Menu de Diplomado
La dependencia creciente de la información automatizada en las distintas áreas de las organizaciones ha logrado mejorar la calidad y la productividad de las mismas, ratificando a la información y su procesamiento en el centro de las estrategias corporativas; pero al mismo tiempo expone a cada organización a nuevos riesgos y amenazas relacionados con la seguridad, confiabilidad e integridad de la información.
Para prevenir o descubrir ataques o amenazas crecientes, se hace necesario el continuo desarrollo y aplicación de nuevos y modernos enfoques de auditoría de sistemas, evaluación de riesgos y auditoria forense para detectar las vulnerabilidades, los riesgos tecnológicos, prevenir ataques, y definir los controles que fortalezcan a las organizaciones frente a esas amenazas y mitiguen la exposición a los riesgos de índole tecnológico.
Esta condición produce en la comunidad corporativa la necesidad de profesionales preparados en Auditoria Informática y Forense con conocimientos actualizados en versiones modernas de estándares, marcos y modelos reconocidos globalmente como los mejores referentes de las mejores prácticas para realizar las auditorias indicadas.
Paralelamente al crecimiento de la necesidad, en los últimos años hemos visto el desarrollo y posicionamiento global a nivel mundial de modelos, normas y estándares de auditoría y control, que están disponibles para que las organizaciones adopten mejores prácticas en sus sistemas de control interno, y que constituyen una herramienta poderosa para los auditores informáticos, evaluadores de riesgos y auditores forenses. En el presente quinquenio nadie puede desconocer el valor de estas herramientas. Entre estos modelos tenemos:
| MODELO / NORMA / ESTANDAR | DESCRIPCION | |
|---|---|---|
| COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) / COSO-ERM 2017 | CREADO EN 1985. Constituye en los últimos años el principal referente para la implementación y mejoramiento de la administración de los riesgos y del control interno en las actividades estratégicas, operativas, productivas, administrativas y financieras de las organizaciones. Diversos gobiernos en América y el mundo han adoptado COSO como su modelo de referencia para mejorar el control interno en las organizaciones. En Ecuador, la Superintendencia de Bancos y Seguros lo aplica en sus auditorías y lo exige a las instituciones controladas del sistema financiero mediante la resolución sobre riesgo operativo. COSO ha evolucionado a una moderna versión donde adopta un enfoque de evaluación de control interno. COSO-ERM 2017 (Enterprise Risk Management) es aplicable para cualquier tamaño y tipo de empresa en cualquier sector de actividad empresarial. | |
| Estándar ISO 31000:2018 | LIBERADO EN 2018. Se ha posicionado en los recientes años como un importante referente para la administración de riesgos en las operaciones productivas, administrativas y financieras de las organizaciones. Su enfoque de administración de riesgos lo vuelve aplicable para cualquier tamaño y tipo de empresa en cualquier sector de actividad empresarial. Es el único estándar internacional reconocido globalmente para entregar especificaciones sobre la administración de los riesgos. | |
| Control Objectives by Information related Technology (Cobit) Version 5 | Desarrollado específicamente para el control y la gestión de la tecnología de la información, el modelo de control COBIT Integra y concilia normas existentes como: COSO, OECD (Organization for Economic Cooperation and Development), ISO (International Standars Organization), NIST (National Institute of Standars and Technology), DTI (Departament of Trade and Industry of the U.K), ITSEC (Information Technology Security Evaluation Criteria – Europa), TCSEC (Trusted Computer Evaluatión Criteria – Orange Book- E.U), IIA SAC (Institute of Internal Auditors – Systems Auditability and Control), IS Auditing Standars. Todas estas normas regulan actividades y definiciones sobre seguridad informática, riesgos y controles informáticos, y auditoria de sistemas. Las últimas versiones de Cobit consideran un refuerzo a la gestión de sistemas a nivel de Gobierno Corporativo. A nivel mundial los auditores de sistemas de las cuatro principales firmas de auditoría globales (Price Waterhouse & Coopers, Deloitte & Touche, Ernst & Young, KMPG) usan Cobit como herramienta de auditoría informática. | |
| ISO/IEC 27001:2013ISO/IEC 27002:2013 ISO/IEC 27005:2011 |
Norma ISO (certificable a nivel global) para la seguridad de la información, que contempla las especificaciones para implementar en las organizaciones a nivel integral un Sistema de Gestión de la Seguridad de la Información, para proteger la integridad, confidencialidad y disponibilidad de la información donde quiera que esta se encuentre en la empresa, en cualquier forma que esté representada. Incluye un catalogo de controles recomendados, basados en mejores prácticas obtenidos a partir de modelos existentes. El posicionamiento de esta versión a nivel global se ha producido de manera generalizada, de tal modo que existen requerimientos permanentes para capacitación, consultoría y auditoria basadas en esta norma. En Ecuador al menos diez empresas ya han iniciado procesos de adopción de la norma para certificación, y muchas otras solo con la intención de aprovechar sus mejores prácticas. Los auditores de la Superintendencia de Bancos y Seguros del Ecuador usan esta norma para sus auditorías de sistemas sobre las empresas controladas del sistema financiero ecuatoriano. ISO está desarrollando, en los presentes años, complementarias normas y guías dentro de la familia 27000 para apoyar aun más el trabajo de las auditorias y evaluación de riesgos tecnológicos. Una norma destacable es la ISO 27005:2011 para la evaluación de riesgos de la seguridad de la información. | |
| Information Technology Infrastructure Library (ITIL) V3, Update 2011.ISO/IEC 20000:2011 | Compendio de mejores prácticas desarrolladas a fines de los 80s (primera versión) con el apoyo del gobierno británico, establecido como un estándar de facto a nivel europeo hasta que en los últimos años, con la comprensión de que fue considerado como una fuente relevante para el desarrollo de las últimas versiones de Cobit, ISO/IEC 27001, su fama trascendió a nivel global, y hoy ha surgido una tendencia fuerte en América de adoptarlo para cubrir aspectos relacionados con la prestación de servicios informáticos dentro del departamento de sistemas de las organizaciones. Su versión 3, actualización 2011, contempla una visión más amplia sobre la gestión de servicios combinando enfoques de calidad total, servicio al cliente, entre otros aspectos ligados a la productividad. La norma ISO 20000, que contempla un modelo de gestión de servicios de TI, permite a las organizaciones certificar su departamento de TI con respecto a la gestión de servicios. | |
| ISO/IEC 22301:2012,Estándar británico BS 25999 parte 1 y 2, ISO 24762. | Compendio de mejores prácticas sobre la gestión de la continuidad del negocio, en los últimos años, con la liberación de la norma 22301 por parte de ISO, su aceptación se consolido a nivel global. El estándar ISO 24762 se concentra en las especificaciones para el desarrollo de un DRP. |
Objetivos Generales
- Proporcionar al participante la base cognoscitiva necesaria para realizar la auditoria y evaluación estructurada y moderna de las tecnologías de la información y de los servicios y procesos internos; así como de los sistemas de información, infraestructura, procedimientos informáticos, procesamiento de datos, operaciones de usuarios, gestión de TI y estrategias.
- Entrenar al participante en el uso de las normas, estándares, modelos de control, técnicas, mejores prácticas y herramientas globales vigentes disponibles para auditar y evaluar los riesgos tecnológicos de los servicios y las tecnologías de la información, acorde con las necesidades organizacionales de los actuales tiempos.
- Enseñar al participante las opciones de auditoria forense disponibles para colaborar en la investigación de hechos que producen perjuicio a las empresas en el campo informático.
Objetivos Específicos:
- Utilizar adecuadamente los modernos estándares, normas, modelos de control, técnicas, mejores prácticas y herramientas de auditoria, evaluación de riesgos tecnológicos y auditoria forense vigentes, lo cual les permitirá obtener mejores resultados en el cumplimiento de sus responsabilidades en beneficio de las organizaciones para las que trabajan.
- Realizar la auditoria y evaluación de riesgos tecnológicos en base a enfoques estructurados vigentes, lo cual reduce las perdidas por el manejo no estructurado de incidentes, problemas y contingencias.
- Auditar y evaluar los riesgos de las tecnologías de la información aplicando el marco jurídico correspondiente, lo cual reduciría el riesgo legal para la organización.
- Actuales administradores de Departamentos de Auditoria o Seguridad de la información, o personas que desean progresar en la carrera laboral hacia la Gerencia o Vicepresidencia de Auditoria, Riesgos o Seguridad en su empresa.
- Profesionales que desempeñan cargos de: Vicepresidentes, Gerentes, Jefes, Responsables de Auditoria o Seguridad de la Información, Auditores de Sistemas, Especialistas de Riesgo Operativo, Analistas y Consultores Informáticos, quienes desean contar con conocimientos actualizados sobre los estándares y la evaluación de riesgos tecnológicos.
- Graduados Universitarios con Título de Tercer Nivel o egresados en las siguientes carreras: Ingeniería en Computación, Licenciatura en Sistemas, Análisis de Sistemas, Ingeniería Industrial, Estadística e Informática, Auditoría Informática, Masters en Sistemas de Información Gerencial, Masters en Seguridad Informática y demás carreras afines.
El egresado podrá desempeñarse en todos los sectores económicos en el campo de la prevención, detección e investigación del Fraude Corporativo, dentro de un contexto nacional e internacional.
|
Más de 28 años de experiencia en el liderazgo y ejecución de servicios de consultoría y auditoría, en la gerencia de proyectos de varios millones de dólares, y en ventas de productos y servicios, en más de 92 empresas de todos los tamaños, tanto públicas como privadas, en Ecuador y Perú. Durante muchos años: evaluación anual de la gestión informática y riesgos operacionales en más de 25 empresas del sistema financiero en diez provincias del país. Más de 14 años de experiencia en el dictado de clases de Maestría, Diplomado y pregrado en Universidades Prestigiosas de Guayaquil, y en el dictado de seminarios a empresas, y al público, en Costa Rica, Guatemala, Perú y Ecuador. Estudios de especialización en diferentes países.
|
|
Certificado PMP, certificado 27001 Líder Auditor, certificado 9001 Líder Auditor. Coordinador de la Maestría en Sistemas de Información Gerencial, y de la Maestría en Seguridad Informática de la ESPOL, miembro del Directorio de ESPOLTEL, experto para la empresa certificadora COTECNA en sus autorías de calidad en 9001. Director de Proyectos en implementación ERP, Puntos de Venta y TPM, además en proyectos de automatización de procesos. Gerente de tecnología, Gerente de consultoría y asesor en tecnología de varias empresas del Ecuador.
|
|
Karina Astudillo Barahona es Magíster en Administración de Empresas e Ingeniera en Computación y actualmente está elaborando su tesis de grado en la Maestría en Sistemas de Información Gerencial de ESPOL. Karina se desenvuelve como profesora de la Facultad de Ingeniería en Electricidad y Computación de la Escuela Superior Politécnica del Litoral desde 1996. Tiene 12 años de experiencia en Tecnologías de Información y tiene a su haber diferentes certificaciones internacionales como Sun Certified Solaris 10 System Administrator (SCSA), Cisco Certified Network Associate (CCNA) y Cisco Certified Instructor for CCNA, Fundamentals of Network Security I y II, IT Essentials I y II y UNIX Fundamentals. Recientemente fundó ElixirCorp S.A., empresa dedicada a brindar servicios especializados de Asesoría y Capacitación en las áreas de Networking, Unix y Seguridad Informática, en donde Karina ocupa el cargo de Gerente General. Adicionalmente es la Directora de los Programas Cisco Extended Currículum y Sun Academic Initiave de la ESPOL. Sus tópicos de investigación incluyen Seguridad de Redes y Unix.
|
|
DELOITTE Risk Advisory, Cyber Security, Governance Risk and Regulatory Services, PECB, ISO 31000, ISO 27001, ISO 22301, AuISO 22301, ISO 22301, ISO 27032. Gerente Líder en Riesgos Licencia RMLRM1006024-2017-11, Auditor Líder Licencia ISLA1006024-2017-10, Implementador Líder, Licencia ISLI1006024-2017-10, Master, Licencia BCMA1006024-2017-09, Auditor Líder, Licencia PECB- BCLA1006024-2016-08 Implementador Líder, Licencia PECB-BCMSLI-100431, Gerente Líder Ciberseguridad Licencia CSLMN1006024-2017-07. Capacitador certificado para cursos ISO 22301 Implementador Líder & ISO 22301 Auditor Líder & ISO 31000 Gerente de Riesgos & ISO 27001 Implementador Líder & ISO 27001 Auditor Líder DRI Internacional, CBCP Associate Business Continuity Professional Licencia 36580 The Institute for Internal Controls – IIC (United States), CICA Certified Internal Control Auditor Licencia 15036448, Asociación de Auditoría y Control de Sistemas de Información – ISACA (Guayaquil – Ecuador) CISA Certified Information Systems Auditor Licencia 534071 Asociación.
|
| Módulo | Duración | |
|---|---|---|
| I | Auditoría de la Gestión de Riesgo Operativo y Control Interno basado en COSO ERM 2017, Recomendaciones de Basilea y Estándar ISO 31000:2018. | 24 horas |
| II | Auditoría y Evaluación de Riesgos de Seguridad de Información basados en Normas ISO/IEC 27000. | 24 horas |
| III | Auditoría Informática Forense. | 24 horas |
| IV | Auditoría y Evaluación de Riesgos sobre la Continuidad del Negocio y la Recuperación de Desastres Informáticos basados en Normas ISO 22301:2019, NIST, Cobit 2019, ITILV4. | 24 horas |
| V | Auditoría sobre Ciberseguridad basada en Gestión de Riesgos. | 16 horas |
Coordinador: Ing. Lenín Freire CoboMail: lfreire@espol.edu.ecAsistente de Maestría: Lcda. Pilar Giler de GalioMail: postgrados1@fiec.espol.edu.ecTeléfonos: 593-04- 2081156 Ext. 2 / 593 – 999-578269
La dependencia creciente de la información automatizada en las distintas áreas de las organizaciones ha logrado mejorar la calidad y la productividad de las mismas, ratificando a la información y su procesamiento en el centro de las estrategias corporativas; pero al mismo tiempo expone a cada organización a nuevos riesgos y amenazas relacionados con la seguridad, confiabilidad e integridad de la información.
Para prevenir o descubrir ataques o amenazas crecientes, se hace necesario el continuo desarrollo y aplicación de nuevos y modernos enfoques de auditoría de sistemas, evaluación de riesgos y auditoria forense para detectar las vulnerabilidades, los riesgos tecnológicos, prevenir ataques, y definir los controles que fortalezcan a las organizaciones frente a esas amenazas y mitiguen la exposición a los riesgos de índole tecnológico.
Esta condición produce en la comunidad corporativa la necesidad de profesionales preparados en Auditoria Informática y Forense con conocimientos actualizados en versiones modernas de estándares, marcos y modelos reconocidos globalmente como los mejores referentes de las mejores prácticas para realizar las auditorias indicadas.
Paralelamente al crecimiento de la necesidad, en los últimos años hemos visto el desarrollo y posicionamiento global a nivel mundial de modelos, normas y estándares de auditoría y control, que están disponibles para que las organizaciones adopten mejores prácticas en sus sistemas de control interno, y que constituyen una herramienta poderosa para los auditores informáticos, evaluadores de riesgos y auditores forenses. En el presente quinquenio nadie puede desconocer el valor de estas herramientas. Entre estos modelos tenemos:
| MODELO / NORMA / ESTANDAR | DESCRIPCION | |
|---|---|---|
| COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) / COSO-ERM 2017 | CREADO EN 1985. Constituye en los últimos años el principal referente para la implementación y mejoramiento de la administración de los riesgos y del control interno en las actividades estratégicas, operativas, productivas, administrativas y financieras de las organizaciones. Diversos gobiernos en América y el mundo han adoptado COSO como su modelo de referencia para mejorar el control interno en las organizaciones. En Ecuador, la Superintendencia de Bancos y Seguros lo aplica en sus auditorías y lo exige a las instituciones controladas del sistema financiero mediante la resolución sobre riesgo operativo. COSO ha evolucionado a una moderna versión donde adopta un enfoque de evaluación de control interno. COSO-ERM 2017 (Enterprise Risk Management) es aplicable para cualquier tamaño y tipo de empresa en cualquier sector de actividad empresarial. | |
| Estándar ISO 31000:2018 | LIBERADO EN 2018. Se ha posicionado en los recientes años como un importante referente para la administración de riesgos en las operaciones productivas, administrativas y financieras de las organizaciones. Su enfoque de administración de riesgos lo vuelve aplicable para cualquier tamaño y tipo de empresa en cualquier sector de actividad empresarial. Es el único estándar internacional reconocido globalmente para entregar especificaciones sobre la administración de los riesgos. | |
| Control Objectives by Information related Technology (Cobit) Version 5 | Desarrollado específicamente para el control y la gestión de la tecnología de la información, el modelo de control COBIT Integra y concilia normas existentes como: COSO, OECD (Organization for Economic Cooperation and Development), ISO (International Standars Organization), NIST (National Institute of Standars and Technology), DTI (Departament of Trade and Industry of the U.K), ITSEC (Information Technology Security Evaluation Criteria – Europa), TCSEC (Trusted Computer Evaluatión Criteria – Orange Book- E.U), IIA SAC (Institute of Internal Auditors – Systems Auditability and Control), IS Auditing Standars. Todas estas normas regulan actividades y definiciones sobre seguridad informática, riesgos y controles informáticos, y auditoria de sistemas. Las últimas versiones de Cobit consideran un refuerzo a la gestión de sistemas a nivel de Gobierno Corporativo. A nivel mundial los auditores de sistemas de las cuatro principales firmas de auditoría globales (Price Waterhouse & Coopers, Deloitte & Touche, Ernst & Young, KMPG) usan Cobit como herramienta de auditoría informática. | |
| ISO/IEC 27001:2013ISO/IEC 27002:2013 ISO/IEC 27005:2011 |
Norma ISO (certificable a nivel global) para la seguridad de la información, que contempla las especificaciones para implementar en las organizaciones a nivel integral un Sistema de Gestión de la Seguridad de la Información, para proteger la integridad, confidencialidad y disponibilidad de la información donde quiera que esta se encuentre en la empresa, en cualquier forma que esté representada. Incluye un catalogo de controles recomendados, basados en mejores prácticas obtenidos a partir de modelos existentes. El posicionamiento de esta versión a nivel global se ha producido de manera generalizada, de tal modo que existen requerimientos permanentes para capacitación, consultoría y auditoria basadas en esta norma. En Ecuador al menos diez empresas ya han iniciado procesos de adopción de la norma para certificación, y muchas otras solo con la intención de aprovechar sus mejores prácticas. Los auditores de la Superintendencia de Bancos y Seguros del Ecuador usan esta norma para sus auditorías de sistemas sobre las empresas controladas del sistema financiero ecuatoriano. ISO está desarrollando, en los presentes años, complementarias normas y guías dentro de la familia 27000 para apoyar aun más el trabajo de las auditorias y evaluación de riesgos tecnológicos. Una norma destacable es la ISO 27005:2011 para la evaluación de riesgos de la seguridad de la información. | |
| Information Technology Infrastructure Library (ITIL) V3, Update 2011.ISO/IEC 20000:2011 | Compendio de mejores prácticas desarrolladas a fines de los 80s (primera versión) con el apoyo del gobierno británico, establecido como un estándar de facto a nivel europeo hasta que en los últimos años, con la comprensión de que fue considerado como una fuente relevante para el desarrollo de las últimas versiones de Cobit, ISO/IEC 27001, su fama trascendió a nivel global, y hoy ha surgido una tendencia fuerte en América de adoptarlo para cubrir aspectos relacionados con la prestación de servicios informáticos dentro del departamento de sistemas de las organizaciones. Su versión 3, actualización 2011, contempla una visión más amplia sobre la gestión de servicios combinando enfoques de calidad total, servicio al cliente, entre otros aspectos ligados a la productividad. La norma ISO 20000, que contempla un modelo de gestión de servicios de TI, permite a las organizaciones certificar su departamento de TI con respecto a la gestión de servicios. | |
| ISO/IEC 22301:2012,Estándar británico BS 25999 parte 1 y 2, ISO 24762. | Compendio de mejores prácticas sobre la gestión de la continuidad del negocio, en los últimos años, con la liberación de la norma 22301 por parte de ISO, su aceptación se consolido a nivel global. El estándar ISO 24762 se concentra en las especificaciones para el desarrollo de un DRP. |
Objetivos Generales
- Proporcionar al participante la base cognoscitiva necesaria para realizar la auditoria y evaluación estructurada y moderna de las tecnologías de la información y de los servicios y procesos internos; así como de los sistemas de información, infraestructura, procedimientos informáticos, procesamiento de datos, operaciones de usuarios, gestión de TI y estrategias.
- Entrenar al participante en el uso de las normas, estándares, modelos de control, técnicas, mejores prácticas y herramientas globales vigentes disponibles para auditar y evaluar los riesgos tecnológicos de los servicios y las tecnologías de la información, acorde con las necesidades organizacionales de los actuales tiempos.
- Enseñar al participante las opciones de auditoria forense disponibles para colaborar en la investigación de hechos que producen perjuicio a las empresas en el campo informático.
Objetivos Específicos:
- Utilizar adecuadamente los modernos estándares, normas, modelos de control, técnicas, mejores prácticas y herramientas de auditoria, evaluación de riesgos tecnológicos y auditoria forense vigentes, lo cual les permitirá obtener mejores resultados en el cumplimiento de sus responsabilidades en beneficio de las organizaciones para las que trabajan.
- Realizar la auditoria y evaluación de riesgos tecnológicos en base a enfoques estructurados vigentes, lo cual reduce las perdidas por el manejo no estructurado de incidentes, problemas y contingencias.
- Auditar y evaluar los riesgos de las tecnologías de la información aplicando el marco jurídico correspondiente, lo cual reduciría el riesgo legal para la organización.
- Actuales administradores de Departamentos de Auditoria o Seguridad de la información, o personas que desean progresar en la carrera laboral hacia la Gerencia o Vicepresidencia de Auditoria, Riesgos o Seguridad en su empresa.
- Profesionales que desempeñan cargos de: Vicepresidentes, Gerentes, Jefes, Responsables de Auditoria o Seguridad de la Información, Auditores de Sistemas, Especialistas de Riesgo Operativo, Analistas y Consultores Informáticos, quienes desean contar con conocimientos actualizados sobre los estándares y la evaluación de riesgos tecnológicos.
- Graduados Universitarios con Título de Tercer Nivel o egresados en las siguientes carreras: Ingeniería en Computación, Licenciatura en Sistemas, Análisis de Sistemas, Ingeniería Industrial, Estadística e Informática, Auditoría Informática, Masters en Sistemas de Información Gerencial, Masters en Seguridad Informática y demás carreras afines.
El egresado podrá desempeñarse en todos los sectores económicos en el campo de la prevención, detección e investigación del Fraude Corporativo, dentro de un contexto nacional e internacional.