Informe de auditora interna

Sistema de Gestin de Seguridad de la Informacin

ISO/IEC 27001:2013

Bogot D.C. Diciembre de 2016

 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

TABLA DE CONTENIDO

1. OBJETIVO DE LA AUDITORIA ----------------------------------------------------------------- 3

2. ALCANCE DE LA AUDITORIA------------------------------------------------------------------ 3
3. PROCESO AUDITADO ---------------------------------------------------------------------------- 3
4. MARCO LEGAL O ANTECEDENTES --------------------------------------------------------- 3
5. ASPECTOS GENERALES------------------------------------------------------------------------ 5
6. DESARROLLO DE LA AUDITORIA ----------------------------------------------------------- 6
7. EVALUACIN DE LAS MEJORAS ------------------------------------------------------------ 6
8. RESULTADOS DE LA AUDITORIA ----------------------------------------------------------- 7
9. CONCLUSIONES DE LA AUDITORIA ------------------------------------------------------- 16
10. PLAN DE ACCIN SUGERIDO-------------------------------------------------------------- 17

2
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

1. OBJETIVO DE LA AUDITORIA

Evaluar el Sistema de gestin de seguridad de la informacin en su alcance temporal1

correspondiente al PROCESO DE TI del Departamento Administrativo de la Presidencia de la
Repblica DAPRE conforme a los requisitos de la norma ISO/IEC 27001:2013 (criterio de
auditora).

1.1 Objetivos Especficos

1. Evaluar la conformidad del sistema de gestin de seguridad de la informacin en su

alcance PROCESO DE TI.

2. Determinar oportunidades de mejora.

3. Establecer un esquema recomendado de trabajo para la organizacin para la eficaz

implementacin del sistema de gestin de seguridad de la informacin en su alcance
PROCESO DE TI.

2. ALCANCE DE LA AUDITORIA

El alcance se defini para el sistema de gestin de seguridad de la informacin relativo al

PROCESO DE TI

3. PROCESO AUDITADO

Tecnologa de Informacin y Comunicaciones

4. MARCO LEGAL O ANTECEDENTES

Constitucin Poltica. Artculo 15. Reconoce como Derecho Fundamental el Habeas Data;
Artculo 20. Libertad de Informacin.

Ley 527 de 1999. Por medio de la cual se define y se reglamenta el acceso y uso de los
mensajes de datos, comercio electrnico y de las firmas digitales, y se establecen las
entidades de certificacin y se dictan otras disposiciones

Ley 594 de 2000. Ley General de Archivo

1 Se defini alcance temporal para viabilizar la auditora ante la ausencia de un alcance definido y aprobado.
3
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

Ley 962 de 2005. Simplificacin y Racionalizacin de Trmite. Atributos de seguridad en la

informacin electrnica de entidades pblicas;

Ley 1150 de 2007. Seguridad de la informacin electrnica en contratacin en lnea

Ley 1266 de 2008. Por la cual se dictan las disposiciones generales del Hbeas Data y se
regula el manejo de la informacin contenida en bases de datos personales, en especial la
financiera, crediticia, comercial, de servicios y la proveniente de terceros pases

Ley 1273 de 2009. Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien
jurdico tutelado denominado de la proteccin de la informacin y de los datos y se
preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las
comunicaciones, entre otras disposiciones. Art. 199. Espionaje; Art. 258. Utilizacin indebida
de informacin; Art. 418. Revelacin de Secreto; Art. 419. Utilizacin de asunto sometido a
secreto o reserva; Art. 420. Utilizacin indebida de informacin oficial; Artculo 431. Utilizacin
indebida de informacin obtenida en el ejercicio de la funcin pblica; Artculo 463. Espionaje.

Ley 1341 de 2009. Tecnologas de la Informacin y aplicacin de seguridad.

Ley 1437 de 2011. Procedimiento Administrativo y aplicacin de criterios de seguridad.

Ley 1480 de 2011. Proteccin al consumidor por medios electrnicos. Seguridad en

transacciones electrnicas.

Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la Proteccin de Datos
Personales.

Decreto Ley 019 de 2012. Racionalizacin de trmites a travs de medios electrnicos.

Criterio de seguridad.

Ley 1621 de 2013. Por medio de la cual se expiden normas para fortalecer el marco jurdico
que permite a los organismos que llevan a cabo actividades de inteligencia y
contrainteligencia cumplir con su misin constitucional y legal y se dictan otras disposiciones.

Ley 1712 de 2014. Por medio de la cual se crea la ley de transparencia y del derecho de
acceso a la informacin pblica nacional y se dictan otras disposiciones.

Decreto 1727 de 2009. Por el cual se determina la forma en la cual los operadores de los
bancos de datos de informacin financiera, crediticia, comercial, de servicios y la proveniente
de terceros pases, deben presentar la informacin de los titulares de la informacin

Decreto 2952 de 2010. Por el cual se reglamentan los artculos 12 y 13 de la Ley 1266 de
2008

Decreto 2364 de 2012. Firma electrnica

Decreto 2609 de 2012. Expediente electrnico

4
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

Decreto 2693 de 2012. Gobierno electrnico

Decreto 1377 de 2013. Por el cual se reglamenta parcialmente la Ley 1581 de 2012

Decreto 1510 de 2013. Contratacin pblica electrnica

Decreto 886 de 2014. Por el cual se reglamenta el artculo 25 de la Ley 1581 de 2012

Decreto 1083 de 2015. Por el cual se reglamenta el artculo 25 de la Ley 1581 de 2012

Decreto 415 de 2016. Por el cual se reglamenta el artculo 25 de la Ley 1581 de 201
definicin de los lineamientos para el fortalecimiento institucional en materia de tecnologas
de la informacin y las comunicaciones

Poltica Pblica: CONPES 3701 de 2011 Lineamientos de Poltica para Ciberseguridad y

Ciberdefensa, CONPES 3854 de 2016 Poltica Nacional de Seguridad digital.

5. ASPECTOS GENERALES

5.1 Trminos del Informe

Se utilizar para el presente Informe, los trminos y definiciones establecidos en el Manual de

Auditora Interna (M-EM-01), los cuales deben ser tenidos en cuenta para su entendimiento y
posterior formulacin de los planes de mejoramiento, a saber:

No Conformidad Real NCR: Incumplimiento de un requisito legal, tcnico, de

organizacin o de un cliente (y en general cualquier parte interesada). Se constituye
cuando existe evidencia objetiva del incumplimiento.

No Conformidad Potencial NCP: Hecho o situacin que podra generar el

incumplimiento de un requisito legal, tcnico, de la organizacin o del cliente. Se
constituye como una Observacin.

Oportunidad de Mejora OM: Accin para mejorar un procedimiento, proceso o

actividad. Se constituye como una Recomendacin.

5.2 Responsabilidad

Es responsabilidad del auditor la planeacin de los procesos a ser auditados en el Departamento

Administrativo de la Presidencia de la Repblica, en el marco del Objetivo General.

5
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

La informacin tomada para la elaboracin del presente informe y durante el ejercicio de la visita,
fue proporcionada bajo la estricta responsabilidad de los funcionarios de las dependencias
relacionadas en el alcance, as como de la consulta efectuada en el aplicativo SIGOB.

Por ltimo, es responsabilidad del equipo auditor producir un informe objetivo que refleje los
resultados del proceso auditor, observaciones y/o recomendaciones, en cumplimento de los
objetivos propuestos para la misma.

5.3 Plan General de Auditoria

El equipo auditor estableci plan de auditora que fue remitido a la Oficina de Control Interno de
Gestin y consecuentemente a las reas participantes del proceso de auditora. Ver Anexo.

Con base en el plan, el equipo de auditora, mediante muestreo, examin la conformidad actual
del Sistema de Gestin de Seguridad de la Informacin (SGSI) del Departamento Administrativo
de la Presidencia de la Republica frente a los requisitos de la norma tcnica internacional
ISO/IEC 27001:2013 a manera de criterio de auditora.

Frente a lo anterior, y una vez evaluados los documentos solicitados as como los disponibles
en los aplicativos de la Entidad, se presentan los siguientes resultados (Conformidades, No
conformidades y Oportunidades de Mejora).

6. DESARROLLO DE LA AUDITORIA

La auditora se llev a cabo conforme a lo establecido en el plan de auditora, tanto en su

programacin como en la participacin del equipo de auditora. El desarrollo se plasma en el
formato Plan Detallado de Auditoria. Ver Anexo.

El clculo de tiempo fue adecuado para dar cobertura completa al alcance (temporal) definido
para el desarrollo de esta auditora.

No se presentaron riesgos de auditora.

7. EVALUACIN DE LAS MEJORAS

Dado que sta es la primera auditora interna formal al Sistema de Gestin de Seguridad de la
Informacin (SGSI) del Departamento Administrativo de la Presidencia de la Republica, en el
proceso indicado (Proceso de TI), ni se han realizado acciones formales de mejora (utilizando
las herramientas provistas por el Sistema de Gestin de Seguridad de la Informacin) no aplica
esta seccin.

6
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

8. RESULTADOS DE LA AUDITORIA

8.1 Aspectos conformes fortalezas del SGSI

1) Se tiene un compromiso decidido de la alta direccin hacia la seguridad de la informacin

actualmente expresada en infraestructura tecnolgica y en las bases del sistema de
gestin de seguridad de la informacin as como de riesgos.
2) Se cuenta con un talento humano altamente calificado y muy comprometido con las
labores de gestin de seguridad.
3) Se cuenta con una infraestructura slida, redundante, tolerante a fallos y pertinente a los
propsitos y objetivos institucionales.
4) La infraestructura de seguridad es consistente con el nivel de riesgo al que puede estar
expuesta la entidad por su misma naturaleza.
5) El nivel de estandarizacin de recursos y herramienta facilita la gestin de servicios,
reduce riesgos de incompatibilidad y mejora la integracin de informacin sobre eventos
de seguridad y comportamiento de la plataforma.
6) Se cumple con los requerimientos de la Ley de Transparencia y Acceso a la Informacin,
as como con los criterios impuestos por la Ley de Proteccin de Datos Personales.
7) Los centros de cmputo son seguros, responden a los requisitos de las normas tcnicas
nacionales (RETIE) y requisitos de seguridad de estndar ISO 27001 y ANSI/TIA 942.
8) La infraestructura de seguridad se ajusta a un modelo de proteccin tipo defensa en
profundidad con capas especializadas superpuestas que mitigan eventos de seguridad.
9) La gestin de solicitudes y mesa de ayuda cumple con los requisitos funcionales de
negocio.

8.2 Aspectos no conformes

La formulacin de no conformidades sigue lo especificado en el Manual de Auditoras Internas

de junio de 2015 del DAPRE:

1. Descripcin 2. Evidencia 3. Requisito

del Problema Objetiva que Incumple

Cul es el requisito Son los registros, declaraciones Captulo, Clusula o

Incumplido con de hechos o informacin que son tem incumplido
Respecto a los Criterios pertinentes y verificables para los relacionado con los
de Auditora? Criterios de Auditoria Criterios de Auditora

7
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

PROBLEMA EVIDENCIA REQUISITO ACCION

No se encontr referencia a las
Entrevista con el Asesor del 4.2 Entendiendo las Ver plan
partes interesadas ni al marco de
rea TI & SI, y Profesional necesidades y expectativas de accin
requisitos en materia de Seguridad
SGSI de las partes interesadas fase 1.4
de la Informacin.
Entrevista con el
No existe un alcance formalmente 4.3 Determinando el
representante del SGSI - Ver plan
definido (documentado) y el borrador alcance del sistema de
Jefe oficina del rea TI & SI; de accin
planteado corresponde a la definicin gestin de seguridad de la
Asesor del rea TI & SI; y fase 4.1
de alcance. informacin
Profesional SGSI
La poltica de SI en sus directrices no
incluye referencias al compromiso Entrevista con Asesor del Ver plan
hacia el cumplimiento de requisitos, rea TI & SI; y Profesional 5.2 Poltica de accin
hacia la mejora continua as como SGSI fase 4.2
hacia la gestin de riesgos.
Las polticas describen lineamientos
sobre tecnologa (marcas de equipos
Manual de polticas de Ver plan
mviles como BlackBerry) y
seguridad para las TIC 5.2 Poltica de accin
directrices sobre uso de la tecnologa,
cdigo M-TI-01 fase 4.2
que pueden afectar directrices de
neutralidad tecnolgica.
Si bien existe un manual de funciones
en la organizacin, no se evidencian
5.3 Roles,
autoridades, roles y Ver plan
responsabilidades y
responsabilidades en materia de Manual de Funciones de accin
autoridades en la
seguridad de la informacin y riesgos fase 5.2
organizacin
relacionados, incluyendo el reporte
de debilidades y vulnerabilidades.
El enfoque de riesgos (segn
Lineamiento de Ver plan
metodologa de la institucin) est 6.1 Acciones para atender
Administracin del Riesgo L- de accin
orientado al riesgo clsico (negativo) riesgos y oportunidades
DE-01 2016/05/27 V9. fase 3
sin considerar las oportunidades.
La identificacin de riesgos est
centrada en evento de riesgos (aun
cuando la gua lo trata como riesgo) y Lineamiento de Ver plan
6.1 Acciones para atender
sus causas hacen referencia a Administracin del Riesgo L- de accin
riesgos y oportunidades
efectos sobre personal o hallazgo de DE-01 2016/05/27 V9. fase 3
auditoria que sobre objetivos del
negocio.
La determinacin del impacto en el
anlisis de riesgos considera lo Lineamiento de Ver plan
6.1 Acciones para atender
propio a confidencialidad de la Administracin del Riesgo L- de accin
riesgos y oportunidades
informacin ms no hace referencia a DE-01 2016/05/27 V9. fase 3
la integridad y disponibilidad.
En el componente de valoracin de
riesgos no se encontr referencia a Lineamiento de Ver plan
6.1 Acciones para atender
los criterios de riesgos y la Administracin del Riesgo L- de accin
riesgos y oportunidades
comparacin a ser realizada entre los DE-01 2016/05/27 V9. fase 3
riesgos y los criterios aplicables.

8
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

PROBLEMA EVIDENCIA REQUISITO ACCION

No existen objetivos definidos
formalmente en materia de seguridad
de la informacin. El borrador de
objetivos presenta 4 posibles
objetivos pero stos no estn
alineados al desempeo o
cumplimiento / conformidad en los
requisitos.
Se encontraron documentos
obsoletos en uso.
Se examina registro de riesgos para
SGSI en el proceso de TI (5 riesgos).
No se realiza seguimiento, medicin
y evaluacin de riesgos en SGSI.
No se observa trazabilidad entre
mecanismos de tratamiento vs. los
riesgos que estn siendo atendidos.
No se encontr evidencia de
medicin, anlisis y supervisin del
desempeo de la seguridad de la
informacin y los objetivos
relacionados.
No se ha realizado revisin formal por
la direccin al SGSI.
Entrevista con el
representante del SGSI - 6.2 Objetivos de seguridad Ver plan
Jefe oficina del rea TI & SI; de la informacin y planes de accin
Asesor del rea TI & SI; y para alcanzarlos fase 4.2
Profesional SGSI
Durante la inspeccin de
registros de ingreso a reas
seguras se identificaron dos
Ver plan
formatos iguales pero con 7.5 Informacin
de accin
codificacin diferente: F-TI- documentada
fase 4.6
08 Project Chrter y F-TI-14
Bitcora de centro de
cmputo.
Muestra: Falta de
trazabilidad en las
actuaciones de los usuarios
finales. Se observan 6
efectos sin que se indique
cules de esos efectos
afectan (y como lo hacen) Ver plan
los O/N. En la escala 8.1 Planeacin y control de accin
afectada se tienen dos operacional fases
controles (capacitacin y 3 y 4.6
controles tecnolgicos) que
afectan tanto la probabilidad
e impacto. El control
Controles Tecnolgicos no
seala a que controles hace
referencia.
Lineamiento de 8.2 Evaluacin de riesgos Ver plan
Administracin del Riesgo L- en seguridad de la de accin
DE-01 2016/05/27 V9. informacin fase 3
Lineamiento de 8.3 Tratamiento de riesgos Ver plan
Administracin del Riesgo L- en seguridad de la de accin
DE-01 2016/05/27 V9. informacin fase 3
Entrevista con el
representante del SGSI - Ver plan
9.1 Supervisin, medicin,
Jefe oficina del rea TI & SI; de accin
anlisis y evaluacin
Asesor del rea TI & SI; y fase 8
Profesional SGSI
Entrevista con el
representante del SGSI - Ver plan
9.3 Revisin por la
Jefe oficina del rea TI & SI; de accin
direccin
Asesor del rea TI & SI; y fase 8
Profesional SGSI

9
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

PROBLEMA EVIDENCIA REQUISITO ACCION

Entrevista con el
No existen No conformidades (NC),
representante del SGSI - Ver plan
Acciones correctivas (AC), Acciones 10.1 No conformidades y
Jefe oficina del rea TI & SI; de accin
de mejora (AM) definidas para el acciones correctivas
Asesor del rea TI & SI; y fase 8.2
SGSI.
Profesional SGSI
La estructura actual de polticas
compila toda la coleccin de polticas
Manual de Polticas de A.5.1.1 - Polticas para la Ver plan
de manera indistinta a su aplicacin,
Seguridad para las TIC seguridad de la de accin
lo cual, adems de ser extenso,
cdigo M-TI-01 informacin fase 4.2
ofrece el riesgo de confusin a sus
lectores.
Entrevista con el
No se encuentra evidencia de Ver plan
representante del SGSI - A.5.1.2 - Revisin de las
revisin de polticas de seguridad de de accin
Jefe oficina del rea TI & SI; polticas para la seguridad
la informacin aun cuando existe una fases
Asesor del rea TI & SI; y de la informacin
nueva versin en estado borrador. 4.2 y 8
Profesional SGSI
Las tareas se segregan a partir de
Entrevista con el
buenas prcticas profesionales pero Ver plan
representante del SGSI - A.6.1.2 - Segregacin de
no se basan en un anlisis de riesgos de accin
Jefe oficina del rea TI & SI; tareas
que determine las necesidades de fase 5.2
Asesor del rea TI & SI.
segregacin.
No se encuentra evidencia sobre
cmo se gestiona la seguridad de la
Entrevista con el
informacin en los proyectos que A.6.1.5 - Seguridad de la Ver plan
representante del SGSI -
realiza la organizacin. El enfoque informacin en gestin de de accin
Jefe oficina del rea TI & SI;
metodolgico est basado en PMI? proyectos fase 5.1
Asesor del rea TI & SI.
pero no se menciona el enfoque
hacia la seguridad de la informacin.
Si bien se informa que no existe
Teletrabajo en la prctica se tiene Manual de Polticas de Ver plan
acceso a informacin desde equipos Seguridad para las TIC A.6.2.2 Teletrabajo de accin
celulares, incluyendo la generacin cdigo M-TI-01. fase 5.1
de Tokens.
En entrevista con el personal
del rea de Talento Humano
se reporta que no han
A.7.2.2 - Toma de
No se han realizado actividades de participado en ejercicios de
conciencia, educacin y Ver plan
formacin o toma de conciencia en el formacin o toma de
entrenamiento en de accin
ao 2016 en materia de Seguridad de conciencia en SI o SGSI en
seguridad de la fase 6
la Informacin. el ao 2016. La ltima
informacin
experiencia es del ao 2015
campaa denominada La
seguridad soy Yo
En entrevista con personal
del rea de control interno
Hay desconocimiento de procesos disciplinario se informa que Ver plan
A.7.2.3 - Proceso
pertinentes al proceso de control no se conoce al grupo de accin
disciplinario
interno disciplinario. CSIRT y no se tiene en fase 6
cuenta como posible fuente
de acciones disciplinarias
10

Proceso asociado: Evaluacin, Control y Mejoramiento
PROBLEMA
Dentro de las actividades de
terminacin o cambio en las
responsabilidades del empleo.
Se mezclan activos tecnolgicos con
activos de informacin.
No se han identificado con precisin
todos los activos de informacin de
todos los procesos de la Entidad.
Se han identificado reglas de uso de
activos que se encuentran mezcladas
con las polticas de seguridad de
informacin, lo que produce falta de
claridad sobre la diferencia entre
reglas y polticas.
Dentro de las actividades de
terminacin o cambio en las
responsabilidades del empleo no se
referencia lo pertinente a devolucin
de activos.
Se hace uso de clasificaciones de documento confidencial,
informacin no definidas.
INFORME DE AUDITORIA INTERNA DE
GESTIN
EVIDENCIA REQUISITO ACCION
Muestra: Asesor rea TTHH
Retiro por renuncia
2016/12/15
Mediante correo se le solicita
declaracin de bienes y
rentas, formato de entrega
de actividades del contrato,
carn o su denuncia, formato A.7.3.1 - Terminacin o
Ver plan
de activos fijos, orden de cambio en las
de accin
examen mdico. responsabilidades del
fase 5.2
No se solicita devolucin de empleo
posibles activos de
informacin en su poder
El software de nmina
produce rdenes
automticas para el rea de
TI para activar o desactivas
los derechos a los usuarios.
Entrevista con el
representante del SGSI - Ver plan
A.8.1.1 - Inventario de
Jefe oficina del rea TI & SI; de accin
activos
Asesor del rea TI & SI; y fase 2
Profesional SGSI
Entrevista con el
representante del SGSI - Ver plan
A.8.1.1 - Inventario de
Jefe oficina del rea TI & SI; de accin
activos
Asesor del rea TI & SI; y fase 2
Profesional SGSI
Manual de polticas de Ver plan
A.8.1.3 - Uso aceptable de
seguridad para las TIC de accin
los activos
cdigo M-TI-01 fase 2
Muestra: Asesor rea de
Talento Humano
Retiro por renuncia
2016/12/15. Mediante correo
Ver plan
se le solicita declaracin de A.8.1.4 - Devolucin de
de accin
bienes y rentas, entrega de activos
fase 2
actividades del contrato,
carn o denuncia, formato
de activos fijos, orden de
examen mdico.
Se hace uso de terminologa
Ver plan
A.8.2.1 - Clasificacin de la
de accin
clasificacin que no ha sido informacin
fase 2
definida por la entidad.
11
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

PROBLEMA EVIDENCIA REQUISITO ACCION

Asegurar que la clasificacin de la Entrevista con el
informacin considere requisitos representante del SGSI - Ver plan
A.8.2.1 - Clasificacin de la
jurdicos, valor organizacional, Jefe oficina del rea TI & SI; de accin
informacin
criticidad y que tan sensible es esa Asesor del rea TI & SI; y fase 2
informacin. Profesional SGSI
Entrevista con el
El procedimiento de clasificacin de
representante del SGSI - Ver plan
la informacin no establece A.8.2.2 - Etiquetado de la
Jefe oficina del rea TI & SI; de accin
esquemas de etiquetado de la informacin
Asesor del rea TI & SI; y fase 2
informacin.
Profesional SGSI
Entrevista con el
No se encontraron procedimientos representante del SGSI - Ver plan
para manejo de activos segn la Jefe oficina del rea TI & SI; A.8.2.3 - Manejo de activos de accin
clasificacin de activos. Asesor del rea TI & SI; y fase 2
Profesional SGSI
Entrevista con el
representante del SGSI - Ver plan
No se encontraron procedimientos A.8.3.2 - Eliminacin de
Jefe oficina del rea TI & SI; de accin
formales para eliminacin de medios. medios
Asesor del rea TI & SI; y fase 2
Profesional SGSI
Se hace nfasis en componentes de
tecnologa y no cuenta con
descripciones asociadas a permisos Manual de Polticas de Ver plan
A.9.1.1 - Poltica de control
de acceso a la informacin de Seguridad para las TIC de accin
de acceso
acuerdo con los esquemas de cdigo M-TI-01. fase 4.2
clasificacin adoptados por la
Entidad.
Los derechos de acceso de los
usuarios se verifican antes de la
asignacin de la cuenta, pero no se
encontr evidencia de una proceso A.9.2.5 - Revisin de Ver plan
de revisin peridica de derechos de Visita a sitio rea TI derecho de acceso de los de accin
acceso, por ejemplo durante las usuarios fase 4.2
auditorias de seguridad o cuando se
realicen pruebas de anlisis de
vulnerabilidades.
Entrevista con el
A.9.2.6 - Remocin o Ver plan
No se evidencia la mejora continua representante del SGSI -
ajuste de derechos de de accin
aplicada a la gestin de acceso. Jefe oficina del rea TI & SI;
acceso fase 4.2
Asesor del rea TI & SI
Los procesos de relase y
deployment de nuevas versiones A.9.4.5 - Control de acceso Ver plan
exponen el cdigo fuente una vez el Visita a sitio rea TI al cdigo fuente de las de accin
cdigo fuente ha superado las aplicaciones fase 5.1
pruebas funcionales y de seguridad.
La poltica de controles criptogrficos
Manual de polticas de Ver plan
no describe las decisiones que ha A.10.1.1 - Poltica de uso
seguridad para las TIC de accin
adoptado la entidad en materia de de controles criptogrficos
cdigo M-TI-01 fase 4.2
criptografa.
12
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

PROBLEMA EVIDENCIA REQUISITO ACCION

No se cuenta an con una poltica
Manual de polticas de Ver plan
clara de gestin de llaves A.10.1.2 - Gestin de
seguridad para las TIC de accin
criptogrficas aunque se usan claves
cdigo M-TI-01 fase 4.2
diversos controles criptogrficos.
Durante las inspecciones a
centro de datos, se Ver plan
Los controles de trabajo en reas A.11.1.5 - Trabajo en reas
presentaron olvidos en el de accin
seguras no son siempre aplicados. seguras
diligenciamiento de firma de fase 5.1
salida de visitantes.
Prueba de retiro de un
equipo S/N 88224 realizada
en forma exitosa por el
Los controles de remocin de activos
equipo de auditoria Ver plan
no siempre son eficaces pues A.11.2.5 - Remocin de
Se tiene un procedimiento de accin
permiten el retiro no autorizado de activos
de retiro de equipos y una fase 5.1
equipos de TI.
aplicacin para control del
retiro de equipos de
propiedad de la Entidad.
No se identific evidencia de Prueba de retiro de un
A.11.2.6 - Seguridad de Ver plan
recomendaciones de seguridad para equipo S/N 88224 realizada
equipos y activos fuera de de accin
equipos de la entidad que sean en forma exitosa por el
su sitio fase 5.1
retirados de las dependencias. equipo de auditoria
Est documentado un Ver plan
No realiza a intervalos planificados A.12.1.3 - Gestin de la
procedimiento de gestin de de accin
gestin de la capacidad. capacidad
capacidad la entidad fase 5.1
Si bien las pruebas se realizan, es el
Manual de Polticas de A.12.3.1 - Backup (copia Ver plan
software de copia de respaldo y no
Seguridad para las TIC de respaldo) de la de accin
los operadores quienes realizan
cdigo M-TI-01 informacin fase 5.1
verificacin de respaldos.
El manual de polticas de seguridad
no es preciso en identificar y El Manual de Polticas de A.13.2.1 - Polticas y
Ver plan
establecer principios sobre la Seguridad (Seccin 4.1 del procedimientos para la
de accin
transferencia de archivos e manual de polticas de transferencia de
fase 4.2
informacin (analgica/fsica y seguridad) informacin
digital).
A.13.2.2 - Acuerdos en la Ver plan
No se encontr evidencia concreta de
Visita a sitio rea TI transferencia de de accin
este control.
informacin fase 4.8
Existen controles que la entidad
documenta como obligatorios en sus A.14.1.2 - Aseguramiento
Ver plan
polticas, pero no se est cumpliendo Seccin 4.1.24 del manual de servicios de
de accin
en todos los casos como: de polticas de seguridad aplicaciones en redes
fase 5.1
registrar el software en la direccin pblicas
general de derechos de autor.
No se encontraron evidencias de A.14.2.3 - Revisin tcnica
Ver plan
pruebas de anlisis de de aplicaciones luego de
Visita a sitio rea TI de accin
vulnerabilidades despus de cambios cambios en plataformas de
fase 7.2
en sistemas operacionales. produccin

13

Proceso asociado: Evaluacin, Control y Mejoramiento
PROBLEMA
Aunque se aplican principios y
prcticas de seguridad, no se estn
sustentando las decisiones sobre la
base de la identificacin de riesgos
de seguridad.
No se cuenta con un conjunto de
datos de prueba preparados
especficamente para evitar
divulgacin de informacin no
autorizada.
En los contratos con personal y
contratistas no se observan
instrucciones en materia de manejo
de reportes de debilidades y
vulnerabilidades.
En los contratos con personal y
contratistas no se observan
instrucciones en materia de manejo
de reportes de debilidades y
vulnerabilidades.
No se encontr evidencia formal que
sustente las decisiones de
infraestructura de TI que se han
adoptado.
No se encontr evidencia de un plan
formal de continuidad de negocio,
pero toda la infraestructura en
tolerantes a fallas.
No se encontr un enfoque formal
para determinar el cumplimiento y
conformidad de requisitos del SGSI.
No se encontr identificacin,
determinacin, seguimiento y control
de cumplimiento y conformidad de
requisitos del SGSI.
8.3 Oportunidad de mejora
ASPECTO
6.1 Acciones para atender riesgos
y oportunidades
A.6.1.1 - Roles y responsabilidades
de la seguridad de la informacin.
INFORME DE AUDITORIA INTERNA DE
GESTIN
EVIDENCIA REQUISITO ACCION
Lineamiento de A.14.2.5 - Principios de la Ver plan
Administracin del Riesgo L- ingeniera de sistemas de accin
DE-01 2016/05/27 V9. seguros fase 5.1
Ver plan
A.14.3.1 - Proteccin de
Visita a sitio rea TI de accin
datos de prueba
fase 5.1
Entrevista: rea Talento
Humano, Coordinadora A.16.1.2 - Reporte de Ver plan
grupo vinculaciones. eventos de seguridad de la de accin
Muestra: Funcionario informacin fase 7.1
Vinculada 2016/12/02.
Entrevista: rea Talento
Humano, Coordinadora A.16.1.3 - Reporte de Ver plan
grupo vinculaciones. debilidades en la seguridad de accin
Muestra: Funcionario de la informacin fase 7.1
Vinculada 2016/12/02.
A.17.1.1 - Planeacin de la Ver plan
Visita a sitio rea TI continuidad de la seguridad de accin
de la informacin fase 5.1
A.17.1.1 - Planeacin de la Ver plan
Visita a sitio rea TI continuidad de la seguridad de accin
de la informacin fase 5.1
A.18.1.1 Identificar Ver plan
Visita a sitio rea TI requisitos legales y de accin
contractuales aplicables fase 1.4
A.18.1.1 Identificar Ver plan
Visita a sitio rea TI requisitos legales y de accin
contractuales aplicables fase 1.4
OBSERVACIN
Fortalecer los esquemas de parametrizacin de probabilidad
Fortalecer los esquemas de parametrizacin de impacto
Unificar y asegurar la alineacin de trminos y definiciones con
estndares reconocidos en riesgos y seguridad de la informacin
Incorporar mecanismos de control de transferencia fsica de medios
para informacin en soporte fsico / analgico conforme a la Ley
General de Archivo y la Ley de Transparencia
Ver ISO 27001:2013 5.3
14

Proceso asociado: Evaluacin, Control y Mejoramiento
ASPECTO
A.7.1.2 - Trminos y condiciones
para el empleo.
A.8.1.2 - Propiedad de los activos
A.8.1.3 - Uso aceptable de los
activos
A.8.3.2 - Eliminacin de medios
A.8.3.3 - Transferencia fsica de
medios
A.9.1.1 - Poltica de control de
acceso
A.9.1.2 - Acceso a redes y
servicios de red
A.9.2.4 - Gestin de informacin
secreta de autenticacin de
usuarios
A.12.1.2 - Gestin del cambio
A.12.5.1 - Instalacin de software
en sistemas en produccin.
A.12.6.1 - Gestin de
vulnerabilidades tcnicas.
A.12.7.1 - Control de auditora
sistemas de informacin.
A.14.1.2 - Aseguramiento de
servicios de aplicaciones en redes
pblicas.
A.14.2.1 - Poltica de desarrollo
seguro.
A.14.2.8 - Prueba de seguridad de
los sistemas.
INFORME DE AUDITORIA INTERNA DE
GESTIN
OBSERVACIN
Asegurar que las polticas correspondan al riesgo propio de cada
rol
Fortalecer la relacin entre propietarios de activos, el proceso a
cargo, la autoridad, roles y responsabilidad (demostrada) para cada
activo
Asegurar que la definicin de uso aceptable de activos contemple
como esos activos (y su uso) contribuyen al logro de los objetivos
de la organizacin
Asegurar que la eliminacin de medios est definida tanto para
medios de informacin en soporte digital como analgico/fsico.
Formalizar los mecanismos de transporte interno (en la institucin)
Aplicar las buenas prcticas definidas en la norma NTC ISO IEC
27002:2013
Mejorar el proceso al incorporar los elementos y roles del catlogo
de servicios de TI D-TI-01 al incluir las actividades de control de
verificacin de roles
Examinar las ventajas de definir un estndar de contraseas para
usuarios de administracin de TI con reglas ms fuertes
Mejorar los procesos de cierre de los cambios.
Fortalecer la distribucin y aprendizaje de las lecciones aprendidas.
Fortalecer la periodicidad de la ejecucin de pruebas de
vulnerabilidades ya que solo se ejecutan bajo pedido o cuando se
liberan nuevas versiones de software, pero se deberan realizar
pruebas de vulnerabilidades tcnicas a intervalos planificados o
cuando ocurran cambios que puedan afectar a la seguridad de la
informacin.
Fortalecer el conocimiento del equipo auditor de control interno en
tcnicas de auditoria en seguridad informtica y auditoria de
sistemas.
Asegurar un control estricto al uso de formatos de auditoria para
evitar modificacin de documentos controlados del sistema.
Fortalecer el proceso mediante mejores controles en la salida a
produccin de las nuevas versiones y el uso de software de anlisis
esttico y anlisis dinmico de cdigo fuente para determinar
vulnerabilidades como: Apuntadores hurfanos, Buffer Overflow,
inadecuadas prcticas en gestin de configuracin de variables.
Fortalecer el proceso con herramientas de versionamiento de
software final
Verificar la poltica de seguridad en el desarrollo de software,
identificando que controles an son necesarios y que nuevos
controles deben ser incorporados a los proceso de desarrollo de
software.
Las pruebas se aplican antes de la liberacin de nuevas versiones
pero tambin se deberan ejecutar a intervalos planificados como
respuesta preventiva a cambios introducidos en el software.
15
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

ASPECTO OBSERVACIN
Asegurar que dentro de los procesos de ciclo de vida del software
A.14.3.1 - Proteccin de datos de
se consideren etapas de construccin de datos de prueba para
prueba.
evitar el uso de datos reales.
Mejorar los procesos de evaluacin de incidentes e informes
A.16.1.4 - Evaluacin y decisiones
mediante la aplicacin de estndares de evaluacin de impacto de
en eventos de seguridad de la
eventos a travs del tiempo requerido o utilizado para atender
informacin.
incidentes de seguridad.
A.16.1.6 - Aprendizaje de los
Asegurar que se realiza la distribucin de las lecciones aprendidas
incidentes de seguridad de la
generadas por los cambios.
informacin.

Adicionalmente,

1) Mejorar los procesos de arquitectura empresarial para que todas las dependencias y
reas de la Entidad aprovechen la infraestructura de TI.
2) Mejorar la documentacin del sistema de gestin de servicios de tecnologa (ITIL) para
adecuarla a las verdaderas capacidades institucionales y no a estados ideales tericos.

9. CONCLUSIONES DE LA AUDITORIA

Evaluado el proceso de TI como alcance (temporal) del Sistema de Gestin de Seguridad de la

Informacin conforme a la norma tcnica ISO/IEC 27001:2013 se concluye que:

1. Existe una fuerte gestin tecnolgica de la informacin, con nfasis en lo informtico,

basada en medios y tecnologa de punta, que le permite a la institucin responder (en
mayor medida y con seguridad razonable) a los retos y amenazas actuales del entorno;

2. El Sistema de Gestin de Seguridad de la Informacin est en sus fases tempranas

(conceptualizacin y diseo) con avances en su implementacin derivados de la
fortaleza tecnolgica de la institucin.

3. Existen problemas de enfoque tcnico y metodolgico en la gua de identificacin,

anlisis, valoracin y tratamiento de riesgos, incluyendo la trazabilidad riesgo - control.
La gestin de riesgos es la base (y ncleo) del Sistema de Gestin de Seguridad de la
Informacin.

4. En cuando a la capacidad de recuperacin ante la ocurrencia de incidentes catastrficos,

la entidad cuenta con una avanzada infraestructura tecnolgica que incluye respaldos
aplicables pero es necesario fortalecer los procesos (y personal relacionado) que
permitan asegurar esa recuperacin.

16
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

10. PLAN DE ACCIN SUGERIDO

MES
FASE ACTIVIDADES
1 2 3 4 5 6 7 8 9 10 11
1. ANLISIS DE 1.1. Plan levantamiento de informacin
LA ENTIDAD 1.2. Anlisis institucional.
- Estructura orgnica organizacional.
- Procesos y procedimientos.
- Controles enunciados y operativos.
- Funciones y competencias.
- Sistemas de gestin.
- Planeacin estratgica.
- Polticas sectoriales e internas.
- Tablas de retencin documental.
- Acuerdos de servicio.
- Gestin de proyectos.
1.3. Anlisis de mejora continua.
- Auditoras (internas y externas).
- Materializacin eventos de riesgo
(mbito: informacin).
- Planes de mejoramiento.
1.4. Contexto, Cumplimiento y conformidad.
- Identificacin de partes interesadas
- Requisitos legales y regulatorios.
- Objetivos y metas de seguridad.
- Obligaciones contractuales.
2. ANLISIS DE 2.1. Inventario y clasificacin de activos de
INFORMACIN informacin y sus responsables.
2.2. Tercerizacin de procesos.
- ISO 27002 2.3. Identificacin de interfaces.
- ISO 27004 2.4. Reglas de uso aceptable de activos.
2.5. Gestin de medios y soportes.
3. ANLISIS DEL 3.1. Definicin marco metodolgico.
RIESGO 3.2. Examen unitario de vulnerabilidad y
ocurrencia de eventos/incidentes.
- ISO 27004 3.3. Inventario de consecuencias y su
- ISO 27005 calificacin segn grado de impacto.
- ISO 31000 3.4. Mapa fuentes riesgo y amenazas.
3.5. Determinacin factores de riesgo.
3.6. Diseo criterios aceptacin del riesgo.
3.7. Esquema calificado de riesgo.
3.8. Identificacin de controles.
3.9. Acciones de tratamiento para el riesgo.
3.10. Declaracin de aplicabilidad.

17
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

MES
FASE ACTIVIDADES
1 2 3 4 5 6 7 8 9 10 11
4. DISEO DEL 4.1. Determinacin del alcance del SGSI
SISTEMA DE 4.2. Formulacin estratgica (Polticas,
GESTION DE objetivos, alcance y exclusiones).
SEGURIDAD DE 4.3. Creacin del comit de seguridad.
INFORMACION 4.4. Definicin reglas de uso aceptable de
(ISMS) informacin y recursos asociados.
4.5. Inclusin de procedimientos especficos la
industria de software.
- ISO 27001 4.6. Documentacin Sistema de gestin de
- ISO 27002 seguridad de informacin (ISMS).
4.7. Diseo de mtricas (indicadores) (cuadro
de mando integral).
4.8. Acuerdos en gestin segura de informacin
5. DISEO DE LA 5.1. Arquitectura de seguridad informtica:
ARQUITECTURA - Orientacin al cumplimiento.
DE SEGURIDAD - Actualizacin y fortalecimiento.
- Diseo de esquemas operativos
- Proyectos de informacin y/o TI.
- Teletrabajo y dispositivos mviles.
- Desarrollo/mantenimiento de tecnologas.
- Gestin de la capacidad.
- Continuidad del negocio.
5.2. Plan priorizado de remediacin.
- Determinacin Autoridades, roles y
responsabilidades (RACI)
- Mejora en la documentacin.
5.3. Plan de manejo de incidentes.
6. FORMACIN 6.1. Formacin auditores internos en sistemas
ISO 27001 de gestin de seguridad de la informacin
ISO/IEC 27001:2013
6.2. Formacin general al talento humano en
temas clave del SGSI
7. PUESTA EN 7.1. Implementacin del ISMS.
MARCHA Y 7.2. Monitoreo y supervisin.
MONITOREO - Riesgos y Controles
- Vulnerabilidades y debilidades
- Incidentes y su respuesta
7.3. Anlisis de hallazgos (alta direccin)
7.4. Planeacin, Implementacin y seguimiento
a acciones de mejora
8. MEJORA 8.1. Auditora interna.
CONTINUA 8.2. Acompaamiento en el anlisis y
tratamiento de No Conformidades.
8.3. Acompaamiento en la revisin por la
direccin
8.4. Certificacin LL-C (por IMS Global SAS)

18
 INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento

DOCUMENTACION BASE DE UN SGSI

Un Sistema de Gestin de Seguridad de la Informacin tiene como informacin documentada

bsica la siguiente estructura:

1. Alcance
2. Polticas
3. Objetivos (SGSI), planes para alcanzarlos y su monitoreo/medicin
4. Gestin de Riesgos (identificacin, anlisis y tratamiento)
5. Declaracin de Aplicabilidad
6. Partes interesadas y requisitos
7. Gestin de activos as como reglas y principios relacionados
8. Procedimientos de control operativo
9. Programa de auditoras y auditoras
10. Operatividad de la mejora continua
11. Revisin por la direccin
12. Aseguramiento de competencias
13. Gestin de incidentes
14. Gestin de la continuidad del negocio

Otros documentos adicionales son ya los operacionales que garanticen la funcionalidad y

eficacia del Sistema de Gestin de Seguridad de la Informacin. De igual manera, se espera
que existan documentos relacionados con la operatividad de la mejora continua.

EQUIPO AUDITOR:

Ing. Juan Carlos Angarita C., M.E.

jcangarita@imsimprove.com
Cel. +57 3172514001
Skype. Jcangarita

Ing. Juan Carlos Alarcn S., M.E.

juan.alarcon.suescun@gmail.com
Cel. +57 3125216640

19