Auditoria de sistemas - caso cambios a programas
Páginas: 2 (291 palabras)
Publicado: 6 de diciembre de 2010
Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluará el alistamiento de la organización para que una revisión mida el cumplimiento de los nuevos requisitosregulatorios. Estos requisitos están diseñados para asegurar que la gerencia esté asumiendo un papel activo en establecer y mantener un entorno bien controlado y, en consecuencia, evaluará la revisiónde la gerencia y las pruebas del entorno general de control de TI.
Las áreas a ser evaluadas incluyen seguridad lógica y física, administración de cambios, control de producción yadministración de redes, gobierno de TI, y computación de usuario final. Al auditor de SI se le han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponiblesuficiente tiempo. Se debe señalar que en años anteriores, se han identificado reiterados problemas en las áreas de seguridad lógica y administración de cambios, de modo que estas áreas muyprobablemente requerirán algún grado de rectificación.
Las deficiencias de seguridad lógica notadas incluyeron compartir las cuentas de administrador y no ejecutar los controles adecuados sobre lascontraseñas. Las deficiencias de administración de cambios incluyeron indebida segregación de funciones incompatibles y no documentar todos los cambios. Adicionalmente, el proceso paradesplegar las actualizaciones del sistema operativo a los servidores se encontró que era sólo parcialmente efectivo.
En anticipación del trabajo a ser realizado por el auditor de SI, el directorde información (CIO) solicitó reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales actividades de las que TI es responsable. Estos se llevaron acabo, fueron aprobados por los diferentes dueños de proceso y por el CIO, y fueron luego enviados al auditor de SI para examen.
Fuente: Manual de Preparación para el Examen CISA 2008.
Las áreas a ser evaluadas incluyen seguridad lógica y física, administración de cambios, control de producción yadministración de redes, gobierno de TI, y computación de usuario final. Al auditor de SI se le han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponiblesuficiente tiempo. Se debe señalar que en años anteriores, se han identificado reiterados problemas en las áreas de seguridad lógica y administración de cambios, de modo que estas áreas muyprobablemente requerirán algún grado de rectificación.
Las deficiencias de seguridad lógica notadas incluyeron compartir las cuentas de administrador y no ejecutar los controles adecuados sobre lascontraseñas. Las deficiencias de administración de cambios incluyeron indebida segregación de funciones incompatibles y no documentar todos los cambios. Adicionalmente, el proceso paradesplegar las actualizaciones del sistema operativo a los servidores se encontró que era sólo parcialmente efectivo.
En anticipación del trabajo a ser realizado por el auditor de SI, el directorde información (CIO) solicitó reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales actividades de las que TI es responsable. Estos se llevaron acabo, fueron aprobados por los diferentes dueños de proceso y por el CIO, y fueron luego enviados al auditor de SI para examen.
Fuente: Manual de Preparación para el Examen CISA 2008.
Leer documento completo
Regístrate para leer el documento completo.