Información Xeral sobre o Curso de Auditoría Informática

Dentro do Programa de Formación do CPEIG para o ano 2010 está prevista a realización dun curso de Auditoría Informática. Ao mesmo están convocados/as todos/as os colexiados/as que desexen formarse nesta disciplina da nosa profesión.

Logotipos do Plan Avanza e da Fundación para o Fomento da Calidade Industrial e o Desenvolvemento Tecnolóxico de Galicia

Obxectivos

Formar e entrenar a Enxeñeiros en Informática na disciplina da auditoría en informática

Audiencia

Enxeñeiros/as ou Licenciados/as en Informática con perfil de auditores/as e consultores/as de informática.

Cronometría

Programado para 4 sesións de 5 horas cada unha delas, sumando un total de 20 horas lectivas. As sesións repártense en 2 módulos, un adicado á auditoría como profesión e outro centrado na auditoría software.

Metodoloxía

Logo da introdución dos contidos teóricos, o curso estará fortemente orientado á exposición práctica por parte dos poñentes de casos, experiencias e exercicios reais que serán comentados e realizados polo alumnado.

Material didáctico

Apuntamentos de cada módulo para facer un seguimento da exposición.

Entregarase o libro: PIATTINI, Mario y GARZÁS, Javier; Fábricas de software: experiencias, tecnologías y organización. 2ª edición. RA-MA. 2010.

Programa

Módulo I. Auditoría informática como profesión

Obxectivo

Aportar aos asistentes coñecementos e información para que poidan saber dende a experiencia práctica en que consiste a auditoría informática, a súa posible utilidade, cómo abordala e realizala e como "sufrila" por parte dos auditados.

Contido

A Auditoría en Informática. Auditoría de Sistemas de Información. Auditoría e Control. O auditor e perfil. Independencia. CISA. Auditoría interna e externa ¿mixta? Creación da interna.

Como xorde unha auditoría externa (entidade pública ou privada). Pasos. Razóns do cliente para pensar en auditoría externa vs interna.

Criterios para seleccionar a entidades auditoras. Experiencia. CISAs. Determinar tipo de auditoría, obxectivos, alcance, profundidade, marco temporal e económico.

Solicitar información. Recibir prego / posible documentación ¿compromiso de confidencialidade? Auditoría vs consultoría.

Visión dos posibles auditados: de responsables, de técnicos... impacto no seu traballo, nivel de sinceridade. Auditoría e autodiagnóstico?

Viabilidade ¿podemos / queremos? Posible falta de: independencia, de perfís adecuados, doutros recursos, orzamento baixo, prazo curto, sobrecarga... ¿subcontratamos?Elaboración da proposta. ¿Quen contrata? ¿Nivel? Estimación de esforzo e tempo. Posible planificación incluída. ¿Especialistas externos? Perfil dos auditores. Equipo de traballo. Instrumentación dos colaboradores externos.

Casos en que afecta a un terceiro auditado: encargado do tratamento. Ou caso de revisións para grupos de empresas contratadas pola matriz, ou multinacionais.

Aprobación ¿verbal? ¿atrasouse? ¿formalizar contrato? Recepción de documentación / Planificación de entrevistas e verificacións.

Fases do traballo. Programa de actividades e tarefas. Precedencias. Fitos. Xestión do proxecto. Informes e reunións de seguimento. Posibles incidencias que poden xurdir. Fontes. Papeis de traballo.

Traballo de campo. Realización de entrevistas. Mostraxes, cuestionarios... ¿Quen coordina? ¿quen controla accesos? ¿quen audita aos auditores? Relación entre os internos e os externos e con responsables de Informática / SdI / TI, e con Administradores de Seguridade.

Verificacións: contra normativa interna, ISO / UNE, COBIT de ISACA, contratos. Estándares e Guías de ISACA. Necesidade de evidencias.

Tipos de auditoría: de seguridade, de calidade de servizo, de xestión, de datos persoais (e videovigilancia), só técnica, xurídica, de cumprimento... Puntos a ter en conta.

Ampliación de auditoría da seguridade. Instalacións. Sistemas. Bases de datos. Comunicacións. Continuidade.

Elaboración do informe (borrador) ¿cantos niveis de informes? ¿cadros? ¿*métricas? ¿cores? Revisión cruzada multinivel. Posible comparación con anteriores ¿informes feitos por outros?

¿Entrega / envío ao cliente? ¿Formato, protección? ¿A quen dar / mostrar? Discusión do informe. Esixen que se cambien ou anulen cousas.

Escenarios posibles: auditados ex-auditores, auditores ex-auditados, o proxecto alárgase, non verifican o borrador, piden máis cousas, excedemos as estimacións internas, hai cambios organizativos no cliente, queren que os auditores implantemos, *npídenvos un certificado...

Fin da asistencia ¿seguimento das implantacións? ¿haberá continuidade?

Situacións en xeral: demasiada carga de proxectos, pouca carga, pagos atrásanse... solapamiento de varias auditorías diferentes. Se intercalarán posibles casos a desenvolver polos asistentes, e comentar / discutir.

Incluiranse preguntas CISA reais de mostra, con finalidade pedagóxica, que os asistentes contestan, e coméntanse. De especial utilidade para quen pensen presentarse ao exame no futuro, ou llo estean expondo.

Módulo II. Mellora e certificación dos sistemas de información do software actual

Obxectivo

Comprender os procesos sistemáticos de avaliación obxectiva do software, a nivel do seu proceso de desenvolvemento e a nivel dos produtos resultantes do mesmo.

Contidos

Capítulo 1: Visión Xeral da Calidade nos Sistemas de Información

Situación do sector e da calidade dos sistemas de información.

Conceptos sobre calidade e mellora de procesos.

Situación actual na industria Española.

Capítulo 2: Modelos de Procesos e Metodoloxías de Desenvolvemento

O modelo CMMI (Capability Maturity Model Integration).

A norma ISO/IEC 15504 e o modelo de procesos ISO/IEC 12207. Diferentes esquemas de certificación.

Xestión de servizos de TI: ITIL, ISO/IEC 20000 e CMMI - SVC.

As metodoloxías de desenvolvemento: pesadas, áxiles e híbridas. SCRUM

Capítulo 3: Outros modelos e Certificacións

Calidade do produto. As normas ISO/IEC 9126 / ISO/IEC 25000.

Validación e verificación do software (ISO 29119).

Externalización do software (CMMI-ACQ e eSCM).

Outros modelos (Cobit, TMMI, etc.).

Certificacións profesionais de carácter persoal.

Goberno de IT.

Docentes

Módulo I. Auditoría informática como profesión

Prof. Dr. Miguel Ángel Ramos.

Doutor en Informática (Tese: Sistemas Expertos aplicados á Auditoría Informática). Cum laude. Universidade Politécnica de Madrid (24-9-1990).

Dirixiu numerosos proxectos de auditoría informática en España e noutros países, en case todos os sectores de actividade durante 18 anos.

É Profesor (Asociado) de Auditoría Informática, de Auditoría de Sistemas de Información e de Calidade de software na Universidade Carlos III de Madrid e foi á vez durante anos de Auditoría Informática na Universidade Nacional de Educación a Distancia (en Ensino Aberto e en Doutoramento).

Foi durante doce anos (desde a fundación) profesor de MBAs na Escola de Negocios IEDE (Sistemas de Información)

Impartiu moitos cursos de Auditoría Informática en IBM, IIR, INAP, Cuba, Panamá, Chile, Portugal, e de Control en varios Países do Leste (proxecto europeo PHARE)?

Socio Director de IEE - INFORMÁTICOS EUROPEOS EXPERTOS, entidade que fundou en 1990 e Presidente desde 1994

Corenta e uns anos de experiencia en Informática como informático: programador, analista, directivo, auditor informático (18 anos de experiencia)

Foi o primeiro Presidente da Organización de Auditoría Informática e do Capítulo Español da EDP Auditors Association (agora ISACA, Information Systems Audit and Control Association)

CISA ("Certified Information Systems Auditor") pola EDPAF, agora ISACF

Coautor de varios libros sobre auditoría, seguridade e protección de datos (pódense ver en www.iee.es). Relator en congresos (entre eles a edición de 2008 deste mesmo curso), autor de artigos.

Sobre Auditoría Informática dirixiu unha tese doutoral na Universidade Carlos III e numerosos proxectos Fin de Carreira e Fin de Master (en total uns 50)

Módulo II. Mellora e certificación dos sistemas de información na industria do software actual.

Prof. Dr. Javier Garzás

Doutor (cum laude por unanimidade) e Enxeñeiro Superior en Informática (premio extraordinario), Master en Enterprise Application Integration (premiado por Pricewaterhousecopers), CISA (Certified Information Systems Auditor) pola ISACA (Information Systems Audit and Control Association) e CSQE (Software Quality Engineer Certification) pola ASQ (American Society for Quality).

Comezou a súa carreira profesional en ALTRAN, como consultor senior en TIC e responsable do centro de competencias en enxeñaría do software, onde participa en varios proxectos estratéxicos, destacando ser responsable de enxeñaría software de TELEFÓNICA MÓBILES corporación, participar no redeseño do sistema SACTA de INDRA para o control de tráfico aéreo e liderar a automatización da simulación da da rotativa do MUNDO. Máis tarde foi responsable da mellora da calidade software e responsable de proxectos de desenvolvemento software de mCENTRIC, participando nas implantacións para as operadoras de NIXERIA, MÉJICO e ESPAÑA. Posteriormente foi DIRECTOR EXECUTIVO E DE INFORMÁTICA de empresa de desenvolvemento de ERPs para a xestión como maior número de clientes en España.

Desde 2006 é SOCIO-DIRECTOR de KYBELE CONSULTING, e consultor estratéxico, liderando varios proxectos en administracións e empresas como INFORMÁTICA DA COMUNIDADE DE MADRID (ICM), RENFE, DIRECCIÓN XERAL DE TRÁFICO (DXT), ALHAMBRA - EIDOS, IECISA, MINISTERIO DE ADMINISTRACIÓNS PÚBLICAS (MAP), AVANZIT, SISTEMAS TÉCNICOS DE LOTARÍAS (STL), CENTIC, etc.

Experto en xestión e dirección de departamentos e fábricas software (realizando implantacións de fábricas e melloras en España, Colombia, Chile e Venezuela), cunha ampla experiencia en enxeñaría do software, calidade e mellora de procesos (líder da mellora e avaliación de procesos CMMI en varías empresas multinacionais).

Foi profesor de en a UNIVERSIDADE DE CASTELA - A MANCHA e actualmente comparte a súa actividade profesional coa docente como profesor na UNIVERSIDADE REI JUAN CARLOS.

Participou en varios proxectos de I+D nacionais e internacionais, relatorios (entre eles a edición 2008 deste mesmo curso), editando varios libros e publicando máis de 50 traballos ede investigación.

Membro de varias asociacións informáticas destacando a AEC (Asociación Española da Calidade) (vogal), Colexio de Enxeñeiros de Castela e León (membro da xunta de goberno), ISACA (Information Systems Audit and Control Association), ASQ (American Society for Quality) e do SC7/GT24 de AENOR.

Datas, horarios e lugar de celebración


IMPORTANTE: Asistencia ao curso os días 5 e 6 (visita do Papa)

A actividade formativa celebrarase no Hotel Puerta del Camino (rúa Miguel Ferro Caaveiro, zona San Lázaro) en Santiago de Compostela nas seguintes datas e horarios:

Módulo I. Auditoría informática como profesión

1ª sesión, venres 5 de novembro de 16:30 a 21:30h.

2ª sesión, sábado 6 de novembro de 9:00 a 14:00.

Módulo II. Mellora e certificación dos sistemas de información na industria do software actual.

1ª sesión, venres 12 de novembro de 16:30 a 21:30h.

2ª sesión, sábado 13 de novembro de 9:00 a 14:00.

Inscrición

Número de prazas

A actividade formativa está prevista para 40 asistentes. As prazas asignaranse en rigoroso orde de solicitude de inscrición.

O prazo de inscrición para esta actividade formativa rematou.

A inscrición proporciona o dereito de asistencia ao curso, pero non obrigará ao colexio a devolver o importe ingresado no caso da non asistencia da persoa admitida no curso.

Así mesmo, no caso de que o número de asistentes sexa insuficiente, o CPEIG poderá suspender a actividade formativa. En tal caso o CPEIG reingresará o importe da cota a aquelas persoas inscritas.

Requisitos complementarios

  1. Na primeira sesión do curso será precisa a identificación dos/das alumnos/as inscritos/as por medio do seu DNI.

  2. Aquelas persoas non colexiadas que asumisen o compromiso de colexiación deberán presentar na primeira sesión do curso a documentación esixida para a colexiación.

  3. Aquelas persoas non precolexiadas que asumisen o compromiso de precolexiación deberán presentar na primeira sesión do curso a documentación esixida para a precolexiación.

  4. Será preciso ter asistido ao 75% das horas lectivas do curso. Ao remate do mesmo farase entrega dun diploma acreditativo a cada alumno.

Aloxamento

Para aqueles/as asistentes que o desexen, existirá a posibilidade de pernota na cidade de Santiago de Compostela nas noites da fin semana do curso a través do convenio asinado co Hotel Puerta del Camino. Os detalles deste convenio poden atoparse na sección de servizos do portal do CPEIG.