Auditoria y seguridad informática ll Unión Eléctrica S.A
jsalazarmInforme23 de Mayo de 2020
2.487 Palabras (10 Páginas)195 Visitas
Auditoria y seguridad informática ll
Unidad-4
Entrega Final
Docente:
xxx
Presentado por:
XXXX
Institución Universitaria Escolme
Medellín
2020
Contenido
Introducción 3
Objetivo principal 3
Objetivos específicos 3
Contexto de la empresa Unión Elétrica S.A 3
Unión Eléctrica S.A, brinda soluciones en: 4
Datacenter 4
Telepresencia 4
Seguridad de la información 4
Telecomunicaciones 4
Análisis 4
Imagen de resultados 1 5
Imagen de resultados 2 6
Nivel de riesgo 6
Análisis de los resultados de los Dominios 6
Políticas de la seguridad y la información 60% (riesgo bajo) 6
Organización de la seguridad de la información 60% (riesgo bajo) 7
Seguridad de los recursos humanos 0% (riesgo alto) 7
Gestión de activos 40% (riesgo alto) 7
Control de acceso 79 % (riesgo bajo) 7
Criptografía 0% (riesgo alto) 7
Seguridad física y del entorno 79% (riesgo bajo) 8
Seguridad de las operaciones 99% (riesgo bajo) 8
Seguridad de las comunicaciones 80% (riego bajo) 8
Adquisición, desarrollo y mantenimiento de sistemas 54% (riesgo bajo) 8
Relaciones con los proveedores 40% (riesgo alto) 8
Gestión de incidentes de seguridad de la información 77% (riesgo bajo) 9
Aspectos de seguridad de la información de la gestión de continuidad de negocio 90% (riesgo bajo) 9
Cumplimento 83% (riesgo bajo) 9
Total, de porcentaje en los dominios evaluados 10
Promedio total de los módulos evaluados 60% (riesgo bajo) 10
Conclusiones 11
Introducción
Se busca diagnosticar los controles establecidos de la norma ISO27001:2013 al interior de una organización y evidenciar el estado actual de la seguridad de la información en la organización por medio de la normatividad ISO27001 del año 2013 para Unión Eléctrica S.A, que permita conocer las problemáticas, vulnerabilidades y riesgos a las que se encuentra expuesta la información, cuando no se cuenta con normas, documentación y políticas de seguridad de la información y su entorno.
Objetivo principal
Con el Sistema de Gestión de Seguridad de la Información (SGSI), se pretende conseguir información del estado de la información y sistemas, con el fin de evidenciar vulnerabilidades, problemas, malas prácticas y procedimientos inadecuados, y detectarlos e implementar posibles soluciones, minimizando su impacto con el fin de aplicar los estándares de seguridad de la información contemplados en la norma ISO 27001, a los procesos del área de Tecnologías de la Información y Comunicaciones (TI)
Objetivos específicos
- Realizar un diagnóstico cuantitativo con el fin de evidenciar las buenas o malas prácticas que realiza en personal de TI de la organización con respecto a la seguridad de la información.
- Disminuir la posibilidad de ocurrencia de malas prácticas de seguridad de la
- información a partir de la identificación y tratamiento de las mismas.
- Realizar un análisis de los resultados obtenidos del diagnóstico cuantitativo de cada uno de los puntos tratados, con el fin de identificar los posibles riesgos, vulnerabilidades, y sugerir unos posibles controles y tratamientos del riesgo basados en un sistema SGSI.
Contexto de la empresa Unión Eléctrica S.A
Compañía Internacional Unión es una empresa colombiana que brinda al mercado nacional productos y soluciones tecnológicas a la medida. Con su diseño, ingeniería y productos de calidad reconocida, entrega a sus clientes finales soluciones para proyectos de telecomunicaciones, de seguridad electrónica, de sistemas de CCTV y aplicaciones Informáticas.
Unión Eléctrica S.A, brinda soluciones en:
Datacenter
Ofrece soluciones de infraestructura robusta, con un alto nivel de escalabilidad a los clientes, trabajando con las principales fábricas en el mercado, siendo parte integral dentro del desarrollo de este tipo de proyectos, proveyendo soluciones desde el diseño, infraestructura física, infraestructura IT, respaldo de energía y seguridad, sistemas de almacenamiento, sistemas y estudio de soluciones de refrigeración que con lleven siempre a la correcta operatividad como también a la muy puntual disponibilidad del mismo.
Telepresencia
La globalización exige inmediatez, coordinación de equipos internacionales, interregionales o entre ciudades, en comunicaciones directas y prácticas. Integrar la tecnología de TELEPRESENCIA a la gestión de negocios y actividades cotidianas, es el siguiente paso para mejorar la comunicación, colaboración y productividad de las empresas y las instituciones.
Seguridad de la información
Se entiende por seguridad de la información, la protección proactiva que se tiene con la información generada por una empresa o entidad, garantizando su INTEGRIDAD, CONFIDENCIALIDAD, Y DISPONIBILIDAD. Compañía Internacional de Integración S.A. Unión. Cuenta con el suministro de hardware y software que de manera integrada permite salvaguardar y cumplir con los Objetivos de la seguridad de la información.
Telecomunicaciones
Compañía Internacional de Integración S.A. Unión, cuenta con amplios conocimientos y experiencia generando soluciones de Telecomunicaciones, respaldados por empresas fabricantes reconocidas a nivel mundial. La probada experiencia de la compañía brinda soluciones en Sistemas de Radio y Telecomunicaciones, sistemas VHF, UHF, satélite, GPS, radares, así como sistemas de redes cableadas involucrando con ellas redes de cableado estructurado, fibra óptica, hardware y software para redes LAN, MAN, WAN, complementado con redes inalámbricas punto a punto, punto multipunto en bandas licenciadas y bandas no licenciadas.
Análisis
Esta auditoria se basó en un diagnostico cuantitativo de los controles realizados e identificados de acuerdo a la norma ISO27001:2013, durante el diagnostico se tiene como resultado un análisis detallado sobre el estado actual de la seguridad de la información con sus respectivas correcciones y puntos a mejorar de la organización Unión Eléctrica S.A.
Imagen de resultados 1
[pic 1]
Imagen de resultados 2
[pic 2]
Nivel de riesgo
De acuerdo a los porcentajes obtenidos por cada dominio se define que los porcentajes que estén por debajo de 50 % como factor de riesgo alto y los que estén por encima del 50% con un factor de riesgo bajo.
Análisis de los resultados de los Dominios
Políticas de la seguridad y la información 60% (riesgo bajo)
Se evidencia que el área de TI tiene documentación e implementación total logrando un porcentaje del 60% en desarrollo sobre la política, pero se hace necesario que se realice verificación de la norma en un tiempo no muy largo, par buscar que el departamento de TI brinde orientación, soporte y capacitación para la seguridad de la información de la compañía de acuerdo a los necesidades y objetivos basados siempre en la norma ISO27001:2013.
Organización de la seguridad de la información 60% (riesgo bajo)
Para la implementación se tiene un marco de referencia de gestión y operación de la seguridad de la información se evidencia que el área de TI mejoras en el dominio, pero sin embargo se hace necesario la validación puntual para el control de A.6.2.2 en respecto a la documentación requerida.
...