TAREA 1 CASO PRACTICO.

T 1.1

PLAN DE AUDITORIA DE SEGURIDAD DE LA INFORMACION DE LA EMPRESA

BABYLINE.

PLAN DE AUDITORIA

. PROPUESTA DE REALIZACION DE AUDITORIA.

El plan de auditoria responde a lo que se contempla la planificación aprobada por la organización
con fecha de 16 de Abril de 2021 donde se detalla que área del programa deberá ser auditada.

Esta propuesta esta orientada a la evaluación periodica de las politicas, procesos, sistemas,
operaciones y actividades prácticas del programa para:

. Asegurar la protección de los activos de información y su privacidad.

. Preservar la confidencialidad , integridad y disponibilidad de los datos y la información.
. Garantizar el cumplimiento de la lesgislación, normativa, politicas y reglamentaciones
establecidas o de importancia para la seguridad de la información de la organización.
. Comprobar que los procesos y sistemas de seguridad de la información funcionan de la forma
prevista en consecución de los objetivos globales de la organización.

La auditoria se centrarán en las áreas que presenten el mayor riesgo, así como en aquellas donde su
tratamiento exige un mayor esfuerzo financiero y material a la organización.

. OBJETVOS.
El objeto principal de la auditoria que contempla este plan es:

- Llevar a cabo un proceso sistematico de evaluación objetiva de la existencia y cumplimiento de la

politica de seguridad del sistema y comprobar la implantación, funcionamiento y eficacia de las
medidas y normas que se establecen en el.
- Asegurar que los recursos de los sistemas de información y comunicaciones se utilicen en la
forma para lo que se diseñaron y que el acceso y modificación de información solamente sea
posible a las personas debidamente acreditadas y en el marco de su autorización.
- Identificar y detectar las amenaxas, externas e internas, y vulnerabilidades en un enfoque de
gestión de riesgos.
- Promover en la organización una cultura de seguridad de la información.
- Limitar el impacto de las perdidas y conseguir la recuperación en caso de incidente de seguridad ,
garantizando la continuidad del negocio o servicio.
. AREAS A AUDITAR.
Las areas abarcadas por la auditoria son las siguientes:

- Organización y gobierno del programa de seguridad de la información.

. Politicas y procedimientos de gobierno en materia de seguridad de la información.

. Gestión de riesgos de seguridad de la información, analisis, tratamiento y adecuación de las
metodologías utilizadas.
. Cumplimiento normativo.
. Planes de prevención, reaccion y continuidad del negocio.
. Procedimientos de gestión de incidentes.

- Dirección y gestión del programa de seguridad de la información.

. Gestión de operaciones.
. Gestión de datos e información.
. Gestión de continuidad del negocio.
. Adecuación de los procesos y procedimientos a ala gestión de riesgos de seguridad.
. Seguridad de los recursos humanos.
. Procedimientos de adquisición, desarrollo y mantenimiento de sistemas de información
. Gestión de incidentes de seguridad de la información.
. Gestión de cominicaciones.

- Medidas y controles de seguridad de la información .

. Politicas y procedimientos de uso.

. Sistemas y aplicaciónes.
. Redes y sus componentes.
. Centro de datos.
. Dispositivos moviles y portatiles
. Dispositivos de almacenamiento y tratamiento de datos e información.
. Medidas antivirus , cortafuegos, anti malware.
. Eficacia y suficiencia de las medidas implementadas para prevenir y mitigar los efectos de
incidentes.

- Personal.

. Cumplimiento, concienciación e implicación de todo el personal del programa de seguridad de

la información, incluyendo formación y conocimiento tanto de los riesgos asociados como las
medidas a adoptar en caso de incidentes.
. CRITERIOS DE AUDITORIA.

Los criterios a utilizar para su confrontación con las evidencias obtenidas en el proceso de la
auditoria , con objeto de deducir los hallazgos correspondientes seran los siguientes:

- Criterio 1. Politica de seguridad de la información.( identificación )

- Criterio 2. Planificación de la politica de seguridad de la información ; identificación de objetivos
y planes.
- Criterio 3. Implementación de la politica de seguridad de la información ; programa y arquitectura
de seguridad de la información, asignación de responsabilidades y documentación.
- Criterio 4. Cumplimiento legal y normativo.
- Criterio 5. Analisis de riesgos, identificación del marco, proceso y evaluación.
- Criterio 6. Gestión de riesgos, identificación del tratamiento y evaluación.
- Criterio 7. Gestión de la seguridad de la información, evaluación de las operaciones y del
rendimiento, de la clasificación de la informacion de la segiridad física y lógica, contrloes de acceso
, backups, gestión de redes, de dispositivos moviles, portatiles.
- Criterio 8. Plan de gestión de incidentes y de continuidad del negocio.
- Criterio 9. Seguimiento, identificación de medidas de seguimiento continuo y su aplicación.
- Criterio 10. Gestión de comunicación y de operaciones con proveedores externos, pedidos y
clentes, evaluación de los procedimientos y contratos.
- Criterio 11. Concienciación y compromiso del personal de seguridad de la información.
- Criterio 12. Formación e instrucción del personal.

. PROCESO DE AUDITORIA.

. Fase de planificación.

En sitio sin interacción humana.

- Revisión de documentación solicitada, registros, analisis de datos.

- Observación del trabajo realizado.
- Visitas a espacios de trabajo.
- Compltar listas de verificación.
- muestreo de los productos y servicios ofrecidos por la organización.

. Fase de ejecución.

En sitio con interacción humana.

- Entevistas con el personal de la organización.

- Comprobación de documentos, inventarios y registros con la participación del auditado
- Revisión documental con participación del auditado.
- Controles de prevrención y detección de amenazas
- Medidas de reaccón y recuperacion de incidentes
- Evaluacion de vulnerabilidades
- Analisis de servicios y aplicaciones.
Hallazgos de la auditoria.

Criterio 1 Politica de seguridad de la información.( identificación )

Evidencias:
. Existe una politica de seguridad integral en el area auditada aprobada por la dirección.
. La politica esta claramente definida.
Hallazgos.
Conformidad en las areas auditadas.
Cronologia: Mes 4 del presente año

Criterio 2 Planificación de la politica de seguridad de la información

Evidencias:
. Existe una planificación adecuada en cuanto al desarrollo de la politica de seguridad integral.
. La planificacion esta orientada por objetivos.
Hallazgos:
Conformidad en las areas auditadas.
Cronologia: Mes 4 del presente año.

Criterio 3 Implementación de la politica de seguridad integral.

Evidencias:
. La politica de seguridad integral del area auditada está implementada por medio de los siguientes
elementos:
- Programa y arquitectura de seguridad de la información
- Asignación de responsabilidades y documentación.
Hallazgos:
Conformidad en las areas auditadas.
Cronologia : Mes 4 del presente año.

Criterio 4 Cumplimiento legal y normativo.

Evidencias:
. Se identifican normas especificas para conocer y ampliar la legislación, normativa y estandares en
el marco del area auditada.
. Todo el personal del area auditada conoce estas normas y su aplicación.
Hallazgos:
. Conformidad en las areas auditadas.
Cronologia: Mes 5 del presente año.

Criterio 5 y 6 Analisis y gestion de riesgos.

Evidencias:
. Se identifica el proceso y evaluación en el analisis de riesgos.
. Se identifica el tratamiento y la evaluación sobre la gestión de riesgos.
Hallazgos:
. Conformidad en las areas auditadas.
Cronologia: Mes 6 del presente año.

Criterio 7 Gestión de la seguridad de la información, evaluación de las operaciones y del

rendimiento, de la clasificación de la informacion de la segiridad física y lógica, contrloes de acceso
, backups, gestión de redes, de dispositivos moviles, portatiles.
Evidencias:
. Se identifica una adecuada evaluación de las operaciones y el rendimiento .
. Existen controles periodicos y actualizados de backups.
. Existen claves y patrones de seguridad de la informacion en dispositivos moviles y portatiles.
Hallazgos:
Conformidad en las areas auditadas.
Cronologia: Mes 7 del presente año.

Criterio 8 Plan de gestión de incidentes y de continuidad del negocio.

Evidencias:
. Existe un plan de gestión de incidencias en el area auditada.
. La gestión de la continuidad del negocio está claramente definido y desarrollada por medio de
planes.
Hallazgos:
. Conformidad con las areas auditadas
Cronologia: Mes 7 del presente año.

Criterio 10. Gestión de comunicación y de operaciones con proveedores externos, pedidos y

clientes, evaluación de los procedimientos y contratos.
Evidencias:
. Se identifica las gestiones especificas tanto en pedidos como en los clientes.
. existen un sistema de evaluación de los procedimientos y contratos.
. Se identifica la gestiones de operaciones y comunicación con los proveedores.
Hallazgos:
Conformidad con las areas auditadas.
Cronologia: Mes 8 del presente año.

Criterio 11. Concienciación y compromiso del personal de seguridad de la información.

Evidencias:
. El personal del area auditada está concienciada y comprometida.
Hallazgos:
Conformidad con el area auditada.
Cronologia: Mes 9 del presente año

Criterio 12. Formación e instrucción del personal.

Evidencias:
. Todo el personal del area auditada recibe la formación e instrucción adecuada
. Todo el personal del area auditada recibe Formacíon periodoca sobre seguridad de la información
Hallazgos:
Conformidad con el area auditada.
Cronologia: Mes 9 del presente año.

. EQUIPO AUDITOR:
. Lider del equipo auditor ( Nombre y datos de contacto).
Audiror del equipo designado como jefe o director de este. Es responsable de dirigir y coordinar
todas las actividades del equipo y emitir el informe final de la auditoria.
. Miembros del equipo: ( Nombres y datos de contacto)
Son las personas responsables de realizar la auditoria bajo el mando del lider. Lleva a cabo la
auditoría planificando la misma según los criterios establecidos, obteniendo y analizando
evidemcias, documentando sus observaciones y conclusiones y propuestas

. Expertos técnicos ( Nombres y datos de contacto )

Persona/s que aportan al equipo auditor un conocimiento o experiencia específico relacionado con
el sistema completo o con el área, proceso o actividad a auditar.
Su responsabilidad es apoyar el trabajo del equipo auditor, siempre bajo la responsabilidad y
supervisión directa de un miembro de este, aportando su conocimiento sobre el sistema de
seguridad, area, proceso o actividad a auditar.

. Acompañantes del equipo auditor.

. Guia.
Son los responsables de apoyar al equipo auditor siempre que lo solicite el jefe de este, asegurando
que por parte del auditado se cumple lo establecido en el plan de auditoría, facilitando el acceso a
las instalaciones del sistema de seguridad a auditar , el contacto con los potenciales entrevistados y
horarios y lugares de ellas.

. Observador.
Es la persona que acompaña al equipo auditor, pero que no audita. No es parte del equipo y no
influye ni interfiere en la realización de la auditoria. Puede ser proporcionado por el auditado, una
autoridad reglamentaria u otra parte interesada que testifica la auditoria.

T 1.2.-
Se ha realizado una auditoria interna por tener la ventaja de facilitar una evaluación global y
objetiva de los problemas de la empresa, y de ser una ayuda primordial a la dirección al evaluar de
forma independiente los sistemas de organización y administración.
Al tratarse de una auditoria interna los miembros del equipo auditor pertenecen a los diferentes
deapartamentos de la propia organización por lo tanto es ma facil encontrar las vulnerabilidades,
evidencias y hallazgos de las zonas o areas auditadas, favoreciendo la protección de los intereses y
los bienes de la empresa.