Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTEXTO
Ud. se encuentra en una auditoría de tercera parte al SGSI de la USACH apoyando al Auditor
Líder como observador de la auditoría. El Auditor Líder ha levantado una serie de hallazgos en
el transcurso de la Auditoría y ha solicitado a UD. su parecer sobre estos pidiéndoles en
específico su evaluación usando el formulario de no conformidades para dicho propósito.
SE SOLICITA
SOBRE LA ENTREGA
▪ Debe subir su informe en PDF al portal del curso en los plazos establecidos.
▪ Debe indicar claramente el nombre de los integrantes del grupo
▪ La cantidad máxima de integrantes por grupo es de 8 personas.
▪ En su informe solo deberá incluir los 10 informes de análisis para cada uno de los casos
planteado.
A continuación se describe el formato de informe que deberá emplear para cada uno de los
casos que a continuación se exponen:
Máximo 3 supuestos.
Por ejemplo:
6.1.2 Evaluación de riesgo de la seguridad de la información
Máximo 15 líneas.
Clasificación Debe ser SOLO una de las siguientes opciones:
CONFORMIDAD
NO CONFORMIDAD MENOR
NO CONFORMIDAD MAYOR
Considere las restricciones establecidas, cualquiera de los ítems que no cumpla con los
requisitos antes señalados implicará automáticamente su anulación, es decir, no serán
revisados.
El Jefe de Capacitación ha señalado que en todos los casos señalados se han levantado no
conformidades, todas ellas con su plan de tratamiento establecidos y/o en desarrollo,
ejecutando diversos talleres y campañas de concientización en la materia ( “El uso de la firma
electrónica”, “Ciberseguridad y Teletrabajo”, “La Ciberseguridad comienza por ti”), en las
cuales se abordaron las principales debilidades identificadas, talleres que además serán
realizados de manera permanente en la organización. En el programa participo todo el
personal dentro del alcance del SGSI. En el ambito de la gestión de la información, se ha
eliminado todos los repositorios compartido enviando un comunicado a académicos instando
el uso de las plataformas institucionales, las cuales poseen los debidos mecanismos de control
de acceso, obteniendo resultados adecuados del seguimiento establecido. En el caso del
phishing, pendiente esta la realización de una nueva campaña, la cual esta programada para la
próxima semana e incorporar algunos otros aspectos relevantes de ciberseguridad, esperando
que las capacitaciones realizadas surjan el debido efecto.
Pese a que la Universidad no forma parte de los organismos públicos que deben reportar al
CAIGG su proceso de gestión de riesgos, definiciones de la Rectoría han establecido el
alineamiento a dichas definiciones tanto para el proceso de Gestión de Riesgos Institucional
(liderado por la Contraloría) y los diversos procesos de gestión de riesgos establecidos en
diversos sistemas de gestión existentes (de calidad, seguridad de la información y continuidad
del negocio).
Se ha identificado que la matriz no está actualizada de acuerdo con las nuevas definiciones del
CAIGG, ni que tampoco han desarrollado el levantamiento de la información que posee
información personal. Consultado al Sr. Nicolas Aguirre, responsable del proceso de gestión
de riesgos, sobre como abordaran estas definiciones este señala que las definiciones del
CAIGG no son aplicables en la universidad, hecho validado por el área jurídica y en el análisis
de la legislación aplicable, y que desde este año no se alinearan al proceso de gestión de riesgos
que el CAIGG establece, principalmente por los plazos establecidos y por el esfuerzo que
demanda el levantamiento detallado de la información personal que se requiere. Seguirán
empleando la misma metodología del documento técnico 70 versión 2016, sin los cambios
establecidos y en el ambito de la protección de información personal, seguirán basándose en
la Política existente y las definiciones internas en la materia, ambos elementos fueron
debidamente validados en el Comité de Riesgos.
1
El CAIGG es el organismo gubernamental responsable del Proceso de Gestión de Riesgo del Estado.
Existe una política y procedimiento para la gestión de proveedores, en la cual se establece que
cada propietario de un servicio externalizado debe realizar el monitoreo de los servicios y la
supervisión de estos en términos de los niveles de servicios establecidos (SLA), lo cual han
reportado de acuerdo a lo definido. Sin embargo, se han advertido tres no conformidades
relacionadas a indisponibilidad de las plataformas, las cuales han sido cerradas por
corresponder a problemas ajenos a los servicios provistos por los proveedores de las
plataformas. En un caso se presento un corte del enlace con unos de los proveedores, lo cual
esta debidamente excluido conforme a las condiciones contractuales; en el segundo una
sistema residente en una plataforma en la nube presento un problema de configuración y
gestión del cambio realizado por el área de desarrollo interno, no siendo un problema del
proveedor del servicio en la nube; mientras que en el tercero, el proveedor experimento un
problema de disponibilidad de un software externo, siendo el problema de un tercero que
trabaja con el proveedor, específicamente en los servicios en la nube que a este le provee. El
CISO de la Universidad, el Sr. David López, señala que los tres casos fueron problemas
exógenos a los proveedores y que la disponibilidad proporcionada por ellos es la adecuada.
Del análisis de las no conformidades y su cierre, se establece principalmente que estos no son
problemas de los proveedores y se hacen las debidas justificaciones en dicho contexto,
realizando un acabado informe en los tres casos de los problemas y sobre como afectarán en
la medición de los indicadores, pero no se establecen los análisis de la causa de cada una de las
no conformidades, ni tampoco la implementación de mejoras, ya sea en los procedimientos
internos, contratos o planes de contingencia, por ejemplo.
Las jefaturas de las áreas y personal relacionado se han mostrado en discrepancia con
respecto a su responsabilidad sobre los activos de información, principalmente aquellos de
carácter más técnico. Entienden en general que los procesos de negocio y como estos se
desarrollan son parte de su rol, pero que hay ciertos controles y procedimientos operativos
que no son parte de su quehacer, como por ejemplo:
El auditor en base a estas definiciones percibe que el rol de los propietarios de los procesos es
prácticamente nulo en el proceso de gestión de riesgos y que además delegan buena parte de
los controles a áreas técnicas de la organización. El Director de Calidad señala que si bien es
cierto que se han asignados estas funciones sobre estos controles técnicos al área de TI, el
responsable sigue siendo el propietario del activo, el cual corresponde al área de negocio en
caso de que así lo amerite y esto ha permitido que ellos empleen su tiempo en su quehacer,
mientras que las áreas de TI realizan estos controles desde su visión técnica.
Las jefaturas de las áreas y personal relacionado se han mostrado en discrepancia con
respecto a su responsabilidad sobre los activos de información, principalmente aquellos de
carácter más técnico. Entienden en general que los procesos de negocio y como estos se
desarrollan son parte de su rol, pero que hay ciertos controles y procedimientos operativos
que no son parte de su quehacer, como por ejemplo:
El auditor en base a estas definiciones percibe que el rol de los propietarios de los procesos es
prácticamente nulo en el proceso de gestión de riesgos y que además delegan buena parte de
los controles a áreas técnicas de la organización. El Director de Calidad señala que si bien es
cierto que se han asignados estas funciones sobre estos controles técnicos al área de TI, el
responsable sigue siendo el propietario del activo, el cual corresponde al área de negocio en
caso de que así lo amerite y esto ha permitido que ellos empleen su tiempo en su quehacer,
mientras que las áreas de TI realizan estos controles desde su visión técnica.
El auditor ha observado en diversos procesos propios del SGSI que el Jefe de la Unidad de
Auditoría y un Auditor TI de la organización han estado participando de manera activa en el
proceso de gestión de riesgos, asesorando a la organización en el levantamiento de riesgos en
cerca de un 70% de los procesos y en la adopción de controles para mitigar estos riesgos,
cuestionando la independencia de la unidad de auditoría en la realización de estas.
El Jefe de Auditoría señala que en su rol de organismo asesor participan del levantamiento de
riesgos de manera activa y que la responsabilidad de los riesgos siempre es de los responsables
del negocio, de igual manera con la implementación de controles.
En relación a la independencia, el Jefe de Auditoría señala que las auditorías al SGSI son
realizadas por una consultora externa, donde la contraparte técnica es el área de
ciberseguridad, no participando del proceso, más allá en las definiciones sobre el tipo de
informe y entregables, los cuales deben estar alineados a los estándares de la organización.
Mientras que en las auditorías internas realizadas señala que tanto él como el auditor TI de la
organización que participan del SGSI no son parte de estas auditorías para evitar
precisamente el problema con la independencia.
Por último, el Jefe de Auditoría ha señalado que el Comité de Auditoría y Comité de Seguridad
de la Información han aprobado su participación en el SGSI con las consideraciones antes
señaladas, así como el desarrollo de las auditorías tanto interna como externas definidas, las
cuales están debidamente registradas en actas de sesiones del comité, hecho que fue
verificado.
El responsable del control del Teletrabajo, Sr. Jorge Bravo, señala que efectivamente estos
usuarios no poseen los mismos controles que aquellos que poseen el equipamiento propiedad
de la universidad, que existe un plan de compra de equipamiento para el año próximo
debidamente formalizado. Los riesgos identificados sobre estos computadores son
establecidos como Alto, siendo necesario el tratamiento de estos en base al proceso de gestión
de riesgo. Dada la falta de recursos actuales y la contingencia la Universidad ha decidido
aceptar el riesgo, existiendo los controles compensatorios antes señalados.
Se establece en la Política de Continuidad del Negocio que todos los Planes de Continuidad
deben ser probados a lo menos tres veces al año haciendo ejercicios de pruebas de bajo,
mediano y alto nivel, siendo este último nivel de manera similar a las operaciones del negocio.
En el año en curso no fue realizado el ejercicio de ningún plan de continuidad, siendo activado
un plan al menos 3 veces a lo largo del año con adecuados resultados. Son 5 los planes de
continuidad definidos.
Consultado al Director de Continuidad este señalo que el año pasado se realizó el cambio
completo de las plataforma tecnológicas, razón por la cual se decidió para el primer semestre
la actualización de los planes, mientras que para el segundo su validación (pruebas y auditoría),
pero dado el contexto las validaciones no han sido del todo formal. Existe evidencia concreta
que los planes fueron actualizados a las nuevas definiciones tecnológicas. Se encuentra
conforme con las definiciones, puesto que el plan que han activado ha funcionado, esperando
que ocurra lo mismo en los planes.
Para el año próximo se han programado los ejercicios de los planes, para ello se muestra una
Carta Gantt en la cual se establece un cronograma estricto que da respuesta a lo señalado.
Adicionalmente el Director de la Organización y el Comité de Seguridad de la Información se
encuentran al tanto de la situación, realizando la aceptación de los riesgos y autorizando en
acta del comité la no realización de los ejercicios de continuidad del negocio, principalmente
por el contexto de pandemia, sin perjuicio de ello han establecido el desarrollo de una
evaluación de los planes realizado por una consultora externa y el desarrollo de una
evaluación interna de nivel bajo (revisión de escritorio) para este año.
En una auditoría de tercera parte a los laboratorios de minería, se han advertido algunos
incidentes de ciberseguridad informados en el proceso de gestión de incidentes, han sido
recientemente víctima de un grave incidente en la operación de su maquinaria y en diversos
sensores. La vulnerabilidad de los sensores, presentes en gran parte de la industria, así como
en el laboratorio, permite el control remoto de estos y su desactivación.
Pese a la alta efectividad del plan realizado se advierte que no se ha realizado una adecuada
revisión del perfil de riesgo, manteniéndose estos igual que hasta antes del ataque, así como
una gestión del incidente de manera formal. El Jefe de Ciberseguridad señala que
efectivamente se actualizará el perfil de riesgos y todos los activos que potencialmente
pudiesen estar vulnerables, pero que la organización tiene definido que la revisión de la
gestión de riesgos es anual en el SGSI y que esta no puede ser modificada por la alta
complejidad de reunir al Comité del SGSI, quien ha emitido un comunicado aceptando el
riesgos con todos los antecedentes necesarios para dicha opción de tratamiento y contratado
hasta la actualización del perfil de riesgos a la consultora externa para un monitoreo
preventivo/detectivo de los sensores.
Revisado el alcance del SGSI, este señala que todos los procesos, actividades y activos de
información son parte del SGSI.
El encargado del SGSI, Sr. David López, señala que este el riesgo se encuentra identificado en
la matriz de riesgos, estableciendo su Impacto como Catastrófico y su nivel de Probabilidad de
ocurrencia como Muy Improbable, generando un nivel de severidad de riesgo ALTO. Dicho
nivel de severidad, conforme al apetito organizacional requiere un plan de tratamiento, no
obstante que este riesgo fue Aceptado por el Comité de Seguridad de la Información, dado el
nivel de expertise del proveedor, sus altos niveles de certificación en materias de seguridad
(Amazon) y la experiencia previa, la cual en más de 3 años de funcionamiento no presento
problemas.
El Sr. López plantea que dada la materialización del riesgo se ha establecido la revisión de los
controles, siendo el responsable el Director de Operaciones de dicha plataforma, pero que
este no posee un conocimiento técnico adecuado y que tanto las áreas de desarrollo y
ciberseguridad no son responsables de la implementación de controles en dicha plataforma,
que ese labor fue realizada por una consultora externa, la cual ya no funciona con la
organización.
Adicionalmente el Sr. López, plantea que la incidencia fue cerrada entendiendo el contexto de
riesgo organizacional a la fecha y que fue completado el análisis de causa y plan de mejora
respectivo en el tenor de lo señalado, que dado la indefinición y confianza en el proveedor que
existían en dicho minuto era poco y nada lo que se podía hacer, hasta que la dirección tomará
las medidas adecuadas, mal que mal ellos aceptaron los riesgos relacionados.