• Author / Uploaded
• mfrayssinet

• Categories
• Seguridad de información
• Planificación
• Contralor
• La seguridad
• Tecnología de información y comunicaciones

Citation preview

Informe de auditoría interna Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Bogotá D.C. Diciembre de 2016

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

TABLA DE CONTENIDO

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

OBJETIVO DE LA AUDITORIA ----------------------------------------------------------------- 3 ALCANCE DE LA AUDITORIA------------------------------------------------------------------ 3 PROCESO AUDITADO ---------------------------------------------------------------------------- 3 MARCO LEGAL O ANTECEDENTES --------------------------------------------------------- 3 ASPECTOS GENERALES------------------------------------------------------------------------ 5 DESARROLLO DE LA AUDITORIA ----------------------------------------------------------- 6 EVALUACIÓN DE LAS MEJORAS ------------------------------------------------------------ 6 RESULTADOS DE LA AUDITORIA ----------------------------------------------------------- 7 CONCLUSIONES DE LA AUDITORIA ------------------------------------------------------- 16 PLAN DE ACCIÓN SUGERIDO-------------------------------------------------------------- 17

2

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

1. OBJETIVO DE LA AUDITORIA Evaluar el Sistema de gestión de seguridad de la información en su alcance temporal1 correspondiente al PROCESO DE TI del Departamento Administrativo de la Presidencia de la República – DAPRE conforme a los requisitos de la norma ISO/IEC 27001:2013 (criterio de auditoría). 1.1 Objetivos Específicos 1. Evaluar la conformidad del sistema de gestión de seguridad de la información en su alcance “PROCESO DE TI”. 2. Determinar oportunidades de mejora. 3. Establecer un esquema recomendado de trabajo para la organización para la eficaz implementación del sistema de gestión de seguridad de la información en su alcance “PROCESO DE TI”.

2. ALCANCE DE LA AUDITORIA El alcance se definió para el sistema de gestión de seguridad de la información relativo al “PROCESO DE TI”

3. PROCESO AUDITADO Tecnología de Información y Comunicaciones 4. MARCO LEGAL O ANTECEDENTES  Constitución Política. Artículo 15. Reconoce como Derecho Fundamental el Habeas Data; Artículo 20. Libertad de Información.  Ley 527 de 1999. “Por medio de la cual se define y se reglamenta el acceso y uso de los mensajes de datos, comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”  Ley 594 de 2000. “Ley General de Archivo”

1 Se definió alcance temporal para viabilizar la auditoría ante la ausencia de un alcance definido y aprobado.

3

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

 Ley 962 de 2005. “Simplificación y Racionalización de Trámite. Atributos de seguridad en la información electrónica de entidades públicas;”  Ley 1150 de 2007. “Seguridad de la información electrónica en contratación en línea”  Ley 1266 de 2008. “Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países  Ley 1273 de 2009. “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado denominado “de la protección de la información y de los datos” y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. Art. 199. Espionaje; Art. 258. Utilización indebida de información; Art. 418. Revelación de Secreto; Art. 419. Utilización de asunto sometido a secreto o reserva; Art. 420. Utilización indebida de información oficial; Artículo 431. Utilización indebida de información obtenida en el ejercicio de la función pública; Artículo 463. Espionaje.  Ley 1341 de 2009. “Tecnologías de la Información y aplicación de seguridad”.  Ley 1437 de 2011. “Procedimiento Administrativo y aplicación de criterios de seguridad”.  Ley 1480 de 2011. “Protección al consumidor por medios electrónicos. Seguridad en transacciones electrónicas”.  Ley 1581 de 2012. “Por la cual se dictan disposiciones generales para la Protección de Datos Personales”.  Decreto Ley 019 de 2012. “Racionalización de trámites a través de medios electrónicos. Criterio de seguridad”.  Ley 1621 de 2013. “Por medio de la cual se expiden normas para fortalecer el marco jurídico que permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir con su misión constitucional y legal y se dictan otras disposiciones”.  Ley 1712 de 2014. “Por medio de la cual se crea la ley de transparencia y del derecho de acceso a la información pública nacional y se dictan otras disposiciones.  Decreto 1727 de 2009. “Por el cual se determina la forma en la cual los operadores de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deben presentar la información de los titulares de la información”  Decreto 2952 de 2010. “Por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de 2008”  Decreto 2364 de 2012. “Firma electrónica”  Decreto 2609 de 2012. “Expediente electrónico” 4

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

 Decreto 2693 de 2012. “Gobierno electrónico”  Decreto 1377 de 2013. “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”  Decreto 1510 de 2013. “Contratación pública electrónica”  Decreto 886 de 2014. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012”  Decreto 1083 de 2015. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012”  Decreto 415 de 2016. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 201 definición de los lineamientos para el fortalecimiento institucional en materia de tecnologías de la información y las comunicaciones”  Política Pública: CONPES 3701 de 2011 Lineamientos de Política para Ciberseguridad y Ciberdefensa, CONPES 3854 de 2016 Política Nacional de Seguridad digital.

5. ASPECTOS GENERALES

5.1 Términos del Informe Se utilizará para el presente Informe, los términos y definiciones establecidos en el Manual de Auditoría Interna (M-EM-01), los cuales deben ser tenidos en cuenta para su entendimiento y posterior formulación de los planes de mejoramiento, a saber:  No Conformidad Real – NCR: Incumplimiento de un requisito legal, técnico, de organización o de un cliente (y en general cualquier parte interesada). Se constituye cuando existe evidencia objetiva del incumplimiento.  No Conformidad Potencial – NCP: Hecho o situación que podría generar el incumplimiento de un requisito legal, técnico, de la organización o del cliente. Se constituye como una Observación.  Oportunidad de Mejora – OM: Acción para mejorar un procedimiento, proceso o actividad. Se constituye como una Recomendación. 5.2 Responsabilidad Es responsabilidad del auditor la planeación de los procesos a ser auditados en el Departamento Administrativo de la Presidencia de la República, en el marco del Objetivo General.

5

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

La información tomada para la elaboración del presente informe y durante el ejercicio de la visita, fue proporcionada bajo la estricta responsabilidad de los funcionarios de las dependencias relacionadas en el alcance, así como de la consulta efectuada en el aplicativo SIGOB. Por último, es responsabilidad del equipo auditor producir un informe objetivo que refleje los resultados del proceso auditor, observaciones y/o recomendaciones, en cumplimento de los objetivos propuestos para la misma. 5.3 Plan General de Auditoria El equipo auditor estableció plan de auditoría que fue remitido a la Oficina de Control Interno de Gestión y consecuentemente a las áreas participantes del proceso de auditoría. Ver Anexo. Con base en el plan, el equipo de auditoría, mediante muestreo, examinó la conformidad actual del Sistema de Gestión de Seguridad de la Información (SGSI) del Departamento Administrativo de la Presidencia de la Republica frente a los requisitos de la norma técnica internacional ISO/IEC 27001:2013 a manera de criterio de auditoría. Frente a lo anterior, y una vez evaluados los documentos solicitados así como los disponibles en los aplicativos de la Entidad, se presentan los siguientes resultados (Conformidades, No conformidades y Oportunidades de Mejora).

6. DESARROLLO DE LA AUDITORIA La auditoría se llevó a cabo conforme a lo establecido en el plan de auditoría, tanto en su programación como en la participación del equipo de auditoría. El desarrollo se plasma en el formato Plan Detallado de Auditoria. Ver Anexo. El cálculo de tiempo fue adecuado para dar cobertura completa al alcance (temporal) definido para el desarrollo de esta auditoría. No se presentaron riesgos de auditoría. 7. EVALUACIÓN DE LAS MEJORAS Dado que ésta es la primera auditoría interna formal al Sistema de Gestión de Seguridad de la Información (SGSI) del Departamento Administrativo de la Presidencia de la Republica, en el proceso indicado (Proceso de TI), ni se han realizado acciones formales de mejora (utilizando las herramientas provistas por el Sistema de Gestión de Seguridad de la Información) no aplica esta sección.

6

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

8. RESULTADOS DE LA AUDITORIA 8.1 Aspectos conformes – fortalezas del SGSI 1) Se tiene un compromiso decidido de la alta dirección hacia la seguridad de la información actualmente expresada en infraestructura tecnológica y en las bases del sistema de gestión de seguridad de la información así como de riesgos. 2) Se cuenta con un talento humano altamente calificado y muy comprometido con las labores de gestión de seguridad. 3) Se cuenta con una infraestructura sólida, redundante, tolerante a fallos y pertinente a los propósitos y objetivos institucionales. 4) La infraestructura de seguridad es consistente con el nivel de riesgo al que puede estar expuesta la entidad por su misma naturaleza. 5) El nivel de estandarización de recursos y herramienta facilita la gestión de servicios, reduce riesgos de incompatibilidad y mejora la integración de información sobre eventos de seguridad y comportamiento de la plataforma. 6) Se cumple con los requerimientos de la Ley de Transparencia y Acceso a la Información, así como con los criterios impuestos por la Ley de Protección de Datos Personales. 7) Los centros de cómputo son seguros, responden a los requisitos de las normas técnicas nacionales (RETIE) y requisitos de seguridad de estándar ISO 27001 y ANSI/TIA 942. 8) La infraestructura de seguridad se ajusta a un modelo de protección tipo defensa en profundidad con capas especializadas superpuestas que mitigan eventos de seguridad. 9) La gestión de solicitudes y mesa de ayuda cumple con los requisitos funcionales de negocio. 8.2 Aspectos no conformes La formulación de no conformidades sigue lo especificado en el Manual de Auditorías Internas de junio de 2015 del DAPRE:

1. Descripción del Problema

2. Evidencia Objetiva

3. Requisito que Incumple

¿Cuál es el requisito Incumplido con Respecto a los Criterios de Auditoría?

Son los registros, declaraciones de hechos o información que son pertinentes y verificables para los Criterios de Auditoria

Capítulo, Cláusula o Ítem incumplido relacionado con los Criterios de Auditoría

7

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

PROBLEMA EVIDENCIA No se encontró referencia a las Entrevista con el Asesor del partes interesadas ni al marco de área TI & SI, y Profesional requisitos en materia de Seguridad SGSI de la Información. Entrevista con el No existe un alcance formalmente representante del SGSI definido (documentado) y el borrador Jefe oficina del área TI & SI; planteado corresponde a la definición Asesor del área TI & SI; –y de alcance. Profesional SGSI La política de SI en sus directrices no incluye referencias al compromiso Entrevista con Asesor del hacia el cumplimiento de requisitos, área TI & SI;– y Profesional hacia la mejora continua así como SGSI hacia la gestión de riesgos. Las políticas describen lineamientos sobre tecnología (marcas de equipos Manual de políticas de móviles como BlackBerry) y seguridad para las TIC directrices sobre uso de la tecnología, código M-TI-01 que pueden afectar directrices de neutralidad tecnológica. Si bien existe un manual de funciones en la organización, no se evidencian autoridades, roles y responsabilidades en materia de seguridad de la información y riesgos relacionados, incluyendo el reporte de debilidades y vulnerabilidades. El enfoque de riesgos (según metodología de la institución) está orientado al riesgo clásico (negativo) sin considerar las oportunidades. La identificación de riesgos está centrada en evento de riesgos (aun cuando la guía lo trata como riesgo) y sus causas hacen referencia a efectos sobre personal o hallazgo de auditoria que sobre objetivos del negocio. La determinación del impacto en el análisis de riesgos considera lo propio a confidencialidad de la información más no hace referencia a la integridad y disponibilidad. En el componente de valoración de riesgos no se encontró referencia a los criterios de riesgos y la comparación a ser realizada entre los riesgos y los criterios aplicables.

Manual de Funciones

REQUISITO

ACCION

4.2 Entendiendo las Ver plan necesidades y expectativas de acción de las partes interesadas fase 1.4 4.3 Determinando el alcance del sistema de gestión de seguridad de la información

Ver plan de acción fase 4.1

5.2 Política

Ver plan de acción fase 4.2

5.2 Política

Ver plan de acción fase 4.2

5.3 Roles, responsabilidades y autoridades en la organización

Ver plan de acción fase 5.2

Lineamiento de 6.1 Acciones para atender Administración del Riesgo Lriesgos y oportunidades DE-01 2016/05/27 V9.

Ver plan de acción fase 3

Lineamiento de 6.1 Acciones para atender Administración del Riesgo Lriesgos y oportunidades DE-01 2016/05/27 V9.

Ver plan de acción fase 3

Lineamiento de 6.1 Acciones para atender Administración del Riesgo Lriesgos y oportunidades DE-01 2016/05/27 V9.

Ver plan de acción fase 3

Lineamiento de 6.1 Acciones para atender Administración del Riesgo Lriesgos y oportunidades DE-01 2016/05/27 V9.

Ver plan de acción fase 3

8

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

PROBLEMA No existen objetivos definidos formalmente en materia de seguridad de la información. El borrador de objetivos presenta 4 posibles objetivos pero éstos no están alineados al desempeño o cumplimiento / conformidad en los requisitos.

Se encontraron obsoletos en uso.

documentos

Se examina registro de riesgos para SGSI en el proceso de TI (5 riesgos).

No se realiza seguimiento, medición y evaluación de riesgos en SGSI. No se observa trazabilidad entre mecanismos de tratamiento vs. los riesgos que están siendo atendidos. No se encontró evidencia de medición, análisis y supervisión del desempeño de la seguridad de la información y los objetivos relacionados. No se ha realizado revisión formal por la dirección al SGSI.

EVIDENCIA

REQUISITO

ACCION

Entrevista con el representante del SGSI 6.2 Objetivos de seguridad Ver plan Jefe oficina del área TI & SI; de la información y planes de acción Asesor del área TI & SI; –y para alcanzarlos fase 4.2 Profesional SGSI Durante la inspección de registros de ingreso a áreas seguras se identificaron dos formatos iguales pero con codificación diferente: F-TI08 Project Chárter y F-TI-14 Bitácora de centro de cómputo. Muestra: Falta de trazabilidad en las actuaciones de los usuarios finales. Se observan 6 efectos sin que se indique cuáles de esos efectos afectan (y como lo hacen) los O/N. En la escala afectada se tienen dos controles (capacitación y controles tecnológicos) que afectan tanto la probabilidad e impacto. El control “Controles Tecnológicos” no señala a que controles hace referencia. Lineamiento de Administración del Riesgo LDE-01 2016/05/27 V9. Lineamiento de Administración del Riesgo LDE-01 2016/05/27 V9. Entrevista con el representante del SGSI Jefe oficina del área TI & SI; Asesor del área TI & SI; –y Profesional SGSI Entrevista con el representante del SGSI Jefe oficina del área TI & SI; Asesor del área TI & SI; –y Profesional SGSI

7.5 Información documentada

Ver plan de acción fase 4.6

8.1 Planeación y control operacional

Ver plan de acción fases 3 y 4.6

8.2 Evaluación de riesgos Ver plan en seguridad de la de acción información fase 3 8.3 Tratamiento de riesgos Ver plan en seguridad de la de acción información fase 3 9.1 Supervisión, medición, análisis y evaluación

Ver plan de acción fase 8

9.3 Revisión por la dirección

Ver plan de acción fase 8

9

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

PROBLEMA

EVIDENCIA REQUISITO Entrevista con el No existen No conformidades (NC), representante del SGSI Acciones correctivas (AC), Acciones 10.1 No conformidades y Jefe oficina del área TI & SI; de mejora (AM) definidas para el acciones correctivas Asesor del área TI & SI; –y SGSI. Profesional SGSI La estructura actual de políticas compila toda la colección de políticas Manual de Políticas de A.5.1.1 - Políticas para la de manera indistinta a su aplicación, Seguridad para las TIC seguridad de la lo cual, además de ser extenso, código M-TI-01 información ofrece el riesgo de confusión a sus lectores. Entrevista con el No se encuentra evidencia de representante del SGSI A.5.1.2 - Revisión de las revisión de políticas de seguridad de Jefe oficina del área TI & SI; políticas para la seguridad la información aun cuando existe una Asesor del área TI & SI; y de la información nueva versión en estado borrador. Profesional SGSI Las tareas se segregan a partir de Entrevista con el buenas prácticas profesionales pero representante del SGSI A.6.1.2 - Segregación de no se basan en un análisis de riesgos Jefe oficina del área TI & SI; tareas que determine las necesidades de Asesor del área TI & SI. segregación. No se encuentra evidencia sobre cómo se gestiona la seguridad de la Entrevista con el información en los proyectos que A.6.1.5 - Seguridad de la representante del SGSI realiza la organización. El enfoque información en gestión de Jefe oficina del área TI & SI; metodológico está basado en ¿PMI? proyectos Asesor del área TI & SI. pero no se menciona el enfoque hacia la seguridad de la información. Si bien se informa que no existe Teletrabajo en la práctica se tiene Manual de Políticas de acceso a información desde equipos Seguridad para las TIC A.6.2.2 – Teletrabajo celulares, incluyendo la generación código M-TI-01. de Tokens. En entrevista con el personal del Área de Talento Humano se reporta que no han A.7.2.2 - Toma de No se han realizado actividades de participado en ejercicios de conciencia, educación y formación o toma de conciencia en el formación o toma de entrenamiento en año 2016 en materia de Seguridad de conciencia en SI o SGSI en seguridad de la la Información. el año 2016. La última información experiencia es del año 2015 campaña denominada “La seguridad soy Yo” En entrevista con personal del área de control interno Hay desconocimiento de procesos disciplinario se informa que A.7.2.3 - Proceso pertinentes al proceso de control no se conoce al grupo disciplinario interno disciplinario. CSIRT y no se tiene en cuenta como posible fuente de acciones disciplinarias

ACCION Ver plan de acción fase 8.2

Ver plan de acción fase 4.2

Ver plan de acción fases 4.2 y 8 Ver plan de acción fase 5.2

Ver plan de acción fase 5.1

Ver plan de acción fase 5.1

Ver plan de acción fase 6

Ver plan de acción fase 6

10

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

PROBLEMA

Dentro de las actividades terminación o cambio en responsabilidades del empleo.

de las

Se mezclan activos tecnológicos con activos de información.

No se han identificado con precisión todos los activos de información de todos los procesos de la Entidad.

EVIDENCIA Muestra: Asesor Área TTHH Retiro por renuncia 2016/12/15 Mediante correo se le solicita declaración de bienes y rentas, formato de entrega de actividades del contrato, carné o su denuncia, formato de activos fijos, orden de examen médico. No se solicita devolución de posibles activos de información en su poder El software de nómina produce órdenes automáticas para el área de TI para activar o desactivas los derechos a los usuarios. Entrevista con el representante del SGSI Jefe oficina del área TI & SI; Asesor del área TI & SI; y Profesional SGSI Entrevista con el representante del SGSI Jefe oficina del área TI & SI; Asesor del área TI & SI; y Profesional SGSI

Se han identificado reglas de uso de activos que se encuentran mezcladas Manual de políticas de con las políticas de seguridad de seguridad para las TIC información, lo que produce falta de código M-TI-01 claridad sobre la diferencia entre reglas y políticas. Muestra: Asesor Área de Talento Humano Retiro por renuncia Dentro de las actividades de 2016/12/15. Mediante correo terminación o cambio en las se le solicita declaración de responsabilidades del empleo no se bienes y rentas, entrega de referencia lo pertinente a devolución actividades del contrato, de activos. carné o denuncia, formato de activos fijos, orden de examen médico. Se hace uso de terminología Se hace uso de clasificaciones de “documento confidencial”, información no definidas. clasificación que no ha sido definida por la entidad.

REQUISITO

ACCION

A.7.3.1 - Terminación o cambio en las responsabilidades del empleo

Ver plan de acción fase 5.2

A.8.1.1 - Inventario de activos

Ver plan de acción fase 2

A.8.1.1 - Inventario de activos

Ver plan de acción fase 2

A.8.1.3 - Uso aceptable de los activos

Ver plan de acción fase 2

A.8.1.4 - Devolución de activos

Ver plan de acción fase 2

Ver plan A.8.2.1 - Clasificación de la de acción información fase 2

11

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

PROBLEMA Asegurar que la clasificación de la información considere requisitos jurídicos, valor organizacional, criticidad y que tan sensible es esa información. El procedimiento de clasificación de la información no establece esquemas de etiquetado de la información. No se encontraron procedimientos para manejo de activos según la clasificación de activos.

No se encontraron procedimientos formales para eliminación de medios. Se hace énfasis en componentes de tecnología y no cuenta con descripciones asociadas a permisos de acceso a la información de acuerdo con los esquemas de clasificación adoptados por la Entidad. Los derechos de acceso de los usuarios se verifican antes de la asignación de la cuenta, pero no se encontró evidencia de una proceso de revisión periódica de derechos de acceso, por ejemplo durante las auditorias de seguridad o cuando se realicen pruebas de análisis de vulnerabilidades.

EVIDENCIA Entrevista con el representante del SGSI Jefe oficina del área TI & SI; Asesor del área TI & SI; y Profesional SGSI Entrevista con el representante del SGSI Jefe oficina del área TI & SI; Asesor del área TI & SI; y Profesional SGSI Entrevista con el representante del SGSI Jefe oficina del área TI & SI; Asesor del área TI & SI; y Profesional SGSI Entrevista con el representante del SGSI Jefe oficina del área TI & SI; Asesor del área TI & SI; y Profesional SGSI

REQUISITO

ACCION

Ver plan A.8.2.1 - Clasificación de la de acción información fase 2

A.8.2.2 - Etiquetado de la información

Ver plan de acción fase 2

Ver plan A.8.2.3 - Manejo de activos de acción fase 2

A.8.3.2 - Eliminación de medios

Ver plan de acción fase 2

Manual de Políticas de Seguridad para las TIC código M-TI-01.

Ver plan A.9.1.1 - Política de control de acción de acceso fase 4.2

Visita a sitio – área TI

A.9.2.5 - Revisión de derecho de acceso de los usuarios

Entrevista con el A.9.2.6 - Remoción o No se evidencia la mejora continua representante del SGSI ajuste de derechos de aplicada a la gestión de acceso. Jefe oficina del área TI & SI; acceso Asesor del área TI & SI

Ver plan de acción fase 4.2

Ver plan de acción fase 4.2

Los procesos de reléase y deployment de nuevas versiones exponen el código fuente una vez el Visita a sitio – área TI código fuente ha superado las pruebas funcionales y de seguridad.

A.9.4.5 - Control de acceso Ver plan al código fuente de las de acción aplicaciones fase 5.1

La política de controles criptográficos Manual de políticas de no describe las decisiones que ha seguridad para las TIC adoptado la entidad en materia de código M-TI-01 criptografía.

A.10.1.1 - Política de uso de controles criptográficos

Ver plan de acción fase 4.2 12

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

PROBLEMA EVIDENCIA No se cuenta aún con una política Manual de políticas de clara de gestión de llaves seguridad para las TIC criptográficas aunque se usan código M-TI-01 diversos controles criptográficos. Durante las inspecciones a centro de datos, se Los controles de trabajo en áreas presentaron olvidos en el seguras no son siempre aplicados. diligenciamiento de firma de salida de visitantes. Prueba de retiro de un equipo S/N 88224 realizada en forma exitosa por el Los controles de remoción de activos equipo de auditoria no siempre son eficaces pues Se tiene un procedimiento permiten el retiro no autorizado de de retiro de equipos y una equipos de TI. aplicación para control del retiro de equipos de propiedad de la Entidad. No se identificó evidencia de Prueba de retiro de un recomendaciones de seguridad para equipo S/N 88224 realizada equipos de la entidad que sean en forma exitosa por el retirados de las dependencias. equipo de auditoria Está documentado un No realiza a intervalos planificados procedimiento de gestión de gestión de la capacidad. capacidad la entidad Si bien las pruebas se realizan, es el Manual de Políticas de software de copia de respaldo y no Seguridad para las TIC los operadores quienes realizan código M-TI-01 verificación de respaldos. El manual de políticas de seguridad no es preciso en identificar y El Manual de Políticas de establecer principios sobre la Seguridad (Sección 4.1 del transferencia de archivos e manual de políticas de información (analógica/física y seguridad) digital). No se encontró evidencia concreta de Visita a sitio – área TI este control. Existen controles que la entidad documenta como obligatorios en sus políticas, pero no se está cumpliendo Sección 4.1.24 del manual en todos los casos como: de políticas de seguridad “registrar el software en la dirección general de derechos de autor”. No se encontraron evidencias de pruebas de análisis de Visita a sitio – área TI vulnerabilidades después de cambios en sistemas operacionales.

REQUISITO A.10.1.2 - Gestión de claves

ACCION Ver plan de acción fase 4.2

Ver plan A.11.1.5 - Trabajo en áreas de acción seguras fase 5.1

A.11.2.5 - Remoción de activos

Ver plan de acción fase 5.1

A.11.2.6 - Seguridad de equipos y activos fuera de su sitio

Ver plan de acción fase 5.1

A.12.1.3 - Gestión de la capacidad

Ver plan de acción fase 5.1

A.12.3.1 - Backup (copia de respaldo) de la información

Ver plan de acción fase 5.1

A.13.2.1 - Políticas y procedimientos para la transferencia de información

Ver plan de acción fase 4.2

A.13.2.2 - Acuerdos en la transferencia de información

Ver plan de acción fase 4.8

A.14.1.2 - Aseguramiento de servicios de aplicaciones en redes públicas

Ver plan de acción fase 5.1

A.14.2.3 - Revisión técnica Ver plan de aplicaciones luego de de acción cambios en plataformas de fase 7.2 producción

13

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

PROBLEMA Aunque se aplican principios y prácticas de seguridad, no se están sustentando las decisiones sobre la base de la identificación de riesgos de seguridad. No se cuenta con un conjunto de datos de prueba preparados específicamente para evitar divulgación de información no autorizada. En los contratos con personal y contratistas no se observan instrucciones en materia de manejo de reportes de debilidades y vulnerabilidades. En los contratos con personal y contratistas no se observan instrucciones en materia de manejo de reportes de debilidades y vulnerabilidades. No se encontró evidencia formal que sustente las decisiones de infraestructura de TI que se han adoptado. No se encontró evidencia de un plan formal de continuidad de negocio, pero toda la infraestructura en tolerantes a fallas. No se encontró un enfoque formal para determinar el cumplimiento y conformidad de requisitos del SGSI. No se encontró identificación, determinación, seguimiento y control de cumplimiento y conformidad de requisitos del SGSI.

EVIDENCIA

REQUISITO

Lineamiento de A.14.2.5 - Principios de la Administración del Riesgo L- ingeniería de sistemas DE-01 2016/05/27 V9. seguros

Visita a sitio – área TI

Entrevista: Área Talento Humano, Coordinadora grupo vinculaciones. Muestra: Funcionario Vinculada 2016/12/02. Entrevista: Área Talento Humano, Coordinadora grupo vinculaciones. Muestra: Funcionario Vinculada 2016/12/02.

A.14.3.1 - Protección de datos de prueba

ACCION Ver plan de acción fase 5.1

Ver plan de acción fase 5.1

A.16.1.2 - Reporte de Ver plan eventos de seguridad de la de acción información fase 7.1

A.16.1.3 - Reporte de Ver plan debilidades en la seguridad de acción de la información fase 7.1

Visita a sitio – Área TI

A.17.1.1 - Planeación de la Ver plan continuidad de la seguridad de acción de la información fase 5.1

Visita a sitio – Área TI

A.17.1.1 - Planeación de la Ver plan continuidad de la seguridad de acción de la información fase 5.1

Visita a sitio – Área TI

A.18.1.1 – Identificar requisitos legales y contractuales aplicables

Ver plan de acción fase 1.4

Visita a sitio – Área TI

A.18.1.1 – Identificar requisitos legales y contractuales aplicables

Ver plan de acción fase 1.4

8.3 Oportunidad de mejora ASPECTO

6.1 Acciones para atender riesgos y oportunidades

A.6.1.1 - Roles y responsabilidades de la seguridad de la información.

OBSERVACIÓN Fortalecer los esquemas de parametrización de probabilidad Fortalecer los esquemas de parametrización de impacto Unificar y asegurar la alineación de términos y definiciones con estándares reconocidos en riesgos y seguridad de la información Incorporar mecanismos de control de transferencia física de medios para información en soporte físico / analógico conforme a la Ley General de Archivo y la Ley de Transparencia Ver ISO 27001:2013 5.3 14

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

ASPECTO A.7.1.2 - Términos y condiciones para el empleo. A.8.1.2 - Propiedad de los activos A.8.1.3 - Uso aceptable de los activos A.8.3.2 - Eliminación de medios A.8.3.3 - Transferencia física de medios A.9.1.1 - Política de control de acceso A.9.1.2 - Acceso a redes y servicios de red A.9.2.4 - Gestión de información secreta de autenticación de usuarios A.12.1.2 - Gestión del cambio A.12.5.1 - Instalación de software en sistemas en producción.

A.12.6.1 - Gestión de vulnerabilidades técnicas.

A.12.7.1 - Control de auditoría sistemas de información.

A.14.1.2 - Aseguramiento de servicios de aplicaciones en redes públicas.

A.14.2.1 - Política de desarrollo seguro.

A.14.2.8 - Prueba de seguridad de los sistemas.

OBSERVACIÓN Asegurar que las políticas correspondan al riesgo propio de cada rol Fortalecer la relación entre propietarios de activos, el proceso a cargo, la autoridad, roles y responsabilidad (demostrada) para cada activo Asegurar que la definición de uso aceptable de activos contemple como esos activos (y su uso) contribuyen al logro de los objetivos de la organización Asegurar que la eliminación de medios está definida tanto para medios de información en soporte digital como analógico/físico. Formalizar los mecanismos de transporte interno (en la institución) Aplicar las buenas prácticas definidas en la norma NTC ISO IEC 27002:2013 Mejorar el proceso al incorporar los elementos y roles del catálogo de servicios de TI D-TI-01 al incluir las actividades de control de verificación de roles Examinar las ventajas de definir un estándar de contraseñas para usuarios de administración de TI con reglas más fuertes Mejorar los procesos de cierre de los cambios. Fortalecer la distribución y aprendizaje de las lecciones aprendidas. Fortalecer la periodicidad de la ejecución de pruebas de vulnerabilidades ya que solo se ejecutan bajo pedido o cuando se liberan nuevas versiones de software, pero se deberían realizar pruebas de vulnerabilidades técnicas a intervalos planificados o cuando ocurran cambios que puedan afectar a la seguridad de la información. Fortalecer el conocimiento del equipo auditor de control interno en técnicas de auditoria en seguridad informática y auditoria de sistemas. Asegurar un control estricto al uso de formatos de auditoria para evitar modificación de documentos controlados del sistema. Fortalecer el proceso mediante mejores controles en la salida a producción de las nuevas versiones y el uso de software de análisis estático y análisis dinámico de código fuente para determinar vulnerabilidades como: Apuntadores huérfanos, Buffer Overflow, inadecuadas prácticas en gestión de configuración de variables. Fortalecer el proceso con herramientas de versionamiento de software final Verificar la política de seguridad en el desarrollo de software, identificando que controles aún son necesarios y que nuevos controles deben ser incorporados a los proceso de desarrollo de software. Las pruebas se aplican antes de la liberación de nuevas versiones pero también se deberían ejecutar a intervalos planificados como respuesta preventiva a cambios introducidos en el software. 15

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

ASPECTO A.14.3.1 - Protección de datos de prueba. A.16.1.4 - Evaluación y decisiones en eventos de seguridad de la información. A.16.1.6 - Aprendizaje de los incidentes de seguridad de la información.

OBSERVACIÓN Asegurar que dentro de los procesos de ciclo de vida del software se consideren etapas de construcción de datos de prueba para evitar el uso de datos reales. Mejorar los procesos de evaluación de incidentes e informes mediante la aplicación de estándares de evaluación de impacto de eventos a través del tiempo requerido o utilizado para atender incidentes de seguridad. Asegurar que se realiza la distribución de las lecciones aprendidas generadas por los cambios.

Adicionalmente, 1) Mejorar los procesos de arquitectura empresarial para que todas las dependencias y áreas de la Entidad aprovechen la infraestructura de TI. 2) Mejorar la documentación del sistema de gestión de servicios de tecnología (ITIL) para adecuarla a las verdaderas capacidades institucionales y no a estados ideales teóricos.

9. CONCLUSIONES DE LA AUDITORIA Evaluado el proceso de TI como alcance (temporal) del Sistema de Gestión de Seguridad de la Información conforme a la norma técnica ISO/IEC 27001:2013 se concluye que: 1. Existe una fuerte gestión tecnológica de la información, con énfasis en lo informático, basada en medios y tecnología de punta, que le permite a la institución responder (en mayor medida y con seguridad razonable) a los retos y amenazas actuales del entorno; 2. El Sistema de Gestión de Seguridad de la Información está en sus fases tempranas (conceptualización y diseño) con avances en su implementación derivados de la fortaleza tecnológica de la institución. 3. Existen problemas de enfoque técnico y metodológico en la guía de identificación, análisis, valoración y tratamiento de riesgos, incluyendo la trazabilidad riesgo - control. La gestión de riesgos es la base (y núcleo) del Sistema de Gestión de Seguridad de la Información. 4. En cuando a la capacidad de recuperación ante la ocurrencia de incidentes catastróficos, la entidad cuenta con una avanzada infraestructura tecnológica que incluye respaldos aplicables pero es necesario fortalecer los procesos (y personal relacionado) que permitan asegurar esa recuperación.

16

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

10. PLAN DE ACCIÓN SUGERIDO

FASE

ACTIVIDADES

1. ANÁLISIS DE LA ENTIDAD

1.1. Plan levantamiento de información 1.2. Análisis institucional. - Estructura orgánica organizacional. - Procesos y procedimientos. - Controles enunciados y operativos. - Funciones y competencias. - Sistemas de gestión. - Planeación estratégica. - Políticas sectoriales e internas. - Tablas de retención documental. - Acuerdos de servicio. - Gestión de proyectos. 1.3. Análisis de mejora continua. - Auditorías (internas y externas). - Materialización eventos de riesgo (ámbito: información). - Planes de mejoramiento. 1.4. Contexto, Cumplimiento y conformidad. - Identificación de partes interesadas - Requisitos legales y regulatorios. - Objetivos y metas de seguridad. - Obligaciones contractuales.

2. ANÁLISIS DE INFORMACIÓN

2.1. Inventario y clasificación de activos de información y sus responsables. 2.2. Tercerización de procesos. 2.3. Identificación de interfaces. 2.4. Reglas de uso aceptable de activos. 2.5. Gestión de medios y soportes.

- ISO 27002 - ISO 27004 3. ANÁLISIS DEL RIESGO - ISO 27004 - ISO 27005 - ISO 31000

MES 1 2 3 4 5 6 7 8 9 10 11

3.1. Definición marco metodológico. 3.2. Examen unitario de vulnerabilidad y ocurrencia de eventos/incidentes. 3.3. Inventario de consecuencias y su calificación según grado de impacto. 3.4. Mapa fuentes riesgo y amenazas. 3.5. Determinación factores de riesgo. 3.6. Diseño criterios aceptación del riesgo. 3.7. Esquema calificado de riesgo. 3.8. Identificación de controles. 3.9. Acciones de tratamiento para el riesgo. 3.10. Declaración de aplicabilidad.

17

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

FASE

ACTIVIDADES

MES 1 2 3 4 5 6 7 8 9 10 11

4. DISEÑO DEL SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION (ISMS)

4.1. Determinación del alcance del SGSI 4.2. Formulación estratégica (Políticas, objetivos, alcance y exclusiones). 4.3. Creación del comité de seguridad. 4.4. Definición reglas de uso aceptable de información y recursos asociados. 4.5. Inclusión de procedimientos específicos la industria de software. - ISO 27001 4.6. Documentación Sistema de gestión de - ISO 27002 seguridad de información (ISMS). 4.7. Diseño de métricas (indicadores) (cuadro de mando integral). 4.8. Acuerdos en gestión segura de información 5. DISEÑO DE LA 5.1. Arquitectura de seguridad informática: ARQUITECTURA - Orientación al cumplimiento. DE SEGURIDAD - Actualización y fortalecimiento. - Diseño de esquemas operativos - Proyectos de información y/o TI. - Teletrabajo y dispositivos móviles. - Desarrollo/mantenimiento de tecnologías. - Gestión de la capacidad. - Continuidad del negocio. 5.2. Plan priorizado de remediación. - Determinación Autoridades, roles y responsabilidades (RACI) - Mejora en la documentación. 5.3. Plan de manejo de incidentes. 6. FORMACIÓN 6.1. Formación auditores internos en sistemas ISO 27001 de gestión de seguridad de la información ISO/IEC 27001:2013 6.2. Formación general al talento humano en temas clave del SGSI 7. PUESTA EN 7.1. Implementación del ISMS. MARCHA Y 7.2. Monitoreo y supervisión. MONITOREO - Riesgos y Controles - Vulnerabilidades y debilidades - Incidentes y su respuesta 7.3. Análisis de hallazgos (alta dirección) 7.4. Planeación, Implementación y seguimiento a acciones de mejora 8. MEJORA 8.1. Auditoría interna. CONTINUA 8.2. Acompañamiento en el análisis y tratamiento de No Conformidades. 8.3. Acompañamiento en la revisión por la dirección 8.4. Certificación LL-C (por IMS Global SAS) 18

INFORME DE AUDITORIA INTERNA DE GESTIÓN Proceso asociado: Evaluación, Control y Mejoramiento

DOCUMENTACION BASE DE UN SGSI Un Sistema de Gestión de Seguridad de la Información tiene como información documentada básica la siguiente estructura: 1. Alcance 2. Políticas 3. Objetivos (SGSI), planes para alcanzarlos y su monitoreo/medición 4. Gestión de Riesgos (identificación, análisis y tratamiento) 5. Declaración de Aplicabilidad 6. Partes interesadas y requisitos 7. Gestión de activos así como reglas y principios relacionados 8. Procedimientos de control operativo 9. Programa de auditorías y auditorías 10. Operatividad de la mejora continua 11. Revisión por la dirección 12. Aseguramiento de competencias 13. Gestión de incidentes 14. Gestión de la continuidad del negocio Otros documentos adicionales son ya los operacionales que garanticen la funcionalidad y eficacia del Sistema de Gestión de Seguridad de la Información. De igual manera, se espera que existan documentos relacionados con la operatividad de la mejora continua.

EQUIPO AUDITOR: Ing. Juan Carlos Angarita C., M.E. [email protected] Cel. +57 3172514001 Skype. Jcangarita Ing. Juan Carlos Alarcón S., M.E. [email protected] Cel. +57 3125216640

19