“AUDITORÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGÚN CERTIFICACIÓN ISO 27001 EN LA EMPRESA FACTURITA.PE”

“AÑO DEL FORTALECIMIENTO DE LA SOBERANÍA NACIONAL”[pic 1][pic 2]

UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERÍA INDUSTRIAL

ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA

Título  

 “AUDITORÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGÚN CERTIFICACIÓN ISO 27001 EN LA EMPRESA FACTURITA.PE” 

Curso

Elaboración de proyectos informáticos

Docente

Dr. Reucher Correa Morocho

 Integrantes

Aguilar Noa, César Augusto

Castillo Huaman, Jean Carlos

Gonzales Navarro, Luis Alberto

Pingo Condeza, Lilliam Marydeé

Preciado Suarez, Fabio Edy

Silva Saavedra, Andrea Victoria 

PIURA – PERÚ

2022  

Aspectos de Planificación del Proyecto        2

 Título: “AUDITORÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGÚN CERTIFICACIÓN ISO 27001 EN LA EMPRESA FACTURITA.PE”

1. Aspectos de Planificación del Proyecto

1. Descripción    del Proyecto  

El presente proyecto se basa en realizar una auditoría a la empresa Facturita.pe, la cual es una empresa de facturación electrónica y de gestión. Dicha empresa está a cargo de data sumamente confidencial e importante de cada una de las empresas que contratan sus servicios y la mala manipulación de estos datos podrían ocasionar en el peor de los casos multas sumamente altas por parte de SUNAT o el borrado de todos los datos de una empresa.

Por lo expuesto anteriormente consideramos de suma importancia someter a una auditoría a la empresa en cuestión, donde buscamos identificar los puntos vulnerables de la seguridad de la información y preparar a la empresa para cumplir con todos los requisitos de la certificación ISO 270001 que garantiza la confidencialidad, integridad y disponibilidad de los datos e información.

1. Características del Proyecto

1. Descripción de la entidad

Facturita.pe es una empresa de sistema de gestión comercial y administrativo con facturación electrónica para pequeñas, medianas y grandes empresas, autorizado por SUNAT como PSE.

Cuenta con la Certificación en Seguridad de la Información ISO 27001 obtenida en el 2021, lo que les ha permitido garantizar la confidencialidad, integridad y seguridad en cuanto a la información de las empresas y negocios.

1. Visión del proyecto

Cumplir con los principios y funciones encomendadas al auditor informático para el desarrollo de la auditoría a la empresa en mención y reconocer/verificar que la empresa aún garantiza la seguridad de la información tanto con sus clientes como con sus usuarios.  

1. Misión del proyecto

Garantizar una investigación de calidad y la protección de datos e información que nos sea proporcionada de la empresa Facturita para evitar su pérdida o robo, mediante el principio de confidencialidad.

1. Objetivos del proyecto

• Identificar el estado actual de la empresa con respecto a los pilares de la certificación ISO 270001.
• Obtener información acerca de cómo se están realizando los procesos de gestión de seguridad de la información dentro de la empresa en la actualidad
• Comprobar que el Sistema de Gestión de Seguridad de la Información (SGSI) implantadas en la empresa siguen cumpliendo con la norma.
• Comprobar que el alcance del SGSI dentro de la empresa llega a todos los usuarios y niveles de la organización y determinar cuáles áreas están siendo afectadas de ser necesario.
• verificar que dentro de la estructura orgánica de la empresa  existen roles de control y coordinación de responsabilidades sobre el flujo de información.
  

1. Actividades del Proyecto

2.1). Fases/Etapas del Proyecto

El proyecto se realizará en 9 etapas y serán ejecutadas a lo largo del tiempo que  se determine para el proyecto

Fase I: Reunión de apertura

En esta fase inicia la reunión inaugural en  fecha y hora acordada en la reunión inaugural con los responsables de asistir a la auditoría.

Fase II: Conocimientos del Sistema

En esta fase procederá a reconocer los aspectos legales y políticas internas de la Empresa Facturita.pe, las características del sistema operacional y funcional, los informes de auditorías que se le hayan realizado anteriormente y la aplicación del sistema en mención y las características de aplicación de los equipos.

 Fase III: Análisis de transacciones y recursos

Se procederá a analizar y detallar los flujos de procesos de los tipos de transacciones que se manejan en la empresa, así como sus subprocesos si los tuvieran, a su vez analizar e identificar los recursos que participan en la empresa y la relación entre estos ítems

Fase IV: Análisis de riesgos y amenazas

Se realizará un análisis de los riesgos y amenazas detectados en la empresa a su vez se relacionarán estas debilidades con las fases anteriores.

Fase V: Análisis de controles

Se analizarán los controles aplicados a las áreas que utilizan los recursos de TI de la empresa y se relaciona con la fase III.

Fase VI: Evaluación de Controles

Se evaluará si los controles analizados e identificados proveen una protección adecuada de los recursos de TI de la empresa y se solicitarán las datas de pruebas a estos controles al área respectiva y se realizarán nuevas pruebas y se analizarán estas.

Fase VII: El Informe de auditoría

Se procede a generar el informe de auditoría incluyendo los objetivos, alcance y opiniones resaltantes para el informe, los hallazgos y recomendaciones

Fase VIII: Seguimiento de las Recomendaciones

Se procederá a hacer un seguimiento de las recomendaciones que se detallaron con anterioridad.

Fase IX: Reunión de cierre

En esta fase después de recopilar evidencia objetiva y categorizar los hallazgos, se escribe un informe que describe los hallazgos e incluye fortalezas y oportunidades para la mejora del proceso, presentado a las partes auditadas en la reunión. Al final de la reunión, luego destacan la implementación de la "Revisión Proceso, Acción Preventiva y/o Mejora.

...