Professional Documents
Culture Documents
Cualquier organización puede ser blanco de ataques por agentes internos y/o
externos que busquen sustraer, alterar o lucrar con su información. Bastaría
un solo ataque exitoso que involucre la obtención de información confidencial
para tener consecuencias incalculables en la continuidad de sus operaciones,
finanzas, imagen y prestigio, así como dañar la confianza de clientes e
inversionistas en su organización.
Recomendaciones
En este orden de ideas, la situación real suele ser que en las empresas se
implementan soluciones de seguridad de acuerdo a aspectos específicos, que
no contemplan una adecuada definición de estrategias, normas,
procedimientos, etc., que fortalezcan los sistemas de control enfocados a
asumir determinado nivel de riesgo y así fortalecer la toma de decisiones
correspondientes.
Para lograr determinar una evaluación adecuada con respecto a los controles
en tecnologías de información, de manera sustancial, los auditores han
tenido que tomar el liderazgo en estos esfuerzos, ya que se enfrentan
cotidianamente a la necesidad de soportar y sustentar sus opiniones frente a
la administración, acerca de los controles internos que garantizan
razonablemente la confiabilidad de la información que en ellos que se genera
y por ende el cumplimiento de sus metas y objetivos.
ORGANIZACIONAL
SEGURIDAD FISICA
Obtener una lista del personal autorizado para accesar las instalaciones y
determinar si su acceso es necesario, verificar si ésta lista es regularmente
revisada para decidir si el acceso de este personal sigue siendo válido.
Visitas Guiadas.
Condiciones de Proceso.
Verificar que elementos tales como: luz solar, lluvia, viento, etc., no incidan
directamente sobre los equipos de la sala de cómputo.
SEGURIDAD LOGICA.
Administración de Passwords.
Acceso a la Información.
1. Perfiles.
• Verificar que existan procedimientos para la asignación de perfiles de
acceso a los sistemas.
Verificar que exista una bitácora automatizada, en la que se registren:
• Todos los intentos de acceso al sistema, válidos e inválidos
• Todos los requerimientos hechos al sistema para respaldar programas,
datos, o transacciones.
• Todas las modificaciones de datos críticos o programas.
Verificar que:
• Existan procedimientos para detectar las posibles violaciones.
• La seguridad de la bitácora está protegida.
Periódicamente se revise la bitácora por el supervisor indicado.
Diagnósticos
Monitoreo en Línea
Forenses
CONCLUSIÓN
Para lograr determinar una evaluación adecuada con respecto a los controles
en tecnologías de información y en particular lo relacionado a la seguridad,
de manera sustancial, los auditores han tenido que tomar el liderazgo en
estos esfuerzos, ya que se enfrentan cotidianamente a la necesidad de
soportar y sustentar sus opiniones frente a la administración, acerca de los
controles internos que garantizan razonablemente la confiabilidad de la
información que en ellos que se genera y por ende el cumplimiento de sus
metas y objetivos.