Resumen:
Contexto
Existen diversos marcos de buenas prácticas en materia de seguridad informática que se utilizan para auditoría. La idea del presente proyecto es la revisión de estos marcos de buenas prácticas con el objetivo de proponer una metodología para auditoría de seguridad de sistemas y aplicaciones.
Objetivo
Este proyecto busca proponer una metodología para auditoría de seguridad tomando como base marcos de buenas prácticas. Esto con el objetivo de mantener un nivel aceptable de riesgo a nivel organizacional y minimizar el impacto en la confidencialidad, integridad y disponibilidad de los datos.
Método
Se realizó una revisión documental con el fin de identificar marcos de buenas prácticas. Posteriormente se compararon los marcos identificados, se seleccionaron controles y creó un papel de trabajo. Finalmente, se realizó un diagrama de flujo del proceso para facilitar la comunicación de la metodología.
Resultados
Se desarrolló una metodología con base en cuatro marcos de buenas prácticas: ISO 27001, COBIT 2019, CIS CSC v8 y el marco de ciberseguridad de NIST. La metodología incluye un proceso que toma en cuenta los puntos clave de los cuatro marcos, una herramienta de Excel para la ejecución de la auditoría y un diagrama de proceso en notación BPM para la comunicación de la metodología.
Conclusión
La metodología propuesta permite realizar auditorías de seguridad de sistemas y aplicaciones con base en marcos de buenas prácticas ampliamente aceptados por la industria. Adicionalmente, el proceso diseñado permite la adaptación al contexto organizacional y la optimización del proceso de auditoría de seguridad, pues toma en cuenta el ciclo de mejora continua.
