Caso de auditoría de riesgos y seguridad de la información

Una firma de contabilidad que tiene como cliente a una empresa de comercio electrónico que
maneja una gran cantidad de información confidencial de clientes, incluyendo datos de tarjetas
de crédito y direcciones de correo electrónico.

Para llevar a cabo una auditoría de riesgos y seguridad de la información, se pueden seguir los
siguientes pasos:

• Evaluación de los sistemas de información: En primer lugar, se debe evaluar el sistema de

información de la empresa de comercio electrónico para identificar sus componentes, la
forma en que se almacena y procesa la información y cómo se asegura la
confidencialidad, integridad y disponibilidad de la misma. Esta evaluación puede incluir
una revisión de los sistemas de gestión de bases de datos, los sistemas de gestión de
contenido, los sistemas de seguridad de red, entre otros.
• Identificación de riesgos: Una vez que se han evaluado los sistemas de información, se
debe identificar los posibles riesgos a los que se expone la información confidencial de la
empresa. Esto puede incluir amenazas externas como ataques cibernéticos o internas
como errores humanos o fraudes.
• Evaluación de los controles existentes: Se debe evaluar los controles existentes que se
han implementado para mitigar los riesgos identificados. Esto puede incluir políticas de
seguridad, controles de acceso, firewalls, encriptación, entre otros.
• Identificación de las debilidades: En este punto, se deben identificar las debilidades en los
controles existentes y evaluar la efectividad de los mismos. Esto puede incluir
debilidades en la política de seguridad, vulnerabilidades en los sistemas de información o
debilidades en la capacitación del personal.
• Recomendaciones: Finalmente, se deben proporcionar recomendaciones para mejorar la
seguridad de la información de la empresa. Estas recomendaciones pueden incluir la
implementación de nuevos controles, la actualización de políticas de seguridad o la
capacitación del personal.
Siguiendo con el caso de estudio, después de haber realizado la auditoría de riesgos y seguridad
de la información, se identificaron varios riesgos potenciales y debilidades en los controles
existentes de la empresa de comercio electrónico. A continuación, se describen algunas de las
principales conclusiones y recomendaciones de la auditoría:

1. La empresa no tiene un sistema de gestión de seguridad de la información formalmente

establecido, lo que aumenta el riesgo de pérdida de información confidencial. Se
recomienda que la empresa establezca un sistema formal de gestión de seguridad de la
información, basado en estándares de buenas prácticas como la norma ISO 27001.

2. La política de seguridad de la información actual no es lo suficientemente detallada y

específica. Se recomienda que la empresa revise y actualice su política de seguridad para
incluir todos los aspectos relevantes de la seguridad de la información, como la
autenticación de usuarios, la gestión de contraseñas, la gestión de acceso, la gestión de
parches y actualizaciones de software, la encriptación de datos, entre otros.

3. La empresa no tiene controles adecuados para proteger sus sistemas de información de

posibles amenazas externas, como los ataques cibernéticos. Se recomienda que la empresa
implemente medidas de seguridad adicionales, como firewalls, sistemas de detección de
intrusiones, sistemas de prevención de pérdida de datos, sistemas de copia de seguridad y
recuperación ante desastres.

4. La capacitación del personal en seguridad de la información es limitada. Se recomienda

que la empresa realice capacitaciones regulares para el personal sobre la importancia de la
seguridad de la información, las políticas de seguridad y los procedimientos de seguridad
relevantes.
5. La empresa no tiene un proceso formal de gestión de incidentes de seguridad de la
información. Se recomienda que la empresa establezca un proceso formal de gestión de
incidentes de seguridad de la información que incluya la identificación, registro, análisis,
resolución y seguimiento de los incidentes de seguridad de la información.
 6. En general, la auditoría de riesgos y seguridad de la información identificó debilidades
significativas en la seguridad de la información de la empresa de comercio electrónico, y
se proporcionaron recomendaciones específicas para abordar estas debilidades y mejorar
la seguridad de la información de la empresa. Implementar estas recomendaciones ayudará
a proteger la información confidencial de la empresa y de sus clientes, y a garantizar la
continuidad del negocio en caso de incidentes de seguridad de la información.

En resumen, una auditoría de riesgos y seguridad de la información en una empresa de comercio

electrónico puede ayudar a identificar posibles riesgos y debilidades en la seguridad de la
información, y proporcionar recomendaciones para mejorar la seguridad y proteger la información
confidencial de la empresa y de sus clientes.
 CONTABILIDAD Y FINANZAS

AUDITORÍA A SITIOS WEB

Curso: Auditoría de Sistemas Docente: Jiménez

Flores, Oscar Juan

PRESENTADO POR:

Apaza Meneses Angel Lizardo

IX CICLO

Tacna Perú

2023
 Actividad

Ud. como auditor interno, tiene el deber de llevar a cabo la propuesta de desarrollo de 1 de las 6
recomendaciones en base a lo siguiente:

1. Desarrollo de la propuesta de mejora

A la hora de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) según la
norma ISO 27001, debemos considerar como eje central de este sistema la Evaluación de Riesgos.
Este capítulo de la Norma, permitirá a la dirección de la empresa tener la visión necesaria para
definir el alcance y ámbito de aplicación de la norma, así como las políticas y medidas a implantar,
integrando este sistema en la metodología de mejora continua.

a. Recomendación de la auditoría
Se recomienda que la empresa establezca un sistema formal de gestión de seguridad de la
información, basado en estándares de buenas prácticas como la norma ISO 27001.

b. Propuesta de mejora
Desarrollar e implementar un sistema de gestión de seguridad de la información formalmente
establecido.
c. Beneficios
Se mejorará la gestión de los riesgos de seguridad de la información en la entidad.
Conclusiones
El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza a clientes y
proveedores que la seguridad de la información se toma en serio dentro de la organización, estando
a la vanguardia en la aplicación de la técnica de procesos para hacer frente a las amenazas de la
información y a y los problemas de la seguridad.

2. Desarrollo de la propuesta de mejora

a. Recomendación de la auditoría
La empresa debe revisar y actualizar su política de seguridad para incluir todos los aspectos
relevantes de la seguridad de la información.

b. Propuesta de mejora
1. Definir el objetivo, alcance y vigencia
Comenzando por el objetivo de esta política, un ejemplo puede ser:
En el alcance es recomendable incluir todas las áreas de la empresa, sean externas e internas.
Por último, es muy importante precisar la fecha desde que esta política estará vigente en la empresa
y aplicarán todas las medidas dispuestas.

2. Definir los responsables

Generalmente, hay tres responsables sobre este documento:

Responsable de la estrategia de seguridad: alguien de la alta gerencia (CEO, CTO, COO, etc.) o
un CISO en caso de tener.
Responsable de la operatoria diaria: esto es para hacer que esta política se implemente. Pueden ser
el CTO y otra persona que vele por la seguridad en ambientes no TI.
Oficial de Seguridad de la Información: si bien en ISO 27001 no es obligatorio asignar este rol,
algunas regulaciones como, la Ley Fintech de México y la RAN 20-10 de Chile sí lo exigen. Este
Oficial asesorará al responsable de la estrategia sobre cómo implementar la seguridad.
Combina conocimiento normativo, de negocio y experiencia técnica para comprender las
soluciones que se implementen a nivel seguridad.

3. Especificar la autoridad de emisión, revisión y publicación

Ya que esta política interviene en todas las áreas de la compañía y evidencia las intenciones por
asegurar la información, cualquier auditor necesitará saber qué autoridad emitió, revisó y publicó
este documento. Generalmente lo realiza alguien de la alta gerencia o quien se haya designado
como el responsable de la estrategia de seguridad.

También, debes enviar un acta o minuta en la que se comunique a cada miembro del directorio o
alta gerencia la emisión de esta política y solicitar su conformidad mediante un e-mail o su firma
de puño y letra. Esto te servirá como evidencia para la auditoría, pero también, como una
constancia de que todos conocen y aprueban este documento.

4. Definir las medidas de seguridad

Una vez que terminas de especificar la autoridad de emisión, revisión y publicación, es momento
de determinar las medidas de seguridad que tu empresa tomará y colocar sus lineamientos
generales (o en lo que en la política se llama “Reglas de aplicación”).

Veamos un ejemplo: suponiendo que una de las medidas que quieres tomar sea gestionar los
incidentes, entonces deberás colocar un apartado de Gestión de Incidentes con su objetivo y sus
lineamientos a nivel general:

Recuerda que las actividades propias de esta gestión y el paso a paso quedarán detalladas en un
documento aparte.

5. Comunicar la política a los empleados

De nada sirve tener una política excelentemente desarrollada si nadie la conoce.

Debes disponerla en un lugar conocido por todos, sea una intranet, Wiki o carpeta de Dropbox, e
invitar a todos a leerla mediante un e-mail. En este caso es recomendable (aunque no obligatorio)
hacer una pequeña evaluación de lectura con 5 o 7 preguntas para confirmar que la política se
entendió y todos están enterados de sus disposiciones.

También, ante cada ingreso de empleados debes asegurarte de enviarla o incluirla en una política
de confidencialidad que indique que “el empleado ha leído y está enterado de las disposiciones
escritas en la política de seguridad de la información. Cualquier acto que se haga de mala fe o en
contra de la política es meritorio de una sanción o de una desvinculación”.
c. Beneficios
La política de seguridad de la información es el documento donde se definen las medidas que tu
empresa tomará para proteger la información. Debes saber que aquí se describen los lineamientos
generales de cada medida y, en esta instancia, no es necesario profundizar en el detalle.

a. Conclusiones
Mantener actualizadas las políticas de seguridad nos permitirá contar con respuestas operativas
Ante las amenazas que nos rodean y dependerá de ello en gran manera la seguridad de la
información que se desea proteger.

3. Desarrollo de la propuesta de mejora

a. Recomendación de la auditoría
Se recomienda que la empresa implemente medidas de seguridad adicionales, como firewalls,
sistemas de detección de intrusiones, sistemas de prevención de pérdida de datos, sistemas de copia
de seguridad y recuperación ante desastres.

b. Propuesta de mejora
Implementar medidas de seguridad.
La forma adecuada de trabajar es con medidas de prevención y, con el fin de lograrlo, es vital que
pongamos a funcionar un programa sistemático de seguridad industrial. Esto, para prevenir
condiciones con riesgo de accidentes en el trabajo. Implementar este mecanismo requiere de
algunos pasos, pero cumplir las metas es tarea de todos.

c. Beneficios

Disminuir o eliminar las deficiencias detectadas durante la auditoria.

d. Conclusión

La aprobación de esta Política implica que su implantación contará con el apoyo de la Dirección
para lograr todos los objetivos establecidos en la misma, como también para cumplir con todos sus
requisitos.

4. Desarrollo de la propuesta de mejora

a. Recomendación de la auditoría
La empresa debe realizar capacitaciones regulares para el personal sobre la importancia de la
seguridad de la información, las políticas de seguridad y los procedimientos de seguridad
relevantes.

b. Propuesta de mejora
Desarrollar e implementar un sistema de capacitaciones, por áreas, cambiando las políticas y
procedimientos según corresponda.

c. Beneficios
La capacitación del personal en seguridad de la información, les dará conciencia sobre la
información que se maneja, detectando con mayor rapidez los ataque a que se esta expuesto y
poner en marcha los protocolos de seguridad a implementar.
d.- Conclusiones
o Estas acciones nos permitirán mantener un nivel de Calidad en nuestro servicio.
o Reducción en tiempos y supervisión,
o Desarrollo ético y motivación del personal,
o Creación de equipos de trabajo de alto desempeño,
o Seguridad y autoestima en los trabajadores,
o Mayor especialización, a la vez que flexibilidad en sus tareas.
Desarrollo de la propuesta de mejora
.
La empresa no tiene un proceso formal de gestión de incidentes de seguridad de la información.
Se recomienda que la empresa establezca un proceso formal de gestión.

d. Recomendación de la auditoría
Se recomienda que la empresa establezca un proceso formal de gestión de incidentes de seguridad
de la información que incluya la identificación, registro, análisis, resolución y seguimiento de los
incidentes de seguridad de la información.

e. Propuesta de mejora
Se implementará un sistema de gestión de incidentes, estableciendo los protocolos a seguir, los
colaboradores serán capacitados en ello, para que su puesta en marcha sea efectiva.
f. Beneficios
Esta implementación nos permitirá, tener en claro los procedimientos s seguir en caso de ocurrir
una contingencia que afecte nuestra seguridad de información y así resguardar de la mejor manera
posible a nuestros clientes.
 5. Desarrollo de la propuesta de mejora
a. Recomendación de la auditoría. - Se recomienda que la empresa establezca un
proceso formal de gestión de incidentes de seguridad de la información que incluya
la identificación, registro, análisis, resolución y seguimiento de los incidentes de
seguridad de la información

b. Propuesta de mejora

El proceso ITSM de gestión de incidentes, es un conjunto de actividades que garantiza que todos
los problemas de IT (llamados “incidentes” por ITIL, marco de referencias de las mejores prácticas
de ITSM) se registren y progresen de manera eficaz y coherente hasta la resolución. Esto sucede
mientras se asegura de que nada se pierda, se ignore u olvide.

c. Beneficios
Se podrá analizar y clasificar los incidentes, por ejemplo:
Asigne un número único para cada incidente y recoja datos de ubicación y/o localización. Puede
ser interesante establecer una tipología y codificación de incidencias para facilitar su análisis
cualitativo y cuantitativo posterior, así como generación de indicadores clave. Trate de hacer una
valoración para priorizar su gestión (bajo, medio, alto).