1. Informe de auditoría interna
Sistema de Gestión de Seguridad de la Información
ISO/IEC 27001:2013
Bogotá D.C. Diciembre de 2016
2. 2
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
TABLA DE CONTENIDO
1. OBJETIVO DE LA AUDITORIA ----------------------------------------------------------------- 3
2. ALCANCE DE LA AUDITORIA------------------------------------------------------------------ 3
3. PROCESO AUDITADO ---------------------------------------------------------------------------- 3
4. MARCO LEGAL O ANTECEDENTES--------------------------------------------------------- 3
5. ASPECTOS GENERALES------------------------------------------------------------------------ 5
6. DESARROLLO DE LA AUDITORIA ----------------------------------------------------------- 6
7. EVALUACIÓN DE LAS MEJORAS ------------------------------------------------------------ 6
8. RESULTADOS DE LA AUDITORIA ----------------------------------------------------------- 7
9. CONCLUSIONES DE LA AUDITORIA-------------------------------------------------------16
10. PLAN DE ACCIÓN SUGERIDO--------------------------------------------------------------17
3. 3
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
1. OBJETIVO DE LA AUDITORIA
Evaluar el Sistema de gestión de seguridad de la información en su alcance temporal1
correspondiente al PROCESO DE TI del Departamento Administrativo de la Presidencia de la
República – DAPRE conforme a los requisitos de la norma ISO/IEC 27001:2013 (criterio de
auditoría).
1.1 Objetivos Específicos
1. Evaluar la conformidad del sistema de gestión de seguridad de la información en su
alcance “PROCESO DE TI”.
2. Determinar oportunidades de mejora.
3. Establecer un esquema recomendado de trabajo para la organización para la eficaz
implementación del sistema de gestión de seguridad de la información en su alcance
“PROCESO DE TI”.
2. ALCANCE DE LA AUDITORIA
El alcance se definió para el sistema de gestión de seguridad de la información relativo al
“PROCESO DE TI”
3. PROCESO AUDITADO
Tecnología de Información y Comunicaciones
4. MARCO LEGAL O ANTECEDENTES
Constitución Política. Artículo 15. Reconoce como Derecho Fundamental el Habeas Data;
Artículo 20. Libertad de Información.
Ley 527 de 1999. “Por medio de la cual se define y se reglamenta el acceso y uso de los
mensajes de datos, comercio electrónico y de las firmas digitales, y se establecen las
entidades de certificación y se dictan otras disposiciones”
Ley 594 de 2000. “Ley General de Archivo”
1 Se definió alcance temporal para viabilizar la auditoría ante la ausencia de un alcance definido y aprobado.
4. 4
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Ley 962 de 2005. “Simplificación y Racionalización de Trámite. Atributos de seguridad en la
información electrónica de entidades públicas;”
Ley 1150 de 2007. “Seguridad de la información electrónica en contratación en línea”
Ley 1266 de 2008. “Por la cual se dictan las disposiciones generales del Hábeas Data y se
regula el manejo de la información contenida en bases de datos personales, en especial la
financiera, crediticia, comercial, de servicios y la proveniente de terceros países
Ley 1273 de 2009. “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien
jurídico tutelado denominado “de la protección de la información y de los datos” y se
preservan integralmente los sistemas que utilicen las tecnologías de la información y las
comunicaciones, entre otras disposiciones”. Art. 199. Espionaje; Art. 258. Utilización indebida
de información; Art. 418. Revelación de Secreto; Art. 419. Utilización de asunto sometido a
secreto o reserva; Art. 420. Utilización indebida de información oficial; Artículo 431. Utilización
indebida de información obtenida en el ejercicio de la función pública; Artículo 463. Espionaje.
Ley 1341 de 2009. “Tecnologías de la Información y aplicación de seguridad”.
Ley 1437 de 2011. “Procedimiento Administrativo y aplicación de criterios de seguridad”.
Ley 1480 de 2011. “Protección al consumidor por medios electrónicos. Seguridad en
transacciones electrónicas”.
Ley 1581 de 2012. “Por la cual se dictan disposiciones generales para la Protección de Datos
Personales”.
Decreto Ley 019 de 2012. “Racionalización de trámites a través de medios electrónicos.
Criterio de seguridad”.
Ley 1621 de 2013. “Por medio de la cual se expiden normas para fortalecer el marco jurídico
que permite a los organismos que llevan a cabo actividades de inteligencia y
contrainteligencia cumplir con su misión constitucional y legal y se dictan otras disposiciones”.
Ley 1712 de 2014. “Por medio de la cual se crea la ley de transparencia y del derecho de
acceso a la información pública nacional y se dictan otras disposiciones.
Decreto 1727 de 2009. “Por el cual se determina la forma en la cual los operadores de los
bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente
de terceros países, deben presentar la información de los titulares de la información”
Decreto 2952 de 2010. “Por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de
2008”
Decreto 2364 de 2012. “Firma electrónica”
Decreto 2609 de 2012. “Expediente electrónico”
5. 5
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
Decreto 2693 de 2012. “Gobierno electrónico”
Decreto 1377 de 2013. “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”
Decreto 1510 de 2013. “Contratación pública electrónica”
Decreto 886 de 2014. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012”
Decreto 1083 de 2015. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012”
Decreto 415 de 2016. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 201
definición de los lineamientos para el fortalecimiento institucional en materia de tecnologías
de la información y las comunicaciones”
Política Pública: CONPES 3701 de 2011 Lineamientos de Política para Ciberseguridad y
Ciberdefensa, CONPES 3854 de 2016 Política Nacional de Seguridad digital.
5. ASPECTOS GENERALES
5.1 Términos del Informe
Se utilizará para el presente Informe, los términos y definiciones establecidos en el Manual de
Auditoría Interna (M-EM-01), los cuales deben ser tenidos en cuenta para su entendimiento y
posterior formulación de los planes de mejoramiento, a saber:
No Conformidad Real – NCR: Incumplimiento de un requisito legal, técnico, de
organización o de un cliente (y en general cualquier parte interesada). Se constituye
cuando existe evidencia objetiva del incumplimiento.
No Conformidad Potencial – NCP: Hecho o situación que podría generar el
incumplimiento de un requisito legal, técnico, de la organización o del cliente. Se
constituye como una Observación.
Oportunidad de Mejora – OM: Acción para mejorar un procedimiento, proceso o
actividad. Se constituye como una Recomendación.
5.2 Responsabilidad
Es responsabilidad del auditor la planeación de los procesos a ser auditados en el Departamento
Administrativo de la Presidencia de la República, en el marco del Objetivo General.
6. 6
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
La información tomada para la elaboración del presente informe y durante el ejercicio de la visita,
fue proporcionada bajo la estricta responsabilidad de los funcionarios de las dependencias
relacionadas en el alcance, así como de la consulta efectuada en el aplicativo SIGOB.
Por último, es responsabilidad del equipo auditor producir un informe objetivo que refleje los
resultados del proceso auditor, observaciones y/o recomendaciones, en cumplimento de los
objetivos propuestos para la misma.
5.3 Plan General de Auditoria
El equipo auditor estableció plan de auditoría que fue remitido a la Oficina de Control Interno de
Gestión y consecuentemente a las áreas participantes del proceso de auditoría. Ver Anexo.
Con base en el plan, el equipo de auditoría, mediante muestreo, examinó la conformidad actual
del Sistema de Gestión de Seguridad de la Información (SGSI) del Departamento Administrativo
de la Presidencia de la Republica frente a los requisitos de la norma técnica internacional
ISO/IEC 27001:2013 a manera de criterio de auditoría.
Frente a lo anterior, y una vez evaluados los documentos solicitados así como los disponibles
en los aplicativos de la Entidad, se presentan los siguientes resultados (Conformidades, No
conformidades y Oportunidades de Mejora).
6. DESARROLLO DE LA AUDITORIA
La auditoría se llevó a cabo conforme a lo establecido en el plan de auditoría, tanto en su
programación como en la participación del equipo de auditoría. El desarrollo se plasma en el
formato Plan Detallado de Auditoria. Ver Anexo.
El cálculo de tiempo fue adecuado para dar cobertura completa al alcance (temporal) definido
para el desarrollo de esta auditoría.
No se presentaron riesgos de auditoría.
7. EVALUACIÓN DE LAS MEJORAS
Dado que ésta es la primera auditoría interna formal al Sistema de Gestión de Seguridad de la
Información (SGSI) del Departamento Administrativo de la Presidencia de la Republica, en el
proceso indicado (Proceso de TI), ni se han realizado acciones formales de mejora (utilizando
las herramientas provistas por el Sistema de Gestión de Seguridad de la Información) no aplica
esta sección.
7. 7
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
8. RESULTADOS DE LA AUDITORIA
8.1 Aspectos conformes – fortalezas del SGSI
1) Se tiene un compromiso decidido de la alta dirección hacia la seguridad de la información
actualmente expresada en infraestructura tecnológica y en las bases del sistema de
gestión de seguridad de la información así como de riesgos.
2) Se cuenta con un talento humano altamente calificado y muy comprometido con las
labores de gestión de seguridad.
3) Se cuenta con una infraestructura sólida, redundante, tolerante a fallos y pertinente a los
propósitos y objetivos institucionales.
4) La infraestructura de seguridad es consistente con el nivel de riesgo al que puede estar
expuesta la entidad por su misma naturaleza.
5) El nivel de estandarización de recursos y herramienta facilita la gestión de servicios,
reduce riesgos de incompatibilidad y mejora la integración de información sobre eventos
de seguridad y comportamiento de la plataforma.
6) Se cumple con los requerimientos de la Ley de Transparencia y Acceso a la Información,
así como con los criterios impuestos por la Ley de Protección de Datos Personales.
7) Los centros de cómputo son seguros, responden a los requisitos de las normas técnicas
nacionales (RETIE) y requisitos de seguridad de estándar ISO 27001 y ANSI/TIA 942.
8) La infraestructura de seguridad se ajusta a un modelo de protección tipo defensa en
profundidad con capas especializadas superpuestas que mitigan eventos de seguridad.
9) La gestión de solicitudes y mesa de ayuda cumple con los requisitos funcionales de
negocio.
8.2 Aspectos no conformes
La formulación de no conformidades sigue lo especificado en el Manual de Auditorías Internas
de junio de 2015 del DAPRE:
1. Descripción
del Problema
2. Evidencia
Objetiva
3. Requisito
que Incumple
¿Cuál es el requisito
Incumplido con
Respecto a los Criterios
de Auditoría?
Son los registros, declaraciones
de hechos o información que son
pertinentes y verificables para los
Criterios de Auditoria
Capítulo, Cláusula o
Ítem incumplido
relacionado con los
Criterios de Auditoría
8. 8
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
PROBLEMA EVIDENCIA REQUISITO ACCION
No se encontró referencia a las
partes interesadas ni al marco de
requisitos en materia de Seguridad
de la Información.
Entrevista con el Asesor del
área TI & SI, y Profesional
SGSI
4.2 Entendiendo las
necesidades y expectativas
de las partes interesadas
Ver plan
de acción
fase 1.4
No existe un alcance formalmente
definido (documentado) y el borrador
planteado corresponde a la definición
de alcance.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; –y
Profesional SGSI
4.3 Determinando el
alcance del sistema de
gestión de seguridad de la
información
Ver plan
de acción
fase 4.1
La política de SI en sus directrices no
incluye referencias al compromiso
hacia el cumplimiento de requisitos,
hacia la mejora continua así como
hacia la gestión de riesgos.
Entrevista con Asesor del
área TI & SI;– y Profesional
SGSI
5.2 Política
Ver plan
de acción
fase 4.2
Las políticas describen lineamientos
sobre tecnología (marcas de equipos
móviles como BlackBerry) y
directrices sobre uso de la tecnología,
que pueden afectar directrices de
neutralidad tecnológica.
Manual de políticas de
seguridad para las TIC
código M-TI-01
5.2 Política
Ver plan
de acción
fase 4.2
Si bien existe un manual de funciones
en la organización, no se evidencian
autoridades, roles y
responsabilidades en materia de
seguridad de la información y riesgos
relacionados, incluyendo el reporte
de debilidades y vulnerabilidades.
Manual de Funciones
5.3 Roles,
responsabilidades y
autoridades en la
organización
Ver plan
de acción
fase 5.2
El enfoque de riesgos (según
metodología de la institución) está
orientado al riesgo clásico (negativo)
sin considerar las oportunidades.
Lineamiento de
Administración del Riesgo L-
DE-01 2016/05/27 V9.
6.1 Acciones para atender
riesgos y oportunidades
Ver plan
de acción
fase 3
La identificación de riesgos está
centrada en evento de riesgos (aun
cuando la guía lo trata como riesgo) y
sus causas hacen referencia a
efectos sobre personal o hallazgo de
auditoria que sobre objetivos del
negocio.
Lineamiento de
Administración del Riesgo L-
DE-01 2016/05/27 V9.
6.1 Acciones para atender
riesgos y oportunidades
Ver plan
de acción
fase 3
La determinación del impacto en el
análisis de riesgos considera lo
propio a confidencialidad de la
información más no hace referencia a
la integridad y disponibilidad.
Lineamiento de
Administración del Riesgo L-
DE-01 2016/05/27 V9.
6.1 Acciones para atender
riesgos y oportunidades
Ver plan
de acción
fase 3
En el componente de valoración de
riesgos no se encontró referencia a
los criterios de riesgos y la
comparación a ser realizada entre los
riesgos y los criterios aplicables.
Lineamiento de
Administración del Riesgo L-
DE-01 2016/05/27 V9.
6.1 Acciones para atender
riesgos y oportunidades
Ver plan
de acción
fase 3
9. 9
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
PROBLEMA EVIDENCIA REQUISITO ACCION
No existen objetivos definidos
formalmente en materia de seguridad
de la información. El borrador de
objetivos presenta 4 posibles
objetivos pero éstos no están
alineados al desempeño o
cumplimiento / conformidad en los
requisitos.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; –y
Profesional SGSI
6.2 Objetivos de seguridad
de la información y planes
para alcanzarlos
Ver plan
de acción
fase 4.2
Se encontraron documentos
obsoletos en uso.
Durante la inspección de
registros de ingreso a áreas
seguras se identificaron dos
formatos iguales pero con
codificación diferente: F-TI-
08 Project Chárter y F-TI-14
Bitácora de centro de
cómputo.
7.5 Información
documentada
Ver plan
de acción
fase 4.6
Se examina registro de riesgos para
SGSI en el proceso de TI (5 riesgos).
Muestra: Falta de
trazabilidad en las
actuaciones de los usuarios
finales. Se observan 6
efectos sin que se indique
cuáles de esos efectos
afectan (y como lo hacen)
los O/N. En la escala
afectada se tienen dos
controles (capacitación y
controles tecnológicos) que
afectan tanto la probabilidad
e impacto. El control
“Controles Tecnológicos” no
señala a que controles hace
referencia.
8.1 Planeación y control
operacional
Ver plan
de acción
fases
3 y 4.6
No se realiza seguimiento, medición
y evaluación de riesgos en SGSI.
Lineamiento de
Administración del Riesgo L-
DE-01 2016/05/27 V9.
8.2 Evaluación de riesgos
en seguridad de la
información
Ver plan
de acción
fase 3
No se observa trazabilidad entre
mecanismos de tratamiento vs. los
riesgos que están siendo atendidos.
Lineamiento de
Administración del Riesgo L-
DE-01 2016/05/27 V9.
8.3 Tratamiento de riesgos
en seguridad de la
información
Ver plan
de acción
fase 3
No se encontró evidencia de
medición, análisis y supervisión del
desempeño de la seguridad de la
información y los objetivos
relacionados.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; –y
Profesional SGSI
9.1 Supervisión, medición,
análisis y evaluación
Ver plan
de acción
fase 8
No se ha realizado revisión formal por
la dirección al SGSI.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; –y
Profesional SGSI
9.3 Revisión por la
dirección
Ver plan
de acción
fase 8
10. 10
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
PROBLEMA EVIDENCIA REQUISITO ACCION
No existen No conformidades (NC),
Acciones correctivas (AC), Acciones
de mejora (AM) definidas para el
SGSI.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; –y
Profesional SGSI
10.1 No conformidades y
acciones correctivas
Ver plan
de acción
fase 8.2
La estructura actual de políticas
compila toda la colección de políticas
de manera indistinta a su aplicación,
lo cual, además de ser extenso,
ofrece el riesgo de confusión a sus
lectores.
Manual de Políticas de
Seguridad para las TIC
código M-TI-01
A.5.1.1 - Políticas para la
seguridad de la
información
Ver plan
de acción
fase 4.2
No se encuentra evidencia de
revisión de políticas de seguridad de
la información aun cuando existe una
nueva versión en estado borrador.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; y
Profesional SGSI
A.5.1.2 - Revisión de las
políticas para la seguridad
de la información
Ver plan
de acción
fases
4.2 y 8
Las tareas se segregan a partir de
buenas prácticas profesionales pero
no se basan en un análisis de riesgos
que determine las necesidades de
segregación.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI.
A.6.1.2 - Segregación de
tareas
Ver plan
de acción
fase 5.2
No se encuentra evidencia sobre
cómo se gestiona la seguridad de la
información en los proyectos que
realiza la organización. El enfoque
metodológico está basado en ¿PMI?
pero no se menciona el enfoque
hacia la seguridad de la información.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI.
A.6.1.5 - Seguridad de la
información en gestión de
proyectos
Ver plan
de acción
fase 5.1
Si bien se informa que no existe
Teletrabajo en la práctica se tiene
acceso a información desde equipos
celulares, incluyendo la generación
de Tokens.
Manual de Políticas de
Seguridad para las TIC
código M-TI-01.
A.6.2.2 – Teletrabajo
Ver plan
de acción
fase 5.1
No se han realizado actividades de
formación o toma de conciencia en el
año 2016 en materia de Seguridad de
la Información.
En entrevista con el personal
del Área de Talento Humano
se reporta que no han
participado en ejercicios de
formación o toma de
conciencia en SI o SGSI en
el año 2016. La última
experiencia es del año 2015
campaña denominada “La
seguridad soy Yo”
A.7.2.2 - Toma de
conciencia, educación y
entrenamiento en
seguridad de la
información
Ver plan
de acción
fase 6
Hay desconocimiento de procesos
pertinentes al proceso de control
interno disciplinario.
En entrevista con personal
del área de control interno
disciplinario se informa que
no se conoce al grupo
CSIRT y no se tiene en
cuenta como posible fuente
de acciones disciplinarias
A.7.2.3 - Proceso
disciplinario
Ver plan
de acción
fase 6
11. 11
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
PROBLEMA EVIDENCIA REQUISITO ACCION
Dentro de las actividades de
terminación o cambio en las
responsabilidades del empleo.
Muestra: Asesor Área TTHH
Retiro por renuncia
2016/12/15
Mediante correo se le solicita
declaración de bienes y
rentas, formato de entrega
de actividades del contrato,
carné o su denuncia, formato
de activos fijos, orden de
examen médico.
No se solicita devolución de
posibles activos de
información en su poder
El software de nómina
produce órdenes
automáticas para el área de
TI para activar o desactivas
los derechos a los usuarios.
A.7.3.1 - Terminación o
cambio en las
responsabilidades del
empleo
Ver plan
de acción
fase 5.2
Se mezclan activos tecnológicos con
activos de información.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; y
Profesional SGSI
A.8.1.1 - Inventario de
activos
Ver plan
de acción
fase 2
No se han identificado con precisión
todos los activos de información de
todos los procesos de la Entidad.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; y
Profesional SGSI
A.8.1.1 - Inventario de
activos
Ver plan
de acción
fase 2
Se han identificado reglas de uso de
activos que se encuentran mezcladas
con las políticas de seguridad de
información, lo que produce falta de
claridad sobre la diferencia entre
reglas y políticas.
Manual de políticas de
seguridad para las TIC
código M-TI-01
A.8.1.3 - Uso aceptable de
los activos
Ver plan
de acción
fase 2
Dentro de las actividades de
terminación o cambio en las
responsabilidades del empleo no se
referencia lo pertinente a devolución
de activos.
Muestra: Asesor Área de
Talento Humano
Retiro por renuncia
2016/12/15. Mediante correo
se le solicita declaración de
bienes y rentas, entrega de
actividades del contrato,
carné o denuncia, formato
de activos fijos, orden de
examen médico.
A.8.1.4 - Devolución de
activos
Ver plan
de acción
fase 2
Se hace uso de clasificaciones de
información no definidas.
Se hace uso de terminología
“documento confidencial”,
clasificación que no ha sido
definida por la entidad.
A.8.2.1 - Clasificación de la
información
Ver plan
de acción
fase 2
12. 12
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
PROBLEMA EVIDENCIA REQUISITO ACCION
Asegurar que la clasificación de la
información considere requisitos
jurídicos, valor organizacional,
criticidad y que tan sensible es esa
información.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; y
Profesional SGSI
A.8.2.1 - Clasificación de la
información
Ver plan
de acción
fase 2
El procedimiento de clasificación de
la información no establece
esquemas de etiquetado de la
información.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; y
Profesional SGSI
A.8.2.2 - Etiquetado de la
información
Ver plan
de acción
fase 2
No se encontraron procedimientos
para manejo de activos según la
clasificación de activos.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; y
Profesional SGSI
A.8.2.3 - Manejo de activos
Ver plan
de acción
fase 2
No se encontraron procedimientos
formales para eliminación de medios.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI; y
Profesional SGSI
A.8.3.2 - Eliminación de
medios
Ver plan
de acción
fase 2
Se hace énfasis en componentes de
tecnología y no cuenta con
descripciones asociadas a permisos
de acceso a la información de
acuerdo con los esquemas de
clasificación adoptados por la
Entidad.
Manual de Políticas de
Seguridad para las TIC
código M-TI-01.
A.9.1.1 - Política de control
de acceso
Ver plan
de acción
fase 4.2
Los derechos de acceso de los
usuarios se verifican antes de la
asignación de la cuenta, pero no se
encontró evidencia de una proceso
de revisión periódica de derechos de
acceso, por ejemplo durante las
auditorias de seguridad o cuando se
realicen pruebas de análisis de
vulnerabilidades.
Visita a sitio – área TI
A.9.2.5 - Revisión de
derecho de acceso de los
usuarios
Ver plan
de acción
fase 4.2
No se evidencia la mejora continua
aplicada a la gestión de acceso.
Entrevista con el
representante del SGSI -
Jefe oficina del área TI & SI;
Asesor del área TI & SI
A.9.2.6 - Remoción o
ajuste de derechos de
acceso
Ver plan
de acción
fase 4.2
Los procesos de reléase y
deployment de nuevas versiones
exponen el código fuente una vez el
código fuente ha superado las
pruebas funcionales y de seguridad.
Visita a sitio – área TI
A.9.4.5 - Control de acceso
al código fuente de las
aplicaciones
Ver plan
de acción
fase 5.1
La política de controles criptográficos
no describe las decisiones que ha
adoptado la entidad en materia de
criptografía.
Manual de políticas de
seguridad para las TIC
código M-TI-01
A.10.1.1 - Política de uso
de controles criptográficos
Ver plan
de acción
fase 4.2
13. 13
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
PROBLEMA EVIDENCIA REQUISITO ACCION
No se cuenta aún con una política
clara de gestión de llaves
criptográficas aunque se usan
diversos controles criptográficos.
Manual de políticas de
seguridad para las TIC
código M-TI-01
A.10.1.2 - Gestión de
claves
Ver plan
de acción
fase 4.2
Los controles de trabajo en áreas
seguras no son siempre aplicados.
Durante las inspecciones a
centro de datos, se
presentaron olvidos en el
diligenciamiento de firma de
salida de visitantes.
A.11.1.5 - Trabajo en áreas
seguras
Ver plan
de acción
fase 5.1
Los controles de remoción de activos
no siempre son eficaces pues
permiten el retiro no autorizado de
equipos de TI.
Prueba de retiro de un
equipo S/N 88224 realizada
en forma exitosa por el
equipo de auditoria
Se tiene un procedimiento
de retiro de equipos y una
aplicación para control del
retiro de equipos de
propiedad de la Entidad.
A.11.2.5 - Remoción de
activos
Ver plan
de acción
fase 5.1
No se identificó evidencia de
recomendaciones de seguridad para
equipos de la entidad que sean
retirados de las dependencias.
Prueba de retiro de un
equipo S/N 88224 realizada
en forma exitosa por el
equipo de auditoria
A.11.2.6 - Seguridad de
equipos y activos fuera de
su sitio
Ver plan
de acción
fase 5.1
No realiza a intervalos planificados
gestión de la capacidad.
Está documentado un
procedimiento de gestión de
capacidad la entidad
A.12.1.3 - Gestión de la
capacidad
Ver plan
de acción
fase 5.1
Si bien las pruebas se realizan, es el
software de copia de respaldo y no
los operadores quienes realizan
verificación de respaldos.
Manual de Políticas de
Seguridad para las TIC
código M-TI-01
A.12.3.1 - Backup (copia
de respaldo) de la
información
Ver plan
de acción
fase 5.1
El manual de políticas de seguridad
no es preciso en identificar y
establecer principios sobre la
transferencia de archivos e
información (analógica/física y
digital).
El Manual de Políticas de
Seguridad (Sección 4.1 del
manual de políticas de
seguridad)
A.13.2.1 - Políticas y
procedimientos para la
transferencia de
información
Ver plan
de acción
fase 4.2
No se encontró evidencia concreta de
este control.
Visita a sitio – área TI
A.13.2.2 - Acuerdos en la
transferencia de
información
Ver plan
de acción
fase 4.8
Existen controles que la entidad
documenta como obligatorios en sus
políticas, pero no se está cumpliendo
en todos los casos como:
“registrar el software en la dirección
general de derechos de autor”.
Sección 4.1.24 del manual
de políticas de seguridad
A.14.1.2 - Aseguramiento
de servicios de
aplicaciones en redes
públicas
Ver plan
de acción
fase 5.1
No se encontraron evidencias de
pruebas de análisis de
vulnerabilidades después de cambios
en sistemas operacionales.
Visita a sitio – área TI
A.14.2.3 - Revisión técnica
de aplicaciones luego de
cambios en plataformas de
producción
Ver plan
de acción
fase 7.2
14. 14
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
PROBLEMA EVIDENCIA REQUISITO ACCION
Aunque se aplican principios y
prácticas de seguridad, no se están
sustentando las decisiones sobre la
base de la identificación de riesgos
de seguridad.
Lineamiento de
Administración del Riesgo L-
DE-01 2016/05/27 V9.
A.14.2.5 - Principios de la
ingeniería de sistemas
seguros
Ver plan
de acción
fase 5.1
No se cuenta con un conjunto de
datos de prueba preparados
específicamente para evitar
divulgación de información no
autorizada.
Visita a sitio – área TI
A.14.3.1 - Protección de
datos de prueba
Ver plan
de acción
fase 5.1
En los contratos con personal y
contratistas no se observan
instrucciones en materia de manejo
de reportes de debilidades y
vulnerabilidades.
Entrevista: Área Talento
Humano, Coordinadora
grupo vinculaciones.
Muestra: Funcionario
Vinculada 2016/12/02.
A.16.1.2 - Reporte de
eventos de seguridad de la
información
Ver plan
de acción
fase 7.1
En los contratos con personal y
contratistas no se observan
instrucciones en materia de manejo
de reportes de debilidades y
vulnerabilidades.
Entrevista: Área Talento
Humano, Coordinadora
grupo vinculaciones.
Muestra: Funcionario
Vinculada 2016/12/02.
A.16.1.3 - Reporte de
debilidades en la seguridad
de la información
Ver plan
de acción
fase 7.1
No se encontró evidencia formal que
sustente las decisiones de
infraestructura de TI que se han
adoptado.
Visita a sitio – Área TI
A.17.1.1 - Planeación de la
continuidad de la seguridad
de la información
Ver plan
de acción
fase 5.1
No se encontró evidencia de un plan
formal de continuidad de negocio,
pero toda la infraestructura en
tolerantes a fallas.
Visita a sitio – Área TI
A.17.1.1 - Planeación de la
continuidad de la seguridad
de la información
Ver plan
de acción
fase 5.1
No se encontró un enfoque formal
para determinar el cumplimiento y
conformidad de requisitos del SGSI.
Visita a sitio – Área TI
A.18.1.1 – Identificar
requisitos legales y
contractuales aplicables
Ver plan
de acción
fase 1.4
No se encontró identificación,
determinación, seguimiento y control
de cumplimiento y conformidad de
requisitos del SGSI.
Visita a sitio – Área TI
A.18.1.1 – Identificar
requisitos legales y
contractuales aplicables
Ver plan
de acción
fase 1.4
8.3 Oportunidad de mejora
ASPECTO OBSERVACIÓN
6.1 Acciones para atender riesgos
y oportunidades
Fortalecer los esquemas de parametrización de probabilidad
Fortalecer los esquemas de parametrización de impacto
Unificar y asegurar la alineación de términos y definiciones con
estándares reconocidos en riesgos y seguridad de la información
Incorporar mecanismos de control de transferencia física de medios
para información en soporte físico / analógico conforme a la Ley
General de Archivo y la Ley de Transparencia
A.6.1.1 - Roles y responsabilidades
de la seguridad de la información.
Ver ISO 27001:2013 5.3
15. 15
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
ASPECTO OBSERVACIÓN
A.7.1.2 - Términos y condiciones
para el empleo.
Asegurar que las políticas correspondan al riesgo propio de cada
rol
A.8.1.2 - Propiedad de los activos
Fortalecer la relación entre propietarios de activos, el proceso a
cargo, la autoridad, roles y responsabilidad (demostrada) para cada
activo
A.8.1.3 - Uso aceptable de los
activos
Asegurar que la definición de uso aceptable de activos contemple
como esos activos (y su uso) contribuyen al logro de los objetivos
de la organización
A.8.3.2 - Eliminación de medios
Asegurar que la eliminación de medios está definida tanto para
medios de información en soporte digital como analógico/físico.
A.8.3.3 - Transferencia física de
medios
Formalizar los mecanismos de transporte interno (en la institución)
A.9.1.1 - Política de control de
acceso
Aplicar las buenas prácticas definidas en la norma NTC ISO IEC
27002:2013
A.9.1.2 - Acceso a redes y
servicios de red
Mejorar el proceso al incorporar los elementos y roles del catálogo
de servicios de TI D-TI-01 al incluir las actividades de control de
verificación de roles
A.9.2.4 - Gestión de información
secreta de autenticación de
usuarios
Examinar las ventajas de definir un estándar de contraseñas para
usuarios de administración de TI con reglas más fuertes
A.12.1.2 - Gestión del cambio Mejorar los procesos de cierre de los cambios.
A.12.5.1 - Instalación de software
en sistemas en producción.
Fortalecer la distribución y aprendizaje de las lecciones aprendidas.
A.12.6.1 - Gestión de
vulnerabilidades técnicas.
Fortalecer la periodicidad de la ejecución de pruebas de
vulnerabilidades ya que solo se ejecutan bajo pedido o cuando se
liberan nuevas versiones de software, pero se deberían realizar
pruebas de vulnerabilidades técnicas a intervalos planificados o
cuando ocurran cambios que puedan afectar a la seguridad de la
información.
A.12.7.1 - Control de auditoría
sistemas de información.
Fortalecer el conocimiento del equipo auditor de control interno en
técnicas de auditoria en seguridad informática y auditoria de
sistemas.
Asegurar un control estricto al uso de formatos de auditoria para
evitar modificación de documentos controlados del sistema.
A.14.1.2 - Aseguramiento de
servicios de aplicaciones en redes
públicas.
Fortalecer el proceso mediante mejores controles en la salida a
producción de las nuevas versiones y el uso de software de análisis
estático y análisis dinámico de código fuente para determinar
vulnerabilidades como: Apuntadores huérfanos, Buffer Overflow,
inadecuadas prácticas en gestión de configuración de variables.
A.14.2.1 - Política de desarrollo
seguro.
Fortalecer el proceso con herramientas de versionamiento de
software final
Verificar la política de seguridad en el desarrollo de software,
identificando que controles aún son necesarios y que nuevos
controles deben ser incorporados a los proceso de desarrollo de
software.
A.14.2.8 - Prueba de seguridad de
los sistemas.
Las pruebas se aplican antes de la liberación de nuevas versiones
pero también se deberían ejecutar a intervalos planificados como
respuesta preventiva a cambios introducidos en el software.
16. 16
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
ASPECTO OBSERVACIÓN
A.14.3.1 - Protección de datos de
prueba.
Asegurar que dentro de los procesos de ciclo de vida del software
se consideren etapas de construcción de datos de prueba para
evitar el uso de datos reales.
A.16.1.4 - Evaluación y decisiones
en eventos de seguridad de la
información.
Mejorar los procesos de evaluación de incidentes e informes
mediante la aplicación de estándares de evaluación de impacto de
eventos a través del tiempo requerido o utilizado para atender
incidentes de seguridad.
A.16.1.6 - Aprendizaje de los
incidentes de seguridad de la
información.
Asegurar que se realiza la distribución de las lecciones aprendidas
generadas por los cambios.
Adicionalmente,
1) Mejorar los procesos de arquitectura empresarial para que todas las dependencias y
áreas de la Entidad aprovechen la infraestructura de TI.
2) Mejorar la documentación del sistema de gestión de servicios de tecnología (ITIL) para
adecuarla a las verdaderas capacidades institucionales y no a estados ideales teóricos.
9. CONCLUSIONES DE LA AUDITORIA
Evaluado el proceso de TI como alcance (temporal) del Sistema de Gestión de Seguridad de la
Información conforme a la norma técnica ISO/IEC 27001:2013 se concluye que:
1. Existe una fuerte gestión tecnológica de la información, con énfasis en lo informático,
basada en medios y tecnología de punta, que le permite a la institución responder (en
mayor medida y con seguridad razonable) a los retos y amenazas actuales del entorno;
2. El Sistema de Gestión de Seguridad de la Información está en sus fases tempranas
(conceptualización y diseño) con avances en su implementación derivados de la
fortaleza tecnológica de la institución.
3. Existen problemas de enfoque técnico y metodológico en la guía de identificación,
análisis, valoración y tratamiento de riesgos, incluyendo la trazabilidad riesgo - control.
La gestión de riesgos es la base (y núcleo) del Sistema de Gestión de Seguridad de la
Información.
4. En cuando a la capacidad de recuperación ante la ocurrencia de incidentes catastróficos,
la entidad cuenta con una avanzada infraestructura tecnológica que incluye respaldos
aplicables pero es necesario fortalecer los procesos (y personal relacionado) que
permitan asegurar esa recuperación.
17. 17
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
10. PLAN DE ACCIÓN SUGERIDO
FASE ACTIVIDADES
MES
1 2 3 4 5 6 7 8 9 10 11
1. ANÁLISIS DE
LA ENTIDAD
1.1. Plan levantamiento de información
1.2. Análisis institucional.
- Estructura orgánica organizacional.
- Procesos y procedimientos.
- Controles enunciados y operativos.
- Funciones y competencias.
- Sistemas de gestión.
- Planeación estratégica.
- Políticas sectoriales e internas.
- Tablas de retención documental.
- Acuerdos de servicio.
- Gestión de proyectos.
1.3. Análisis de mejora continua.
- Auditorías (internas y externas).
- Materialización eventos de riesgo
(ámbito: información).
- Planes de mejoramiento.
1.4. Contexto, Cumplimiento y conformidad.
- Identificación de partes interesadas
- Requisitos legales y regulatorios.
- Objetivos y metas de seguridad.
- Obligaciones contractuales.
2. ANÁLISIS DE
INFORMACIÓN
- ISO 27002
- ISO 27004
2.1. Inventario y clasificación de activos de
información y sus responsables.
2.2. Tercerización de procesos.
2.3. Identificación de interfaces.
2.4. Reglas de uso aceptable de activos.
2.5. Gestión de medios y soportes.
3. ANÁLISIS DEL
RIESGO
- ISO 27004
- ISO 27005
- ISO 31000
3.1. Definición marco metodológico.
3.2. Examen unitario de vulnerabilidad y
ocurrencia de eventos/incidentes.
3.3. Inventario de consecuencias y su
calificación según grado de impacto.
3.4. Mapa fuentes riesgo y amenazas.
3.5. Determinación factores de riesgo.
3.6. Diseño criterios aceptación del riesgo.
3.7. Esquema calificado de riesgo.
3.8. Identificación de controles.
3.9. Acciones de tratamiento para el riesgo.
3.10.Declaración de aplicabilidad.
18. 18
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
FASE ACTIVIDADES
MES
1 2 3 4 5 6 7 8 9 10 11
4. DISEÑO DEL
SISTEMA DE
GESTION DE
SEGURIDAD DE
INFORMACION
(ISMS)
- ISO 27001
- ISO 27002
4.1. Determinación del alcance del SGSI
4.2. Formulación estratégica (Políticas,
objetivos, alcance y exclusiones).
4.3. Creación del comité de seguridad.
4.4. Definición reglas de uso aceptable de
información y recursos asociados.
4.5. Inclusión de procedimientos específicos la
industria de software.
4.6. Documentación Sistema de gestión de
seguridad de información (ISMS).
4.7. Diseño de métricas (indicadores) (cuadro
de mando integral).
4.8. Acuerdos en gestión segura de información
5. DISEÑO DE LA
ARQUITECTURA
DE SEGURIDAD
5.1. Arquitectura de seguridad informática:
- Orientación al cumplimiento.
- Actualización y fortalecimiento.
- Diseño de esquemas operativos
- Proyectos de información y/o TI.
- Teletrabajo y dispositivos móviles.
- Desarrollo/mantenimiento de tecnologías.
- Gestión de la capacidad.
- Continuidad del negocio.
5.2. Plan priorizado de remediación.
- Determinación Autoridades, roles y
responsabilidades (RACI)
- Mejora en la documentación.
5.3. Plan de manejo de incidentes.
6. FORMACIÓN
ISO 27001
6.1. Formación auditores internos en sistemas
de gestión de seguridad de la información
ISO/IEC 27001:2013
6.2. Formación general al talento humano en
temas clave del SGSI
7. PUESTA EN
MARCHA Y
MONITOREO
7.1. Implementación del ISMS.
7.2. Monitoreo y supervisión.
- Riesgos y Controles
- Vulnerabilidades y debilidades
- Incidentes y su respuesta
7.3. Análisis de hallazgos (alta dirección)
7.4. Planeación, Implementación y seguimiento
a acciones de mejora
8. MEJORA
CONTINUA
8.1. Auditoría interna.
8.2. Acompañamiento en el análisis y
tratamiento de No Conformidades.
8.3. Acompañamiento en la revisión por la
dirección
8.4. Certificación LL-C (por IMS Global SAS)
19. 19
INFORME DE AUDITORIA INTERNA DE
GESTIÓN
Proceso asociado: Evaluación, Control y Mejoramiento
DOCUMENTACION BASE DE UN SGSI
Un Sistema de Gestión de Seguridad de la Información tiene como información documentada
básica la siguiente estructura:
1. Alcance
2. Políticas
3. Objetivos (SGSI), planes para alcanzarlos y su monitoreo/medición
4. Gestión de Riesgos (identificación, análisis y tratamiento)
5. Declaración de Aplicabilidad
6. Partes interesadas y requisitos
7. Gestión de activos así como reglas y principios relacionados
8. Procedimientos de control operativo
9. Programa de auditorías y auditorías
10. Operatividad de la mejora continua
11. Revisión por la dirección
12. Aseguramiento de competencias
13. Gestión de incidentes
14. Gestión de la continuidad del negocio
Otros documentos adicionales son ya los operacionales que garanticen la funcionalidad y
eficacia del Sistema de Gestión de Seguridad de la Información. De igual manera, se espera
que existan documentos relacionados con la operatividad de la mejora continua.
EQUIPO AUDITOR:
Ing. Juan Carlos Angarita C., M.E.
jcangarita@imsimprove.com
Cel. +57 3172514001
Skype. Jcangarita
Ing. Juan Carlos Alarcón S., M.E.
juan.alarcon.suescun@gmail.com
Cel. +57 3125216640