Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INFORME FINAL
AUDITORÍA DE GESTIÓN AL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
(Dominios A5 al A9 de la NTC 27001:2013)
Página
1. PLAN DE AUDITORÍA 5
4. CONCLUSIONES 35
5. RECOMENDACIONES 36
OBJETIVO GENERAL
OBJETIVOS ESPECÍFICOS
Verificar la existencia y cumplimiento de las Políticas de Seguridad de la Información al
Interior de las dependencias auditadas relacionadas con los dominios A5 al A9.
Verificar el estado en la implementación y/o aplicación de los controles, al interior de las
dependencias auditadas respecto de:
Política de la Seguridad de la Información (Dominio A.5 NTC-ISO/IEC 27001:2013)
Organización de la Seguridad de la Información. (Dominio A.6 NTC-ISO/IEC
27001:2013)
Seguridad de los Recursos Humanos. (Dominio A.7 NTC-ISO/IEC 27001:2013)
Gestión de Activos. (Dominio A.8 NTC-ISO/IEC 27001:2013)
Control de Acceso. (Dominio A.9 NTC-ISO/IEC 27001:2013)
Verificar la efectividad de los controles de los dominios A.5 al A.9 identificados para
asegurar la integridad, confidencialidad y disponibilidad de la información asociados a los
riesgos de seguridad de la información.
ALCANCE
Dominios A5 al A9, objetivos de control y controles en observancia de la norma NTC-
ISO/IEC 27001:2013, acorde con lo establecido en la Resolución 305 de 2008 de la
Comisión Distrital de Sistemas y demás normatividad aplicable a la fecha.
CRITERIOS
Resolución 305 de 2008 de la Comisión Distrital de Sistemas «Por la cual se expiden
políticas públicas para las entidades, organismos y órganos de control del Distrito Capital,
en materia de Tecnologías de la Información y Comunicaciones respecto a la planeación,
seguridad, democratización, calidad, racionalización del gasto, conectividad, infraestructura
de Datos Espaciales y Software Libre» en su capítulo segundo reglamenta que las
entidades distritales deben adoptar como marco de referencia para el desarrollo e
implementación del Sistema de Gestión de Seguridad de la Información las normas NTC-
ISO/IEC 27001 y la NTC-ISO/IEC 27002.
La Oficina de Control Interno remitió el informe preliminar de la Auditoría del SGSI a los
correos electrónicos de las áreas auditadas el día 11 de mayo de 2017 según memorando
CORDIS 2017IE8888 dando un plazo de 5 días, de acuerdo a lo establecido en el
procedimiento 71-P-02, para allegar las observaciones correspondientes. Teniendo en
cuenta que una vez transcurrido el término otorgado para dar respuesta, los auditados no
se pronunciaron sobre el informe preliminar, la Oficina de Control Interno da por entendido
que fue aceptado.
Producto del análisis y verificación documental por parte del equipo auditor, para cada una
de las Políticas de Seguridad de la Información de la Secretaría, se hizo la revisión para
constatar la alineación con los Dominios de la NTC-ISO-IEC 27001:2013 por parte de la
entidad, como se detalla en la siguiente tabla:
PSI3 La entidad protege la información creada, procesada, transmitida A.9 Control de acceso
o resguardada por sus procesos de negocio, con el fin de minimizar
impactos financieros, operativos o legales, que pueden ser causados por
las amenazas.
PSI6 La entidad está comprometida con proteger la información de los A.7 Seguridad de los recursos
riesgos que se derivan de la gestión de sus servidores públicos. humanos
PSI7 La entidad adopta mecanismos de autenticación para el acceso A.9 Control de acceso
y/o uso de los activos de información, los cuales son personales e
intransferibles. Los servidores públicos, terceros y contribuyentes son
responsables de tomar precauciones para mantener en secreto los medios
de autenticación.
PSI8 La entidad controles la gestión y operación de los activos de * N.A
información incluyendo; las tecnologías de información y comunicaciones
(TIC's), el ciclo de vida del software y monitorea su uso.
PSI9 La entidad establece cuales son los sistemas de información A.8 Gestión de activos
corporativos y sus respectivos propietarios los cuales asignan, modifican,
revocan y depuran los privilegios de accesos de los usuarios de manera
controlada.
PSI10 La entidad define el área responsable de autorizar la adquisición, A.6 Organización dela seguridad de la
instalación, cambio o eliminación de componentes de la plataforma información.
tecnológica (hardware y software)
PSI13 El acceso a los activos de información y a los recursos que A.8 Gestión de activos
intervienen en su tratamiento, depende de las funciones propias del cargo
o servicio contratado.
PSI14 La entidad exige a; funcionarios, contratistas y particulares que A.7 seguridad de los recursos
ejerzan funciones públicas, que apliquen todas las medidas a su alcance humanos
para que los activos de información mantengan su confidencialidad,
disponibilidad e integridad en cualquier media que estos se encuentren
El equipo auditor constató que para el segundo semestre de 2016 la SDH conformó un
equipo de trabajo con el objetivo de fortalecer el Sistema de Gestión de la Seguridad de
la Información para la entidad, equipo de trabajo que se asignó a la Subsecretaria
General.
El artículo 19° establece que los servidores públicos de la SDH deben participar
activamente en la implementación y mejora continua del Sistema Integrado de Gestión
de acuerdo con los lineamientos y metodologías suministradas por las diferentes
instancias de coordinación de la entidad.
Se evidenció en el acta del Comité SIG del 26 de enero de 2017 que a la Oficina Asesora
de Planeación y a la Subsecretaría General se les designó proyectar el acto
Control: Los deberes y áreas de responsabilidad en conflicto se deben separar para reducir
las posibilidades de modificación no autorizada o no intencional, o el uso indebido de los
activos de la organización.
Control: Se deberían mantener los contactos apropiados con las autoridades pertinentes.
Mediante memorando 2017IE6180 del 30 de marzo de 2017 la OACR informó que sólo
se cuenta con una matriz de riesgos inherentes de seguridad de la información para la
Finalmente durante la etapa de ejecución del presente informe se observó que mediante
Resolución SDH-000080 del 24 de abril de 2017, la Secretaría de Hacienda adoptó la
Política integral de Administración de Riesgos y las "Políticas complementarias para la
Gestión del Riesgo Operacional”. documento en el cual se establecen las políticas,
estrategias y recursos para la administración de riesgos y las sanciones por el
incumplimiento de las mismas, así mismo se contemplan diferentes tipologías de riesgos
dentro de las cuales se incluyeron las de seguridad de la información.
A.6.2.2 Teletrabajo.
A.7.1.1 Selección.
El equipo auditor realizó la revisión al listado de Usuarios de Red entregado por la DIT
en memorando 2017IE6344 y tomó un muestreo selectivo de 12 registros identificados
como pasantes como se muestra en la tabla 2,cotejando contra las bases de datos
suministradas por la Dirección de Gestión Corporativa no se encontraron registrados en
estas. Al indagar el equipo auditor con la DGC sobre la situación evidenciada,
respondieron no tener conocimiento de la vinculación de este grupo de personas en la
Secretaría.
Control: Los acuerdos contractuales con empleados y contratistas, deberían establecer sus
responsabilidades y las de la organización en cuanto a la seguridad de la información
Se evidenció que los servidores públicos que ingresan a la entidad deben firmar un
compromiso de confidencialidad como requisito para la posesión del cargo, igualmente
a los contratistas tienen cláusulas para este fin los acuerdos contractuales como pudo
ser evidenciado por el equipo auditor, para tal efecto se consultó el Sistema Electrónico
para la Contratación Estatal – SECOP, y se efectuó un muestreo no estadístico de diez
(10) contratos celebrados por la entidad, en los cuales se pudo comprobar que cuentan
con una cláusula de confidencialidad de la información de la SHD, tal como se observa
en la cláusula No 27 de la imagen extractada de uno de los contratos revisados (170043-
0-2017):
Adicionalmente, la DIT reportó mediante correo del 27 de abril de 2017 que para el
contrato de outsourcing con el proveedor de mesa ETB: 160270-0-2016 en el documento
de estudios previos, obligaciones Generales 6 cita: "Guardar total reserva de la
información que por razón del servicio y desarrollo de sus actividades obtenga. Esta es
En la reunión realizada el día 25 de abril de 2017 con la DIT el equipo auditor consultó
la forma como los directivos de dicha dirección asegura que los colaboradores estén
debidamente informados sobre sus roles y responsabilidades de seguridad de la
información, indicando que se dan a conocer los roles y responsabilidades antes de que
se les otorgue el acceso a la información o sistemas de información confidenciales como
es el caso de los diseñadores de software
Respecto a este control, el equipo de auditor aplicó una encuesta de cinco preguntas (4
cerradas y 1 abierta) a 37 funcionarios de las áreas auditadas de diferentes cargos
(auxiliar, técnico, profesional), con el objetivo de establecer el grado de conocimiento y
apropiación de los encuestados sobre el SGSI al interior de la entidad y como aplican la
seguridad en sus labores diarias , producto de la tabulación y análisis de las encuestas
se presentan los siguientes resultados:
Se observó que el 92% de los encuestados respondió que aplica las políticas de
seguridad de la Información y el 8% no.
Se observó que el 76% de los encuestados respondió que sí conoce las políticas de
seguridad de la Información y el 13% no y un 11% restante no sabe/no responde.
Control: Se debe contar con un proceso formal, el cual debe ser comunicado, para
emprender acciones contra empleados que hayan cometido una violación a la seguridad de
la información.
Se observó que la Secretaria Distrital de Hacienda tiene documentada la caracterización
del proceso CPR-56 Investigaciones Disciplinarias, dentro de la cual se establece que
existen dos clases de procedimientos; Procedimiento Disciplinario Ordinario (56-P-01)
Sede Administrativa: Carrera 30 Nº 25-90 -
Código Postal 111311
Dirección de Impuestos de Bogotá:
Avenida Calle 17 Nº 65B-95 -
Código Postal 111611
Teléfono (571) 338 5000 • Línea 195
contactenos@shd.gov.co
• Nit. 899.999.061-9
Bogotá, Distrito Capital - Colombia
Procedimiento Disciplinario Verbal (56-P-02) y en el nomograma la referenciación de
la Ley 734 de 2002, así las cosas el equipo auditor procedió a verificar dicha norma
encontrando el ámbito de aplicación legal a utilizar en el caso de afectación de la
seguridad de la información de la entidad, de lo cual resalta el artículo 48° los numerales
1 y 43 que indican:
Artículo 48. Son faltas gravísimas las siguientes:
1. Realizar objetivamente una descripción típica consagrada en la ley como delito sancionable a título de
dolo, cuando se cometa en razón, con ocasión o como consecuencia de la función o cargo, o abusando
del mismo...
43. Causar daño a los equipos estatales de informática, alterar, falsificar, introducir, borrar, ocultar o
desaparecer información en cualquiera de los sistemas de información oficial contenida en ellos o en
los que se almacene o guarde la misma, o permitir el acceso a ella a personas no autorizadas.
(Subrayado y resaltado por el equipo auditor)
Así mismo se indicó que se hace uso del sistema SID 3 (Sistema de Información
Disciplinario del Distrito Capital -http://www.alcaldiabogota.gov.co/SID3/portal/index.jsp)
el cual es de uso exclusivo para los funcionarios de la Oficina de Control Disciplinario;
y se utiliza para subir la información de los procesos disciplinarios.
Así mismo se pudo evidenciar que existe un inventario de activos de información, que se
encuentra publicado en el portal web de la entidad en el siguiente link:
http://www.shd.gov.co/shd/node/21000
Dentro de este link se observó que hay un archivo en formato Excel con el nombre
Inventario Activos Datos e Información.xlsx y se indica que la fecha del documento es
del Jueves, Marzo 19, 2015. En este sentido, se recomienda realizar la respectiva
actualización.
Control: Todos los empleados y usuarios de partes externas deben devolver todos los
activos de la organización que se encuentren a su cargo, al terminar su empleo, contrato o
acuerdo.
Se evidenció que mediante el centro Web de Contenidos WCC (Web Content Center)
se está realizando la migración de imágenes que permita digitalizar e indexar los
documentos de las diferentes áreas de la entidad, entre otros, para lo cual fue necesario
establecer controles para el autenticación de usuarios y contraseña, creando grupos de
usuarios de acuerdo a las series documentales. Igualmente el equipo auditor evidenció
que el sistema permite la generación de reportes de auditoría donde se visualizan
acciones ejecutadas por los funcionarios con la información dentro de la herramienta.
Durante la reunión con la Oficina de Control Disciplinario Interno del 4 de abril de 2017
señaló que en el marco del WCC se están digitalizando los expedientes, que obran como
segundo cuaderno de copias, (Contribución preventiva). La OCDI cuenta con un espacio
exclusivo para el ingreso de la información, contribuyendo a la política gubernamental
“Cero Papel” establecida en el Decreto Nacional Anti trámites 019 de 2012.
El equipo auditor verificó los soportes del proyecto de digitalización en WCC que está
adelantando la Oficina de Control Disciplinario Interno, respecto del cuaderno de copias
de todos los procesos disciplinarios (Art. 96 Ley 734 de 2002) que se iniciaron a partir
de enero de 2016 y planillas de reuniones que fueron remitidas mediante correo
electrónico el día 21 de abril al equipo auditor, observando la realización de 4 reuniones
entre la Subdirección de Gestión Documental y la Oficina de Control Disciplinario Interno
relacionadas con el proyecto WCC. Igualmente mantienen informes de entrega de
expedientes activos e inactivos de abogados de la OCDI a la Subdirección de Gestión
Documental para que fueran ingresados a la herramienta como se constató en los
soportes allegados.
Cada vez que se cumplía con la tarea de un ticket hasta la entrega de la documentación y su puesta en el sistema,
la oficina generaba otro ticket por mesa de servicio entregando las siguientes Cajas y carpetas para ser digitalizadas.
La evidencia quedaba contemplada en el Ticket asignado y terminaba con el documento subido al sistema
SGDEA".
Al respecto, el equipo auditor observó la copia de los soportes del ticket 43101, con
sus cajas y carpetas creadas en el sistema junto con las personas que intervinieron en
el proceso.
Por otra parte se evidenció que la Secretaría Distrital de Hacienda expidió la resolución
0064 del 7 de abril de 2017 “Por la cual se aprueba el Sistema Integrado de Conservación
– SIC de la Secretaria Distrital de Hacienda”. que tiene como finalidad garantizar la
conservación y preservación de cualquier tipo de información de la Entidad, manteniendo
atributos como unidad, integridad, autenticidad, inalterabilidad, originalidad, fiabilidad y
accesibilidad de toda la documentación de la entidad, tanto física como digital en todo
su ciclo de vida (art. 1 Acuerdo 006 de 2014 del Archivo General de la Nación).
Control: Los medios que contienen información se deben proteger contra acceso no
autorizado, uso indebido o corrupción durante el transporte.
Control: Se debe establecer, documentar y revisar una política de control de acceso con
base en los requisitos del negocio y de la seguridad de la información.
El equipo auditor en reunión con la DIT el día 25 de abril de 2017 consultó sobre el
proceso de asignación de usuarios en la entidad y la DIT indicó que los memorandos
que son remitidos con los usuarios creados mediantes solicitudes de creación (o tickets)
tienen adjunto un sobre sellado con los datos de usuario y clave asignados, situación
que fue evidenciada por los auditores.
Control: Los propietarios de los activos deben revisar los derechos de acceso de los
usuarios, a intervalos regulares.
El equipo auditor en reunión con la DIT el día 25 de abril de 2017 consultó sobre la forma
de verificar las asignaciones de privilegios periódicamente, para asegurar que no se
hayan obtenido privilegios no autorizados indicando esta Dirección que aunque se
Control: Se debe exigir a los usuarios que cumplan las prácticas de la organización para el
uso de información de autenticación secreta.
El equipo auditor efectuó una prueba del ingreso en el equipo de cómputo pccadse06041
conectado a la red corporativa de la entidad el día 17 de abril de 2017 resultando exitoso el
acceso como se observa en las siguientes imágenes:
Al realizar las pruebas de acceso por parte del el equipo auditor, utilizando el usuario y clave
que se encuentra adheridos en los portátiles ubicados en las salas de informática del
noveno piso, se observó que con la sesión iniciada dentro del equipo fue posible explorar
la red de la entidad como se muestra a continuación:
La sección 3.2 donde se definen los datos de entrada y salida de cada proceso; la
sección 3.3. Para identificar el análisis de impacto en el aplicativo definiendo qué
funcionalidades del aplicativo en producción, se ven afectadas por el desarrollo de la
nueva funcionalidad, con el fin de tomar las acciones pertinentes; la sección 3.4
identificado si la nueva funcionalidad impactará la funcionalidad de otros aplicativos o
requiere funcionalidades de ellos; la sección 4 para incluir los prototipos referenciados
en el numeral 3.2 definiendo las características de cada campo.
a) Usuario y PassWord ó
b) valida y autentica usuario en OIM y OID respectivamente.
Control: Los sistemas de gestión de contraseñas deben ser interactivos y deben asegurar
la calidad de las contraseñas.
Verificar la efectividad de los controles de los dominios A.5 al A.9 identificados para
asegurar la integridad, confidencialidad y disponibilidad de la información asociados
a los riesgos de seguridad de la información.
Las áreas auditadas cuentan con sistemas de control que les permite proveer un nivel
de seguridad a la información que se utilizan para el desarrollo de sus funciones
institucionales, controles que se implementaron en su momento para mitigar la
exposición a la perdida de información, en especial ante las amenazas del entorno en
que se procesa la información de la entidad.
5. RECOMENDACIONES
La matriz de activos de información que tiene la Secretaria debe ser actualizada bajo
la nueva estructura y siguiendo las indicaciones consignadas en el instructivo
“Clasificación de Activos de Información y Análisis de Riesgos en Seguridad de la
Información” 76-I-03 y en el numeral 10.2 del artículo 10° de la resolución 305 de
2008 vigente a la fecha del desarrollo de la auditoría que menciona lo siguiente:
Esta estrategia debe tener planes para cada una de las etapas de aprendizaje:
sensibilización (conocimiento básico), entrenamiento (habilidades), educación formal
y desarrollo profesional.
Verificar la pertinencia del software instalado en los equipos de cómputo, para evitar
riesgos de seguridad de la información, como son la vulneración de la propiedad
intelectual, descarga de software infectado con malware, filtraciones de información
y ataques de denegación de servicios (Denial of Services DoS)
Se recomienda realiza mesas de trabajo, con las áreas funcionales propietarias, para
establecer los controles, alertas necesarias para prevenir posibles fugas, perdidas y/o
modificaciones de la información por personal no autorizado.