Propuesta de una herramienta aplicativa para la auditoría de la seguridad en sistemas y redes de comunicación del Grupo Bekaert Costa Rica basado en Cobit®5 para seguridad de la información

Abstract

El desarrollo del presente trabajo está basado en la conformación de una herramienta aplicativa para la auditoría de la seguridad en sistemas y redes de comunicación del grupo Bekaert Costa Rica fundamentado en COBIT 5, por medio de la cual se pueda medir los niveles de cumplimento de los marcos de referencia sobre las buenas prácticas de la gestión de los sistemas de información. Como objetivo general se ha planteado el desarrollo de una herramienta para determinar el grado de cumplimiento del marco normativo y de mejores prácticas que le resulta aplicable a al Grupo Bekaert Costa Rica en materia de seguridad de las tecnologías de información, tanto física como lógica, esto con el fin de posibilitar la elaboración del diagnóstico de la situación actual de la empresa a nivel local examinando la eficacia de los controles de seguridad de las TIC y que a su vez funcione para procesos de auditoría futuros. Dicha empresa pertenece a un grupo global belga del sector construcción, siendo uno de los mayores productores de alambre de acero a nivel mundial y que recientemente se ha instalado en el país iniciando operaciones desde hace un año. Inicialmente en el primer apartado se establecen los objetivos y alcances, así como la metodología a desarrollar, se enumeran los marcos de referencia en los que se basará la guía de auditoría que se desarrollará en este trabajo y donde además se enumeran los lineamientos generales sobre la seguridad de las TIC. A su vez, en este capítulo se describe el entorno organizacional de la empresa tanto a nivel global corporativo como a nivel de la región y localmente. En el segundo capítulo se diseña y establece la herramienta de auditoría para elaborar el examen sobre el Sistema de Gestión de Seguridad de Información, establecida en la guía profesional de COBIT®5 para Seguridad de la Información, donde fueron obtenidos los procesos y actividades para ser aplicados como base de medición de las actividades que deben realizarse con el fin de mantener una gestión de la seguridad bajo control y en regulación de las buenas prácticas globales. En el tercer apartado del trabajo se detallan las secciones que contienen la aplicación del examen, las cuales definen el objetivo del proyecto, el alcance, la planificación preliminar y detallada, así como la preparación de los papeles de trabajo. Se han establecido los criterios de control para la gestión de las TI, donde se analizan las actividades y las métricas requeridas para cumplirlas. También se describe el proceso de verificación o aplicación de la guía de auditoría y finalmente la comunicación de los resultados que consta de los hallazgos determinados en la evaluación realizada presentada bajo el formato del informe de auditoría de tecnologías de información. Finalmente se enumeran las conclusiones determinadas luego de ejecutar las pruebas específicas de la guía y reportadas en el informe de auditoría como resultados de la examinación de la gestión de las TIC. A su vez, se emiten las recomendaciones específicas originadas en las oportunidades de mejora identificadas en el análisis de las evaluaciones desarrolladas. En resumen, se puede indicar que la empresa cuenta con un nivel de madurez primario, con características de administrar la gestión bajo los procedimientos corporativos, pero que a su vez se dispersan con las actividades a nivel local conllevando a dejar grietas en el cumplimiento. Los niveles de receptividad de los hallazgos, criterios y validación de las métricas fueron elocuentes para el gobierno corporativo de la empresa, teniendo aceptación y emitiendo planes de acción para subsanar las debilidades de control evidenciadas. La organización debe enfocarse en lograr los planteamientos de mejora y buscar mantener un control de riesgos robusto para la administración de los sistemas de información.