“AUDITORÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGÚN CERTIFICACIÓN ISO 27001 EN LA EMPRESA FACTURITA.PE”
Enviado por Funado22r • 2 de Noviembre de 2022 • Trabajo • 3.212 Palabras (13 Páginas) • 59 Visitas
“AÑO DEL FORTALECIMIENTO DE LA SOBERANÍA NACIONAL”[pic 1][pic 2]
UNIVERSIDAD NACIONAL DE PIURA
FACULTAD DE INGENIERÍA INDUSTRIAL
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA
Título
“AUDITORÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGÚN CERTIFICACIÓN ISO 27001 EN LA EMPRESA FACTURITA.PE”
Curso
Elaboración de proyectos informáticos
Docente
Dr. Reucher Correa Morocho
Integrantes
Aguilar Noa, César Augusto
Castillo Huaman, Jean Carlos
Gonzales Navarro, Luis Alberto
Pingo Condeza, Lilliam Marydeé
Preciado Suarez, Fabio Edy
Silva Saavedra, Andrea Victoria
PIURA – PERÚ
2022
Aspectos de Planificación del Proyecto 2
Título: “AUDITORÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGÚN CERTIFICACIÓN ISO 27001 EN LA EMPRESA FACTURITA.PE”
Aspectos de Planificación del Proyecto
- Descripción del Proyecto
El presente proyecto se basa en realizar una auditoría a la empresa Facturita.pe, la cual es una empresa de facturación electrónica y de gestión. Dicha empresa está a cargo de data sumamente confidencial e importante de cada una de las empresas que contratan sus servicios y la mala manipulación de estos datos podrían ocasionar en el peor de los casos multas sumamente altas por parte de SUNAT o el borrado de todos los datos de una empresa.
Por lo expuesto anteriormente consideramos de suma importancia someter a una auditoría a la empresa en cuestión, donde buscamos identificar los puntos vulnerables de la seguridad de la información y preparar a la empresa para cumplir con todos los requisitos de la certificación ISO 270001 que garantiza la confidencialidad, integridad y disponibilidad de los datos e información.
- Características del Proyecto
- Descripción de la entidad
Facturita.pe es una empresa de sistema de gestión comercial y administrativo con facturación electrónica para pequeñas, medianas y grandes empresas, autorizado por SUNAT como PSE.
Cuenta con la Certificación en Seguridad de la Información ISO 27001 obtenida en el 2021, lo que les ha permitido garantizar la confidencialidad, integridad y seguridad en cuanto a la información de las empresas y negocios.
- Visión del proyecto
Cumplir con los principios y funciones encomendadas al auditor informático para el desarrollo de la auditoría a la empresa en mención y reconocer/verificar que la empresa aún garantiza la seguridad de la información tanto con sus clientes como con sus usuarios.
- Misión del proyecto
Garantizar una investigación de calidad y la protección de datos e información que nos sea proporcionada de la empresa Facturita para evitar su pérdida o robo, mediante el principio de confidencialidad.
- Objetivos del proyecto
- Identificar el estado actual de la empresa con respecto a los pilares de la certificación ISO 270001.
- Obtener información acerca de cómo se están realizando los procesos de gestión de seguridad de la información dentro de la empresa en la actualidad
- Comprobar que el Sistema de Gestión de Seguridad de la Información (SGSI) implantadas en la empresa siguen cumpliendo con la norma.
- Comprobar que el alcance del SGSI dentro de la empresa llega a todos los usuarios y niveles de la organización y determinar cuáles áreas están siendo afectadas de ser necesario.
- verificar que dentro de la estructura orgánica de la empresa existen roles de control y coordinación de responsabilidades sobre el flujo de información.
- Actividades del Proyecto
2.1). Fases/Etapas del Proyecto
El proyecto se realizará en 9 etapas y serán ejecutadas a lo largo del tiempo que se determine para el proyecto
Fase I: Reunión de apertura
En esta fase inicia la reunión inaugural en fecha y hora acordada en la reunión inaugural con los responsables de asistir a la auditoría.
Fase II: Conocimientos del Sistema
En esta fase procederá a reconocer los aspectos legales y políticas internas de la Empresa Facturita.pe, las características del sistema operacional y funcional, los informes de auditorías que se le hayan realizado anteriormente y la aplicación del sistema en mención y las características de aplicación de los equipos.
Fase III: Análisis de transacciones y recursos
Se procederá a analizar y detallar los flujos de procesos de los tipos de transacciones que se manejan en la empresa, así como sus subprocesos si los tuvieran, a su vez analizar e identificar los recursos que participan en la empresa y la relación entre estos ítems
Fase IV: Análisis de riesgos y amenazas
Se realizará un análisis de los riesgos y amenazas detectados en la empresa a su vez se relacionarán estas debilidades con las fases anteriores.
Fase V: Análisis de controles
Se analizarán los controles aplicados a las áreas que utilizan los recursos de TI de la empresa y se relaciona con la fase III.
Fase VI: Evaluación de Controles
Se evaluará si los controles analizados e identificados proveen una protección adecuada de los recursos de TI de la empresa y se solicitarán las datas de pruebas a estos controles al área respectiva y se realizarán nuevas pruebas y se analizarán estas.
Fase VII: El Informe de auditoría
Se procede a generar el informe de auditoría incluyendo los objetivos, alcance y opiniones resaltantes para el informe, los hallazgos y recomendaciones
Fase VIII: Seguimiento de las Recomendaciones
Se procederá a hacer un seguimiento de las recomendaciones que se detallaron con anterioridad.
Fase IX: Reunión de cierre
En esta fase después de recopilar evidencia objetiva y categorizar los hallazgos, se escribe un informe que describe los hallazgos e incluye fortalezas y oportunidades para la mejora del proceso, presentado a las partes auditadas en la reunión. Al final de la reunión, luego destacan la implementación de la "Revisión Proceso, Acción Preventiva y/o Mejora.
...