Auditoria SGSI Criterios Líder de auditoría

Los acuerdos contractuales con

A.7.1.2 Términos y condiciones
del empleo
empleados y contratistas deben
establecer sus responsabilidades y las Felipe Florez
de la organización en cuanto a la
seguridad de la información.

La dirección debe exigir a todos los

A.7.2.1 Responsabilidades de la
Dirección
empleados y contratistas la aplicación
de la seguridad de la información de Felipe Florez
acuerdo con las políticas y
procedimientos establecidos por la
organización

Las responsabilidades y los deberes de

seguridad de la información que
A.7.3.1 Terminación o Cambio de permanecen válidos después de la
Ingrid Gómez
responsabilidad de empleo terminación o cambio de empleo se deben
definir, comunicar al empleado o
contratista y se deben hacer cumplir.

A.9.2.3 Gestión de Derechos de Se debe restringir y controlar la asignación

Cristian Aristizabal
Acceso Privilegiado y uso de derechos de acceso privilegiado.

Los sistemas de gestión de contraseñas

A.9.4.3 Sistema de contraseña deben ser interactivos y deben Ingrid Gómez
asegurar la calidad de las contraseñas.

Se debe desarrollar e implementar una

A.10.1.1 Política sobre el uso de política sobre el uso de controles
Cristian Aristizabal
Controles Criptográficos criptográficos para la protección de la
información.

Se deben definir y usar perímetros de

A.11.1.1 Perímetro de Seguridad seguridad, y usarlos para proteger áreas
que contengan información confidencial o Felipe Florez
Fisica crítica, e instalaciones de manejo de
información.

Se deben implementar controles de

A.12.2.1 Controles contra códigos detección, de prevención y de
malicios recuperación, combinados con la toma de Cristian Aristizabal
conciencia apropiada de los usuarios, para
proteger contra códigos maliciosos

A.12.3.1 Respaldo de la
información
A.13.1.1 Controles de Redes
Se deben hacer copias de respaldo de la
información, software e imágenes de los
sistemas, y ponerlas a prueba Ingrid Gómez
regularmente de acuerdo con una política
de copias de respaldo acordadas.
Las redes se deben gestionar y controlar
para proteger la información en sistemas y Cristian Aristizabal
aplicaciones.
 Responsable líder Cumple/No
del proceso auditado Cumple Observaciones

Camilo Castro

Julian Muñoz

Jesus castillo

Rodolfo Fernandes

Daniela Escobar

Gabriela muñoz

Mariana Gonzales

Camila Diaz
Andres Cortes

Felipe Duran
ID Hallazgo Numeral de la Norma
1
A.7.1.2
Términos y
condiciones
Revisión de los derechos de acceso del empleo
2 Propietario de los activos
A.7.2.1
Responsabilida
des de la
Dirección
3
A.7.3.1
Terminación o
Cambio de
responsabilida
Gestión de derechos de acceso privi d de empleo
4
A.9.2.3
Gestión de
Derechos de
Acceso
Revisión de los derechos de acceso Privilegiado
5
A.9.4.3
Sistema de
contraseña
Gestion de contraseña seguras
6
A.10.1.1
Política sobre
el uso de
Controles
Inventario de Activos Criptográficos
7
A.11.1.1
Perímetro de
Seguridad
Uso de información de autenticación Fisica
8 Procedimiento de ingreso seguro
A.12.2.1
Controles
contra códigos
malicios

9
A.12.3.1
Respaldo de la
Uso de programas información
utilitarios privilegiados
10 Protección contra las amenazas ext
A.13.1.1 Contro
 Descripción Tipo de Hallazgo

Oportunidad de Mejora
No Conformidad Menor

No se ha asignado un propietario a los activos

Esto se ha venido haciendo bajo necesidad y de acuerdo al
criterio del administrador de dominio, esto debe establecerse
en un procedimiento para garantizar que los derechos de
acceso son restringidos y controlados.

No Conformidad Menor
No se ha contemplado en ninguna política la revisión de los
derechos de acceso de manera periódica, esto debe ser
definido e implementado. Puede considerarse la inclusión de
este control dentro de la política de control de acceso que
está planeada para ser implementada.

No Conformidad Menor
No se encuentra evidencia suficiente sobre los lienamientos
para la correcta creacion e implementacion de contraseñas y
usabalidad de las mismas asi como la portecion de equipos
Oportunidad de Mejora
Este control se aplica de manera intuitiva sin embargo es
recomendable que se establezca un procedimiento para que
sea repetible, se pueda gestionar y medir y posiblemente
posteriormente automatizar.

Oportunidad de Mejora
Para lograr aumentar el nivel de madurez de este control se
recomienda incluirlo en una política específica y dentro del
temario de concienciación y capacitación.

Oportunidad de Mejora
Se recomienda implementar un procedimiento que permita Oportunidad de Mejora
medir y mejorar este control.

La revisión y gestión de la consola centralizada del antivirus

se hace solamente por demanda y a criterio del
administrador, es aconsejable madurar este control por medio
de un procedimiento y guías de revisión y gestión de la
consola de antivirus u otras herramientas de apoyo.
Oportunidad de Mejora
Se ha implementado este control por demanda, sin embargo
no hay una revisión periódica ni se encuentra definido
formalmente. Oportunidad de Mejora