INFORME DE

AUDITORIA
ISO 27001

SALUD TOTAL
CONTENIDO

OBJETIVO DE LA AUDITORÍA ............................................................................... 2

DESARROLLO DE LA AUDITORIA .......................................................................... 2
PARTICIPANTES ................................................................................................. 2
RESULTADOS DE LA AUDITORIA .......................................................................... 3
CONCLUSIONES DE LA AUDITORIA ....................................................................... 8

OBJETIVO DE LA AUDITORÍA

Determinar el grado de conformidad con el cumplimiento de los requisitos exigidos por

la norma ISO 27001, evaluar la capacidad del sistema de gestión para asegurar el
cumplimiento de los requisitos legales, reglamentarios y contractuales e identificar áreas
de mejora potencial del sistema de gestión.

DESARROLLO DE LA AUDITORIA

La auditoría se desarrolló el día 15 de Junio de 2018, conforme a lo establecido en el

plan de auditoría, dentro de los plazos acordados y con la participación esperada por
parte del negocio.

Fue realizada en las oficinas de Axity en el WTC, en la sala Supernova, y posteriormente

la parte de verificación se realizó en la mesa de ayuda de Salud Total ubicada en la torre
A.

Inicialmente se explicó el objetivo y alcance de la auditoría, así como también la

metodología de la misma.

PARTICIPANTES

Auditor: Natalia Ortiz.

Auditados:

Para soporte en Sitio:

Moisés Ríos - Support Analyst 1

Centro de Datos:
Rafael Llinás – System and Application Administrator I

Mesa de Ayuda:
Angie Mora – Leader Service Desk
 RESULTADOS DE LA AUDITORIA
Aspecto a Evaluar
4.2 ¿Conoce si el cliente
cuenta con requisitos
contractuales de
Seguridad de la
Información?
5.2 ¿Conoce usted si
Axity cuenta con una
política de Seguridad de la
Información?
4.2. ¿Conoce usted,
información documentada
que apoye la gestión de
seguridad de la
información; como son:
Políticas, lineamientos o
procedimientos?
5.3. ¿Conoce cuáles son
sus responsabilidades con
la seguridad de la
información?
C NC OP
Comentarios
Moisés Ríos menciona que Salud Total si cuenta con una
política de seguridad de la información, la cual están
obligados a cumplir, esta política se enfoca en el uso de
X internet y además existe un ingeniero de seguridad para
velar por el seguimiento y cumplimiento de la política a la
seguridad de la información, es el encargado de verificar
correos, conexiones, número de intentos de conexión, entre
otros aspectos.
Se evidencia conocimiento por parte de Angie Mora, menciona
el compromiso de la organización a la prestación de servicios
TIC, asegurando siempre la continuidad del negocio y
X superando las expectativas del cliente. Se enfoca en la
importancia de garantizar la disponibilidad, integridad y
confidencialidad de la seguridad de la información.
Rafael Llinás complementa con el compromiso por la mejora
continua y el personal idóneo para el desarrollo de los
servicios TIC, indica la ubicación de la política en el Sity.
Se evidencia conocimiento por parte de Moisés Ríos, Angie
Mora y Rafael Llinás; mencionan: Antivirus, navegación
X adecuada de internet y correo electrónico, escritorio y
pantalla limpia, protección a equipos y seguridad física.
Diana Castro, Analista I de la mesa de ayuda menciona:
Restricción de accesos a personas no autorizadas, bloqueo de
equipos, protección de la información.
Camilo Hurtado menciona aspectos relacionados con
seguridad de la información pero no tiene claridad con los
lineamientos planteados por Axity.
Se evidencia la claridad que tienen frente a sus
responsabilidades con la seguridad de la información:
Rafael Llinas: Es el Administrador de base de datos, una de
sus responsabilidades es velar por la integridad de la
información almacenada en las bases de datos, informar
X incidentes de seguridad de la información y administrar y
verificar los accesos directos a bases de datos. Otra es velar
por las conexiones a los servidores.
Angie Mora: Reportar vulnerabilidades en cuanto a Seguridad
de la información, accesos no autorizados, cumplir con los

6.1. ¿Conoce usted algún o
algunos riesgos de
seguridad de la
información asociados a su
proceso o labor?
7.2. ¿Ha recibido
capacitaciones relativas a
seguridad de la
información?
7.4. ¿Sabe si la
organización emite
boletines sobre seguridad
de la información?
8.1. ¿El acceso a las
instalaciones de trabajo
cuenta con controles de
acceso y/o es vigilado por
cámaras de seguridad?
8.1. ¿Cuenta el cliente
con un mecanismo de
identificación de ingreso
de los trabajadores,
contratistas y visitantes?
lineamientos de seguridad de la información como es:
escritorio limpio, antivirus, entre otros.
Moisés Ríos: Como soporte en sitio debe garantizar la
Confidencialidad de la información, buen manejo de usuarios
de administrador.
Rafael Llinás menciona la vulnerabilidad que se presenta con
el hecho de manejar un Usuario administrador para varias
personas, esto se le manifestó al cliente.
X
Adicionalmente Angie Mora menciona los posibles correos
maliciosos que pueden llegar a la operación. Se menciona que
se realiza un reporte diario de posibles amenazas.
Se evidencia la capacitación de reinducción ISO 27001
realizada por Catherine Castellanos a través de un registro de
X asistencia, adicionalmente cuentan con la presentación
utilizada para dicha capacitación.
Se evidencia que desde Axity se emiten boletines sobre
seguridad de la información; Angie Mora manifiesta que Axity
X y Salud Total envían correos sobre Seguridad de la
Información, menciona el de las 9 reglas de oro de seguridad
Rafael Llinás manifiesta que el proveedor del antivirus envía
reportes semanalmente sobre las vulnerabilidades y nuevas
amenazas que se puedan presentar.
Se evidencia que en la sede de la mesa de ayuda el control
de acceso físico es con huella, existen cámaras de seguridad
X en todos los pisos y ascensores. Moisés Ríos manifiesta que
en la sede principal de Salud Total el control de acceso es
igual.
En la sede principal cuentan con Tarjeta de acceso, esta
funciona para abrir las puertas de cada piso. Estas tarjetas
X
tienen accesos restringidos.
 Rafael Llinás indica que deshabilita el acceso con huella, pero
no se deshabilitan los usuarios, este tema lo maneja RH de
salud total.
8.1. ¿Cómo se controlan
X
los accesos para
Angie Mora indica que Luis de centro de datos genera un
funcionarios y/o
reporte de las personas retiradas durante el mes y genera la
contratistas retirados o
deshabilitación del acceso y posteriormente la mesa de
en periodo vacacional?
ayuda, genera la desactivación de usuarios en la herramienta
CA Service Manager.

Rafael Llinás manifiesta que mediante la herramienta BOT en

el centro de datos, esta indica las tareas que deben ejecutar
X los operadores, pero no tienen la necesidad de almacenar
información.
8.1. ¿Dónde se almacena
la información que usa
Angie Mora manifiesta que el Lider Service Desk debe realizar
en sus actividades
un seguimiento a la información que almacena en el
diarias?
repositorio. Adicionalmente indica que los Analistas no
manejan información local en sus PC y la información
es registrada directamente en la herramienta de gestión, CA
Service Manager, a través de tickets y correos.

8.1. ¿Existen controles

Moisés Ríos Indica que solo tienen acceso al servidor personas
de seguridad para la X específicas y previamente autorizadas.
protección de la misma?

8.1. ¿Cómo garantiza el

Rafael Llinás indica que indica que los respaldos son
respaldo de la
X realizados por el Operador del Centro de Datos a través del
información, y dónde se
aplicativo IBM TSM (IBM Tivoli Storage Manager).
almacena ese respaldo?

8.1. ¿Clasifica de alguna Se demuestra conocimiento sobre la correcta clasificación de

forma la información la información en: Confidencial, uso interno y público.
X
usada en sus labores Se evidencia que los correos enviados tienen mensaje de
diarias? confidencialidad

8.1. ¿Su equipo de X Se evidenció la instalación del antivirus System Center

trabajo cuenta con Configuration Manager, en el equipo de Diana Castro última
antivirus instalado y actualización 12 de mayo 2018 y en el equipo de Camilo
actualizado? Hurtado la última fecha de actualización 14 de junio 2018.

8.1. ¿Bloquea usted su

Se evidenció que mientras las analistas se retiraron de sus
estación de trabajo al X puestos de trabajo dejaron bloqueados los equipos.
ausentarse de su puesto?
 SI, Anteriormente desde el centro de datos se otorgaba el
acceso y ahora es el área de telemática la que genera este
X control, el monitoreo lo realiza Andrés Cardozo.
8.1. ¿La navegación en
internet es controlado
En los equipos de Diana Castro y Camilo Hurtado, se
por la organización y/o el
comprueba que no pueden acceder a Youtube ni Facebook,
cliente?
debido a que Axity restringe este acceso mediante códigos
de retorno http.

8.1. ¿Podría mostrarme

el escritorio (pantalla SI, se evidencia el cumplimiento a este lineamiento en los
inicial) de su equipo de X equipos de Angie Mora y Camilo Hurtado
cómputo?
8.1. ¿Almacena archivos Se verificaron los equipos de Diana Castro y Camilo Hurtado,
X
que no son de uso se evidencia presencia de documentos personales en el
corporativo? equipo de Diana Castro.

8.1. ¿Para su labor diaria

requiere contar con
usuario administrador del
Si se requiere, se maneja un solo usuario administrador por
equipo para hacer
X parte del cliente.
modificaciones en
herramientas
informáticas?

8.1. ¿En la operación

diaria, se usan algún tipo
de estaciones de trabajo No aplica.
o usuarios compartidos?

8.1. ¿Ejecuta un cambio Rafael Llinás manifiesta que se ejecuta un cambio automático
de sus contraseñas de de contraseñas de usuario periódicamente, por el controlador
usuario? X del dominio, con varias especificaciones de seguridad de la
SI: ¿Con que frecuencia? contraseña.
8.1. ¿Es permitido en las
labores ejecutadas, el
uso de elementos de
El tema de bloqueo de puertos lo realiza Centro de datos.
almacenamiento
extraíble?
Se comprueba que en el equipo de Camilo Hurtado los puertos
SI: ¿Bajo qué
no están bloqueados, se logró copiar un archivo en una
procedimiento se obtiene X
memoria. Al ser un equipo de Axity, debería acogerse a los
este permiso?
lineamientos se seguridad de la información planteados.
Validar que equipo no
reconozca
almacenamiento USB.
Angie mora indica que por Mesa de ayuda se genera la
8.1. ¿En la operación
conexión a los equipos, esto queda registrado mediante un
diaria, requiere hacer uso
ticket, posteriormente se utiliza un Protocolo de conexión del
de escritorio remoto, o
equipo al usuario para solicitar la autorización.
controlar equipos a X
distancia?
Rafael Llinás manifiesta que Los Administradores, por petición
SI: ¿Cómo controla el
del cliente pueden monitorear un equipo que haya sido
correcto uso de la
solicitado; siempre siendo monitoreados por Andrés Cardozo,
herramienta y bajo que
ingeniero de seguridad.
procedimiento?

8.1. ¿Es permitido

compartir información a
No es permitido, a través de un Aplicativo del antivirus IMSS:
correos no corporativos?,
X no permite enviar archivos adjuntos a direcciones fuera del
¿Cómo controla que la
dominio de salud total, a menos que esté en la lista de
información no sea
autorizados.
enviada a personas
ajenas al cliente o Axity?
Se evidencia conocimiento por parte de los colaboradores
sobre el procedimiento a seguir si ocurre un incidente de
seguridad, Angie Mora manifiesta que se debe Reportar a la
X mesa de ayuda de Axity al correo que se debe informar a los
correos Colombia.servicedesk@axity.com y en Salud total
7.4. ¿Conoce usted que existe un Solver que maneja el oficial de seguridad.
debe hacer si ocurre un
incidente de seguridad Rafael Llinás indica que se debe Avisar al coordinador del
de la información? proyecto.

Camilo Hurtado manifiesta que se debe Avisar a la mesa de

ayuda
10.1. ¿Ha ocurrido
durante la ejecución del
contrato algún incidente
de seguridad de la
información?
SI: Podría mencionar en Rafael Llinás manifiesta que el año pasado se presentó un
que consistió el último. incidente de seguridad en el cual se contaminó un solo equipo
-----> Validar que se por abrir un correo malicioso, pero a través de este se
haya registrado y contaminó toda la red. Se generó un Ticket de este incidente,
reportado ante el oficial X no se pudo verificar este debido a que no se contaba con la
de seguridad de la fecha de ocurrencia del mismo.
información
-----> Revisar Durante la auditoría se evidenció el caso 336586, Donde Un
documentación y usuario pedía acceso para otros a su equipo, esto por políticas
acciones tomadas al de seguridad no es permitido.
respecto.
-----> Revisar si la
acción fue efectiva y si
volvió a ocurrir el
incidente

CONCLUSIONES DE LA AUDITORIA

De acuerdo a los ítems de la norma ISO 27001 revisados, es posible comprobar la

implementación de las buenas prácticas de seguridad de la información en el negocio
Salud Total

Se observan oportunidades de mejora aumentando el nivel de conciencia de los

colaboradores en cuanto a la importancia de no tener documentación personal en los
equipos de trabajo y el bloqueo de puertos USB, adicionalmente se recomienda buscar
mayor participación para que conozcan los lineamientos de seguridad de la información
de Axity.