Las empresas se enfrentan a una amplia gama de regulaciones gubernamentales y requisitos legales. Las empresas públicas deben tener sus estados financieros y los sistemas de tecnología de la información (TI) que los almacenan auditados de forma regular de conformidad con la Ley Sarbanes-Oxley. El Estándar de seguridad de datos de la industria de tarjetas de pago exige que las empresas que procesan las tarjetas de crédito sean auditadas para garantizar que sus sistemas informáticos estén configurados de forma segura. Las empresas contratan firmas de auditoría de terceros para inspeccionar sus sistemas y verificar el cumplimiento de estas normas.
Tareas
Los auditores buscan algunas cosas básicas al llegar a una empresa. Estos incluyen políticas y procesos documentados y evidencia de que esas políticas y procedimientos se siguen. Cuanto más detalladas sean las políticas de una empresa, más fácil será para el auditor hacer su trabajo. Las empresas deben establecer un marco sobre el cual construir sus políticas y procesos. Los auditores de TI están familiarizados con los estándares, como los Objetivos de control para TI (COBIT) o ISO 27001. Cada una de estas compañías guía proporciona listas de verificación de cómo proteger datos confidenciales. Los auditores utilizan estas listas de verificación para garantizar una auditoría exhaustiva.
Muestra de Documentación, Políticas y Procedimientos de Verificación.
- Determine si existe un proceso de gestión de cambios y si está documentado formalmente.
- Determine si las operaciones de administración de cambios tienen una lista actual de propietarios de sistemas.
- Determinar la responsabilidad de gestionar y coordinar los cambios.
- Determine el proceso para escalar e investigar cambios no autorizados.
- Determinar los flujos de gestión de cambios dentro de la organización.
Muestra de inicio de cambio y lista de aprobación
- Verificar que se utiliza una metodología para la iniciación y aprobación de cambios.
- Determine si las prioridades están asignadas a las solicitudes de cambio.
- Verificar el tiempo estimado de finalización y los costos comunicados.
- Evaluar el proceso utilizado para controlar y monitorear los cambios.
Ejemplo de lista de verificación de seguridad de TI.
- Confirme que todos los protocolos innecesarios e inseguros están deshabilitados.
- Verifique que las longitudes mínimas de las contraseñas estén establecidas en 7 caracteres.
- Verificar que se utilizan contraseñas complejas.
- Asegúrese de que el sistema esté actualizado con los parches y los paquetes de servicio.
- Verifique que la caducidad de la contraseña esté establecida en 60 días o menos.
