Plan de pruebas empresa real REMGING S.A.S
Enviado por jfmarquezp • 26 de Octubre de 2020 • Informe • 932 Palabras (4 Páginas) • 154 Visitas
Plan de pruebas. Javier Felipe Márquez Pérez
Para el plan de pruebas se parte de la declaración de aplicabilidad enfocado a las diversas entidades del estado con el fin de garantizar seguridad de la información orientado a los CONTROLES ISO 27001:2013. Como pruebas se requiere el acceso directo a las diversas fuentes, archivos y personal que pueda responder ante procesos auditables para verificar el cumplimiento de requisitos.
Se toma como referencia una empresa real REMGING S.A.S es una compañía de telecomunicaciones con sede en Bogotá, Colombia, el cual concentra su potencial tecnológico fundamentalmente en zonas rurales donde los grandes operadores no llegan.
Desde esta perspectiva su despliegue facilita la comunicación a empresas y personas con pocas alternativas de conectividad. Totalmente privada, como proveedores de internet garantizan un portafolio de servicios que incluyen internet inalámbrico con planes tanto para hogares como para clientes corporativos. Se han diversificado con servicios fijos y móviles como telemetría y telemedida en el sector energético, ambiental e industrial, así como servicios técnicos en sitio o remoto, servicios de seguridad en redes y cuenta con un Datacenter propio en el cual se pueden alojar servidores.
Conforme REMGING S.A.S ha ido diversificando sus productos y servicios también ha ido sumando tecnologías para su gestión. Para monitorear y administrar equipos de comunicaciones utilizan el Protocolo Sencillo de Administración de redes (SNMP), Cisco Assistance Management para la gestión de configuración de productos activos tales como switches y routers, plataforma Primestone para la operación de equipos de telemedida. Plataforma HelpDesk como herramienta de asistencias para gestión de incidentes y servicio técnico. Para el sistema interno administrativo financiero, se utiliza soluciones de la suite de Office y Plataforma Payu como pasarela de pagos. La comunicación interna del equipo se realiza a través de la plataforma Whatsapp.
Si bien las herramientas y tecnologías adoptadas permiten el correcto funcionamiento de la empresa, las mismas estás muy dispersas y resulta costoso en tiempo y recursos integrar la información. En una visión panorámica tampoco cubren de manera eficiente todos los procesos tales como el pago de nómina, manejo de inventarios, seguimiento personalizado a clientes. Todo ello dificulta tanto la toma de decisiones como elaborar planes estratégicos que le permita ser más competitiva lo que ha conducido a REMGING S.A.S. replantearse una mejora en el manejo de sus tecnologías que facilite de manera integrada sus necesidades específicas. PD010, (PD08), (PD05)
En base al análisis realizado para la empresa REMGING S.A.S se determina que no existe un departamento de Recursos Humanos; sin embargo, se tienen identificadas las funciones que realiza esta área, las cuales son manejadas bajo la Jefatura Administrativa. PD03, PD06. PF01
Dominios propuestos:
A.18. CUMPLIMIENTO
OBJETIVOS DE CONTROL | CONTROLES ISO 27001:2013 | APLICABILIDAD | JUSTIFICACIÓN |
A.18.1 Cumplimento de requisitos legales y contractuales | A.18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales A.18.1.2 derechos de propiedad intelectual A.18.1.3 Protección de registros A.18.1.4 privacidad y protección de datos | Si Si Si Si | Es obligación de todas las entidades el cumplimiento de los requisitos legales y al cumplimiento de la normatividad que rige en la actualidad en todo lo relacionado a seguridad y protección de la información, y la exigencia de mantenimiento actualizado para que se pueda dar la aplicabilidad oportuna. (PE01), (PE05) Es de exigencia obligatoria a las entidades como principio de seguridad toda una implementación de los procedimientos derivados de los respectivos requisitos legales referidos a procesos contractuales relacionados con derechos de propiedad intelectual. (PE01), (PE06) Exigencia estricta la implementación de la protección de registros contra todo tipo de ataque, falsificación, acceso no autorizado aplicando normatividad legal actualizada en concordancia con los objetivos institucionales y las dinámicas contractuales. (PE02), (PD08) Es de estricto cumplimiento para para todos los funcionarios y contratistas la firma del acuerdo de confidencialidad que los responsabiliza de la protección y privacidad de datos personales. |
A7 SEGURIDAD DE LOS RECURSOS HUMANOS
OBJETIVOS DE CONTROL | CONTROLES ISO 27001:2013 | APLICABILIDAD | JUSTIFICACIÓN |
A.7.1 Antes de asumir el empleo A.7.2.Durante la ejecución del empleo | A.7.7.1 Selección A.7.1.2. Términos y condiciones del empleo A.7.2.1 Responsabilidades de la dirección A.7.2.2 Toma de conciencia, educación y formación en la seguridad de la información | Si Si Si Si | En el área de recursos humanos se han de verificar y constatar la certeza de los datos presentados por el aspirante al igual que los antecedentes disciplinarios. (PE01) Es de estricto cumplimiento la exigencia de que todo funcionario firme los términos y condiciones en el que se asumen responsabilidades de seguridad y confidencialidad de la información. (PD03) La alta dirección ha de asumir el compromiso de la exigencia a sus funcionarios el seguimiento y garantía de la aplicación de las políticas establecidas por la entidad referidas a la seguridad de la información. (PF01), (PE04) Es de estricto cumplimiento la capacitación a todo el personal sobre la importancia del conocimiento, apropiación y transferencia del conocimiento de los requerimientos de seguridad informática (PD07) |
...