Auditoria i execució de pla d’acció per la millora de la seguretat dels sistemes d’informació

Abstract

Comprendre, adaptar i implantar la normativa de seguretat dels sistemes d’informació ISO/IEC 27002:2005 en l’àmbit d’una organització proveïdora de serveis de gestió d’instal·lacions esportives on el sistema d’informació està compost principalment per una part ofimàtica, per l’administració i gestió pròpia del servei, i una part d’automatització industrial, per el manteniment, control i supervisió automatitzada dels equipaments esportius. A partir del plantejament del problema a resoldre en forma d’auditoria, es vol fer un desplegament que permeti portar a terme un pla d’acció concret, per la millora de la seguretat informàtica, en alguns dels aspectes detectats com vulnerabilitats en els sistemes d’informació del Servei auditat. Per tal de complir amb aquest objectius, es desenvolupen les següents fases: La primera correspon a la introducció, on mitjançant diverses reunions amb els responsables del servei i els promotors d’aquest projecte, es defineixen els objectius i es planifiquen les tasques a desenvolupar. En la segona, s’estudia la norma ISO/IEC 27002:2005 i es desenvolupa el mètode per convertir la mateixa en un qüestionari per l’avaluació de la seguretat dels sistemes d’informació. La tercera, on s’especifica el funcionament, i es realitza el disseny i desenvolupament de l’eina de suport a l’auditoria basada en el qüestionari d’avaluació creat en la fase precedent. Finalment, en la quarta fase, s’executen les tasques pròpies de l’avaluació de la seguretat dels sistemes d’informació: Les respostes al qüestionari, l’avaluació, l’estudi dels resultats, l’informe d’auditoria i la confecció d’un pla d’acció per la millora compost principalment per la creació d’un pla de contingència (Pla de continuïtat dels serveis de negoci i pla de represa informàtica dels sistemes sensibles).