ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Pre auditoria SGCI


Enviado por   •  24 de Enero de 2023  •  Ensayo  •  1.936 Palabras (8 Páginas)  •  190 Visitas

Página 1 de 8

[pic 1][pic 2][pic 3]


[pic 4]

Contenido

1. Introducción        2

2. Estándares base        2

3. Descripción de la empresa        3

4. Descripción del proyecto        4

5. Categorización de activos        4

6. Análisis de controles        8

7. Análisis del SOA        9

8. Conclusiones        10

9. Bibliografía        10


  1. Introducción

El presente trabajo presenta el resumen de la evaluación de la empresa AirLine bajo la norma 2700 de ISO, para esto se ayuda de la herramienta Emarisma la cual basa su contenido en la implementación de dicha normativa, la misma se basa en identificar activos, entiéndase que un activo es aquello que la empresa debe cuidar ya se por que es imprescindible para su operación o tiene un valor interno o externo a la empresa, como herramientas, infrmacion, personas servicios, cualquiera cosa que empresa deba prestar atención y ṕroteger.

Así como para la empresa es importante un activo, este se vuelve objetivo de ataque para personas que desean hacer algún daño a la empresa, en este caso esta herramienta Emarisma nos ayudar a evaluar cada activo, para identificar en cuales debemos prestar atención o estamos descuidando, creando políticas, procedimientos, procesos, planes de divulgación de información y de protección de los mismo, por medio de la evaluación en marisma, nos haremos conscientes del grado de madurez en la implementación de medios de seguridad y tendremos un panorama que permitirá a la gerencia tomar decisiones aceca de qué camino seguir y cual debemos modificar.

  1. Estándares base

Como estándar para este trabajo se basará la norma ISO 27000 y la plataforma Emarisma completamente basada en la norma ISO 27000, se elige esta plataforma Emarisma ya que  es una herramienta que ofrece las siguientes características.

  • Generación de Checklist de activos ṕara su evaluación.
  • Análisis de Riesgos
  • Plan de Tratamiento
  • Gestión de Incidencias
  • Gestión de Eventos
  • Mejoras
  • Cuadro de Mando Dinámico
  • Generación de Informes

La ISO 27001:2013 es la norma internacional que proporciona un marco de trabajo para los sistemas de gestión de seguridad de la información (SGSI) con el fin de proporcionar confidencialidad, integridad y disponibilidad continuada de la información (ISO 27000). La ISO 27001 tiene como objetivo proteger los activos más importantes para la empresa ya sea por relevancia interna o externa a la empresa. La norma ISO incluye un enfoque basado en procesos procedimientos y políticas a ser implementadas en la empresa.

La ISO 27001 es el estgandar que ayudara a proteger a la empresa de amenazas como es: Crimen cibernético, violación o robo de datos de la empresa o de clientes, vandalismo, terrorismo,  daños, uso malintencionado y ataque de virus.

En 2019, cerca del 32% de los negocios sufrieron una violación de datos personales o recibieron ataques en los últimos 12 meses (NQA).

La norma ISO 27001 es compatible con otras normas de sistemas de gestión, como la ISO 9001; es neutral respecto a tecnología y proveedores, lo que significa que es completamente independiente de la plataforma de IT (NQA).

  1. Descripción de la empresa

LATAM Airlines es una aerolínea multinacional chilena formada por la fusión de las aerolíneas sudamericanas LAN, TAM y sus filiales.​ Con sede en Santiago (Chile), la aerolínea opera vuelos para pasajeros a países en América, el Caribe, Europa, África, Asia, Medio Oriente y Oceanía, llegando a un total de 136 destinos en 24 países. La aerolínea sirve a 137 destinos en 18 países, con una plantilla conformada por 29.000 empleados y una flota de 310 aviones (Wikipedia).

En términos de tráfico y cobertura, LATAM se constituye como la mayor y más importante línea aérea de América Latina tanto en rutas como en flota de aviones.​ LATAM nació como una fusión de las aerolíneas LAN y la brasileña TAM llevando así la consolidación de la nueva aerolínea fusionada. Con la inauguración de la ruta a Israel, se convirtió en la única aerolínea latinoamericana en volar a los 5 continentes, además de ser el único operador de Latinoamérica en unir Sudamérica con países y regiones tales como Australia, Nueva Zelanda, Israel, la Polinesia francesa, Sudáfrica y Jamaica (Wikipedia).

La nueva marca fue anunciada el 6 de agosto de 2015 ​culminando un proceso de consolidación, y después de un trabajo de integración y homologación de procesos, optimización de conexiones aéreas, además de la reestructuración y modernización de su flota de aviones (Wikipedia).

  1. Descripción del proyecto

En esta actividad se busca practicar con una herramienta de apoyo en este caso Emarisma para realizar una pre-auditoría del nivel de cumplimiento de gestión de la seguridad en la compañía AriLines Latam.

Se debe utilizar la herramienta www.emarisma.com contemplando los siguientes puntos relevantes.

  • Creación  de  un  proyecto.  Creación  de  un  proyecto  de  auditoría  de  una
  • compañía, definiendo la compañía.
  • Categorización  de  activos.  Identificar  por  lo  menos  15  activos  de  valor  de  la organización.
  • Análisis  de  controles.  Estudio  y  análisis  de  los  principales  controles  de  la
  • organización. Centrarse en los seis primeros dominios.
  • Creación de SOA. Cumplimentar los niveles del documento de aplicabilidad.

  1. Categorización de activos

Para este apartado se consideró  5 categorías de activos, considerando los principales pero no únicos activos en la empresa

  • Aplicaciones: las cuales permiten la operación de la empresa sin ellas sería imposible la venta o cualquier tipo de transacción, estas están diseñadas en micro servicios para de tener algún tipo de problema se pueda trabajar de manera parcial.
  • Información: el giro de la empresa hace que la información sea un activo sumamente importante al manejar información sensible de clientes como es cuentas bancarias asimismo información de bancos.
  • Personas: en la empresa existen perfiles muy complicados como es expertos en negocio aeronáutico con la capacidad de conocer políticas y reglamentos internacionales, son sin duda un activo muy importante.
  • Servicios: para la operación se hace uso de servicios de terceros, servicios de nube que agilizan la regionalización de nuestras aplicación en cada región en la que se se tiene presencia que es en 5 continentes.
  • BI: se cuenta con un activo especializado ed BI, que permite a la gerencia poder tomar decisiones conscientes y basadas en datos acerca de tendencias etc.

En los cuales en cada uno se agruparon como se muestra en la tabla siguiente cada activo identificado para el presente proyecto:

Tipo

Nombre

Valor

Descripción

Aplicaciones

MOBILE APP

High

Aplicaciones móviles, ya que la venta de productos en mucho es en medios móviles donde puedes reservar, dar seguimiento y realizar pagos. representa uno de los medios de pago mas importantes asi como medio de seguimiento de los clientes

MS BACK

High

Microservicios Back, representan todo el pilar tanto a aplicaciones WEB como MÓVILES, realiza toda la comunicación con bases de datos, sistemas externos, gestión de transacciones bancarias etc.

WEB APP

High

La aplicación WEB, es la principal herramienta de trabajo del equipo tanto interno como clientes, gestión y es la principal herramienta de ventas y seguimiento de transacciones, soporte etc.

Información

BD BANCOS

High

Información acerca de bancos, medios de comunicación y ejecución de transacciones, activo alto ya que maneja información sensible de cada banco e información bancaria de cada cliente.

BD CLIENTES

High

Información sensible de clientes, como es datos de personales, sus compras históricas y direcciones

BD LOG

High

Base de datos de logging donde se almacena la traza de todas las transacciones en el sistema, ayuda a seguimiento y recuperación de errores. muy importante para el equipo de soporte.

BD TRANSACCIONES

High

En esta se maneja información de cada transacción realizada por cada cliente, reservas, pagos, vuelos etc.

REPOSITORY

Medium

Repositorios de código fuente de aplicaciones, WEB, MOBILE, MS. asi como repositorios documentales, ente algun desastre la información esta segura

People

SPECIALIST ON BUSINESS

Medium

Especialista en el negocio aeronáutico con conocimiento en reformas, plataformas y políticas internacionales aeroportuarias es un perfil muy complicado por la experiencia.

SPECIALIST ON DEVOPS

Medium

Especialista en el desarrollo y operaciones del sistema, orquestación de todos los componentes, de todos los ambientes de la empresa, recuperación balanceo seguridad etc.

SUPPORT DESK

Medium

Equipo de soporte a clientes, ayudando en la adquisición de sus productos, seguimiento y apoyo a clientes. Es el contacto con el cliente.

SUPPORT TECHNICAL

Medium

Equipo de soporte 24/7 encargado de monitoreo de aplicación comportamiento y de escaneo de tramas para evitar comportamientos indebidos a tiempo, asi como la recuperación ante fallas.

Services

CLOUD SERVICES

Very High

La aplicación está desplegada en plataformas CLOUD por lo cual hace indispensable recepción de este como servicio.

CRIPTO SERVICE

High

Servicio de encriptado, cualquier tipo de comunicación entre componentes es mediante información encriptada, de no estar disponible no existe comunicación alguna.

BI

BI

Medium

Extracción de información y análisis de la misma acerca de tendencias y análisis de comportamiento, se considera media ya que al momento no detiene operaciones pero es importante para validaciones futuras como tendencias.

Tabla 1 categorización de activos

...

Descargar como (para miembros actualizados) txt (13 Kb) pdf (2 Mb) docx (2 Mb)
Leer 7 páginas más »
Disponible sólo en Clubensayos.com