AMENAZAS Y

CASO N°1 – Análisis de No Conformidades

VULNERABILIDADES

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

 TALLER DE ANALISIS DE NO CONFORMIDADES

CONTEXTO

Ud. se encuentra en una auditoría de tercera parte al SGSI de la USACH apoyando al Auditor
Líder como observador de la auditoría. El Auditor Líder ha levantado una serie de hallazgos en
el transcurso de la Auditoría y ha solicitado a UD. su parecer sobre estos pidiéndoles en
específico su evaluación usando el formulario de no conformidades para dicho propósito.

Lo solicitado si bien no es parte de su rol como observador de la Auditoría, es una actividades

importante para ganarse la confianza del Auditor Líder y en consecuencia poder alcanzar la
certificación de Auditor Líder ISO 27.001.

SE SOLICITA

1. Realice el análisis de conformidad de los 10 casos que se presentan.

2. Cada caso posee una ponderación de 7 puntos

3. El formato del informe tipo de análisis de conformidad se encuentra al final de este

documento, el cual deberá ser empleado en cada uno de los 10 casos que considera el
Taller.

SOBRE LA ENTREGA

▪ Debe subir su informe en PDF al portal del curso en los plazos establecidos.
▪ Debe indicar claramente el nombre de los integrantes del grupo
▪ La cantidad máxima de integrantes por grupo es de 8 personas.
▪ En su informe solo deberá incluir los 10 informes de análisis para cada uno de los casos
planteado.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

INFORME DE NO CONFORMIDADES

A continuación se describe el formato de informe que deberá emplear para cada uno de los
casos que a continuación se exponen:

Caso Nombre del Caso

Supuestos ▪ Puede indicar diversos supuestos que ayuden a desarrollar la evaluación
de cada caso.
▪ Deben ser sintéticos y de no más de dos líneas. (sino ya es una historia).
▪ No son obligatorios

Máximo 3 supuestos.

Criterios Son los requisitos establecidas en la norma, regulaciones, estándares,

procedimientos, etc. que el auditor usa para evaluar y decidir si la situación
bajo evaluación es conforme o no.

Máximo 3 criterios y ordenados en términos de prioridad (1, 2 y 3).

Por ejemplo:
6.1.2 Evaluación de riesgo de la seguridad de la información

Hallazgos ▪ Es el hecho establecido por el auditor mediante la evaluación y obtención

de evidencia.
▪ Su descripción contiene el grado con que se alcanzaron los criterios de
auditoría, debe hacer referencia a este de manera explicita
▪ Debe ser preciso, claro y apoyada por evidencia provista del caso y
supuestos en caso de que los defina
▪ Debe considerar el efecto potencial

Máximo 15 líneas.
Clasificación Debe ser SOLO una de las siguientes opciones:
CONFORMIDAD
NO CONFORMIDAD MENOR
NO CONFORMIDAD MAYOR

Considere las restricciones establecidas, cualquiera de los ítems que no cumpla con los
requisitos antes señalados implicará automáticamente su anulación, es decir, no serán
revisados.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°1 – GESTIÓN DE ACCESOS E IDENTIDADES (IAM)

En la auditoría de tercera parte desarrollada a la Universidad se identifica que el proceso de

gestión de accesos e identidades (IAM) no se está cumpliendo de acuerdo a lo establecido,
principalmente en torno a la definiciones sobre la entrega de acceso a los usuarios y el registro
y cancelación de usuario.

En el caso de la entrega de accesos, el procedimiento establecido de IAM define que el

propietario del sistema o servicio es quien realiza la autorización con una autorización escrita
enviada a la unidad de sistemas, lo cual actualmente se realiza de manera electrónica,
adicionalmente todos los usuarios son creados con la misma contraseña de inicio en todos los
sistemas (Usach.2020), siendo el propietario del sistema o servicio quien debe otorgar los
accesos al nuevo funcionario. El Jefe de IAM señala que es parte de las adecuaciones
establecidas por el contexto de Teletrabajo, que está informado al Comité y el procedimiento
esta actualizado, pero aún no aprobado por la dirección, lo cual se pudo constatar en la revisión
de los procedimientos actualizados en el sistema de gestión documental. Sin embargo, se
advirtió en el proceso que la clave y acceso del usuario pasa por muchos intermediarios antes
de llegar al usuario final revisando la cadena de correos enviados (en algunos casos hasta cinco
personas) y que no existe un procedimiento formal de verificación al momento del envió de la
información.

En el caso del registro y cancelación de usuarios, dada las condiciones de teletrabajo se ha

mantenido el proceso vigente, siendo el responsable del proceso quien debe informar sobre
ello. Se han advertido un alto número de casos donde usuarios que han presentado su renuncia
y/o fueron desvinculados siguen teniendo sus accesos vigentes. El Jefe de IAM señala que es
un problema de los propietarios de los sistemas, dado que estos no son los que envían la
información, que el procedimiento es el idóneo, pero que estos son los que no cumplen, señala
además que el numero podría ser mayor, ya que tienen un control compensatorio en el cual la
unidad de RRHH informa a la unidad de IAM sobre las desvinculaciones, renuncias y retiros,
pero un usuario podría ser informado uno o dos meses después ocurrido esto.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°2 – CAPACITACIÓN Y CONCIENTIZACIÓN

En la auditoría de tercera parte desarrollada a la Universidad se analizan un alto número de no

conformidades del SGSI relativas a problemas de capacitación, las principales causas son la
falta de competencias y capacitación del personal administrativo en materias de
ciberseguridad, específicamente en el uso de información, el uso compartido de cuentas de
usuarios, el desconocimiento del uso y validación de firmas electrónicas y resultados pésimos
de las campañas phishing.

1. Se han identificado una serie de repositorios públicos compartidos en Dropbox o

Drive, en las cuales se comparte información de la Universidad, entre otras cosas
notas, material educativo e información general de beneficios, no empleando los
canales formales para ello y dejando publico privada de los alumnos.
2. Se ha identificado un alto número de uso de cuentas compartidas, principalmente de
secretarias y funcionarios administrativos para acceder a los sistemas de gestión
académica y de proyectos.
3. Se ha identificado que un alto número de funcionarios desconoce el funcionamiento
de la firma electrónica, rechazando documentos debidamente firmado
electrónicamente y aceptando otros con firmas manuscritas sin objeciones, pese a que
los procedimientos establecen el uso de firma electrónica.
4. De la campaña de phishing, más de un 50% de los usuarios no paso todas las pruebas
establecidas y más de un 25% no paso ninguna de las pruebas.

El Jefe de Capacitación ha señalado que en todos los casos señalados se han levantado no
conformidades, todas ellas con su plan de tratamiento establecidos y/o en desarrollo,
ejecutando diversos talleres y campañas de concientización en la materia ( “El uso de la firma
electrónica”, “Ciberseguridad y Teletrabajo”, “La Ciberseguridad comienza por ti”), en las
cuales se abordaron las principales debilidades identificadas, talleres que además serán
realizados de manera permanente en la organización. En el programa participo todo el
personal dentro del alcance del SGSI. En el ambito de la gestión de la información, se ha
eliminado todos los repositorios compartido enviando un comunicado a académicos instando
el uso de las plataformas institucionales, las cuales poseen los debidos mecanismos de control
de acceso, obteniendo resultados adecuados del seguimiento establecido. En el caso del
phishing, pendiente esta la realización de una nueva campaña, la cual esta programada para la
próxima semana e incorporar algunos otros aspectos relevantes de ciberseguridad, esperando
que las capacitaciones realizadas surjan el debido efecto.

Actualmente todas las no conformidades identificadas se encuentran abiertas y con toda la

información adjunta sobre los planes de tratamiento, los cuales fueron aprobados por el
Comité, una vez realizadas las nuevas campañas se evaluarán los resultados para proceder al
cierre y seguimiento de estas.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°3 – GESTIÓN DE RIESGOS

En la auditoría de tercera parte desarrollada a la Universidad se identifica que el proceso de

gestión de riesgos se basa en las directrices del Consejo de Auditoría Interna General de
Gobierno (CAIGG)1 establecidas en el documento técnico N°70 del 2016.

Pese a que la Universidad no forma parte de los organismos públicos que deben reportar al
CAIGG su proceso de gestión de riesgos, definiciones de la Rectoría han establecido el
alineamiento a dichas definiciones tanto para el proceso de Gestión de Riesgos Institucional
(liderado por la Contraloría) y los diversos procesos de gestión de riesgos establecidos en
diversos sistemas de gestión existentes (de calidad, seguridad de la información y continuidad
del negocio).

El CAIGG ha cambiado su metodología, generando la versión 2020 del documento Técnico 70

y ha establecido que desde marzo del año en curso todos los servicios públicos deberán
reportar su matriz de riesgos empleando las nuevas definiciones, las cuales entre otros
elementos cambian los mecanismos y niveles de evaluación de probabilidades e impacto, la
definición de controles y la identificación especificas de riesgos relacionados a la protección
de información personal, requiriendo para ello el levantamiento de toda la información
personal.

Se ha identificado que la matriz no está actualizada de acuerdo con las nuevas definiciones del
CAIGG, ni que tampoco han desarrollado el levantamiento de la información que posee
información personal. Consultado al Sr. Nicolas Aguirre, responsable del proceso de gestión
de riesgos, sobre como abordaran estas definiciones este señala que las definiciones del
CAIGG no son aplicables en la universidad, hecho validado por el área jurídica y en el análisis
de la legislación aplicable, y que desde este año no se alinearan al proceso de gestión de riesgos
que el CAIGG establece, principalmente por los plazos establecidos y por el esfuerzo que
demanda el levantamiento detallado de la información personal que se requiere. Seguirán
empleando la misma metodología del documento técnico 70 versión 2016, sin los cambios
establecidos y en el ambito de la protección de información personal, seguirán basándose en
la Política existente y las definiciones internas en la materia, ambos elementos fueron
debidamente validados en el Comité de Riesgos.

1
El CAIGG es el organismo gubernamental responsable del Proceso de Gestión de Riesgo del Estado.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°4 – GESTIÓN DE PROVEEDORES

En la auditoría de tercera parte desarrollada a la Universidad se identifican discrepancias

importantes entre el análisis de No Conformidades, los Indicadores de Servicios y los informes
de monitoreo y revisión de plataformas provistas por los proveedores.

Existe una política y procedimiento para la gestión de proveedores, en la cual se establece que
cada propietario de un servicio externalizado debe realizar el monitoreo de los servicios y la
supervisión de estos en términos de los niveles de servicios establecidos (SLA), lo cual han
reportado de acuerdo a lo definido. Sin embargo, se han advertido tres no conformidades
relacionadas a indisponibilidad de las plataformas, las cuales han sido cerradas por
corresponder a problemas ajenos a los servicios provistos por los proveedores de las
plataformas. En un caso se presento un corte del enlace con unos de los proveedores, lo cual
esta debidamente excluido conforme a las condiciones contractuales; en el segundo una
sistema residente en una plataforma en la nube presento un problema de configuración y
gestión del cambio realizado por el área de desarrollo interno, no siendo un problema del
proveedor del servicio en la nube; mientras que en el tercero, el proveedor experimento un
problema de disponibilidad de un software externo, siendo el problema de un tercero que
trabaja con el proveedor, específicamente en los servicios en la nube que a este le provee. El
CISO de la Universidad, el Sr. David López, señala que los tres casos fueron problemas
exógenos a los proveedores y que la disponibilidad proporcionada por ellos es la adecuada.

Se han realizado procesos de auditoría a estos proveedores y la evaluación de informes

externos de aseguramiento, y todos presentan excelentes resultados, no presentando
incidentes de seguridad significativos en el periodo.

Del análisis de las no conformidades y su cierre, se establece principalmente que estos no son
problemas de los proveedores y se hacen las debidas justificaciones en dicho contexto,
realizando un acabado informe en los tres casos de los problemas y sobre como afectarán en
la medición de los indicadores, pero no se establecen los análisis de la causa de cada una de las
no conformidades, ni tampoco la implementación de mejoras, ya sea en los procedimientos
internos, contratos o planes de contingencia, por ejemplo.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°5 – GESTIÓN DE ACTIVOS

En la auditoría de tercera parte desarrollada a la Universidad se identifican algunos aspectos

relevantes con respecto a la conformidad de la política y procedimientos relacionados a la
Gestión de Activos, el cual es la base para el proceso de Gestión de Riesgos.

Las jefaturas de las áreas y personal relacionado se han mostrado en discrepancia con
respecto a su responsabilidad sobre los activos de información, principalmente aquellos de
carácter más técnico. Entienden en general que los procesos de negocio y como estos se
desarrollan son parte de su rol, pero que hay ciertos controles y procedimientos operativos
que no son parte de su quehacer, como por ejemplo:

• La definición de roles y perfiles en los sistemas

• La segregación de funciones.
• Los niveles de disponibilidad
• La identificación de información personal
• La definición de planes de continuidad operacional

Se ha establecidos algunos cambios en las definiciones de políticas y procedimientos de

gestión de activos tendientes a establecer estas responsabilidades en el área de TI,
específicamente en el área de desarrollo, siendo estos los responsables de estas definiciones
y controles relacionados implementados.

El auditor en base a estas definiciones percibe que el rol de los propietarios de los procesos es
prácticamente nulo en el proceso de gestión de riesgos y que además delegan buena parte de
los controles a áreas técnicas de la organización. El Director de Calidad señala que si bien es
cierto que se han asignados estas funciones sobre estos controles técnicos al área de TI, el
responsable sigue siendo el propietario del activo, el cual corresponde al área de negocio en
caso de que así lo amerite y esto ha permitido que ellos empleen su tiempo en su quehacer,
mientras que las áreas de TI realizan estos controles desde su visión técnica.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°5 – GESTIÓN DE ACTIVOS

En la auditoría de tercera parte desarrollada a la Universidad se identifican algunos aspectos

relevantes con respecto a la conformidad de la política y procedimientos relacionados a la
Gestión de Activos, el cual es la base para el proceso de Gestión de Riesgos.

Las jefaturas de las áreas y personal relacionado se han mostrado en discrepancia con
respecto a su responsabilidad sobre los activos de información, principalmente aquellos de
carácter más técnico. Entienden en general que los procesos de negocio y como estos se
desarrollan son parte de su rol, pero que hay ciertos controles y procedimientos operativos
que no son parte de su quehacer, como por ejemplo:

• La definición de roles y perfiles en los sistemas

• La segregación de funciones.
• Los niveles de disponibilidad
• La identificación de información personal
• La definición de planes de continuidad operacional

Se ha establecidos algunos cambios en las definiciones de políticas y procedimientos de

gestión de activos tendientes a establecer estas responsabilidades en el área de TI,
específicamente en el área de desarrollo, siendo estos los responsables de estas definiciones
y controles relacionados implementados.

El auditor en base a estas definiciones percibe que el rol de los propietarios de los procesos es
prácticamente nulo en el proceso de gestión de riesgos y que además delegan buena parte de
los controles a áreas técnicas de la organización. El Director de Calidad señala que si bien es
cierto que se han asignados estas funciones sobre estos controles técnicos al área de TI, el
responsable sigue siendo el propietario del activo, el cual corresponde al área de negocio en
caso de que así lo amerite y esto ha permitido que ellos empleen su tiempo en su quehacer,
mientras que las áreas de TI realizan estos controles desde su visión técnica.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°6 – AUDITORÍA

En la auditoría de certificación, se están revisando las cláusulas correspondientes a la

Auditoría del SGSI. En términos generales, el proceso de auditoría establecido en la
organización cumple con todos los requisitos establecidos de la norma de planificación,
periodicidad, etapas, criterios y documentación, existiendo la debida evidencia de que el
proceso es desarrollado de manera conforme.

El auditor ha observado en diversos procesos propios del SGSI que el Jefe de la Unidad de
Auditoría y un Auditor TI de la organización han estado participando de manera activa en el
proceso de gestión de riesgos, asesorando a la organización en el levantamiento de riesgos en
cerca de un 70% de los procesos y en la adopción de controles para mitigar estos riesgos,
cuestionando la independencia de la unidad de auditoría en la realización de estas.

El Jefe de Auditoría señala que en su rol de organismo asesor participan del levantamiento de
riesgos de manera activa y que la responsabilidad de los riesgos siempre es de los responsables
del negocio, de igual manera con la implementación de controles.

En relación a la independencia, el Jefe de Auditoría señala que las auditorías al SGSI son
realizadas por una consultora externa, donde la contraparte técnica es el área de
ciberseguridad, no participando del proceso, más allá en las definiciones sobre el tipo de
informe y entregables, los cuales deben estar alineados a los estándares de la organización.
Mientras que en las auditorías internas realizadas señala que tanto él como el auditor TI de la
organización que participan del SGSI no son parte de estas auditorías para evitar
precisamente el problema con la independencia.

Por último, el Jefe de Auditoría ha señalado que el Comité de Auditoría y Comité de Seguridad
de la Información han aprobado su participación en el SGSI con las consideraciones antes
señaladas, así como el desarrollo de las auditorías tanto interna como externas definidas, las
cuales están debidamente registradas en actas de sesiones del comité, hecho que fue
verificado.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°7 – TELETRABAJO

En la Auditoría de Tercera se analiza el cumplimiento de la Política de Teletrabajo y las

directrices establecidas por la Contraloría aprobadas en una resolución.

La totalidad de los funcionarios de la DDE opera en modalidad de teletrabajo, trabajando con

equipos propiedad de la universidad (70%) y equipos personales (30%). Todos los funcionarios
cuentan con conexión a la red interna vía VPN y mecanismos de autentificación seguros
adicionales (Token de acceso a servicios en la red). Se han hecho capacitaciones en la materia
y concientización en ciertos ataques específicos (phishing (y sus derivaciones), malware
(ransomwhere principalmente), sobre el uso responsable del equipamiento y sobre la
protección de datos personales. Adicionalmente se realizaron anexos de los contratos y se
otorgó un bono adicional para conectividad.

Los equipo propiedad de la universidad cuentan con mecanismos de monitoreo y supervisión,

lo cual posibilita la actualización de software (Sistema Operativo, Software operacional y de
Protección), cuentan además con un EDR, software licenciado y el bloquea de instalación de
software. Los equipos que no son propiedad de la organización no poseen similares controles,
realizando algunos controles compensatorios como: proveer de licencias de software y
antivirus, y concientizar sobre el uso seguro.

El responsable del control del Teletrabajo, Sr. Jorge Bravo, señala que efectivamente estos
usuarios no poseen los mismos controles que aquellos que poseen el equipamiento propiedad
de la universidad, que existe un plan de compra de equipamiento para el año próximo
debidamente formalizado. Los riesgos identificados sobre estos computadores son
establecidos como Alto, siendo necesario el tratamiento de estos en base al proceso de gestión
de riesgo. Dada la falta de recursos actuales y la contingencia la Universidad ha decidido
aceptar el riesgo, existiendo los controles compensatorios antes señalados.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°8 – CONTINUIDAD DEL NEGOCIO

En una auditoría de tercera parte a la continuidad operativa, se han identificados importantes

hallazgos en la evaluación de los planes de continuidad del negocio.

Se establece en la Política de Continuidad del Negocio que todos los Planes de Continuidad
deben ser probados a lo menos tres veces al año haciendo ejercicios de pruebas de bajo,
mediano y alto nivel, siendo este último nivel de manera similar a las operaciones del negocio.
En el año en curso no fue realizado el ejercicio de ningún plan de continuidad, siendo activado
un plan al menos 3 veces a lo largo del año con adecuados resultados. Son 5 los planes de
continuidad definidos.

Consultado al Director de Continuidad este señalo que el año pasado se realizó el cambio
completo de las plataforma tecnológicas, razón por la cual se decidió para el primer semestre
la actualización de los planes, mientras que para el segundo su validación (pruebas y auditoría),
pero dado el contexto las validaciones no han sido del todo formal. Existe evidencia concreta
que los planes fueron actualizados a las nuevas definiciones tecnológicas. Se encuentra
conforme con las definiciones, puesto que el plan que han activado ha funcionado, esperando
que ocurra lo mismo en los planes.

Para el año próximo se han programado los ejercicios de los planes, para ello se muestra una
Carta Gantt en la cual se establece un cronograma estricto que da respuesta a lo señalado.
Adicionalmente el Director de la Organización y el Comité de Seguridad de la Información se
encuentran al tanto de la situación, realizando la aceptación de los riesgos y autorizando en
acta del comité la no realización de los ejercicios de continuidad del negocio, principalmente
por el contexto de pandemia, sin perjuicio de ello han establecido el desarrollo de una
evaluación de los planes realizado por una consultora externa y el desarrollo de una
evaluación interna de nivel bajo (revisión de escritorio) para este año.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°9 – SENSORES INDUSTRIALES

En una auditoría de tercera parte a los laboratorios de minería, se han advertido algunos
incidentes de ciberseguridad informados en el proceso de gestión de incidentes, han sido
recientemente víctima de un grave incidente en la operación de su maquinaria y en diversos
sensores. La vulnerabilidad de los sensores, presentes en gran parte de la industria, así como
en el laboratorio, permite el control remoto de estos y su desactivación.

Revisando el plan de mitigación, se encuentra un adecuado detalle de las acciones realizadas,

las cuales consisten en la actualización del firmware de cada sensor, así como la
implementación de diversos agentes remotos que permiten el bloqueo de accesos externos a
los dispositivos, los cuales permiten evitar de manera efectiva que estos puedan ser
controlados desde fuera de la red, hechos debidamente certificados internamente y por una
consultoría externa contratado para dicho propósito.

Pese a la alta efectividad del plan realizado se advierte que no se ha realizado una adecuada
revisión del perfil de riesgo, manteniéndose estos igual que hasta antes del ataque, así como
una gestión del incidente de manera formal. El Jefe de Ciberseguridad señala que
efectivamente se actualizará el perfil de riesgos y todos los activos que potencialmente
pudiesen estar vulnerables, pero que la organización tiene definido que la revisión de la
gestión de riesgos es anual en el SGSI y que esta no puede ser modificada por la alta
complejidad de reunir al Comité del SGSI, quien ha emitido un comunicado aceptando el
riesgos con todos los antecedentes necesarios para dicha opción de tratamiento y contratado
hasta la actualización del perfil de riesgos a la consultora externa para un monitoreo
preventivo/detectivo de los sensores.

Revisado el alcance del SGSI, este señala que todos los procesos, actividades y activos de
información son parte del SGSI.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH

CASO N°10– GESTIÓN DE INCIDENTES

En la Auditoría de Tercera se analiza el cumplimiento de la Política de Gestión de Incidentes,

en ella se han identificado algunos puntos de interés que pueden ser consideradas no
conformidades en lo relativo al alcance de estas y mecanismos de operación.

Se ha identificado una intrusión a información crítica de la organización, principalmente a las

claves de accesos centralizadas de todos los usuarios para los servicios y aplicativos de la
organización. El acceso fue generado por debilidades en los controles de seguridad en la nube
y deficiencia en el desarrollo seguro de unas de las aplicaciones que ahí reside. Desde la
gestión del incidente, más allá de analizar la causa y otorgar un plan de recomendaciones, no
se realizó ninguna gestión oportuna para solucionar la problemática, no existiendo una debida
articulación con las áreas de ciberseguridad, dado que ellos no hacen evaluaciones en las
plataformas en la nube, siendo el responsable de la solución el área de desarrollo, tanto de la
implementación de algunos controles en la nube y de las vulnerabilidades técnicas del
software. Adicionalmente se instruyo a todos los usuarios a realizar un cambio preventivo de
claves.

El encargado del SGSI, Sr. David López, señala que este el riesgo se encuentra identificado en
la matriz de riesgos, estableciendo su Impacto como Catastrófico y su nivel de Probabilidad de
ocurrencia como Muy Improbable, generando un nivel de severidad de riesgo ALTO. Dicho
nivel de severidad, conforme al apetito organizacional requiere un plan de tratamiento, no
obstante que este riesgo fue Aceptado por el Comité de Seguridad de la Información, dado el
nivel de expertise del proveedor, sus altos niveles de certificación en materias de seguridad
(Amazon) y la experiencia previa, la cual en más de 3 años de funcionamiento no presento
problemas.

El Sr. López plantea que dada la materialización del riesgo se ha establecido la revisión de los
controles, siendo el responsable el Director de Operaciones de dicha plataforma, pero que
este no posee un conocimiento técnico adecuado y que tanto las áreas de desarrollo y
ciberseguridad no son responsables de la implementación de controles en dicha plataforma,
que ese labor fue realizada por una consultora externa, la cual ya no funciona con la
organización.

Adicionalmente el Sr. López, plantea que la incidencia fue cerrada entendiendo el contexto de
riesgo organizacional a la fecha y que fue completado el análisis de causa y plan de mejora
respectivo en el tenor de lo señalado, que dado la indefinición y confianza en el proveedor que
existían en dicho minuto era poco y nada lo que se podía hacer, hasta que la dirección tomará
las medidas adecuadas, mal que mal ellos aceptaron los riesgos relacionados.

Curso de Auditor Líder ISO 27.001 – Capacitación USACH