As empresas enfrentam uma ampla gama de regulamentações governamentais e requisitos legais. As empresas de capital aberto devem ter suas demonstrações financeiras e os sistemas de tecnologia da informação (TI) que os armazenam regularmente, de acordo com a Lei Sarbanes-Oxley. O Padrão de Segurança de Dados do Setor de Cartões de Pagamento exige que as empresas que processam cartões de crédito sejam auditadas para garantir que seus sistemas de computador estejam configurados com segurança. As empresas contratam empresas de auditoria terceirizadas para inspecionar seus sistemas e verificar a conformidade com esses padrões.
Tarefas
Os auditores procuram algumas coisas básicas ao chegar a uma empresa. Estes incluem políticas e processos documentados e evidências de que essas políticas e procedimentos são seguidos. Quanto mais detalhadas as políticas de uma empresa, mais fácil é para o auditor realizar seu trabalho. As empresas devem estabelecer uma estrutura sobre a qual construir suas políticas e processos. Os auditores de TI estão familiarizados com os padrões, como os Objetivos de Controle para TI (COBIT) ou ISO 27001. Cada um deles orienta as empresas fornecendo listas de verificação de como proteger dados confidenciais. Os auditores usam essas listas de verificação para garantir uma auditoria completa.
Lista de verificação de documentação, políticas e procedimentos de amostra
- Determine se existe um processo de gerenciamento de mudanças e se ele está formalmente documentado.
- Determine se as operações de gerenciamento de alterações possuem uma lista atual de proprietários do sistema.
- Determinar a responsabilidade pela gestão e coordenação de mudanças.
- Determine o processo de escalonamento e investigação de alterações não autorizadas.
- Determine os fluxos de gerenciamento de mudanças dentro da organização.
Exemplo de lista de verificação de início e aprovação de alterações
- Verifique se uma metodologia é usada para iniciar e aprovar alterações.
- Determine se as prioridades são atribuídas às solicitações de mudança.
- Verifique o tempo estimado para conclusão e os custos são comunicados.
- Avalie o processo usado para controlar e monitorar as alterações.
Exemplo de lista de verificação de segurança de TI.
- Confirme se todos os protocolos desnecessários e inseguros estão desativados.
- Verifique se os comprimentos mínimos de senha estão definidos para 7 caracteres.
- Verifique se as senhas complexas são usadas.
- Verifique se o sistema está atualizado com patches e service packs.
- Verifique se a duração da senha está definida para 60 dias ou menos.