Auditoría Informática
Ing. Carlos Fernández, M. Sc., CISM, CISA, CRISC, CDPSE, CSX-F, CC-ISC2, COBIT, ITILv.4
Objetivos de Auditorías por Grupos (Relación de Docs.)
Grupo
Núm.
Tipo Auditoría
Nombre de Auditoría
Equipo de Auditoria
Objetivos de Auditoría.
Objetivo General
Objetivo Especifico
(Las partes interesadas –
Los demás departamentos
que se estarán visitando
para ampliar un objetivo
específico (rrhh, compra,
ventas, contabilidad,
seguridad, tecnología,
innovación, control interno,
ingeniería, etc.))
I
Auditoría de seguridad y datos
Auditoría Prevención Fuga de Datos (REMITENTE PRINCIPAL (TI
[CIO] Ó SEGINFO[CISO/CSO])
German Junior Cespedes Estevez - PRESENTE
Brian Elias Diaz Jimenez – NO PRESENTE
Rosmar Rijo Castro – PRESENTE
Jesús Manuel Nolasco Reyes – PRESENTE
Antony Jose Mendez Guerrero - PRESENTE
José Ángel Luna Castillo - PRESENTE
Luis David Almanzar Vasquez – NO PRESENTE
Ronald Orlando Herrera Ulloa - PRESENTE
La auditoría fue realizada con el objetivo principal de evaluar
el cumplimiento de leyes, estándares, normas y
procedimientos existentes para prevenir la fuga de datos.
1. Confirmar la existencia de un software de administración y
monitoreo de la red corporativa.
2. Confirmar que la seguridad es administrada de forma
adecuada.
3. Comprobar que los cambios realizados a las redes sean
previamente autorizados, y que se asegura la calidad de los
mismos, antes y luego de estar en operación.
4. Confirmar la continuidad de operaciones ante la ocurrencia de
eventos no deseados a la red corporativa.
5. Verificar que el sistema se desempeña adecuadamente,
asegura recursos suficientes a los usuarios, servicios y
aplicaciones para el cumplimiento de los tiempos esperados,
y que las excepciones sean detectadas, reportadas y
corregidas oportunamente.
6. Verificar el cumplimiento de las leyes, regulaciones y estándar
aplicables relacionados a la seguridad de la información en las
redes corporativas.
7. Confirmar la existencia de contratos de confidencialidad con
terceros, en los servicios de mantenimiento e instalación de
las redes corporativa.
Grupo II
Núm.
Tipo Auditoría Auditoría de la gestión
Nombre de Auditoría Auditoría Mesa de Servicios TI
Equipo de Auditoria Elvis Jesus Hernández Suárez - PRESENTE
Sebastian Emilio Santos Baez – PRESENTE
Emil Anibal Reyes rodriguez - PRESENTE
Leandro Emilio Pujols Polanco – NO PRESENTE
Osiris Omarlin Matos Moreta - PRESENTE
Carlos Rafael Salazar Delgado - PRESENTE
Dorian Adonis Sirí Henríquez – NO PRESENTE
Warling Manuel Guzmán Burgos - PRESENTE
Objetivos de Auditoría.
Objetivo General La auditoría fue realizada con el objetivo principal de evaluar
la eficiencia y efectividad del proceso gestión de Servicios de
TI
Objetivo Especifico Objetivos específicos, fueron evaluados los siguientes
aspectos:
1. Eficiencia y efectividad de la unidad mesa de servicios
TI
2. Cumplimiento de los SLAs acordados en la solución o
escalamiento de requerimientos.
3. Proceso de atención y/o resolución, documentación y
acciones correctivas
4. Seguimiento a los incidentes no resueltos
5. Procedimiento para el registro, resolución y
escalamiento de problemas reportados.
6. Efectividad y funcionalidad de la herramienta utilizada
en mesa de servicios TI
7. Seguridad lógica de los equipos utilizados por la
unidad Mesa de servicios TI
Grupo III
Núm.
Tipo Auditoría Auditoría de la Seguridad
Nombre de Auditoría Auditoria control de acceso a Equipos de TI
Equipo de Auditoria José Adiel Báez Arias - PRESENTE
Ragbert Francisco Polanco de Jesús - PRESENTE
Vicheily Piñeiro Paredes - PRESENTE
Jeiron Raimundo Matos Mañon - PRESENTE
Derel Anderson Portorreal Valdez - PRESENTE
Enrique Alexander Nina Arias - PRESENTE
Starling Jose Gonzalez Miranda - PRESENTE
Alberto Jose Siri Pe?a - PRESENTE
Objetivos de Auditoría.
Objetivo General La auditoría fue realizada con el objetivo principal de verificar
los controles de acceso físico a los equipos de TI.
Objetivo Especifico
1. Verificar que al Data Center, Oficinas Comerciales y
Áreas Administrativas sólo acceda el personal
autorizado.
2. Comprobar la existencia de perfiles de acceso para los
usuarios que acceden a las áreas de TI.
3. Comprobar que el área de almacenamiento de medios
electrónicos esté debidamente protegida, y cuente con
los controles de acceso adecuados.
4. Verificar la existencia de registro manual de los accesos
al Data Center, y que se mantengan almacenados por un
tiempo adecuado.
5. Verificar que los suplidores de servicios de hardware,
software y telecomunicaciones sean acompañados por
un personal del Banco, durante la ejecución de los
trabajos, y que se mantiene un registro que detalle las
actividades realizadas.
6. Comprobar que en el Data Center y Oficinas Comerciales
se disponga de un sistema de cámara de video vigilancia
(CCTV), y que el mismo sea almacenado por un periodo
adecuado.
7. Verificar que los empleados que accedan al Data Center
cuenten con los carnets de empleado visibles, y los
visitantes dispongan de carnet de identificación distinto
a los empleados.