4

ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

Informe de Auditoria

SOLICITUD: Numero II
NOMBRE DE LA ORGANIZACIÓN: Corporación Universitaria Unicomfacauca.
DOMICILIOS AUDITADOS: Corporación Universitaria Comfacauca Popayán.
FECHA DE AUDITORIA: 20 de Abril 2017
CRITERIO DE AUDITORIA: Estándar ISO 27001 v.2013 e ISO 270002v. 2007
OBJETIVO: Evaluar el cumplimiento de las políticas referentes a la seguridad
de la información en las áreas , Tecnologías de Información, RRHH y Calidad,
de la Corporación Universitaria (Unicomfacauca), de acuerdo a los objetivos y
controles presentados en la norma ISO 27001: V2013
ALCANCE: Verificar la aplicación de políticas de seguridad referentes a
seguridad de la información en las áreas Tecnologías de la información, Talento
Humano y Gestión de Calidad de la Corporación Universitaria
UNICOMFACAUCA, sede Popayán, bajo el estándar ISO 27001 de 2013 y
27002 de 2007.
SECTOR: Educativo Universitario
*PERSONAL CONTACTADO:
NOMBRE CARGO
Fabián Sánchez Coordinador Área Tecnologías de La Información
Álvaro Guzmán Auxiliar Área Tecnologías de La Información
Alejandra Narváez Auxiliar Área Talento Humano
Fernanda Cruz Auxiliar Área Gestión de Calidad

EQUIPO AUDITOR
AUDITOR LIDER: Andres Navia
AUDITOR 1: Andres Navia
 4
ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

INFORMACION FINAL DE AUDITORIA

SOLICITUD: Numero II
AREAS AUDITADAS: Tecnologías de Información, Talento Humano y Gestión
de Calidad
*PERSONAL CONTACTADO:
NOMBRE CARGO
Fabián Sánchez Director de Sistemas
Álvaro Guzmán Colaborador de Sistemas
Alejandra Narváez Auxiliar Talento Humano
Fernanda Cruz Auxiliar Gestión de Calidad
AUDITOR LIDER: Andres Navia
AUDITOR 1: Andres Navia

En el proceso de auditoría interna se realizó a las áreas de sistemas, RRHH y

gestión de calidad de la Corporación Universitaria Unicomfacauca, basándose en
la norma ISO 27001 DE 2013 anexos A.5, A.6 y A.7 con lo cual al finalizar el
proceso se evidencia los siguientes resultados:

Convenciones:

C – Conformidad.
NC – No Conformidad.
NA – No aplica.

ÁREAS
ELEMENTO/CRITERIO / ACTIVIDAD/ TI RRHH SGC

A.5 Políticas de la seguridad de la información

A.5.1 Orientación de la dirección para la
gestión de la seguridad de la
información
A.5.1.1 Políticas para la seguridad de la C C C
información
A.5.1.2 Revisión de las políticas para la c NA NA
seguridad de la información
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
A.6.1 Organización interna
A.6.1.1 Roles y responsabilidades para la C C C
 4
ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

seguridad de la información
A.6.1.2 Separación de deberes C C C
A.6.1.3 Contacto con las autoridades C C C
A.6.1.4 Contacto con grupos de interés C C NA
especial
A.6.1.5 Seguridad de la información en la C NA NA
gestión de proyectos
A.6.2 Dispositivos móviles y teletrabajo
A.6.2.1 Políticas para dispositivos móviles C C C
A.6.2.2 Teletrabajo NA NA NA

A.7 SEGURIDAD DE LOS RECURSOS

HUMANOS
A.7.1 Antes de asumir el empleo
A.7.1.1 Selección C C C
A.7.1.2 Términos y condiciones del empleo C C C
A.7.2 Durante la ejecución del empleo
A.7.2.1 Responsabilidades de la dirección C C C
A.7.2.2 Toma de conciencia, educación y C C C
formación en la seguridad de la
información
A.7.2.3 Proceso Disciplinario C C C
A.7.3 Terminación y cambio de empleo
A.7.3.1 Terminación o cambio de C C C
responsabilidades de empleo

CONFORMIDADES
Conformidades Área Tecnologías de Información (TI).

CONTROL DESCRIPCION AREA

Estándar ISO 27001:2013
e ISO 27000:2008
A.5.1.1 Existen políticas TI
socializadas con
respecto a la seguridad
 4
ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

de la información.
A.6.1.1 Hay roles definidos para TI
ejecutar las labores
pertinentes
A.6.1.2 Se observó que cada TI
área es físicamente
independiente una de la
otra.
A.6.1.3 Se realizan TI
capacitaciones y
actualizaciones en
contenidos referentes a
seguridad en general.

A.6.1.4 Cuenta con grupos TI

colaborativos con otras
organizaciones para
ayuda y colaboración
mutua.
A.6.1.5 cumple TI

A.6.2.1 Se gestiona y se controla TI

el uso de dispositivos
móviles respecto al
acceso
A.6.2.2 NA. TI

Conformidades Área Talento Humano(TH) y Gestión de Calidad(GC)

CONTROL DESCRIPCION AREA

Estándar ISO 27001:2013
A.7.1.1 SE VERIFICAN DATOS TH y GC
DE LOS POSTULANTES
DURANTE TODO EL
PROCESO DE
SELECCION.
A.7.1.2 Las obligaciones están TH y GC
definidas por role y se
especifican en los
 4
ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

contratos
A.7.2.1 Se exige a los TH y GC
colaboradores y
empleados contar
conocimientos básicos y
la aplicación de estos en
la seguridad de la
información.
A.7.2.2 Se cuentan con espacios TH y GC
adecuados para la
realización de
capacitaciones para los
empleados, donde
imparten temas de
seguridad de la
información.
A.7.2.3 Están definidas las TH y GC
acciones disciplinarias a
tomar en caso de ser
requeridas.

A.7.3.1 Hay clausulas de TH y GC

confidencialidad
definidad y claras en los
contratos laborales.

NO CONFORMIDADES
No Conformidades Área Tecnologías De Información.
CONTROL DESCRIPCION AREA
Estándar ISO 27001:2013
NA NA TI

CONCLUSIONES Y OBSERVACIONES

OBSERVACIONES GENERALES
 4
ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

NA NA

NA NA

NA NA

FIRMAS DE RECEPCIÓN DE ESTE INFORME

 4
ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

AUDITOR LIDER REPRESENTANTE DE FECHA

LA ORGANIZACIÓN

Andres Navia Katherine Márceles 25 de Abril 2016

A continuación se presenta el resultado de la aplicación de la auditoría realizada el 23 de Abril de

2017 al área de recursos humanos y sistemas de la corporación universitaria de comfacauca

A.5 POLITICAS DE LA SEGURIDAD DE LA

INFORMACIÓN
A.5.1 ORIENTACION DE LA DIRECCIÓN PARA LA CALIFICACIO APLICABILIDA
GESTION DE LA SEGURIDAD DE LA INFORMACIÓN N D
A.5.1. Existen documento(s) de políticas de seguridad del
1 sistema de información C  A
A.5.1. Existen procedimientos con respecto a la seguridad
1 de la información C A
A.5.1. Existe un responsable de las políticas, normas y
2 procedimientos C A
A.5.1. Existen mecanismos para la comunicación a los
2 usuarios de las normas C A
Existen controles regulares para verificar la
efectividad de las políticas C A
A.5.1.
2

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN
 4
ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

A.6.1 ORGANIZACIÓN INTERNA CUMPLE NO CUMPLE

A.6.1. Existen roles y responsabilidades definidos para las
1 personas implicadas en la seguridad C A
A.6.1. Existe un responsable encargado de evaluar la
1 adquisición y cambios de Sistema de Información C A
A.6.1. La Dirección y las áreas de la Organización participa en
1 temas de seguridad C A
¿Se cuentan con medidas y políticas de seguridad de
A.6.2. soporte para la gestión de riesgos introducidos por el
1 uso de dispositivos móviles? C A

A.7 SEGURIDAD DE LOS RRHH CUMPLE NO CUMPLE

ANTES DE ASUMIR EL EMPLEO    
A.7.1. Se tiene en cuenta la seguridad en la selección /
1 requisitos de ingreso C  A
A.7.1. Se tienen definidas responsabilidades y roles de
2 seguridad C A
A.7.1. Se plasman las condiciones de confidencialidad y
2 responsabilidades en los contratos C A
  DURANTE LA EJECUCION    
A.7.2. Se imparte la formación adecuada de seguridad y
2 tratamiento de activos C A
A.7.2. Existe un canal y procedimientos claros a seguir en
2 caso de incidente de seguridad C  A
A.7.2. Se recogen los datos de los incidentes de forma
2 detallada C  A
Se informa a los usuarios de que no deben, bajo
  ninguna circunstancia, probar las vulnerabilidades C  A
A.7.2. Existe un proceso disciplinario de la seguridad de la
3 información C  A
  TERMINACION Y CAMBIO DE PERSONAL    
A.7.3.
1 Se tiene en cuenta la seguridad en la baja del personal C  A

CALIFICACIÓN: NC: No Cumple C: Cumple OM: Opción de Mejora NR: No

Revisado

APLICABILIDAD: A: Aplica NA: No Aplica

CONFORMIDADES
 4
ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA
 4
ISO / IEC 27001 AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA