UNIVERSIDAD MARIANO GALVEZ FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS DE INFORMACION CYBERSECURITY CONTROL, S.A. Introducción: Con la creciente dependencia de las empresas sobre el sistema de información e información, se ha convertido en fundamental para las organizaciones proteger sus activos de información críticos contra robos, pérdidas o uso indebido. La Empresa Cybersecurity Control: Es una organización autónoma fundada en enero de 2021 que desarrollo de software, aplicaciones web y negocios de desarrollo de aplicaciones móviles, para las principales empresas de tecnología de San Juan. Operando con 200 empleados. Con sede en San Juan, la organización tiene sus oficinas regionales en otras cinco ciudades de la Guatemala. Requisitos de seguridad de la información La función principal de SC es el desarrollo de software, aplicaciones web y negocios de desarrollo de aplicaciones móviles, cualquier pérdida de información (por ejemplo, pérdida de códigos, programas de software, aplicaciones, etc.) es crucial para la empresa y sus operaciones. Cualquier incidente de violación de la información afecta a la productividad de la organización. Esto puede resultar en última instancia en resultados graves, tales como pérdidas financieras, pérdida de producción, retraso en los proyectos, pérdida de propiedad intelectual, pérdida de clientes y, sobre todo, pérdida de reputación. Los principales desarrolladores de administración y software reconocen que la seguridad de la información es el aspecto crítico para la continuidad del negocio de la organización. si la productividad se pierde en nuestra área, entonces se relaciona directamente con la pérdida de nuestros clientes, porque tenemos que entregar nuestros proyectos dentro del tiempo programado. Y si el cliente pierde la confianza, no nos dará más negocio... Soporte de alta dirección Aunque la alta dirección es consciente de la importancia de la seguridad de la información para la organización, falta un soporte coherente para la misma. luego de un proceso usted es la persona que ha sido contratado, por esta empresa. Plan de Trabajo: Luego de una reunión con el Director de Seguridad de la Información de la Empresa, se le han delegado los siguientes objetivos y tareas 1. Desarrollar una matriz de controles y sub-controles Críticos de Ciberseguridad del software 2. Desarrollar el umbral de riesgo para cada control y sub-control Critico de software 3. Crear la matriz de evaluación de controles críticos de ciberseguridad (3 preguntas como mínimo de cada sub-control) del software 4. Evaluar el grado de implementación de los controles de acuerdo con la matriz creada 5. Preparar el informe y plan de acción. Dentro de la reunión sostenida con el su jefe inmediato, encontró información valiosa que le servirán para construir y desarrollar el plan de trabajo, dentro de la que destacan: 1. Los roles y responsabilidades de seguridad de la información de los empleados no están definidos UNIVERSIDAD MARIANO GALVEZ FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS DE INFORMACION 2. 3. 4. No existe una clasificación de las responsabilidades de varias funciones relacionadas con la seguridad de la información en la organización Aunque algunos empleados conocen los posibles riesgos para la información y la información sobre los activos con los que están tratando, pero en ausencia de políticas o directrices, no tienen idea de qué hacer al respecto. Existe una falta general de concienciación a las consecuencias legales de cualquier incidente de violación de la seguridad de la información.