Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COMUNICACIÓN DE RESULTADOS
OPORTUNIDADES DE MEJORA
L eqodd
dOaO Fecha deAprobacron. 02/04/2018
SEGUIMIENTO Y EVALUACIÓN AL
SISTEMA DE CONTROL INTERNO Versión: 3
Contexto
Finalmente, se requiere limitar el alcance a una prueba piloto para la implementación y posible
certificación a llave maestra y cronos, dada la necesidad de recursos económicos, físicos, humanos,
etc.
La equidad
eadeCodou Fecha de Aprobación: 02/04/2018
SEGUIMIENTO Y EVALUACIÓN AL
SISTEMA DE CONTROL INTERNO Versión: 3
HALLAZGOS:
Hallazgo 3: La norma para la implementación del SGSI establece que las políticas para la seguridad
de la información se deben revisar a intervalos planificados, o si ocurren cambios significativos,
para asegurar su conveniencia, adecuación y eficacia continúas. Ante lo anterior, el documento
Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, no establece la
periodicidad para la revisión de las mencionadas políticas. De igual manera, la misma no se ha
cambiado desde el 24-09-2015, fecha de su última actualización, a pesar de la modificación a la
estructura funcional del Departamento Administrativo para la Prosperidad Social, conforme al
Decreto 2094 de 22-12-2016 y las diferentes resoluciones internas han creado y suprimido grupos
internos de trabajo en las diferentes dependencias de la Entidad, incumpliendo lo establecido en el
anexo A numeral A.5.1.2: Revisión de las Políticas para la Seguridad de la Información
de la Norma ISO/IEC 27001:2013.
Hallazgo 4: La Entidad no ha desarrollado los planes para lograr los objetivos de la seguridad de
la información, incumpliendo lo establecido en el artículo 8.1 la Norma ISO/IEC 27001:2013.
Hallazgo 5: Se evidencia que no todos los colaboradores de la Entidad firman el Acuerdo Individual
de Confidencialidad, ni reciben la inducción sobre las Políticas de Seguridad de la Información, tal
como se observó en la muestra seleccionada de los colaboradores que acceden a Llave Maestra,
pues de un total de 14 colaboradores (8 Planta, 6 contratistas) que tienen acceso a Llave Maestra,
se encontró que tres (3) de ellos (21,4%) no firmaron el Acuerdo Individual de Confidencialidad y
nueve (9) no recibieron inducción sobre Políticas de Seguridad de la Información (64.2%),
incumpliendo lo establecido en el numeral 6.1.2 Términos y condiciones laborales del Manual
de Políticas Específicas y Lineamientos de Seguridad de la Información codificado M-DE-
TI-2.
Entrenamiento
Funcionario y/O - - Acuerdo
- Vinculacion Seguridad
ContratiSta Confidencia lida d
Información
AlejandraTacuma Planta Si Sí (2da Posesión)
Carolina.Cortes Planta No Si
jaider.losada Planta Si No
lvan.Frias Planta Si Si (ira Posesión)
fabio.gonzalez Planta Si No
Joel.Hernandez Planta No No
Juan.Murillo Planta No Si
Carlos.Ramos Planta Si Si
Norman.Pinzon Contrato No Si
Omar.Torrijos Contrato No Si
John.Zamudio Contrato No Si
Conrado.Rojas Contrato No Si
gabri ela.vi II amizar Contrato No Si
Rafael.Reyes Contrato No Si
Fuente. Oficina de Control Interno
Alejandra.Tacuma Planta Si
Carolina.Cortes Planta Si
jaider.losada Planta Si
Ivan.Frias Planta Si
fabio.gonzalez Planta Si
Joel.Hernandez Planta No
Juan.Murillo Planta Si
Carlos.Rarrios Planta Si
Norrnan.Pinzon Contrato No
Omar.Torrijos Contrato No
John.Zarnudio Contrato No
Conrado.Rojas Contrato No
gabrielavillamizar Contrato No
Rafael.Reyes Contrato No
Fuente: Oficina de Control Interno
4
INFORME DE AUDITORÍA INTERNA Código: F-CI-4
La equidad .
Fecha de Aprobacion: 02/04/2018
SEGUIMIENTO Y EVALUACIÓN AL
SISTEMA DE CONTROL INTERNO Versión: 3
En este momento no es posible determinar a que riesgos se expone la Entidad, dado que el Sistema
de Gestión de Seguridad de la Información se encuentra en etapa de implementación.
REVISIÓN DE INDICADORES
A la fecha de ejecución de la presente auditoría y en relación con los indicadores que hacen
referencia al Sistema de Gestión de la Seguridad de la Información, el auditado presenta el avance
de diecisiete (17) indicadores que se vienen construyendo. La auditoria observa que dichos
indicadores han sido extraídos textualmente del documento Guía No. 9 "Guía de indicadores de
gestión para la seguridad de la información" Ministerio de Tecnologías de la Información y las
Comunicaciones". Al respecto este equipo auditor se permite realizar las siguientes sugerencias,
con el ánimo de que la entidad no se limite a la mencionada guía y pueda establecer un sistema o
cuadro de mando de indicadores más elaborados, que resulten acordes a la dinámica de la entidad
y puedan ser útiles para la alta dirección y toma de decisiones.
Así mismo, se recomienda determinar de manera clara el punto de referencia o línea base, con la
que se medirán las desviaciones respecto a los objetivos trazados.
De igual manera es importante que la construcción de los indicadores se realice con las áreas que
serán responsables de ejecutar actividades que harán parte de las variables.
Respecto a los indicadores del proceso, en relación con la auditoría se encontró para el plan de
acción el siguiente indicador:
PRODUCTO
Política de seguridad digital implernentada en la entidad.
ACTIVIDAD RESULTADO ESPERADO OBSERVACION
*Plan de tratamiento de
riesgos.
* Declaración de Aplicabilidad
*plan de Implementación de
controles.
Implementar el SGSI para el Campañas realizadas por los Se han realizado las campañas
Proyecto Equidad Digital. diferentes medios digitales de y respecto a los controles se
la Entidad. están construyendo.
Controles técnicos o
administrativos
implementados. (pruebas de
ethical hacking, políticas,
lineamientos etc.).
REVISIÓN RIESGOS
En relación con el objeto de la auditoría, el auditado presenta una matriz que contiene el avance
del levantamiento y análisis de riesgos de equidad digital 2019, para la cual se vienen identificando
los riesgos por activos de información en términos de perdida de confidencialidad, integridad y
disponibilidad. Se recomienda revisar la dinámica para la construcción de la matriz en aras de que
la misma, no sea extensa y depure los riesgos que no apuntan a los objetivos y estrategias del
sistema lo que propenderá a un seguimiento practico, generando valor para la toma de decisiones.
EFECTIVIDAD DE CONTROLES
En el ejercicio auditor no hay actividades que fuesen realizadas por un experto técnico.
CONCLUSIÓN
"Evaluar la implementación del sistema de gestión de seguridad de la información. ", sin embargo
y conforme a la dinámica propia de la entidad y las razones expuestas en el presente informe, el
objeto de la auditoría se limitó a la implementación del Sistema de Gestión de la Seguridad de la
Información en las herramientas "Llave Maestra y Cronos".
En este contexto y como resultado del trabajo auditor realizado, se puede concluir que Sistema de
Gestión de la Seguridad de la Información a nivel institucional, requiere ser estructurado, a nivel
Llave Maestra y Cronos, se determina que, en este límite, no es posible dar cumplimiento a todos
los requisitos exigidos por la norma, dado que la dinámica de estas herramientas no permite su
aplicación. Así mismo, se debe fortalecer la implementación del mencionado sistema, pues como
es mencionado en el presente informe, existen aspectos que deben ser subsanados y otros que son
oportunidades de mejora, para que este sistema logre su certificación.
Número de
Desagregado del total de horas
Horas
Horas de Auditoría de Gestión O
Alex
41 ueno - -
cl,tor,Líder
-
IP ,,,
L
',yL-ófiTovar
IV
lay
La equidad
es de todos
5.1 Política de Organización Interna (Equivale a A.6.1 Norma NTC ISO/IEC 27001:2013)
En esta política se indica que la metodología de gestión de proyectos empleada por el DPS debe
considerar la seguridad de la información como componente transversal, por tanto, los proyectos de
la Entidad deben incluirlas desde el inicio y durante la ejecución de los proyectos que se formulen.
Ante esto, no fue posible establecer cuál es la metodología de gestión de proyectos de Prosperidad
Social, al no lograr identificar esta metodología, no se puede establecer si en esta se considera como
un componente transversal la Seguridad de la Información. De igual manera no es posible identificar
si esta metodología es aplicada en el proyecto de Llave Maestra y Cronos (Objeto de Auditoría).
1
La equidad Prosperidad
es de todos Social
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.6.1.2, A.6.1.3, A.6.1.4.
5.2 Política de dispositivos móviles (Equivale a A.6.2.1 Norma NTC ISO/IEC 27001:2013)
En lo correspondiente a Llave Maestra y Cronos, esta política no aplica debido a que a estas
herramientas no pueden accederse fuera de las instalaciones de la Entidad, independientemente que
los equipos sean o no de esta.
El objetivo de esta política es proteger la información del DPS que se encuentre almacenada en
dispositivos móviles, para lo cual se establecen políticas como cifrado de datos, restricción de conexión
de dispositivos USB, desactivar accesos inalámbricos cuando se encuentre conectados a la red LAN,
los cuales no se están aplicando actualmente, por tanto, de un equipo de la Entidad que se autoriza a
ser retirado de la misma, se puede extraer información de DPS sin restricción. En caso de pérdida de
algún equipo de DPS se indica que se puede llegar a realizar un borrado remoto de la información, lo
cual tampoco se está aplicando.
En lo correspondiente a los equipos que son propiedad de funcionarios de DPS, se indica que estos
pueden tener almacenada información del DPS siempre y cuando se encuentren registrados e
identificados por parte del GIT de Infraestructura y Servicios de Tecnología de la Información, y se
implementen las medidas de aseguramiento definidas por este, lo cual no se esta ejecutando en este
momento.
Adicionalmente se indica que no existe ningún colaborador con acceso VPN a Llave Maestra y Cronos.
6 Seguridad de los Recursos Humanos (Equivale a A.7 Norma NTC ISO/IEC 27001:2013)
6.1.1 Selección del Personal (Equivale a A.7.1.1 Norma NTC ISO/IEC 27001:2013)
Esta política indica que cuando deberá realizarse la verificación de antecedentes cuando así lo amerite
y en casos necesarios debe contemplar estudio de seguridad. Ante esto, se establece que la
Subdtrección de Talento Humano no realiza ninguna validación de antecedentes, ya que existe
normatividad que indica que puede hacerse aleatorio, pues se presume la buena fe del colaborador
que se va a posesionar. Por otra parte, entre las actividades a realizar para esta verificación de
antecedentes se contempla la confirmación de calificaciones académicas y profesionales, revisión de
documentación de identidad alterna como el pasaporte, licencia de conducción, a lo que las
subdirecciones de Talento Humano y Contratación indican no realizar esta actividad.
Es importante indicar que esta política debe formularse de común acuerdo con las Subdirecciones de
Talento Humano y Contratación (Contratos Prestación de Servicios), ya que actualmente no sólo hay
actividades que estas desconocían, sino no hay segregación o diferenciación de actividades frente a
2
La equidad Prosperidad
es de todos SociaL
funcionarios de la planta de personal y los contratistas, lo que no permite generalizar las actividades
para ambos tipos de vinculación.
Para evaluar esta situación se solicitó información de todos los colaboradores que actualmente tienen
acceso a Llave Maestra. De un total de 87 colaboradores (73 Planta, 14 contratistas) se tomó una
muestra para la evaluación de la política de Seguridad de los Recursos Humanos así:
AlejandraTacuma Planta Si Si No No Si Si Si
CarolinaCortes Planta Si Si No No Si Si Si
jaiderlosada Planta Si Si No No Si Si SI
lvan.Frias Planta Si Si No No Si Si Si
fabio.gonzalez Planta Si Si No No Si Si Si
JoeLHernandez Planta No No No No Si Si Si
Juan.Murillo Planta Si Si NO No Si Si Si
CarlosRamos Planta Si Si No No Si SI SI
NormanPinzon Contrato No No No No Si Si Si
OmarTorrijos Contrato No No No No Si Si Si
JohnZamudio Contrato No No No No Si Si Si
ConradoRojas Contrato No No NO No Si Si SI
gabrielavillaniizar Contrato No No No No Si Si Si
RafaeLReyes Contrato No No No No Si Si Si
Nota: Para funcionarios de planta se encontró un formato en el que se indica que se valida el
cumplimiento de requisitos, para los contratistas se está solicitando un certificado de idoneidad. De un
total de 14 colaboradores seleccionados (8 Planta, 6 contrato) se encontró que a siete (7) de ellos
(50%) no se les realizó la verificación de antecedentes (Estudios, Laborales, Verificación de Referencias
Laborales y Validación de Calificaciones académicas y profesionales). (Observación)
Se indica que todos los colaboradores del DPS debe firmar el Acuerdo Individual de Confidencialidad y
recibir inducción sobre las políticas de Seguridad de la Información, y con base en la misma muestra
del ejercicio anterior se encontró lo siguiente:
3
La equidad Prosperidad
es de todos SociaL
De un total de 14 colaboradores seleccionados (8 Planta, 6 contrato) se encontró que tres (3) de ellos
(21,4%) no firmaron el Acuerdo Individual de Confidencialidad y nueve (9) no recibieron inducción
sobre Políticas de Seguridad de la Información (64.2%). (Hallazgo)
Entrenarnento
Funcionario y/o Acuerdo
Vinculación Seguridad
Contratista Confidencialidad
Información
Alejandra.Tacuma Planta Si Si (2da Posesión)
Carolina.Cortes Planta No Si
jaider.losada Planta Si No
lvan.Frias Planta Si Si (ira Posesión)
fabio.gonzalez Planta Si No
Joel.Hernandez Planta No No
JuanMurillo Planta No Si
Carlos.Ramos Planta Si Si
Norman.Pinzon Contrato No Si
Omar.Torrijos Contrato No Si
John.Zamudio - Contrato No Si
Conrado.Rojas Contrato No Si
gabriela.vi llamizar Contrato No Si
Rafael.Reyes Contrato No Si
6.1.3 Entrena iiento. concientización y caDacitación (Eauivale a A.7.2.2 Norma NTC ISO/IEC
27001:2013)
Se indica que todos los colaboradores del DPS deben ser entrenados y capacitados para sus funciones
/ Actividades y cargos a desempeñar con el fin de proteger adecuadamente los recursos y la
información de la institución; y garantizar la comprensión del alcance y contenido de las políticas y
lineamientos de Seguridad de la Información. Esta capacitación puede extenderse a contratistas)
De un total de 14 colaboradores seleccionados (8 Planta, 6 contrato) se encontró que siete (7) de ellos
(50%) no recibieron capacitación o entrenamiento sobre sus funciones. (Hallazgo)
4
La equidad
es de todos
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.7.2.1 y A.7.3.1.
7.1 Política de uso de correo electrónico (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
El Servicio de correo electrónico no es exclusivo de Llave Maestra y Cronos, todos los colaboradores
de la Entidad y algunos operadores o entes de control cuentan con acceso a correo de Prosperidad
Social.
7.1.1 Usos Aceptables del Servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
Se cuenta con Herramienta ATP que genera alertas para usos no adecuados de la cuenta de correo
electrónico. Esta herramienta evita que salgan correos con archivos .exe; o archivos de desarrollo.
Se cuenta con política para uso de One Drive solo al interior de la entidad, pero está habilitada para
compartir de uso externo, lo que puede generar fuga de información de Llave Maestra.
La Herramienta ATP controla que no lleguen correos maliciosos con adjuntos. Administrador ve esta
alerta y bloquea remitente.
Actualmente hay políticas descritas en el documento que no son aplicadas por modificaciones que se
realizaron en el servicio de correo con el paquete 365 de Microsoft Office como no tener información
superior a un año en el correo, tamaño del correo, tamaño límite para los adjuntos que se pueden
enviar, aplicación del protocolo de comunicaciones, entre otras.
7.1.2 Usos no Aceptables del Servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
Ante el uso no aceptable del servicio de correo es muy difícil el control. El documento de política
estipula como mal uso del servicio mensajes con chistes, pornografía, discriminación genero o raza,
amenazas, mensajes violentos ante lo cual solo en cuentas de usuario de colaboradores con la
herramienta ATP bloquea este tipo de correos siempre y cuando tenga algún enlace con malware,
spam, sitio web prohibidos. Si los correos no traen lo mencionado no es posible.
5
La equidad
es de todos
7.1.3 Condiciones de uso del servicio (No identificada en Anexo A de la NTC IS0/IEC
27001:2013)
Actualmente hay políticas descritas en el documento que no son aplicadas por modificaciones que se
realizaron en el servicio de correo con el paquete 365 de Microsoft Office como no la capacidad del
correo electrónico.
En el caso de la contraseña, existe política que exigen cambio cada 30 días, un mínimo de caracteres,
la condición de combinar números, letras (mayúsculas y minúsculas) y caracteres especiales, pero no
es posible controlar que esta no sea suministrada a otros, o que todo aquel que reciba un correo
posiblemente malicioso informe al correo destinado para tal fin, entre otros.
Por otra parte, no existe manera de controlar que los colaboradores no se suscriban a boletines,
revistas, redes sociales, entre otros, con la cuenta institucional. Tampoco hay manera de garantizar
que todos los colaboradores etiqueten los correos de acuerdo con la información enviada a otros
dominios diferentes al de la Entidad.
En la política se establece que solo la Subdirección de Talento Humano puede solicitar la creación,
modificación o cancelación de las cuentas de correo electrónico, lo cual no aplica para colaboradores
vinculados por contrato de prestación de servicios. Ante esto nuevamente se indica que se deben
diferenciar las actividades de acuerdo con la dependencia competente y formular la política de común
acuerdo con estas, para evitar incurrir en incumplimientos legales o usurpación de funciones.
La responsabilidad del uso responsable del servicio de correo electrónico depende exclusivamente de
cada colaborador, el GIT de Infraestructura y Servicio de TI cuenta con controles para evitar algunos
de los malos usos de este, pero hay situaciones que no se pueden controlar.
7.2 Política de uso de Internet (No identificada en Anexo A de la NTC ISO/IEC 27001:20 13)
El Internet no se puede restringir solo para Llave Maestra, hay otras aplicaciones a las que se accede
por este servicio.
7.2.1 Usos Aceptables del Servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
La responsabilidad del uso responsable del servicio de internet depende exclusivamente de cada
colaborador, el GIT de Infraestructura y Servicio de TI cuenta con controles para evitar algunos de los
malos usos de este, pero hay situaciones que no se pueden controlar.
6
La equidad
es de todos
7.2.2 Usos no Aceptables del Servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
Para evitar el mal uso del servicio, la Entidad cuenta con controles como instalación de Firewall,
Bloqueos para restringir el acceso a sitios web que no tienen que ver con el acceso las funciones.
Restricción para descargar ciertos archivos como mp4, mp3, exe. Restricción por medio de usuario
administrador para todo tipo de instalaciones de software, Antivirus.
7.2.3 Condiciones de uso del servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
Restricciones implementadas para el acceso a páginas que no tiene que ver con la operación de la
Entidad.
Instalación de Firewall, Bloqueos para restringir el acceso a sitios web que no tienen que ver con el
acceso las funciones. Restricción para descargar ciertos archivos como mp4, mp3, exe. Restricción por
medio de usuario administrador para todo tipo de instalaciones de software, Antivirus.
7.3 Política de uso de Redes Sociales (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
El acceso a las redes sociales está bloqueado para personal que no tiene la autorización para su uso.
Adicionalmerite esta política no aplica para Llave Maestra y Cronos ya que a estas herramientas no se
cuenta con acceso desde las redes sociales.
7.3.1 Usos no Aceptables del Servicio (No identificada en Anexo A de la NTC IS0/IEC
27001:2013)
El acceso a las redes sociales está bloqueado para personal que no tiene la autorización para su uso.
Adicionalmente esta política no aplica para Llave Maestra y Cronos ya que a estas herramientas no se
cuenta con acceso desde las redes sociales.
La responsabilidad del uso responsable del servicio de redes sociales depende exclusivamente de cada
colaborador (los que tienes autorizado el acceso), el GIT de Infraestructura y Servicio de TI cuenta
con controles para evitar algunos de los malos usos de este, pero hay situaciones que no se pueden
controlar.
7
La equidad Pro peridad
es de todos Søclat
7.4 Política de uso de Intranet (No identificada en Anexo A de la NTC IS0/IEC 27001:20 13)
Todos los colaboradores que cuenten con una cuenta de correo electrónico tendrán acceso a intranet,
sin embargo, esta política no aplica para la evaluación objeto de la auditoría dado que a Llave Maestra
y Cronos no se accede desde la Intranet.
7.4.1 Usos Aceptables del Servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
Ante esto, se establece que la intranet los servicios a los que se tiene acceso desde la intranet son
netamente para actividades institucionales, adicionalmente se establece que la publicación de
contenidos no puede ser realizada por cualquier funcionario, el soporte a la Intranet está en cabeza
del GIT de Infraestructura y Servicios de Tecnología de Información y la publicación de contenidos
corresponde a la Oficina de Comunicaciones.
7.4.2 Usos no Aceptables del Servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
En esta política se establece que la Intranet no puede usarse para envío o manejo de información de
contenidos que atenten contra la integridad moral de las personas o instituciones. Ante esta situación,
y dada la finalidad del servicio, se puede establecer que un mal uso de este servicio puede presentarse
exclusivamente de las dependencias que cuentan con la administración y soporte del sitio y sus
contenidos, ya que a pesar de que todos los colaboradores de la entidad que tienen una cuenta de
correo electrónico tendrán acceso al servicio, ninguno puede publicar contenidos.
7.4.3 Condiciones de uso del servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
En el caso de la contrasePia, existe política que exigen cambio cada 30 días, un mínimo de caracteres,
la condición de combinar números, letras (mayúsculas y minúsculas) y caracteres especiales, pero no
es posible controlar que esta no sea suministrada a otros. Adicionalmente, dado que el ingreso a la
intranet depende de contar con cuenta de correo electrónico, se establece que esta política sobra en
este tipo de servicio y en cualquier otro al que se tenga acceso con la cuenta de directorio activo.
Ante la política de informar sobre contenidos o acceso a servicios que no le estén autorizados, dado
que la intranet, para la mayoría de los colaboradores de la Entidad es informativa y los servicios a los
que se acceden desde la misma son de uso general, independientemente de las funciones, no se
considera pertinente establecer tal esta política para este servicio.
La política de abstención del uso de la cuenta de acceso a la red y la intranet al momento de retirarse,
si bien depende del colaborador, el mayor control debe ser implementado por la Entidad, cumpliendo
con la política de eliminación de las cuentas de usuario una vez el colaborador se retira de la misma.
La no aplicación adecuada de esta política podrá generar que colaboradores retirados tengan acceso
al servicio intranet u otros servicios a los que se accede teniendo cuenta de correo institucional.
8
La equidad
es de todos
Mediante el servicio de intranet no se accede a Uave Maestra y Cronos. En la política se establece que
solo la Subdirección de Talento Humano puede solicitar la creación, modificación o cancelación de las
cuentas de correo electrónico, lo cual no aplica para colaboradores vinculados por contrato de
prestación de servicios. Ante esto nuevamente se indica que se deben diferenciar las actividades de
acuerdo con la dependencia competente y formular la política de común acuerdo con estas, para evitar
incurrir en incumplimientos legales o usurpación de funciones.
7.5 Política de uso de Recursos Tecnológicos (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
En lo correspondiente a Llave Maestra y Cronos, esta política no aplica dado que es general para todos
los recursos tecnológicos de la Entidad.
Esta política está enfocada al uso adecuado de los recursos tecnológicos, la no instalación de software
ilegal o malicioso en los equipos de cómputo asignados a los colaboradores, cambios en la
configuración de estos, entre otros. Para esto se cuenta con el control de instalación de software por
parte del GIT de Infraestructura y Servicios de Tecnología de la Información, sólo el usuario
administrador, administrado por el GIT mencionado, únicos colaboradores que pueden instalar
software en los equipos de Prosperidad Social.
El uso adecuado de los recursos tecnológicos depende exclusivamente del colaborador que lo tiene a
su cargo
7.5.1 Devolución de los Activos (Equivale a A.8.1.4 Norma NTC ISO/IEC 27001:2013)
Dado que Llave Maestra y Cronos son herramientas utilizadas por algunos colaboradores para ejercer
algunas de sus funciones, la aplicación de esta política aplica de la misma manera para la información
extraída de estos como para cualquier información de la Entidad a la que pueda tener acceso cada
colaborador dependiendo de sus actividades.
Esta política establece que todo activo de propiedad del DPS, asignado a los colaboradores, así como
la información almacenada en equipos de cómputo y dispositivos removibles deben ser entregados a
PS al momento de la desvinculación de la Entidad. Ante esto se indica contar con el formato "Retiro
de Servidores Públicos" en el cual se evidencia que se cancelan cuentas de usuario de aplicativos de
la Entidad, la cuenta de correo institucional, entrega de archivos de gestión y backup de archivos en
su PC, entrega inventario, entre otros. Ante esto, la pregunta es cómo se garantiza que la información
digital (backup) entregada da cuenta de la totalidad de la información administrada por el colaborador,
cómo se garantiza que no tiene información de PS en equipos fuera de la Entidad.
9
La equidad •prósperidad
es de todos SOciaL
En el marco del objeto de la auditoría, esta política aplica para Uave Maestra, dado que la información
de esta herramienta se encuentra catalogada como Reservada o Confidencial. Esta política establece
la clasificación de la información de la Entidad, y con el fin de aplicarla se establece la Guía de
Clasificación y Etiquetado de la Información, documento que no existe en el Sistema Integrado de
Gestión.
Por su parte, es pertinente aclarar que entre los responsables de definir las directrices de clasificación
de información y las medidas de tratamiento conforme al nivel de clasificación no son los procesos, en
este caso el Proceso de Gestión Documental es transversal a toda la Entidad. Para este caso se entiende
que los responsables de definir estas directrices son el GIT de Gestión Documental y el GIT de
Infraestructura y Servicios de Tecnología de Información.
7.6.2 Etiquetado y Manejo de Información (Equivale a A.8.2.2 y A.8.2.3 Norma NTC ISOfIEC
27001:2013)
'o
La equidad Prosperidad
es de todos Soclat
Esta política no aplica solo para Llave Maestra y Cronos. En esta política se establece el control de
acceso, restricción de uso, retiro y uso de los medios de almacenamiento tales como CD 's DVD 's,
USB's, discos duros externos, ipod's, cámaras fotográficas o vídeo, celulares entre otros, la cual no
se está cumpliendo. De igual manera, no se cumplen las disposiciones de seguridad para el
almacenamiento de información confidencial o reservada.
Se evidencia que esta política se aplica solo para cintas de almacenamiento de los backups de
servidores de bases de datos y aplicaciones. Los demás dispositivos no.
Esta política no aplica solo para Llave Maestra y Cronos. Esta política enmarca el borrado de
información del DPS en medios de almacenamiento removibles o estaciones de trabajo.
7.7.3 Medios Físicos en tránsito (Equivale a A.8.3.3 de la Norma NTC IS0/IEC 27001:2013)
Esta política no aplica solo para Llave Maestra y Cronos. Esta política enmarca el traslado de medios
removibles que contengan información de Prosperidad Social fuera de las instalaciones de la Entidad.
Solo se esta cumpliendo la misma en lo correspondiente a las cintas de almacenamiento de los backups
de servidores de bases de datos y aplicaciones. Los demás dispositivos no.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.8.1.1, A.8.1.2, A.8.1.3, A.8.3.2.
Nota: Se evidencian políticas de usos aceptable de los servicios expuestos, pero no se evidencia
política de uso aceptables de los activos de información identificados en el inventario de activos.
11
La equidad
es de todos
8.1 Política de Control de Acceso (Equivale a A.9.1.1 de la Norma NTC IS0/IEC 27001:2013)
El anexo A indica que se debe establecer, documentar y revisar una política de control de acceso con
base en los requisitos del negocio y de seguridad de la información. En documento de Política y Objetivo
General de Seguridad de la Información se ¡dentifica la política de control de acceso.
8.1.1 Control de Acceso a Redes y Servicios en Red (Equivale a A.9.1.2 de la Norma NTC
ISO/IEC 27001:2013)
Política que no aplica exclusivamente a Llave Maestra y Cronos. Existen en la entidad Políticas de
Directorio Activo en las cuales se restringe el usuario administrador para uso exclusivo de la Mesa de
Ayuda. En documento de Acuerdo Individual de confidencialidad de la Información se establecen las
condiciones de las contraseñas de correo y diferentes aplicativos, pero es responsabilidad exclusiva de
cada funcionario el cumplirlas, es algo que no puede controlar el GIT de Infraestructura y Servicio de
Tecnología de la Información.
8.1.2 Gestión de Contraseñas para usuario (Equivale a A.9.2.4 de la Norma NTC IS0/IEC
27001:2013)
Política que no aplica exclusivamente a Llave Maestra y Cronos. Existen en la entidad Políticas de
Directorio Activo que estipulan las condiciones generales de las contraseñas. Además, en documento
de Acuerdo Individual de confidencialidad de la Información se establecen las condiciones de las
contraseñas de correo y diferentes aplicativos, pero es responsabilidad exclusiva de cada funcionario
el cumplirlas, es algo que no puede controlar el GIT de Infraestructura y Servicio de Tecnología de la
Información.
8.1.3 Revisión de los derechos de acceso de los usuarios (Equivale a A.9.2.5 de la Norma
NTC ISO/IEC 27001:20 13)
Política que no aplica exclusivamente a Llave Maestra y Cronos. El equipo auditor no identifica en que
documento de política o procedimiento se establece cada cuánto tiempo se deben revisar los derechos
de acceso a los servicios de red de la Entidad.
8.1.4 Retiro de los derechos de acceso (Equivale a A.9.2.6 de la Norma NTC ISO/IEC
27001:2013)
Política que no aplica exclusivamente a Llave Maestra y Cronos. Respecto al retiro de los derechos de
acceso, se estableció el procedimiento para retiro de funcionarios, el cual solo contempla personal
vinculado a la planta de personal. En lo correspondiente a personal vinculado por prestación de
servicios se encuentra el formato entrega final para contratos de prestación de servicios profesionales
y de apoyo a la gestión.
12
La equidad Prosperidad
es de todos Social
exclusivos de la dependencia anterior. No obstante, no se identificó por parte del equipo auditor en
que documento de política o procedimiento se estableció lo mencionado.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.9.2.1, A.9.2.2, A.9.2.3, A.g.2.1, A.9.4.1, A.9.4.2, A.9.4.3,
A.9.44, A.9.4.5.
9.1 Política de uso de controles criptográficos (Equivale a A.10.1 de la Norma NTC ISO/IEC
27001:2013)
Es informado por parte del administrador de Llave Maestra en la OTI al equipo auditor, que no se están
1 mplementando controles criptográficos.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.10.1.1, A.10.1.2.
10 Seguridad Física y del Entorno (Equivale a A.11 de la Norma NTC IS0/IEC 27001:2013)
10.1 Política de Seguridad Física y del Entorno (Equivale a A.11.1 de la Norma NTC ISO/IEC
27001:2013)
Esta política no es solo aplicable a Llave Maestra y Cronos, sin embargo, en lo que corresponde a estas
dos herramientas, el acceso físico a los servidores donde está alojada la información está protegido
con acceso restringido mediante huella, solo en el centro de datos de la Entidad. En el Anexo A se
indica que se debe usar perímetros de seguridad para proteger áreas que contengan información
confidencial o crítica e instalaciones de manejo de información, lo cual no se cumple en todas las áreas
en las que se procesa información en la entidad, especialmente la correspondiente a clasificación
reservada o confidencial (Ejem: GIT Control Interno Disciplinario; Oficina Asesora de Planeación, entre
otros).
13
La equidad
es de todos
Esta política no es solo aplicable a Llave Maestra y Cronos. Se establece que algunas de las áreas
seguras de la Entidad están protegidas con controles de acceso con huella, lo que permite el acceso
solo al personal autorizado. En lo correspondiente a áreas de archivo, recepción y entrega de
correspondencia no cuentan con estos controles de acceso físico mediante huella o tarjeta de
proximidad.
Salvo el centro de datos, el personal de limpieza no es supervisado por colaboradores de las áreas que
mantiene información de carácter confidencial o reservado, en el cumplimiento de sus actividades.
10.1.3 Ubicación y Protección de los equipos (Equivale a A.11.2.1 de la Norma NTC ISO/IEC
27001:2013)
10.1.4 Seguridad de los equipos fuera de las instalaciones (Equivale a A.11.2.6 de la Norma
NTC ISO/IEC 27001:2013)
Se establece que no se cuenta con protección de cifrado, los puertos infrarrojo y bluetooth no se
deshabilitan y no se instalan guayas de seguridad de manera obligatoria en los equipos portátiles de
la Entidad, situación que puede afectar la confidencialidad, disponibilidad e integridad de la
información, especialmente la catalogada como confidencial o reservada.
14
La equidad
es de todos
El conservar los escritorios despejados, libre de información de la Entidad y que durante horas no
hébiles o en los momentos que los puestos de trabajo se encuentren desatendidos depende
exclusivamente de cada colaborador.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.11.1.3, A.11.1.4, A.11.1.5, A.11.1.6, A.11.2.2, A.11.2.3,
A.11.2.4, A11.2.8.
Política no exclusiva para Llave Maestra y Cronos. Existe procedimiento para la gestión de cambios en
los sistemas de información de la Entidad. Se logró establecer en otros ejercicios auditores que no se
da cumplimiento total al procedimiento de gestión de cambios.
Política no exclusiva para Llave Maestra y Cronos. El GIT de Infraestructura y Servicios de Tecnología
de la Información realiza evaluación técnica para determinar las necesidades de infraestructura que
requiere la Entidad. Ademés, lideran los procesos de contratación de la infraestructura tecnológica de
la Entidad.
Política no exclusiva para Llave Maestra y Cronos. Para las aplicaciones de la Entidad cuenta con los
ambientes de desarrollo, pruebas y producción. En lo correspondiente a aplicaciones propias, estas se
15
La equidad Prosperidad
es de todos SociaL
desarrollan y se realizan pruebas en este ambiente. Si pruebas son favorables se pasa a ambiente de
pruebas y se realizan otro tipo de pruebas. Cuando todo es funcional se pasa a producción.
11.4 Política de Protección contra código malicioso (Equivale a A.12.2.1 de la Norma NTC
ISO/IEC 27001:20 13)
Esta política no pudo ser evaluada debido que el profesional con funciones de Sheriff de Seguridad se
encontraba en proceso de contratación por la finalización del contrato inicial.
Ante esta situación, el equipo auditor sugiere que la responsabilidad de la seguridad de la información
de la Entidad no puede estar solo en cabeza de una persona, debido a que, en momentos de ausencia
del responsable, por situaciones como la descrita u otras, dependiendo de su tipo de vinculación, la
Entidad puede quedar expuesta a situaciones no deseadas que atenten contra la integridad,
confidencialidad y disponibilidad de la información.
Política no exclusiva para Llave Maestra y Cronos. Se cuenta con procedimiento de Backup. Se realizan
copias diarias y se respaldan en cinta los días 15 y 30 de cada mes. Procedimiento Pruebas de
Restauración de Backup para validar que los que han sido llevado a cinta sean recuperables. Se realiza
verificación diaria de la ejecución de los backups para validar que se ejecutan adecuadamente.
Los registros de eventos son revisados cada vez que se presenta uno. El acceso a los registros de
eventos es restringido.
11.6.2 Registro del Administrador y del Operador (Equivale a A.12.4.3 de la Norma NTC
ISO/IEC 27001:2013)
Los registros mencionados en la política anterior se encuentran sincronizados con la hora legal
colombiana.
Esta política no es exclusiva para Llave Maestra y Cronos. Adicionalmente, en este caso no se aplica
esta política en razón a que actualmente se indica por parte del GIT de Infraestructura y Servicios de
Tecnología de la Información las herramientas Llave Maestra y Cronos no tienen vulnerabilidades
técnicas.
16
La equidad Prosperidad
1: es de todos Social
Por su parte, en un contexto general, con el fin de minimizar el riesgo ante hallazgos de
vulnerabilidades técnicas, la Entidad aplica políticas de seguridad que permitan cumplir este objetivo.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.12.1.1; A.12.4.2; A.12.5.1; A.12.6.2 y A.12.7.
12.1 Política de Gestión de Seguridad de las Redes (Equivale a A.13.1 de la Norma NTC
ISO/IEC 27001:2013)
Esta política no es exclusiva para Llave Maestra y Cronos. La Entidad ha incorporado políticas de
directorio activo, por medio de las cuales se pueden establecer perfiles para acceso a sistemas de
información y carpetas compartidas. Adicionalmente, no está autorizado la conexión de equipos de red
diferentes a los de la Entidad. En lo correspondiente a Llave Maestra y Cronos, no se tiene autorización
de accesos remotos a estas herramientas, y las políticas de teletrabajo se encuentran en etapa de
prueba e implementación.
La red de la entidad se encuentra segmentada por áreas funcionales y de administración para facilitar
el control de acceso a la red.
En lo correspondiente a Llave Maestra y Cronos fue indicado al equipo auditor que actualmente no se
comparte información de estas herramientas con terceros, sin embargo, se cuenta con el Acuerdo
Individual de Confidencialidad, el cual debe ser firmado por terceros que requieran acceder a
información de Prosperidad Social, especialmente la clasificada como Reservada.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.13.1.1; A.13.1.2; A.13.1.3; A.13.2.1; A.13.2.3 y A.13.2.4.
17
La equidad
es de todos
Esta política no es exclusiva para Uave Maestra y Cronos. En lo correspondiente a estas herramientas
no aplica temporalmente debido a que no se han realizado modificaciones durante el periodo auditado.
No obstante, los cambios que se lleguen a requerir, se contempla el análisis de dichos cambios,
evaluando los riesgos y problemas potenciales que pueden generar estos cambios. Durante otro
ejercicio auditor realizado por la OCI se estableció que no se está cumpliendo en su totalidad con el
análisis de requerimientos en cuanto a seguridad de la información, análisis de riesgos y posibles
escenarios de riesgos, con el fin de establecer las acciones de mitigación.
Para el acceso a los sistemas de información de la Entidad, se cuenta con acceso mediante la
autenticación por usuarios y su respectiva contraseña, y los perfiles de acceso delimitan el acceso de
información al que tiene permiso según las necesidades.
Esta política no es exclusiva para Uave Maestra y Cronos. En lo correspondiente a estas herramientas
no aplica temporalmente debido a que no se han realizado modificaciones durante el periodo auditedo.
Por su parte, existe procedimiento de Gestión de Cambios en los sistemas de información de la entidad,
sin embargo, en otro ejercicio auditor realizado por la OCI se pudo establecer que no se cumple a
cabalidad este procedimiento.
Esta política no es exclusiva para Llave Maestra y Cronos. En lo correspondiente a Llave Maestra y
Cronos, estas herramientas son desarrollo propio de Prosperidad Social, aunque inicialmente Llave
Maestra fue desarrollo externos, actualmente el desarrollo de Llave Maestra se encuentra a cargo de
la Oficina de Tecnologías de la Información.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.14.1.1; A.14.1.2; A.14.1.3; A.14.2.1; A.14.2.3; A.14.2.4;
A.14.2.S; A.14.2.6; A.14.2.8; A.14.2.9 y A.14.3.1.
18
La equidad
es de todos
14 Relación con Proveedores (Equivale a A.15 de la Norma NTC ISO/IEC 2700 1:2013)
14.1 Política de Seguridad de la Información para las Relaciones con los Proveedores
(Equivale a A.15.1 de la Norma NTC IS0/IEC 27001:2013)
Esta política no es exclusiva para Llave Maestra y Cronos. Actualmente se tiene como requisito para
la firma de contratos o convenios con terceros, la firma del acuerdo individual de confidencialidad de
la información con terceros, en el cual se establecen los lineamientos de seguridad de la información
que debe cumplir este tercero. De ¡gual manera, en dicho contrato se establece el tipo de información
que pueden intercambiarse entre las partes.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.15.1.1; A.15.1.3; A.15.2.1 y A.15.2.2.
Esta política no es exclusiva para LJave Maestra y Cronos. Actualmente no se han reportado incidentes
de seguridad en las herramientas evaluados. Respecto a la aplicación de esta política en la Entidad,
ante cualquier evento y/o incidente que afecte la seguridad de la Entidad se debe enviar correo a
seguridaddelainformaciónrwosoeridadsocial.gov.co informando la situación, pero esto es algo que no
todas las personas realizan.
Se indica que a la fecha de la auditoría no se han reportado incidentes de seguridad en Llave Maestra
y Cronos, sin embargo, se tiene establecido por parte de la Oficina de Tecnologías de la Información
que a todos los incidentes de seguridad se les da tratamiento.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.16.1.1; A.16.1.4; A.16.1.5; A.16.1.6 y A.16.1.7.
'9
La equidad
es de todos
16.1 Política de Gestión de la Continuidad del Negocio (Equivale a A.17.1 de la Norma NTC
IS0/IEC 27001:2013)
No se puede evaluar esta política dado que no existe plan de continuidad del negocio en la Entidad,
no obstante, en lo correspondiente a las herramientas evaluadas, el plan de continuidad del negocio
para Cronos se encuentra en desarrollo. Por su parte, dado que Llave Maestra se encuentra en la Nube,
se indica por parte del auditado que no se requiere dicho plan.
16.1.2 Pruebas y mantenimiento del plan de continuidad del negocio (Equivale a A.17.1.3
de la Norma NTC ISO/IEC 27001:2013)
Dado que aún no se ha implementado un plan de continuidad del negocio, no es posible realizar
pruebas ni mantenimiento al mismo.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.17.1.1; A.17.1.2 y A.17.2.1.
Se ha identificado los requisitos legales relacionados con las herramientas evaluadas Llave Maestra y
Cronos, y en general en lo correspondiente a los demás sistemas de información, sin embargo, es
pertinente realizar un seguimiento mayor a que se dé cumplimiento a este marco legal por parte de
todas las instancias de la Entidad.
Esta no es una política exclusiva de Llave Maestra y Cronos. La Entidad tiene bloqueado la instalación
de software en los equipos, sin la autorización del GIT de Infraestructura y Servicios de Tecnología de
Información. Política de usuario administrador es el único que puede instalar software. System Center
- Si se detecta un software que no está autorizado, se desinstala. System center también restringe
música. Documentos, fotos y otras obras protegidas por derechos de propiedad intelectual no se
controlan.}
20
La equidad
es de todos
Esta no es una política exclusiva de Llave Maestra y Cronos. Toda la información que se encuentra en
servidores de la Entidad se respalda mediante copias de seguridad periódicas, sin embargo, no hay
forma de controlar el almacenamiento de información de la Entidad en equipos asignados a cada
funcionario, si este no realiza su procedo de copia de respaldo en los servidores destinados para este
fin, y mucho menos en la información que se almacena en equipos que no son de la entidad,
pertenecientes a los colaboradores.
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.18.1.4; A.18.1.5; A.18.2.1; A.18.2.2 y A.18.2.3.
21