Infomath

INFORME DE AUDITORÍA INTERNA Código: F-Cl-4
dOdO Fecha de Aprobación: 02/04/2018

SEGUIMIENTO Y EVALUACIÓN AL
SISTEMA DE CONTROL INTERNO Versión: 3
A-10-2019 FECHA DEL INFORME: 16-08-2019

AUDITORÍA:
Proceso(s) / Procedimento(s) Auditados:
Gestión de la Información.
Areas o Dependencias Visitadas:
Oficina de Tecnologías de la Información.
Secretaría General - GIT de Infraestructura y Servicios de Tecnología de Información.
Otras Dependencias según políticas de seguridad.
Objetivos de la Auditoría:
Evaluar la implementación del sistema de gestión de seguridad de la información.
Criterio(s) / Norma(s):
Decreto 2094 de 2016.
Resolución 237 de 2019.
Decreto 1499 de 2017 y Modelo Integrado de Planeación y Gestión.
Manual de Gobierno Digital.
Norma NTC ISO/IEC 27001:2013.
Demás normatividad y reglamentación vigente.
Alcance de la Auditoría:
Enero 2019 a la fecha de la auditoría.
REUNIÓN DE APERTURA REUNIÓN DE CIERRE:
Día 04 Mes 06 Año 2019 Día 05 Mes 08 Año 2019
Auditor Líder: Alexander Bueno Herrera.
Auditor(es) Acompañante(s): Liz Milena García Rodríguez.
Auditor(es) Observador(es) y/o en Formación: No Aplica.
Experto(s) Técnico(s): No Aplica.
COMUNICACIÓN DE RESULTADOS
FORTALEZAS Y OPORTUNIDADES DE MEJORA:
OPORTUNIDADES DE MEJORA
Oportunidad de Mejora 1: En la ejecución de la auditoria se hicieron requerimientos sobre la

documentación e información en el marco de la implementación del SGSI, al momento de ser
revisada por el equipo auditor se observó que alguna documentación no está codificada, actualizada
y ha sido compilada en otros documentos institucionales, sin embargo, al realizar la consulta se
informa que estos documentos no son los oficiales por recomendaciones de la Oficina asesora de
Planeación, lo que no deja claridad sobre la documentación oficial, por tanto se sugiere determinar
la documentación que dará cuenta clara sobre los requisitos del Sistema para futura auditoría
externa.
F-CI-4 Formato Informe de Auditoría Prosperidad Social Oficina de Control Interno
L eqodd
dOaO Fecha deAprobacron. 02/04/2018
Oportunidad de Mejora 2: En la documentación entregada que soporta el cumplimiento del

establecimiento de la Política de seguridad de la Información, se evidenció la existencia de tres
documentos con similar contenido así: i) Política General de Seguridad de la Información
presentada ante el Comité de Gestión y Desempeño deI 21 de noviembre de 2018, la cual fue
aprobada por los integrantes de este y no ha sido codificada ni publicada en el sistema de
información institucional KAWAK. u) Manual de Gestión y Control, que compila todas las políticas
de operación de la entidad y iii) El Manual de Políticas Específicas y Lineamientos de Seguridad de
la Información codificado M-DE-TI-2 versión 3 del año 2015. Se sugiere establecer un sólo
documento que sea el oficial, aprobado por el mencionado comité y el cual sea conocido por todos
los funcionarios de la entidad.
Oportunidad de Mejora 3: Una vez revisado el Manual de Políticas Específicas y Lineamientos de

Seguridad de la Información vigente, frente a los 14 objetivos de control y controles de referencia,
se sugiere tener en cuenta para su actualización la estructura del anexo A de la norma NTC ISO/IEC
27001: 2013.
Oportunidad de Mejora 4: En el numeral A.5.1.1 de la norma NTC ISO/IEC 27001:2013, se

establece que la política debe ser publicada y comunicada a los colaboradores y partes externas
pertinentes. Actualmente se está divulgando en las carteleras virtuales las políticas generales de
seguridad de la información (Política y Objetivos General de Seguridad de la Información), pero no
se indica que estas políticas se desarrollan plenamente en el documento de lineamientos de política
de seguridad de la información (Manual de Políticas y Lineamientos de Seguridad de la Información
M-DE-TI-2 V3).
RESULTADOS DEL TRABAJO AUDITOR (HALLAZGOS):
Contexto
El 21 de noviembre de 2018, se presenta ante Comité Institucional de Gestión y Desempeño, el

proyecto de implementación del Sistema de Gestión de Seguridad de la Información.
El 22 de noviembre de 2018, se allega a los integrantes del mencionado comité, el documento de

las políticas del Sistema de Gestión de Seguridad de la Información, para revisión.
El 05 de diciembre mediante sesión virtual, el comité institucional de Gestión y Desempeño aprobó

la Política General de Seguridad de la Información, cuyo alcance es a nivel institucional.
Posteriormente se define un proyecto y un alcance de la implementación limitado a Equidad digital.
Finalmente, se requiere limitar el alcance a una prueba piloto para la implementación y posible
certificación a llave maestra y cronos, dada la necesidad de recursos económicos, físicos, humanos,
etc.

INFORME DE AUDITORÍA INTERNA Código: F-CI-4
La equidad
eadeCodou Fecha de Aprobación: 02/04/2018
HALLAZGOS:
Hallazgo 1: En el documento de Alcance y Límites de la Seguridad de la Información, no fueron

contempladas las necesidades y expectativas de las partes interesadas, incumpliendo lo establecido
en el literal b) del capítulo 4.3 de la norma ISO/IEC 27001:2013.
Hallazgo 2: Se evidencia que no se realiza un control adecuado de la información documentada,

tal como se observó con el Manual de Políticas Específicas y Lineamientos de Seguridad de la
Información codificado M-DE-TI-2, el cual se encuentra publicado en Kawak versión 3 pero el
entregado por parte de la Oficina de Tecnologías de la Información se encuentra en versión 5,
incumpliendo lo establecido el literales a) y e) del artículo 7.5.3 de la Norma ISO/IEC
27001:2013.
Hallazgo 3: La norma para la implementación del SGSI establece que las políticas para la seguridad
de la información se deben revisar a intervalos planificados, o si ocurren cambios significativos,
para asegurar su conveniencia, adecuación y eficacia continúas. Ante lo anterior, el documento
Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, no establece la
periodicidad para la revisión de las mencionadas políticas. De igual manera, la misma no se ha
cambiado desde el 24-09-2015, fecha de su última actualización, a pesar de la modificación a la
estructura funcional del Departamento Administrativo para la Prosperidad Social, conforme al
Decreto 2094 de 22-12-2016 y las diferentes resoluciones internas han creado y suprimido grupos
internos de trabajo en las diferentes dependencias de la Entidad, incumpliendo lo establecido en el
anexo A numeral A.5.1.2: Revisión de las Políticas para la Seguridad de la Información
de la Norma ISO/IEC 27001:2013.
Hallazgo 4: La Entidad no ha desarrollado los planes para lograr los objetivos de la seguridad de
la información, incumpliendo lo establecido en el artículo 8.1 la Norma ISO/IEC 27001:2013.
Hallazgo 5: Se evidencia que no todos los colaboradores de la Entidad firman el Acuerdo Individual
de Confidencialidad, ni reciben la inducción sobre las Políticas de Seguridad de la Información, tal
como se observó en la muestra seleccionada de los colaboradores que acceden a Llave Maestra,
pues de un total de 14 colaboradores (8 Planta, 6 contratistas) que tienen acceso a Llave Maestra,
se encontró que tres (3) de ellos (21,4%) no firmaron el Acuerdo Individual de Confidencialidad y
nueve (9) no recibieron inducción sobre Políticas de Seguridad de la Información (64.2%),
incumpliendo lo establecido en el numeral 6.1.2 Términos y condiciones laborales del Manual
de Políticas Específicas y Lineamientos de Seguridad de la Información codificado M-DE-
TI-2.

dOdO Fecha de Aprobación: 02/04/2018

Entrenamiento
Funcionario y/O - - Acuerdo
- Vinculacion Seguridad
ContratiSta Confidencia lida d
Información
AlejandraTacuma Planta Si Sí (2da Posesión)
Carolina.Cortes Planta No Si
jaider.losada Planta Si No
lvan.Frias Planta Si Si (ira Posesión)
fabio.gonzalez Planta Si No
Joel.Hernandez Planta No No
Juan.Murillo Planta No Si
Carlos.Ramos Planta Si Si
Norman.Pinzon Contrato No Si
Omar.Torrijos Contrato No Si
John.Zamudio Contrato No Si
Conrado.Rojas Contrato No Si
gabri ela.vi II amizar Contrato No Si
Rafael.Reyes Contrato No Si
Fuente. Oficina de Control Interno
Hallazgo 6: Se evidencia que no todos los colaboradores de la Entidad reciben capacitación o

entrenamiento sobre sus funciones, tal como se observó en la muestra seleccionada de los
colaboradores que acceden a Llave Maestra, debido a que de un total de 14 colaboradores
seleccionados (8 Planta, 6 contratistas) se encontró que siete (7) de ellos (50%) no fueron
entrenados sobre sus funciones / actividades y cargos a desempeñar con el fin de proteger
adecuadamente los recursos y la información de la institución, incumpliendo lo establecido en el
numeral 6.1.3 Entrenamiento, concientización y capacitación del Manual de Políticas
Específicas y Lineamientos de Seguridad de la Información codificado M-DE-TI-2.
Funcionario y/o Entrenamiento

Vunculacion
Contratista en Funciones
Alejandra.Tacuma Planta Si
Carolina.Cortes Planta Si
jaider.losada Planta Si
Ivan.Frias Planta Si
fabio.gonzalez Planta Si
Joel.Hernandez Planta No
Juan.Murillo Planta Si
Carlos.Rarrios Planta Si
Norrnan.Pinzon Contrato No
Omar.Torrijos Contrato No
John.Zarnudio Contrato No
Conrado.Rojas Contrato No
gabrielavillamizar Contrato No
Rafael.Reyes Contrato No
Fuente: Oficina de Control Interno
4
La equidad .
Fecha de Aprobacion: 02/04/2018
EXPOSICIONES AL RIESGO RELEVANTES:
En este momento no es posible determinar a que riesgos se expone la Entidad, dado que el Sistema
de Gestión de Seguridad de la Información se encuentra en etapa de implementación.
REVISIÓN DE INDICADORES
A la fecha de ejecución de la presente auditoría y en relación con los indicadores que hacen
referencia al Sistema de Gestión de la Seguridad de la Información, el auditado presenta el avance
de diecisiete (17) indicadores que se vienen construyendo. La auditoria observa que dichos
indicadores han sido extraídos textualmente del documento Guía No. 9 "Guía de indicadores de
gestión para la seguridad de la información" Ministerio de Tecnologías de la Información y las
Comunicaciones". Al respecto este equipo auditor se permite realizar las siguientes sugerencias,
con el ánimo de que la entidad no se limite a la mencionada guía y pueda establecer un sistema o
cuadro de mando de indicadores más elaborados, que resulten acordes a la dinámica de la entidad
y puedan ser útiles para la alta dirección y toma de decisiones.
Entendiéndose que disponer de un Sistema de Gestión de la Seguridad de la Información - SGSI,

permite a la entidad garantizar a sus clientes internos como externos que la información preserva
la confidencialidad, la integridad y la disponibilidad mediante la gestión del riesgo. Es preciso
entonces sugerir que los indicadores evalúen la eficiencia o riesgo del sistema y que cada indicador
refleje un avance o retroceso en el tiempo y un punto de meta deseada, para el logro de los
objetivos óptimos que permitirán un correcto funcionamiento del SGSI.
Así mismo, se recomienda determinar de manera clara el punto de referencia o línea base, con la
que se medirán las desviaciones respecto a los objetivos trazados.
De igual manera es importante que la construcción de los indicadores se realice con las áreas que
serán responsables de ejecutar actividades que harán parte de las variables.
Respecto a los indicadores del proceso, en relación con la auditoría se encontró para el plan de
acción el siguiente indicador:
Nombre del Descripción Formula Avances Fuente de

indicador del indicador Verificación/evidencia
% de avance de Medir el avance % de Avance Variable #1: Herramienta de
cumplimiento en la del Plan de Numero de seguimiento a la gestión
del plan de implementación implementación actividades de proyectos de la
implementación del Sistema de de Seguridad ejecutadas Oficina de Tecnologías
de Seguridad Gestión de de Información de Información
de la Seguridad de la Variable #2:
Información Información. Número de
actividades
programadas
Fuente. Plan de Acción 2019 OTI

Fecha de Aprobación: 02/04/2018

REVISIÓN DE PLAN DE ACCIÓN
PRODUCTO
Política de seguridad digital implernentada en la entidad.
ACTIVIDAD RESULTADO ESPERADO OBSERVACION
Diseñar y ejecutar las Informe de diagnóstico GAP. Estas actividades se

actividades de la fase de encuentran en construcción.
Planificación del SGSI para el Documentación:
Proyecto Equidad.
*Matriz de Riesgos
*Plan de tratamiento de
riesgos.
* Declaración de Aplicabilidad
*plan de Implementación de
controles.
En el marco del Plan

Estratégico de TI - PETI.
Implementar el SGSI para el Campañas realizadas por los Se han realizado las campañas
Proyecto Equidad Digital. diferentes medios digitales de y respecto a los controles se
la Entidad. están construyendo.
Controles técnicos o
administrativos
implementados. (pruebas de
ethical hacking, políticas,
lineamientos etc.).
En el marco del Plan

Estratégico de TI - PETI.
Fuente. Plan de Acción 2019 OTI
Respecto al producto y las actividades establecidas en el plan de acción, y conforme a lo verificado

en la auditoría y el alcance establecido para el sistema el cual se limita a las herramientas Llave

Maestra y Cronos, es preciso revisar el producto y confirmar si es viable la implementación de la

política a nivel entidad en lo que resta del año y respecto a las actividades, estas se limitan a la
implementación al proyecto Equidad Digital el cual abarca además de Llave maestra y Cronos más
aspectos.
REVISIÓN RIESGOS
En el mapa de riesgos institucional actual, se observa la identificación de los siguientes tipos de

riesgo, cuatro (4) estratégicos para el proceso de direccionamiento estratégico, cinco (5) operativos
y dos (2) de corrupción para el proceso de gestión de tecnología. Al respecto es preciso mencionar
que la matriz debe ser actualizada y se deben incluir todos los demás riesgos que se incorporen en
el mapa de riesgos del sistema, salvo los que requieren tratamiento de información reservada.
En relación con el objeto de la auditoría, el auditado presenta una matriz que contiene el avance
del levantamiento y análisis de riesgos de equidad digital 2019, para la cual se vienen identificando
los riesgos por activos de información en términos de perdida de confidencialidad, integridad y
disponibilidad. Se recomienda revisar la dinámica para la construcción de la matriz en aras de que
la misma, no sea extensa y depure los riesgos que no apuntan a los objetivos y estrategias del
sistema lo que propenderá a un seguimiento practico, generando valor para la toma de decisiones.
REVISIÓN PLANES DE MEJORAMIENTO
Respecto a las acciones de mejoramiento relacionadas con el objeto de la presente auditoría, se

relacionan los hallazgos identificados en el aplicativo KAWAK, cuyo plazo de ejecución se cumplió
el pasado 28 de junio de 2019, así:
HALLAZGO OBSERVACIÓN OCI

En relación con la identificación de activos
Se evidencia que el inventario de Activos de
entregada en el desarrollo del trabajo auditor, se
Información no se encuentra terminado, debido a que
recomienda la actualización de la matriz de
la metodología adoptada para su identificación se
identificación de información.
encuentra aún en proceso de despliegue en toda la
Entidad, lo que se presenta por falta de asignación del
recurso humano requerido para este fin.
El mapa de riesgos se encuentra en construcción, la

Se evidencia que el Mapa de Riesgos de Seguridad
OCI considera que el hallazgo se mantiene abierto.
Digital no se encuentra terminado, debido a que la
metodología adoptada para su construcción no ha sido
aplicada a todos los procesos de la Entidad, lo que se
presenta por la falta de asignación del recurso humano
requerido para este fin.
F-CI-4 Formato Informe de Auditoría Prosperidad Social Oficina de control Interno

ddO Fecha de Aprobación: 02/04/2018

Se evidencia que el documento: Declaración de Esta se encuentra en construcción, la OCI considera

Aplicabilidad no se encuentra terminado, debido al que el hallazgo se mantiene abierto.
retraso en las actividades de identificación de activos de
información y de análisis de riesgos de seguridad digital,
lo que se presenta por falta de asignación del recurso
humano requerido para su ejecución.?
Se evidencia que la ejecución del Plan de Comunicación El plan de comunicación y sensibilización se viene
y Sensibilización en Seguridad de la Información no se ejecutando.
ha completado, debido a que solo se han desarrollado
las actividades en las sedes de Bogotá, quedando
pendientes las sedes regionales (35), lo que se presenta
por falta de asignación del recurso humano requerido
para este fin.
Se evidencia que el documento: Plan de Control Al no culminar la identificación de riesgos, en
Operacional no se ha elaborado, debido a que depende consecuencia, no se culmirta.
del resultado del análisis de los riesgos de seguridad
digital que se encuentra en construcción, lo que se
presenta por falta de asignación del recurso humano
requerido para este fin.
EFECTIVIDAD DE CONTROLES
No es posible determinar la efectividad de los controles, en razón a que la implementación del

Sistema de Gestión de la Seguridad de la Información — SGSI, se encuentra en fase de planeación
e implementación.
NOTA: Todos los segmentos contenidos en el presente formato son de obligatorio

diligenciamiento, para los casos en que no aplique ya sea por el tipo de auditoría realizada u otros
aspectos, se deben indicar las razones que lo justifican. Así mismo, podrán incluir los segmentos
que se requieran (acciones sin resolver entre auditores y auditados, recomendaciones,
salvedades, entre otros)
ANEXOS DE LAS ACTIVIDADES DEL EXPERTO TÉCNICO
En el ejercicio auditor no hay actividades que fuesen realizadas por un experto técnico.
CONCLUSIÓN
Teniendo en cuenta la presentación de la Política General de Seguridad de la Información, realizada

ante el Comité de Gestión y Desempeño Institucional en la vigencia 2018, la Oficina de Control
Interno programó en su plan anual de auditorías, el presente ejercicio auditor con el objeto de
ddO Fecha de Aprobación: 02/04/2018

"Evaluar la implementación del sistema de gestión de seguridad de la información. ", sin embargo
y conforme a la dinámica propia de la entidad y las razones expuestas en el presente informe, el
objeto de la auditoría se limitó a la implementación del Sistema de Gestión de la Seguridad de la
Información en las herramientas "Llave Maestra y Cronos".
En este contexto y como resultado del trabajo auditor realizado, se puede concluir que Sistema de
Gestión de la Seguridad de la Información a nivel institucional, requiere ser estructurado, a nivel
Llave Maestra y Cronos, se determina que, en este límite, no es posible dar cumplimiento a todos
los requisitos exigidos por la norma, dado que la dinámica de estas herramientas no permite su
aplicación. Así mismo, se debe fortalecer la implementación del mencionado sistema, pues como
es mencionado en el presente informe, existen aspectos que deben ser subsanados y otros que son
oportunidades de mejora, para que este sistema logre su certificación.
Se determina que si bien es cierto ya se vienen desarrollando actividades de ejecución respecto al

proyecto, este se encuentra aún en la fase de planeación.
Se recomienda estructurar el proyecto, ajustar su cronograma y revisar el cumplimiento a cabalidad

de los requisitos exigidos, antes de convocar una auditoria externa para el logro de la certificación.
F-CI-4 Formato Informe de Auditoría Prosperidad Social Oficina de control Interno


Se requiere plan de mejoramiento: SI X NO

Fecha de entrega plan de
Día 09 Mes 09 Año 2019
mejoramiento:
REGISTRO DE HORAS DE AUDITORÍA
DURACIÓN TOTAL DE LA AUDITORÍA (en horas):
Número de
Desagregado del total de horas
Horas
Horas de Auditoría de Gestión O
Norma NTC ISO/IEC 27001:2013 332
Alex
41 ueno - -
cl,tor,Líder
-
IP ,,,
L
',yL-ófiTovar
IV
Jefe Oficina de 'tntrol nte '. - Prosperidad Social
Liz Milena García Rodríguez

Responsable PASI
Anexo: Diagnóstico evaluación Manual de Políticas y Lineamientos de Seguridad de la Información.
PASI: Programa Anual de Auditorías, Asesorías, Acompañamientos, Seguanientos e Informes de Ley
lay
La equidad
es de todos
Diagnóstico de la aplicación del Manual de Políticas y Lineamientos de Seguridad de la

Información y su relación con el Anexo A de la Norma NTC ISO/IEC 27001:2013, en el cual
se establecen los Objetivos de Control y Controles para la implementación del Sistema de
Gestión de Seguridad de la Información.
El objetivo de control A.5..1 - Orientación de la dirección para la gestión de la seguridad de

la información presenta dos controles de la siguiente manera:
A.5.1.1: Políticas para la Seguridad de la Información - Se puede establecer que el documento
Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3 da cumplimiento al
objetivo de control mencionado.
En la 27001 se establece que la política debe ser publicada y comunicada a los colaboradores y partes
externas pertinentes. Actualmente se esté mostrando en las carteleras virtuales las políticas generales
de seguridad de la información (Política y Objetivos General de Seguridad de la Información), pero no
se indica que estas políticas se desarrollan plenamente en el documento de lineamientos de política
de seguridad de la información (Manual de Políticas y Lineamientos de Seguridad de la Información M-
DE-TI-2 V3)
A.5.1.2: Revisión de las Políticas para la Seguridad de la Información - La norma para la

implementación del SGSI establece que las políticas para la seguridad de la información se deben
revisar a intervalos planificados, o si ocurren cambios significativos, para asegurar su conveniencia,
adecuación y eficacia continúas. Ante lo anterior, el documento Manual de Políticas y Lineamientos de
Seguridad de la Información M-DE-TI-2 V3 no establece la periodicidad para la revisión de las
mencionadas políticas. De igual manera, la misma no se ha cambiado desde el 24-09-2015, fecha de
su última actualización, a pesar de la modificación a la estructura funcional del Departamento
Administrativo para la Prosperidad Social conforme al Decreto 2094 de 22-12-2016 y las diferentes
resoluciones internas han creado y suprimido grupos internos de trabajo en las diferentes
dependencias de la Entidad.
5.1 Política de Organización Interna (Equivale a A.6.1 Norma NTC ISO/IEC 27001:2013)
5.1.1 Roles y Responsabilidades (Equivale a A.6.1.1 Norma NTC ISO/IEC 27001:2013)

Si bien se establecen las responsabilidades de los colaboradores de Prosperidad Social de no divulgar
ni usar de manera indebida la información propiedad de la Entidad, esto con el ánimo de proteger la
integridad, confidencialidad y disponibilidad de esta, especialmente la catalogada como reservada, la
firma del acuerdo de confidencialidad no es suficiente. Adicionalmente no se establece cómo se va a
validar que se cumplen estas políticas.
5.1.2 Seguridad de la Información en gestión de Proyectos (Equivale a A.6.5 Norma NTC

ISO/IEC 27001:2013)
En esta política se indica que la metodología de gestión de proyectos empleada por el DPS debe
considerar la seguridad de la información como componente transversal, por tanto, los proyectos de
la Entidad deben incluirlas desde el inicio y durante la ejecución de los proyectos que se formulen.
Ante esto, no fue posible establecer cuál es la metodología de gestión de proyectos de Prosperidad
Social, al no lograr identificar esta metodología, no se puede establecer si en esta se considera como
un componente transversal la Seguridad de la Información. De igual manera no es posible identificar
si esta metodología es aplicada en el proyecto de Llave Maestra y Cronos (Objeto de Auditoría).
1
La equidad Prosperidad
es de todos Social
Se evidencia que los objetivos de control y controles de referencia descritos en el Anexo A de la Norma
NTC ISO/IEC 27007:2013 no fueron contemplados en su totalidad, tal como se observa en el
documento Manual de Políticas y Lineamientos de Seguridad de la Información M-DE-TI-2 V3, en el
que no se encontraron los controles A.6.1.2, A.6.1.3, A.6.1.4.
5.2 Política de dispositivos móviles (Equivale a A.6.2.1 Norma NTC ISO/IEC 27001:2013)
En lo correspondiente a Llave Maestra y Cronos, esta política no aplica debido a que a estas
herramientas no pueden accederse fuera de las instalaciones de la Entidad, independientemente que
los equipos sean o no de esta.
El objetivo de esta política es proteger la información del DPS que se encuentre almacenada en
dispositivos móviles, para lo cual se establecen políticas como cifrado de datos, restricción de conexión
de dispositivos USB, desactivar accesos inalámbricos cuando se encuentre conectados a la red LAN,
los cuales no se están aplicando actualmente, por tanto, de un equipo de la Entidad que se autoriza a
ser retirado de la misma, se puede extraer información de DPS sin restricción. En caso de pérdida de
algún equipo de DPS se indica que se puede llegar a realizar un borrado remoto de la información, lo
cual tampoco se está aplicando.
En lo correspondiente a los equipos que son propiedad de funcionarios de DPS, se indica que estos
pueden tener almacenada información del DPS siempre y cuando se encuentren registrados e
identificados por parte del GIT de Infraestructura y Servicios de Tecnología de la Información, y se
implementen las medidas de aseguramiento definidas por este, lo cual no se esta ejecutando en este
momento.
5.3 Política de Teletrabajo (Equivale a A.6.2.2 Norma NTC ISO/IEC 27001:2013)

En lo correspondiente a Llave Maestra y Cronos, esta política no aplica debido a que a estas
herramientas no pueden accederse fuera de las instalaciones de la Entidad, independientemente que
los equipos sean o no de esta. Adicionalmente la Entidad se encuentra hasta ahora en prueba piloto
para la implementación de teletrabajo.
Adicionalmente se indica que no existe ningún colaborador con acceso VPN a Llave Maestra y Cronos.
6 Seguridad de los Recursos Humanos (Equivale a A.7 Norma NTC ISO/IEC 27001:2013)
6.1.1 Selección del Personal (Equivale a A.7.1.1 Norma NTC ISO/IEC 27001:2013)
Esta política indica que cuando deberá realizarse la verificación de antecedentes cuando así lo amerite
y en casos necesarios debe contemplar estudio de seguridad. Ante esto, se establece que la
Subdtrección de Talento Humano no realiza ninguna validación de antecedentes, ya que existe
normatividad que indica que puede hacerse aleatorio, pues se presume la buena fe del colaborador
que se va a posesionar. Por otra parte, entre las actividades a realizar para esta verificación de
antecedentes se contempla la confirmación de calificaciones académicas y profesionales, revisión de
documentación de identidad alterna como el pasaporte, licencia de conducción, a lo que las
subdirecciones de Talento Humano y Contratación indican no realizar esta actividad.
Es importante indicar que esta política debe formularse de común acuerdo con las Subdirecciones de
Talento Humano y Contratación (Contratos Prestación de Servicios), ya que actualmente no sólo hay
actividades que estas desconocían, sino no hay segregación o diferenciación de actividades frente a
2
es de todos SociaL
funcionarios de la planta de personal y los contratistas, lo que no permite generalizar las actividades
para ambos tipos de vinculación.
Para evaluar esta situación se solicitó información de todos los colaboradores que actualmente tienen
acceso a Llave Maestra. De un total de 87 colaboradores (73 Planta, 14 contratistas) se tomó una
muestra para la evaluación de la política de Seguridad de los Recursos Humanos así:
Usuario Grupo Modalidad 5'inculacion Dependencia

jaiderlosada LLove_Mestra_CONSULTA 2028-15-Profesional Planta Personal DR Caldas
IvanFrias LLane_Mestra_CONSULTA 2028-15-Profesional Planto Personal Direndon De Gestion YArticsllacion De La Oferta Social
AlejandraTacorna LLave_Mestra_CONSULTA 2028-16-Profesional Planta Personal Oficina Asesoro Jaridice
JoelI-lernandez LLove_Mestra_ADMlNlSTRAD0R 2028-18-Profesional Planta Personal Oficina De Tecnologias De Lo Inforreacion
fabiogonzalez LLave_Mestra_CARGUE 2028-22-Profesional Planta Personal Direccion De Transferencias Monetarias Condicionadas
Jaan.Murillo LLave_Mestra ADMINISTRADOR 2028-23-Profesional Planta Personal Direrdon De Aco,npa000liento Familiar Y Cornanitario
CarlosRamos LLave_Mestra_ADMINISTRADOR 3124-18-Ternico Planta Personal Oficina Asesoro De Planeacion
CarotinaCortes LLave_Mestra_CONSULTA 4044-21-Asistencial Planta Personal Sabdirecdon General Para La Stsperarion De Lo Pobreza
NOrmnanPiflzofl LLave_Mestra_CONSULTA Contratista Contratista Oficina Asesora Jaridica
OmarTorrijos LLave_Mestra_CARGUE Contratista Contratista Direccion De Inclusion Productiva
JohnZamudio LLave_Mestra_CARGUE Contratista Contratista Direccion De Transferencias Monetarias Condicionadas
Conrado.Rojas LLave_Mestra_CARGUE Contratista Contratista Oficina DeTecnologias De La lnfornsacion
gabriela.villamizar LLave_Mestra_ANALISTA Contratista Contratista Subdireccion General Para La Superacion De La Pobreza
Rafael.Reyes LLave_Mestra_ADMINISTRADOR Contratista Contratista Sabdirecdon De Contratacion
El resultado de la evaluación de las historias laborales y contratos de prestación de servicio fue el

siguiente:
-. Veritican un Ca lific as unes AnIde ederrt es
Funcional ley/o - Veriírc celos - Referenc ras - Ant cc edentes Arflec cedes
Vlncul cci Oil Reere nc es cc ademe: es y Crimuial (Pasado
Contratista Ecl udros Personales [TusE rpknerro E rse ales
La bora les prc-fe suelta les J cd le id 1)
AlejandraTacuma Planta Si Si No No Si Si Si
CarolinaCortes Planta Si Si No No Si Si Si
jaiderlosada Planta Si Si No No Si Si SI
lvan.Frias Planta Si Si No No Si Si Si
fabio.gonzalez Planta Si Si No No Si Si Si
JoeLHernandez Planta No No No No Si Si Si
Juan.Murillo Planta Si Si NO No Si Si Si
CarlosRamos Planta Si Si No No Si SI SI
NormanPinzon Contrato No No No No Si Si Si
OmarTorrijos Contrato No No No No Si Si Si
JohnZamudio Contrato No No No No Si Si Si
ConradoRojas Contrato No No NO No Si Si SI
gabrielavillaniizar Contrato No No No No Si Si Si
RafaeLReyes Contrato No No No No Si Si Si
Nota: Para funcionarios de planta se encontró un formato en el que se indica que se valida el
cumplimiento de requisitos, para los contratistas se está solicitando un certificado de idoneidad. De un
total de 14 colaboradores seleccionados (8 Planta, 6 contrato) se encontró que a siete (7) de ellos
(50%) no se les realizó la verificación de antecedentes (Estudios, Laborales, Verificación de Referencias
Laborales y Validación de Calificaciones académicas y profesionales). (Observación)
6.1.2 Términos y condiciones laborales (Equivale a A.7.1.2 Norma NTC ISO/IEC

27001:2013)
Se indica que todos los colaboradores del DPS debe firmar el Acuerdo Individual de Confidencialidad y
recibir inducción sobre las políticas de Seguridad de la Información, y con base en la misma muestra
del ejercicio anterior se encontró lo siguiente:
3
es de todos SociaL
De un total de 14 colaboradores seleccionados (8 Planta, 6 contrato) se encontró que tres (3) de ellos
(21,4%) no firmaron el Acuerdo Individual de Confidencialidad y nueve (9) no recibieron inducción
sobre Políticas de Seguridad de la Información (64.2%). (Hallazgo)
Entrenarnento
Funcionario y/o Acuerdo
Vinculación Seguridad
Contratista Confidencialidad
Información
Alejandra.Tacuma Planta Si Si (2da Posesión)
Carolina.Cortes Planta No Si
jaider.losada Planta Si No
lvan.Frias Planta Si Si (ira Posesión)
fabio.gonzalez Planta Si No
Joel.Hernandez Planta No No
JuanMurillo Planta No Si
Carlos.Ramos Planta Si Si
Norman.Pinzon Contrato No Si
Omar.Torrijos Contrato No Si
John.Zamudio - Contrato No Si
Conrado.Rojas Contrato No Si
gabriela.vi llamizar Contrato No Si
Rafael.Reyes Contrato No Si
6.1.3 Entrena iiento. concientización y caDacitación (Eauivale a A.7.2.2 Norma NTC ISO/IEC
27001:2013)
Se indica que todos los colaboradores del DPS deben ser entrenados y capacitados para sus funciones
/ Actividades y cargos a desempeñar con el fin de proteger adecuadamente los recursos y la
información de la institución; y garantizar la comprensión del alcance y contenido de las políticas y
lineamientos de Seguridad de la Información. Esta capacitación puede extenderse a contratistas)
De un total de 14 colaboradores seleccionados (8 Planta, 6 contrato) se encontró que siete (7) de ellos
(50%) no recibieron capacitación o entrenamiento sobre sus funciones. (Hallazgo)
Funcionario y/o - . Entrenamiento

Vunculacion
Contratista en Funciones
Alejandra.Tacuma - Planta Si
Carolina.Cortes Planta Si
jaider.Iosada Planta Si
lvan.Frias Planta Si
fabio.gonzalez Planta Si
Joel.Hernandez Planta No
Juan.Murillo Planta Si
Carlos.Ramos - Planta Si
Norman.Pinzon Contrato No
OmarTorrijos Contrato No
John.Zamudio Contrato No
Conrado.Rojas Contrato No
gabriela.villamizar Contrato No
Rafael.Reyes Contrato No
4
La equidad
es de todos
6.1.4 Procesos Disciplinarios (Equivale a A.7.2.3 Norma NTC ISO/IEC 27001:2013)

Para el ejercicio de auditoría esta política no aplica para evaluación en razón a que no se han reportado
incidentes de Seguridad de la Información en Llave Maestra.
que no se encontraron los controles A.7.2.1 y A.7.3.1.
7 Gestión de Activos (Equivale a A.8 Norma NTC ISO/IEC 27001:2013)
7.1 Política de uso de correo electrónico (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
El Servicio de correo electrónico no es exclusivo de Llave Maestra y Cronos, todos los colaboradores
de la Entidad y algunos operadores o entes de control cuentan con acceso a correo de Prosperidad
Social.
7.1.1 Usos Aceptables del Servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
Se cuenta con Herramienta ATP que genera alertas para usos no adecuados de la cuenta de correo
electrónico. Esta herramienta evita que salgan correos con archivos .exe; o archivos de desarrollo.
Se cuenta con política para uso de One Drive solo al interior de la entidad, pero está habilitada para
compartir de uso externo, lo que puede generar fuga de información de Llave Maestra.
La Herramienta ATP controla que no lleguen correos maliciosos con adjuntos. Administrador ve esta
alerta y bloquea remitente.
Actualmente hay políticas descritas en el documento que no son aplicadas por modificaciones que se
realizaron en el servicio de correo con el paquete 365 de Microsoft Office como no tener información
superior a un año en el correo, tamaño del correo, tamaño límite para los adjuntos que se pueden
enviar, aplicación del protocolo de comunicaciones, entre otras.
7.1.2 Usos no Aceptables del Servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
Ante el uso no aceptable del servicio de correo es muy difícil el control. El documento de política
estipula como mal uso del servicio mensajes con chistes, pornografía, discriminación genero o raza,
amenazas, mensajes violentos ante lo cual solo en cuentas de usuario de colaboradores con la
herramienta ATP bloquea este tipo de correos siempre y cuando tenga algún enlace con malware,
spam, sitio web prohibidos. Si los correos no traen lo mencionado no es posible.
En relación con la posibilidad de bloquear el envío de información clasificada como Reservada o

Confidencial, esto no puede ejecutarse ya que actualmente se permite compartir información con
externos y al interior de la Entidad.
5
La equidad
es de todos
7.1.3 Condiciones de uso del servicio (No identificada en Anexo A de la NTC IS0/IEC
27001:2013)
Actualmente hay políticas descritas en el documento que no son aplicadas por modificaciones que se
realizaron en el servicio de correo con el paquete 365 de Microsoft Office como no la capacidad del
correo electrónico.
En el caso de la contraseña, existe política que exigen cambio cada 30 días, un mínimo de caracteres,
la condición de combinar números, letras (mayúsculas y minúsculas) y caracteres especiales, pero no
es posible controlar que esta no sea suministrada a otros, o que todo aquel que reciba un correo
posiblemente malicioso informe al correo destinado para tal fin, entre otros.
Por otra parte, no existe manera de controlar que los colaboradores no se suscriban a boletines,
revistas, redes sociales, entre otros, con la cuenta institucional. Tampoco hay manera de garantizar
que todos los colaboradores etiqueten los correos de acuerdo con la información enviada a otros
dominios diferentes al de la Entidad.
7.1.4 Responsabilidades (No identificada en Anexo A de la NTC ISO/IEC 27001:2013)

El Servicio de correo electrónico no es exclusivo de Llave Maestra y Cronos, todos los colaboradores
de la Entidad y algunos operadores o entes de control cuentan con acceso a correo de Prosperidad
Social.
En la política se establece que solo la Subdirección de Talento Humano puede solicitar la creación,
modificación o cancelación de las cuentas de correo electrónico, lo cual no aplica para colaboradores
vinculados por contrato de prestación de servicios. Ante esto nuevamente se indica que se deben
diferenciar las actividades de acuerdo con la dependencia competente y formular la política de común
acuerdo con estas, para evitar incurrir en incumplimientos legales o usurpación de funciones.
La responsabilidad del uso responsable del servicio de correo electrónico depende exclusivamente de
cada colaborador, el GIT de Infraestructura y Servicio de TI cuenta con controles para evitar algunos
de los malos usos de este, pero hay situaciones que no se pueden controlar.
7.2 Política de uso de Internet (No identificada en Anexo A de la NTC ISO/IEC 27001:20 13)
El Internet no se puede restringir solo para Llave Maestra, hay otras aplicaciones a las que se accede
por este servicio.
27001:2013)
La responsabilidad del uso responsable del servicio de internet depende exclusivamente de cada
colaborador, el GIT de Infraestructura y Servicio de TI cuenta con controles para evitar algunos de los
malos usos de este, pero hay situaciones que no se pueden controlar.
6
La equidad
es de todos
27001:2013)
Para evitar el mal uso del servicio, la Entidad cuenta con controles como instalación de Firewall,
Bloqueos para restringir el acceso a sitios web que no tienen que ver con el acceso las funciones.
Restricción para descargar ciertos archivos como mp4, mp3, exe. Restricción por medio de usuario
administrador para todo tipo de instalaciones de software, Antivirus.
7.2.3 Condiciones de uso del servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
Se crean reglas de filtrado de contenido. Se deniega acceso a páginas consideradas como no

permitidas. Políticas de Traffic Shapper el uso del internet.
Restricciones implementadas para el acceso a páginas que no tiene que ver con la operación de la
Entidad.
Instalación de Firewall, Bloqueos para restringir el acceso a sitios web que no tienen que ver con el
acceso las funciones. Restricción para descargar ciertos archivos como mp4, mp3, exe. Restricción por
medio de usuario administrador para todo tipo de instalaciones de software, Antivirus.
7.2.4 Responsabilidades (No identificada en Anexo A de la NTC ISO/IEC 27001:2013)

En la política se establece que solo la Subdirección de Talento Humano puede solicitar la creación,
modificación o cancelación de las cuentas de correo electrónico, lo cual no aplica para colaboradores
vinculados por contrato de prestación de servicios. Ante esto nuevamente se indica que se deben
diferenciar las actividades de acuerdo con la dependencia competente y formular la política de común
acuerdo con estas, para evitar incurrir en incumplimientos legales o usurpación de funciones.
7.3 Política de uso de Redes Sociales (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
El acceso a las redes sociales está bloqueado para personal que no tiene la autorización para su uso.
Adicionalmerite esta política no aplica para Llave Maestra y Cronos ya que a estas herramientas no se
cuenta con acceso desde las redes sociales.
7.3.1 Usos no Aceptables del Servicio (No identificada en Anexo A de la NTC IS0/IEC
27001:2013)
El acceso a las redes sociales está bloqueado para personal que no tiene la autorización para su uso.
Adicionalmente esta política no aplica para Llave Maestra y Cronos ya que a estas herramientas no se
cuenta con acceso desde las redes sociales.
La responsabilidad del uso responsable del servicio de redes sociales depende exclusivamente de cada
colaborador (los que tienes autorizado el acceso), el GIT de Infraestructura y Servicio de TI cuenta
con controles para evitar algunos de los malos usos de este, pero hay situaciones que no se pueden
controlar.
7
La equidad Pro peridad
es de todos Søclat
7.4 Política de uso de Intranet (No identificada en Anexo A de la NTC IS0/IEC 27001:20 13)
Todos los colaboradores que cuenten con una cuenta de correo electrónico tendrán acceso a intranet,
sin embargo, esta política no aplica para la evaluación objeto de la auditoría dado que a Llave Maestra
y Cronos no se accede desde la Intranet.
27001:2013)
En la descripción de esta política se indica que el servicio debe utilizarse exclusivamente

para las tareas propias de la función desarrollada.
Ante esto, se establece que la intranet los servicios a los que se tiene acceso desde la intranet son
netamente para actividades institucionales, adicionalmente se establece que la publicación de
contenidos no puede ser realizada por cualquier funcionario, el soporte a la Intranet está en cabeza
del GIT de Infraestructura y Servicios de Tecnología de Información y la publicación de contenidos
corresponde a la Oficina de Comunicaciones.
27001:2013)
En esta política se establece que la Intranet no puede usarse para envío o manejo de información de
contenidos que atenten contra la integridad moral de las personas o instituciones. Ante esta situación,
y dada la finalidad del servicio, se puede establecer que un mal uso de este servicio puede presentarse
exclusivamente de las dependencias que cuentan con la administración y soporte del sitio y sus
contenidos, ya que a pesar de que todos los colaboradores de la entidad que tienen una cuenta de
correo electrónico tendrán acceso al servicio, ninguno puede publicar contenidos.
7.4.3 Condiciones de uso del servicio (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
En el caso de la contrasePia, existe política que exigen cambio cada 30 días, un mínimo de caracteres,
la condición de combinar números, letras (mayúsculas y minúsculas) y caracteres especiales, pero no
es posible controlar que esta no sea suministrada a otros. Adicionalmente, dado que el ingreso a la
intranet depende de contar con cuenta de correo electrónico, se establece que esta política sobra en
este tipo de servicio y en cualquier otro al que se tenga acceso con la cuenta de directorio activo.
Ante la política de informar sobre contenidos o acceso a servicios que no le estén autorizados, dado
que la intranet, para la mayoría de los colaboradores de la Entidad es informativa y los servicios a los
que se acceden desde la misma son de uso general, independientemente de las funciones, no se
considera pertinente establecer tal esta política para este servicio.
La política de abstención del uso de la cuenta de acceso a la red y la intranet al momento de retirarse,
si bien depende del colaborador, el mayor control debe ser implementado por la Entidad, cumpliendo
con la política de eliminación de las cuentas de usuario una vez el colaborador se retira de la misma.
La no aplicación adecuada de esta política podrá generar que colaboradores retirados tengan acceso
al servicio intranet u otros servicios a los que se accede teniendo cuenta de correo institucional.
8
La equidad
es de todos
7.4.4 Responsabilidades (No identificada en Anexo A de la NTC ISO/IEC 27001:20 13)
Mediante el servicio de intranet no se accede a Uave Maestra y Cronos. En la política se establece que
solo la Subdirección de Talento Humano puede solicitar la creación, modificación o cancelación de las
cuentas de correo electrónico, lo cual no aplica para colaboradores vinculados por contrato de
prestación de servicios. Ante esto nuevamente se indica que se deben diferenciar las actividades de
acuerdo con la dependencia competente y formular la política de común acuerdo con estas, para evitar
incurrir en incumplimientos legales o usurpación de funciones.
7.5 Política de uso de Recursos Tecnológicos (No identificada en Anexo A de la NTC ISO/IEC
27001:2013)
En lo correspondiente a Llave Maestra y Cronos, esta política no aplica dado que es general para todos
los recursos tecnológicos de la Entidad.
Esta política está enfocada al uso adecuado de los recursos tecnológicos, la no instalación de software
ilegal o malicioso en los equipos de cómputo asignados a los colaboradores, cambios en la
configuración de estos, entre otros. Para esto se cuenta con el control de instalación de software por
parte del GIT de Infraestructura y Servicios de Tecnología de la Información, sólo el usuario
administrador, administrado por el GIT mencionado, únicos colaboradores que pueden instalar
software en los equipos de Prosperidad Social.
El uso adecuado de los recursos tecnológicos depende exclusivamente del colaborador que lo tiene a
su cargo
7.5.1 Devolución de los Activos (Equivale a A.8.1.4 Norma NTC ISO/IEC 27001:2013)
Dado que Llave Maestra y Cronos son herramientas utilizadas por algunos colaboradores para ejercer
algunas de sus funciones, la aplicación de esta política aplica de la misma manera para la información
extraída de estos como para cualquier información de la Entidad a la que pueda tener acceso cada
colaborador dependiendo de sus actividades.
Esta política establece que todo activo de propiedad del DPS, asignado a los colaboradores, así como
la información almacenada en equipos de cómputo y dispositivos removibles deben ser entregados a
PS al momento de la desvinculación de la Entidad. Ante esto se indica contar con el formato "Retiro
de Servidores Públicos" en el cual se evidencia que se cancelan cuentas de usuario de aplicativos de
la Entidad, la cuenta de correo institucional, entrega de archivos de gestión y backup de archivos en
su PC, entrega inventario, entre otros. Ante esto, la pregunta es cómo se garantiza que la información
digital (backup) entregada da cuenta de la totalidad de la información administrada por el colaborador,
cómo se garantiza que no tiene información de PS en equipos fuera de la Entidad.
9
La equidad •prósperidad
es de todos SOciaL
7.6 Política de Clasificación de la Información (Equivale a A.8.2 Norma NTC ISO/IEC

27001:2013)
7.6.1 Esquema de Clasificación de Información (Equivale a A.8.2.1 Norma NTC IS0/IEC

27001:2013)
En el marco del objeto de la auditoría, esta política aplica para Uave Maestra, dado que la información
de esta herramienta se encuentra catalogada como Reservada o Confidencial. Esta política establece
la clasificación de la información de la Entidad, y con el fin de aplicarla se establece la Guía de
Clasificación y Etiquetado de la Información, documento que no existe en el Sistema Integrado de
Gestión.
Por su parte, es pertinente aclarar que entre los responsables de definir las directrices de clasificación
de información y las medidas de tratamiento conforme al nivel de clasificación no son los procesos, en
este caso el Proceso de Gestión Documental es transversal a toda la Entidad. Para este caso se entiende
que los responsables de definir estas directrices son el GIT de Gestión Documental y el GIT de
Infraestructura y Servicios de Tecnología de Información.
7.6.2 Etiquetado y Manejo de Información (Equivale a A.8.2.2 y A.8.2.3 Norma NTC ISOfIEC
27001:2013)
La Política está enmarcada en la gestión de archivos, no en la gestión de activos de información como

lo establece el objetivo de control A.8. Es claro que los documentos escritos hacen parte de los activos
de información de la Entidad, pero la política no puede estar solo enmarcada en este tipo de activos.
Adicionalmente, en el anexo A.8 se establece el etiquetado de la información y el manejo de activos
de manera individual y en el manual de políticas de seguridad de la información se identifica en el
capítulo 7.6.2 de manera conjunto, con la salvedad que no se establece como manejo de los activos
como lo menciona el A.8.2.3 sino como manejo de información, lo cual no es igual. Adicionalmente al
verificar cada una de las instancias a tener en cuenta dentro de esta política, se evidencia que todas
están enmarcadas a la gestión documental en la Entidad.
Esta política está enmarcada en documentación física, no se contempla la documentación electrónica.
7.6.3 Administración de los Archivos (No identificada en Anexo A de la NTC ISO/IEC

27001:2013)
Esta política está enmarcada en documentación física, no se contempla la documentación electrónica.

En lo correspondiente a Llave Maestra, indican no tener documentación física, solo electrónica.
En esta política se describe la prohibición a todo colaborador del DPS para omitir, retardar o no
suministrar debida y oportuna respuesta a las peticiones, así como retenerlas o enviarlas a los
destinatarios que no corresponden, ante lo cual no se encuentra la relación de esto con la
administración de archivos.
'o
es de todos Soclat
7.7 Política de Gestión de Medios de Almacenamiento (Equivale a A.8.3 de la Norma NTC

ISO/IEC 27001:2013)
7.7.1 Gestión de medios removibles (Equivale a A.8.3.l de la Norma NTC IS0/IEC

27001:2013)
Esta política no aplica solo para Llave Maestra y Cronos. En esta política se establece el control de
acceso, restricción de uso, retiro y uso de los medios de almacenamiento tales como CD 's DVD 's,
USB's, discos duros externos, ipod's, cámaras fotográficas o vídeo, celulares entre otros, la cual no
se está cumpliendo. De igual manera, no se cumplen las disposiciones de seguridad para el
almacenamiento de información confidencial o reservada.
Se evidencia que esta política se aplica solo para cintas de almacenamiento de los backups de
servidores de bases de datos y aplicaciones. Los demás dispositivos no.
7.7.2 Borrado seguro (No identificada en Anexo A de la NTC ISO/IEC 27001:2013)
Esta política no aplica solo para Llave Maestra y Cronos. Esta política enmarca el borrado de
información del DPS en medios de almacenamiento removibles o estaciones de trabajo.
En lo correspondiente a estaciones de trabajo, se ejecuta por parte del GIT de Infraestructura y

Servicios de Tecnología de Información back up de la información y formateo de equipos a reutilizar o
dar de baja.
En lo que corresponde a medios de almacenamiento removibles o equipos personales de terceros o

funcionarios de Prosperidad Social esta política no se aplica.
7.7.3 Medios Físicos en tránsito (Equivale a A.8.3.3 de la Norma NTC IS0/IEC 27001:2013)
Esta política no aplica solo para Llave Maestra y Cronos. Esta política enmarca el traslado de medios
removibles que contengan información de Prosperidad Social fuera de las instalaciones de la Entidad.
Solo se esta cumpliendo la misma en lo correspondiente a las cintas de almacenamiento de los backups
de servidores de bases de datos y aplicaciones. Los demás dispositivos no.
que no se encontraron los controles A.8.1.1, A.8.1.2, A.8.1.3, A.8.3.2.
Nota: Se evidencian políticas de usos aceptable de los servicios expuestos, pero no se evidencia
política de uso aceptables de los activos de información identificados en el inventario de activos.
11
La equidad
es de todos
8 Control de Acceso (Equivale a A.9 de la Norma NTC ISO/IEC 27001:2013)
8.1 Política de Control de Acceso (Equivale a A.9.1.1 de la Norma NTC IS0/IEC 27001:2013)
El anexo A indica que se debe establecer, documentar y revisar una política de control de acceso con
base en los requisitos del negocio y de seguridad de la información. En documento de Política y Objetivo
General de Seguridad de la Información se ¡dentifica la política de control de acceso.
8.1.1 Control de Acceso a Redes y Servicios en Red (Equivale a A.9.1.2 de la Norma NTC
ISO/IEC 27001:2013)
Política que no aplica exclusivamente a Llave Maestra y Cronos. Existen en la entidad Políticas de
Directorio Activo en las cuales se restringe el usuario administrador para uso exclusivo de la Mesa de
Ayuda. En documento de Acuerdo Individual de confidencialidad de la Información se establecen las
condiciones de las contraseñas de correo y diferentes aplicativos, pero es responsabilidad exclusiva de
cada funcionario el cumplirlas, es algo que no puede controlar el GIT de Infraestructura y Servicio de
Tecnología de la Información.
8.1.2 Gestión de Contraseñas para usuario (Equivale a A.9.2.4 de la Norma NTC IS0/IEC
27001:2013)
Política que no aplica exclusivamente a Llave Maestra y Cronos. Existen en la entidad Políticas de
Directorio Activo que estipulan las condiciones generales de las contraseñas. Además, en documento
de Acuerdo Individual de confidencialidad de la Información se establecen las condiciones de las
contraseñas de correo y diferentes aplicativos, pero es responsabilidad exclusiva de cada funcionario
el cumplirlas, es algo que no puede controlar el GIT de Infraestructura y Servicio de Tecnología de la
Información.
8.1.3 Revisión de los derechos de acceso de los usuarios (Equivale a A.9.2.5 de la Norma
NTC ISO/IEC 27001:20 13)
Política que no aplica exclusivamente a Llave Maestra y Cronos. El equipo auditor no identifica en que
documento de política o procedimiento se establece cada cuánto tiempo se deben revisar los derechos
de acceso a los servicios de red de la Entidad.
8.1.4 Retiro de los derechos de acceso (Equivale a A.9.2.6 de la Norma NTC ISO/IEC
27001:2013)
Política que no aplica exclusivamente a Llave Maestra y Cronos. Respecto al retiro de los derechos de
acceso, se estableció el procedimiento para retiro de funcionarios, el cual solo contempla personal
vinculado a la planta de personal. En lo correspondiente a personal vinculado por prestación de
servicios se encuentra el formato entrega final para contratos de prestación de servicios profesionales
y de apoyo a la gestión.
En lo correspondiente a los ajustes el GIT de Infraestructura y Servicios de Tecnología de Información

indica que debe ser el jefe inmediato el que indique los cambios de permisos de acceso a usuarios
conforme las funciones a ejecutar en las respectivas dependencias. De igual manera es responsabilidad
del jefe inmediato avisar los cambios entre dependencias, para suprimir permisos de acceso a servicios
12
es de todos Social
exclusivos de la dependencia anterior. No obstante, no se identificó por parte del equipo auditor en
que documento de política o procedimiento se estableció lo mencionado.
que no se encontraron los controles A.9.2.1, A.9.2.2, A.9.2.3, A.g.2.1, A.9.4.1, A.9.4.2, A.9.4.3,
A.9.44, A.9.4.5.
9 Criptografía (Equivale a A.10 de la Norma NTC ISO/IEC 27001:2013)
9.1 Política de uso de controles criptográficos (Equivale a A.10.1 de la Norma NTC ISO/IEC
27001:2013)
Es informado por parte del administrador de Llave Maestra en la OTI al equipo auditor, que no se están
1 mplementando controles criptográficos.
que no se encontraron los controles A.10.1.1, A.10.1.2.
10 Seguridad Física y del Entorno (Equivale a A.11 de la Norma NTC IS0/IEC 27001:2013)
10.1 Política de Seguridad Física y del Entorno (Equivale a A.11.1 de la Norma NTC ISO/IEC
27001:2013)
10.1.1 Perímetro de Seguridad Física (Equivale a A.11.1.1 de la Norma NTC ISO/IEC

27001:2013)
Esta política no es solo aplicable a Llave Maestra y Cronos, sin embargo, en lo que corresponde a estas
dos herramientas, el acceso físico a los servidores donde está alojada la información está protegido
con acceso restringido mediante huella, solo en el centro de datos de la Entidad. En el Anexo A se
indica que se debe usar perímetros de seguridad para proteger áreas que contengan información
confidencial o crítica e instalaciones de manejo de información, lo cual no se cumple en todas las áreas
en las que se procesa información en la entidad, especialmente la correspondiente a clasificación
reservada o confidencial (Ejem: GIT Control Interno Disciplinario; Oficina Asesora de Planeación, entre
otros).
En esta política se habla de horario y acompañamiento a visitantes, lo cual no se está cumpliendo.
La responsabilidad de borrar tableros ni dejar documentos o notas escritas con información de

Prosperidad Social es responsabilidad de los colaboradores de la Entidad. Se puede establecer que
esta política se cumple parcialmente, pues no siempre los colaboradores cumplen con esta obligación,
la cual es difícil de controlar.
13
La equidad
es de todos
10.1.2 Controles de Acceso Físico (Equivale a A.11.1.2 de la Norma NTC ISO/IEC

27001:2013)
Esta política no es solo aplicable a Llave Maestra y Cronos. Se establece que algunas de las áreas
seguras de la Entidad están protegidas con controles de acceso con huella, lo que permite el acceso
solo al personal autorizado. En lo correspondiente a áreas de archivo, recepción y entrega de
correspondencia no cuentan con estos controles de acceso físico mediante huella o tarjeta de
proximidad.
Salvo el centro de datos, el personal de limpieza no es supervisado por colaboradores de las áreas que
mantiene información de carácter confidencial o reservado, en el cumplimiento de sus actividades.
10.1.3 Ubicación y Protección de los equipos (Equivale a A.11.2.1 de la Norma NTC ISO/IEC
27001:2013)
En lo correspondiente a medidas de protección física y eléctrica para la infraestructura tecnológica de

la Entidad, el centro de datos cuenta con sistema de detección, control y extinción de incendios, tubos
de PVC que garantizan que no hay interceptación.
10.1.4 Seguridad de los equipos fuera de las instalaciones (Equivale a A.11.2.6 de la Norma
NTC ISO/IEC 27001:2013)
Se establece que no se cuenta con protección de cifrado, los puertos infrarrojo y bluetooth no se
deshabilitan y no se instalan guayas de seguridad de manera obligatoria en los equipos portátiles de
la Entidad, situación que puede afectar la confidencialidad, disponibilidad e integridad de la
información, especialmente la catalogada como confidencial o reservada.
10.1.5 Seguridad en la reutilización o eliminación de los equipos (Equivale a A.11.2.7 de la

Norma NTC ISO/IEC 27001:2013)
Se establece que, para la reutilización o eliminación de los equipos, el GIT de Infraestructura y

Servicios de Tecnología de Información realiza backup de la información y formateo para
posteriormente realizar la disposición final, que puede ser la reasignación a otro usuario o dada de
baja. Ante esto se puede corroborar que esta actividad se ejecuta, adicionalmente en los casos para
baja de equipos, es el GIT de Infraestructura y Servicios de Tecnología de Información el que da el
concepto técnico proceder con la baja.
10.1.6 Retiro de Activos (Equivale a A.11.2.5 de la Norma NTC ISO/IEC 27001:2013)
Ante el proceso de verificación de la salida de equipos, se puede establecer que efectivamente se

requiere autorización para la salida de estos. En lo correspondiente a la salida de información o
software de la Entidad, no se encontró por parte del equipo auditor el procedimiento o documento en
el que se establezca cómo se verifica y se autoriza la salida de software e información de la Entidad.
Adicionalmente, teniendo en cuenta que no existe restricción para el uso de dispositivos de
almacenamiento removibles, no está bloqueado el acceso a espacios personales en la nube en los que
se pueda almacenar información de la Entidad, entre otros, se establece que no hay forma de controlar
que la información de la Entidad no sea retirada.
14
La equidad
es de todos
10.2 Política de escritorio despejado y pantalla despejada (Equivale a A.11.2.5 de la Norma

NTC ISO/IEC 27001:2013)
El conservar los escritorios despejados, libre de información de la Entidad y que durante horas no
hébiles o en los momentos que los puestos de trabajo se encuentren desatendidos depende
exclusivamente de cada colaborador.
Por su parte, el bloqueo de la pantalla cuando el computador se encuentre en desuso, si bien es

responsabilidad de cada colaborador, esta se puede establecer desde el GIT de Infraestructura y
Servicios de Tecnología de la Información, programando para que cuando un equipo permanezca
determinado tiempo sin uso alguno, este mismo se bloquee, ya que no es habitual en todos los
colaboradores tener presente la ejecución de esta tarea para evitar fuga de información.
Respecto la impresión de información confidencial y su retiro inmediato de la impresora, esta actividad

también es responsabilidad exclusiva del colaborador, sin embargo, ante la política de "cero papel",
se tiene estipulado la impresión a doble cara, y en los casos que solo se utiliza una cara y ya no se
requiere la documentación impresa, existe en la entidad la postura de conservar el papel para
posteriormente reutilizarlo en otra impresión, dejando información expuesta a terceros.
que no se encontraron los controles A.11.1.3, A.11.1.4, A.11.1.5, A.11.1.6, A.11.2.2, A.11.2.3,
A.11.2.4, A11.2.8.
11 Seguridad de las Operaciones (Equivale a A.12 de la Norma NTC ISO/IEC 27001:2013)
11.1 Política de Gestión de Cambios (Equivale a A.12.1.2 de la Norma NTC ISO/IEC

27001:2013)
Política no exclusiva para Llave Maestra y Cronos. Existe procedimiento para la gestión de cambios en
los sistemas de información de la Entidad. Se logró establecer en otros ejercicios auditores que no se
da cumplimiento total al procedimiento de gestión de cambios.
11.2 Política de Gestión de la Capacidad (Equivale a A.12.1.3 de la Norma NTC ISO/IEC

27001:2013)
Política no exclusiva para Llave Maestra y Cronos. El GIT de Infraestructura y Servicios de Tecnología
de la Información realiza evaluación técnica para determinar las necesidades de infraestructura que
requiere la Entidad. Ademés, lideran los procesos de contratación de la infraestructura tecnológica de
la Entidad.
11.3 Política de paso de ambientes de desarrollo, pruebas y producción (Equivale a A.12.1.4

de la Norma NTC ISO/IEC 27001:2013)
Política no exclusiva para Llave Maestra y Cronos. Para las aplicaciones de la Entidad cuenta con los
ambientes de desarrollo, pruebas y producción. En lo correspondiente a aplicaciones propias, estas se
15
es de todos SociaL
desarrollan y se realizan pruebas en este ambiente. Si pruebas son favorables se pasa a ambiente de
pruebas y se realizan otro tipo de pruebas. Cuando todo es funcional se pasa a producción.
11.4 Política de Protección contra código malicioso (Equivale a A.12.2.1 de la Norma NTC
ISO/IEC 27001:20 13)
Esta política no pudo ser evaluada debido que el profesional con funciones de Sheriff de Seguridad se
encontraba en proceso de contratación por la finalización del contrato inicial.
Ante esta situación, el equipo auditor sugiere que la responsabilidad de la seguridad de la información
de la Entidad no puede estar solo en cabeza de una persona, debido a que, en momentos de ausencia
del responsable, por situaciones como la descrita u otras, dependiendo de su tipo de vinculación, la
Entidad puede quedar expuesta a situaciones no deseadas que atenten contra la integridad,
confidencialidad y disponibilidad de la información.
11.5 Política de Backup (Equivale a A.12.3.1 de la Norma NTC ISO/IEC 27001:2013)
Política no exclusiva para Llave Maestra y Cronos. Se cuenta con procedimiento de Backup. Se realizan
copias diarias y se respaldan en cinta los días 15 y 30 de cada mes. Procedimiento Pruebas de
Restauración de Backup para validar que los que han sido llevado a cinta sean recuperables. Se realiza
verificación diaria de la ejecución de los backups para validar que se ejecutan adecuadamente.
11.6 Política de Auditoría (Equivale a A.12.4 de la Norma NTC ISO/IEC 27001:2013)
11.6.1 Registro de Eventos (Equivale a A.12.4.1 de la Norma NTC ISO/IEC 27001:2013)
Los registros de eventos son revisados cada vez que se presenta uno. El acceso a los registros de
eventos es restringido.
11.6.2 Registro del Administrador y del Operador (Equivale a A.12.4.3 de la Norma NTC
ISO/IEC 27001:2013)
Las actividades de operación realizadas por los administradores de la infraestructura se almacenan en

bases de datos.
11.6.3 Sincronización de Relojes (Equivale a A.12.4.4 de la Norma NTC ISO/IEC

27001:2013)
Los registros mencionados en la política anterior se encuentran sincronizados con la hora legal
colombiana.
11.7 Política de Gestión de Vulnerabilidades técnicas (Equivale a A.12.6.1 de la Norma NTC

ISO/IEC 27001:2013)
Esta política no es exclusiva para Llave Maestra y Cronos. Adicionalmente, en este caso no se aplica
esta política en razón a que actualmente se indica por parte del GIT de Infraestructura y Servicios de
Tecnología de la Información las herramientas Llave Maestra y Cronos no tienen vulnerabilidades
técnicas.
16
1: es de todos Social
Por su parte, en un contexto general, con el fin de minimizar el riesgo ante hallazgos de
vulnerabilidades técnicas, la Entidad aplica políticas de seguridad que permitan cumplir este objetivo.
que no se encontraron los controles A.12.1.1; A.12.4.2; A.12.5.1; A.12.6.2 y A.12.7.
12 Seguridad de las comunicaciones (Equivale a A.13 de la Norma NTC ISO/IEC

27001:2013)
12.1 Política de Gestión de Seguridad de las Redes (Equivale a A.13.1 de la Norma NTC
ISO/IEC 27001:2013)
Esta política no es exclusiva para Llave Maestra y Cronos. La Entidad ha incorporado políticas de
directorio activo, por medio de las cuales se pueden establecer perfiles para acceso a sistemas de
información y carpetas compartidas. Adicionalmente, no está autorizado la conexión de equipos de red
diferentes a los de la Entidad. En lo correspondiente a Llave Maestra y Cronos, no se tiene autorización
de accesos remotos a estas herramientas, y las políticas de teletrabajo se encuentran en etapa de
prueba e implementación.
La red de la entidad se encuentra segmentada por áreas funcionales y de administración para facilitar
el control de acceso a la red.
12.2.1 Política de Transferencia de Información (Equivale a A.13.2 de la Norma NTC ISO/IEC

27001:2013)
El Manual de Lineamientos de Seguridad de la Información solo presenta el objetivo de la presente

política, pero no indica las condiciones a cumplir. Revisar numeración.
12.2.2 Acuerdo para el intercambio de información (Equivale a A.13.2.2 de la Norma NTC

ISO/IEC 27001:2013)
En lo correspondiente a Llave Maestra y Cronos fue indicado al equipo auditor que actualmente no se
comparte información de estas herramientas con terceros, sin embargo, se cuenta con el Acuerdo
Individual de Confidencialidad, el cual debe ser firmado por terceros que requieran acceder a
información de Prosperidad Social, especialmente la clasificada como Reservada.
que no se encontraron los controles A.13.1.1; A.13.1.2; A.13.1.3; A.13.2.1; A.13.2.3 y A.13.2.4.
17
La equidad
es de todos
13 Adquisición, Desarrollo y Mantenimiento de Sistemas (Equivale a A.14 de la Norma NTC

ISO/IEC 27001:2013)
13.1 Política de Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

(Equivale a A.14 de la Norma NTC ISO/IEC 27001:2013)
13.1.1 Requisitos de Seguridad de los Sistemas de Información (Equivale a A.14.1 de la

Norma NTC ISO/IEC 27001:2013)
Esta política no es exclusiva para Uave Maestra y Cronos. En lo correspondiente a estas herramientas
no aplica temporalmente debido a que no se han realizado modificaciones durante el periodo auditado.
No obstante, los cambios que se lleguen a requerir, se contempla el análisis de dichos cambios,
evaluando los riesgos y problemas potenciales que pueden generar estos cambios. Durante otro
ejercicio auditor realizado por la OCI se estableció que no se está cumpliendo en su totalidad con el
análisis de requerimientos en cuanto a seguridad de la información, análisis de riesgos y posibles
escenarios de riesgos, con el fin de establecer las acciones de mitigación.
Para el acceso a los sistemas de información de la Entidad, se cuenta con acceso mediante la
autenticación por usuarios y su respectiva contraseña, y los perfiles de acceso delimitan el acceso de
información al que tiene permiso según las necesidades.
13.1.2 Procedimiento de Control de Cambios (Equivale a A.14.2.2 de la Norma NTC ISO/IEC

27001:2013)
Esta política no es exclusiva para Uave Maestra y Cronos. En lo correspondiente a estas herramientas
no aplica temporalmente debido a que no se han realizado modificaciones durante el periodo auditedo.
Por su parte, existe procedimiento de Gestión de Cambios en los sistemas de información de la entidad,
sin embargo, en otro ejercicio auditor realizado por la OCI se pudo establecer que no se cumple a
cabalidad este procedimiento.
13.1.3 Desarrollo de Software contratado externamente (Equivale a A.14.2.7 de la Norma

NTC ISO/IEC 27001:2013)
Esta política no es exclusiva para Llave Maestra y Cronos. En lo correspondiente a Llave Maestra y
Cronos, estas herramientas son desarrollo propio de Prosperidad Social, aunque inicialmente Llave
Maestra fue desarrollo externos, actualmente el desarrollo de Llave Maestra se encuentra a cargo de
la Oficina de Tecnologías de la Información.
que no se encontraron los controles A.14.1.1; A.14.1.2; A.14.1.3; A.14.2.1; A.14.2.3; A.14.2.4;
A.14.2.S; A.14.2.6; A.14.2.8; A.14.2.9 y A.14.3.1.
18
La equidad
es de todos
14 Relación con Proveedores (Equivale a A.15 de la Norma NTC ISO/IEC 2700 1:2013)
14.1 Política de Seguridad de la Información para las Relaciones con los Proveedores
(Equivale a A.15.1 de la Norma NTC IS0/IEC 27001:2013)
14.1.1 Consideraciones de Seguridad en los acuerdos con terceras partes (Equivale a

A.15.1.2 de la Norma NTC ISO/IEC 27001:2013)
Esta política no es exclusiva para Llave Maestra y Cronos. Actualmente se tiene como requisito para
la firma de contratos o convenios con terceros, la firma del acuerdo individual de confidencialidad de
la información con terceros, en el cual se establecen los lineamientos de seguridad de la información
que debe cumplir este tercero. De ¡gual manera, en dicho contrato se establece el tipo de información
que pueden intercambiarse entre las partes.
que no se encontraron los controles A.15.1.1; A.15.1.3; A.15.2.1 y A.15.2.2.
15 Gestión de Incidentes (Equivale a A.16 de la Norma NTC ISO/IEC 27001:2013)
15.1 Política de Gestión de Incidentes de Seguridad de la Información (Equivale a A.16 de

la Norma NTC ISO/IEC 27001:2013)
15.1.1 Reporte sobre los eventos y las debilidades de la seguridad de la información

(Equivale a A.16.1.2 y A.16.1.3 de la Norma NTC IS0/IEC 27001:2013)
Esta política no es exclusiva para LJave Maestra y Cronos. Actualmente no se han reportado incidentes
de seguridad en las herramientas evaluados. Respecto a la aplicación de esta política en la Entidad,
ante cualquier evento y/o incidente que afecte la seguridad de la Entidad se debe enviar correo a
seguridaddelainformaciónrwosoeridadsocial.gov.co informando la situación, pero esto es algo que no
todas las personas realizan.
15.1.2 Reporte sobre los eventos y las debilidades de la seguridad de la información

(Equivale a A.16.1. de la Norma NTC ISO/IEC 27001:2013)
Se indica que a la fecha de la auditoría no se han reportado incidentes de seguridad en Llave Maestra
y Cronos, sin embargo, se tiene establecido por parte de la Oficina de Tecnologías de la Información
que a todos los incidentes de seguridad se les da tratamiento.
que no se encontraron los controles A.16.1.1; A.16.1.4; A.16.1.5; A.16.1.6 y A.16.1.7.
'9
La equidad
es de todos
16 Aspectos de Seguridad para la Gestión de Continuidad de Negocios (Equivale a A.17 de

la Norma NTC ISO/IEC 27001:2013)
16.1 Política de Gestión de la Continuidad del Negocio (Equivale a A.17.1 de la Norma NTC
IS0/IEC 27001:2013)
161.1 Seguridad de la Información en la Continuidad del Negocio (No identificada en Anexo

A de la NTC ISO/IEC 27001:2013)
No se puede evaluar esta política dado que no existe plan de continuidad del negocio en la Entidad,
no obstante, en lo correspondiente a las herramientas evaluadas, el plan de continuidad del negocio
para Cronos se encuentra en desarrollo. Por su parte, dado que Llave Maestra se encuentra en la Nube,
se indica por parte del auditado que no se requiere dicho plan.
16.1.2 Pruebas y mantenimiento del plan de continuidad del negocio (Equivale a A.17.1.3
de la Norma NTC ISO/IEC 27001:2013)
Dado que aún no se ha implementado un plan de continuidad del negocio, no es posible realizar
pruebas ni mantenimiento al mismo.
que no se encontraron los controles A.17.1.1; A.17.1.2 y A.17.2.1.
17 Cumplimiento de los Requisitos Legales (Equivale a A.18 de la Norma NTC IS0/IEC

27001:2013)
17.1 Política de Cumplimiento Legal (Equivale a A.18.1 de la Norma NTC ISO/IEC

27001:2013)
17.1.1 Identificación de la Legislación Aplicable (Equivale a A.18.1.1 de la Norma NTC

ISO/IEC 27001:2013)
Se ha identificado los requisitos legales relacionados con las herramientas evaluadas Llave Maestra y
Cronos, y en general en lo correspondiente a los demás sistemas de información, sin embargo, es
pertinente realizar un seguimiento mayor a que se dé cumplimiento a este marco legal por parte de
todas las instancias de la Entidad.
17.1.2 Derechos de Propiedad Intelectual (Equivale a A.18.1.2 de la Norma NTC ISO/IEC

27001:2013)
Esta no es una política exclusiva de Llave Maestra y Cronos. La Entidad tiene bloqueado la instalación
de software en los equipos, sin la autorización del GIT de Infraestructura y Servicios de Tecnología de
Información. Política de usuario administrador es el único que puede instalar software. System Center
- Si se detecta un software que no está autorizado, se desinstala. System center también restringe
música. Documentos, fotos y otras obras protegidas por derechos de propiedad intelectual no se
controlan.}
20
La equidad
es de todos
17.1.3 Protección de los registros de la Organización (Equivale a A. 18.1.3 de la Norma NTC

IS0/IEC 27001:2013)
Esta no es una política exclusiva de Llave Maestra y Cronos. Toda la información que se encuentra en
servidores de la Entidad se respalda mediante copias de seguridad periódicas, sin embargo, no hay
forma de controlar el almacenamiento de información de la Entidad en equipos asignados a cada
funcionario, si este no realiza su procedo de copia de respaldo en los servidores destinados para este
fin, y mucho menos en la información que se almacena en equipos que no son de la entidad,
pertenecientes a los colaboradores.
que no se encontraron los controles A.18.1.4; A.18.1.5; A.18.2.1; A.18.2.2 y A.18.2.3.
21

Infomath

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Infomath

Cargado por

Copyright:

Formatos disponibles

INFORME DE AUDITORÍA INTERNA Código: F-Cl-4

dOdO Fecha de Aprobación: 02/04/2018

A-10-2019 FECHA DEL INFORME: 16-08-2019

Día 04 Mes 06 Año 2019 Día 05 Mes 08 Año 2019

Auditor Líder: Alexander Bueno Herrera.

Auditor(es) Acompañante(s): Liz Milena García Rodríguez.

Auditor(es) Observador(es) y/o en Formación: No Aplica.

Experto(s) Técnico(s): No Aplica.

FORTALEZAS Y OPORTUNIDADES DE MEJORA:

Oportunidad de Mejora 1: En la ejecución de la auditoria se hicieron requerimientos sobre la

Oportunidad de Mejora 2: En la documentación entregada que soporta el cumplimiento del

Oportunidad de Mejora 3: Una vez revisado el Manual de Políticas Específicas y Lineamientos de

Oportunidad de Mejora 4: En el numeral A.5.1.1 de la norma NTC ISO/IEC 27001:2013, se

RESULTADOS DEL TRABAJO AUDITOR (HALLAZGOS):

El 21 de noviembre de 2018, se presenta ante Comité Institucional de Gestión y Desempeño, el

El 22 de noviembre de 2018, se allega a los integrantes del mencionado comité, el documento de

El 05 de diciembre mediante sesión virtual, el comité institucional de Gestión y Desempeño aprobó

Posteriormente se define un proyecto y un alcance de la implementación limitado a Equidad digital.

F-CI-4 Formato Informe de Auditoría Prosperidad Social Oficina de Control Interno

Hallazgo 1: En el documento de Alcance y Límites de la Seguridad de la Información, no fueron

Hallazgo 2: Se evidencia que no se realiza un control adecuado de la información documentada,

F-CI-4 Formato Informe de Auditoría Prosperidad Social Oficina de Control Interno

dOdO Fecha de Aprobación: 02/04/2018

Hallazgo 6: Se evidencia que no todos los colaboradores de la Entidad reciben capacitación o

Funcionario y/o Entrenamiento

F-CI-4 Formato Informe de Auditoría Prosperidad Social Oficina de Control Interno

EXPOSICIONES AL RIESGO RELEVANTES:

Entendiéndose que disponer de un Sistema de Gestión de la Seguridad de la Información - SGSI,

Nombre del Descripción Formula Avances Fuente de

F-CI-4 Formato Informe de Auditoría Prosperidad Social Oficina de Control Interno

Fecha de Aprobación: 02/04/2018

REVISIÓN DE PLAN DE ACCIÓN

Diseñar y ejecutar las Informe de diagnóstico GAP. Estas actividades se

En el marco del Plan

En el marco del Plan

Fuente. Plan de Acción 2019 OTI

Respecto al producto y las actividades establecidas en el plan de acción, y conforme a lo verificado

Fecha de Aprobación: 02/04/2018

Maestra y Cronos, es preciso revisar el producto y confirmar si es viable la implementación de la

En el mapa de riesgos institucional actual, se observa la identificación de los siguientes tipos de

REVISIÓN PLANES DE MEJORAMIENTO

Respecto a las acciones de mejoramiento relacionadas con el objeto de la presente auditoría, se

HALLAZGO OBSERVACIÓN OCI

El mapa de riesgos se encuentra en construcción, la

F-CI-4 Formato Informe de Auditoría Prosperidad Social Oficina de control Interno

ddO Fecha de Aprobación: 02/04/2018

Se evidencia que el documento: Declaración de Esta se encuentra en construcción, la OCI considera

No es posible determinar la efectividad de los controles, en razón a que la implementación del

NOTA: Todos los segmentos contenidos en el presente formato son de obligatorio

ANEXOS DE LAS ACTIVIDADES DEL EXPERTO TÉCNICO

Teniendo en cuenta la presentación de la Política General de Seguridad de la Información, realizada

ddO Fecha de Aprobación: 02/04/2018

Se determina que si bien es cierto ya se vienen desarrollando actividades de ejecución respecto al

Se recomienda estructurar el proyecto, ajustar su cronograma y revisar el cumplimiento a cabalidad

F-CI-4 Formato Informe de Auditoría Prosperidad Social Oficina de control Interno

Fecha de Aprobación: 02/04/2018

Se requiere plan de mejoramiento: SI X NO

REGISTRO DE HORAS DE AUDITORÍA

DURACIÓN TOTAL DE LA AUDITORÍA (en horas):

Norma NTC ISO/IEC 27001:2013 332

Jefe Oficina de 'tntrol nte '. - Prosperidad Social

Liz Milena García Rodríguez