Auditoria de seguridad informática en la florícola Galápagos Flores S.A

Abstract

El presente proyecto evaluó la situación de los controles de seguridad que mantienen actualmente la florícola Galápagos Flores S.A, mediante la aplicación de una auditoria informática basada en la norma ISO 27001:2013 y la Metodología OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad) que fue desarrollada en el Área de Sistemas. De acuerdo con la investigación inicial realizada se consideró la información como el activo más importante, en donde se pudo evidenciar que los controles de acceso a la misma son débiles y se encuentran al alcance de todos generando vulnerabilidades en los procesos de manera total o parcial. El objetivo de la investigación fue realizar la auditoria de seguridad informática, además, desarrollar y socializar el informe final con los hallazgos y el plan de mitigación de riesgos. Para llevar a cabo la auditoria se tomó en cuenta un enfoque cualitativo y cuantitativo, la cual permitió el análisis de la documentación solicitada al área auditada, la verificación de cumplimiento de controles ISO 27001:2013 y la fundamentación teórica en la metodología. Los instrumentos utilizados para la investigación fueron la encuesta, que se aplicó al personal operativo y la entrevista que fue realizada al encargado del área de sistemas en donde se obtuvo información fundamental para el desarrollo de la investigación. Finalmente, se emitió un documento de resultados de auditoria con el nivel de cumplimiento actual de los controles correspondientes, de un total de 106 controles aplicables a la florícola se obtuvo los siguientes resultados: 48 conformidades, 51 no conformidades y 8 observaciones. Se precedió a realizar un comparativo de seguridad informática utilizando la Metodología abierta OSSTMM obteniendo un nivel de seguridad de 80,81 RAVS, es decir, la florícola mantiene controles de seguridad, sin embargo, no están siendo efectivos.