curso Horas

Controles fundamentalesSeguridad / pruebas y validacinHerramientas de evaluacin y monitoreo dedesempeo

Gobierno de TIMantenimiento yFuncionamientoSupervisin de controles de TI yherramientas de evaluacin, comovigilancia de los sistemas de control deacceso o vigilancia de los sistemas dedeteccin de intrusosGerencia de recursos de informacin einfraestructura: software de gerencia deempresasGerencia de centros de servicio yestndares/guas de las operaciones:COBIT, ITIL, ISO 17799

Problemas y consideraciones de centros deservicio vrs. infraestructuras tcnicaspropietariasSistemas abiertosGerencia de centros de servicio yestndares/guas de las operaciones:COBIT, ITIL, ISO 17799Gerencia de cambio/Implementacin denuevos sistemas: organizacin de lasherramientas usadas para controlar laintroduccin de productos nuevos alambiente del centro de servicio, etc.Gerencia de Seguridad

Gerencia de Recurso/configuracin :cumplimiento con organizacin/TIestndares operacionales, polticas yprocedimientos (i.e., uso correcto dellenguaje de las computadoras)Gerencia de problemas e incidentesPlanificacin y estimaciones de capacidadGerencia de la distribucin de sistemasautomatizadosAdministracin del lanzamiento y versionesde sistemas automatizadosGerencia de proveedoresEnlaces con clientes

Gerencia a nivel de serviciosContingencia/ respaldos y Gerencia derecuperacinGerencia del centro de llamadasGerencia de las operaciones de lainfraestructura (central y distribuida)Gerencia de redesGerencia de riesgo


Mantenimiento de SI yTI a travs

deOrganizacio

nesdedicadas a

estasactividades

12

Principios claves de gerencia


27/62


27

Figura 3 Infraestructura Tcnica (TI) y Practicas OperacionalesTemas Hrs Subtemas Nombre del Curso HorasHoras

Totales37

Figura 4Proteccin de Activos de Informacin

Subtemas Hrs Descripcin Nombre del Curso Tiempoen horasTecnologa informatica y conceptos bsicosde seguridad,conceptos de seguridad deTI; necesidad de asegurar recursos de TI,poltica para seguridad de activos de TI;gerencia en la seguridad de activos de TI;entrenamiento

Gerencia de laSeguridad deActivos deInformacin

8

Estndares, cumplimiento y aseguramientoen seguridad de TIComponentes de la seguridad lgica de TI;problemtica en la lgica del control deacceso; software de control de acceso

Riesgos lgicos de seguridad,consideraciones de control y auditora(auditora de acceso lgico, prueba deseguridad)

SeguridadLgica deTecnologaInformatica

9

Caractersticas, herramientas yprocedimientos lgicos de la seguridadComunicaciones y seguridad de la red:principios de la seguridad de la red, decliente-servidor, del Internet y de serviciostele-basados, de sistemas de la seguridaddel cortafuego y de otros recursos de laproteccin de la conectividad (criptografa,firmas digitales, polticas de gerencia

dominantes), sistemas de deteccin deintrusos, Cobita, revisiones de sistemaInstalaciones de seguridad de la unidadcentralUso de la base de datos y seguridad bsicosdel sistema

SeguridadAplicada de

TI: Recursosde AltaTecnologa

9

Seguridad en el proceso del desarrollo y delmantenimiento del sistemaProblemticas y exposiciones ambientales:conceptos en la seguridad fsica de TI

SeguridadFsica yAmbiental

3Exposiciones y controles fsicos del acceso

Horas Totales 29

Figura 5 Recuperacin del Desastre y Continuidad del NegocioSubtemas

Hrs DescripcinNombre de los Cursos Tiempo en

horasApoyo y compromiso de la gerencia con elprocesoPreparacin y documentacin del plan

Proteccin dela arquitecturay de losactivos de latecnologa de

10

Aprobacin de la gerencia y distribucindel plan


28/62


28



horasPrueba, mantenimiento y revisin del plan;entrenamientoRol del auditor

Provisiones de los respaldosPlanificacin de la continuidad del negocio

informacin:Planificacinde la

Recuperacindel DesastreAnlisis del impacto del negocioDescripcin de los segurosArtculos que pueden ser aseguradosTipos de cobertura de seguroSeguros 2Valoracin de activos: equipo, gente,proceso de la informacin y tecnologa

Horas Totales 12

Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de NegociosTemas Hrs Subtemas Nombre del Curso Horas

Componentes para manejar SI(datos-procesos-tecnologas-organizacin);entendiendo los tenedores y susrequerimientosMtodos de planificacin de SI:investigacin del sistema, oportunidades deproceso de integracin/reingeniera,evaluacin del riesgo, anlisis decosto/beneficio, gravamen de riesgo;anlisis y diseo de los sistemas orientadosa los objetos

Planificacinde SI

9

Integracin de los usos de la empresa delsoftware de ERPSupervisando el funcionamiento del

porcentaje de disponibilidad contraacuerdos del porcentaje de disponibilidad,calidad del servicio, de la disponibilidad,del tiempo de reaccin, de la seguridad yde los controles, procesando la integridad,aislamiento, remedios, cumpliendo con losniveles de servicio acordados (SLAs porsus siglas en ingls)Datos e informacin: analizar, evaluar ydisear la arquitectura de informacin (i.e.,rol de las bases de datos y administracinde sistemas de bases de datos incluyendosistemas de gerencia del conocimiento ,

almacenes de datos)

Uso yGerencia deInformacin

16

Datos y arquitectura del uso (Modelo de SI,los modelos del negocio, los procesos y lassoluciones); analiza, evala y disea losprocesos del negocio de la entidad y losmodelos del negocio


29/62


29

Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de NegociosTemas Hrs Subtemas Nombre del Curso Horas

Gerencia de Informacin (administracinde datos, funciones y administracin debases de datos, roles y responsabilidades deDBA)

Tecnologa de base de datos comoherramienta para el auditorGerencia de proyecto de los sistemas deinformacin: planificacin, organizacin,despliegue del recurso humano, control delproyecto, supervisin y ejecucinMtodos tradicionales para el desarrollodel ciclo de vida del sistema; analizar,evaluar y disear las fases del desarrollodel ciclo de vida de un sistema (SDLC)Acercamientos para el desarrollo delsistema: paquetes de software, prototipo,reingeniera de proceso del negocio,herramientas CASE.Mantenimiento de sistemas yprocedimientos para el control de cambiospara modificaciones de sistemas

Desarrollo,Adquisicin yMantenimientode Sistemas deInformacin

12

Problemas de riesgo y control, analizar yevaluar caractersticas y riesgos delproyectoBPOImpacto de TI

en losProcesos ySoluciones delos Negocios

4Aplicacin de las problemticas y de lastendencias del comercio electrnico

Separacin de la especificacin eimplementacin en la programacinMetodologa de la especificacin derequisitosDiseo del algoritmo; clasificando ybuscando algoritmosManejo de archivosListas encadenadas y rboles binariosCreacin y manipulacin de base de datosPrincipios del buen diseo de la pantalla ydel informe

Desarrollo delSoftware

11

Alineamiento del lenguaje de programasHoras Totales 52

Figura 7Evaluacin de los Procesos de Negocios y Gerencia de RiesgoTemas Hrs Subtemas Nombre del curso HorasControles de entrada/ origenProcedimientos del control de procesoControles de salida

Auditora yDesarrollo deControles deAplicacin

19

Documentacin del sistema de aplicacinHoras Totales 19Gran Total 244 Horas Totales Figuras 1 a la 7


30/62


31/62


31

Figura 1 - Proceso auditora

Sub-tema Hrs DescripcinNombre de los Cursos Tiempo

en horasRelevancia, estructura e indicadores de ungobierno efectivo de TI para organizacionesy auditores de SI; estructura de gobierno de

TIObjetivos de control interno; control internoy la documentacin de SI, i.e., COSO,COCO, KING, Acta Sarbanes-Oxley del2002Clasificacin de Controles: preventivo,deteccin y compensatorio/correctivoControles generales: de organizacin, deseguridad, de funcionamiento general y derecuperacin del desastre, desarrollo,documentacinControles de aplicacin: objetivos de control;clasificaciones de las aplicaciones control,e.g., computarizado/manual;entrada/procesamiento/salida; preventivo/dedeteccin/correctivo, rastros de intervencin


13

COBIT: La estructura y la importancia deCOBIT para las organizaciones y losauditores de SI

Cont 460 Contabilidad delos Sistemas de InformacinCont 451 Auditora I

GSI 471 Anlisis y Diseode los Sistemas

6

2

6

Planificacin estratgica de la auditoraCarta de entendimiento: propsito ycontenido de las cartas de entendimientoValoracin de riesgo: auditora basada enriesgo; mtodos de valoracin de riesgo.Estndares: AS-NZ 4360, CRAMMEvaluacin preliminar de controles internos:

recopilacin de la informacin y evaluacinde las tcnicas de controlPlan de auditora, programa y alcance:cumplimiento vs. prueba sustantiva,aplicacin de la valoracin de riesgo a laauditora

Proceso dePlanificacin

de laAuditora

7

Clasificacin, alcance de las auditoras: e.g.,financiera, operacional, general, aplicacin,OS, fsica, lgica

Cont 451 Auditora ICont 456 Auditora yControl de los Sistemas deInformacin

71

Distribucin/prioritizacin/planificacin/ejecucin/reasignacin de los recursosEvaluando la calidad de la auditora y larevisin entre colegasMejor prctica de identificacinCIS Desarrollo de la carrera de auditoraPlanificacin de la trayectoria de la carreraValoracin del desempeoConsejera y retroalimentacin deldesempeoAdiestramiento (interno/externo)

Gerencia de laAuditora

5

Desarrollo profesional (certificaciones,participacin profesional, etc.)

Cont 451 Auditora I 2


32/62


32

Figura 1 - Proceso auditora

Sub-tema Hrs DescripcinNombre de los Cursos Tiempo

en horasEvidencia: suficiente, confiable, relevante, ytilTcnicas de recopilacin de evidencia, e.g.,

observar, preguntar, entrevistar and probarCumplimiento vs. prueba sustantiva:naturaleza de y diferencia entrecumplimiento y prueba sustantiva; tipos depruebas de cumplimiento; tipos de pruebassustantivasMuestreo: conceptos de muestreo;acercamientos estadsticos y no estadsticos;diseo y seleccin de muestras; evaluacinde los resultados de la muestraTcnicas de auditora computarizadas(CAATs): necesidad de estas ; tipos;planificacin y uso de CAATs; acercamientoen lnea de la auditoraDocumentacin: relacin con evidencia de laauditora; usos de la documentacin;contenido mnimo; custodia, retencin yrecuperacinAnlisis: evaluar la materialidad de losresultados e identificar las condiciones areportarse y alcanzar las conclusiones

Proceso deEvidencia dela Auditora

12

Revisin: provee la garanta razonable deque se han alcanzado los objetivos

Cont 460 Contabilidad delos Sistemas de InformacinCont 451 Auditora I

3

10

Forma y contenido del informe de auditora:propsito; estructura y contenido; estilo;usuario; tipo de opinin; consideracin deacontecimientos subsecuentes

Seguimientoal Reporte de

Auditora3

Acciones de la gerencia para ponerrecomendaciones en ejecucin

Cont 451 Auditora I 4

Horas Totales 58 Total 62

Figura 2 - Gerencia, planificacin y organizacin de los temas de SISub-temas

HrsDescripcin Nombre de los Cursos Tiempo

en HorasGerencia de proyecto IT.

Gerencia de riesgo econmico, social,cultural, gerencia de riesgo tecnolgicoSoftware de gerencia de control de calidadGerencia de infraestructura de IT y

arquitectura de IT, gerencia de laconfiguracinGerencia de entrega de IT (operaciones) y deapoyo (mantenimiento)Medida y divulgacin de funcionamiento:tarjeta de anotacinContratacin externaValoracin de la calidad

GerenciaSI/IT

10

Acercamiento tcnico-social y cultural a lagerencia

GSI 421 Comunicacin dedatos de negocio y procesodistribuidoGSI 471 Anlisis y Diseode los SistemasCont 456 Auditora yControl de los Sistemas deInformacin

1

9

1


33/62


33

Figura 2 - Gerencia, planificacin y organizacin de los temas de SISub-temas

HrsDescripcin Nombre de los Cursos Tiempo

en HorasSI/IT planificacin estratgica estrategiascompetitivas y inteligencia de negocio:enlace a estrategia corporativa

Marcos y aplicaciones de los sistemas deinformacin: tipos de SI - gerencia delconocimiento, sistemas de ayuda de decisin;clasificacin de los sistemas de informacinGerencia de recursos humanos de IT,polticas de los empleados, acuerdos ycontratosSegregacin de deberes

SI/ITPlanificacinEstratgica

8

IS/IT adiestramiento y educacin

GSI 200 Introduccin aGerencia de Sistemas Cont460 Contabilidad de los

Sistemas de InformacinGSI 421 Comunicacin dedatos de negocio y procesodistribuidoCont 456 Auditora yControl de los Sistemas deInformacin

2

12

2

Asuntos legales relacionados a laintroduccin de IT a la empresa(internacional y local)Asuntos de propiedad intelectual en el

espacio ciberntico: marcas registradas,copyright y patentesProblemas ticosPrivacidadGobierno de TI

AsuntosGerenciales

de SI/IT9

Mantenimiento de SI/TI

GSI 200 Introduccin aGerencia de Sistemas deInformacinCont 460 Contabilidad de

los Sistemas de InformacinGSI 471 Anlisis y Diseode los Sistemas Cont 456Auditora y Control de losSistemas de Informacin

1

1

6

1

COBIT Guas de gerencia del marco paragerentes de SI/TICOBIT uso de auditoras comoapoyo para el ciclo del negocio

Marcos yHerramientas

de Apoyo6

Estndares Internacionales - ISO-I7799,Estndares de Privacidad, COCO, COSO,Cadbury, King, ITIL

Cont 460 Contabilidad delos Sistemas de InformacinCont 456 Auditora yControl de los Sistemas deInformacin

1

1

Revisiones de cambio de control

Revisiones operacionalesTcnicas 4Revisiones de ISO 9000

Cont 456 Auditora yControl de los Sistemas deInformacin

3

HorasTotales

37Total 32

Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionalesSub-temas

HrsDescripcin Nombre de los Cursos Tiempo en

horasInfraestructu 25 Arquitectura y estndares de IT GSI 200 Introduccin a 3


34/62


34



horas

Hardware: todo el equipo de IT incluyendola unidad central, las mini computadoras,clientes/servidores, las rebajadoras, los

interruptores, las comunicaciones, las PC,etc.

Software: sistemas operacionales,programas de utilidades, bases de datos, etc.Red: el equipo y los servicios decomunicaciones dedicados paraproporcionar las redes, red relacionada alhardware, red relacionada al software, eluso de los abastecedores de servicio queproporcionan servicios de comunicacin,etc.Controles de la lnea de fondoSeguridad / pruebas y validacinHerramientas de evaluacin y monitoreo dedesempeoGobierno de TIMantenimiento yFuncionamientoMonitoreo de controles de la TI yherramientas de evaluacin, comomonitoreo de sistemas de control de accesoo monitoreo de incursin de sistemas dedeteccin

Gerencia de recursos de informacin einfraestructura: software de Gerencia deempresas

Gerencia de centros de servicio yestndares/guas de las operaciones:COBIT, ITIL, ISO 17799

Problemticas y consideraciones de centrosde servicio vs. Infraestructuras tcnicaspropietarias

ra Tcnica(Planifica-

cin,

Implementa-cin yPractica

Operaciona-les)

Sistemas abiertos

Gerencia de Sistemas deInformacinCont 460 Contabilidad de

los Sistemas de InformacinGSI 421 Comunicacin dedatos de negocio y procesodistribuido

3

27

Gerencia de centros de servicio yestndares/guas de las operaciones:COBIT, ITIL, ISO 17799Gerencia de cambio/Implementacin de

nuevos sistemas: organizacin de lasherramientas usadas para controlar laintroduccin de productos nuevos alambiente del centro de servicio, etc.


Mantenimie

nto de SI yIT pormedio deOrganiza-

ciones

12

Gerencia de Seguridad

Cont 460 Contabilidad delos Sistemas de InformacinGSI 471 Anlisis y Diseode los Sistemas


1

3

4


35/62


35



horasGerencia de Recurso/configuracin :cumplimiento con organizacin/TIestndares operacionales, polticas y

procedimientos (i.e., uso correcto dellenguaje de las computadoras)Gerencia de problemas e incidentesPlanificacin y pronsticos de capacidadGerencia de la distribucin de sistemasautomatizadosAdministracin del lanzamiento y versionesde sistemas automatizadosGerencia de proveedoresEnlaces con clientesGerencia a nivel de serviciosContingencia/ respaldos y Gerencia derecuperacin

Gerencia del centro de llamadasGerencia de las operaciones de lainfraestructura (central y distribuida)Gerencia de redesGerencia de riesgo

dedicadas aestas

actividades

Principios claves de gerenciaHorasTotales

37Total 41

Figura 4Proteccin de los Activos de la InformacinSub-temas


HorasTecnologa informativa y conceptos

bsicos de seguridad,conceptos deseguridad de TI; necesidad de asegurarrecursos de TI, poltica para seguridad deactivos de TI; gerencia en la seguridad deactivos de TI; entrenamiento

Gerencia Dela SeguridadDe los ActivosDe laInformacin

8

Estndares, cumplimiento y aseguramientoen seguridad de TI

GSI 200 Introduccin a

Gerencia de Sistemas deInformacin MIS GSI421Comunicacin de datosde negocio y procesodistribuidoCont 460 Contabilidad delos Sistemas de Informacin

2

1

1

23

Componentes de la seguridad lgica de TI;problemtica en la lgica del control deacceso; software de control de accesoRiesgos lgicos de seguridad,

consideraciones de control y auditora(auditora de acceso lgico, prueba deseguridad)

SeguridadLgica de TI

9

Caractersticas, herramientas yprocedimientos lgicos de la seguridad

Cont 460 Contabilidad delos Sistemas de InformacinGSI 421Comunicacin dedatos de negocio y proceso

distribuidoGSI 471 Anlisis y Diseode los SistemasCont 456 Auditora yControl de los Sistemas deInformacin

1

1

6

2


36/62


36

Figura 4Proteccin de los Activos de la InformacinSub-temas


HorasComunicaciones y seguridad de la red:principios de la seguridad de la red, delservidor de cliente, del Internet y de

servicios tela-basados, de sistemas de laseguridad del cortafuego y de otrosrecursos de la proteccin de la conectividad(criptografa, firmas digitales, polticas degerencia dominantes), sistemas de lasdetecciones de la intrusin, CobiT,revisiones de sistemaInstalaciones de la seguridad de la unidadcentralUso de la base de datos y seguridad bsicosdel sistema

SeguridadAplicada deTI: Recursosde AltaTecnologa

9

Seguridad en el proceso del desarrollo y delmantenimiento del sistema

Cont 460 Contabilidad delos Sistemas de Informacin

GSI 421Comunicacin de

datos de negocio y procesodistribuidoCont 451 Auditora I


1

1

15

Problemticas y exposiciones ambientales:conceptos en la seguridad fsica de TISeguridad

Fsica yAmbiental

3 Exposiciones y controles fsicos del acceso

Cont 460 Contabilidad delos Sistemas de InformacinCont 456 Auditora yControl de los Sistemas deInformacin

1

1

HorasTotales

29Total 29



HorasApoyo y compromiso de la gerencia con elproceso

Preparacin y documentacin del planAprobacin de la gerencia y distribucindel planPrueba, mantenimiento y revisin del plan;entrenamientoRol del auditorProvisiones de los respaldosPlanificacin de la continuidad del negocio

Proteccin dela arquitecturay de losactivos de latecnologa deinformacin:Planificacinde laRecuperacinDel Desastre

10

Anlisis del impacto del negocio

Cont 460 Contabilidad delos Sistemas de Informacin

GSI 421Comunicacinde datos de negocio yproceso distribuidoGSI 471 Anlisis y Diseode los SistemasCont 456 Auditora yControl de los Sistemas deInformacinGIS 470 Gerencia de la Basede Datos

1

1

1

4

1

Descripcin de los SegurosArtculos que pueden ser aseguradosTipos de cobertura de seguroSeguro 2Valoracin de activos: equipo, gente,proceso de la informacin y tecnologa

Cont 456 Auditora yControl de los Sistemas deInformacinCont 451 Auditora I

1

1

HorasTotales

12Total 10


37/62


37

Figura 6 -- Desarrollo, adquisicin, puesta en prctica y mantenimiento del sistema del uso de negocioSub-temas


HorasComponentes para manejar SI(datos-procesos-tecnologas-organizacin);entendie

curricula cisa

Documents