Regresar

Auditoría informática dirigida al Centro de Cómputo de la Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil con base en las Normas ISO 27001 y 27002.

Abstract:

Al menos en los tres últimos años no se han realizado auditorías informáticas en el centro de cómputo de la Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil, por lo que es necesaria una auditoría informática interna que permita conocer el nivel en que se encuentra la seguridad de la información para brindar recomendaciones de mejora y realizar una política de seguridad de la información. Para conseguir los objetivos se usó una adaptación de la metodología para auditoría COBIT 4.1 en combinación con el modelo PDCA. También se aplicó la metodología para el análisis de riesgos MAGERIT. Se analizaron los riesgos de los activos y se evaluaron los controles según lo indicado por las normas ISO 27001 e ISO 27002, además de una revisión de los requisitos obligatorios por la norma ISO 27001. Como resultado, no existe el 42% de los controles considerados relevantes para una óptima seguridad de la información, el 24% de controles se ubican en un estado inicial, el 5% tienen un mejor estado pero se realizan de modo informal y solo el 2% de controles tienen documentación formal, ninguno es llevado a cabo por un documento aprobado por la Dirección, el 2% de los controles no han sido verificados y el 25% son considerados como no aplicables para el centro de cómputo. Actualmente se cumple con el 4% de los requisitos obligatorios por la Norma ISO 27001. Si se aprueban y aplican correctamente las políticas de seguridad de la información; se estima que el estado de implementación sería del 37% de los requisitos en una etapa inicial, 41% de requisitos formalizados y documentados, quedando aún sin cumplir el 22%.