Auditoria de sistemas - caso cambios a programas
Las áreas a ser evaluadas incluyen seguridad lógica y física, administración de cambios, control de producción yadministración de redes, gobierno de TI, y computación de usuario final. Al auditor de SI se le han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponiblesuficiente tiempo. Se debe señalar que en años anteriores, se han identificado reiterados problemas en las áreas de seguridad lógica y administración de cambios, de modo que estas áreas muyprobablemente requerirán algún grado de rectificación.
Las deficiencias de seguridad lógica notadas incluyeron compartir las cuentas de administrador y no ejecutar los controles adecuados sobre lascontraseñas. Las deficiencias de administración de cambios incluyeron indebida segregación de funciones incompatibles y no documentar todos los cambios. Adicionalmente, el proceso paradesplegar las actualizaciones del sistema operativo a los servidores se encontró que era sólo parcialmente efectivo.
En anticipación del trabajo a ser realizado por el auditor de SI, el directorde información (CIO) solicitó reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales actividades de las que TI es responsable. Estos se llevaron acabo, fueron aprobados por los diferentes dueños de proceso y por el CIO, y fueron luego enviados al auditor de SI para examen.
Fuente: Manual de Preparación para el Examen CISA 2008.
Regístrate para leer el documento completo.