Auditoria Informatica - CAP. 2 Manual CISA

Una filosofía de bajo costo

Planes de largo y corto plazo.

Tecnología de punta.

Planes para adquirir nuevo hardware y software

Si los procesos de TI soportan los requerimientos del negocio

Si la funcionalidad del sistema que se propuso es adecuada

La estabilidad del software eixstente

La complejidad de la tecnología instalada

Proveer instrucciones sobre cómo hacer el trabajo y definen autoridad

Son actuales, documentados y el empleado puede disponer de ellos fácilmente.

Comunican las expectativas específicas de desempeño/performancia del trabajo que tiene la gerencia.

Establecen responsabilidad y deber de reportar/imputabilidad (accountability) por las acciones del empleado.

Falta de inversión en tecnología.

Falta de una metodología para el desarrollo de sistemas.

Que la tecnología no estará a la altura de los objetivos de la organización.

Ausencia de control de los contratos de tecnología.

Investigación de los antecedentes.

Referencias

Fianza

Calificaciones enumeradas en un curriculum vitae/una hoja de vida.

No existe coordinación de la gerencia de usuarios.

No se puede establecer la imputabilidad de accountability) específica del usuario.

Usuarios no autorizados pueden tener acceso para originar, modificar o eliminar datos.

Es posible que las recomendaciones de auditoría no estén implementadas.

Sean distribuidas y estén disponibles para todo el personal.

Las políticas de seguridad y control soporten los objetivos del negocio y de TI.

Haya un organigrama publicado con descripciones de las funciones.

Las funciones estén separadas de manera apropiada.

El resultado deseado o el propósito de implementar procedimientos específicos de control.

Las mejores prácticas de control de seguridad de TI relevantes para una entidad específica.

Las técnicas para asegurar la información.

La política de seguridad.

Hay una integración de SI y de los personales de negocios dentro de los proyectos.

Hay una definición clara de la misión y visión de SI.

Hay instalada una metodología de planeación estratégica de la tecnología de la información.

El plan correlaciona objetivos de negocio con las metas y objetivos de SI.

Verificación de secuencia

Verificación de dígitos

Retención de documentación fuente

Reconciliaciones de control de lote.

Monitorear el control y la prueba de cambio controlado de vendedor.

Asegurar una separación de funciones dentro del entorno de procesamiento de información.

Aprobar y monitorear los principales proyectos, la situación de los planes y presupuestos de SI

Responsable del enlace entre el departamento de SI y los usuarios finales.

Hacer un outsourcing de la función de SI.

Implementar y ejecutar buenos procesos.

Contratar personal dispuesto a hacer una carrera dentro de la organización.

Satisfacer los requerimientos de los usuarios.

Obtenga garantía independiente de los proveedores de servicio )third party service profiders)

Establezca un proceso para monitorear la entrega de servicios del proveedor (third party).

Asegure que existan contratos formales.

Considere acuerdos con proveedores de servicio (third party service providers) en el desarrollo del plan de continuidad.

Reportes de utilización

Reportes de error de hardware

Bitácoras de sistema

Reportes de disponibilidad.

El administrador del sistema

La función de aseguramiento de calidad.

La gerencia de unidad de negocio

El jefe de auditoría interna

Esta falta de conocimiento puede conducir a una revelación no intencional de información sensitiva.

La seguridad de información no es crítica para todas las funciones.

La auditoría de SI provee capacitación de seguridad a los empleados.

El hallazgo de auditoría causaría que la gerencia provea una capacitación continua al personal.

Entender los flujos de trabajo.

Investigar diversos canales de comunicación.

Entender las responsabilidades y la autoridad de las personas.

Investigar la red conectada con diferentes empleados.

Análisis de sistemas

Autorización para tener acceso a los datos.

Programación de aplicaciones.

Administración de datos.

La entrega de todos los archivos del empleado a otro empleado designado.

Sacar una copia de respaldo del trabajo del empleado.

Notificar a otros empleados sobre la terminación.

Inhabilitar el acceso lógico del empleado.

Asignar recursos

Mantenerse al corriente con los adelantos de la tecnología

Llevar a cabo auto evaluaciones de control

Evaluar las necesidades de hardware

Probar un nuevo paquete de contabilidad

Realizar una evaluación de las necesidades de tecnología de información.

Implementar un nuevo sistema de planeación de proyectos dentro de los próximos 12 meses

Convertirse en el proveedor de elección del producto ofrecido.

El desarrollo e implementación de un manual de normas de seguridad de información.

La realización de una revisión comprensiva de control de seguridad por el auditor de SI

La adopción de una declaración corporativa de política de seguridad de información.

La compra de software de control de seguridad de acceso.

Detalles de documentos fuente

Códigos de error y sus acciones de recuperación.

Diagramas de flujo de programa y definiciones de archivos

Registros de cambio para el código fuente de aplicación.

Asegurar que las facturas sean pagadas al proveedor

Participar con el proveedor en los diseños de sistemas

Renegociar los honorarios del proveedor

Monitorear el desempeño del proveedor de outsourcing

Mantenimiento de reglas de acceso

Revisión de pistas de auditoría del sistema

Bibliotecario de datos

Monitoreo de desempeño