Escenario De Auditoria
Páginas: 2 (384 palabras)
Publicado: 10 de abril de 2012
Auditoria
Practica: Realizar preguntas sobre un escenario dado a un auditor de TI
Escenario: En una organización o empresa donde por su naturaleza se implementan políticas de seguridad que nopermiten a los usuarios navegar en Internet en páginas de ocio, sin embargo, en el área de seguridad informática donde son implementadas las políticas de restricción tienen full acceso a cualquierpágina de ocio.
¿Qué opinión tiene sobre este escenario?
Si una política de seguridad se implementa es con un objetivo de control específico. En este caso, el no permitir que se entre a páginas deocio puede tener como objetivo maximizar la productividad del personal, proteger a la empresa ante amenazas que representan esas páginas (ej.: descargas, cookies), etc. Si la empresa decidióimplementar esto, entonces tiene sus razones.
¿Está correcto que el departamento de seguridad informática tenga full access?
Las políticas pueden diseñarse incluyendo excepciones, las cuales deben estardocumentadas como parte de las políticas. Eso sí, las excepciones siempre deben ser las mínimas y deben justificarse. En el caso que pones como ejemplo: Tienen las políticas estas excepcionesprevistas? Si no es así, entonces el personal de seguridad está violando la política.
Si la excepción está prevista en la política, debemos preguntarnos si está adecuadamente justificada. Por ejemplo:porqué el personal de seguridad debe tener acceso a las páginas de ocio? porqué y para qué? Le brinda esto algún beneficio a la organización o a la función de ellos en particular?
Ellos dirían quela necesitan para "hacer investigaciones de seguridad", "probar herramientas" y una serie más de justificaciones. Si es verdad, entonces esa excepción que se está aplicando debe estar restringida alo mínimo que sea necesario. Es decir, que ellos solamente tengan acceso a páginas a las que realmente le sacarían provecho para sus objetivos de "hacer investigaciones de seguridad" y "probar...
Practica: Realizar preguntas sobre un escenario dado a un auditor de TI
Escenario: En una organización o empresa donde por su naturaleza se implementan políticas de seguridad que nopermiten a los usuarios navegar en Internet en páginas de ocio, sin embargo, en el área de seguridad informática donde son implementadas las políticas de restricción tienen full acceso a cualquierpágina de ocio.
¿Qué opinión tiene sobre este escenario?
Si una política de seguridad se implementa es con un objetivo de control específico. En este caso, el no permitir que se entre a páginas deocio puede tener como objetivo maximizar la productividad del personal, proteger a la empresa ante amenazas que representan esas páginas (ej.: descargas, cookies), etc. Si la empresa decidióimplementar esto, entonces tiene sus razones.
¿Está correcto que el departamento de seguridad informática tenga full access?
Las políticas pueden diseñarse incluyendo excepciones, las cuales deben estardocumentadas como parte de las políticas. Eso sí, las excepciones siempre deben ser las mínimas y deben justificarse. En el caso que pones como ejemplo: Tienen las políticas estas excepcionesprevistas? Si no es así, entonces el personal de seguridad está violando la política.
Si la excepción está prevista en la política, debemos preguntarnos si está adecuadamente justificada. Por ejemplo:porqué el personal de seguridad debe tener acceso a las páginas de ocio? porqué y para qué? Le brinda esto algún beneficio a la organización o a la función de ellos en particular?
Ellos dirían quela necesitan para "hacer investigaciones de seguridad", "probar herramientas" y una serie más de justificaciones. Si es verdad, entonces esa excepción que se está aplicando debe estar restringida alo mínimo que sea necesario. Es decir, que ellos solamente tengan acceso a páginas a las que realmente le sacarían provecho para sus objetivos de "hacer investigaciones de seguridad" y "probar...
Leer documento completo
Regístrate para leer el documento completo.