Ir al contenido principal

DS5 Garantizar la seguridad de los sistemas

Objetivos de la auditoría
  • Conocer qué planes de seguridad se están llevando dentro de la empresa
  • Verificar si se garantiza la integridad y la disponibilidad de la información dentro de la empresa
  • Corroborar si existe y cómo se maneja el plan de roles y usuarios.
  • Detectar si constantemente se lleva a cabo pruebas de seguridad y detección de software malicioso
  • Evidenciar si los planes de seguridad están alineados con el plan de negocio.


Alcance
Observar que controles o mecanismos están siendo empleados en la empresa para garantizar la seguridad de los sistemas y de la información de la empresa y si está documentada.


Estrategia de Auditoría

Encuesta

1. ¿Qué planes de seguridad de TI tiene implementados en la empresa?
2. ¿Qué riesgos están teniendo en cuenta para implementar esos planes?
3. ¿Qué formas de concientización están utilizando para informar a los usuarios sobre los riesgos de TI?
4. ¿Qué herramientas utilizan para llevar a cabo los planes de seguridad en TI?
5. ¿El plan de seguridad está implementado en las políticas de la empresa?
6. ¿Utilizan algún software que me permita clasificar las incidencias de seguridad para luego ser tratadas por el proceso de gestión de incidencias y problemas?
7. ¿De qué forma comunican o hacen saber a los usuarios sobre las políticas y procedimientos de seguridad?
8. ¿Se hace algún tipo de prueba, monitoreo o de vigilancia de la seguridad de TI? (Solicitar documentos que me respalden dicha información.
9. ¿Cada cuánto se lleva a cabo esta actividad? (solicitar reportes)
10. ¿Utilizan algún tipo de software que les facilite el análisis de los datos obtenidos durante la realización de esta actividad?
11. ¿De qué forma garantizan que se mantenga el nivel de seguridad aprobado?
12. ¿Se tiene implementada algún tipo de política para la administración de llaves criptográficas? (solicitar documentación)
13. En caso de que no se tenga alguna política implementada ¿Cuál es el motivo por el cual no se tiene alguna política?
3. En caso de que si cuenten con alguna política ¿Qué resultados han visto con esta política?

14. ¿Por qué motivo decidieron implementar esta nueva política?

Comentarios

Publicar un comentario

Entradas populares de este blog

BAI04 Gestionar la disponibilidad y la capacidad

Dominio: Construcción, adquisición e implementación Descripción: El propósito del proceso BAI04 de COBIT es equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados. Metas del proceso 1.       Con el plan de disponibilidad anticipar la expectativa del negocio de los requisitos de capacidad crítica. Métrica: Número de actualizaciones no planificadas de capacidad, rendimiento y disponibilidad. Criterio: Acuerde los valores esperados para las métricas del objetivo del proceso, es decir, los valores con los que se realizará la evaluación. Pasos de evaluación: Se revisaran las métricas relacion...
Publicar un comentario
Leer más

¿Qué es la auditoria?

Auditar es la acumulación y la evaluación de evidencia acerca de información para determinar y reportar el grado de correspondencia entre la información y los criterios establecidos. Es la revisión independiente que realiza un auditor profesional aplicando técnicas métodos y procedimientos establecidos. Independencia : La libertad de condiciones que amenazan la objetividad o apariencia de la objetividad. Independencia en apariencia : la evasión de hechos y circunstancias que son tan significativos que sería probable que un tercero informado razonable concluya. Independencia de mente:  el estado de mente que permite la expresión de una conclusión sin ser afectada por influencias que comprometan el buen juicio profesional, permitiendo, de ese modo, que un individuo actúe con integridad y ejerza la objetividad.   Tipos de auditoria: Por su origen ( interna o externa ) Área de aplicación Especializadas Auditoría informática ( informática, con la computadora, ...
Publicar un comentario
Leer más

PO3 Determinar la dirección tecnológica

Objetivos de la auditoría Analizar las tecnologías existentes y emergentes y planear cuál dirección tecnológica es apropiada tomar para materializar la estrategia de TI y la arquitectura de sistemas del negocio. Comprobar la existencia de un plan de infraestructura tecnológica de acuerdo con los planes tácticos y estratégicos de TI. Evidenciar si se monitorea las tendencias ambientales del sector, tecnológicas y legales. Verificar la existencia de un comité de arquitectura de TI que proporcione directrices, asesoría y verifique cumplimientos. Alcance Con esta auditoría se pretende evaluar la dirección tecnológica que tiene la empresa, es decir, la empresa debe conocer su norte en cuanto a las tecnologías y esto debe estar plasmado en una serie de planes de dirección tecnológica e infraestructura. Esta auditoría busca profundizar en los conocimientos que tiene la empresa acerca de nuevas tecnologías que puedan alinearse...
Publicar un comentario
Leer más