Informe de Auditoría - Favorable
No se han observado no conformidades ni desviaciones
OPORTUNIDADES DE MEJORA.
- Estudiar la posibilidad de implantar MFA en acceso a Git
- Considerar la posibilidad de mejorar la evaluación de la seguridad en las distintas etapas del desarrollo. Por ejemplo, mediante el uso de herramientas de análisis de código estático tipo SonarQube, tanto a nivel de desarrollador como a nivel de aplicación, y el uso de herramientas para pruebas de penetración tipo OWASP ZAP.
COMENTARIOS.
- Conviene desglosar en el perfil del puesto la competencia requerida de la deseable. En algunos puestos, como el de auditor interno, deberían revisarse los requisitos mínimos.
- Si bien se evidencia que se tienen objetivos de tiempos de recuperación en los escenarios de recuperación, dichos objetivos no se documentan en los escenarios, por lo que se debería incluir para tener esta referencia de forma documentada. Por otro lado, se evidencia que se mantienen pruebas de recuperación relacionadas con los escenarios de interrupción. Sin embargo, al no documentarse un plan de pruebas de forma explícita, se debería al menos incluir las pruebas concretas a realizar dentro de las tablas de evaluación para cada escenario de recuperación, donde se documente qué pruebas son las relacionadas con cada escenario y su programación, responsabilidad, informes, etc.