planeación de la auditoria del sgsi
DESCRIPTION
Planeación de La Auditoria Del SgsiTRANSCRIPT
PLANEACIÓN AUDITORIA DEL SGSI
Antecedentes: En la Oficina de Tecnología de Información (OTI) observamos que
cuentan con políticas, procedimientos y controles con relación a los activos de TI, lo cual
permitirá brindar seguridad a la información más relevante en cualquier formato
(Impreso, Papel escrito, almacenado electrónicamente, Transmitido por correo o medio
electrónicos, por medios hablados) para la alta gerencia de la Universidad Cesar Vallejo
– Lima Este, todo ello con la finalidad de garantizar la Confidencialidad, Integridad y
Disponibilidad de toda información con valor para la Organización.
Objetivos
- Objetivo general: Evaluar, Revisar y Sugerir controles con la finalidad de
garantizar la seguridad de la información física u lógica incluida en el perímetro
cubierto por el SGSI.
Objetivos específicos:
- Realizar el proceso de levantamientos de información con respecto a los
controles establecidos para la seguridad de la información.
- Evaluar el riesgo con respecto a los controles del SGSI.
- Elaborar medidas de respuesta frente a estos riesgos.
Alcance y delimitación: La presente auditoria pretende identificar los controles
actuales establecidos para el SGSI de la Universidad Cesar Vallejo – Lima Este, con el
fin de verificar, evaluar y recomendar controles para el cumplimiento de garantizar la
seguridad de información.
Se van a evaluar e identificar los controles (133) según todos los dominios (11) de la
norma ISO 27002 ya que estos nos permitirán garantizar la seguridad de la información
tanto física como lógica:
Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se
realizaran las siguientes actividades:
Investigación preliminar:
- Identificar la lista de activos y las posibles amenazas que puedan alterar la
seguridad de la información.
- Evaluar la importancia de los controles soportados en la norma ISO27002 con
respecto a seguridad de la información.
Diseño del programa de auditoría:
- Realizar los procedimientos que permitan recolectar la evidencia que apoye los
hallazgos y recomendaciones.
Ejecución de las pruebas de auditoría:
- Obtener evidencia sobre los controles establecidos, su utilización, y el
entendimiento y ejecución de los mismos por parte de las personas.
Identificación, agrupación y evaluación de riesgos:
- Identificar y clasificar los riesgos a los que está expuesto la información, ya
sean propios o generados por entidades externas (personas, procedimientos,
bases de datos, redes, etc.) que interactúan en los proceso del negocio.
- Establecer recomendaciones para Evitar, Asumir, Transferir o Mitigar los
Riesgos.
Elaboración y envío del informe de Auditoría:
- Comunicar a la alta gerencia y a los responsable de mantener la seguridad de
información de la Universidad Cesar Vallejo – Lima Este los resultados de la
auditoria, para que ellos tomen la decisiones oportunas para gestionar la
implementación los controles que cubran aquellas situaciones de riesgo de
mayor relevancia.
- Servir de apoyo en la toma de decisiones, gracias a la información que poseen.
- Servir como documentación de apoyo para futuras auditorías.
Recursos:
- Humanos: La auditoría se llevará a cabo por el grupo de auditores
especializados en seguridad de información.
- Físicos: Documentos de políticas, procedimientos y controles relacionados con
la seguridad de información.
- Tecnológicos: Hardware y Software, Intranet y Campus virtual de la
Universidad Cesar Vallejo – Lima Este.
LISTAS DE CHEQUEO O CHECKLIST PARA ÁREAS DE OTI
En este apartado se establecerá un listado en el cuales verificaremos los controles para
el SGSI normados en la ISO 27002
ANÁLISIS Y EVALUACIÓN DE RIESGOS
En este apartado se establecerá el análisis y la evaluación de riesgos obtenido del
listado de controles para el SGSI normados en la ISO 27002.
RECOMENDACIONES DE LA AUDITORIA
En este apartado se establecerá un listado recomendaciones para poder mitigar los
riesgos en cuanto a seguridad de la información, tomando como guía a la norma ISO
27002.
- Re-evaluar las políticas para poder mejorarlas y ajustarlas para asegurar la
información.
- Monitoreo continuo del acceso de terceros.
- Fomentar dentro de la cultura organizacional, la importancia de la seguridad de
la información.
- Resguardar la ubicación de Servidores, Computadoras y Áreas de gran
importancia.
- Monitorear al personal sobre el uso de medios extraíbles.
- Crear y brindar funcionalidad en cuanto a un tiempo límite de conexión para cada
usuario.