SISTEMA DE GESTIÓNBÁSICA

1. INFORMACIÓN DE SEGURIDAD DE LA INFORMACIÓN

DE LA AUDITORIA CÓDIGO
FECHA DE AUDITORÍA: DURACIÓN: AUDITORIA No. 1 CICLO AUDITORIA No. 1
12/02/2021 3 horas

SISTEMAS AUDITADOS
Sistema de Gestión de Seguridad de la Información

LÍDER AUDITOR: Daniel Díaz Díaz AUDITORES

NO TOTAL DE PROCESOS AUDITADOS: 1

2. OBJETIVOS DE LA AUDITORIA
1. Determinar el grado de cumplimiento de requisitos del Sistema de Gestión de Seguridad de la Información de
la organización de acuerdo a lo establecido en las Normas ISO 27001:2013.
2. Identificar el grado de cumplimiento de requisitos legales aplicables a la organización.
3. Identificar oportunidades de mejora para el SGSI.
3. ALCANCE DE LA AUDITORIA
Proceso Auditado: E01 Gestión Planeación Estratégica

Lugar donde se realizan las actividades de la auditoria: Auditoría Remota a través de Google Meet.

Persona entrevistada y cargo:

Engels Bobadilla
4. CRITERIOS PARA LA AUDITORIA
 Requisitos establecidos en la NTC ISO 27001: 2013 del Sistema de Gestión de Seguridad de la
Información.
 Procesos y Procedimientos internos y demás documentos establecidos en el Sistema de Gestión de
Seguridad de la Información.
 Normatividad vigente aplicable a la Institución y a cada uno de los procesos según la matriz de requisitos
legales.
 Sistemas de información, informes de auditoría anteriores, planes de acción, planes de mejoramiento
derivados de auditorías anteriores o de procesos de autoevaluación, seguimiento al cumplimiento de
plan de acción de riesgos, acciones correctivas, indicadores establecidos, informes de autoevaluación
institucional.

5. HALLAZGOS DE LA AUDITORIA
No conformidades Mayores:
1. No se muestra evidencia que se haya tomando conciencia de la importancia de la ciberseguridad por
parte de los profesionales que operan los sistemas operativos y adicionalmente estos no están
preparados, todo esto lleva a la vulnerabilidad y por ende, a los ciberataques frecuentes, afectando
los resultados el sistema de gestión de la Seguridad de la Información.
2. Se evidencian el incumplimiento de los especialistas de seguridad al no identificar 12
vulnerabilidades, ni evaluar qué dispositivos pueden verse afectados por dichas vulnerabilidades,
nos encontramos ante un incumplimiento a un requisito que afecta potencialmente los resultados
previstos en el sistema de gestión de la Seguridad de la Información.
 3. Se evidenció que noSISTEMA
se tieneDEenGESTIÓN
cuenta DE
los SEGURIDAD DE LA INFORMACIÓN
ataques informáticos, CÓDIGOo la
fugas de información
propagación de fake news, la realidad es que no han cobrado el gran protagonismo de la
ciberseguridad en el sector sanitario, un requisito que afecta potencialmente los resultados
previstos en el sistema de gestión de la Seguridad de la Información.

 No conformidades Menores:

1. Se encontró que los sistemas operativos de muchos Hospitales y Centros de Salud están obsoletos o
no actualizados constantemente.
2. No se encuentran evidencias que los profesionales que operan los sistemas operativos están bien
preparados, todo esto lleva a la vulnerabilidad del SGSI.
3. De una muestra del plan de ciberseguridad se encontró que no se protocoliza todos los procesos ni
se adecúe a las necesidades de la empresa.

Observaciones:
1. Es necesario educar al ciudadano, evitar los colapsos en los centros de atención mediante la
telemedicina, adoptar las nuevas tecnologías y una mayor preparación de los profesionales encargados
de la ciberseguridad
2. En el sector de la salud, lo más importante es el factor humano, por lo tanto, al incorporar las nuevas
tecnologías no hay que olvidar dicho facto

Conformidades.
1. Los fabricantes de dispositivos médicos ya están evaluando qué dispositivos pueden verse afectados por
dichas vulnerabilidades y están identificando acciones de riesgo y prevención.
2. La ciberseguridad pasó a ser una de las mayores preocupaciones y el gran reto por superar, para lograr
una sanidad segura, capaz de ponerse a la altura de las circunstancias y de lo que la transformación
digital plantea.
3. Los especialistas de seguridad, han identificado 12 vulnerabilidades, llamadas SweynTooth, asociadas
con una tecnología de comunicación inalámbrica conocida como Bluetooth Low Energy (BLE)
4. Se está trabajando en colaboración con otras agencias federales, fabricantes e investigadores de
ciberseguridad para identificar, comunicar y prevenir eventos adversos relacionados con
las vulnerabilidades de SwyenTooth.

Oportunidades de mejora:
1. Contemplar la inclusión del riesgo de seguridad de la información en el proceso, lo anterior con el fin de
salvaguardar la información y controlar el Daño, Fuga y/o pérdida de información digital.
2. Se debe revisar y actualizar el procedimiento de Problemas de ciberseguridad en dispositivos médicos.
3. Documentar la trazabilidad o ajustar las acciones de los sistemas operativos para robar la información de
los pacientes y después pedir rescate por ella.

Firma auditor del Auditor Líder: Anexos (relacionados):

__DANIEL DÍAZ __________________________

[NOMBRE Y APELLIDOS]