Somos una empresa de rápido crecimiento que de repente necesita cumplir con los requisitos de auditores externos para poder aprobar las pautas de seguridad de TI. Como parte de las directrices, debemos asegurarnos de que se ejecuten varios controles internos. Dado que la ejecución del control debe ser a prueba de manipulaciones, es posible que incluso los administradores de nuestra empresa no tengan derechos para editar o eliminar los procedimientos de control una vez completados (para preservar el historial correcto).
Ejemplos de procesos que deben mantener un historial auditable:
- acceso a una herramienta interna otorgado a un empleado
- Se le da permiso a un empleado para completar algún trabajo.
- Se realiza un control de rutina semanal y la persona responsable registra el resultado.
Parece que necesitamos depender de una empresa externa para almacenar nuestros datos y darnos solo acceso limitado a ellos, para garantizar el cumplimiento. ¿Estoy en el camino correcto aquí? Como escuché, todas las empresas que cotizan en bolsa en los EE. UU. deben pasar auditorías que tienen el mismo requisito, por lo que espero que haya un procedimiento estándar a seguir.