AUDITORÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGÚN CERTIFICACIÓN ISO 27001 EN LA EMPRESA FACTURITA.PE

[pic 1][pic 2]

UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERÍA INDUSTRIAL

ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA 

Título  

 “AUDITORÍA DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN SEGÚN CERTIFICACIÓN ISO 27001 EN LA EMPRESA FACTURITA.PE” 

Curso

Elaboración de proyectos informáticos

Docente

Dr. Reucher Correa Morocho

 Integrantes

Aguilar Noa, César Augusto

Castillo Huaman, Jean Carlos

Gonzales Navarro, Luis Alberto

Pingo Condeza, Lilliam Marydeé

Preciado Suarez, Fabio Edy

Silva Saavedra, Andrea Victoria 

PIURA – PERÚ

2022  

Contenido

“Auditoría De Buenas Prácticas De Seguridad De La Información Según Certificación ISO 27001 En La Empresa Facturita.pe”        4

Aspectos De Planificación Del Proyecto        4

Descripción Del Proyecto        4

Características del Proyecto        4

Descripción de la entidad        4

Visión del proyecto        4

Misión del proyecto        4

Objetivo general del proyecto        4

Objetivos específicos del proyecto        5

Fases/Etapas del Proyecto        5

Actividades del Proyecto        5

Tareas y/o Actividades del proyecto        6

Fase I: Reunión de apertura        6

Fase II: Conocimientos del Sistema        6

Fase III: Análisis de transacciones y recursos        7

Fase IV: Análisis de riesgos y amenazas        7

Fase V: Análisis de controles        7

Fase VI: Evaluación de controles        7

Fase VII: El Informe de auditoría        8

Fase VIII: Seguimiento de las Recomendaciones        8

Fase IX: Reunión de cierre        8

Entregables del Proyecto        9

Recursos Necesarios del Proyecto        9

Recursos humanos        9

Recursos Hardware e Infraestructura        9

Cronograma del proyecto        9

Asignación de Tareas (personas)        9

Fichas de Tareas        17

Tareas - Diagrama de Gantt        22

Recursos - Diagrama de Gantt        22

Diagrama PERT        22

Presupuesto de Proyecto        22

“Auditoría De Buenas Prácticas De Seguridad De La Información Según Certificación ISO 27001 En La Empresa Facturita.pe”

Aspectos De Planificación Del Proyecto 

Descripción Del Proyecto- 

El presente proyecto se basa en realizar una auditoría a la empresa Facturita.pe, la cual es una empresa de facturación electrónica y de gestión. Dicha empresa está a cargo de data sumamente confidencial e importante de cada una de las empresas que contratan sus servicios y la mala manipulación de estos datos podrían ocasionar en el peor de los casos multas sumamente altas por parte de SUNAT o el borrado de todos los datos de una empresa.

Por lo expuesto anteriormente consideramos de suma importancia someter a una auditoría a la empresa en cuestión, donde buscamos identificar los puntos vulnerables de la seguridad de la información y preparar a la empresa para cumplir con todos los requisitos de la certificación ISO 270001 que garantiza la confidencialidad, integridad y disponibilidad de los datos e información.

Características del Proyecto

Descripción de la entidad

Facturita.pe es una empresa de sistema de gestión comercial y administrativo con facturación electrónica para pequeñas, medianas y grandes empresas, autorizado por SUNAT como PSE.

Cuenta con la Certificación en Seguridad de la Información ISO 27001 obtenida en el 2021, lo que les ha permitido garantizar la confidencialidad, integridad y seguridad en cuanto a la información de las empresas y negocios.

Visión del proyecto

Cumplir con los principios y funciones encomendadas al auditor informático para el desarrollo de la auditoría a la empresa en mención y reconocer/verificar que la empresa aún garantiza la seguridad de la información tanto con sus clientes como con sus usuarios.  

Misión del proyecto

Garantizar una investigación de calidad y la protección de datos e información que nos sea proporcionada de la empresa Facturita para evitar su pérdida o robo, mediante el principio de confidencialidad.

Objetivo general del proyecto

Garantizar la seguridad de la información gestionada en la empresa facturita.pe

Objetivos específicos del proyecto

• Identificar el estado actual de la empresa con respecto a los pilares de la certificación ISO 270001. 
• Obtener información acerca de cómo se están realizando los procesos de gestión de seguridad de la información dentro de la empresa en la actualidad
• Comprobar que el Sistemas de Gestión de Seguridad de la Información(SGSI) de la empresa implantadas siguen cumpliendo con la norma.
• Comprobar que el alcance del SGSI dentro de la empresa llega a todos los usuarios y niveles de la organización y determinar cuáles áreas están siendo afectadas de ser necesario. 
• verificar que dentro de la estructura orgánica de la empresa  existen roles de control y coordinación de responsabilidades sobre el flujo de información.
  

Alcance y Esfuerzo Del Proyecto

Fases/Etapas del Proyecto

El proyecto se realizará en 9 etapas y serán ejecutadas a lo largo del tiempo que se determine para el proyecto

Fase I: Reunión de apertura.

En esta fase inicia la reunión inaugural en fecha y hora acordada en la reunión inaugural con los responsables de asistir a la auditoría. 

Fase II: Conocimientos del Sistema 

En esta fase procederá a reconocer los aspectos legales y políticas internas de la Empresa Facturita.pe, las características del sistema operacional y funcional, los informes de auditorías que se le hayan realizado anteriormente y la aplicación del sistema en mención y las características de aplicación de los equipos.

Fase III: Análisis de transacciones y recursos

Se procederá a analizar y detallar los flujos de procesos de los tipos de transacciones que se manejan en la empresa, así como sus subprocesos si los tuvieran, a su vez analizar e identificar los recursos que participan en la empresa y la relación entre estos ítems

Fase IV: Análisis de riesgos y amenazas

Se realizará un análisis de los riesgos y amenazas detectados en la empresa a su vez se relacionarán estas debilidades con las fases anteriores.

Fase V: Análisis de controles

Se analizarán los controles aplicados a las áreas que utilizan los recursos de TI de la empresa y se relaciona con la fase III.

Fase VI: Evaluación de Controles

Se evaluará si los controles analizados e identificados proveen una protección adecuada de los recursos de TI de la empresa y se solicitarán las datas de pruebas a estos controles al área respectiva y se realizarán nuevas pruebas y se analizarán estas.

Fase VII: El Informe de auditoría

Se procede a generar el informe de auditoría incluyendo los objetivos, alcance y opiniones resaltantes para el informe, los hallazgos y recomendaciones

Fase VIII: Seguimiento de las Recomendaciones

Se procederá a hacer un seguimiento de las recomendaciones que se detallaron con anterioridad.

Fase IX: Reunión de cierre

En esta fase después de recopilar evidencia objetiva y categorizar los hallazgos, se escribe un informe que describe los hallazgos e incluye fortalezas y oportunidades para la mejora del proceso, presentado a las partes auditadas en la reunión. Al final de la reunión, luego destacan la implementación de la "Revisión Proceso, Acción Preventiva y/o Mejora.

Tareas y/o Actividades del proyecto

Tendremos ciertas tareas y/o actividades para la Auditoría de la empresa Facturia.pe se harán de acuerdo a las 7 fases: 

Fase I: Reunión de apertura

En esta fase se realizará estas tareas y/o actividades:

• Presentación del equipo auditor.
• Recordar el objetivo y alcance de la auditoría.
• Presentación de acta de reunión de apertura.
• Confirmación de la asignación de recursos.
• Resolver posibles dudas de los auditados.
• Acordar la reunión de cierre.
• Aclarar el proceso de presentación del informe.
• Aclarar cualquier aspecto delicado o confidencial.
• Determinar aspectos o requisitos relacionados con la seguridad.

Fase II: Conocimientos del Sistema 

En esta fase se realizarán estas tareas y/o actividades: 

• Revisar las características del sistema operativo a utilizar:
• Definir la estructura organizativa del área participante en el sistema.
• Revisar la guía funcional para las personas involucradas en la operación del sistema. 
• Recopilar informes de auditoría anteriores.
• Conocer más información sobre las funciones del software a utilizar. 
• Manual de ingeniería de aplicaciones de sistemas.
• Listar los usuarios y sus privilegios autorizados para gestionar la aplicación
• Verificar dispositivos utilizados en aplicaciones informáticas.
• Validar seguridad de la aplicación (contraseña)
• Validar procedimientos de creación y almacenamiento de perfiles de aplicación.

Fase III: Análisis de transacciones y recursos

En esta fase se realizarán estas tareas y/o actividades: 

• Dividir procesos y subprocesos necesarios para la aplicación
• Establecer el flujo de los documentos. 
• Realizar flujogramas para la visualización del funcionamiento y recorrido de los procesos.
• Identificar y codificar los recursos que participan en el sistema

Fase IV: Análisis de riesgos y amenazas

En esta fase se realizarán estas tareas y/o actividades:

• Identificación de riesgos de daño físico o destrucción de propiedad 
• Identificación de riesgos de pérdida debido a fraude o malversación de fondos 
• Identificación de riesgos de pérdida de documentos fuente, archivos o informes.
• Identificación de riesgos de robo de dispositivos o medios de almacenamiento 
• Identificación de riesgos de interrupción de las operaciones comerciales. 
• Identificación de riesgos de pérdida de integridad de datos 
• Identificación de riesgos de rendimiento deficiente 
• Identificación de riesgos de errores del sistema 
• Identificación de las amenazas de dispositivos, material fuente y programas de aplicación. 
• La relación entre recursos/amenazas/riesgos entre estos factores debe establecerse a partir de la observación de los recursos en su entorno operativo real.

Fase V: Análisis de controles

En esta fase se realizarán estas tareas y/o actividades:  

• Codificación de controles. 
• Relación recurso/amenaza/riesgo 
• Análisis de alcance necesario

Fase VI: Evaluación de controles 

En esta fase se realizarán estas tareas y/o actividades:

• Objetivos de la evaluación de verificar la existencia de los controles requeridos
• determinar la operatividad y suficiencia de los controles existentes
• El Plan de pruebas del control incluye la selección del tipo de prueba a realizar.
• Solicitar el plan de pruebas de controles al área respectiva, todos los elementos necesarios de prueba.
• Pruebas de controles.
• Análisis de resultados de las pruebas.

Fase VII: El Informe de auditoría

En esta fase se realizarán estas tareas y/o actividades:

...