“Guardo seis hombres honestos y serviciales
(que me enseñaron todo lo que sé);
Sus nombres son Qué, Por Qué, Cuándo,
Cómo, Dónde y Quién˝
— Rudyard
Kipling,
1.
¿Es
efectivo el control?
2.
¿Alcanza
el resultado esperado?
3.
¿Es
efectivo el conjunto de controles preventivos, de detección y correctivos?
4.
¿El
control provee evidencia cuando los parámetros de control son rebasados o
cuando fallan? ¿Cómo se alerta a la Dirección de los fallos y qué pasos se
espera que se den?
5.
¿Se
conserva la evidencia (pistas de auditoría o de gestión)?
No es fácil
definir los controles de línea base de TI porque las amenazas generales, como
el software malicioso y la “piratería informática” cambian y frecuentemente se
implantan nuevas tecnologías y aplicaciones en la organización. Las siguientes
cuestiones deben ser consideradas cuando se selecciona un conjunto adecuado de
controles de línea base:
1. ¿Existen
políticas que incluyan controles de TI?
2. ¿Se
han definido, asignado y aceptado las responsabilidades de TI y de controles de
TI?
3. ¿Se
han asegurado lógica y físicamente los equipos y herramientas de la
infraestructura de TI?
4. ¿Se
usan mecanismos de control para el acceso y la autenticación?
5. ¿Se
ha implementado un software antivirus y se realiza su mantenimiento?
6. ¿Se
ha implementado una tecnología de filtros de seguridad conforme a la política
de la empresa (por ejemplo, en lo lugares de conexiones externas, como Internet,
y en los lugares donde se necesita una separación entre redes internas)?
7. ¿Se
han completado evaluaciones de vulnerabilidades, se han identificado los
riesgos y todo se ha resuelto adecuadamente?
8. ¿Existen
procesos de gestión de configuración, de cambios y de aseguramiento de calidad?
9. ¿Existen
procesos de supervisión y de medición del servicio?
10.
¿Se dispone de especialistas con
competencias en auditoría de TI (sea interna o externamente)?
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario