CENTRO DE SERVICIOS FINANANCIEROS COLOMBIA 20 DE JUNIO DE 2019 Señores E.E.S Popayán
Asunto: Plan de Mejora para auditoria 2019 - Municipio de Popayán - Cauca –
E.E.S.
Cordial Saludo.
Por medio de este documento, me permito presenta el informe de la auditoria que
se le realizo a esta empresa durante el primer semestre del 2019, teniendo como resultado que esta empresa presenta varios hallazgos establecidos por el equipo auditor, los cuales serán objeto de subsanar mediante acciones que serán expuestas en el plan de mejoramiento. OBJETIVOS DE LA AUDITORÍA
Evaluar las operaciones y actos administrativos y financieros, verificando y
determinando el cumplimiento de los procedimientos de acuerdo a las leyes y a la norma ISO 27002 tanto internas como externas, a fin de garantizar que los objetivos de la Institución se cumplan dentro de los criterios de eficacia y eficiencia y de gestión y transparencia.
Emitir un diagnóstico sobre los sistemas de trabajo, permitiendo tomar
decisiones sobre los cuales se hallaron hallazgos.
Presentar un Plan de Mejora, teniendo en cuenta los hallazgos encontrados
en la auditoria. RESULTADOS DE LA AUDITORÍA TABLA DE RESULTADOS. PRESENTACIÓN DEL PLAN DE MEJORA
PLAN DE MEJORAMIENTO: E.E.S
No. Descripción del hallazgo Cumplimiento Acción correctiva Plazo Hallazgo de control en meses de la acción POLITICA DE Construir e implementar SEGURIDAD. el documento de la Política de Política de Seguridad Seguridad de la donde se presenten las 1 Información. Bajo reglas, normas y 2 Documento protocolos de actuación de la política que se encargan de velar de por la seguridad seguridad informática de la de la empresa. Logrando información. obtener el plan para Revisión de combatir todos los la política de riesgos a los que está seguridad expuesta la empresa en de la el mundo digital. información
ESTRUCTURA Establecer una
ORGANIZATIVA PARA estructura de gestión y LA SEGURIDAD. control para la Organización implementación 2 Interna. de Seguridad de la Bajo Información dentro de la Terceras partes empresa por medio del 3 Comité de seguridad de la información, el cual será el encargado de coordinar toda la implementación de la seguridad en todos los niveles de la empresa bajo los acuerdos de confidencialidad. Asegurar en un nivel de CLASIFICACIÓN Y protección CONTROL DE ACTIVOS. adecuado a los 3 Responsabilidad activos de sobre los activos. información. 2 Clasificación de la La información información. Medio debe clasificarse para indicar las necesidades, prioridades y grado de protección. Todos los activos deben ser considerados y tener un propietario asignado. Debe identificarse los propietarios para todos los activos importantes, y se debe asignar responsabilidad del mantenimiento de los controles apropiados. todos los archivos deben ser claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes. Capacitar al encargado de la seguridad SEGURIDAD EN EL personal de la PERSONAL. empresa para que reciba información 4 Antes del empleo. y formación Durante el empleo. Medio adecuadas sobre Terminación o las medidas de 2 cambio del seguridad que empleo. deben adoptarse en la empresa, logrando identificar, evaluar y controlar los peligros o riesgos asociados a la actividad laboral y fomentar las actividades formativas y medidas destinadas a prevenir y evitar estos riesgos, o contratar a una empresa especializada en prevención de riesgos laborales para que le preste asesoramiento externo durante todas las etapas de seguridad en el personal. utilizar perímetros de seguridad para proteger las áreas que contienen SEGURIDAD FÍSICA Y información y DEL ENTORNO. servicios de procesamiento de Áreas Seguras. Medio información. Seguridad de los definir claramente 5 Equipos. los perímetros de seguridad y la 4 ubicación de cada uno. Controlar el acceso a los sitios que contengan información dejándolo restringido únicamente al personal autorizado. todas las puertas de incendio en el perímetro de seguridad deberían tener alarma, monitorearse y someterse a prueba junto con las paredes para establecer el grado requerido de resistencia, según las normas regionales, nacionales e internacionales. instalar sistema de detección de intrusos según normas nacionales, regionales o internacionales. exigir a todos los empleados, contratistas y usuarios de terceras partes la utilización de alguna forma de identificación visible. Los equipos deben estar protegidos contra amenazas físicas y ambientales. La protección del equipo es necesaria para reducir el riesgo de acceso no autorizado a la información y para proteger contra pérdida o daño. También se debe considerar la ubicación y la eliminación de los equipos. GESTIÓN DE Asegurar la COMUNICACIONES Y operación correcta OPERACIONES y segura de los Procedimientos recursos de operacionales y tratamiento de responsabilidades. información. Administración de Establecer servicios de responsabilidades terceras partes. y procedimientos Planificación y para la gestión y 6 aceptación del Bajo operación 1 sistema. de todos los Protección contra recursos para el software malicioso tratamiento de la y móvil. formación. Copias de Esto incluye el seguridad. desarrollo de Administración de instrucciones la seguridad en apropiadas de redes. operación y de Manejo de medios procedimientos de de soporte. respuesta ante Intercambio de incidencias. información. implantar la Servicios de segregación de comercio tareas, cuando electrónico. sea adecuado, Monitoreo y para reducir el supervisión- riesgo de un mal uso del sistema deliberado o por negligencia. llevar un elevado control de que los servicios entregados cumplen con los requisitos acordados previamente. Tener acuerdos firmados con terceros para realizar la entrega de servicios, es necesario que se establezcan controles de seguridad apropiados y que apoyen a ISO- 27002, según la evaluación de riesgos pertinentes, para asegurar que se cumple con los niveles del servicio de entrega del sistema acordados por dicha tercera parte. Se requiere una planificación y preparación avanzada para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los sistemas requerida. Debe realizarse proyecciones de los requisitos de capacidad en el futuro para reducir el riesgo de sobrecarga de los sistemas. Se debe establecer, documentar y probar, antes de su aceptación, los requisitos operacionales de los nuevos sistemas. Prevenir y detectar la introducción de código malicioso y códigos móviles no autorizados. El software y los recursos de tratamiento de información son vulnerables a la introducción de software malicioso como virus informáticos, gusanos de la red, de troya y bombas lógicas. Los usuarios deben conocer los peligros que puede ocasionar el software malicioso o no autorizado y los administradores deben introducir controles y medidas especiales para detectar o evitar su introducción. disponer de un respaldo de todos los archivos esenciales que podamos necesitar. Por medio de las copias de seguridad. Implementar los controles adicionales con el fin de proteger la información sensible que pasa por las redes. Asegurar la seguridad de los servicios de comercio electrónico y de su uso seguro. Gestión de altas/bajas en el registro de usuarios: Debería CONTROL DE ACCESOS existir un procedimiento formal de alta y Requisitos de baja de usuarios negocio para el con objeto de control de acceso. habilitar la 7 Administración de asignación de acceso de Bajo derechos de 2 usuarios. acceso. Control de acceso implantar un a redes. proceso formal de Control de acceso aprovisionamiento al sistema de accesos a los operativo. usuarios para Control de acceso asignar o revocar a las aplicaciones derechos de y la información. acceso a todos los Ordenadores tipos de usuarios portátiles y y para todos los teletrabajo sistemas y servicios. Gestionar los derechos de acceso con privilegios especiales: La asignación y uso de derechos de acceso con privilegios especiales debe ser restringido y controlado. Gestionar la información confidencial de autenticación de usuarios: La asignación de información confidencial para la autenticación debería ser controlada mediante un proceso de gestión controlado. Revisar los derechos de acceso de los usuarios: Los propietarios de los activos deberían revisar con regularidad los derechos de acceso de los usuarios. Adaptar de los derechos de acceso: Se debe retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisados en caso de cambio. establecer los procedimientos operativos adecuados para proteger los documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del sistema contra la divulgación, modificación, retirada o destrucción de activos no autorizadas. Procedimientos seguros de inicio de sesión: Cuando sea requerido por la política de control de accesos se debería controlar el acceso a los sistemas y aplicaciones mediante un procedimiento seguro de log-on. Controlar los accesos a servicios internos y externos conectados en red. El acceso de los usuarios a redes y servicios en red no debería comprometer la seguridad de los servicios en red Implantar estándares de seguridad básica para todas las plataformas informáticas y de comunicaciones, recogiendo las mejores prácticas de CIS, NIST, fabricantes de sistemas. utilizar las prestaciones de seguridad del sistema operativo para permitir el acceso exclusivo a los usuarios autorizados diseñar controles apropiados en las propias DESARROLLO Y aplicaciones, MANTENIMIENTO DE incluidas las SISTEMAS. desarrolladas por los propios usuarios, para Requerimientos de asegurar el seguridad de procesamiento sistemas de correcto de la 8 información. información. Estos 2 Procesamiento Bajo controles deberían adecuado en incluir la aplicaciones. validación de los Controles datos de entrada, criptográficos. el tratamiento Seguridad de los interno y los datos archivos del de salida. sistema. desarrollar una Seguridad en los política de uso de procesos de controles desarrollo y criptográficos. soporte. establecer una Gestión de gestión de claves vulnerabilidades que de soporte al técnicas, uso de de técnicas criptográficas.. controlar el acceso a los sistemas de ficheros y código fuente de los programas. Los proyectos TI y las actividades de soporte deberían ser dirigidos de un modo seguro. Se debería evitar la exposición de datos sensibles en entornos de prueba. controlar estrictamente los entornos de desarrollo de proyectos y de soporte. Los directivos responsables de los sistemas de aplicaciones deberían ser también responsables de la seguridad del proyecto o del entorno de soporte. Ellos deberían garantizar que todas las propuestas de cambio en los sistemas son revisadas para verificar que no comprometen la seguridad del sistema o del entorno operativo. Implantar una gestión de la vulnerabilidad técnica siguiendo un método efectivo, sistemático y cíclico, con la toma de medidas que confirmen su efectividad. establecer el informe formal de los eventos y de los GESTIÓN DE procedimientos de INCIDENTES DE LA escalado. SEGURIDAD DE LA Todos los INFORMACIÓN. empleados, contratistas y terceros deberían Notificando estar al tanto de 9 eventos de Bajo los 1 seguridad de la procedimientos información y para informar de debilidades. los diferentes Gestión de tipos de eventos y incidentes y debilidades que mejoramiento de puedan tener la seguridad de la impacto en la información. seguridad de los activos organizacionales. Exigir que informen de cualquier evento o debilidad en la seguridad de información lo más rápido posible y al punto de contacto designado. Establecerse las responsabilidades y procedimientos para manejar los eventos y debilidades en la seguridad de información de una manera efectiva y una vez que hayan sido comunicados. Aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y gestionar en su totalidad los incidentes en la seguridad de información. Cuando se requieran evidencias, éstas deben ser recogidas para asegurar el cumplimiento de los requisitos legales implantar un proceso de gestión de continuidad del negocio para reducir, a niveles GESTIÓN DE LA aceptables, la 10 CONTINUIDAD DEL Bajo interrupción NEGOCIO causada por los Aspectos de desastres y fallos seguridad de la de seguridad información en la (que, por ejemplo, 1 gestión de puedan resultar continuidad del de desastres negocio naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una combinación de controles preventivos y de recuperación. identificar los procesos críticos de negocio e integrar los requisitos de gestión de la seguridad de información para la continuidad del negocio con otros requisitos de continuidad relacionados con dichos aspectos como operaciones, proveedores de personal, materiales, transporte e instalaciones. analizar las consecuencias de los desastres, fallas de seguridad, pérdidas de servicio y la disponibilidad del servicio y desarrollar e implantar planes de contingencia para asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales. La seguridad de información debería ser una parte integral del plan general de continuidad del negocio y de los demás procesos de gestión dentro de la organización. La gestión de la continuidad del negocio debería incluir adicionalmente al proceso de evaluación, controles para la identificación y reducción de riesgos, limitar las consecuencias de incidencias dañinas y asegurar la reanudación a tiempo de las operaciones esenciales Realizar revisiones regulares de la seguridad de los sistemas de CUMPLIMIENTO. información. Realizar según las políticas de Cumplimiento con seguridad 11 los requisitos apropiadas y las legales. plataformas Cumplimiento con Medio técnicas y 2 las políticas y sistemas de estándares de información seguridad y deberían ser cumplimiento auditados para el técnico. cumplimiento de Consideraciones los estándares de la auditoria de adecuados de sistemas de implantación de la información seguridad y controles de seguridad documentados. Realizar controles para proteger los sistemas en activo y las herramientas de auditoría durante el desarrollo de las auditorías de los sistemas de información. se requiere la protección para salvaguardar la integridad y prevenir el mal uso de las herramientas de auditoría.