TABLA DE CONTENIDO
2
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
1. OBJETIVO DE LA AUDITORIA
2. ALCANCE DE LA AUDITORIA
3. PROCESO AUDITADO
Constitucin Poltica. Artculo 15. Reconoce como Derecho Fundamental el Habeas Data;
Artculo 20. Libertad de Informacin.
Ley 527 de 1999. Por medio de la cual se define y se reglamenta el acceso y uso de los
mensajes de datos, comercio electrnico y de las firmas digitales, y se establecen las
entidades de certificacin y se dictan otras disposiciones
1 Se defini alcance temporal para viabilizar la auditora ante la ausencia de un alcance definido y aprobado.
3
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
Ley 1266 de 2008. Por la cual se dictan las disposiciones generales del Hbeas Data y se
regula el manejo de la informacin contenida en bases de datos personales, en especial la
financiera, crediticia, comercial, de servicios y la proveniente de terceros pases
Ley 1273 de 2009. Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien
jurdico tutelado denominado de la proteccin de la informacin y de los datos y se
preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las
comunicaciones, entre otras disposiciones. Art. 199. Espionaje; Art. 258. Utilizacin indebida
de informacin; Art. 418. Revelacin de Secreto; Art. 419. Utilizacin de asunto sometido a
secreto o reserva; Art. 420. Utilizacin indebida de informacin oficial; Artculo 431. Utilizacin
indebida de informacin obtenida en el ejercicio de la funcin pblica; Artculo 463. Espionaje.
Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la Proteccin de Datos
Personales.
Ley 1621 de 2013. Por medio de la cual se expiden normas para fortalecer el marco jurdico
que permite a los organismos que llevan a cabo actividades de inteligencia y
contrainteligencia cumplir con su misin constitucional y legal y se dictan otras disposiciones.
Ley 1712 de 2014. Por medio de la cual se crea la ley de transparencia y del derecho de
acceso a la informacin pblica nacional y se dictan otras disposiciones.
Decreto 1727 de 2009. Por el cual se determina la forma en la cual los operadores de los
bancos de datos de informacin financiera, crediticia, comercial, de servicios y la proveniente
de terceros pases, deben presentar la informacin de los titulares de la informacin
Decreto 2952 de 2010. Por el cual se reglamentan los artculos 12 y 13 de la Ley 1266 de
2008
Decreto 1377 de 2013. Por el cual se reglamenta parcialmente la Ley 1581 de 2012
Decreto 886 de 2014. Por el cual se reglamenta el artculo 25 de la Ley 1581 de 2012
Decreto 1083 de 2015. Por el cual se reglamenta el artculo 25 de la Ley 1581 de 2012
Decreto 415 de 2016. Por el cual se reglamenta el artculo 25 de la Ley 1581 de 201
definicin de los lineamientos para el fortalecimiento institucional en materia de tecnologas
de la informacin y las comunicaciones
5. ASPECTOS GENERALES
5.2 Responsabilidad
5
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
La informacin tomada para la elaboracin del presente informe y durante el ejercicio de la visita,
fue proporcionada bajo la estricta responsabilidad de los funcionarios de las dependencias
relacionadas en el alcance, as como de la consulta efectuada en el aplicativo SIGOB.
Por ltimo, es responsabilidad del equipo auditor producir un informe objetivo que refleje los
resultados del proceso auditor, observaciones y/o recomendaciones, en cumplimento de los
objetivos propuestos para la misma.
El equipo auditor estableci plan de auditora que fue remitido a la Oficina de Control Interno de
Gestin y consecuentemente a las reas participantes del proceso de auditora. Ver Anexo.
Con base en el plan, el equipo de auditora, mediante muestreo, examin la conformidad actual
del Sistema de Gestin de Seguridad de la Informacin (SGSI) del Departamento Administrativo
de la Presidencia de la Republica frente a los requisitos de la norma tcnica internacional
ISO/IEC 27001:2013 a manera de criterio de auditora.
Frente a lo anterior, y una vez evaluados los documentos solicitados as como los disponibles
en los aplicativos de la Entidad, se presentan los siguientes resultados (Conformidades, No
conformidades y Oportunidades de Mejora).
6. DESARROLLO DE LA AUDITORIA
El clculo de tiempo fue adecuado para dar cobertura completa al alcance (temporal) definido
para el desarrollo de esta auditora.
Dado que sta es la primera auditora interna formal al Sistema de Gestin de Seguridad de la
Informacin (SGSI) del Departamento Administrativo de la Presidencia de la Republica, en el
proceso indicado (Proceso de TI), ni se han realizado acciones formales de mejora (utilizando
las herramientas provistas por el Sistema de Gestin de Seguridad de la Informacin) no aplica
esta seccin.
6
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
8. RESULTADOS DE LA AUDITORIA
7
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
8
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
9
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
11
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
13
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
ASPECTO OBSERVACIN
Fortalecer los esquemas de parametrizacin de probabilidad
Fortalecer los esquemas de parametrizacin de impacto
6.1 Acciones para atender riesgos Unificar y asegurar la alineacin de trminos y definiciones con
y oportunidades estndares reconocidos en riesgos y seguridad de la informacin
Incorporar mecanismos de control de transferencia fsica de medios
para informacin en soporte fsico / analgico conforme a la Ley
General de Archivo y la Ley de Transparencia
A.6.1.1 - Roles y responsabilidades
Ver ISO 27001:2013 5.3
de la seguridad de la informacin.
14
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
ASPECTO OBSERVACIN
A.7.1.2 - Trminos y condiciones Asegurar que las polticas correspondan al riesgo propio de cada
para el empleo. rol
Fortalecer la relacin entre propietarios de activos, el proceso a
A.8.1.2 - Propiedad de los activos cargo, la autoridad, roles y responsabilidad (demostrada) para cada
activo
Asegurar que la definicin de uso aceptable de activos contemple
A.8.1.3 - Uso aceptable de los
como esos activos (y su uso) contribuyen al logro de los objetivos
activos
de la organizacin
Asegurar que la eliminacin de medios est definida tanto para
A.8.3.2 - Eliminacin de medios
medios de informacin en soporte digital como analgico/fsico.
A.8.3.3 - Transferencia fsica de
Formalizar los mecanismos de transporte interno (en la institucin)
medios
A.9.1.1 - Poltica de control de Aplicar las buenas prcticas definidas en la norma NTC ISO IEC
acceso 27002:2013
Mejorar el proceso al incorporar los elementos y roles del catlogo
A.9.1.2 - Acceso a redes y
de servicios de TI D-TI-01 al incluir las actividades de control de
servicios de red
verificacin de roles
A.9.2.4 - Gestin de informacin
Examinar las ventajas de definir un estndar de contraseas para
secreta de autenticacin de
usuarios de administracin de TI con reglas ms fuertes
usuarios
A.12.1.2 - Gestin del cambio Mejorar los procesos de cierre de los cambios.
A.12.5.1 - Instalacin de software
Fortalecer la distribucin y aprendizaje de las lecciones aprendidas.
en sistemas en produccin.
Fortalecer la periodicidad de la ejecucin de pruebas de
vulnerabilidades ya que solo se ejecutan bajo pedido o cuando se
A.12.6.1 - Gestin de liberan nuevas versiones de software, pero se deberan realizar
vulnerabilidades tcnicas. pruebas de vulnerabilidades tcnicas a intervalos planificados o
cuando ocurran cambios que puedan afectar a la seguridad de la
informacin.
Fortalecer el conocimiento del equipo auditor de control interno en
tcnicas de auditoria en seguridad informtica y auditoria de
A.12.7.1 - Control de auditora sistemas.
sistemas de informacin.
Asegurar un control estricto al uso de formatos de auditoria para
evitar modificacin de documentos controlados del sistema.
Fortalecer el proceso mediante mejores controles en la salida a
A.14.1.2 - Aseguramiento de produccin de las nuevas versiones y el uso de software de anlisis
servicios de aplicaciones en redes esttico y anlisis dinmico de cdigo fuente para determinar
pblicas. vulnerabilidades como: Apuntadores hurfanos, Buffer Overflow,
inadecuadas prcticas en gestin de configuracin de variables.
Fortalecer el proceso con herramientas de versionamiento de
software final
A.14.2.1 - Poltica de desarrollo Verificar la poltica de seguridad en el desarrollo de software,
seguro. identificando que controles an son necesarios y que nuevos
controles deben ser incorporados a los proceso de desarrollo de
software.
Las pruebas se aplican antes de la liberacin de nuevas versiones
A.14.2.8 - Prueba de seguridad de
pero tambin se deberan ejecutar a intervalos planificados como
los sistemas.
respuesta preventiva a cambios introducidos en el software.
15
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
ASPECTO OBSERVACIN
Asegurar que dentro de los procesos de ciclo de vida del software
A.14.3.1 - Proteccin de datos de
se consideren etapas de construccin de datos de prueba para
prueba.
evitar el uso de datos reales.
Mejorar los procesos de evaluacin de incidentes e informes
A.16.1.4 - Evaluacin y decisiones
mediante la aplicacin de estndares de evaluacin de impacto de
en eventos de seguridad de la
eventos a travs del tiempo requerido o utilizado para atender
informacin.
incidentes de seguridad.
A.16.1.6 - Aprendizaje de los
Asegurar que se realiza la distribucin de las lecciones aprendidas
incidentes de seguridad de la
generadas por los cambios.
informacin.
Adicionalmente,
1) Mejorar los procesos de arquitectura empresarial para que todas las dependencias y
reas de la Entidad aprovechen la infraestructura de TI.
2) Mejorar la documentacin del sistema de gestin de servicios de tecnologa (ITIL) para
adecuarla a las verdaderas capacidades institucionales y no a estados ideales tericos.
9. CONCLUSIONES DE LA AUDITORIA
16
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
MES
FASE ACTIVIDADES
1 2 3 4 5 6 7 8 9 10 11
1. ANLISIS DE 1.1. Plan levantamiento de informacin
LA ENTIDAD 1.2. Anlisis institucional.
- Estructura orgnica organizacional.
- Procesos y procedimientos.
- Controles enunciados y operativos.
- Funciones y competencias.
- Sistemas de gestin.
- Planeacin estratgica.
- Polticas sectoriales e internas.
- Tablas de retencin documental.
- Acuerdos de servicio.
- Gestin de proyectos.
1.3. Anlisis de mejora continua.
- Auditoras (internas y externas).
- Materializacin eventos de riesgo
(mbito: informacin).
- Planes de mejoramiento.
1.4. Contexto, Cumplimiento y conformidad.
- Identificacin de partes interesadas
- Requisitos legales y regulatorios.
- Objetivos y metas de seguridad.
- Obligaciones contractuales.
2. ANLISIS DE 2.1. Inventario y clasificacin de activos de
INFORMACIN informacin y sus responsables.
2.2. Tercerizacin de procesos.
- ISO 27002 2.3. Identificacin de interfaces.
- ISO 27004 2.4. Reglas de uso aceptable de activos.
2.5. Gestin de medios y soportes.
3. ANLISIS DEL 3.1. Definicin marco metodolgico.
RIESGO 3.2. Examen unitario de vulnerabilidad y
ocurrencia de eventos/incidentes.
- ISO 27004 3.3. Inventario de consecuencias y su
- ISO 27005 calificacin segn grado de impacto.
- ISO 31000 3.4. Mapa fuentes riesgo y amenazas.
3.5. Determinacin factores de riesgo.
3.6. Diseo criterios aceptacin del riesgo.
3.7. Esquema calificado de riesgo.
3.8. Identificacin de controles.
3.9. Acciones de tratamiento para el riesgo.
3.10. Declaracin de aplicabilidad.
17
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
MES
FASE ACTIVIDADES
1 2 3 4 5 6 7 8 9 10 11
4. DISEO DEL 4.1. Determinacin del alcance del SGSI
SISTEMA DE 4.2. Formulacin estratgica (Polticas,
GESTION DE objetivos, alcance y exclusiones).
SEGURIDAD DE 4.3. Creacin del comit de seguridad.
INFORMACION 4.4. Definicin reglas de uso aceptable de
(ISMS) informacin y recursos asociados.
4.5. Inclusin de procedimientos especficos la
industria de software.
- ISO 27001 4.6. Documentacin Sistema de gestin de
- ISO 27002 seguridad de informacin (ISMS).
4.7. Diseo de mtricas (indicadores) (cuadro
de mando integral).
4.8. Acuerdos en gestin segura de informacin
5. DISEO DE LA 5.1. Arquitectura de seguridad informtica:
ARQUITECTURA - Orientacin al cumplimiento.
DE SEGURIDAD - Actualizacin y fortalecimiento.
- Diseo de esquemas operativos
- Proyectos de informacin y/o TI.
- Teletrabajo y dispositivos mviles.
- Desarrollo/mantenimiento de tecnologas.
- Gestin de la capacidad.
- Continuidad del negocio.
5.2. Plan priorizado de remediacin.
- Determinacin Autoridades, roles y
responsabilidades (RACI)
- Mejora en la documentacin.
5.3. Plan de manejo de incidentes.
6. FORMACIN 6.1. Formacin auditores internos en sistemas
ISO 27001 de gestin de seguridad de la informacin
ISO/IEC 27001:2013
6.2. Formacin general al talento humano en
temas clave del SGSI
7. PUESTA EN 7.1. Implementacin del ISMS.
MARCHA Y 7.2. Monitoreo y supervisin.
MONITOREO - Riesgos y Controles
- Vulnerabilidades y debilidades
- Incidentes y su respuesta
7.3. Anlisis de hallazgos (alta direccin)
7.4. Planeacin, Implementacin y seguimiento
a acciones de mejora
8. MEJORA 8.1. Auditora interna.
CONTINUA 8.2. Acompaamiento en el anlisis y
tratamiento de No Conformidades.
8.3. Acompaamiento en la revisin por la
direccin
8.4. Certificacin LL-C (por IMS Global SAS)
18
INFORME DE AUDITORIA INTERNA DE
GESTIN
Proceso asociado: Evaluacin, Control y Mejoramiento
1. Alcance
2. Polticas
3. Objetivos (SGSI), planes para alcanzarlos y su monitoreo/medicin
4. Gestin de Riesgos (identificacin, anlisis y tratamiento)
5. Declaracin de Aplicabilidad
6. Partes interesadas y requisitos
7. Gestin de activos as como reglas y principios relacionados
8. Procedimientos de control operativo
9. Programa de auditoras y auditoras
10. Operatividad de la mejora continua
11. Revisin por la direccin
12. Aseguramiento de competencias
13. Gestin de incidentes
14. Gestin de la continuidad del negocio
EQUIPO AUDITOR:
19