UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

Universidad del Perú, Decana de América

FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

UNIDAD DE POSGRADO

Diplomatura en Especialización en Auditoría y Seguridad

de Tecnologías de Información
SÍLABO
I. DATOS GENERALES

1.1. Asignatura : Auditoría de Tecnologías y Sistemas de Información

1.2. Código : J5101B
1.3. Semestre : 2018-I
1.4. Número de Créditos : 4.0
1.5: Número de Horas : 3hrs semanales
1.6. Prerrequisito : Ninguno
1.7. Turno : Único
1.8. Profesor Responsable : Mg. Ing. Ernesto Cancho-Rodríguez

II. SUMILLA

La presente asignatura es de naturaleza especializada, de tipo obligatorio y de carácter teórico-práctico. Esta

asignatura tiene el propósito de brindar al participante conocimientos concernientes a la Auditoría de Tecnologías y
Sistemas de Información, así como a sus fundamentos, procesos y normas. Además de todo ello, la elaboración de
planes, que culmina con la elaboración de un plan de auditoría de TI. Se desarrollará por lo tanto en el estudiante las
competencias correspondientes a la aplicación práctica de los métodos respectivos.

III. ASPECTOS DEL PERFIL DE EGRESO

Este curso contribuye al propósito de que el alumno desarrolle nuevas competencias profesionales, tales como la
competencia de ser capaz de comprender, de apropiar y de implementar técnicas, métodos y estándares de auditoría
informática, así como también la competencia profesional de formular planes de mejora en el contexto de la auditoría
de tecnologías y sistemas de información para sus propios proyectos.

Al finalizar la diplomatura, el egresado estará en condiciones de liderar la transformación digital de organizaciones en

cuanto a la adopción y el uso de los estándares y los marcos normativos existentes en el ámbito de la auditoría y
seguridad de las tecnologías de la información.

IV. COMPETENCIAS DE LA ASIGNATURA

La asignatura contribuye a que el alumno logre desarrollar las competencias implicadas en el aprendizaje de los
fundamentos de auditoría y la implementación de controles, de tal manera que al finalizar el curso el alumno:
4.1. Comprende y aplica los fundamentos básicos de la auditoría de sistemas de información.
4.2. Distingue los objetivos de la implementación de normas y estándares de auditoría de tecnologías de información
y comprende los comprende sus aspectos principales.
4.3. Conoce los lineamientos para la formulación de planes de mejora en el contexto de la auditoría informática.

V. PROGRAMACIÓN DE CONTENIDOS Y ACTIVIDADES

- UNIDAD 1: Fundamentos de Auditoría de Tecnologías y Sistemas de Información.

- Logros de Aprendizaje (Perfil ATSI, Sección III):

- Comprende los fundamentos y la terminología de la auditoría informática.
- Identifica los principales conceptos en el campo de la auditoría.

- Nro. de horas: 4 horas por semana

- Semana(s) Nro.: 01-02

- Tema/Contenido: - Actividades:
1. Introducción. Fundamentos de la Auditoría a. Presentación del Curso.
de Tecnologías de la Información. b. Organización y Asignación de Trabajos.
2. Definiciones y conceptos básicos del campo c. Revisión de Sílabo del Curso.
de la auditoría informática.
3. Definiciones y conceptos principales de activos
de información, amenazas y vulnerabilidades.

– Página 1 de
 - Lectura Selecta:
- PIATINNI & DEL PESO (2013). Auditoria Informática. Editorial RAMA.
- Prof. Ernesto Cancho-Rodríguez (2018), "Sílabo de la Asignatura de Auditoría de Tecnologías y Sistemas de
Información (Diplomado en Especialización en Auditoría y Seguridad de Tecnologías de Información)",
edición 2018-I, UPG, Facultad de Ingeniería de Sistemas e Informática, UNMSM.
- Técnicas y Estrategias Didácticas a Emplear: Aprendizaje Colaborativo: Las sesiones son de tipo conferencia
dialogada, con debate grupal, lo que favorece permanentemente el trabajo en equipo y el aprendizaje
colaborativo.
- Equipos y Materiales: Proyector multimedia, material y textos de consulta digitales.

- UNIDAD 2: Función, Tipos y Fases de la Auditoría Informática.

- Logros de Aprendizaje (Perfil ATSI, Sección III):

- Analiza, comprende y explica las diferentes fases de la auditoría de sistemas y tecnologías de la información.
- Analiza, investiga y explica los diversos tipos de auditoría y su función.

- Nro. de horas: 4 horas por semana

- Semana(s) Nro.: 03-04

- Tema/Contenido: - Actividades:
1. Función de la Auditoría Informática. a. La sesión es de tipo conferencia dialogada,
2. Tipos de Auditoría de Sistemas. con diálogo grupal.
3. Fases de la Auditoría de Sistemas de Información. b. Se cierra con la primera presentación de la labor
de la investigación.
- Lectura Selecta:
- PIATINNI & DEL PESO (2013). Auditoria Informática. Editorial RAMA.
- "ISO 27001.ES": Portal online de la Norma ISO 27001 en español (http://www.iso27000.es/).
- Técnicas y Estrategias Didácticas a Emplear: Aprendizaje Colaborativo: Las sesiones son de tipo conferencia
dialogada, con debate grupal, lo que favorece permanentemente el trabajo en equipo y el aprendizaje
colaborativo.
- Equipos y Materiales: Proyector multimedia, material y textos de consulta digitales.

- UNIDAD 3: Gestión de Riesgos en la Auditoría de Sistemas

- Logros de Aprendizaje (Perfil ATSI, Sección III):

- Identifica e interpreta los riesgos para formular recomendaciones y planes de acción.
- Analiza funciones de control interno.
- Nro. de horas: 4 horas por semana
- Semana(s) Nro.: 05-06

- Tema/Contenido: - Actividades:
1. Análisis de riesgos, identificación, a. La sesión es de tipo conferencia dialogada,
evaluación y mitigación de riesgos. con debate grupal. Presentación.
2. Control de riesgos en sistemas de información. b. Trabajo en equipo y aprendizaje colaborativo.
2. Sistema y funciones de control interno.
- Lectura Selecta:
- Libro “Norma ISO 31000 de Riesgos Corporativos”. Autor: Carlos Ormella Meyer (2014).
- Norma ISO/IEC 31000:2018. GESTIÓN DEL RIESGO. Principios y Directrices.
- Fernández Sánchez, C., Piattini Velthuis, M. (2012). Modelo para el Gobierno de las TIC basado en las
Normas ISO. AENOR. (Asociación Española de Normalización y Certificación), España.
- Técnicas y Estrategias Didácticas a Emplear: Aprendizaje Colaborativo: Las sesiones son de tipo conferencia
dialogada, con debate grupal, lo que favorece permanentemente el trabajo en equipo y el aprendizaje
colaborativo.
- Equipos y Materiales: Proyector multimedia, material y textos de consulta digitales.
- UNIDAD 4: Alcances de Estándares Internacionales y la Norma Técnica Peruana.

- Logros de Aprendizaje (Perfil ATSI, Sección III):

- Analiza y comprende estándares contemporáneos aplicados en el campo de la auditoría de sistemas.
- Identifica los alcances de la normatividad derivada de los estándares internacionales..
- Nro. de horas: 4 horas por semana
- Semana Nro.: 07-08

- Tema/Contenido: - Actividades:
1. Auditoría Informática, Gobierno de TI y a. La sesión es de tipo conferencia dialogada,
Seguridad de la Información según la ISO 27001. con debate grupal.
2. Alcances de la Norma Técnica Peruana b. Trabajo en equipo y aprendizaje colaborativo.
conocida como NTP 27001:2014. c. Presentación.
- Lectura Selecta:
- ISO 27001.ES. Es el portal online de la ISO 27001 en español (http://www.iso27000.es/).
- NTP ISO/IEC 27001:2014. Norma Técnica Peruana NTP-ISO/IEC 27001 (2014). Tecnologías de la
Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. ONGEI (2016),
Perú.
 - NTP ISO/IEC 27002:2017. Norma Técnica Peruana NTP-ISO/IEC 27001 (2017). Tecnologías de la
Información. Técnicas de Seguridad. Código de Prácticas para Controles de Seguridad de la Información.
Autor:
INACAL, Gobierno del Perú (2017).
 - Técnicas y Estrategias Didácticas a Emplear: Aprendizaje Colaborativo: Las sesiones son de tipo conferencia
dialogada, con debate grupal, lo que favorece permanentemente el trabajo en equipo y el aprendizaje
colaborativo.
- Equipos y Materiales: Proyector multimedia, material y textos de consulta digitales.

- UNIDAD 5: Planes de Auditoría de Tecnologías de la Información.

- Logros de Aprendizaje (Perfil ATSI, Sección III):

- Analiza y aplica la planeación de auditoría de tecnologías y sistemas de información.
- Comprende y explica el vínculo con el planeamiento estratégico de TI.
- Nro. de horas: 4 horas por semana
- Semana Nro.: 09

- Tema/Contenido: - Actividades:
1. Planeación de la Auditoría de Sistemas. a. La sesión es de tipo conferencia dialogada,
2. Formulación y Elaboración de los Planes de con análisis grupal.
Auditoría de Tecnologías y Sistemas de b. Presentación de trabajos finales.
Información. c. Examen Final.
3. Planeamiento Estratégico de TI.
- Lectura Selecta:
- PIATINNI & DEL PESO (2013). Auditoria Informática. Editorial RAMA.
- NTP ISO/IEC 27001:2014. Norma Técnica Peruana NTP-ISO/IEC 27001 (2014). Tecnologías de la
Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. ONGEI (2016),
Perú.
- ISO 27001.ES. Es el portal online de la ISO 27001 en español (http://www.iso27000.es/).
- Técnicas y Estrategias Didácticas a Emplear: Aprendizaje Colaborativo: Las sesiones son de tipo conferencia
dialogada, con debate grupal, lo que favorece permanentemente el trabajo en equipo y el aprendizaje
colaborativo.
- Equipos y Materiales: Proyector multimedia, material y textos de consulta digitales.

VI. METODOLOGÍA

- El curso se desarrollará en la modalidad de curso y la de taller. Los participantes culminarán con la capacidad de
llevar a cabo la aplicación práctica de los conocimientos adquiridos con respecto a los fundamentos de la auditoría
informática ya que estamos comprometidos con una formación profesional dirigida a contribuir a que el egresado
complete cabalmente el desarrollo de nuevas competencias profesionales.

- Aprendizaje Colaborativo: Las sesiones son de tipo conferencia dialogada, con debate grupal, lo que favorece
permanentemente el trabajo en equipo y el aprendizaje colaborativo.

VII. EVALUACIÓN

7.1. Criterios: Por ser un curso de aplicación de conocimientos a la carrera, se tomarán en cuenta las participaciones,
la colaboración y las propuestas de solución a lo planteado durante la clase. La evaluación se realizará también en
base al desarrollo de trabajos individuales y de manera grupal.
7.2. Procedimientos:
La evaluación será del siguiente modo:
- Promedio de Lectura y Debate del Material de Lectura (Participación): E1
- Examen Final: E2
- Exposición: E3
- Trabajo Final: E4

7.3. Instrumentos: Trabajo Final. Examen. Evaluación Continua de la Participación/Colaboración con el profesor.

7.4. Promedio Final (PF): Se calcula de la siguiente forma: PF = 0.30*E1 + 0.20*E2 + 0.30*E3 + 0.20*E4

La nota final del curso se expresa en la escala vigesimal. La nota mínima aprobatoria de un curso es once (11.00).

VIII. BIBLIOGRAFÍA

- PIATINNI & DEL PESO (2013). Auditoria Informática. Editorial RAMA.

- Norma Técnica Peruana ISO/IEC 27001:2014. NTP-ISO/IEC 27001 (2014). Tecnologías de la Información.
Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. ONGEI (2016), Perú.

- Norma ISO/IEC 27000:2014. Sistema de Gestión de Seguridad de la Información. Vocabulario.

- Norma Técnica Peruana ISO/IEC 27002:2017. NTP-ISO/IEC 27001 (2017). Tecnologías de la Información.
Técnicas de Seguridad. Código de Prácticas para Controles de Seguridad de la Información. Autor: INACAL,
Gobierno del Perú (2017).
 - Norma ISO/IEC 27005:2011. Information Security Risk Management. Gestión del Riesgo de la Seguridad de
la Información.
 - Norma ISO/IEC 31000:2018. GESTIÓN DEL RIESGO. Principios y Directrices.

- “Norma ISO 31000 de Riesgos Corporativos”. Autor: Carlos Ormella Meyer (2014).

- “Normas ISO de Seguridad de Información”. Autor: Carlos Ormella Meyer (2014).

- Presidencia del Consejo de Ministros - ONGEI. (2016). Resolución Ministerial N° 004-2016-PCM.

Aprobación de la Norma Técnica Peruana NTP-ISO/IEC 27001:2014. Tecnología de la Información. Técnicas de
Seguridad. Sistemas de Gestión de Seguridad de la Información.

- Fernández Sánchez, C., Piattini Velthuis, M. (2012). Modelo para el Gobierno de las TIC basado en las
Normas ISO. AENOR. (Asociación Española de Normalización y Certificación), España.

- Ballester, M. (2010). Gobierno de las TIC - ISO/IEC 38500. ISACA Journal.

- ISACA. (2012). COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.

- Marulanda C. (2009). Modelos de Desarrollo para Gobierno de TI. Universidad Tecnológica de Pereyra.
Colombia.

- Project Management Institute. (2013). Guía de los Fundamentos para la Dirección de Proyectos (Guía del
PMBOK®). Quinta Ed.

- Perkins, B. (2009). Gobierno corporativo en la era digital. Disponible en:

http://www.astic.es/sites/default/files/articulosboletic/boletic_81-tecno3-jose_carrillo.pdf (Computer
World).

- ISO/IEC 31000:2009. GESTIÓN DEL RIESGO. Principios y Directrices.

- NTP ISO 12207:2016, Norma Técnica Peruana NTP-ISO/IEC 12207, (2016) "Ingeniería de Software y Sistemas.
Procesos del Ciclo de Vida del Software", (3ra Ed.), DN (Dirección de Normalización) – INACAL, Gobierno del
Perú.
- ISO/IEC 9126, Serie de Normas ISO/IEC 9126 "Software Engineering – Product Quality". Standard internacional
publicado por la International Organization for Standardization, Ginebra, Suiza.

- ISO/IEC 12207. Systems and software engineering – Software life cycle processes". Standard internacional
publicado por la International Organization for Standardization, Ginebra, Suiza.

- IMPORTANTES RECURSOS ONLINE Y REVISTAS CIENTÍFICAS INDEXADAS:

- Certificaciones ISO 27001: www.ISO.org.

- "ISO 27001.ES": Portal online de la Norma ISO 27001 en español (http://www.iso27000.es/).

- https://www.iso.org/isoiec-27001-information-security.html

- Revistas de la IEEE: http://ieeexplore.ieee.org/Xplore/home.jsp

- Association for Computing Machinery (ACM): http://portal.acm.org/portal.cfm
- Elsevier: www.elsevier.com (buscar com www.scirus.com).