informe de auditoría interna sistema de gestión de...

Informe de auditoría interna Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001:2013

Bogotá D.C. Diciembre de 2016

2

INFORME DE AUDITORIA INTERNA DE GESTIÓN

Proceso asociado: Evaluación, Control y Mejoramiento

TABLA DE CONTENIDO

1. OBJETIVO DE LA AUDITORIA ----------------------------------------------------------------- 3 2. ALCANCE DE LA AUDITORIA ------------------------------------------------------------------ 3

3. PROCESO AUDITADO ---------------------------------------------------------------------------- 3 4. MARCO LEGAL O ANTECEDENTES --------------------------------------------------------- 3

5. ASPECTOS GENERALES ------------------------------------------------------------------------ 5

6. DESARROLLO DE LA AUDITORIA ----------------------------------------------------------- 6

7. EVALUACIÓN DE LAS MEJORAS ------------------------------------------------------------ 6

8. RESULTADOS DE LA AUDITORIA ----------------------------------------------------------- 7

9. CONCLUSIONES DE LA AUDITORIA ------------------------------------------------------- 16

10. PLAN DE ACCIÓN SUGERIDO -------------------------------------------------------------- 17

3



1. OBJETIVO DE LA AUDITORIA

Evaluar el Sistema de gestión de seguridad de la información en su alcance temporal1 correspondiente al PROCESO DE TI del Departamento Administrativo de la Presidencia de la República – DAPRE conforme a los requisitos de la norma ISO/IEC 27001:2013 (criterio de auditoría). 1.1 Objetivos Específicos

1. Evaluar la conformidad del sistema de gestión de seguridad de la información en su alcance “PROCESO DE TI”.

2. Determinar oportunidades de mejora.

3. Establecer un esquema recomendado de trabajo para la organización para la eficaz

implementación del sistema de gestión de seguridad de la información en su alcance “PROCESO DE TI”.

2. ALCANCE DE LA AUDITORIA

El alcance se definió para el sistema de gestión de seguridad de la información relativo al “PROCESO DE TI” 3. PROCESO AUDITADO

Tecnología de Información y Comunicaciones 4. MARCO LEGAL O ANTECEDENTES

Constitución Política. Artículo 15. Reconoce como Derecho Fundamental el Habeas Data;

Artículo 20. Libertad de Información. Ley 527 de 1999. “Por medio de la cual se define y se reglamenta el acceso y uso de los

mensajes de datos, comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”

Ley 594 de 2000. “Ley General de Archivo”

1 Se definió alcance temporal para viabilizar la auditoría ante la ausencia de un alcance definido y aprobado.

4



Ley 962 de 2005. “Simplificación y Racionalización de Trámite. Atributos de seguridad en la información electrónica de entidades públicas;”

Ley 1150 de 2007. “Seguridad de la información electrónica en contratación en línea” Ley 1266 de 2008. “Por la cual se dictan las disposiciones generales del Hábeas Data y se

regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países

Ley 1273 de 2009. “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado denominado “de la protección de la información y de los datos” y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. Art. 199. Espionaje; Art. 258. Utilización indebida de información; Art. 418. Revelación de Secreto; Art. 419. Utilización de asunto sometido a secreto o reserva; Art. 420. Utilización indebida de información oficial; Artículo 431. Utilización indebida de información obtenida en el ejercicio de la función pública; Artículo 463. Espionaje.

Ley 1341 de 2009. “Tecnologías de la Información y aplicación de seguridad”. Ley 1437 de 2011. “Procedimiento Administrativo y aplicación de criterios de seguridad”. Ley 1480 de 2011. “Protección al consumidor por medios electrónicos. Seguridad en

transacciones electrónicas”. Ley 1581 de 2012. “Por la cual se dictan disposiciones generales para la Protección de Datos

Personales”. Decreto Ley 019 de 2012. “Racionalización de trámites a través de medios electrónicos.

Criterio de seguridad”. Ley 1621 de 2013. “Por medio de la cual se expiden normas para fortalecer el marco jurídico

que permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir con su misión constitucional y legal y se dictan otras disposiciones”.

Ley 1712 de 2014. “Por medio de la cual se crea la ley de transparencia y del derecho de

acceso a la información pública nacional y se dictan otras disposiciones. Decreto 1727 de 2009. “Por el cual se determina la forma en la cual los operadores de los

bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deben presentar la información de los titulares de la información”

Decreto 2952 de 2010. “Por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de

2008” Decreto 2364 de 2012. “Firma electrónica”

Decreto 2609 de 2012. “Expediente electrónico”

5



Decreto 2693 de 2012. “Gobierno electrónico” Decreto 1377 de 2013. “Por el cual se reglamenta parcialmente la Ley 1581 de 2012” Decreto 1510 de 2013. “Contratación pública electrónica” Decreto 886 de 2014. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012” Decreto 1083 de 2015. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012” Decreto 415 de 2016. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 201

definición de los lineamientos para el fortalecimiento institucional en materia de tecnologías de la información y las comunicaciones”

Política Pública: CONPES 3701 de 2011 Lineamientos de Política para Ciberseguridad y

Ciberdefensa, CONPES 3854 de 2016 Política Nacional de Seguridad digital. 5. ASPECTOS GENERALES

5.1 Términos del Informe Se utilizará para el presente Informe, los términos y definiciones establecidos en el Manual de Auditoría Interna (M-EM-01), los cuales deben ser tenidos en cuenta para su entendimiento y posterior formulación de los planes de mejoramiento, a saber:

No Conformidad Real – NCR: Incumplimiento de un requisito legal, técnico, de organización o de un cliente (y en general cualquier parte interesada). Se constituye cuando existe evidencia objetiva del incumplimiento.

No Conformidad Potencial – NCP: Hecho o situación que podría generar el incumplimiento de un requisito legal, técnico, de la organización o del cliente. Se constituye como una Observación.

Oportunidad de Mejora – OM: Acción para mejorar un procedimiento, proceso o

actividad. Se constituye como una Recomendación.

5.2 Responsabilidad Es responsabilidad del auditor la planeación de los procesos a ser auditados en el Departamento Administrativo de la Presidencia de la República, en el marco del Objetivo General.

6



La información tomada para la elaboración del presente informe y durante el ejercicio de la visita, fue proporcionada bajo la estricta responsabilidad de los funcionarios de las dependencias relacionadas en el alcance, así como de la consulta efectuada en el aplicativo SIGOB. Por último, es responsabilidad del equipo auditor producir un informe objetivo que refleje los resultados del proceso auditor, observaciones y/o recomendaciones, en cumplimento de los objetivos propuestos para la misma. 5.3 Plan General de Auditoria El equipo auditor estableció plan de auditoría que fue remitido a la Oficina de Control Interno de Gestión y consecuentemente a las áreas participantes del proceso de auditoría. Ver Anexo. Con base en el plan, el equipo de auditoría, mediante muestreo, examinó la conformidad actual del Sistema de Gestión de Seguridad de la Información (SGSI) del Departamento Administrativo de la Presidencia de la Republica frente a los requisitos de la norma técnica internacional ISO/IEC 27001:2013 a manera de criterio de auditoría. Frente a lo anterior, y una vez evaluados los documentos solicitados así como los disponibles en los aplicativos de la Entidad, se presentan los siguientes resultados (Conformidades, No conformidades y Oportunidades de Mejora). 6. DESARROLLO DE LA AUDITORIA

La auditoría se llevó a cabo conforme a lo establecido en el plan de auditoría, tanto en su programación como en la participación del equipo de auditoría. El desarrollo se plasma en el formato Plan Detallado de Auditoria. Ver Anexo. El cálculo de tiempo fue adecuado para dar cobertura completa al alcance (temporal) definido para el desarrollo de esta auditoría. No se presentaron riesgos de auditoría. 7. EVALUACIÓN DE LAS MEJORAS

Dado que ésta es la primera auditoría interna formal al Sistema de Gestión de Seguridad de la Información (SGSI) del Departamento Administrativo de la Presidencia de la Republica, en el proceso indicado (Proceso de TI), ni se han realizado acciones formales de mejora (utilizando las herramientas provistas por el Sistema de Gestión de Seguridad de la Información) no aplica esta sección.

7



8. RESULTADOS DE LA AUDITORIA

8.1 Aspectos conformes – fortalezas del SGSI

1) Se tiene un compromiso decidido de la alta dirección hacia la seguridad de la información actualmente expresada en infraestructura tecnológica y en las bases del sistema de gestión de seguridad de la información así como de riesgos.

2) Se cuenta con un talento humano altamente calificado y muy comprometido con las labores de gestión de seguridad.

3) Se cuenta con una infraestructura sólida, redundante, tolerante a fallos y pertinente a los propósitos y objetivos institucionales.

4) La infraestructura de seguridad es consistente con el nivel de riesgo al que puede estar expuesta la entidad por su misma naturaleza.

5) El nivel de estandarización de recursos y herramienta facilita la gestión de servicios, reduce riesgos de incompatibilidad y mejora la integración de información sobre eventos de seguridad y comportamiento de la plataforma.

6) Se cumple con los requerimientos de la Ley de Transparencia y Acceso a la Información, así como con los criterios impuestos por la Ley de Protección de Datos Personales.

7) Los centros de cómputo son seguros, responden a los requisitos de las normas técnicas nacionales (RETIE) y requisitos de seguridad de estándar ISO 27001 y ANSI/TIA 942.

8) La infraestructura de seguridad se ajusta a un modelo de protección tipo defensa en profundidad con capas especializadas superpuestas que mitigan eventos de seguridad.

9) La gestión de solicitudes y mesa de ayuda cumple con los requisitos funcionales de negocio.

8.2 Aspectos no conformes La formulación de no conformidades sigue lo especificado en el Manual de Auditorías Internas de junio de 2015 del DAPRE:

1. Descripción del Problema

2. Evidencia Objetiva

3. Requisito que Incumple

¿Cuál es el requisito Incumplido con Respecto a los Criterios de Auditoría?

Son los registros, declaraciones de hechos o información que son pertinentes y verificables para los Criterios de Auditoria

Capítulo, Cláusula o Ítem incumplido relacionado con los Criterios de Auditoría

8



PROBLEMA EVIDENCIA REQUISITO ACCION

No se encontró referencia a las partes interesadas ni al marco de requisitos en materia de Seguridad de la Información.

Entrevista con el Asesor del área TI & SI, y Profesional SGSI

4.2 Entendiendo las necesidades y expectativas de las partes interesadas

Ver plan de acción fase 1.4

No existe un alcance formalmente definido (documentado) y el borrador planteado corresponde a la definición de alcance.

Entrevista con el representante del SGSI - Jefe oficina del área TI & SI; Asesor del área TI & SI; –y Profesional SGSI

4.3 Determinando el alcance del sistema de gestión de seguridad de la información


La política de SI en sus directrices no incluye referencias al compromiso hacia el cumplimiento de requisitos, hacia la mejora continua así como hacia la gestión de riesgos.

Entrevista con Asesor del área TI & SI;– y Profesional SGSI

5.2 Política Ver plan de acción fase 4.2

Las políticas describen lineamientos sobre tecnología (marcas de equipos móviles como BlackBerry) y directrices sobre uso de la tecnología, que pueden afectar directrices de neutralidad tecnológica.

Manual de políticas de seguridad para las TIC código M-TI-01

5.2 Política Ver plan de acción fase 4.2

Si bien existe un manual de funciones en la organización, no se evidencian autoridades, roles y responsabilidades en materia de seguridad de la información y riesgos relacionados, incluyendo el reporte de debilidades y vulnerabilidades.

Manual de Funciones

5.3 Roles, responsabilidades y autoridades en la organización


El enfoque de riesgos (según metodología de la institución) está orientado al riesgo clásico (negativo) sin considerar las oportunidades.

Lineamiento de Administración del Riesgo L-DE-01 2016/05/27 V9.

6.1 Acciones para atender riesgos y oportunidades

Ver plan de acción

fase 3

La identificación de riesgos está centrada en evento de riesgos (aun cuando la guía lo trata como riesgo) y sus causas hacen referencia a efectos sobre personal o hallazgo de auditoria que sobre objetivos del negocio.



Ver plan de acción

fase 3

La determinación del impacto en el análisis de riesgos considera lo propio a confidencialidad de la información más no hace referencia a la integridad y disponibilidad.



Ver plan de acción

fase 3

En el componente de valoración de riesgos no se encontró referencia a los criterios de riesgos y la comparación a ser realizada entre los riesgos y los criterios aplicables.



Ver plan de acción

fase 3

9




No existen objetivos definidos formalmente en materia de seguridad de la información. El borrador de objetivos presenta 4 posibles objetivos pero éstos no están alineados al desempeño o cumplimiento / conformidad en los requisitos.


6.2 Objetivos de seguridad de la información y planes para alcanzarlos


Se encontraron documentos obsoletos en uso.

Durante la inspección de registros de ingreso a áreas seguras se identificaron dos formatos iguales pero con codificación diferente: F-TI-08 Project Chárter y F-TI-14 Bitácora de centro de cómputo.

7.5 Información documentada


Se examina registro de riesgos para SGSI en el proceso de TI (5 riesgos).

Muestra: Falta de trazabilidad en las actuaciones de los usuarios finales. Se observan 6 efectos sin que se indique cuáles de esos efectos afectan (y como lo hacen) los O/N. En la escala afectada se tienen dos controles (capacitación y controles tecnológicos) que afectan tanto la probabilidad e impacto. El control “Controles Tecnológicos” no señala a que controles hace referencia.

8.1 Planeación y control operacional

Ver plan de acción

fases 3 y 4.6

No se realiza seguimiento, medición y evaluación de riesgos en SGSI.


8.2 Evaluación de riesgos en seguridad de la información

Ver plan de acción

fase 3 No se observa trazabilidad entre mecanismos de tratamiento vs. los riesgos que están siendo atendidos.


8.3 Tratamiento de riesgos en seguridad de la información

Ver plan de acción

fase 3 No se encontró evidencia de medición, análisis y supervisión del desempeño de la seguridad de la información y los objetivos relacionados.


9.1 Supervisión, medición, análisis y evaluación

Ver plan de acción

fase 8

No se ha realizado revisión formal por la dirección al SGSI.


9.3 Revisión por la dirección

Ver plan de acción

fase 8

10




No existen No conformidades (NC), Acciones correctivas (AC), Acciones de mejora (AM) definidas para el SGSI.


10.1 No conformidades y acciones correctivas


La estructura actual de políticas compila toda la colección de políticas de manera indistinta a su aplicación, lo cual, además de ser extenso, ofrece el riesgo de confusión a sus lectores.

Manual de Políticas de Seguridad para las TIC código M-TI-01

A.5.1.1 - Políticas para la seguridad de la información


No se encuentra evidencia de revisión de políticas de seguridad de la información aun cuando existe una nueva versión en estado borrador.

Entrevista con el representante del SGSI - Jefe oficina del área TI & SI; Asesor del área TI & SI; y Profesional SGSI

A.5.1.2 - Revisión de las políticas para la seguridad de la información

Ver plan de acción

fases 4.2 y 8

Las tareas se segregan a partir de buenas prácticas profesionales pero no se basan en un análisis de riesgos que determine las necesidades de segregación.

Entrevista con el representante del SGSI - Jefe oficina del área TI & SI; Asesor del área TI & SI.

A.6.1.2 - Segregación de tareas


No se encuentra evidencia sobre cómo se gestiona la seguridad de la información en los proyectos que realiza la organización. El enfoque metodológico está basado en ¿PMI? pero no se menciona el enfoque hacia la seguridad de la información.

Entrevista con el representante del SGSI - Jefe oficina del área TI & SI; Asesor del área TI & SI.

A.6.1.5 - Seguridad de la información en gestión de proyectos


Si bien se informa que no existe Teletrabajo en la práctica se tiene acceso a información desde equipos celulares, incluyendo la generación de Tokens.

Manual de Políticas de Seguridad para las TIC código M-TI-01.

A.6.2.2 – Teletrabajo Ver plan de acción fase 5.1

No se han realizado actividades de formación o toma de conciencia en el año 2016 en materia de Seguridad de la Información.

En entrevista con el personal del Área de Talento Humano se reporta que no han participado en ejercicios de formación o toma de conciencia en SI o SGSI en el año 2016. La última experiencia es del año 2015 campaña denominada “La seguridad soy Yo”

A.7.2.2 - Toma de conciencia, educación y entrenamiento en seguridad de la información

Ver plan de acción

fase 6

Hay desconocimiento de procesos pertinentes al proceso de control interno disciplinario.

En entrevista con personal del área de control interno disciplinario se informa que no se conoce al grupo CSIRT y no se tiene en cuenta como posible fuente de acciones disciplinarias

A.7.2.3 - Proceso disciplinario

Ver plan de acción

fase 6

11




Dentro de las actividades de terminación o cambio en las responsabilidades del empleo.

Muestra: Asesor Área TTHH Retiro por renuncia 2016/12/15 Mediante correo se le solicita declaración de bienes y rentas, formato de entrega de actividades del contrato, carné o su denuncia, formato de activos fijos, orden de examen médico. No se solicita devolución de posibles activos de información en su poder El software de nómina produce órdenes automáticas para el área de TI para activar o desactivas los derechos a los usuarios.

A.7.3.1 - Terminación o cambio en las responsabilidades del empleo


Se mezclan activos tecnológicos con activos de información.


A.8.1.1 - Inventario de activos

Ver plan de acción

fase 2

No se han identificado con precisión todos los activos de información de todos los procesos de la Entidad.


A.8.1.1 - Inventario de activos

Ver plan de acción

fase 2

Se han identificado reglas de uso de activos que se encuentran mezcladas con las políticas de seguridad de información, lo que produce falta de claridad sobre la diferencia entre reglas y políticas.


A.8.1.3 - Uso aceptable de los activos

Ver plan de acción

fase 2

Dentro de las actividades de terminación o cambio en las responsabilidades del empleo no se referencia lo pertinente a devolución de activos.

Muestra: Asesor Área de Talento Humano Retiro por renuncia 2016/12/15. Mediante correo se le solicita declaración de bienes y rentas, entrega de actividades del contrato, carné o denuncia, formato de activos fijos, orden de examen médico.

A.8.1.4 - Devolución de activos

Ver plan de acción

fase 2

Se hace uso de clasificaciones de información no definidas.

Se hace uso de terminología “documento confidencial”, clasificación que no ha sido definida por la entidad.

A.8.2.1 - Clasificación de la información

Ver plan de acción

fase 2

12




Asegurar que la clasificación de la información considere requisitos jurídicos, valor organizacional, criticidad y que tan sensible es esa información.


A.8.2.1 - Clasificación de la información

Ver plan de acción

fase 2

El procedimiento de clasificación de la información no establece esquemas de etiquetado de la información.


A.8.2.2 - Etiquetado de la información

Ver plan de acción

fase 2

No se encontraron procedimientos para manejo de activos según la clasificación de activos.


A.8.2.3 - Manejo de activos Ver plan de acción

fase 2

No se encontraron procedimientos formales para eliminación de medios.


A.8.3.2 - Eliminación de medios

Ver plan de acción

fase 2

Se hace énfasis en componentes de tecnología y no cuenta con descripciones asociadas a permisos de acceso a la información de acuerdo con los esquemas de clasificación adoptados por la Entidad.

Manual de Políticas de Seguridad para las TIC código M-TI-01.

A.9.1.1 - Política de control de acceso


Los derechos de acceso de los usuarios se verifican antes de la asignación de la cuenta, pero no se encontró evidencia de una proceso de revisión periódica de derechos de acceso, por ejemplo durante las auditorias de seguridad o cuando se realicen pruebas de análisis de vulnerabilidades.

Visita a sitio – área TI A.9.2.5 - Revisión de derecho de acceso de los usuarios


No se evidencia la mejora continua aplicada a la gestión de acceso.

Entrevista con el representante del SGSI - Jefe oficina del área TI & SI; Asesor del área TI & SI

A.9.2.6 - Remoción o ajuste de derechos de acceso


Los procesos de reléase y deployment de nuevas versiones exponen el código fuente una vez el código fuente ha superado las pruebas funcionales y de seguridad.

Visita a sitio – área TI A.9.4.5 - Control de acceso al código fuente de las aplicaciones


La política de controles criptográficos no describe las decisiones que ha adoptado la entidad en materia de criptografía.


A.10.1.1 - Política de uso de controles criptográficos


13




No se cuenta aún con una política clara de gestión de llaves criptográficas aunque se usan diversos controles criptográficos.


A.10.1.2 - Gestión de claves


Los controles de trabajo en áreas seguras no son siempre aplicados.

Durante las inspecciones a centro de datos, se presentaron olvidos en el diligenciamiento de firma de salida de visitantes.

A.11.1.5 - Trabajo en áreas seguras


Los controles de remoción de activos no siempre son eficaces pues permiten el retiro no autorizado de equipos de TI.

Prueba de retiro de un equipo S/N 88224 realizada en forma exitosa por el equipo de auditoria Se tiene un procedimiento de retiro de equipos y una aplicación para control del retiro de equipos de propiedad de la Entidad.

A.11.2.5 - Remoción de activos


No se identificó evidencia de recomendaciones de seguridad para equipos de la entidad que sean retirados de las dependencias.

Prueba de retiro de un equipo S/N 88224 realizada en forma exitosa por el equipo de auditoria

A.11.2.6 - Seguridad de equipos y activos fuera de su sitio


No realiza a intervalos planificados gestión de la capacidad.

Está documentado un procedimiento de gestión de capacidad la entidad

A.12.1.3 - Gestión de la capacidad


Si bien las pruebas se realizan, es el software de copia de respaldo y no los operadores quienes realizan verificación de respaldos.

Manual de Políticas de Seguridad para las TIC código M-TI-01

A.12.3.1 - Backup (copia de respaldo) de la información


El manual de políticas de seguridad no es preciso en identificar y establecer principios sobre la transferencia de archivos e información (analógica/física y digital).

El Manual de Políticas de Seguridad (Sección 4.1 del manual de políticas de seguridad)

A.13.2.1 - Políticas y procedimientos para la transferencia de información


No se encontró evidencia concreta de este control.

Visita a sitio – área TI A.13.2.2 - Acuerdos en la transferencia de información


Existen controles que la entidad documenta como obligatorios en sus políticas, pero no se está cumpliendo en todos los casos como: “registrar el software en la dirección general de derechos de autor”.

Sección 4.1.24 del manual de políticas de seguridad

A.14.1.2 - Aseguramiento de servicios de aplicaciones en redes públicas


No se encontraron evidencias de pruebas de análisis de vulnerabilidades después de cambios en sistemas operacionales.

Visita a sitio – área TI

A.14.2.3 - Revisión técnica de aplicaciones luego de cambios en plataformas de producción


14




Aunque se aplican principios y prácticas de seguridad, no se están sustentando las decisiones sobre la base de la identificación de riesgos de seguridad.


A.14.2.5 - Principios de la ingeniería de sistemas seguros


No se cuenta con un conjunto de datos de prueba preparados específicamente para evitar divulgación de información no autorizada.

Visita a sitio – área TI A.14.3.1 - Protección de datos de prueba


En los contratos con personal y contratistas no se observan instrucciones en materia de manejo de reportes de debilidades y vulnerabilidades.

Entrevista: Área Talento Humano, Coordinadora grupo vinculaciones. Muestra: Funcionario Vinculada 2016/12/02.

A.16.1.2 - Reporte de eventos de seguridad de la información


En los contratos con personal y contratistas no se observan instrucciones en materia de manejo de reportes de debilidades y vulnerabilidades.

Entrevista: Área Talento Humano, Coordinadora grupo vinculaciones. Muestra: Funcionario Vinculada 2016/12/02.

A.16.1.3 - Reporte de debilidades en la seguridad de la información


No se encontró evidencia formal que sustente las decisiones de infraestructura de TI que se han adoptado.

Visita a sitio – Área TI A.17.1.1 - Planeación de la continuidad de la seguridad de la información


No se encontró evidencia de un plan formal de continuidad de negocio, pero toda la infraestructura en tolerantes a fallas.

Visita a sitio – Área TI A.17.1.1 - Planeación de la continuidad de la seguridad de la información


No se encontró un enfoque formal para determinar el cumplimiento y conformidad de requisitos del SGSI.

Visita a sitio – Área TI A.18.1.1 – Identificar requisitos legales y contractuales aplicables


No se encontró identificación, determinación, seguimiento y control de cumplimiento y conformidad de requisitos del SGSI.

Visita a sitio – Área TI A.18.1.1 – Identificar requisitos legales y contractuales aplicables


8.3 Oportunidad de mejora

ASPECTO OBSERVACIÓN


Fortalecer los esquemas de parametrización de probabilidad

Fortalecer los esquemas de parametrización de impacto

Unificar y asegurar la alineación de términos y definiciones con estándares reconocidos en riesgos y seguridad de la información Incorporar mecanismos de control de transferencia física de medios para información en soporte físico / analógico conforme a la Ley General de Archivo y la Ley de Transparencia

A.6.1.1 - Roles y responsabilidades de la seguridad de la información.

Ver ISO 27001:2013 5.3

15



ASPECTO OBSERVACIÓN A.7.1.2 - Términos y condiciones para el empleo.

Asegurar que las políticas correspondan al riesgo propio de cada rol

A.8.1.2 - Propiedad de los activos Fortalecer la relación entre propietarios de activos, el proceso a cargo, la autoridad, roles y responsabilidad (demostrada) para cada activo

A.8.1.3 - Uso aceptable de los activos

Asegurar que la definición de uso aceptable de activos contemple como esos activos (y su uso) contribuyen al logro de los objetivos de la organización

A.8.3.2 - Eliminación de medios Asegurar que la eliminación de medios está definida tanto para medios de información en soporte digital como analógico/físico.

A.8.3.3 - Transferencia física de medios

Formalizar los mecanismos de transporte interno (en la institución)

A.9.1.1 - Política de control de acceso

Aplicar las buenas prácticas definidas en la norma NTC ISO IEC 27002:2013

A.9.1.2 - Acceso a redes y servicios de red

Mejorar el proceso al incorporar los elementos y roles del catálogo de servicios de TI D-TI-01 al incluir las actividades de control de verificación de roles

A.9.2.4 - Gestión de información secreta de autenticación de usuarios

Examinar las ventajas de definir un estándar de contraseñas para usuarios de administración de TI con reglas más fuertes

A.12.1.2 - Gestión del cambio Mejorar los procesos de cierre de los cambios.

A.12.5.1 - Instalación de software en sistemas en producción.

Fortalecer la distribución y aprendizaje de las lecciones aprendidas.

A.12.6.1 - Gestión de vulnerabilidades técnicas.

Fortalecer la periodicidad de la ejecución de pruebas de vulnerabilidades ya que solo se ejecutan bajo pedido o cuando se liberan nuevas versiones de software, pero se deberían realizar pruebas de vulnerabilidades técnicas a intervalos planificados o cuando ocurran cambios que puedan afectar a la seguridad de la información.

A.12.7.1 - Control de auditoría sistemas de información.

Fortalecer el conocimiento del equipo auditor de control interno en técnicas de auditoria en seguridad informática y auditoria de sistemas.

Asegurar un control estricto al uso de formatos de auditoria para evitar modificación de documentos controlados del sistema.

A.14.1.2 - Aseguramiento de servicios de aplicaciones en redes públicas.

Fortalecer el proceso mediante mejores controles en la salida a producción de las nuevas versiones y el uso de software de análisis estático y análisis dinámico de código fuente para determinar vulnerabilidades como: Apuntadores huérfanos, Buffer Overflow, inadecuadas prácticas en gestión de configuración de variables.

A.14.2.1 - Política de desarrollo seguro.

Fortalecer el proceso con herramientas de versionamiento de software final Verificar la política de seguridad en el desarrollo de software, identificando que controles aún son necesarios y que nuevos controles deben ser incorporados a los proceso de desarrollo de software.

A.14.2.8 - Prueba de seguridad de los sistemas.

Las pruebas se aplican antes de la liberación de nuevas versiones pero también se deberían ejecutar a intervalos planificados como respuesta preventiva a cambios introducidos en el software.

16



ASPECTO OBSERVACIÓN

A.14.3.1 - Protección de datos de prueba.

Asegurar que dentro de los procesos de ciclo de vida del software se consideren etapas de construcción de datos de prueba para evitar el uso de datos reales.

A.16.1.4 - Evaluación y decisiones en eventos de seguridad de la información.

Mejorar los procesos de evaluación de incidentes e informes mediante la aplicación de estándares de evaluación de impacto de eventos a través del tiempo requerido o utilizado para atender incidentes de seguridad.

A.16.1.6 - Aprendizaje de los incidentes de seguridad de la información.

Asegurar que se realiza la distribución de las lecciones aprendidas generadas por los cambios.

Adicionalmente,

1) Mejorar los procesos de arquitectura empresarial para que todas las dependencias y áreas de la Entidad aprovechen la infraestructura de TI.

2) Mejorar la documentación del sistema de gestión de servicios de tecnología (ITIL) para adecuarla a las verdaderas capacidades institucionales y no a estados ideales teóricos.

9. CONCLUSIONES DE LA AUDITORIA

Evaluado el proceso de TI como alcance (temporal) del Sistema de Gestión de Seguridad de la Información conforme a la norma técnica ISO/IEC 27001:2013 se concluye que:

1. Existe una fuerte gestión tecnológica de la información, con énfasis en lo informático, basada en medios y tecnología de punta, que le permite a la institución responder (en mayor medida y con seguridad razonable) a los retos y amenazas actuales del entorno;

2. El Sistema de Gestión de Seguridad de la Información está en sus fases tempranas

(conceptualización y diseño) con avances en su implementación derivados de la fortaleza tecnológica de la institución.

3. Existen problemas de enfoque técnico y metodológico en la guía de identificación, análisis, valoración y tratamiento de riesgos, incluyendo la trazabilidad riesgo - control. La gestión de riesgos es la base (y núcleo) del Sistema de Gestión de Seguridad de la Información.

4. En cuando a la capacidad de recuperación ante la ocurrencia de incidentes catastróficos,

la entidad cuenta con una avanzada infraestructura tecnológica que incluye respaldos aplicables pero es necesario fortalecer los procesos (y personal relacionado) que permitan asegurar esa recuperación.

17



10. PLAN DE ACCIÓN SUGERIDO

FASE ACTIVIDADES MES

1 2 3 4 5 6 7 8 9 10 11 1. ANÁLISIS DE

LA ENTIDAD 1.1. Plan levantamiento de información 1.2. Análisis institucional.

- Estructura orgánica organizacional. - Procesos y procedimientos. - Controles enunciados y operativos. - Funciones y competencias. - Sistemas de gestión. - Planeación estratégica. - Políticas sectoriales e internas. - Tablas de retención documental. - Acuerdos de servicio. - Gestión de proyectos.

1.3. Análisis de mejora continua. - Auditorías (internas y externas). - Materialización eventos de riesgo

(ámbito: información). - Planes de mejoramiento.

1.4. Contexto, Cumplimiento y conformidad. - Identificación de partes interesadas - Requisitos legales y regulatorios. - Objetivos y metas de seguridad. - Obligaciones contractuales.

2. ANÁLISIS DE INFORMACIÓN

- ISO 27002 - ISO 27004

2.1. Inventario y clasificación de activos de información y sus responsables.

2.2. Tercerización de procesos. 2.3. Identificación de interfaces. 2.4. Reglas de uso aceptable de activos. 2.5. Gestión de medios y soportes.

3. ANÁLISIS DEL RIESGO

- ISO 27004 - ISO 27005 - ISO 31000

3.1. Definición marco metodológico. 3.2. Examen unitario de vulnerabilidad y

ocurrencia de eventos/incidentes. 3.3. Inventario de consecuencias y su

calificación según grado de impacto. 3.4. Mapa fuentes riesgo y amenazas. 3.5. Determinación factores de riesgo. 3.6. Diseño criterios aceptación del riesgo. 3.7. Esquema calificado de riesgo. 3.8. Identificación de controles. 3.9. Acciones de tratamiento para el riesgo. 3.10. Declaración de aplicabilidad.

18



FASE ACTIVIDADES MES

1 2 3 4 5 6 7 8 9 10 11 4. DISEÑO DEL

SISTEMA DE GESTION DE SEGURIDAD DE INFORMACION

(ISMS) - ISO 27001 - ISO 27002

4.1. Determinación del alcance del SGSI 4.2. Formulación estratégica (Políticas,

objetivos, alcance y exclusiones). 4.3. Creación del comité de seguridad. 4.4. Definición reglas de uso aceptable de

información y recursos asociados. 4.5. Inclusión de procedimientos específicos la

industria de software. 4.6. Documentación Sistema de gestión de

seguridad de información (ISMS). 4.7. Diseño de métricas (indicadores) (cuadro

de mando integral). 4.8. Acuerdos en gestión segura de información

5. DISEÑO DE LA ARQUITECTURA DE SEGURIDAD

5.1. Arquitectura de seguridad informática: - Orientación al cumplimiento. - Actualización y fortalecimiento. - Diseño de esquemas operativos - Proyectos de información y/o TI. - Teletrabajo y dispositivos móviles. - Desarrollo/mantenimiento de tecnologías. - Gestión de la capacidad. - Continuidad del negocio.

5.2. Plan priorizado de remediación. - Determinación Autoridades, roles y

responsabilidades (RACI) - Mejora en la documentación.

5.3. Plan de manejo de incidentes.

6. FORMACIÓN ISO 27001

6.1. Formación auditores internos en sistemas de gestión de seguridad de la información ISO/IEC 27001:2013

6.2. Formación general al talento humano en temas clave del SGSI

7. PUESTA EN MARCHA Y

MONITOREO

7.1. Implementación del ISMS. 7.2. Monitoreo y supervisión.

- Riesgos y Controles - Vulnerabilidades y debilidades - Incidentes y su respuesta

7.3. Análisis de hallazgos (alta dirección) 7.4. Planeación, Implementación y seguimiento

a acciones de mejora

8. MEJORA CONTINUA

8.1. Auditoría interna. 8.2. Acompañamiento en el análisis y

tratamiento de No Conformidades. 8.3. Acompañamiento en la revisión por la

dirección 8.4. Certificación LL-C (por IMS Global SAS)

19



DOCUMENTACION BASE DE UN SGSI Un Sistema de Gestión de Seguridad de la Información tiene como información documentada básica la siguiente estructura:

1. Alcance 2. Políticas 3. Objetivos (SGSI), planes para alcanzarlos y su monitoreo/medición 4. Gestión de Riesgos (identificación, análisis y tratamiento) 5. Declaración de Aplicabilidad 6. Partes interesadas y requisitos 7. Gestión de activos así como reglas y principios relacionados 8. Procedimientos de control operativo 9. Programa de auditorías y auditorías 10. Operatividad de la mejora continua 11. Revisión por la dirección 12. Aseguramiento de competencias 13. Gestión de incidentes 14. Gestión de la continuidad del negocio

Otros documentos adicionales son ya los operacionales que garanticen la funcionalidad y eficacia del Sistema de Gestión de Seguridad de la Información. De igual manera, se espera que existan documentos relacionados con la operatividad de la mejora continua. EQUIPO AUDITOR: Ing. Juan Carlos Angarita C., M.E. [email protected] Cel. +57 3172514001 Skype. Jcangarita Ing. Juan Carlos Alarcón S., M.E. [email protected] Cel. +57 3125216640

informe de auditoría interna sistema de gestión de...

Documents