Plan de Auditoria Informática del Año 2013
henryrs7Resumen22 de Marzo de 2016
701 Palabras (3 Páginas)283 Visitas
Hoy día las empresas consideran los temas de seguridad informática tan importantes como la misma información del negocio, a través de los sistemas internamente en una empresa se transan los acuerdos que llevaran al éxito o al fracaso a la organización, es por esto que la auditoria informática en una empresa es uno de los temas de mayor importancia, a continuación vamos a ver un ejemplo del plan de trabajo del área de IT para la revisión y control de la seguridad de la información en al compañía:
Compañía de Petróleos del Oriente
Área de apoyo tecnológico al negocio BT
Plan de Auditoria Informática del Año 2013.
Motivo de la auditoria informática:
Realizar una revisión y evaluación, de los aspectos más importantes de los equipos de computación y sistemas automáticos de procesamiento y flujo de información, con el propósito de dar una dictamen final sobre alternativas para el mejoramiento y administración eficaz de los procesos informáticos.
Antecedentes y Base jurídica:
Ley 527 de 1999 por la cual se reglamenta el uso de sistemas y documentos electrónicos en Colombia.
Decreto 1747 del 2000 el cual reglamenta y habilita el funcionamiento certificados y firmas digitales y entidades certificadoras.
Resolución No 26930 del 2000, Por la cual se fija estándares para la autorización y funcionamiento de las entidades certificadoras y sus auditores.
Constitución y reglamento interno de la empresa, en el cual se fijan las políticas de seguridad informática.
Alcance:
Nivel Directivo.
Constituido por el presidente, directores de cada área y miembros de la junta directiva (Solo serán auditados en presencia de otro miembro del mismo nivel)
Nivel Ejecutivo:
Constituido por las gerencias medias, ejecutivos de representación y coordinadores de área.
Nivel Asistencial:
Constituido por todos los empleados administrativos que cumplen una función asistencial para cualquier área o gerencia.
Nivel Operativo.
Constituido por todos los empleados que no pertenecen a ninguno de los niveles antes mencionados.
Se auditaran adicionalmente todos los procesos informáticos realizados por cualquier nivel de la compañía.
Elementos a evaluar:
Auditar el acceso a objetos
Valor predeterminado: Sin auditoría.
Auditar el acceso del servicio de directorio
Valor predeterminado: Sin auditoría.
Auditar el cambio de directivas
Valor predeterminado: Sin auditoría.
Auditar el seguimiento de procesos
Valor predeterminado: Sin auditoría.
Auditar el uso de privilegios
Valor predeterminado: Sin auditoría.
Auditar eventos de inicio de sesión
Valor predeterminado: Sin auditoría.
Auditar eventos de inicio de sesión de cuenta
Valor predeterminado: Sin auditoría.
Auditar eventos del sistema
Valor predeterminado: Sin auditoría.
Auditar la administración de cuentas
Valor predeterminado: Sin auditoría.
Plan de trabajo:
La auditoría se llevara a cabo cada (6) seis meses a nivel interno y cada año a por el órgano certificador, la auditoria también se podrá llevar a cabo cada vez que se considere conveniente.
Para la auditoria se fijaran auditores internos y externos que realizaran acompañamiento al área de tecnología encargada de llevar a diario el registro y sano funcionamiento de la auditoria efectuada como administradores del sistema y registrada en bitácoras del área.
...