La Auditoría de Seguridad Interna de Aronte aporta una visión de los niveles de seguridad de la compañía y de las tareas necesarias para corregir las desviaciones del modelo ideal.
El resultado de esta auditoria será un documento donde se describirá la situación actual de los sistemas, y las mejoras que deberían aplicarse, categorizada por criticidad. Será la base, para realizar conjuntamente con la dirección, un plan estratégico de los sistemas de información.
Técnicos expertos, certificados como MSCE, CISA, CRISC, ITIL y Auditor ISO 27001, siguiendo las guías y recomendaciones de ISACA y BSI: COBIT 5, ISO 27001, 27002 y 22301, analizarán los siguientes aspectos:
Definición de activos
Se observarán todas aquellas aplicaciones y recursos necesarios para el correcto funcionamiento de la empresa, (CRM, ERP, Internet, etc.,) y se ordenarán por criticidad en línea al negocio, asociando cuando sea posible, a sus recursos de TI.
Control de acceso y gestión del usuario
Se debe establecer, documentar y revisar una política de control de acceso basada en los requisitos de negocio y de seguridad de la información.
Política de contraseñas y accesos
Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas y servicios.
Entorno CPD (Centro de Proceso de Datos). Seguridad y accesos
Las instalaciones y centros deberán disponer de zonas de seguridad de comunicaciones y servidores así como una zona de seguridad en el trabajo, estas segundas separadas de las primeras.
Seguridad en las Operaciones
El objetivo de la seguridad de operaciones es asegurar el funcionamiento correcto y seguro de las instalaciones de tratamiento de la información.
Comunicaciones y gestión de redes y accesos
El objetivo es asegurar la protección de la información en las redes y los recursos de tratamiento de la información.
Gestión del Backup
Se deben realizar copias de seguridad de la información, del software y del sistema y verificarlas periódicamente de acuerdo a la política de copias de seguridad acordada.
Adquisición, desarrollo y mantenimiento de los sistemas de información
Hay que garantizar que la seguridad de la información sea parte integral de los sistemas de información a través de todo el ciclo de vida.
Planes de contingencia y/o continuidad de negocio (DRP/BCP)
Asegurar la continuidad de los sistemas de información y, en consecuencia, de las actividades de negocio, debe formar parte de la política de la organización.
Cumplimiento normativo
Debe garantizarse la protección y la privacidad de los datos, según se requiera en la legislación y la reglamentación aplicables.
Conclusiones, no conformidades y propuestas de mejora
Se entregará un Informe de auditoría que cubrirá todas las áreas descritas en los apartados anteriores. El informe reflejará los hallazgos y las recomendaciones de mejora.