Informe de Auditoria de Seguridad de la Información de la empresa Viento en Popa
Enviado por Jose Carrasco • 9 de Mayo de 2022 • Documentos de Investigación • 5.420 Palabras (22 Páginas) • 131 Visitas
VIENTO EN POPA
Informe de Auditoría del nivel de Ciberseguridad 26 de marzo de 2020
BeAuditors S.A.
Indice de contenidos
1 Antecedentes. ..........................................................................................................3 2 Objeto......................................................................................................................3 3 Alcance. ...................................................................................................................4 4 Resumen ejecutivo ...................................................................................................5 5 Metodología.............................................................................................................7 6 Desarrollo del trabajo...............................................................................................8 7 Plan de acción ........................................................................................................11 Anexo I.- PLANIFICACIÓN ...............................................................................................16 Anexo II – Reuniones con personal de Viento en Popa ....................................................18 Anexo III – Documentación recibida y analizada..............................................................18 Anexo IV – Evidencias solicitadas....................................................................................18
Informe de Auditoria de Seguridad de la Información de la empresa Viento en Popa. 1 Antecedentes.
La empresa Viento en Popa, se dedica a impartir cursos teóricos y prácticos siendo estos oficiales y de certificación para navegación en altamar, así como actividades náuticas recreativas. Para consolidar sus canales de comunicación ha implementado un portal Web, al que tiene accesos los estudiantes, turistas y personal administrativo. Las instalaciones de Viento en Popa se encuentran en la ciudad de Alicante de España, en estas instalaciones se encuentra implementado la infraestructura tecnológica de la empresa (CPDs), es importante indicar que el portal Web se encuentra desarrollado en código Java.
El rápido aumento de ciberataques ha impactado en la conciencia de la Dirección de Viento en Popa la cual ha determinado contratar los servicios de la auditora BeAuditors para determinar el nivel de seguridad actual de la información tratada en la compañía y con ello identificar el grado de exposición ante riesgos tecnológicos, mejorar la seguridad y la efectividad de los controles, consiguiente de esta manera un debido control sobre la confidencialidad, integridad y disponibilidad de la información de la empresa.
2 Objeto
La información es uno de los activos más importantes para Viento en Popa, debido a que supone un gran valor para el correcto desempeño de las funciones de negocio y su buen hacer. El objetivo de la Seguridad de la Información, es protegerla de una amplia gama de amenazas, a fin de asegurar la continuidad de los sistemas de información, minimizar el daño y maximizar el retorno sobre las inversiones y las oportunidades.
La Seguridad de la Información se consigue implementando un conjunto adecuado de controles y medidas que comprenden políticas, procedimientos, prácticas, estructuras organizativas, funciones de software o hardware. Estas aseguran los objetivos y la confidencialidad, integridad y disponibilidad de la información, así como la trazabilidad de las acciones.
En la adquisición y diseño de los sistemas de información, en algunos casos, no se tienen en cuenta requisitos o características de seguridad apropiados. Por ello, el nivel de seguridad que puede lograrse por medios técnicos es limitado y debe ser apoyado por una gestión y procedimientos adecuados, participando los empleados de la organización, e incluso en algunos casos, proveedores y/o clientes.
Viento en Popa es consciente de la importancia de proteger la información y los sistemas informáticos que la tratan y mantienen, para el correcto desempeño de los procesos de negocio de la Compañía. Con el fin de asegurar dicha protección, se ha marcado como objetivo el desarrollo de una auditoria de Seguridad de la Información siguiendo, entre otros, el estándar internacional ISO/IEC 27001, la legislación aplicable en Seguridad de la Información y la integridad y cadena de custodia de las evidencias electrónicas, entre otros marcos de referencia de dicho plan.
Así, tras la petición por parte de la dirección de Viento en Popa, se ha realizado un trabajo de auditoria, el cual queda reflejado en el presente informe, basándose en la información recabada durante:
▪ Las reuniones mantenidas con los miembros de Seguridad, Sistemas y Recursos Humanos de Viento en Popa.
▪ La revisión de la normativa en materia de Seguridad de la Información y evidencias técnicas.
▪ El análisis de los sistemas de información relevantes y de sus registros y configuraciones. ▪ Los contratos y cláusulas contractuales.
Esta revisión está limitada a las acciones realizadas desde el 01 de marzo de 2020 hasta el 31 de mayo del mismo año.
3 Alcance.
Alcance a nivel de organización.
▪ El alcance a nivel de organización abarca las áreas de tecnología, recursos humanos, comercial y soporte al alumno.
Alcance a nivel de ubicación.
▪ A nivel de ubicación, el alcance comprende la sede principal de Viento en Popa en Alicante (España).
Alcance a nivel de sistemas de información.
▪ Infraestructura TIC de la organización, profundizando en los sistemas de información encargados de tratar la información de tecnología, recursos humanos, comercial y soporte al alumno.
4 Resumen ejecutivo
La dirección de Viento en Popa es consciente de la importancia de proteger la Información y en consecuencia los Sistemas y Tecnologías que la soportan y gestionan, con el fin de salvaguardar el correcto desempeño de los procesos de negocio de la Compañía. Por ello, Viento en Popa se ha marcado como objetivo la elaboración de una auditoria de Seguridad de la Información.
A raíz del trabajo realizado, se concluye que la situación de Viento en Popa en materia de seguridad de la información se encuentra en un nivel (1) Inicial / (2) En Desarrollo (en una escala de 0 a 4). La compañía dispone de ciertos controles implantados y realiza acciones para garantizar la Seguridad de la Información tratada, pero éstos, podrían ser mejorados para conseguir salvaguardar de forma más eficiente la confidencialidad, integridad, disponibilidad y trazabilidad de la información, evitando que estas deficiencias pudieran desembocar en pérdidas de servicio, financieras y reputacionales.
...