Auditoría informática con la metodologia cobit 5 de la municipalidad distrital de punchana – 2023

Abstract

La presente tesis se centra en la evaluación exhaustiva de la seguridad informática en una organización, abordando áreas críticas que incluyen la documentación existente, la evaluación de riesgos y controles, la efectividad de los controles actuales, la ejecución de pruebas y recopilación de datos, así como la implementación oportuna de actualizaciones de seguridad, la revisión de la documentación existente reveló deficiencias en la cobertura de políticas de seguridad, manuales de procedimientos y registros de incidentes, destacando la necesidad de mejoras específicas en áreas como seguridad física, gestión de incidentes y políticas específicas, la fase de evaluación de riesgos y controles identificó áreas críticas, especialmente en el Data Center y servidores, con una alta probabilidad de riesgos significativos. Se recomienda la implementación de medidas adicionales para mitigar estos riesgos y fortalecer la seguridad física, a pesar de una comunicación efectiva de las políticas de seguridad, se observó una baja efectividad en auditorías y monitoreo de logs, sugiriendo mejoras necesarias para una respuesta más rápida a eventos de seguridad, la ejecución de pruebas y recopilación de datos reveló áreas de mejora en la comunicación interna, la frecuencia de simulacros y pruebas de seguridad, así como la concientización del personal. La falta de recursos y conciencia entre el personal se identificaron como desafíos que deben abordarse mediante asignación adecuada de recursos y programas de capacitación regulares, las pruebas técnicas destacaron vulnerabilidades críticas y accesos no autorizados, enfatizando la importancia de un enfoque proactivo hacia la seguridad informática. Se recomienda realizar pruebas técnicas regulares y evaluaciones continuas de seguridad, la percepción de que las actualizaciones de seguridad no se implementan de manera oportuna resalta la necesidad de mejorar los procesos para garantizar la aplicación puntual de parches y actualizaciones, contribuyendo así a la seguridad integral del sistema.

This thesis focuses on the comprehensive assessment of cybersecurity within an organization, addressing critical areas such as existing documentation, risk and control evaluation, effectiveness of current controls, execution of tests and data collection, and timely implementation of security updates. The review of existing documentation revealed deficiencies in the coverage of security policies, procedure manuals, and incident records, emphasizing the need for specific improvements in areas such as physical security, incident management, and specific policies, the phase of risk and control evaluation identified critical areas, particularly in the Data Center and servers, with a high probability of significant risks. It is recommended to implement additional measures to mitigate these risks and strengthen physical security. Despite effective communication of security policies, a low effectiveness in audits and log monitoring was observed, suggesting necessary improvements for a quicker response to security events, the execution of tests and data collection revealed areas for improvement in internal communication, the frequency of drills and security tests, as well as staff awareness. The lack of resources and awareness among the staff were identified as challenges that need to be addressed through proper resource allocation and regular training programs, technical tests highlighted critical vulnerabilities and unauthorized access, emphasizing the importance of a proactive approach to cybersecurity. Regular technical tests and continuous security evaluations are recommended. The perception that security updates are not implemented in a timely manner underscores the need to improve processes to ensure the timely application of patches and updates, thereby contributing to the overall security of the system.