Auditoría al Sistema de Gestión de Seguridad información en el proceso de desarrollo de software de acuerdo a la Norma ISO/IEC 27001:2013 en la empresa IT Stefanini Colombia.

Abstract

La seguridad de la información es una rama de la informática que se encuentra en auge actualmente y es motivo de preocupación de grandes entidades a nivel global y local, cada día los ataques a las infraestructuras tecnológicas de las organizaciones aumentan de la misma manera que los ataques dirigidos a personas en particular, su objetivo: robo de contraseñas, cuentas de usuario, acceso a información confidencial, secuestro de la información entre otros; el motivo de este trabajo de grado es el exponer al lector una metodología sencilla de para la realización de una auditoria de seguridad de la información basada en la norma NTC ISO IEC 27001:2013 con la cual se aseguran 114 objetivos de control que buscan garantizar los requisitos de seguridad de la información en cualquier sistema de gestión de seguridad de la información. La auditoría como instrumento metodológico permite la evaluación del estado actual de un proceso o un conjunto de procesos en la organización. Este trabajo de grado se basa en una auditoria a un sistema de gestión de seguridad de la información respecto a la norma ISO IEC 27001:2013 en el proceso de desarrollo de software de una organización, en él se describen los instrumentos de la auditoria como son el programa de auditoria, el plan de auditoria, el cronograma, las listas de verificación, la hoja de hallazgos y el informe final de auditoria y su diligenciamiento, también se realiza una evaluación SCAMPI C con la que se valida la existencia de las áreas de proceso para un nivel III de certificación, las metas genéricas y las practicas específicas.