Upload
miguel-basto
View
216
Download
1
Embed Size (px)
DESCRIPTION
auditoria kpmg
Citation preview
REQUERIMIENTOS DE TI PARA EL SOPORTE POR CIERRE DE LA AUDITORIA 2007
El siguiente requerimiento corresponde a la evaluacin de las siguientes reas de control para el ambiente donde se procesa la informacin financiera y operativa.A) Entity Level Control1. Organigrama actualizado del rea de TI 2. Presupuesto asignado para el 20143. Proyectos del rea de sistemas para el 2014 4. Inventario de sistemas de informacin (Sistemas principales)IT AplicacinProcesoSistema OperativoBase de datosServidorVersin
5. Diagrama de Red (WAN y LAN) enlistando el MDF e IDFs. (Actualizado a 2014)B) Implementation of security practices
1. Polticas para el manejo de informacin confidencial; construccin de contraseas
2. Polticas para el manejo de Internet, correo electrnico y equipo de cmputo.3. Evidencia de la difusin, comunicacin y aceptacin formal de las polticas - soporte de tres comunicados firmados por los empleados en el cual aceptan y conocen las polticas.
4. Evidenciar procedimiento peridico para dar a conocer ests polticas.5. Administracin del software antivirus - Reporte de versin del antivirus, ltima actualizacin en servidores principales y equipo de cmputo (Log de la aplicacin). C) Estndares de Hardware y Software de la Compaa1. Inventario de equipo instalado en el centro de Cmputo (site local).D) Logical and physical access to IT computing resources
1. Evidencia de la aplicacin de las polticas de construccin de contraseas en el dominio principal (Windows Settings\Security Settings\Account Policies\) con los siguientes parmetros e informacin incluyente:
Password Policy (Enforce password history; Minimum password age; Maximum password age; Enforce password history; Minimum password length; Passwords must meet complexity requirements
Account Lockout Policy (Account lockout duration; Account lockout threshold; Reset account lockout).
2. Procedimiento para alta, baja y modificacin de cuentas de usuario en el sistema, dominio de red, correo electrnico y shared folders.
3. Formatos con (15 movimientos) 5 solicitudes para alta; 5 solicitudes para baja y 5 modificaciones de cuentas de usuario en el sistema realizadas durante TODO el ao 2014.4. Listado de bajas de empleados por RH, as como empleados vigentes a la fecha.E) Visita al centro de cmputo (Site)
1. Lista de personal con acceso autorizado al centro de cmputo (site) (User Access Log).2. Archivo Log system con el registro de los accesos e intentos al centro de computo (Febrero y Mayo 2014).
3. Copia de Bitcora fsica de registro de acceso de visitas al centro de cmputo.F) Segregation of duties
1. Matriz de Usuarios y Roles (IT aplicacin) - Listado de usuarios autorizadores (en caso de aplicar)
- Listado de usuarios vigentes aplicacin y BD
- Listado usuarios con privilegios especiales (Administrador, superusers)G) Changes have been authorized, documented and tested 1. Metodologa para el control de cambios y desarrollos.2. Evidencia de documentacin de los dos ltimos cambios realizado en Hardware y Software (Si existi durante el 2014). Solicitud Requerimiento de cambio
Impresiones de pantalla o documentacin relacionada donde sea posible verificar la segregacin de ambientes (desarrollo, pruebas y produccin)
Muestra de documentacin relacionada con el registro y atencin de cambios (solicitud, autorizacin, desarrollo, pruebas y liberacin).
Listado de usuarios autorizados para aprobar los cambios.
Listado de usuarios con acceso a cada ambiente y perfil asignadoH) Implementation backup and recovery procedures
1. Procedimiento documentado de Backup y Restore2. Impresiones de pantalla de la candelarizacin de los respaldos (parmetros - ciclos) 3. Bitcora de los respaldos realizados en los servidores de aplicaciones y file Server en los meses de Enero y Mayo 2014.4. Control de salidas de las cintas de respaldo para su resguardo fuera de sitio (Marzo y Abril 2014).5. Esquemas de restauracin de respaldos peridicos para, ver bitcora y registro de resultados.6. Documentacin del DRP y/o BCP tropicalizado o corporativo.7. Resultado del ltimo ejercicio del DRP (Prueba de eficacia)
I) Problem management procedures 1. Polticas y procedimientos para la escalamiento de problemas y solucin (Help Desk)
2. Reporte de 2014 de los tickets (servicios de ayuda) registrados en el sistema Help Desk (prioridad, tiempo estimado, fecha de inicio, fecha de cierre, autorizador, implementador).3. Muestra de algunos tickets, dependiendo el total de la poblacin (En ocasiones solo se requiere impresin de pantalla).4. Indicadores de desempeo de los servicios proporcionados por Sistemas a la compaa.
Muchas GraciasREQUERIMIENTO INICIAL DE INFORMACION TI
Auditoria TI 2014