Plan de Auditoria Informática del Año 2013
Enviado por henryrs7 • 22 de Marzo de 2016 • Resumen • 701 Palabras (3 Páginas) • 250 Visitas
Hoy día las empresas consideran los temas de seguridad informática tan importantes como la misma información del negocio, a través de los sistemas internamente en una empresa se transan los acuerdos que llevaran al éxito o al fracaso a la organización, es por esto que la auditoria informática en una empresa es uno de los temas de mayor importancia, a continuación vamos a ver un ejemplo del plan de trabajo del área de IT para la revisión y control de la seguridad de la información en al compañía:
Compañía de Petróleos del Oriente
Área de apoyo tecnológico al negocio BT
Plan de Auditoria Informática del Año 2013.
Motivo de la auditoria informática:
Realizar una revisión y evaluación, de los aspectos más importantes de los equipos de computación y sistemas automáticos de procesamiento y flujo de información, con el propósito de dar una dictamen final sobre alternativas para el mejoramiento y administración eficaz de los procesos informáticos.
Antecedentes y Base jurídica:
Ley 527 de 1999 por la cual se reglamenta el uso de sistemas y documentos electrónicos en Colombia.
Decreto 1747 del 2000 el cual reglamenta y habilita el funcionamiento certificados y firmas digitales y entidades certificadoras.
Resolución No 26930 del 2000, Por la cual se fija estándares para la autorización y funcionamiento de las entidades certificadoras y sus auditores.
Constitución y reglamento interno de la empresa, en el cual se fijan las políticas de seguridad informática.
Alcance:
Nivel Directivo.
Constituido por el presidente, directores de cada área y miembros de la junta directiva (Solo serán auditados en presencia de otro miembro del mismo nivel)
Nivel Ejecutivo:
Constituido por las gerencias medias, ejecutivos de representación y coordinadores de área.
Nivel Asistencial:
Constituido por todos los empleados administrativos que cumplen una función asistencial para cualquier área o gerencia.
Nivel Operativo.
Constituido por todos los empleados que no pertenecen a ninguno de los niveles antes mencionados.
Se auditaran adicionalmente todos los procesos informáticos realizados por cualquier nivel de la compañía.
Elementos a evaluar:
Auditar el acceso a objetos
Valor predeterminado: Sin auditoría.
Auditar el acceso del servicio de directorio
Valor predeterminado: Sin auditoría.
Auditar el cambio de directivas
Valor predeterminado: Sin auditoría.
Auditar el seguimiento de procesos
Valor predeterminado: Sin auditoría.
Auditar el uso de privilegios
Valor predeterminado: Sin auditoría.
Auditar eventos de inicio de sesión
Valor predeterminado: Sin auditoría.
Auditar eventos de inicio de sesión de cuenta
Valor predeterminado: Sin auditoría.
Auditar eventos del sistema
Valor predeterminado: Sin auditoría.
...