Comprendre, adaptar i implantar la normativa de seguretat dels sistemes
d’informació ISO/IEC 27002:2005 en l’àmbit d’una organització proveïdora de
serveis de gestió d’instal·lacions esportives on el sistema d’informació està
compost principalment per una part ofimàtica, per l’administració i gestió pròpia
del servei, i una part d’automatització industrial, per el manteniment, control i
supervisió automatitzada dels equipaments esportius.
A partir del plantejament del problema a resoldre en forma d’auditoria, es vol
fer un desplegament que permeti portar a terme un pla d’acció concret, per la
millora de la seguretat informàtica, en alguns dels aspectes detectats com
vulnerabilitats en els sistemes d’informació del Servei auditat.
Per tal de complir amb aquest objectius, es desenvolupen les següents fases:
La primera correspon a la introducció, on mitjançant diverses reunions amb
els responsables del servei i els promotors d’aquest projecte, es defineixen els
objectius i es planifiquen les tasques a desenvolupar.
En la segona, s’estudia la norma ISO/IEC 27002:2005 i es desenvolupa el
mètode per convertir la mateixa en un qüestionari per l’avaluació de la
seguretat dels sistemes d’informació.
La tercera, on s’especifica el funcionament, i es realitza el disseny i
desenvolupament de l’eina de suport a l’auditoria basada en el qüestionari
d’avaluació creat en la fase precedent.
Finalment, en la quarta fase, s’executen les tasques pròpies de l’avaluació de
la seguretat dels sistemes d’informació: Les respostes al qüestionari,
l’avaluació, l’estudi dels resultats, l’informe d’auditoria i la confecció d’un pla
d’acció per la millora compost principalment per la creació d’un pla de
contingència (Pla de continuïtat dels serveis de negoci i pla de represa
informàtica dels sistemes sensibles)