Les empreses s'enfronten a una àmplia gamma de normes governamentals i requisits legals. Les empreses públiques han de tenir els seus estats financers i els sistemes de tecnologia de la informació (TI) que els emmagatzemin auditats de forma periòdica d'acord amb la Llei Sarbanes-Oxley. El estàndard de seguretat de dades de la indústria de la targeta de pagament requereix que les empreses que processin les targetes de crèdit siguin auditades per garantir que els seus sistemes informàtics estiguin configurats de manera segura. Les empreses contracten a empreses d'auditoria de tercers per inspeccionar els seus sistemes i verificar el compliment d'aquestes normes.
Tasques
Els auditors busquen algunes coses bàsiques en arribar a una empresa. Inclouen polítiques i processos documentats i proves que es compleixen aquestes polítiques i procediments. Com més detallades siguin les polítiques d'una empresa, més fàcil és que l'auditor faci el seu treball. Les empreses han d'establir un marc sobre el qual construir les seves polítiques i processos. Els auditors de TI estan familiaritzats amb els estàndards, com ara Objectius de control per a la informació (COBIT) o ISO 27001. Cadascuna d'aquestes companyies guia proporcionant llistes de comprovació sobre com protegir dades confidencials. Els auditors utilitzen aquestes llistes de verificació per garantir una auditoria exhaustiva.
Llista de verificació de documentació, polítiques i procediments de mostreig
- Determineu si hi ha un procés de gestió del canvi i es documenta de forma formal.
- Determineu si les operacions de gestió de canvis tenen una llista actual dels propietaris del sistema.
- Determinar la responsabilitat per gestionar i coordinar els canvis.
- Determineu el procés d'escalada i investigació de canvis no autoritzats.
- Determineu els fluxos de gestió de canvis dins de l'organització.
Llista de verificació d'inici i canvi d'exemple
- Verifiqueu que s'utilitza una metodologia per iniciar i aprovar els canvis.
- Determineu si les prioritats s'assignen a les sol·licituds de canvi.
- Verifiqueu el temps estimat fins a la finalització i els costos es comuniquen.
- Avaluar el procés utilitzat per controlar i controlar els canvis.
Mostra de llista de verificació de seguretat de TI.
- Confirmeu que tots els protocols innecessaris i insegurs estan inhabilitats.
- Verifiqueu que les longituds de contrasenya mínimes s'estableixen en 7 caràcters.
- Comproveu que s'utilitzen contrasenyes complexes.
- Assegureu-vos que el sistema està actualitzat amb els parches i els paquets de serveis.
- Comproveu que l'envelliment de la contrasenya s'estableixi en 60 dies o menys.