Auditoría de la seguridad de información en una empresa privada costarricense

Abstract

Este proyecto tiene como objetivo evaluar la seguridad de la información relacionada con el proceso de administración de nóminas realizado por la organización auditada, mediante buenas prácticas de seguridad de la información. Para ello se realizó un programa de trabajo, en el cual se detallaron las diferentes actividades a evaluar, agrupándose en tres etapas, donde la primera de ellas consistió en determinar el alcance de la iniciativa de aseguramiento, seguido por el entendimiento de los habilitadores, establecimiento de criterios de evaluación y la aplicación de las evaluaciones, por último, se comunicaron los resultados obtenidos de las evaluaciones aplicadas. En la realización de las diferentes tareas que se ejecutaron, se crearon papeles de trabajo para facilitar el análisis de la información y respaldo de auditoría, las plantillas de estos papeles de trabajo se encuentran detalladas en el capítulo 4. Estas plantillas son de fácil comprensión y aplicación, además se introducen con una breve explicación de la finalidad de cada una de ellas. Una vez recolectada la información por medio de las plantillas, se procedió a una etapa de análisis, con el fin de detectar posibles debilidades en los controles de la seguridad de la información. Cada brecha encontrada como resultado del análisis se documentó como un hallazgo de auditoría, donde se muestra el criterio con el que se realizó la evaluación, el estado actual del control y el riesgo resultante si se materializa el evento descrito. Además, se realizó una serie de recomendaciones con el fin de mitigar el riesgo encontrado. Todo esto se documentó en el informe final de la auditoría. Por último, se brindan las conclusiones del trabajo realizado, así como las recomendaciones para las personas competentes, según los resultados del estudio aplicado, con el fin de reforzar la seguridad de la información en la compañía.

The objective of this project is to assess the security of information related to the payroll administration process carried out by the audited organization, through good information security practices. To this end, a work program was carried out detailing the different activities to be evaluated, grouped into three stages, where the first step was to determine the scope of the assurance initiative, followed by the understanding of the enablers, establishment of criteria for evaluation and application of the evaluations, finally, the results obtained from the evaluations applied were communicated. To the different tasks executed to complete this project, I created work papers to facilitate the analysis of the information and audit support, the templates of these work papers are in chapter 4. These templates are easy to understand and application, they are introduced with a brief explanation of the purpose of each of them. Once it information was collected through the templates, an analysis stage was carried out in order to detect possible weaknesses in information security controls. Each gap found in the analysis, it was documented as an audit finding, showing the criteria with which the evaluation was conducted, the status of the control and the resulting risk if the described event materializes. In addition, a series of recommendations were made to mitigate the risk found. All this information was documented in the final report of the audit. Finally, the conclusions of the work carried out are provided, as well as the recommendations to the competent people according to the results of the applied study, in order to reinforce the security of the information in the company.