Ir al contenido principal

DS5 Garantizar la seguridad de los sistemas

Objetivos de la auditoría
  • Conocer qué planes de seguridad se están llevando dentro de la empresa
  • Verificar si se garantiza la integridad y la disponibilidad de la información dentro de la empresa
  • Corroborar si existe y cómo se maneja el plan de roles y usuarios.
  • Detectar si constantemente se lleva a cabo pruebas de seguridad y detección de software malicioso
  • Evidenciar si los planes de seguridad están alineados con el plan de negocio.


Alcance
Observar que controles o mecanismos están siendo empleados en la empresa para garantizar la seguridad de los sistemas y de la información de la empresa y si está documentada.


Estrategia de Auditoría

Encuesta

1. ¿Qué planes de seguridad de TI tiene implementados en la empresa?
2. ¿Qué riesgos están teniendo en cuenta para implementar esos planes?
3. ¿Qué formas de concientización están utilizando para informar a los usuarios sobre los riesgos de TI?
4. ¿Qué herramientas utilizan para llevar a cabo los planes de seguridad en TI?
5. ¿El plan de seguridad está implementado en las políticas de la empresa?
6. ¿Utilizan algún software que me permita clasificar las incidencias de seguridad para luego ser tratadas por el proceso de gestión de incidencias y problemas?
7. ¿De qué forma comunican o hacen saber a los usuarios sobre las políticas y procedimientos de seguridad?
8. ¿Se hace algún tipo de prueba, monitoreo o de vigilancia de la seguridad de TI? (Solicitar documentos que me respalden dicha información.
9. ¿Cada cuánto se lleva a cabo esta actividad? (solicitar reportes)
10. ¿Utilizan algún tipo de software que les facilite el análisis de los datos obtenidos durante la realización de esta actividad?
11. ¿De qué forma garantizan que se mantenga el nivel de seguridad aprobado?
12. ¿Se tiene implementada algún tipo de política para la administración de llaves criptográficas? (solicitar documentación)
13. En caso de que no se tenga alguna política implementada ¿Cuál es el motivo por el cual no se tiene alguna política?
3. En caso de que si cuenten con alguna política ¿Qué resultados han visto con esta política?

14. ¿Por qué motivo decidieron implementar esta nueva política?

Comentarios

Entradas populares de este blog

BAI04 Gestionar la disponibilidad y la capacidad

Dominio: Construcción, adquisición e implementación Descripción: El propósito del proceso BAI04 de COBIT es equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados. Metas del proceso 1.       Con el plan de disponibilidad anticipar la expectativa del negocio de los requisitos de capacidad crítica. Métrica: Número de actualizaciones no planificadas de capacidad, rendimiento y disponibilidad. Criterio: Acuerde los valores esperados para las métricas del objetivo del proceso, es decir, los valores con los que se realizará la evaluación. Pasos de evaluación: Se revisaran las métricas relacion...

¿Qué es la auditoria?

Auditar es la acumulación y la evaluación de evidencia acerca de información para determinar y reportar el grado de correspondencia entre la información y los criterios establecidos. Es la revisión independiente que realiza un auditor profesional aplicando técnicas métodos y procedimientos establecidos. Independencia : La libertad de condiciones que amenazan la objetividad o apariencia de la objetividad. Independencia en apariencia : la evasión de hechos y circunstancias que son tan significativos que sería probable que un tercero informado razonable concluya. Independencia de mente:  el estado de mente que permite la expresión de una conclusión sin ser afectada por influencias que comprometan el buen juicio profesional, permitiendo, de ese modo, que un individuo actúe con integridad y ejerza la objetividad.   Tipos de auditoria: Por su origen ( interna o externa ) Área de aplicación Especializadas Auditoría informática ( informática, con la computadora, ...

Tipos de control

Controles Preventivos:  Anticipan eventos no deseados antes de que sucedan. Son más rentables Deben quedar incorporados en los sistemas Evitan costos de corrección o reproceso Ejemplo : El software de seguridad que evita el acceso a personal no autorizado, para tratar de evitar la producción de errores o hechos fraudulentos. Controles Detectivos:  Identifican los eventos en el momento en que se presentan. Son más costosos que los preventivos Miden la efectividad de los preventivos Algunos errores no pueden ser evitados en la etapa preventiva Incluyen revisiones y comparaciones (registro de desempeño) Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones, técnicas automatizadas Límites de transacciones, passwords, edición de reportes y auditoría interna. Ejemplo : Un programa de auditoría, para descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. Controles Correctivos:  As...