Marco Regulatorio y Procedimientos de Auditoría en Seguridad de la Información TIC

Clasificado en Informática

Escrito el en español con un tamaño de 2,85 KB

1. Verificación de Licenciamiento de Software

Procedimiento Inicial: Determinar qué programas cuentan con licencia vigente.

Análisis de las Licencias de Software

Referencia Control: B-21

Objetivo de la Prueba: Determinar la existencia de políticas de Tecnologías de Información y Comunicaciones (TIC) en la institución.

Procedimiento de Auditoría:

  1. Determinar que las políticas de Tecnología de Información y Comunicaciones incluyan lo siguiente:
  • Seguridad de la Información, incluyendo:
    • Uso de Internet;
    • Uso del Correo Electrónico;
    • Uso de las Estaciones de Trabajo;
    • Proceso Antivirus;
    • Adquisición de Hardware y Software;
    • Seguridad de Contraseñas;
    • Seguridad de la Información Sensitiva;
    • Administración de respaldos; y,
  • Procesos de respaldo y recuperación en caso de un desastre y situaciones de mal funcionamiento de uno o varios componentes del sistema de información;
  • Tercerización (Outsourcing).

2. Gobernanza y Revisión de Políticas Tecnológicas

Referencia Control: B-21

Objetivo de la Prueba: Determinar la existencia de políticas de Tecnologías de Información y Comunicaciones en la institución.

Procedimiento de Auditoría:

  1. Determinar que la Junta o Consejo haya tenido como mínimo una reunión anual para establecer o revisar las políticas o procedimientos sobre la administración tecnológica y seguridad de la información, que conlleven a la correcta toma de decisiones.

Asimismo, deberá conocer y discutir, por lo menos cuatro (4) veces al año, los informes que sobre este particular le presente la Gerencia General. Lo tratado en dicha reunión deberá quedar registrado en el libro de actas correspondiente.

3. Estándares para el Diseño y Desarrollo de Aplicaciones

Referencia Control: C-24

Objetivo de la Prueba: Determinar la existencia y uso de estándares o directrices para el diseño y desarrollo de aplicaciones por parte de los analistas.

Procedimiento de Auditoría:

  1. Solicite los estándares para el diseño y desarrollo de aplicaciones y verifique:
  • Que los estándares estén actualizados y autorizados;
  • Que los estándares sean del conocimiento de los analistas y que los utilicen en el desarrollo normal de sus labores; y
  • Que los estándares orienten y uniformen criterios para cada analista en las etapas del ciclo de desarrollo de sistemas, tales como: lo que los analistas deben hacer, cómo lo deben hacer, formularios a utilizar y los resultados escritos en cada una de las siguientes etapas:
    • Etapa inicial de recolección de datos e información.
Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Desarrollo de Software Auditoría Informática Administración de Sistemas Políticas TIC Cumplimiento Normativo Ciclo de Vida de Desarrollo Control Interno Outsourcing TIC Gobierno de TI Procedimientos de Auditoría Estándares de TI Ciberseguridad Recuperación ante Desastres Gestión de TI Seguridad de la Información Hardware y Software