Auditoría de Sistemas de Información: Mejores Prácticas y Procedimientos

Clasificado en Informática

Escrito el en español con un tamaño de 3,41 KB

Pruebas de Programas y Participación de Usuarios

1. Investigue en el archivo de correspondencia de la aplicación pertinente o en la documentación técnica, la existencia de documentación escrita que soporte la participación de los departamentos usuarios en la prueba de los programas.

2. Solicite la documentación de soporte del Proceso en Paralelo de algunas aplicaciones recientemente puestas en operación y verifique:

  • a) Que el tiempo de paralelo haya sido razonable, o sea, que se haya probado al menos un ciclo completo.
  • b) Que se hayan probado todos los programas de las aplicaciones.
  • c) Que el proceso en paralelo se suspendió hasta que las comprobaciones cruzadas con el anterior sistema no registraban discrepancias o errores de procesos importantes.
  • d) Que el proceso en paralelo haya probado todas las actividades manuales y automatizadas.
  • e) Que los programadores o analistas no hayan manipulado los programas o datos sin una supervisión adecuada.

Contratos de Outsourcing de Servicios de TI (Referencia Control: C-35)

Objetivo de la Prueba: Determinar la existencia de un contrato que vincule a las instituciones bancarias con compañías externas que brindan servicios relacionados con los sistemas de información (Outsourcing).

Procedimiento de Auditoría:

1. Verifique que la tercerización (Outsourcing) de los servicios contratados contengan como mínimo los temas relacionados de responsabilidad de las partes, introducción, alcance del trabajo, seguridad y confidencialidad de la información, etc. Contemplados en el artículo Nº 39 (Contrato escrito de tercerización) de la Resolución 1301/22-11-2005 de la CNBS.

Separación de Funciones en Desarrollo, Pruebas y Producción (Referencia Control: C-36)

Objetivo de la Prueba: Determinar la adecuada separación de los recursos para las funciones para desarrollo, prueba y producción de las aplicaciones.

Procedimiento de Auditoría:

Verifique que existen adecuados controles para la separación de los recursos para desarrollo y para producción como ser:

  • El software de desarrollo y de producción deberían, si es posible, funcionar en procesadores diferentes o en dominios o directorios distintos.
  • Las tareas de desarrollo y prueba deberían separarse tanto como sea posible.
  • Los compiladores, editores y otros servicios del sistema no deberían ser accesibles desde los sistemas de producción, cuando no se necesiten.
  • Los usuarios deben usar diferentes contraseñas para el uso de los sistemas de producción y prueba, y los menús deben exhibir los mensajes de identificación apropiados.

Verifique que existan procedimientos de control adecuados para restringir y controlar el uso de las facilidades del sistema (programas del sistema capaces de evadir controles del sistema operativo inclusive), al menos debe existir:

  • Separar las facilidades del sistema de las aplicaciones de software.
  • Usar sistemas de autenticación para las facilidades del sistema.
  • Autorizar el uso de las facilidades para un propósito concreto.
  • Separar las facilidades del sistema de las aplicaciones de software.
  • Usar sistemas de autenticación para las facilidades del sistema.
Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
auditoría de sistemas seguridad de la información outsourcing control interno