Después de varios años impartiendo el curso de informática forense y peritajes informáticos, y ya haber impartido varios cursos de tests de penetración -es decir, de la parte de herramientas de auditoría de seguridad activa-, vamos a impartir un curso sobre otras de las «patas» de la ingeniería informática que ahora se están monetarizando bien: la auditoría informática.
El objetivo de este curso es formar al estudiante en los procedimientos y mecánicas propios de la auditoría informática. Esto incluye qué es auditar sistemas de información, y cómo se auditan. Nos vamos a centrar en la norma de seguridad de sistemas de información -realmente la familia de normas UNE-ISO/IEC 27000:2012-, y la LOPD; especialmente la mecánica de altas de ficheros de datos y la auditoría obligatoria bianual.
Actualmente las altas de ficheros de datos y las auditorías bianuales están generando mucho negocio. Vamos a ver de forma práctica cómo hacer estas dos operaciones. También se está despertando un interés importante en comenzar a dictar políticas de seguridad, y la 27000 da un marco ideal para el desarrollo de documentos de política de seguridad de la información. Veremos cómo hacer los distintos niveles de documentación: manual de seguridad, procedimientos, instrucciones, checklists, formularios y registros.
El porqué los nuevos grados en informática y los nuevos másters en informática por regla general no estudian auditoría es para mí un misterio. En cualquier caso, vamos a cubrir en este curso este déficit, explicando cómo se hace realmente una auditoría. Veremos las checklists, las listas de no conformidades; veremos la mecánica de trabajo, y cuales son los entregables que espera el cliente.
Programa:
- La auditoría. Principios. Normas, leyes y reglamentos.
- Tipos de auditorías. Internas y externas. De sistemas y de procesos.
- Metodología de la auditoría.
- Proceso de auditoría, preparación y ejecución de la auditoría.
- Documentación de una auditoría.
- Checklists, formularios, pautas, e informes de auditoría.
- No conformidades, desviaciones, solicitud de acciones correctivas, observaciones, sugerencias, incidencias.
- El sistema de Información.
- El sistema de gestión de seguridad de la información.
- Auditando una norma: la ISO 27000.
- Auditando una ley y un reglamento: la LOPD y su reglamento.
Este curso vamos a aprovechar todo lo aprendido de las mecánicas semipresenciales. El viernes 21 de abril por la tarde (de 17:30 a 21:30) y el sábado 22 de abril por la mañana (de 10:00 a 13:00) os explicaré cómo se hace una auditoría, la ISO 27000 y la LOPD. Dejamos un par de semanas para que trabajéis los ejercicios, y el sábado 29 de Abril de 10:00 a 13:00 corregimos los ejercicios, analizamos las diferentes soluciones, y si sobra tiempo hablamos de cómo facturarlas y cobrarlas.
El curso, en principio, es semipresencial, de 25 horas. Serán 10 horas presenciales y 15 online. Sin embargo, pensando en aquellos que tengan problemas en acudir, se pueden sustituir jornadas presenciales del curso por actividades sustitutivas, de forma que es posible hacerlo de forma completamente no presencial desde el campus virtual (aunque recomiendo asistir al menos el primer día, para «coger» la filosofía de la auditoría informática)
Este curso está relacionado con los cursos que imparto de peritajes informáticos -que corresponde con la forma de presentar ante un tribunal los resultados-, y con el de pentesting -que nos centramos en las herramientas tecnológicas-. Es, pues, sinérgico con ambos, pero no se requiere haber estudiado ninguno de esos cursos para cursar el de auditoría.
Cuesta 50 euros a la comunidad UMA y a los colegiados en el Colegio Oficial de Ingenieros en Informática de Andalucía (lo siento, no hay convenio con el CPITIA). Para el resto de las personas, costará 70 euros. Un enlace para matriculación lo tienes aquí.
Si eres de la Universidad de Málaga, puedes solicitar un crédito ECTS por el curso.