CASO DE AUDITORIA DE SISTEMAS DE INFORMACIÓN EN UNA TIENDA

-




República Bolivariana de Venezuela

Universidad Nacional Experimental de la Gran Caracas (UNEXCA) Especialización en Auditoría de Tecnologías de la Información Financiera y Seguridad de Datos

Auditoría TIC / Prof. -Miguel Ángel Martínez

Semestre I Sección "B" - Troncal: La Floresta

 

 

 

 

 

 

AUDITORÍA DE ANÁLISIS DE CASOS APLICANDO NORMAS ISO 27002

 

 



 

Preparado por:

Borjas Karelys   V – 27.797.270

Espinal Sandra   V – 15.794.254

Fernández Carlos   V – 19.465.768

Parada Keily    V – 23.925.443

 

 






Caracas, mayo de 2024

 












Introducción:

Este análisis tiene como objetivo evaluar el control interno de los sistemas de información de una tienda minorista, aplicando los principios y controles establecidos en la norma ISO 27002:2013 "Sistemas de gestión de seguridad de la información - Requisitos". La auditoría se centrará en aspectos relacionados con la confidencialidad, integridad y disponibilidad de la información, así como la gestión de riesgos y la protección de los activos de información.

La auditoría se realizará a través de las siguientes etapas:

1. Planificación:

  • Definición del alcance y objetivos de la auditoría.
  • Identificación de riesgos y controles a evaluar.
  • Selección del equipo auditor.
  • Elaboración del programa de auditoría.

2. Recopilación de información:

  • Revisión de documentación relevante, como políticas, procedimientos y manuales técnicos.
  • Entrevistas con personal clave de la tienda, incluidos gerentes, operadores de caja, personal de TI y oficiales de seguridad.
  • Observación de procesos y controles en operación.
  • Análisis de registros y logs de sistemas de información.

3. Evaluación de controles:

  • Verificación de la existencia y adecuación de los controles implementados.
  • Pruebe los controles para garantizar su eficacia.
  • Identificación de debilidades y áreas de mejora.

4. Elaboración del informe de auditoría:

  • Documentación de los hallazgos de la auditoría.
  • Emisión de recomendaciones para mejorar los controles internos.
  • Seguimiento de la implementación de las recomendaciones.

Controles a evaluar:

La auditoría se centrará en la evaluación de los siguientes controles, alineados con los objetivos de la norma ISO 27002:

Control de acceso a la información (A.11):

  • Verificar que solo el personal autorizado tenga acceso a los sistemas y datos de la tienda.
  • Implementar mecanismos adecuados de autenticación y autorización.
  • Controlar y monitorear el acceso a los sistemas de información.

Gestión de activos de información (A.8):

  • Identificar y clasificar los activos de información de la tienda.
  • Implementar medidas de protección de los activos de información, como copias de seguridad, control de acceso físico y control de cambios.
  • Deseche o destruya de forma segura los activos de información que ya no sean necesarios.

Protección de la confidencialidad de la información (A.7):

  • Asegúrese de que la información confidencial de la tienda, como los datos de los clientes y de las tarjetas de crédito, esté protegida contra el acceso no autorizado.
  • Implementar medidas de cifrado y control de acceso para proteger la información confidencial.
  • Capacitar al personal sobre la importancia de proteger la confidencialidad de la información.

Gestión de acuerdos de seguridad (A.14.2):

  • Establecer acuerdos de seguridad con terceros que tengan acceso a los sistemas y datos de la tienda.
  • Asegurar que los acuerdos de seguridad incluyan cláusulas que protejan la confidencialidad, integridad y disponibilidad de la información.
  • Monitorear el cumplimiento de los acuerdos de seguridad.

Conclusión:

La implementación de un sistema de gestión de seguridad de la información basado en la norma ISO 27002 puede ayudar a las tiendas minoristas a proteger sus activos de información y reducir el riesgo de ataques cibernéticos. La auditoría de los sistemas de información es una herramienta esencial para evaluar la eficacia de los controles implementados e identificar áreas de mejora.

Recomendaciones:

Se recomienda a la tienda minorista implementar las siguientes acciones para mejorar la seguridad de su información:

  • Realizar auditorías periódicas de los sistemas de información para evaluar la efectividad de los controles.
  • Capacitar al personal sobre la importancia de la seguridad de la información y sobre prácticas seguras para el uso de los sistemas de información.
  • Implementar medidas de protección de los activos de información, como copias de seguridad, control de acceso físico y control de cambios.
  • Establecer acuerdos de seguridad con terceros que tengan acceso a los sistemas y datos de la tienda.
  • Capacitar al personal sobre el control de la caja registradora pequeña y mantener cada una de las ventas registradas en el sistema y que cada persona en particular tenga su clave para ingresar la información de la venta o compra realizada. 
  • Desarrollar e implementar un sistema de gestión de seguridad de la información basado en la norma ISO 27002.


Comentarios

Publicar un comentario

Entradas más populares de este blog

LAS NORMAS ISO 9000 27001 . 27002 -COSO -COBIT

-
Imagen
 Las Normas ISO  Las normas ISO 9000 son un conjunto de estándares internacionales que ayudan a las organizaciones a gestionar y mejorar la calidad de sus productos y servicios esto con la finalidad de garantizar la calidad constante. Siguiendo estas normas, las organizaciones pueden: ·        Diseñar sistemas de calidad efectivos:  Esto involucra definir los procesos clave, documentarlos y asegurarse de que se sigan. ·        Identificar y cumplir con los requisitos del cliente:  Las normas ISO 9000 enfatizan en entender las necesidades de los clientes y asegurarse de que los productos o servicios las satisfacen. ·        Mejorar continuamente:  Las normas ISO 9000 alientan a las organizaciones a buscar constantemente formas de mejorar sus procesos y productos. En resumen, las normas ISO 9000 no son un producto tangible, sino una metodología para establecer y ...
Leer más

Venezuela crea "red de vigilancia" ante delitos informáticos SANDRA ESPINAL

-
PolíticaVenezuela Venezuela crea "red de vigilancia" ante delitos informáticos 21/08/202421 de agosto de 2024 El denominado Consejo Nacional de Ciberseguridad podrá solicitar a las personas, de carácter público o privado, información relacionada con la seguridad informática del país. https://p.dw.com/p/4jiKz Foto simbólica de una persona que analiza datos en una computadora en una imagen de archivo. Foto de archivoImagen: Hennadii Minchenko/Ukrinform/imago images Publicidad El Gobierno de Venezuela anunció la creación oficial del Consejo Nacional de Ciberseguridad, por decreto, propuesto por el presidente Nicolás Maduro, que tendrá la meta de organizar "una red de vigilancia" permanente, informó este martes (20.08.2024) el canal estatal VTV a través de su web. Dicho consejo, de acuerdo con la Gaceta Oficial 42.939 publicada por el medio, tendrá que impulsar "la constitución de una red de vigilancia durante 24 horas de incidentes telemáticos, afiliada a los pa...
Leer más