Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Una firma de contabilidad que tiene como cliente a una empresa de comercio electrónico que
maneja una gran cantidad de información confidencial de clientes, incluyendo datos de tarjetas
de crédito y direcciones de correo electrónico.
Para llevar a cabo una auditoría de riesgos y seguridad de la información, se pueden seguir los
siguientes pasos:
PRESENTADO POR:
IX CICLO
Tacna Perú
2023
Actividad
Ud. como auditor interno, tiene el deber de llevar a cabo la propuesta de desarrollo de 1 de las 6
recomendaciones en base a lo siguiente:
a. Recomendación de la auditoría
Se recomienda que la empresa establezca un sistema formal de gestión de seguridad de la
información, basado en estándares de buenas prácticas como la norma ISO 27001.
b. Propuesta de mejora
Desarrollar e implementar un sistema de gestión de seguridad de la información formalmente
establecido.
c. Beneficios
Se mejorará la gestión de los riesgos de seguridad de la información en la entidad.
Conclusiones
El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza a clientes y
proveedores que la seguridad de la información se toma en serio dentro de la organización, estando
a la vanguardia en la aplicación de la técnica de procesos para hacer frente a las amenazas de la
información y a y los problemas de la seguridad.
b. Propuesta de mejora
1. Definir el objetivo, alcance y vigencia
Comenzando por el objetivo de esta política, un ejemplo puede ser:
En el alcance es recomendable incluir todas las áreas de la empresa, sean externas e internas.
Por último, es muy importante precisar la fecha desde que esta política estará vigente en la empresa
y aplicarán todas las medidas dispuestas.
Responsable de la estrategia de seguridad: alguien de la alta gerencia (CEO, CTO, COO, etc.) o
un CISO en caso de tener.
Responsable de la operatoria diaria: esto es para hacer que esta política se implemente. Pueden ser
el CTO y otra persona que vele por la seguridad en ambientes no TI.
Oficial de Seguridad de la Información: si bien en ISO 27001 no es obligatorio asignar este rol,
algunas regulaciones como, la Ley Fintech de México y la RAN 20-10 de Chile sí lo exigen. Este
Oficial asesorará al responsable de la estrategia sobre cómo implementar la seguridad.
Combina conocimiento normativo, de negocio y experiencia técnica para comprender las
soluciones que se implementen a nivel seguridad.
También, debes enviar un acta o minuta en la que se comunique a cada miembro del directorio o
alta gerencia la emisión de esta política y solicitar su conformidad mediante un e-mail o su firma
de puño y letra. Esto te servirá como evidencia para la auditoría, pero también, como una
constancia de que todos conocen y aprueban este documento.
Veamos un ejemplo: suponiendo que una de las medidas que quieres tomar sea gestionar los
incidentes, entonces deberás colocar un apartado de Gestión de Incidentes con su objetivo y sus
lineamientos a nivel general:
Recuerda que las actividades propias de esta gestión y el paso a paso quedarán detalladas en un
documento aparte.
Debes disponerla en un lugar conocido por todos, sea una intranet, Wiki o carpeta de Dropbox, e
invitar a todos a leerla mediante un e-mail. En este caso es recomendable (aunque no obligatorio)
hacer una pequeña evaluación de lectura con 5 o 7 preguntas para confirmar que la política se
entendió y todos están enterados de sus disposiciones.
También, ante cada ingreso de empleados debes asegurarte de enviarla o incluirla en una política
de confidencialidad que indique que “el empleado ha leído y está enterado de las disposiciones
escritas en la política de seguridad de la información. Cualquier acto que se haga de mala fe o en
contra de la política es meritorio de una sanción o de una desvinculación”.
c. Beneficios
La política de seguridad de la información es el documento donde se definen las medidas que tu
empresa tomará para proteger la información. Debes saber que aquí se describen los lineamientos
generales de cada medida y, en esta instancia, no es necesario profundizar en el detalle.
a. Conclusiones
Mantener actualizadas las políticas de seguridad nos permitirá contar con respuestas operativas
Ante las amenazas que nos rodean y dependerá de ello en gran manera la seguridad de la
información que se desea proteger.
a. Recomendación de la auditoría
Se recomienda que la empresa implemente medidas de seguridad adicionales, como firewalls,
sistemas de detección de intrusiones, sistemas de prevención de pérdida de datos, sistemas de copia
de seguridad y recuperación ante desastres.
b. Propuesta de mejora
Implementar medidas de seguridad.
La forma adecuada de trabajar es con medidas de prevención y, con el fin de lograrlo, es vital que
pongamos a funcionar un programa sistemático de seguridad industrial. Esto, para prevenir
condiciones con riesgo de accidentes en el trabajo. Implementar este mecanismo requiere de
algunos pasos, pero cumplir las metas es tarea de todos.
c. Beneficios
d. Conclusión
La aprobación de esta Política implica que su implantación contará con el apoyo de la Dirección
para lograr todos los objetivos establecidos en la misma, como también para cumplir con todos sus
requisitos.
b. Propuesta de mejora
Desarrollar e implementar un sistema de capacitaciones, por áreas, cambiando las políticas y
procedimientos según corresponda.
c. Beneficios
La capacitación del personal en seguridad de la información, les dará conciencia sobre la
información que se maneja, detectando con mayor rapidez los ataque a que se esta expuesto y
poner en marcha los protocolos de seguridad a implementar.
d.- Conclusiones
o Estas acciones nos permitirán mantener un nivel de Calidad en nuestro servicio.
o Reducción en tiempos y supervisión,
o Desarrollo ético y motivación del personal,
o Creación de equipos de trabajo de alto desempeño,
o Seguridad y autoestima en los trabajadores,
o Mayor especialización, a la vez que flexibilidad en sus tareas.
Desarrollo de la propuesta de mejora
.
La empresa no tiene un proceso formal de gestión de incidentes de seguridad de la información.
Se recomienda que la empresa establezca un proceso formal de gestión.
d. Recomendación de la auditoría
Se recomienda que la empresa establezca un proceso formal de gestión de incidentes de seguridad
de la información que incluya la identificación, registro, análisis, resolución y seguimiento de los
incidentes de seguridad de la información.
e. Propuesta de mejora
Se implementará un sistema de gestión de incidentes, estableciendo los protocolos a seguir, los
colaboradores serán capacitados en ello, para que su puesta en marcha sea efectiva.
f. Beneficios
Esta implementación nos permitirá, tener en claro los procedimientos s seguir en caso de ocurrir
una contingencia que afecte nuestra seguridad de información y así resguardar de la mejor manera
posible a nuestros clientes.
5. Desarrollo de la propuesta de mejora
a. Recomendación de la auditoría. - Se recomienda que la empresa establezca un
proceso formal de gestión de incidentes de seguridad de la información que incluya
la identificación, registro, análisis, resolución y seguimiento de los incidentes de
seguridad de la información
b. Propuesta de mejora
El proceso ITSM de gestión de incidentes, es un conjunto de actividades que garantiza que todos
los problemas de IT (llamados “incidentes” por ITIL, marco de referencias de las mejores prácticas
de ITSM) se registren y progresen de manera eficaz y coherente hasta la resolución. Esto sucede
mientras se asegura de que nada se pierda, se ignore u olvide.
c. Beneficios
Se podrá analizar y clasificar los incidentes, por ejemplo:
Asigne un número único para cada incidente y recoja datos de ubicación y/o localización. Puede
ser interesante establecer una tipología y codificación de incidencias para facilitar su análisis
cualitativo y cuantitativo posterior, así como generación de indicadores clave. Trate de hacer una
valoración para priorizar su gestión (bajo, medio, alto).