Cómo realizar una auditoría de políticas de TI para garantizar su cumplimiento

En muchas organizaciones de TI, es común establecer políticas pero tener dificultades para que el personal las siga de manera uniforme. Es importante que una organización pueda hacer cumplir sus políticas. Si las políticas son lo suficientemente importantes como para crearlas y aprobarlas, también son lo suficientemente importantes como para hacerlas cumplir. De hecho, cuando asesoro a los gerentes sobre su proceso de gobernanza (la capacidad de hacer cumplir normas y políticas), les digo que si no están preparados para hacer cumplir una política, realmente no hay razón para crearla en primer lugar.

La mejor manera de asegurarse de que su organización siga las políticas definidas es llevar a cabo una auditoría de políticas. A primera vista, una auditoría de políticas puede parecer abrumadora. Sin embargo, no es tan difícil. Siga este proceso sencillo para ejecutar una auditoría y garantizar que se cumplan las políticas de TI.

  1. Inventario de sus políticas. No se puede realizar una auditoría de políticas si no está seguro de cuáles son sus políticas. Lo primero que debe hacer es hacer un inventario de todas las políticas de la organización de TI.
  2. Elija las políticas más importantes y algunas más.
  3. Puede auditar todas las políticas de su inventario, pero no es necesario hacerlo. Debe seleccionar las políticas que son importantes para usted, como las políticas de correo electrónico, la política de uso de Internet y la política de adquisición de hardware. Luego, elija algunas políticas más de manera más o menos aleatoria. La razón de elegir ambas es asegurarse de que se estén cumpliendo sus políticas más importantes, además de verificar que su organización parece estar siguiendo todas las políticas, no solo las importantes.

  4. Hable con los propietarios de negocio de cada política. Comience por identificar al propietario de negocio de cada política y tener una discusión con ellos sobre cada política.
  5. Valide el cumplimiento automatizado. Pregunte al propietario de la política si existen mecanismos de cumplimiento que aseguren que la política se cumpla. Por ejemplo, es posible que tenga una política de escaneo de virus para todos los correos electrónicos entrantes. Al hablar con el grupo de correo electrónico, es posible que descubra que esta política se puede hacer cumplir de manera sistemática, ya que este grupo es propietario de los servidores de correo electrónico y puede asegurarse de que todos los correos electrónicos entrantes se escaneen. Si un grupo puede hacer cumplir una política de manera sistemática, deben demostrar que la política se está cumpliendo en todos los casos. Si pueden hacerlo, está bien para esa política. Si no pueden validar que la política se está cumpliendo en todos los casos, entonces documente esta política como una que necesita un mayor análisis.
  6. Audite manualmente el resto de las políticas. La mayoría de las políticas no se pueden hacer cumplir de manera sistemática. Trabaje con el propietario de la política para determinar la mejor manera de verificar que se está cumpliendo la política. Dependiendo de la política, esto podría tomar muchas formas. Por ejemplo:
  • Puede revisar la documentación de 25 casos de rotación para verificar su política de rotación de producción.
  • Su política de teletrabajo puede requerir que identifique a 5 trabajadores remotos y los entreviste a ellos y a sus gerentes.
  • Puede analizar una muestra representativa de 20 estaciones de trabajo de diferentes áreas de la empresa para determinar si se están cumpliendo las políticas de las estaciones de trabajo.
  • Prepare conclusiones generales. Después de completar todas las auditorías individuales, puede hacer algunas conclusiones generales. Por ejemplo, si los resultados de las auditorías individuales de políticas son en general favorables (quizás no perfectos, pero en general favorables), el CIO debería sentirse seguro de que las políticas se están siguiendo en general. Si la mayoría de las auditorías específicas arrojaron resultados desfavorables, entonces el CIO debería estar preocupado de que en general no se estén siguiendo las políticas. Será necesario realizar un seguimiento para determinar por qué las políticas no se están siguiendo y luego se deberá poner en marcha un plan de acción para asegurarse de que su organización siga las políticas definidas.
  • No es necesario auditar todas las políticas y todos los casos para llegar a una conclusión general sobre si su organización está siguiendo sus políticas documentadas. Basándose en los resultados de esta auditoría de políticas, puede determinar si su organización cumple con las políticas de manera adecuada o si tiene más trabajo por hacer.

    Cómo interpretar los registros de auditoría del servidor DHCP

    En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre General, allí encontraras muchos artículos similares a Cómo realizar una auditoría de políticas de TI para garantizar su cumplimiento , tenemos lo ultimo en tecnología 2023.

    Artículos Relacionados

    Subir

    Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.