EN ES
Solicitar una consulta

Área de práctica

Auditoría de TI.

Auditoría de TI construida en torno al riesgo del negocio, no a una lista de verificación. Infraestructura, aplicaciones, datos y relaciones con proveedores — evaluados con el criterio para separar la exposición real del ruido.

La práctica

Controles de TI que superan la examinación — y se mantienen así.

Los examinadores piden 'muéstreme'. Construimos para eso.

La auditoría de TI es donde la mayoría de las instituciones descubren que sus controles son teóricos. La política dice que las copias de seguridad se prueban trimestralmente; la evidencia muestra que no hay ninguna prueba completada en el registro. La matriz de accesos dice que los usuarios dados de baja son eliminados oportunamente; el informe muestra cuentas aún activas después de la separación. Encontramos estas brechas antes que el examinador.

Nuestro alcance cubre infraestructura (servidores, red, nube), controles de aplicaciones (banca central, originación de préstamos, pagos), gestión de identidad y acceso, gestión de cambios, gestión de vulnerabilidades y parches, clasificación de datos y riesgo de terceros/proveedores. Ejecutamos pruebas con una frecuencia que coincide con su ciclo de examinación, con papeles de trabajo que perduran.

El trabajo

El trabajo en esta práctica, nombrado.

  1. Controles de infraestructura Endurecimiento de servidores, segmentación de red, configuración en la nube, cifrado en reposo y en tránsito.
  2. Controles de aplicaciones Validación de entradas, autorización, segregación de funciones, precisión de cálculos en sistemas centrales.
  3. Identidad y acceso Aprovisionamiento, desaprovisionamiento, acceso privilegiado, revisiones periódicas de acceso, cumplimiento de MFA.
  4. Gestión de cambios Tickets de cambio, flujo de aprobación, segregación entre desarrollo y producción.
  5. Vulnerabilidades y parches Cadencia de análisis, seguimiento de excepciones, plazos de remediación, gobernanza de exenciones.
  6. Riesgo de terceros y proveedores Diligencia en la incorporación, monitoreo continuo, revisión de informes SOC, riesgo de concentración.
Un compromiso típico

Un ciclo completo de auditoría de TI.

Fase Entregable
Alcance Inventario de sistemas, universo de controles, revisión de hallazgos de examinaciones anteriores.
Pruebas Recorridos, selección de muestras, evidencia solicitada, excepciones registradas.
Hallazgos Excepciones analizadas, causa raíz identificada, severidad calificada, remediación discutida.
Informes Informe redactado, revisado con TI y la dirección, presentado al comité.