Informe de Auditoria Interna SGSI

INFORME DE AUDITORIA INTERNA
Nº AUDITORIA: 1
EMPRESA AUDITADA: INSTITUTO COLOMBIANO DE BIENESTAR

FAMILIAR – I.C.B .F.
NORMA DE REFERENCIA: NTC ISO/IEC 27001:2013
OBJETIVOS DE LA AUDITORIA: VERIFICAR LA ADECUACIÓN, CONVENIENCIA

Y EFICACIA DEL SGSI
ALCANCE DE LA AUDITORIA: ICBF – SEDE NACIONAL – DIT
CRITERIOS DE AUDITORIA: NTC ISO/IEC 27001:2013, DOCUMENTACIÓN

PROPIA DEL SGSI, MANUAL DEL SISTEMA
INTEGRADO, REQUISITOS LEGALES
AUDITOR S.G.S.I.: ING. JUAN CARLOS BARON RINCON
FECHA/S DE REALIZACIÓN: OCTUBRE 13 AL 16 Y 19 DE 2015
SECCION AUDITADA: ANEXO A (NORMATIVO)
FORTALEZAS: 86
NO CONFORMIDADES MAYORES: 1
NO CONFORMIDADES MENORES: 7
OPORTUNIDADES DE MEJORA: 13
CONTROLES EXCLUIDOS: 1
FECHA DEL INFORME: OCTUBRE 30 DE 2015
CONCLUSIONES DE AUDITORIA: EL GRADO DE CONFORMIDAD CON

RELACION AL ANEXO – A (NORMATIVO) ES
MUY ALTO.
SE EVIDENCIA LA EFICACIA DE LOS
CONTROLES ESTABLECIDOS.
LA ADECUACIÓN DEL SGSI ESTA ALINEADA
CON LOS CRITERIOS DE LA NORMA ISO/IEC
27001, LOS REGLAMENTARIOS, LEGALES Y
CONTRACTUALES.
LA CONVENIENCIA DEL SISTEMA SE INTEGRA
EN LOS PROCESOS QUE ESTAN DENTRO DEL
ALCANCE DE SEGURIDAD DE LA
INFORMACION.
NÚMERO DE HOJAS: 20
ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

DESCRIPCION DEL NUMERAL O CONTROL DEL ANEXO A Nº HOJA
A.5 POLITICAS DE LA SEGURIDAD DE LA INFORMACIÓN
- A.5.1.1 Políticas para la seguridad de la información
1
- A.5.1.2 Revisión de las políticas para la seguridad de la
información
ASPECTOS A VERIFICAR
- A.5.1.1 ¿La organización ha definido un conjunto de políticas para la seguridad de la información?,
¿Este conjunto de políticas están aprobadas por la dirección?,
¿Este conjunto de políticas se ha publicado y comunicado a los empleados y partes interesadas?
- A.5.1.2 ¿La organización ha establecido intervalos planificados para la revisión de políticas para la
seguridad de la información?
FORTALEZAS
- A.5.1.2 El conjunto de políticas para la seguridad de la información en caso de que suceda un cambio
significativo en el contexto o en los requisitos y expectativas de las partes interesadas se actualizara.
Adicionalmente tienen un intervalo planificado para su revisión y de esta manera poder asegurar su
adecuación, conveniencia y eficacia continuas.
OPORTUNIDADES DE MEJORA
- No Aplica
NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

NUMERAL
CÓDIGO CALIFICACIÓN(1) O DESCRIPCIÓN NO CONFORMIDAD Y EVIDENCIAS
(número)
CONTROL
Se evidencia que la organización ha definido un conjunto de políticas para
la seguridad de la información.
1 Menor A.5.1.1 Evidencia: El conjunto de políticas para la seguridad de la información no
tiene en cuenta lo citado en la GTC-ISO/IEC 27002 control 5.1.1 - guía de
implementación.
(1) Calificar N.C. según:
1. Desviación menor: La evidencia suministrada es parcialmente suficiente en extensión y no afecta al logro de los resultados previstos para el SGSI.
2. Desviación mayor. La evidencia suministrada es totalmente insuficiente en extensión y afecta significativamente al logro de los resultados previstos para el
SGSI.

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACION
- A.6.1.1 Roles y responsabilidades para la seguridad de
la información
- A.6.1.2 Separación de deberes
- A.6.1.3 Contacto con las autoridades 2
- A.6.1.4 Contacto con grupos de interés especial
- A.6.1.5 Seguridad de la Información en la gestión de
proyectos
- A.6.2.1 Política para dispositivos móviles
- A.6.2.2 Teletrabajo
- A.6.1.2 ¿Se tiene separados los deberes a nivel de la operación del proceso de gestión tecnológica y del
SGSI?
- A.6.1.3 ¿Se han identificado las autoridades pertinentes con relación al cumplimiento de la ley, los
organismos de regulación y las autoridades de supervisión?
- ¿Se tiene identificado como reportar los incidentes de seguridad de la información asociados a violación
de la ley?
- A.6.1.4 ¿Se tiene contacto con grupos de interés especial, foros o asociaciones de profesionales
especializadas en seguridad de la información?
- A.6.1.5 ¿En la gestión de proyectos se trata la seguridad de la información independiente del tipo de
proyecto?
- A.6.2.1 ¿Se adoptó una política para dispositivos móviles?, ¿Se tienen medidas de seguridad de soporte
para gestionar los riesgos introducidos por el uso de los dispositivos móviles?
- A.6.2.2 ¿Se ha implementado una política de teletrabajo en la organización?, ¿Se tienen medidas de
seguridad de soporte para proteger la información a la que se tiene acceso, procesa o almacena en el
lugar del teletrabajo?
FORTALEZAS
- A.6.1.2 En la operación de la gestión tecnológica y del SGSI se tienen separados los deberes lo que
impide ser juez y parte y tomar decisiones sesgadas.
- A.6.1.3 Si se han identificado las autoridades pertinentes con relación al cumplimiento de la ley, los
organismos de regulación y las autoridades de supervisión, como por ejemplo: POLICIA NACIONAL,
FISCALIA, MINTIC, CONTRALORIA, entre otras. Además se conocen los mecanismos de reporte para
las violaciones de la ley.
- A.6.1.4 Si Se tiene contacto con grupos de interés especial, foros o asociaciones de profesionales
especializadas en seguridad de la información como por ejemplo: SEGUINFO, COLCERT, entre otros.
- A.6.2.1 Si se adoptó una guía más un procedimiento para los dispositivos móviles dentro de la
organización.
- A.6.1.1 La alta dirección ha establecido roles y responsabilidades para la seguridad de la información a
través de la resolución 0268 que prácticamente están orientados a las direcciones de área del ICBF pero
estos no son los únicos roles y responsabilidades en un SGSI, se debería tener en cuenta el listado de
roles y responsabilidades del anexo B de la ISO/IEC 27003 y aunque la lista no es exhaustiva no deberían
olvidar los roles que están en el ICBF – DIT y que apoyan la seguridad de la información.
- A.6.1.5 La seguridad de la información no se ha integrado al método de gestión de proyectos de la
organización, para asegurar que los riesgos de la seguridad de la información se identifiquen y traten
como parte de un proyecto.

NUMERAL
(número)
CONTROL
- - - No Aplica
SGSI.
EXCLUSIONES
- A.6.2.2 La organización no aplica el libro blanco del teletrabajo y por tal motivo excluye este control en la
declaración de aplicabilidad.

A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
- A.7.1.1 Selección
- A.7.1.2 Términos y condiciones del empleo
- A.7.2.1 Responsabilidades de la dirección
- A.7.2.2 Toma de conciencia, educación y formación en 3
la seguridad de la información
- A.7.2.3 Proceso disciplinario
- A.7.3.1 Terminación o cambio de responsabilidades de
empleo
- A.7.1.1 ¿Se verifican los antecedentes de los candidatos a un empleo en el ICBF, de acuerdo con las
leyes, reglamentaciones y ética pertinentes?
- A.7.1.2 ¿En el contrato se establecen las responsabilidades con relación a la seguridad de la
información?
- A.7.2.1 ¿La dirección exige a los empleados y contratistas la aplicación de la seguridad de la información
de acuerdo con la política y los procedimientos establecidos por la organización?
- A.7.2.2 ¿Los empleados y contratistas de la organización tienen las competencias necesarias y la toma
de conciencia apropiada sobre la política y procedimientos asociados a la seguridad de la información?
- A.7.2.3 ¿La organización cuenta con un proceso formal para emprender acciones contra empleados que
hayan cometido una violación a la seguridad de la información?
- A.7.3.1 ¿Se retiran los privilegios sobre los sistemas de información, aplicativos y demás cuando sea
pertinente en el caso que un empleado o contratista cambie de cargo o se retire de la organización?
FORTALEZAS

- A.7.1.1 La organización si verifica los antecedentes de los candidatos cuando se presentan a un cargo
de acuerdo a las leyes, reglamentaciones y ética pertinentes.
- A.7.2.1 La dirección a través de la política de seguridad de la información y el manual de políticas de
seguridad de la información exige a los empleados y contratistas su estricto cumplimiento y aplicación.
- A.7.2.2 Los empleados y contratistas si tienen las competencias asignadas a su cargo como se evidencia
en sus hojas de vida y a través del plan de culturización toman conciencia de la importancia de la
seguridad de la información en el desarrollo de sus funciones.
- A.7.2.3 La organización si tiene un proceso formal para emprender acciones contra empleados que violen
o incumplan la política de la seguridad de la información, el manual de políticas y otras disposiciones
legales asociadas a la seguridad de la información.
- A.7.3.1 Cuando un empleado cambia de cargo o se retira de la organización si se da de baja en todos
sistemas de información, aplicativos y demás servicios y accesos de red una vez sea notificada el área
de TI.
- No Aplica

NUMERAL
(número)
CONTROL
Se evidencia que la organización si ha establecido en los contratos ítems
asociados a la seguridad de la información como propiedad intelectual y
confidencialidad.
Evidencia: La organización aun no incluido los derechos y
4 Menor A.7.1.2 responsabilidades asociados a la seguridad de la información en los
contratos como: acceso a la información confidencial, protección de datos
personales, clasificación de la información, acciones a tomar si no se
tienen en cuenta los requisitos de seguridad de la organización, entre
muchos otros,
SGSI.

A.8 GESTION DE ACTIVOS
- A.8.1.1 Inventario de activos
- A.8.1.2 Propiedad de los activos
- A.8.1.3 Uso aceptable de los activos
- A.8.1.4 Devolución de activos
- A.8.2.1 Clasificación de la información 4
- A.8.2.2 Etiquetado de la información
- A.8.2.3 Manejo de activos
- A.8.3.1 Gestión de medios removibles
- A.8.3.2 Disposición de los medios
- A.8.3.3 Transferencia de medios físicos
- A.8.1.1 ¿Se identifica y mantiene un inventario de activos asociados con información e instalaciones de
procesamiento de información?
- A.8.1.2 ¿Los activos mantenidos en el inventario tienen un propietario?
- A.8.1.3 ¿Se tienen reglas para el uso aceptable de los activos?
- A.8.1.4 ¿Se tiene un procedimiento o instructivo guía para la devolución de activos?
- A.8.2.1 ¿Se tiene clasificada la información en función de los requisitos legales y el valor que tiene para
el negocio?
- A.8.2.2 ¿Se ha desarrollado e implementado un procedimiento, instructivo o guía para el etiquetado de
la información que esté de acuerdo con el esquema de clasificación de la información adoptado por la
organización?
- A.8.2.3 ¿se han implementado políticas, procedimientos o guías para el manejo de los activos que esté
de acuerdo con el esquema de clasificación de la información adoptado por la organización?
- A.8.3.1 ¿La organización cuenta con una política o procedimiento para la gestión de medios removibles
que esté de acuerdo con el esquema de clasificación de la información adoptado por la organización?
- A.8.3.2 ¿Se dispone en forma segura de los medios cuando ya no se requieren, utilizando procedimientos
formales?
- A.8.3.3 ¿Se protege contra acceso no autorizado, uso indebido o corrupción, los medios durante el
transporte?
FORTALEZAS

- A.8.1.1 La organización tiene identificados los activos por procesos a través de un formato para este fin.
- A.8.1.2 La organización mantiene todos los activos dentro del inventario con un propietario o dueño y los
usuarios que lo usan.
- A.8.1.3 La alta dirección en la política de seguridad de la información en el artículo octavo literal d se
refiere a la responsabilidad de funcionarios, contratistas y colaboradores frente al uso de los recursos
tecnológicos considerado como aceptable.
- A.8.1.4 A través de la Mesa de Servicios de la Organización se establece la devolución de elementos
quedando registrado en un formato que Almacén solicita al funcionario o contratista y lo asocia a un ticket
para garantizar el control de la operación asociada a esta actividad.
- A.8.2.1 La información está clasificada de acuerdo a la ley 1712 de 2014 sobre la ley de transparencia y
del derecho de acceso a la información pública nacional y mide la pérdida de la Confidencialidad,
Integridad y Disponibilidad teniendo en cuenta el ciclo de vida de la información (creación, procesamiento,
almacenamiento, transmisión, eliminación y destrucción).
- A.8.2.2 La organización cuenta con la implementación de la ley 594 de 2000, la ley general de archivo y
tiene aplicadas tablas de retención documental (TRD) más una guía de rotulación de la información que
está acorde al esquema de clasificación adoptado por la organización.
- A.8.2.3 El manejo de los activos está asociado al uso aceptable de los mismos y al esquema de
clasificación de la información que la organización adopto, adicionalmente se cuenta con un
almacenamiento de activos de TI de acuerdo a las especificaciones de los fabricantes.
- A.8.3.1 La organización cuenta con un procedimiento para la gestión de medios removibles apoyado en
el manual de políticas de seguridad de la información y está permitido el uso de este tipo de medios con
el apoyo del software BITLOCKER.
- A.8.3.2 La organización establece una guía para la gestión de bienes donde se involucra a los ejes de
seguridad de la información y ambiental para hacer una disposición segura de los medios cuando ya no
se requieran, utilizando procedimientos formales.
- A.8.3.3 La organización mantiene resguardo de los medios físicos en el Datacenter principal contratado
al proveedor IFX.
- No Aplica

NUMERAL
(número)
CONTROL
- - - No Aplica
SGSI.

A.9 CONTROL DE ACCESO
- A.9.1.1 Política de control de acceso
- A.9.1.2 Acceso a redes y a servicios de red
- A.9.2.1 Registro y Cancelación del registro de usuarios
- A.9.2.2 Suministro de acceso de usuarios
- A.9.2.3 Gestión de derechos de acceso privilegiado
- A.9.2.4 Gestión de información de autenticación secreta
de usuarios
- A.9.2.5 Revisión de los derechos de acceso de usuarios 5
- A.9.2.6 Retiro o ajuste de los derechos de acceso
- A.9.3.1 Uso de información de autenticación secreta
- A.9.4.1 Restricción de acceso a la información
- A.9.4.2 Procedimiento de ingreso seguro
- A.9.4.3 Sistema de gestión de contraseñas
- A.9.4.4 Uso de programas utilitarios privilegiados
- A.9.4.5 Control de acceso a códigos fuente de
programas
- A.9.1.1 ¿La organización cuenta con una política de control de acceso?
- A.9.1.2 ¿Se han establecido mecanismos de acceso a redes y a servicios de red?
- A.9.2.1 ¿La organización cuenta con una metodología clara de registro y cancelación de usuarios?
- A.9.2.2 ¿Se han desarrollado e implementado perfiles de usuario para garantizar un acceso normal para
todo tipo de usuarios y todos los sistemas y servicios?
- A.9.2.3 ¿Se tienen implementados accesos privilegiados y quien los concede?
- A.9.2.4 ¿Se utiliza algún método para controlar o gestionar la información de autenticación secreta de
los usuarios?
- A.9.2.5 ¿Se revisan los derechos de acceso de los usuarios?
- A.9.2.6 ¿La organización cuenta con una metodología para el retiro o ajuste de los derechos de acceso
de los usuarios?
- A.9.3.1 ¿La organización cuenta con una política, instructivo, guía u otra para exigir a los usuarios que
cumplan con las practicas sobre el uso de la información de autenticación secreta?
- A.9.4.1 ¿El acceso a la información y a las funciones de los sistemas de las aplicaciones se restringe?
- A.9.4.2 ¿Para el ingreso a las aplicaciones y los sistemas de información se utilizan técnicas de ingreso
seguro?
- A.9.4.3 ¿Es posible que el usuario final pueda interactuar con el sistema de gestión de contraseñas?
- A.9.4.4 ¿La organización bloquea el uso de utilitarios privilegiados como el CMD o el POWERSHELL?
- A.9.4.5 ¿La organización advierta o desalienta a sus empleados para que no utilicen prácticas de
ingeniería inversa con el software legalmente licenciado o incluso con el software hecho en l
organización?
FORTALEZAS

- A.9.1.1 La organización cuenta con una política de control de acceso, con reglas de control adecuadas,
con derechos de acceso y restricciones para los roles de usuario con lo que necesitan conocer y lo que
necesitan usar. Esta política se despliega a través del DIRECTORIO ACTIVO DE MICROSOFT
- A.9.1.2 La organización a través del directorio activo permite el acceso de los usuarios a la red y a los
servicios de red para los que hayan sido autorizados específicamente. Para visitantes se tienen redes
inalámbricas aisladas de la red y servicios de producción; y adicionalmente las conexiones externas
autorizadas a la organización se realizan a través de VPN, con monitoreo de acceso de los servicios de
red.
- A.9.2.1, A.9.2.2, A.9.2.3 La organización realiza la alta (registro) y baja (cancelación) de usuarios a través
de las solicitudes recibidas en la dirección de información y tecnología, implementándolas a través del
área responsable del directorio activo para posibilitar la asignación de los derechos de acceso a través
de perfiles de usuario apropiado a las políticas de acceso y es coherente con la segregación de funciones
y la identificación de derechos de acceso privilegiado asociados al SIM y CUENTAME.
- A.9.2.4, A.9.3.1, A.9.4.3 Se cuenta con una política de gestión de contraseñas donde se advierte a los
usuarios de mantener de manera confidencial la contraseña y utilizar técnicas que impidan su revelación
ante terceros (evitar llevar un registro); Realizar cambios periódicos y aplicar técnicas de calidad (longitud
mínima, sean fáciles de recordar, no estén basadas en algo que se pueda adivinar y no sean vulnerables
a ataques de diccionario); Además se asignan contraseñas temporales que se deben cambiar en el
primer inicio de sesión.
- A.9.2.5, A.9.2.6 La organización revisa los derechos de acceso en las aplicaciones SIM y CUENTAME
de manera planificada o cuando es reportado por un usuario del sistema se hace el ajuste necesario y
se retiran dichos permisos cuando se ha terminado su contrato o cuando hay cambio de cargo.
- A.9.4.1 El acceso a la información y a la funcionalidad de las aplicaciones SIM y CUENTAME está
restringida por perfiles de usuario y derechos de acceso que se evidencia en los menús que se despliegan
por perfil, por salidas limitadas a la información solicitada o consultada y por los controles sobre la
información como leer, escribir, borrar y ejecutar.
- A.9.4.2 La organización garantiza que tanto para el acceso a las redes como para el acceso a las
aplicaciones SIM y CUENTAME y a los servicios de red como el CORREO, entre otros se realiza a través
de procedimientos de ingreso seguro y dichos ingresos quedan registrados en logs que se respaldan y
salvaguardan con el fin de una posterior auditoria de control de acceso.
- A.9.4.4 Se restringe el uso de programas utilitarios como el CMD o POWERSHELL únicamente a los
administradores de sistemas operativos, o administradores de directorio activo o el dominio; En cada
estación de trabajo se evidencia el bloqueo de dichos utilitarios privilegiados.
- A.9.4.5 La organización impide el control de acceso al código fuente de los aplicativos hechos en casa
ya que cuentan con herramientas avanzadas como TEAM FOUNDATION SYSTEM que es administrado
por el equipo de desarrollo de la institución. Además se desalienta el uso de herramientas de ingeniería
inversa para ser utilizadas en el software licenciado.
- No Aplica

NUMERAL
(número)
CONTROL
- - - No Aplica
SGSI.

A.10 CRIPTOGRAFIA
- A.10.1.1 Política sobre el uso de controles criptográficos 7
- A.10.1.2 Gestión de llaves
- A.10.1.1 ¿La organización tiene una política sobre el uso de controles criptográficos para la protección
de la información y además ha sido implementada?
- A.10.1.2 ¿En caso de utilizar firmas digitales y certificados digitales, como la organización usa, protege
y controla el tiempo de vida de las llaves criptográficas?
FORTALEZAS
- A.10.1.1 La organización tiene una política sobre el uso de los controles criptográficos que están
implementados en: dispositivos de hardware como es el firewall, switches que componen el Core, NAS
y en la solución de software ACTIVE DIRECTORY, además los utilizan en las aplicaciones SIM y
CUENTAME para el ingreso seguro a las aplicaciones y para cifrar la información que viaja en redes
públicas.
- A.10.1.2 La organización tiene implementados certificados digitales para los portales web que publican
información de SIM y CUENTAME y firmas digitales para evitar el no repudio, por tanto las llaves
criptográficas asociadas a dichas soluciones son gestionadas en parte por el proveedor certicamara
(generación, almacenamiento, distribución, retiro y destrucción de la llave publica) y la otra directamente
por la organización (almacenamiento de la llave privada)
- No Aplica

NUMERAL
(número)
CONTROL
- - - No Aplica
SGSI.

A.11 SEGURIDAD FISICA Y DEL ENTORNO
- A.11.1.1 Perímetro de seguridad física
- A.11.1.2 Controles de acceso físico
- A.11.1.3 Seguridad de oficinas, recintos e instalaciones
- A.11.1.4 Protección contra amenazas externas y
ambientales
- A.11.1.5 Trabajo en áreas seguras
- A.11.1.6 Áreas de despacho y carga
- A.11.2.1 Ubicación y protección de los equipos
- A.11.2.2 Servicios de suministro 8
- A.11.2.3 Seguridad del cableado
- A.11.2.4 Mantenimiento de equipos
- A.11.2.5 Retiro de activos
- A.11.2.6 Seguridad de equipos y activos fuera de las
instalaciones
- A.11.2.7 Disposición segura o reutilización de equipos
- A.11.2.8 Equipos de usuario desatendidos
- A.11.2.9 Política de escritorio limpio y pantalla
despejada
- A.11.1.1 ¿La organización define y usa perímetros de seguridad física para proteger las instalaciones
que procesan información crítica?
- A.11.1.2 ¿Las áreas seguras de la organización tienen implementados controles de acceso físico
apropiados y solo se permite el acceso a personal autorizado?
- A.11.1.3 ¿Qué tipo de seguridad física esta implementada en oficinas, recintos e instalaciones?
- A.11.1.4 ¿Se ha diseñado e implementado algún tipo de seguridad física como protección contra
desastres naturales, ataques maliciosos o accidentes?
- A.11.1.5 ¿La organización tiene guías, instructivos o procedimientos para trabajar en las áreas seguras?
- A.11.1.6 ¿Se controlan los puntos de acceso tales como áreas de despacho y carga?
- A.11.2.1 ¿Se protegen los equipos de amenazas y peligros del entorno y se ubican de tal modo para
evitar el riesgo de acceso no autorizado?
- A.11.2.2 ¿Los equipos están protegidos contra fallas en el suministro de energía?
- A.11.2.3 ¿El cableado de energía eléctrica y de telecomunicaciones que porta datos o brinda soporte a
los servicios de información, están protegidos contra interceptación, interferencia o daño?
- ¿Los cuartos de racks o centros de cableado están protegidos contra acceso físico y lógico no autorizado,
interceptaciones, interferencias o daños?
- A.11.2.4 ¿Se cuenta con un programa de mantenimiento preventivo y correctivo para las estaciones de
trabajo?
- A.11.2.5 ¿La organización controla el retiro no autorizado de los equipos, el software o la información?
- A.11.2.6 ¿Fuera de las instalaciones de la organización se aplican medidas de seguridad a los activos?
- A.11.2.7 ¿Se hace disposición segura de medios de almacenamiento antes de su reúso?
- A.11.2.8 ¿Los equipos desatendidos se bloquean para impedir el uso no autorizado?
- A.11.2.9 ¿La organización tiene implementada una política de escritorio limpio para los papeles y medios
removibles?
¿La organización tiene implementada una política de pantalla limpia en las estaciones de trabajo?
FORTALEZAS

- A.11.1.1 La organización tiene establecidos perímetros de seguridad física para el centro de datos alterno
ubicado en la Av. Cra. 68, al igual que el del proveedor IFX para el centro de datos principal, ambos sitios
con un área de recepción de vigilancia que controla el acceso físico a las edificaciones que está
restringido a personas debidamente autorizadas y protegidos contra contaminación ambiental e
incendios, con alarmas y monitoreo continuo.
- A.11.1.2 Las áreas seguras de la organización como son los centros de datos principal y alterno tienen
implementados controles biométricos para el acceso físico y los funcionarios, contratistas o visitantes
deben portar la identificación que los acredita como tal en un lugar visible; los centros de cableado o
cuartos de rack tienen puertas con cerraduras y llave. Adicionalmente en los centro de datos se lleva un
registro de las personas que han sido previamente autorizadas para entrar.
- A.11.1.3 La organización mantiene de manera discreta los centros de datos y las oficinas de la DIT, sin
señales obvias externas o internas de tal manera que las actividades de procesamiento de información
se mantienen reservadas y son de conocimiento solo para las personas que lo deben conocer.
- A.11.1.4 La organización a través del eje ambiental y SYSO controlan el tema de desastres naturales y
accidentes; en cuanto al tema de disturbios civiles y seguridad física cuentan con un servicio de vigilancia
privada prestado por un tercero; en los centros de datos se tienen sistemas de extinción de incendios
automatizados de zona cruzada y en otras áreas como la bodega se mantienen extintores debidamente
revisados y mantenidos al día.
- A.11.2.1 Los equipos asignados al personal son ubicados en oficinas que cuentan con video vigilancia,
están debidamente identificados como activos físicos, con directrices claras acerca de no comer o beber
cerca a los equipos de cómputo, están conectados a una red regulada que impide fallas por energía, y
puesta a tierra que los protege contra descargas eléctricas atmosféricas.
- A.11.2.2 La organización cuenta con redundancias para fallas por servicios de suministro de energía
como son: transferencia manual de energía, planta eléctrica, UPS, cableado eléctrico para energía
regulada y no regulada, se evalúan planificada mente en cuanto a su capacidad y se inspeccionan para
asegurar su funcionamiento, se cuentan con alarmas para detectar si hay mal funcionamiento.
- A.11.2.3 La organización tiene un cableado estructurado implementado y en uso tanto en la sede de la
Av. Cra. 68 como en la sede de la Calle 56, con canaleta metálica que sirve de soporte para dicho
cableado y con la aplicación de buenas prácticas en el mismo.
- A.11.2.4 La organización cuenta con un programa de mantenimiento preventivo de planificación anual y
correctivo bajo demanda cuando así se requiera.
- A.11.2.5 La organización permite el retiro de equipos, información o software siempre y cuando sea para
la continuación de actividades que tienen un desarrollo planeado como es el caso de los Ingenieros
desarrolladores de software o algunos responsables autorizados por el DIT.
- A.11.2.6 Los equipos fuera de las instalaciones del ICBF cuentan con cifrado de disco duro a través de
la utilidad de Windows BITLOCKER y además se adquiere un seguro contra robo en caso de que se
llegare a presentar.
- A.11.2.7 La organización a través de la mesa de servicios asigna un ticket ya sea para una reasignación
del equipo a un funcionario o para dar de baja el mismo, se diligencia el formato de devolución de
elementos y el de traslado de elementos devolutivos, por último el eje ambiental se encarga de hacer
una disposición segura del equipo.
- A.11.2.8 La organización tiene una política de usuarios desatendidos que concientiza al usuario final a:
terminar las sesiones activas cuando haya finalizado sus actividades diarias, a menos que se asegure
de aplicar el bloqueo apropiado y así evitar el uso no autorizado.
- A.11.2.8 La organización tiene una política de escritorio limpio para la información contenida en papel
que es clasificada como sensible incluyendo a los medios removibles que puedan transportarla
indicándoles a los usuarios finales que debe estar guardada bajo llave cuando no se requiera; en caso
de las pantallas limpias de las estaciones de trabajo solo deben aparecer los iconos autorizados para su
uso.
- A.11.1.6 La organización tiene un área destinada para carga y despacho ubicada en la sede de la Av.
Cra. 68 donde se implementa el procedimiento de ingreso de bienes muebles al almacén y dentro de la
bodega existe una zona de almacenamiento de T.I.C., pero por su ubicación no alcanza a estar dentro
del alcance de CCTV y adicionalmente no cuenta con extintores especiales para este tipo de mercancías.

NUMERAL
(número)
CONTROL
Se evidencia que en la organización la dirección administrativa (parte
eléctrica) y la DIT (parte de datos) comparten actividades de trabajo en
las áreas seguras que son: Centro de datos alterno, centros de cableado
o cuartos de rack.
Evidencia: Dichas áreas trabajan sin supervisión la una de la otra lo que
puede afectar el servicio al usuario final, ya que se encontró una sección
de canaleta destapada con toma eléctrica que alimenta un rack por el piso
falso en el centro de datos alterno; adicionalmente se encuentra un
barraje de tierras expuesto sin seguridad o señalamiento; el anterior
proveedor INDRA dejo una fibra óptica cortada encima de un rack; los
racks cuentan con redundancia de circuitos a la misma UPS lo cual
establece un único punto de falla.
En el centro de datos principal se encontraron elementos como:
sopladora, caja de herramientas que contenía varios cd y disco externo,
patch cord de fibra, cables eléctricos y un teléfono en el rack 28;
Adicionalmente en el rack 29 se encontraron fibras instaladas que
descansan en la parta posterior del hardware a la salida del aire caliente
lo que las mantenía en una temperatura muy alta y no permitida por el
fabricante pudiendo ocasionar fallas en las comunicaciones unificadas;
sensores ubicados cerca a las salidas del aire acondicionado lo que
puede ocasionar lecturas equivocadas de temperatura y humedad y no
5 Mayor A.11.1.5 reflejar el estado real de los racks; por último el rack 27 de propiedad del
proveedor IFX donde se encuentra el Core de comunicaciones del ICBF
que fue otorgado como valor agregado pero dicho espacio físico esta
compartido con otro cliente lo que puede ocasionar fallas asociadas a
error humano ya sea intencionado o no.
En los centros de cableado o cuartos de racks se mantiene equipos para
disposición final y desechos de cartón, papel y divisiones modulares; los
patch cord están desordenados y no se encuentran organizados a través
de patch paneles; los patch cord no están etiquetados; los rack están en
su capacidad máxima y hay equipos encima del mismo; el tablero de
energía regulada se encuentra en el baño público de hombres y está sin
seguro(primer piso - norte y piso 3 - norte); el rack utiliza para su conexión
de energía regulada una multitoma (primer piso – primera infancia); se
encuentran tableros eléctricos sin identificación de circuitos (piso 2 – sur);
se encontraron tableros eléctricos sin sus respectivas tapas y estas
estaban en el piso (piso 3 – norte); el cuarto de rack del piso 2 – dirección
la puerta de entrada no tiene como ajustar la cerradura y por ende no se
puede aplicar el seguro quedando abierta y además tienen un módulo de
vidrio guardado como si fuera bodega de almacenaje; ninguno de los
centros de cableado cuentan con una refrigeración adecuada que
permitan mantener las condiciones de temperatura y humedad solicitada
por los fabricantes del hardware.
SGSI.

A.12 SEGURIDAD DE LAS OPERACIONES
- A.12.1.1 Procedimientos de operación documentados
- A.12.1.2 Gestión de cambios
- A.12.1.3 Gestión de capacidad
- A.12.1.4 Separación de los ambientes de desarrollo,
pruebas y operación
- A.12.2.1 Controles contra códigos maliciosos
- A.12.3.1 Respaldo de la información
- A.12.4.1 Registro de eventos 11
- A.12.4.2 Protección de la información de registro
- A.12.4.3 Registros del administrador y del operador
- A.12.4.4 Sincronización de relojes
- A.12.5.1 Instalación de software en sistemas operativos
- A.12.6.1 Gestión de las vulnerabilidades técnicas
- A.12.6.2 Restricciones sobre la instalación de software
- A.12.7.1 Controles de auditorías de sistemas de
información
- A.12.1.1 ¿La organización cuenta con procedimientos de la operación documentados y disponibles para
cuando se necesiten?
- A.12.1.2 ¿Se tiene implementado en la organización un proceso, política o procedimiento de gestión de
cambios?
- A.12.1.3 ¿Se tiene implementado en la organización un proceso, política o procedimiento de gestión de
capacidad?
- A.12.1.4 ¿Se ha implementado en la organización ambientes de redes lógicos para desarrollo, pruebas
y producción?
- A.12.2.1 ¿La organización tiene implementada una solución de control de códigos maliciosos?
- A.12.3.1 ¿Se tiene implementado el respaldo de la información para los aplicativos SIM y CUENTAME?
- A.12.4.1 ¿La organización conserva y revisa regularmente los registros de las actividades (logs) de los
usuarios en las aplicaciones SIM y CUENTAME, así como excepciones, fallas o eventos en el directorio
activo?
- A.12.4.2 ¿Se protege los registros de actividades (logs) contra alteración y uso no autorizado?
- A.12.4.3 ¿Las actividades (logs) del administrador y de los operadores del: directorio activo, sistemas
operativos de servidor, bases de datos, aplicaciones; se protegen y revisan con regularidad?
- A.12.4.4 ¿La organización tiene implementado el protocolo NTP y la sincronización de relojes?
- A.12.5.1 ¿Cómo controla la organización la instalación de software en las estaciones de trabajo?
- A.12.6.1 ¿La organización obtiene oportunamente información acerca de las vulnerabilidades técnicas
de su infraestructura tecnológica?
- A.12.6.2 ¿Qué política, procedimiento, guía o instructivo tiene la organización para restringir la instalación
de software por parte de los usuarios?
- A.12.7.1 ¿En la ejecución de las auditorias, las actividades que involucran la verificación de los sistemas
operativos es planeada y acordada cuidadosamente con el fin de minimizar las interrupciones en los
procesos del negocio?
FORTALEZAS
- A.12.1.1 La organización tiene documentadas las actividades operacionales que se ejecutan en los
procesos y están disponibles para cuando se necesiten, así como también todas aquellas actividades
asociadas al SGSI.
- A.12.1.4 La organización ha establecido e implementado ambientes de redes a través de VLANS para
desarrollo de software, pruebas y producción, con sus respectivas listas de control de acceso entre las
VLANS.
- A.12.4.4 La organización tiene implementado y funcionando el protocolo NTP en la red de tal manera
que se tienen sincronizados los relojes con el directorio activo y este a su vez con el instituto nacional de
metrología de Colombia que establece la hora legal para Colombia.
- A.12.5.1 La organización a través del directorio activo controla la instalación de software en las estaciones
de trabajo y a través de la gestión de cambios controla los cambios en el software operativo (patch
management), cambios en el software aplicativo SIM y CUENTAME, paquetes ofimáticos, entre muchos
otros necesarios para el desarrollo de las funciones de los funcionarios y contratistas.
- A.12.6.1 La organización ha gestionado técnicamente sus vulnerabilidades a través de un contrato con
un tercero que incluso fue más allá e implementaron PRUEBAS DE PENETRACION, donde en la fase
III realiza pruebas no intrusivas y se ven sus resultados en el numeral 3 de vulnerabilidades del informe
de plan de trabajo de pruebas de penetración; los ajustes asociados a las vulnerabilidades se consignan
en el formato de seguimiento plan de remediación servidores y aplicaciones más el seguimiento al plan
de remediación gestión de vulnerabilidades.

- A.12.1.2 La organización cuenta con un procedimiento de gestión de cambios y cambios de emergencia
que aplican a toda actividad que no sea estándar, pero en el objetivo del procedimiento no es explícito y
además se deben revisar las definiciones del numeral 7.
- A.12.1.3 La organización cuenta con un plan de gestión de capacidad que aún no se ha normalizado o
codificado de acuerdo a lo establecido por gestión documental.
- A.12.3.1 La organización a través de los procedimientos: gestión de copias de seguridad y gestión
restauración copias de seguridad, más la guía de etiquetado de medios de copias de respaldo, respalda
la información de sus aplicaciones SIM y CUENTAME a través de la solución Networker – EMC2, pero
no se ha agregado en el procedimiento copias de seguridad una sección asociada a la prueba del medio
una vez realizada la copia y la solución si lo hace.
- A.12.4.1 La organización a través de un proceso local copia los logs de los servidores y aplicaciones SIM
y CUENTAME a una carpeta en red, que luego pasa a cinta en un intervalo planificado semanal, pero
para evitar la modificación no autorizada o perdida de la integridad de los mismos no aplica ninguna
estrategia como la suma de comprobación HASH o cualquier otra que mitigue esta amenaza.
- A.12.6.2 La organización debería en el manual de políticas establecer unas directrices más fuertes con
relación a la instalación de software no autorizado y que viola los derechos de autor; con el fin de
desalentar a los usuarios finales y concienciarlos en la importancia de cumplir esta política.
- A.12.7.1 La organización debería establecer controles sobre las auditorías a los sistemas de información
SIM y CUENTAME, específicamente: requisitos de auditoria para acceso a sistemas y datos, alcance de
las pruebas técnicas de auditoria (acceso a software y datos únicamente de lectura), acceso a los logs
de auditoria para trazabilidad, entre muchas otras.

NUMERAL
(número)
CONTROL
Se evidencia que la organización tiene implementado McAfee Enterprise
para servidores y estaciones de trabajo.
6 Menor A.12.2.1 Evidencia: Se encontraron 8 servidores Windows y 238 estaciones de
trabajo con la versión de agente de red desactualizado como también el
archivo DAT desactualizado.
Se evidencia que los logs de los servidores y aplicaciones SIM y
CUENTAME se protegen como indica el control A.12.4.1
7 Menor A.12.4.2 Evidencia: Los archivos de logs resguardados como indica el control
A.12.4.1 no se protege su integridad y pueden ser fácilmente alterados:
registros editados o eliminados.
Se evidencia que los logs de las actividades del administrador y los
operadores se revisan y protegen como indica el control A.12.4.1
Evidencia: en revisión del log de “domain admins” hay 300 usuarios con
este rol y que en el log de “sysadmins” existen más de 36 usuarios con
8 Menor A.12.4.3
este rol; Usuarios del directorio activo con estos roles pueden tener
privilegios que afecten la operación de los servicios de SIM y CUENTAME
que aún no han sido aprovechados, pro que evidentemente dejan una
gran vulnerabilidad a nivel de directorio activo y aplicaciones.
SGSI.

A.13 SEGURIDAD DE LAS COMUNICACIONES
- A.13.1.1 Controles de redes
- A.13.1.2 Seguridad de los servicios de red
- A.13.1.3 Separación en las redes
- A.13.2.1 Políticas y procedimientos de transferencia de
información 13
- A.13.2.2 Acuerdos sobre transferencia de información
- A.13.2.3 Mensajería electrónica
- A.13.2.4 Acuerdos de confidencialidad o de no
divulgación
- A.13.1.1 ¿De qué manera se gestionan y controlan las redes para proteger la información de las
aplicaciones SIM y CUENTAME?
- A.13.1.2 ¿Qué controles de seguridad y niveles de servicio están acordados para los servicios que
actualmente se prestan en la red ya sean prestados internamente o contratados externamente?
- A.13.1.3 ¿Los servicios de red, los usuarios y las aplicaciones SIM y CUENTAME, tienen redes
separadas para el préstamo de sus servicios?
- A.13.2.1 ¿La organización cuentan con políticas o procedimientos para la transferencia de información?
- A.13.2.2 ¿Actualmente la organización tiene directrices para acuerdos con terceras partes sobre
transferencia de información?
- A.13.2.3 ¿La organización cuenta con un servicio de mensajería electrónica?
- A.13.2.4 ¿La organización tiene firmados con sus funcionarios, contratistas o proveedores acuerdos de
confidencialidad o de no divulgación?
FORTALEZAS
- A.13.1.1 La organización tiene establecidas responsabilidades para los administradores de la red,
administradores del directorio activo (servidores), administradores de bases de datos y administradores
de las aplicaciones SIM y CUENTAME; Las funciones de cada una de estas administraciones esta
segregada. Se tiene separadas las redes de producción de las redes públicas (DMZ) y de las redes
inalámbricas. Se salvaguardan los logs de acuerdo a lo indicado en el control A.12.3.1 y las aplicaciones
SIM y CUENTAME son autenticadas en el directorio activo el cual gestiona el control de acceso de los
usuarios.
- A.13.1.2 La organización tiene implementado un firewall interno para controlar las conexiones entre las
diferentes redes y hacia las aplicaciones SIM y CUENTAME; Los portales web de SIM y CUENTAME
tienen implementados certificados digitales que aplican técnicas de cifrado para el canal de comunicación
entre el cliente y el servidor; y se utilizan VPNs para permitir el acceso remoto desde diferentes lugares
con el fin de realizar actividades asociadas al Core del negocio. También se cuenta con ANS (Acuerdos
de niveles de servicios) pactados con los proveedores que actualmente se están cumpliendo para SIM y
los canales de comunicaciones de nivel ORO, con excepción de CUENTAME que no se cumple por
factores internos ajenos al contratista.
- A.13.1.3 Para cada uno de los servicios de red como el correo electrónico, las comunicaciones unificadas,
las aplicaciones y la gestión de usuarios se cuentan con redes virtuales (VLAN) con direccionamiento de
red independiente y con un Core de capa 3 que permite enrutar las comunicaciones entre todos ellos con
un firewall interno que filtra el acceso e impide conexiones no autorizadas.
- A.13.2.1 La organización cuenta con procedimientos para la detección y protección contra el software
malicioso cuando es transmitida información mediante mensajería electrónica, usa técnicas criptográficas
para proteger la confidencialidad, integridad y disponibilidad de la información (firewall, VPNs,
Certificados Digitales, Firmas Digitales), además tiene en cuenta los requisitos legales pertinentes para
los servicios de transferencia de información (ley 527 de 1999).
- A.13.2.2 La organización tiene directrices en el manual de políticas de seguridad de la información para
los acuerdos de transferencia segura de información entre los cuales está: la utilización de firmas digitales
para asegurar trazabilidad y no repudio, el uso de un sistema de etiquetado acorde a la información que
se transmite, niveles de control de acceso ya sea para los usuarios (políticas de directorio activo) o para
las redes (firewall, VPNs, Certificados Digitales) y para los medios físicos en tránsito la utilización de los
controles físicos necesarios como empaquetado especial que los proteja del electromagnetismo,
precintos de seguridad, maletines de transporte de medios con protección especial entre muchos otros.
- A.13.2.3 La organización tiene implementada la solución de correo electrónico Exchange como parte de
un plan de office 365, servicio hospedado y gestionado directamente por Microsoft.
- A.13.2.4 La organización para los contratistas directos a través de los contratos de prestación de servicios
establece una cláusula de confidencialidad y no divulgación de información clasificada del ICBF, pero
esta no existe para los funcionarios en sus resoluciones de nombramiento. Además dichos acuerdos de
confidencialidad y no divulgación no deberían ser genéricos ya que cada uno tiene responsabilidades y
funciones propias a su cargo y/o rol que hacen que dichos acuerdos sean individuales.

NUMERAL
(número)
CONTROL
- - - No Aplica
SGSI.
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE
SISTEMAS
- A.14.1.1 Análisis y especificación de requisitos de
seguridad de la información
- A.14.1.2 Seguridad de servicios de las aplicaciones en
redes públicas
- A.14.1.3 Protección de transacciones de los servicios
de las aplicaciones
- A.14.2.1 Política de desarrollo seguro
- A.14.2.2 Procedimientos de control de cambios en
sistemas
- A.14.2.3 Revisión técnica de las aplicaciones después 14
de cambios en la plataforma de operación
- A.14.2.4 Restricciones en los cambios a los paquetes
de software
- A.14.2.5 Principios de construcción de los sistemas
seguros
- A.14.2.6 Ambiente de desarrollo seguro
- A.14.2.7 Desarrollo contratado externamente
- A.14.2.8 Pruebas de seguridad de sistemas
- A.14.2.9 Prueba de aceptación de sistemas
- A.14.3.1 Protección de datos de prueba
- A.14.1.1 ¿En los requisitos no funcionales se establecen requisitos asociados a la seguridad de la
información?
- A.14.1.2 ¿Las aplicaciones SIM y CUENTAME se protegen de actividades fraudulentas, disputas
contractuales y divulgación y modificación no autorizada en las redes públicas?
- A.14.1.3 ¿Las transacciones de las aplicaciones SIM y CUENTAME son protegidas para evitar
transmisión incompleta, enrutamiento errado, alteración de información no autorizada, divulgación no
autorizada y duplicación o reproducción de información no autorizada?
- A.14.2.1 ¿La organización cuenta con una política de desarrollo seguro?
- A.14.2.2 ¿La organización cuenta con un procedimiento de control de cambios para SIM y CUENTAME?
- A.14.2.3 ¿Cuándo se actualizan los sistemas operativos (patch management) se revisan las aplicaciones
SIM y CUENTAME desde el punto de vista técnico para garantizar su funcionalidad?
- A.14.2.4 ¿Se pueden modificar las aplicaciones SIM y CUENTAME sin restricciones?
- A.14.2.5 ¿Se cuenta con una metodología de desarrollo de sistemas basada en las mejores prácticas
asociadas a la seguridad de la información?
- A.14.2.6 ¿La organización tiene un ambiente para el desarrollo seguro para SIM y CUENTAME?
- A.14.2.7 ¿La organización tiene contratado externamente el desarrollo de software?
- A.14.2.8 ¿Para las aplicaciones SIM y CUENTAME se realizan pruebas de la funcionalidad de la
seguridad?
- A.14.2.9 ¿La organización ha establecido criterios y pruebas para la aceptación de SIM y CUENTAME?
- A.14.3.1 ¿Cómo seleccionan, protegen y controlan los datos usados para las pruebas?
FORTALEZAS

- A.14.1.1 La organización en el establecimiento de requisitos no funcionales, establece requisitos de
seguridad como autenticación de los usuarios; controles sobre ingreso, procesamiento y salida de datos;
registro de transacciones en la base de datos (auditoria transaccional); registro de uso de las interfaces
por parte de los usuarios (auditoria de usuarios), entre otras.
- A.14.1.2 Las aplicaciones SIM y CUENTAME en las redes públicas están protegidas a través de
certificados digitales para la comunicación entre cliente y servidor, más controles de seguridad en la
autenticación de usuarios, las modificaciones son autorizadas y probadas a nivel funcional y no funcional,
cuentan con un control de cambios muy exigente que incluye volver a la versión que se encontraba antes
del cambio.
- A.14.2.1 La organización a través del manual de políticas de la seguridad de la información establece
directrices como: tener un ambiente de desarrollo, una metodología que incluye seguridad para el ciclo
de vida de desarrollo de software (CMMI, SCRUMM), requisitos de seguridad a través de los requisitos
no funcionales, versionamiento, gestión de vulnerabilidades técnicas como SQL Injection, Cross Site
Scripting, entre muchas otras.
- A.14.2.2 La organización cuenta con un sistema de control de cambios robusto para la implementación
de SIM y CUENTAME que incluye: ejecutables, scripts de bases de daos, recursos, versionamiento, un
plan de pruebas, control de calidad, implementación, rollback en caso que el cambio no funcione y
remediación (implementación del backup tomado con anterioridad al cambio en caso de no
funcionamiento del rollback).
- A.14.2.3 La aplicación de parches (patch management) a los sistemas operativos se realiza en un
ambiente de pruebas al igual que las aplicaciones SIM y CUENTAME para verificar la funcionalidad
técnica de las mismas al cambiar el software de los sistemas operativos.
- A.14.2.4 Las aplicaciones SIM y CUENTAME solo se modifican con autorización y respaldados dichos
cambios en requisitos funcionales y no funcionales.
- A.14.2.5 La organización cuenta con una metodología de desarrollo que consta de las siguientes etapas:
análisis, desarrollo (pruebas unitarias), pruebas (funcionales y no funcionales), soporte (pruebas
integrales), pre-producción (pruebas de despliegue) y un estricto RFC como se comentó en el control
A.12.2.2
- A.14.2.6 la organización tiene un ambiente para el desarrollo de software (VLAN), aparte de los
ambientes de pruebas y producción y están controlados sus accesos por listas de control de acceso que
están configuradas en el Switch Core del ICBF
- A.14.2.7 Actualmente la organización no tiene contratado el desarrollo de software con terceros, es in-
house con contratistas directos y aunque se puede excluir este control existe un proyecto de traer una
fábrica de software con la cual se deberían establecer directrices claras como: acuerdos de
licenciamiento, requisitos contractuales para prácticas seguras de diseño, codificación y pruebas.
- A.14.2.8 Para SIM y CUENTAME las pruebas de la funcionalidad de la seguridad se realizan en el
ambiente de pruebas y están documentadas.
- A.14.2.9 La organización tiene ambientes de pruebas y de pre-producción donde verifican las
funcionalidades asociadas a la seguridad de la información y por último el despliegue del
software (deployment) en un ambiente controlado donde se establece la aceptación de los
cambios efectuados a SIM y CUENTAME.
- A.14.3.1 La organización utiliza datos de pruebas directamente tomados de las bases de datos de
producción y los dueños de los datos no han autorizado esta actividad, por lo tanto se debe realizar un
control de autorización sobre los datos de prueba o construirlos a partir de software especializado en
este tipo de actividades.

NUMERAL
(número)
CONTROL
Se evidencia que se utilizan certificados digitales en los portales web de
las aplicaciones SIM y CUENTAME.
Evidencia: a pesar que el canal de comunicación entre el cliente y el
9 Menor A.14.1.3
servidor está cifrado utilizando SSL, el mensaje que viaja dentro de este
canal va en texto plano y es susceptible de ataque “MAN IN THE
MIDDLE”.
SGSI.

A.15 RELACIONES CON LOS PROVEEDORES
- A.15.1.1 Política de seguridad de la información ara la
relación con los proveedores
- A.15.1.2 Tratamiento de la seguridad dentro de los
acuerdos con los proveedores
- A.15.1.3 Cadena de suministro de tecnología de 16
información y comunicación
- A.15.2.1 Seguimiento y revisión de los servicios de los
proveedores
- A.15.2.2 Gestión de cambios en los servicios de los
proveedores
- A.15.1.1 ¿La organización ha definido una política donde incluya una valoración de riesgos asociados
con el acceso de los proveedores a los activos de la organización y que haya sido documentada y
comunicada entre las partes?
- A.15.1.2 ¿La organización ha exigido contractualmente acuerdos de niveles de servicios (ANS) para la
prestación de servicios a través de terceras partes para SIM y CUENTAME?
- A.15.1.3 ¿Se valoran los riesgos de los proveedores asociados a la cadena de suministro de productos
y servicios TIC?
- A.15.2.1 ¿La organización hace seguimiento, revisa y audita planificadamente la prestación de servicios
de los proveedores?
- A.15.2.2 ¿La organización gestiona los cambios en la prestación del servicio por parte de los
proveedores?
FORTALEZAS
- A.15.2.1 La organización hace seguimiento a los niveles de desempeño y revisa los servicios prestados
por los proveedores a través de verificar el cumplimiento de los acuerdos de niveles de servicio pactados
para la infraestructura tecnológica, SIM y CUENTAME. Se revisó el plan de capacidad y se verificaron
los ANS pactados versus el cumplimiento real en la operación. (Ver A.12.2.3)
- A.15.2.2 La organización es consciente que cualquier cambio en la prestación del servicio por parte del
proveedor debe estar dentro de los parámetros o responsabilidades contractuales y se reflejan en los
ANS pactados que deben ser modificados teniendo en cuenta la criticidad de la información, sistemas de
información y la revaloración de los riesgos.
- A.15.1.3 La organización no tiene asignado un presupuesto para el SGSI, y los recursos necesarios para
su gestión son provistos indirectamente por los procesos que están dentro del alcance del sistema, por
tal motivo, Contratación y abastecimiento garantizan una gestión apropiada de la cadena de suministro
de TIC.
- A.15.1.1 La organización ha establecido e implementado una política para las relaciones con los
proveedores pero esta no incluye el manejo de incidentes y contingencias asociadas con el acceso de
los proveedores; la resiliencia y si son necesarias las disposiciones sobre recuperación y contingencias
para garantizar la disponibilidad de la información; la gestión de transición de la información durante el
periodo de transición de un proveedor a otro.

NUMERAL
(número)
CONTROL
Se evidencia que la organización tiene establecidos acuerdos de niveles
de servicio (ANS) para las aplicaciones SIM y CUENTAME.
Evidencia: en los contratos que soportan los ANS no se encuentra las
reglas de uso aceptable de la información, incluido el uso inaceptable; no
se especifica claramente cuáles son las políticas de seguridad de la
10 Menor A.15.1.2 información que le aplican directamente; como colaborar en la notificación
y remediación de incidentes; los requisitos de formación y toma de
conciencia; el derecho de auditar los procesos y controles de los
proveedores relacionados con el acuerdo; y la obligación de los
proveedores de entregar periódicamente un informe independiente sobre
la eficacia de los controles y el cumplimiento de los requisitos del SGSI.
SGSI.

A.16 GESTION DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN
- A.16.1.1 Responsabilidades y procedimientos
- A.16.1.2 Reporte de eventos de seguridad de la
información
- A.16.1.3 Reporte de debilidades de seguridad de la
información
- A.16.1.4 Evaluación de eventos de seguridad de la
17
información y decisiones sobre ellos.
- A.16.1.5 Respuesta a incidentes de seguridad de la
información
- A.16.1.6 Aprendizaje obtenido de los incidentes de
- A.16.1.7 Recolección de evidencia
- A.16.1.1 ¿La organización ha definido responsabilidades y procedimientos de gestión de incidentes de
- A.16.1.2 ¿La organización tiene provistos canales de comunicación para reportar eventos de seguridad
de la información?
- A.16.1.3 ¿La organización tiene provistos canales de comunicación para reportar debilidades de
- A.16.1.4 ¿La organización evalúa los eventos de seguridad de la información y toma decisiones para
clasificarlos como incidentes de seguridad de la información?
- A.16.1.5 ¿La organización da respuesta a los incidentes de seguridad de la información a través de
procedimientos documentados?
- A.16.1.6 ¿El conocimiento adquirido al resolver los incidentes de seguridad de la información son
documentados para reducir la probabilidad o impacto de incidentes futuros?
- A.16.1.7 ¿La organización tiene un procedimiento para la recolección de evidencias?
FORTALEZAS
- A.16.1.1 La organización ha establecido e implementado un procedimiento para la gestión de incidentes
de seguridad de la información con responsabilidades para el seguimiento, detección, análisis y reporte
de incidentes.
- A.16.1.2, A.16.1.3 La organización ha establecido para el reporte de eventos y de vulnerabilidades el
canal de comunicación correo electrónico.
- A.16.1.4 La organización evalúa los eventos de seguridad de la información utilizando la escala de
clasificación de eventos e incidentes y determina si los eventos reportados son incidentes de seguridad
de la información y los clasifican y priorizan para determinar el impacto y extensión del incidente.
- A.16.1.5 La organización da respuesta inmediata a los incidentes que afectan la disponibilidad, integridad
y confidencialidad de la información a través del procedimiento de incidentes de seguridad de la
información que tiene unas etapas bien definidas.
- A.16.1.7 La organización ha definido la recolección y preservación de evidencias de seguridad de la
información y está documentado en el procedimiento de gestión de incidentes de seguridad de la
información.
- A.16.1.6 La organización ha establecido una KDBM (Knowledge Data Base Management) – Base de
datos de conocimiento donde se registra el aprendizaje obtenido de los incidentes de seguridad de la
información y así reducir la posibilidad o el impacto de incidentes futuros, pero este aprendizaje también
debería incluir mecanismos que permitan cuantificar y hacer el seguimiento de todos los tipos, volúmenes
y costos de incidentes de seguridad de la información (GTC-ISO/IEC 27002, control A.16.1.6 – Guía de
Implementación)

NUMERAL
(número)
CONTROL
- - - No Aplica
SGSI.

A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE
LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO
- A.17.1.1 Planificación de la continuidad de la seguridad
de la información
- A.17.1.2 Implementación de la continuidad de la
18
- A.17.1.3 Verificación, revisión y evaluación de la
continuidad de la seguridad de la información
- A.17.2.1 Disponibilidad de instalaciones de
procesamiento de información
- A.17.1.1 ¿La organización ha determinado los requisitos para la continuidad de la seguridad de la
información en situaciones adversas como una crisis o desastre?
- A.17.1.2 ¿La organización he definido procedimientos y controles para asegurar la continuidad de la
seguridad de la información durante una situación adversa?
- A.17.1.3 ¿La organización revisa a intervalos planificados los controles implementados para la
continuidad de la seguridad de la información con el fin de garantizar que son eficaces ante una situación
adversa?
- A.17.2.1 ¿La organización cuenta con redundancias suficientes?
FORTALEZAS
- La organización ha superado las expectativas de esta cláusula con sus respectivos controles y ha
diseñado una solución orientada hacia la continuidad del negocio incluyendo TI; se sugiere revisar la
norma ISO/IEC 27031 que se enfoca solo en continuidad de TI, como una parte de la continuidad del
negocio (ISO/IEC 22301) y sobre todo que la seguridad de la información no se descuide aunque se
implemente continuidad.
- No Aplica

NUMERAL
(número)
CONTROL
- - - No Aplica
SGSI.

A.18 CUMPLIMIENTO
- A.18.1.1 Identificación de la legislación aplicable y de
los requisitos contractuales
- A.18.1.2 Derechos de propiedad intelectual
- A.18.1.3 Protección de registros
- A.18.1.4 Privacidad y protección de información de
datos personales 19
- A.18.1.5 Reglamentación de controles criptográficos
- A.18.2.1 Revisión independiente de la seguridad de la
información
- A.18.2.2 Cumplimiento con las políticas y normas de
seguridad
- A.18.2.3 Revisión del cumplimiento técnico
- A.18.1.1 ¿La organización ha identificado y documentado explícitamente los requisitos legales,
regulatorios, estatutarios y contractuales aplicables a los sistemas de información y a la propia
organización?
- A.18.1.2 ¿La organización he implementado procedimientos para asegurar el cumplimiento de los
requisitos legales, reglamentarios y contractuales con relación a los derechos de propiedad intelectual y
el uso de software patentado?
- A.18.1.3 ¿Se ha establecido un proceso formal para proteger los registros de la organización?
- A.18.1.4 ¿La organización asegura la privacidad y la protección de los datos personales como exige la
legislación?
- A.18.1.5 ¿La organización cumple los acuerdos de uso de los controles criptográficos identificados y su
reglamentación?
- A.18.2.1 ¿La organización ha revisado de manera independiente el SGSI?
- A.18.2.2 ¿Se verifica periódicamente el cumplimiento de las políticas de seguridad de la información en
los procesos que están dentro del alcance del SGSI?
- A.18.2.3 ¿Se verifican periódicamente los sistemas de información que están dentro del alcance del SGSI
para determinar el cumplimiento de las políticas de seguridad de la información?
FORTALEZAS
- A.18.1.1 La organización ha identificado, documentado explícitamente y mantiene actualizados los
requisitos legales, regulatorios, estatutarios y contractuales
- A.18.1.2 La organización en los contratos de prestación de servicio para los desarrolladores tiene
explicita una cláusula de propiedad intelectual a favor del ICBF con relación a los sistemas de información
desarrollados por ellos y solo les reconoce los derechos morales como creadores de las aplicaciones.
- A.18.1.3 La organización para proteger los registros de la operación y de los sistemas de gestión ha
implementado la ley general de archivo y tablas de retención documental.
- A.18.1.4 La organización protege la información relacionada con datos personales que son recopilados
y consultados a través de las aplicaciones SIM y CUENTAME y brinda privacidad a los mismos a través
de controles de acceso a la información.
- A.18.1.5 La organización ha identificado y documentado los controles criptográficos que utiliza en la
infraestructura tecnológica y las aplicaciones SIM y CUENTAME, y cumple con la legislación del país de
origen en cuanto a su uso apropiado ya sea a través de hardware o software.
- A.18.2.1 La organización ha revisado el SGSI de manera independiente con el fin de asegurar la
adecuación, conveniencia y eficacia del sistema. Este informe de auditoría interna hace parte integral de
dicha revisión.
- A.18.2.2 La Dirección de Información y Tecnología del ICBF, a través del equipo del SGSI verifica
constantemente la aplicación de la política de seguridad de la información, valora los riesgos y
oportunidades de los procesos que están dentro del alcance del SGSI con el fin de reducir efectos
indeseados e implementa planes de acción para cerrar las no conformidades.
- A.18.2.3 La organización ha diseñado e implementado una prueba de penetración que incluye análisis
de vulnerabilidades técnicas con el fin de garantizar que las aplicaciones SIM y CUENTAME cumplen
con las políticas del SGSI, se debería considerar incluir pruebas de penetración y análisis de
vulnerabilidades a los controles implementados del anexo A.
- No Aplica

NUMERAL
(número)
CONTROL
- - - No Aplica
SGSI.

Informe de Auditoria Interna SGSI

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Informe de Auditoria Interna SGSI

Enviado por

Direitos autorais:

Formatos disponíveis

INFORME DE AUDITORIA INTERNA

EMPRESA AUDITADA: INSTITUTO COLOMBIANO DE BIENESTAR

NORMA DE REFERENCIA: NTC ISO/IEC 27001:2013

OBJETIVOS DE LA AUDITORIA: VERIFICAR LA ADECUACIÓN, CONVENIENCIA

ALCANCE DE LA AUDITORIA: ICBF – SEDE NACIONAL – DIT

CRITERIOS DE AUDITORIA: NTC ISO/IEC 27001:2013, DOCUMENTACIÓN

AUDITOR S.G.S.I.: ING. JUAN CARLOS BARON RINCON

FECHA/S DE REALIZACIÓN: OCTUBRE 13 AL 16 Y 19 DE 2015

SECCION AUDITADA: ANEXO A (NORMATIVO)

FECHA DEL INFORME: OCTUBRE 30 DE 2015

CONCLUSIONES DE AUDITORIA: EL GRADO DE CONFORMIDAD CON

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

DESCRIPCION DEL NUMERAL O CONTROL DEL ANEXO A Nº HOJA

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

DESCRIPCION DEL NUMERAL O CONTROL DEL ANEXO A Nº HOJA

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

DESCRIPCION DEL NUMERAL O CONTROL DEL ANEXO A Nº HOJA

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

ING. JUAN CARLOS BARON RINCON – AUDITOR SGSI

Você também pode gostar