Procedimientos para la Gestión Segura de Información y Medios Informáticos

Clasificado en Informática

Escrito el en español con un tamaño de 3,37 KB

1. Control de Acceso y Autorización a Información Confidencial

1. Mediante el análisis de la red de seguridad o en el log de acceso al computador, determine que los usuarios que han accedido a aplicaciones y/o archivos que procesan y mantienen información confidencial y/o crítica, además de estar autorizados, se encuentran en los niveles jerárquicos adecuados (planillas, cuentas inactivas, clientes privilegiados, etc.).

2. Verifique que las entregas de reportes con información confidencial son efectuadas mediante un registro de control de los mismos.

3. Verifique que existen procedimientos de control adecuados para eliminar los medios informáticos de forma segura y sin peligro cuando no se necesiten más:

  • Los medios que contengan información sensible se almacenarán y eliminarán de forma segura, como por ejemplo, incinerándolos, triturándolos o vaciando sus datos para usarlos en otra aplicación dentro de la organización.
  • Asegúrese de que se contempla como elementos para la eliminación segura: documentos sobre papel, registros de voz, papel carbón, informes, cintas de impresoras de un solo uso, cintas magnéticas, discos extraíbles, medios de almacenamiento óptico (incluidos los de fabricación de software del fabricante), listados de programas, datos de prueba y documentación de los sistemas.
  • Cuando sea posible, se debe registrar la eliminación de elementos sensibles para mantener una pista de auditoría.

Referencia Control: E-52

Objetivo de la Prueba (E-52)

Determinar que los archivos de datos y procesos que se utilizan en el procesamiento de las aplicaciones estén adecuadamente administrados e identificados, tanto interna como externamente, para evitar errores en su utilización.

Procedimiento de Auditoría (E-52)

1. Verifique que existen controles adecuados para la gestión de los medios informáticos removibles (cintas, discos, cartuchos o resultados impresos) que incluya al menos:

  • Se deben borrar los contenidos previos de información de todo medio reutilizable cuando no se necesiten más.
  • Todo medio desechado por la organización debe requerir autorización, y se debería guardar registro de dicha remoción para mantener una evidencia de auditoría.
  • Todos los medios se deben guardar en un entorno seguro de acuerdo con las especificaciones de los fabricantes.

2. Verifique que las etiquetas internas y externas tengan visible al menos la siguiente información:

  • a) Clase de archivo;
  • b) Nombre del archivo;
  • c) Nombre de la aplicación;

Referencia Control: E-53

Objetivo de la Prueba (E-53)

Determinar que los operadores del computador y de las aplicaciones no poseen conocimientos de programación de computadoras.

Procedimiento de Auditoría (E-53)

1. Mediante pláticas con el jefe, personal de Sistemas y usuarios (incluyendo los mismos operadores de las aplicaciones), indague si los operadores tienen conocimientos de programación o si en ocasiones han elaborado pequeños programas para la institución.

2. Mediante la lectura del expediente de los operadores, determine si estos han recibido cursos de programación de computadoras.

Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
auditoría informática eliminación segura medios informáticos datos confidenciales gestión de datos control de acceso seguridad de la información