Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Nº AUDITORIA: 1
FORTALEZAS: 86
NO CONFORMIDADES MAYORES: 1
NO CONFORMIDADES MENORES: 7
OPORTUNIDADES DE MEJORA: 13
CONTROLES EXCLUIDOS: 1
NÚMERO DE HOJAS: 20
FORTALEZAS
- A.5.1.2 El conjunto de políticas para la seguridad de la información en caso de que suceda un cambio
significativo en el contexto o en los requisitos y expectativas de las partes interesadas se actualizara.
Adicionalmente tienen un intervalo planificado para su revisión y de esta manera poder asegurar su
adecuación, conveniencia y eficacia continuas.
OPORTUNIDADES DE MEJORA
- No Aplica
OPORTUNIDADES DE MEJORA
- A.6.1.1 La alta dirección ha establecido roles y responsabilidades para la seguridad de la información a
través de la resolución 0268 que prácticamente están orientados a las direcciones de área del ICBF pero
estos no son los únicos roles y responsabilidades en un SGSI, se debería tener en cuenta el listado de
roles y responsabilidades del anexo B de la ISO/IEC 27003 y aunque la lista no es exhaustiva no deberían
olvidar los roles que están en el ICBF – DIT y que apoyan la seguridad de la información.
- A.6.1.5 La seguridad de la información no se ha integrado al método de gestión de proyectos de la
organización, para asegurar que los riesgos de la seguridad de la información se identifiquen y traten
como parte de un proyecto.
EXCLUSIONES
- A.6.2.2 La organización no aplica el libro blanco del teletrabajo y por tal motivo excluye este control en la
declaración de aplicabilidad.
FORTALEZAS
OPORTUNIDADES DE MEJORA
- No Aplica
FORTALEZAS
OPORTUNIDADES DE MEJORA
- No Aplica
FORTALEZAS
OPORTUNIDADES DE MEJORA
- No Aplica
A.10 CRIPTOGRAFIA
- A.10.1.1 Política sobre el uso de controles criptográficos 7
- A.10.1.2 Gestión de llaves
ASPECTOS A VERIFICAR
- A.10.1.1 ¿La organización tiene una política sobre el uso de controles criptográficos para la protección
de la información y además ha sido implementada?
- A.10.1.2 ¿En caso de utilizar firmas digitales y certificados digitales, como la organización usa, protege
y controla el tiempo de vida de las llaves criptográficas?
FORTALEZAS
- A.10.1.1 La organización tiene una política sobre el uso de los controles criptográficos que están
implementados en: dispositivos de hardware como es el firewall, switches que componen el Core, NAS
y en la solución de software ACTIVE DIRECTORY, además los utilizan en las aplicaciones SIM y
CUENTAME para el ingreso seguro a las aplicaciones y para cifrar la información que viaja en redes
públicas.
- A.10.1.2 La organización tiene implementados certificados digitales para los portales web que publican
información de SIM y CUENTAME y firmas digitales para evitar el no repudio, por tanto las llaves
criptográficas asociadas a dichas soluciones son gestionadas en parte por el proveedor certicamara
(generación, almacenamiento, distribución, retiro y destrucción de la llave publica) y la otra directamente
por la organización (almacenamiento de la llave privada)
OPORTUNIDADES DE MEJORA
- No Aplica
FORTALEZAS
OPORTUNIDADES DE MEJORA
- A.11.1.6 La organización tiene un área destinada para carga y despacho ubicada en la sede de la Av.
Cra. 68 donde se implementa el procedimiento de ingreso de bienes muebles al almacén y dentro de la
bodega existe una zona de almacenamiento de T.I.C., pero por su ubicación no alcanza a estar dentro
del alcance de CCTV y adicionalmente no cuenta con extintores especiales para este tipo de mercancías.
FORTALEZAS
- A.12.1.1 La organización tiene documentadas las actividades operacionales que se ejecutan en los
procesos y están disponibles para cuando se necesiten, así como también todas aquellas actividades
asociadas al SGSI.
- A.12.1.4 La organización ha establecido e implementado ambientes de redes a través de VLANS para
desarrollo de software, pruebas y producción, con sus respectivas listas de control de acceso entre las
VLANS.
- A.12.4.4 La organización tiene implementado y funcionando el protocolo NTP en la red de tal manera
que se tienen sincronizados los relojes con el directorio activo y este a su vez con el instituto nacional de
metrología de Colombia que establece la hora legal para Colombia.
- A.12.5.1 La organización a través del directorio activo controla la instalación de software en las estaciones
de trabajo y a través de la gestión de cambios controla los cambios en el software operativo (patch
management), cambios en el software aplicativo SIM y CUENTAME, paquetes ofimáticos, entre muchos
otros necesarios para el desarrollo de las funciones de los funcionarios y contratistas.
- A.12.6.1 La organización ha gestionado técnicamente sus vulnerabilidades a través de un contrato con
un tercero que incluso fue más allá e implementaron PRUEBAS DE PENETRACION, donde en la fase
III realiza pruebas no intrusivas y se ven sus resultados en el numeral 3 de vulnerabilidades del informe
de plan de trabajo de pruebas de penetración; los ajustes asociados a las vulnerabilidades se consignan
en el formato de seguimiento plan de remediación servidores y aplicaciones más el seguimiento al plan
de remediación gestión de vulnerabilidades.
OPORTUNIDADES DE MEJORA
FORTALEZAS
- A.13.1.1 La organización tiene establecidas responsabilidades para los administradores de la red,
administradores del directorio activo (servidores), administradores de bases de datos y administradores
de las aplicaciones SIM y CUENTAME; Las funciones de cada una de estas administraciones esta
segregada. Se tiene separadas las redes de producción de las redes públicas (DMZ) y de las redes
inalámbricas. Se salvaguardan los logs de acuerdo a lo indicado en el control A.12.3.1 y las aplicaciones
SIM y CUENTAME son autenticadas en el directorio activo el cual gestiona el control de acceso de los
usuarios.
- A.13.1.2 La organización tiene implementado un firewall interno para controlar las conexiones entre las
diferentes redes y hacia las aplicaciones SIM y CUENTAME; Los portales web de SIM y CUENTAME
tienen implementados certificados digitales que aplican técnicas de cifrado para el canal de comunicación
entre el cliente y el servidor; y se utilizan VPNs para permitir el acceso remoto desde diferentes lugares
con el fin de realizar actividades asociadas al Core del negocio. También se cuenta con ANS (Acuerdos
de niveles de servicios) pactados con los proveedores que actualmente se están cumpliendo para SIM y
los canales de comunicaciones de nivel ORO, con excepción de CUENTAME que no se cumple por
factores internos ajenos al contratista.
- A.13.1.3 Para cada uno de los servicios de red como el correo electrónico, las comunicaciones unificadas,
las aplicaciones y la gestión de usuarios se cuentan con redes virtuales (VLAN) con direccionamiento de
red independiente y con un Core de capa 3 que permite enrutar las comunicaciones entre todos ellos con
un firewall interno que filtra el acceso e impide conexiones no autorizadas.
- A.13.2.1 La organización cuenta con procedimientos para la detección y protección contra el software
malicioso cuando es transmitida información mediante mensajería electrónica, usa técnicas criptográficas
para proteger la confidencialidad, integridad y disponibilidad de la información (firewall, VPNs,
Certificados Digitales, Firmas Digitales), además tiene en cuenta los requisitos legales pertinentes para
los servicios de transferencia de información (ley 527 de 1999).
- A.13.2.2 La organización tiene directrices en el manual de políticas de seguridad de la información para
los acuerdos de transferencia segura de información entre los cuales está: la utilización de firmas digitales
para asegurar trazabilidad y no repudio, el uso de un sistema de etiquetado acorde a la información que
se transmite, niveles de control de acceso ya sea para los usuarios (políticas de directorio activo) o para
las redes (firewall, VPNs, Certificados Digitales) y para los medios físicos en tránsito la utilización de los
controles físicos necesarios como empaquetado especial que los proteja del electromagnetismo,
precintos de seguridad, maletines de transporte de medios con protección especial entre muchos otros.
- A.13.2.3 La organización tiene implementada la solución de correo electrónico Exchange como parte de
un plan de office 365, servicio hospedado y gestionado directamente por Microsoft.
OPORTUNIDADES DE MEJORA
- A.13.2.4 La organización para los contratistas directos a través de los contratos de prestación de servicios
establece una cláusula de confidencialidad y no divulgación de información clasificada del ICBF, pero
esta no existe para los funcionarios en sus resoluciones de nombramiento. Además dichos acuerdos de
confidencialidad y no divulgación no deberían ser genéricos ya que cada uno tiene responsabilidades y
funciones propias a su cargo y/o rol que hacen que dichos acuerdos sean individuales.
FORTALEZAS
OPORTUNIDADES DE MEJORA
- A.14.3.1 La organización utiliza datos de pruebas directamente tomados de las bases de datos de
producción y los dueños de los datos no han autorizado esta actividad, por lo tanto se debe realizar un
control de autorización sobre los datos de prueba o construirlos a partir de software especializado en
este tipo de actividades.
FORTALEZAS
- A.15.2.1 La organización hace seguimiento a los niveles de desempeño y revisa los servicios prestados
por los proveedores a través de verificar el cumplimiento de los acuerdos de niveles de servicio pactados
para la infraestructura tecnológica, SIM y CUENTAME. Se revisó el plan de capacidad y se verificaron
los ANS pactados versus el cumplimiento real en la operación. (Ver A.12.2.3)
- A.15.2.2 La organización es consciente que cualquier cambio en la prestación del servicio por parte del
proveedor debe estar dentro de los parámetros o responsabilidades contractuales y se reflejan en los
ANS pactados que deben ser modificados teniendo en cuenta la criticidad de la información, sistemas de
información y la revaloración de los riesgos.
- A.15.1.3 La organización no tiene asignado un presupuesto para el SGSI, y los recursos necesarios para
su gestión son provistos indirectamente por los procesos que están dentro del alcance del sistema, por
tal motivo, Contratación y abastecimiento garantizan una gestión apropiada de la cadena de suministro
de TIC.
OPORTUNIDADES DE MEJORA
- A.15.1.1 La organización ha establecido e implementado una política para las relaciones con los
proveedores pero esta no incluye el manejo de incidentes y contingencias asociadas con el acceso de
los proveedores; la resiliencia y si son necesarias las disposiciones sobre recuperación y contingencias
para garantizar la disponibilidad de la información; la gestión de transición de la información durante el
periodo de transición de un proveedor a otro.
FORTALEZAS
- A.16.1.1 La organización ha establecido e implementado un procedimiento para la gestión de incidentes
de seguridad de la información con responsabilidades para el seguimiento, detección, análisis y reporte
de incidentes.
- A.16.1.2, A.16.1.3 La organización ha establecido para el reporte de eventos y de vulnerabilidades el
canal de comunicación correo electrónico.
- A.16.1.4 La organización evalúa los eventos de seguridad de la información utilizando la escala de
clasificación de eventos e incidentes y determina si los eventos reportados son incidentes de seguridad
de la información y los clasifican y priorizan para determinar el impacto y extensión del incidente.
- A.16.1.5 La organización da respuesta inmediata a los incidentes que afectan la disponibilidad, integridad
y confidencialidad de la información a través del procedimiento de incidentes de seguridad de la
información que tiene unas etapas bien definidas.
- A.16.1.7 La organización ha definido la recolección y preservación de evidencias de seguridad de la
información y está documentado en el procedimiento de gestión de incidentes de seguridad de la
información.
OPORTUNIDADES DE MEJORA
- A.16.1.6 La organización ha establecido una KDBM (Knowledge Data Base Management) – Base de
datos de conocimiento donde se registra el aprendizaje obtenido de los incidentes de seguridad de la
información y así reducir la posibilidad o el impacto de incidentes futuros, pero este aprendizaje también
debería incluir mecanismos que permitan cuantificar y hacer el seguimiento de todos los tipos, volúmenes
y costos de incidentes de seguridad de la información (GTC-ISO/IEC 27002, control A.16.1.6 – Guía de
Implementación)
FORTALEZAS
- La organización ha superado las expectativas de esta cláusula con sus respectivos controles y ha
diseñado una solución orientada hacia la continuidad del negocio incluyendo TI; se sugiere revisar la
norma ISO/IEC 27031 que se enfoca solo en continuidad de TI, como una parte de la continuidad del
negocio (ISO/IEC 22301) y sobre todo que la seguridad de la información no se descuide aunque se
implemente continuidad.
OPORTUNIDADES DE MEJORA
- No Aplica
FORTALEZAS
- A.18.1.1 La organización ha identificado, documentado explícitamente y mantiene actualizados los
requisitos legales, regulatorios, estatutarios y contractuales
- A.18.1.2 La organización en los contratos de prestación de servicio para los desarrolladores tiene
explicita una cláusula de propiedad intelectual a favor del ICBF con relación a los sistemas de información
desarrollados por ellos y solo les reconoce los derechos morales como creadores de las aplicaciones.
- A.18.1.3 La organización para proteger los registros de la operación y de los sistemas de gestión ha
implementado la ley general de archivo y tablas de retención documental.
- A.18.1.4 La organización protege la información relacionada con datos personales que son recopilados
y consultados a través de las aplicaciones SIM y CUENTAME y brinda privacidad a los mismos a través
de controles de acceso a la información.
- A.18.1.5 La organización ha identificado y documentado los controles criptográficos que utiliza en la
infraestructura tecnológica y las aplicaciones SIM y CUENTAME, y cumple con la legislación del país de
origen en cuanto a su uso apropiado ya sea a través de hardware o software.
- A.18.2.1 La organización ha revisado el SGSI de manera independiente con el fin de asegurar la
adecuación, conveniencia y eficacia del sistema. Este informe de auditoría interna hace parte integral de
dicha revisión.
- A.18.2.2 La Dirección de Información y Tecnología del ICBF, a través del equipo del SGSI verifica
constantemente la aplicación de la política de seguridad de la información, valora los riesgos y
oportunidades de los procesos que están dentro del alcance del SGSI con el fin de reducir efectos
indeseados e implementa planes de acción para cerrar las no conformidades.
- A.18.2.3 La organización ha diseñado e implementado una prueba de penetración que incluye análisis
de vulnerabilidades técnicas con el fin de garantizar que las aplicaciones SIM y CUENTAME cumplen
con las políticas del SGSI, se debería considerar incluir pruebas de penetración y análisis de
vulnerabilidades a los controles implementados del anexo A.
OPORTUNIDADES DE MEJORA
- No Aplica