Auditoria Seguridad de La Información 2017

SECRETARÍA DISTRITAL DE HACIENDA
DESPACHO DEL SECRETARIO DE HACIENDA

OFICINA DE CONTROL INTERNO
INFORME FINAL
AUDITORÍA DE GESTIÓN AL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
(Dominios A5 al A9 de la NTC 27001:2013)
Bogotá D. C., ABRIL 2017
Sede Administrativa: Carrera 30 Nº 25-90 -

Código Postal 111311
Dirección de Impuestos de Bogotá:
Avenida Calle 17 Nº 65B-95 -
Teléfono (571) 338 5000 • Línea 195
contactenos@shd.gov.co
• Nit. 899.999.061-9
Bogotá, Distrito Capital - Colombia
Secretaria Distrital de Hacienda Distrital BEATRIZ HELENA ARBELÁEZ MARTÍNEZ
Jefe de la Oficina de Control Interno ALBERTO CASTIBLANCO BEDOYA
Jefe Oficina de Control Interno (e)
Equipo Auditor KITSON RICARDO CASTAÑO ESPINOSA
Profesional Especializado Código 222 Grado 27
Auditor Líder
JUAN ALBERTO JAMAICA OSPINA

Profesional Universitario Código 222 Grado 24
Auditor Interno
JHON ALEXANDER TORRES DUARTE

Profesional Universitario Código 219 Grado 18
Auditor Interno

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
CONTENIDO
Página
1. PLAN DE AUDITORÍA 5
2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA 6

AUDITORÍA
3. INFORME DE GESTIÓN Y RESULTADOS 3
4. CONCLUSIONES 35
5. RECOMENDACIONES 36

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
INTRODUCCIÓN
La Oficina de Control Interno, en desarrollo de lo previsto en los artículos 209 y 269 de la

Constitución Política, en la ley 87 de 1993 y demás normas que la complementan y
desarrollan, y de acuerdo con lo previsto en el Plan Anual de Auditoria para la vigencia
2017, realizó una auditoría de gestión al sistema de seguridad de la información (Dominios
A5 al A9 de la NTC 27001:2013).
Este documento, presenta el informe resultante de la auditoria mencionada previamente;

contiene aspectos administrativos, normativos y técnicos, que fueron detectados como
oportunidades de mejora por el equipo auditor con el ánimo de generar eficiencia en las
actividades que se ven involucradas en el procesamiento de la información de la Secretaria
de Hacienda Distrital que es susceptible de ser protegida.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
1. PLAN DE AUDITORÍA
OBJETIVO GENERAL
Verificar la integridad, confidencialidad y disponibilidad de la información de las

dependencias auditadas según Dominios A.5 al A.9, controles y objetivos de control, con
corte a la fecha.
OBJETIVOS ESPECÍFICOS
Verificar la existencia y cumplimiento de las Políticas de Seguridad de la Información al
Interior de las dependencias auditadas relacionadas con los dominios A5 al A9.
Verificar el estado en la implementación y/o aplicación de los controles, al interior de las
dependencias auditadas respecto de:
 Política de la Seguridad de la Información (Dominio A.5 NTC-ISO/IEC 27001:2013)
 Organización de la Seguridad de la Información. (Dominio A.6 NTC-ISO/IEC
27001:2013)
 Seguridad de los Recursos Humanos. (Dominio A.7 NTC-ISO/IEC 27001:2013)
 Gestión de Activos. (Dominio A.8 NTC-ISO/IEC 27001:2013)
 Control de Acceso. (Dominio A.9 NTC-ISO/IEC 27001:2013)
Verificar la efectividad de los controles de los dominios A.5 al A.9 identificados para
asegurar la integridad, confidencialidad y disponibilidad de la información asociados a los
riesgos de seguridad de la información.
ALCANCE
Dominios A5 al A9, objetivos de control y controles en observancia de la norma NTC-
ISO/IEC 27001:2013, acorde con lo establecido en la Resolución 305 de 2008 de la
Comisión Distrital de Sistemas y demás normatividad aplicable a la fecha.
CRITERIOS
Resolución 305 de 2008 de la Comisión Distrital de Sistemas «Por la cual se expiden
políticas públicas para las entidades, organismos y órganos de control del Distrito Capital,
en materia de Tecnologías de la Información y Comunicaciones respecto a la planeación,
seguridad, democratización, calidad, racionalización del gasto, conectividad, infraestructura
de Datos Espaciales y Software Libre» en su capítulo segundo reglamenta que las
entidades distritales deben adoptar como marco de referencia para el desarrollo e
implementación del Sistema de Gestión de Seguridad de la Información las normas NTC-
ISO/IEC 27001 y la NTC-ISO/IEC 27002.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
METODOLOGÍA
La auditoría se ejecutó de acuerdo con las normas de auditoría generalmente aceptadas y
el procedimiento 71-P-02 de auditoría de gestión establecido por la Oficina de Control
Interno de la Secretaría de Hacienda.
Las técnicas de auditoría utilizadas con las áreas auditadas, fueron entrevistas con
funcionarios, revisión de información, revisión documental, cruce de información, entre
otras, durante la ejecución de la misma, tomando selectivo (muestreo no estadísticas) para
verificación de controles, en puestos de trabajo del personal de las siguientes
dependencias: Dirección de Informática y Tecnología, Dirección de Gestión Corporativa,
Subdirección de Planeación e Inteligencia Tributaria, Oficina de Análisis y Control de
Riesgos y Oficina de Control Disciplinario Interno.
2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA AUDITORÍA
La auditoría fue incluida y aprobada en el Programa Anual de Auditorías aprobado por el

Comité de Control Interno el 2 de Febrero de 2017, y se tenía prevista como Auditoría de
Gestión al Sistema de Seguridad de la Información (Dominios A5 al A9 de la NTC
27001:2013) implementado y consolidado. No obstante, desde la etapa de preparación en
reuniones sostenidas con el Subsecretario General y el equipo de trabajo de Seguridad de
la Información realizaron las respectivas aclaraciones, indicando ellos que actualmente se
encuentra en etapa de diagnóstico para posterior implementación del Sistema de Seguridad
de la Información en la Secretaria, razón por la cual fue necesario ajustar el alcance de la
auditoría.
Por lo anterior, se hace la salvedad, que se concertó entre auditados y la oficina de control
interno que dadas las condiciones y el proceso que se está adelantando de elaboración
del diagnóstico, políticas de seguridad e identificación de riesgos, entre otros, en la
Secretaría Distrital de Hacienda, como resultado de la ejecución de la auditoría en el informe
se incluirán únicamente “Oportunidades de Mejora” y “Recomendaciones” en cumplimiento
del rol de “Asesoría” que compete a la Oficina de Control Interno.
Para la ejecución de la auditoría, se tenía previsto un plazo prudencial de ocho (8) semanas,
sin embargo, el desarrollo de la misma coincidió con vencimientos del Impuesto predial que
exigía dedicación exclusiva a varias Direcciones de la Secretaría, razón por la cual fue
necesario reprogramar (dos semanas después) la realización de las entrevistas.
Para la ejecución de la auditoría se realizó solicitud de información, a través de

memorandos a la Oficina de Planeación y la Dirección de Informática y Tecnología,
Subsecretaría General, Subdirección de Planeación e Inteligencia Tributaria Oficina de
Análisis y Control de Riesgos, Dirección de Gestión Corporativa, Análisis y Control de
Riesgos.
Adicionalmente el equipo auditor agendó reuniones con las áreas incluidas en el selectivo.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Los resultados del presente informe sólo se hacen referencia a los documentos y pruebas
realizadas y no se hacen extensibles a otros soportes.
La Oficina de Control Interno remitió el informe preliminar de la Auditoría del SGSI a los
correos electrónicos de las áreas auditadas el día 11 de mayo de 2017 según memorando
CORDIS 2017IE8888 dando un plazo de 5 días, de acuerdo a lo establecido en el
procedimiento 71-P-02, para allegar las observaciones correspondientes. Teniendo en
cuenta que una vez transcurrido el término otorgado para dar respuesta, los auditados no
se pronunciaron sobre el informe preliminar, la Oficina de Control Interno da por entendido
que fue aceptado.
3. INFORME DE GESTIÓN Y RESULTADOS.
Verificar la integridad, confidencialidad y disponibilidad de la información de las

dependencias auditadas según Dominios A.5 al A.9, controles y objetivos de control,
con corte a la fecha.
Producto del análisis y verificación documental por parte del equipo auditor, para cada una
de las Políticas de Seguridad de la Información de la Secretaría, se hizo la revisión para
constatar la alineación con los Dominios de la NTC-ISO-IEC 27001:2013 por parte de la
entidad, como se detalla en la siguiente tabla:
Tabla 1. Alineación de las Políticas de Seguridad de la Información de la Secretaría con

los Dominios A5 a A9 de la NTC-ISO-IEC 27001:2013.
POLITICA DE SEGURIDAD DE LA INFORMACION DE DOMINIO ISO 27001:2013

LA SDH
PSI1 Las responsabilidades frente a la seguridad de la información son A.6 Organización dela seguridad de la
definidas en el manual de funciones y/o en los documentos del Sistema información.
de Gestión de Calidad, son publicadas, divulgadas y formalmente
aceptadas por cada uno de los servidores públicos, proveedores y
terceros.
PSI2 La entidad establece roles y responsabilidades para el gobierno, A.6 Organización dela seguridad de la
la gestión, administración y operación de la seguridad de la información. información.
PSI3 La entidad protege la información creada, procesada, transmitida A.9 Control de acceso
o resguardada por sus procesos de negocio, con el fin de minimizar
impactos financieros, operativos o legales, que pueden ser causados por
las amenazas.
PSI4 La entidad protege las actives de información y vela por la

efectividad de los mecanismos de control de acceso físico que aseguren * N.A
las instalaciones en todas sus sedes

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
POLITICA DE SEGURIDAD DE LA INFORMACION DE DOMINIO ISO 27001:2013
LA SDH
PSI5 La entidad clasifica su información de acuerdo a las normas A.8 Gestión de activos
aplicables y define procedimientos e instructivos que le permitan a los
propietarios de la información, que la cataloguen y determinen los
controles requeridos para su protección.
PSI6 La entidad está comprometida con proteger la información de los A.7 Seguridad de los recursos
riesgos que se derivan de la gestión de sus servidores públicos. humanos
PSI7 La entidad adopta mecanismos de autenticación para el acceso A.9 Control de acceso
y/o uso de los activos de información, los cuales son personales e
intransferibles. Los servidores públicos, terceros y contribuyentes son
responsables de tomar precauciones para mantener en secreto los medios
de autenticación.
PSI8 La entidad controles la gestión y operación de los activos de * N.A
información incluyendo; las tecnologías de información y comunicaciones
(TIC's), el ciclo de vida del software y monitorea su uso.
PSI9 La entidad establece cuales son los sistemas de información A.8 Gestión de activos
corporativos y sus respectivos propietarios los cuales asignan, modifican,
revocan y depuran los privilegios de accesos de los usuarios de manera
controlada.
PSI10 La entidad define el área responsable de autorizar la adquisición, A.6 Organización dela seguridad de la
instalación, cambio o eliminación de componentes de la plataforma información.
tecnológica (hardware y software)
PSI11 La entidad dispone de procedimientos y canales de *N.A

comunicación para que los servidores públicos, proveedores, terceros y
ciudadanos cumplan su obligación de reportar incidentes y anomalías, que
permitan una respuesta rápida y coordinada para minimizar impactos
negativos en su operación y mejorar la efectividad del modelo de
seguridad.
PSI12 El acceso a la información, es autorizado por el responsable del A.9 Control De Acceso
tratamiento de la misma y está controlado por mecanismos que garantizan
confidencialidad, integridad, disponibilidad, control y auditoria.
PSI13 El acceso a los activos de información y a los recursos que A.8 Gestión de activos
intervienen en su tratamiento, depende de las funciones propias del cargo
o servicio contratado.
PSI14 La entidad exige a; funcionarios, contratistas y particulares que A.7 seguridad de los recursos
ejerzan funciones públicas, que apliquen todas las medidas a su alcance humanos
para que los activos de información mantengan su confidencialidad,
disponibilidad e integridad en cualquier media que estos se encuentren
PSI15 La entidad define su plan de continuidad de negocio con el fin de *N.A

asegurar la disponibilidad de sus procesos misionales y la continuidad de
su operación para que sean ejecutados por sus servidores públicos.
Fuente: Elaboración equipo auditor

*NA= No aplica para los dominios objeto de auditoría (A5 a A9) ISO 27001:2013

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Adicionalmente, para determinar la integridad, confidencialidad y disponibilidad de la
información acorde con el plan de auditoría se verificaron los aspectos contenidos
específicos como se enuncia a continuación:
Verificar la existencia y cumplimiento de las Políticas de Seguridad de la

Información al Interior de las dependencias auditadas relacionadas con los
dominios A5 al A9 y el estado en la implementación y/o aplicación de los controles,
al interior de las dependencias auditadas respecto de:
Política de la Seguridad de la Información (Dominio A.5 NTC-ISO/IEC 27001:2013)
A.5.1 Directrices establecidas por la dirección para la seguridad de la información.
Objetivo: Brindar orientación y apoyo por parte de la dirección, para la seguridad de la

información de acuerdo con los requisitos del negocio y con las leyes y reglamentos
pertinentes.
 Tomado como referente el contenido de la tabla 1, se verificó la existencia de controles

para los procesos auditados y se observó que las políticas actuales de seguridad de la
información se encuentran alineadas con la NTC-ISO-IEC 27001:2013, como se
menciona a continuación:
A.5.1.1 Políticas para la seguridad de la información.
Control: Se debería definir un conjunto de políticas para la seguridad de la información,

aprobada por la dirección, publicada y comunicada a los empleados y partes externas
pertinentes.
 Se observó que la primera versión de las políticas de Seguridad de la Información,

fueron aprobadas en marzo de 2015 y fueron publicadas en mayo de 2015, según acta
01 del 30 de julio de 2015 de la revisión gerencial del Sistema Integral de Gestión.
El día 26 de enero de 2017, se evidenció que las políticas de Seguridad de la

Información versión 2 fueron presentadas al Comité SIG de la SDH, y aprobadas el 1
de febrero de 2017, las cuales se encuentran vigentes.
 El equipo auditor constató que para el segundo semestre de 2016 la SDH conformó un
equipo de trabajo con el objetivo de fortalecer el Sistema de Gestión de la Seguridad de
la Información para la entidad, equipo de trabajo que se asignó a la Subsecretaria
General.
 Se observó que la Secretaria Distrital de Hacienda estableció nuevamente su

compromiso con la seguridad de la información aprobando la segunda versión de las
políticas de Seguridad de la información que entró en vigencia el 15 de febrero de 2017.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
 El equipo auditor evidenció la publicación en el portal web de la Entidad
http://www.shd.gov.co/shd/sites/default/files/files/sistemas/pol20170215segprivinf.pdf la
versión 2 de las políticas de Seguridad de la Información.
No obstante, se observó que aunque las Políticas de Seguridad de la Información, fueron

publicadas el 15 de Febrero de 2017 su divulgación y socialización inició el 17 de abril
del presente año a través de campañas con tips para darlas a conocer y que se
apropien por parte de los funcionarios y partes interesadas de la SDH.
A.5.1.2 Revisión de las políticas para seguridad de la información
Control: Las políticas para seguridad de la información se deberían revisar a intervalos

planificados o si ocurren cambios significativos, para asegurar su conveniencia, adecuación
y eficacia continúas.
 El equipo auditor no evidenció que se tengan establecidos intervalos planificados para

efectuar la revisión de las políticas de seguridad de la información de la Secretaría.
Organización de la Seguridad de la Información. (Dominio A.6 NTC-ISO/IEC

27001:2013)
A.6.1.1 Roles y responsabilidades para la seguridad de información.
Control: Se deberían definir y asignar todas las responsabilidades de la seguridad de la

información.
 Se observó que la entidad expidió la Resolución SDH-00141 del 19 de Junio de 2014

"Por la cual se crean los niveles de responsabilidad y autoridad del Sistema Integrado
de Gestión - SIG en la Secretaria Distrital de Hacienda y se dictan otras disposiciones".
En el artículo 3° se establece el Subsistema de Seguridad de la Información (SGSI) que
hace parte del SIG. En el artículo 5° designa como Líder del SGSI a la Dirección de
Sistemas e Informática (DSI), hoy, Dirección de Informática y Tecnología (DIT). El
artículo 6° le designa funciones, roles y responsabilidades a los líderes de los
subsistemas establecidos. Igualmente en varios artículos crea mesas técnicas, equipos
operativos y al Comité del SIG, les designa funciones y responsabilidades.
El artículo 19° establece que los servidores públicos de la SDH deben participar
activamente en la implementación y mejora continua del Sistema Integrado de Gestión
de acuerdo con los lineamientos y metodologías suministradas por las diferentes
instancias de coordinación de la entidad.
El liderazgo operativo del Subsistema SGSI, actualmente se encuentra bajo la

coordinación de la Subsecretaría General de la entidad.
 Se evidenció en el acta del Comité SIG del 26 de enero de 2017 que a la Oficina Asesora
de Planeación y a la Subsecretaría General se les designó proyectar el acto

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
administrativo que modificara la Resolución 00141 de 2014 en cuanto a la nueva
asignación del líder funcional del Subsistema de Gestión de Seguridad de la Información
y la Estrategia de Gobierno en Línea – GEL, compromiso que está pendiente.
A6.1.2 Separación de deberes.
Control: Los deberes y áreas de responsabilidad en conflicto se deben separar para reducir
las posibilidades de modificación no autorizada o no intencional, o el uso indebido de los
activos de la organización.
 El equipo auditor evidenció en el anexo 3 del procedimiento 44-P-01 (versión 15 del

SGC) complementado con el procedimiento 46-P-04 Atención De Requerimientos ara
Software Aplicativo del CPR 46, pertenecientes a la Dirección de Informática y
Tecnología, donde se encuentran definidos y establecidos los roles y responsabilidades
de los participantes (Usuario funcional, Líder Funcional, Líder Técnico, Analista, DBA)
en los proyectos de desarrollo de software realizados al interior de la entidad. Estos
procedimientos están soportados en el Sistema de Gestión de Requerimientos de
Software.
A.6.1.3 Contacto con las autoridades.
Control: Se deberían mantener los contactos apropiados con las autoridades pertinentes.
 Se evidenció comunicación con el centro CSIRT de la Policía Nacional de Colombia

mediante correos electrónicos enviados en agosto de 2015 que fueron relacionados
por la Subsecretaría General en el memorando 2017IE4944.
A.6.1.4 Contacto con grupos de interés especial.
Control: Es conveniente mantener contactos apropiados con grupos de interés especial u

otros foros y asociaciones profesionales especializadas en seguridad.
 Se observó la suscripción a alertas de seguridad emitidas por organizaciones

especializadas del grupo operativo de SGSI de la entidad y replicación de estas alertas
a las dependencias de la SDH, de acuerdo con las evidencias aportadas por la
Subsecretaría General en el memorando 2017IE4944.
A.6.1.5 Seguridad de la información en la gestión de proyectos.
Control: La seguridad de la información se debería tratar en la gestión de proyectos,

independientemente del tipo de proyecto.
 Mediante memorando 2017IE6180 del 30 de marzo de 2017 la OACR informó que sólo
se cuenta con una matriz de riesgos inherentes de seguridad de la información para la

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Dirección de Impuestos de Bogotá elaborada en el marco del proceso de optimización
que se encuentra en ejecución al interior de la entidad.
El equipo auditor evidenció la elaboración y gestión de una matriz de riesgos de

seguridad de la información ajustada a la metodología establecida en el procedimiento
76-P-02 "Gestión De Riesgo En Seguridad De La Información" de la Oficina de Análisis
y Control de Riesgos y al consultar soportes con dicha dependencia se informó que la
matriz llegó a la etapa de establecer los riesgos inherentes, siendo importante que
determinen el riesgo residual de los riesgos inherentes identificados.
 De acuerdo con lo informado en las entrevistas y al plan de trabajo definido para el

proyecto de optimización de procesos indican que “van a realizar el levantamiento de
los riesgos de seguridad de la información en las diferentes áreas de la entidad”, en los
cuales se deberá aplicar los lineamientos establecidos por el procedimiento de la OACR.
 Finalmente durante la etapa de ejecución del presente informe se observó que mediante
Resolución SDH-000080 del 24 de abril de 2017, la Secretaría de Hacienda adoptó la
Política integral de Administración de Riesgos y las "Políticas complementarias para la
Gestión del Riesgo Operacional”. documento en el cual se establecen las políticas,
estrategias y recursos para la administración de riesgos y las sanciones por el
incumplimiento de las mismas, así mismo se contemplan diferentes tipologías de riesgos
dentro de las cuales se incluyeron las de seguridad de la información.
A.6.2 Dispositivos móviles y teletrabajo.
Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
 En reunión realizada el día 25 de abril de 2017 con la Dirección de Informática y

Tecnología el equipo auditor consultó si existe un procedimiento establecido referente a
las políticas y controles de uso de los dispositivos móviles asignados en la entidad,
respecto a lo cual indicaron “que no tienen conocimiento en el caso de los Smart Phones,
y para los portátiles se aplican las mismas de los equipos de escritorio siempre y cuando
estén conectados a la red corporativa de la entidad”. Se recomienda identificar y adoptar
políticas y controles de uso de los dispositivos móviles de propiedad de la entidad.
A.6.2.2 Teletrabajo.
Control: Se deberían implementar una política y unas medidas de seguridad de soporte,

para proteger la información a la que se tiene acceso, que es procesada o almacenada en
los lugares en los que se realiza teletrabajo.
 La Dirección de Gestión de Corporativa se encuentra ejecutando un proyecto de

implementación de Teletrabajo en la organización, la cual se tiene prevista para finalizar
en el 2018 según se observó en el plan de acción 2017 de la dependencia, publicado
en el Portal Web de la SDH, así mismo tienen contemplado ejecutar una prueba piloto
en el cuarto trimestre del 2017.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
 Se evidenció como soporte del trabajo realizado en el proyecto mencionado, la DGC
remitió copia del acta No 185 de la reunión realizada con el SENA y la SDH con el
objetivo de ofrecer información e inducción sobre la ruta de acción para el proceso de
teletrabajo y cronograma detallado con actividades, fechas y responsables de la vigencia
2017.
 El equipo auditor recomienda tener en cuenta las exigencias normativas para la

implementación del teletrabajo, en especial los aspectos relacionados con el uso
adecuado de los equipos informáticos y la adaptación del manual de funciones y
competencias laborales de acuerdo a lo indicado en el Decreto 884 de 2012.
Seguridad de los Recursos Humanos. (Dominio A.7 NTC-ISO/IEC 27001:2013)
A.7.1 Antes de asumir el empleo.
Objetivo: Asegurar que los empleados y contratistas comprenden sus responsabilidades y

son idóneos en los roles para los que se consideran.
A.7.1.1 Selección.
Control: Las verificaciones de los antecedentes de todos los candidatos a un empleo se

deberían llevar a cabo de acuerdo con las leyes, reglamentos y ética pertinentes, y deberían
ser proporcionales a los requisitos de negocio, a la clasificación de la información a que se
va a tener acceso, y a los riesgos percibidos.
 Se observó que la a Entidad y específicamente la Subdirección de Talento Humano,

para el proceso de selección de personal tiene documentado el procedimiento
denominado Provisión de Personal (02-P-01) por medio del cual realiza la verificación
de los antecedentes de los candidatos a los empleos a proveer.
 El equipo auditor realizó la revisión al listado de Usuarios de Red entregado por la DIT
en memorando 2017IE6344 y tomó un muestreo selectivo de 12 registros identificados
como pasantes como se muestra en la tabla 2,cotejando contra las bases de datos
suministradas por la Dirección de Gestión Corporativa no se encontraron registrados en
estas. Al indagar el equipo auditor con la DGC sobre la situación evidenciada,
respondieron no tener conocimiento de la vinculación de este grupo de personas en la
Secretaría.
TABLA 2: Usuarios Pasantes de la SHD que fueron identificados como pasantes.
CORREO ULTIMO FECHA DE INICIO DE SESIÓN DEPENDENCIA

amendoza@shd.gov.co 7/13/2016 2:25:59 PM Dirección Jurídica
ncastro@shd.gov.co 9/16/2016 9:47:25 AM Dirección Jurídica
mpiraban@shd.gov.co 11/28/2016 1:50:42 PM Dirección Jurídica

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
CORREO ULTIMO FECHA DE INICIO DE SESIÓN DEPENDENCIA
lhurtado@shd.gov.co 7/25/2016 9:57:23 AM Dirección Jurídica
jamador@shd.gov.co 11/10/2016 10:31 Dirección Jurídica
fblancoa@shd.gov.co 02/06/2017 15:39 Dirección Jurídica
hpabon@shd.gov.co 08/09/2016 06:37 Dirección Jurídica
cplazas@shd.gov.co 03/06/2017 09:04 Dirección Jurídica
dbrinez@shd.gov.co 7/19/2016 2:35:17 PM Dirección Jurídica
nvasquez@shd.gov.co 7/25/2016 11:06:31 AM Dirección Jurídica
jbuitrago@shd.gov.co 7/25/2016 9:29:15 AM Dirección Jurídica
npazos@shd.gov.co 07/11/2016 15:52 Dirección Jurídica
Fuente: Cruce efectuado por el equipo auditor de base de datos DIT y bases de datos DGC
Adicionalmente el equipo auditor solicitó mediante correo electrónico el día 20 de abril

de 2017 a la Dirección Jurídica soportes de las verificaciones de antecedentes de hoja
de vida que hayan realizado a siete (7) de los colaboradores indicados anteriormente en
la tabla, que por usuario de red se observó que fueron vinculados a la entidad,
información que no fue allegada al equipo auditor.
Se reiteró esta solicitud a la Dirección Jurídica el día 24 de abril de 2017 y a la fecha de

elaboración del informe preliminar no se recibió la información, razón por la cual se deja
la nota que no fue posible hacer la verificación de las evidencias por parte del equipo
auditor.
A.7.1.2 Términos y condiciones del empleo
Control: Los acuerdos contractuales con empleados y contratistas, deberían establecer sus
responsabilidades y las de la organización en cuanto a la seguridad de la información
 Se evidenció que los servidores públicos que ingresan a la entidad deben firmar un
compromiso de confidencialidad como requisito para la posesión del cargo, igualmente
a los contratistas tienen cláusulas para este fin los acuerdos contractuales como pudo
ser evidenciado por el equipo auditor, para tal efecto se consultó el Sistema Electrónico
para la Contratación Estatal – SECOP, y se efectuó un muestreo no estadístico de diez
(10) contratos celebrados por la entidad, en los cuales se pudo comprobar que cuentan
con una cláusula de confidencialidad de la información de la SHD, tal como se observa
en la cláusula No 27 de la imagen extractada de uno de los contratos revisados (170043-
0-2017):
 Adicionalmente, la DIT reportó mediante correo del 27 de abril de 2017 que para el
contrato de outsourcing con el proveedor de mesa ETB: 160270-0-2016 en el documento
de estudios previos, obligaciones Generales 6 cita: "Guardar total reserva de la
información que por razón del servicio y desarrollo de sus actividades obtenga. Esta es

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
de propiedad de la Secretaría Distrital de Hacienda de Bogotá D.C., y solo salvo expreso
requerimiento de autoridad competente podrá ser divulgada".
Imagen 1. Cláusula de Confidencialidad de la Información
Fuente: Contrato 170043-0-2017 suscrito por la SHD
A.7.2.1 Responsabilidades de la dirección.
Control: La dirección debería exigir a todos los empleados y contratistas la aplicación de la

seguridad de la información de acuerdo con las políticas y procedimientos establecidos por
la organización.
 En la reunión realizada el día 25 de abril de 2017 con la DIT el equipo auditor consultó
la forma como los directivos de dicha dirección asegura que los colaboradores estén
debidamente informados sobre sus roles y responsabilidades de seguridad de la
información, indicando que se dan a conocer los roles y responsabilidades antes de que
se les otorgue el acceso a la información o sistemas de información confidenciales como
es el caso de los diseñadores de software
Adicionalmente, la SOTIC indicó que mediante capacitaciones en el puesto de trabajo

realizadas a los colaboradores que ingresan a la dependencia, se les dan a conocer las
funciones a desarrollar y procedimientos que deberán seguir, por ejemplo el
procedimiento 44-P-01 (Construcción O Mantenimiento De Soluciones De Software) en
el caso de esa subdirección.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
 Se allegó por parte del Grupo de Seguridad de la Información el documento denominado
"Formato Aceptación Política" donde se observó que está diseñado para ser diligenciado
por empleados, supernumerarios, contratistas, y otros, herramienta que permitirá dar
cobertura de la aplicación de las Políticas de Seguridad de la Información de manera
que sea cumplida por quien tiene acceso a la información de la entidad.
 Adicionalmente, en reunión celebrada el 21 de abril de 2017 con la Subdirección de

Planeación e Inteligencia tributaria de la Dirección de Impuestos de Bogotá esta hizo
entrega al equipo auditor copia del formato "ACUERDO DE CONFIDENCIALIDAD
CELEBRADO ENTRE LA SECRETARÍA DISTRITAL DE HACIENDA DE BOGOTÁ, D.C
Y ___" que se firma entre la Dirección de Impuestos y cada uno de los funcionarios y
que tiene como finalidad establecer los términos que rigen el uso y la protección de la
información incorporada en documentos y bases de datos utilizadas en dicho despacho.
A7.2.2 Toma de conciencia, educación y formación en la seguridad de la información.
Control: Todos los empleados de la organización, y en donde sea pertinente, los

contratistas, deben recibir la educación y la formación en toma de conciencia apropiada, y
actualizaciones regulares sobre las políticas y procedimientos de la organización
pertinentes para su cargo.
 Respecto a este control, el equipo de auditor aplicó una encuesta de cinco preguntas (4
cerradas y 1 abierta) a 37 funcionarios de las áreas auditadas de diferentes cargos
(auxiliar, técnico, profesional), con el objetivo de establecer el grado de conocimiento y
apropiación de los encuestados sobre el SGSI al interior de la entidad y como aplican la
seguridad en sus labores diarias , producto de la tabulación y análisis de las encuestas
se presentan los siguientes resultados:
Imagen Pregunta No 1 de Encuesta SGSI

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
 El equipo auditor procedió a hacer un análisis de los resultados obtenidos y luego de la

tabulación de las encuestas, se obtuvo los siguientes resultados:

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Pregunta No 1. ¿Conoce usted el sistema de Gestión de Seguridad de la Información
de la SDH?
Se observó que el 84% de los encuestados respondió que sí conoce el Sistema de
gestión de Seguridad de la Información y el 16% no lo conoce.
Pregunta No 2 ¿Aplica usted las políticas de Seguridad de la Información en sus

actividades?
Se observó que el 92% de los encuestados respondió que aplica las políticas de
seguridad de la Información y el 8% no.
Pregunta No 3 ¿Conoce usted las políticas de Seguridad de la Información?
Se observó que el 76% de los encuestados respondió que sí conoce las políticas de
seguridad de la Información y el 13% no y un 11% restante no sabe/no responde.
Pregunta No 4 Cuando me hablan de seguridad de la información considera que hacen

referencia a:
Se observó que el 68% de los encuestados respondió correctamente y el 32% de manera

incorrecta.
Pregunta No 5 (abierta) ¿Cómo contribuye usted con la Seguridad de la información al

interior de la SDH?
Se observó que las prácticas más comunes de seguridad de la información al interior de

la Secretaria aplicadas por los funcionarios son:
 El bloqueo de la sesión de computador cuando se levantan del puesto,

 La utilización del correo institucional para él envió de información de la entidad, y
 El no compartir las claves de acceso al computador y aplicaciones.
Se observaron resultados positivos en la aplicación de la encuesta respecto al

conocimiento y aplicación de la Seguridad de la Información y sus políticas, situación
que pudo obedecer a los tips de seguridad que se han remitido a través del correo
electrónico y de las carteleras virtuales, por lo que se sugiere sea una actividad que se
ejecute de manera permanente.
A7.2.3 Proceso disciplinario
Control: Se debe contar con un proceso formal, el cual debe ser comunicado, para
emprender acciones contra empleados que hayan cometido una violación a la seguridad de
la información.
 Se observó que la Secretaria Distrital de Hacienda tiene documentada la caracterización
del proceso CPR-56 Investigaciones Disciplinarias, dentro de la cual se establece que
existen dos clases de procedimientos; Procedimiento Disciplinario Ordinario (56-P-01)
Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Procedimiento Disciplinario Verbal (56-P-02) y en el nomograma la referenciación de
la Ley 734 de 2002, así las cosas el equipo auditor procedió a verificar dicha norma
encontrando el ámbito de aplicación legal a utilizar en el caso de afectación de la
seguridad de la información de la entidad, de lo cual resalta el artículo 48° los numerales
1 y 43 que indican:
Artículo 48. Son faltas gravísimas las siguientes:
1. Realizar objetivamente una descripción típica consagrada en la ley como delito sancionable a título de
dolo, cuando se cometa en razón, con ocasión o como consecuencia de la función o cargo, o abusando
del mismo...
43. Causar daño a los equipos estatales de informática, alterar, falsificar, introducir, borrar, ocultar o
desaparecer información en cualquiera de los sistemas de información oficial contenida en ellos o en
los que se almacene o guarde la misma, o permitir el acceso a ella a personas no autorizadas.
(Subrayado y resaltado por el equipo auditor)
 La Oficina de Control Interno Disciplinario reportó mediante correo electrónico del 21 de

abril el siguiente resumen estadístico sobre procesos disciplinarios relacionados con
violación a la Seguridad de la Información adelantados por dicha dependencia durante
la vigencia 2016 y 2017:
Tabla 3 Estadística Procesos Disciplinarios relacionados por violación a la seguridad de la

información
ETAPA DEL PROCESO DISCIPLINARIO
APERTURA INVESTIGACION 5
APERTURA INDAGACIÓN PRELIMINAR 6
ARCHIVO EN INDAGACIÓN PRELIMINAR 7
REMISIONES POR COMPETENCIA 2
AUTO INHIBITORIO 1
TOTAL 21
Fuente: Datos suministrados por la OCDI
Así mismo se indicó que se hace uso del sistema SID 3 (Sistema de Información
Disciplinario del Distrito Capital -http://www.alcaldiabogota.gov.co/SID3/portal/index.jsp)
el cual es de uso exclusivo para los funcionarios de la Oficina de Control Disciplinario;
y se utiliza para subir la información de los procesos disciplinarios.
La protección de la información física está a cargo de los funcionarios quienes

mantienen el expediente bajo llave, una vez finalizan las etapas del proceso disciplinario
pasa al archivo de gestión por tres años y luego al archivo central por 12 años.
 El equipo de auditor verificó la Política de Seguridad y Privacidad de la Información de

la entidad y observó que en su en su numeral séptimo contempla las sanciones
relacionadas con el incumplimiento a las políticas, así:

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
“El incumplimiento de lo establecido en el presente documento será evaluado según el impacto generado y a
criterio de las instancias de control se aplicaran las medidas correctivas a que haya lugar, las cuales pueden
ser acciones administrativas disciplinarias y/o penales.”
Gestión de Activos. (Dominio A.8 NTC-ISO/IEC 27001:2013)
A8.1 Responsabilidad por los activos.
Objetivo: Identificar los activos organizacionales y definir las responsabilidades de

protección adecuadas.
A8.1.1 Inventario de activos.
Control: Se deben identificar los activos asociados con información e instalaciones de

procesamiento de información, y se debe elaborar y mantener un inventario de estos
activos.
● Se evidencia que la Secretaría Distrital de Hacienda adoptó los criterios de valoración

de sus activos de información, dentro de las acciones de implementación de la ley de
Transparencia y Acceso a la Información Pública mediante la Resolución No SDH-
000194 del 4 de septiembre de 2015.
 Se observó que la Secretaría tiene documentados procedimientos para la administración

de los Activos de información entre ellos se encuentra el de Recepción e Ingreso de
Bienes Devolutivos y de Consumo 40-P-01, - Retiro de Bienes del Inventario 40-P-02, -
Asignación y Entrega de Bienes Devolutivos 40-P-03, - Elaboración y Actualización de
Tablas de Retención Documental 43-P-19, Análisis de Riesgos en Seguridad de la
Información se establece en el instructivo 76-I-03 y una matriz de activos de
información.
 Adicional a lo anterior también se evidenció que cuenta con el instructivo "Clasificación

De Activos De Información Y Análisis De Riesgos En Seguridad De La Información" con
código (76-I-03) mediante el cual se establece la metodología para efectuar el inventario
y la clasificación de los activos de información, para los diferentes tipos de activos
(personas, Hardware, Software, Bases de Datos, Servicios, etc.)
Así mismo se pudo evidenciar que existe un inventario de activos de información, que se
encuentra publicado en el portal web de la entidad en el siguiente link:
http://www.shd.gov.co/shd/node/21000
Dentro de este link se observó que hay un archivo en formato Excel con el nombre
Inventario Activos Datos e Información.xlsx y se indica que la fecha del documento es
del Jueves, Marzo 19, 2015. En este sentido, se recomienda realizar la respectiva
actualización.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
 Al efectuar una análisis de los datos registrados en el documento publicado, se observó
que existe una columna denominada "Tipo" al efectuar la revisión de registros
consignados en la matriz se evidenció que todos están catalogados como
"Datos/Información". Se recomienda hacer la revisión y actualización pertinente de
manera que se incluyan todos los registros según su clasificación, teniendo en cuenta
que actualmente sólo se tienen identificados como “Datos/Información”.
A8.1.2 Propiedad de los activos
Control: Los activos mantenidos en el inventario deben tener un propietario.
 Se observó que la propiedad de los activos de información le corresponde a la dirección

que los genera en el día a día de su gestión, teniendo en cuenta que es quien los
mantiene actualizados, los clasifica y diseña los controles para su seguridad y los
administra en el tiempo.
 Adicionalmente se evidencia que mediante la Resolución No SDH-000194 del 4 de

septiembre de 2015 se asigna la responsabilidad al jefe de cada dependencia asignar el
carácter de información clasificada o reservada a la información pública que se
encuentra bajo su posesión, control o custodia según disposiciones legales aplicables
vigentes.
 Se evidencia que mediante la Circular Interna N0. DDI-0000001 del 6 de Febrero de

2017 la Dirección de Impuestos de Bogotá adopta lineamientos para el tratamiento de
información tributaria y no tributaria tanto dentro de la Entidad como la entrega a
autoridades judiciales, legales o administrativas y adopta íntegramente el concepto dado
sobre el tema por la Dirección Jurídica mediante CORDIS 2017IE1153 del 20 de enero
de 2017.
 Se evidenció que en el inventario de activos de información que se encuentra publicado

en la página Web de la Secretaría de Hacienda se encuentra una columna denominada
propietario y en otra custodio, es decir que se tiene establecido dentro del inventario
antes indicado que cada activo de información referenciado en la matriz de inventario,
cuenta con un responsable que lo administra.
A8.1.3 Uso aceptable de los activos.
Control: Se deben identificar, documentar e implementar reglas para el uso aceptable de

información y de activos asociados con información e instalaciones de procesamiento de
información.
 Se observó en el procedimiento 65-P- 06 "Administración de Cuentas de usuario" se

establecen los parámetros de administración de las cuentas de usuario de los sistemas
de información de la Entidad., y en consecuencia todas las Direcciones auditadas tienen
controles para el acceso a las diferentes bases de datos y/o aplicativos que se emplean
en la gestión.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
A8.1.4 Devolución de activos.
Control: Todos los empleados y usuarios de partes externas deben devolver todos los
activos de la organización que se encuentren a su cargo, al terminar su empleo, contrato o
acuerdo.
 Se observó que la Dirección de Gestión Corporativa tiene documentado el procedimiento

Retiro Del Servicio (85-P-03) y el formato 85-F.10 Constancia De Entrega que deberá
ser diligenciado por colaboradores que tengan una vinculación de Libre nombramiento y
remoción, Carrera Administrativa, Provisional, supernumerario, Contratista, Vinculación
Temporal o Pasante, certificando la entrega de bienes y documentos a su cargo, asuntos
pendientes y demás información como requisito para legalizar su retiro de la entidad
según normatividad aplicable para cada caso.
 Adicionalmente el equipo de auditor solicitó soporte del trámite de devolución de equipos

tecnológicos (computadores, USB, celulares, etc.) que procesen o almacenen
información por parte de colaboradores que se retiraron de la entidad, según selectivo
tomado de los listados de planta y retiros remitidos por la Dirección de Gestión
Corporativa para 8 funcionarios donde se tomó 1 transitorio, 5 provisionales y 2 titulares,
observando en los 8 soportes remitidos por la la Subdirección de Talento Humano que
fueron diligenciados en su totalidad tanto por los colaboradores como por cada una de
las áreas requeridas.
A8.2.1 Clasificación de la información.
Control: La información se debe clasificar en función de los requisitos legales, valor,

criticidad y susceptibilidad a divulgación o a modificación no autorizada.
 Se observó que la clasificación de activos de información y análisis de riesgos en

seguridad de la información está establecida en el instructivo 76-I-03 en el que se
incluyeron siete (7) parámetros para su clasificación: Planeación, Especificación de
procedimiento e Inventario y clasificación de activos de información, Identificación de
riesgos, Valoración del riesgo inherente, identificación y valoración de controles
existentes, Valoración del riesgo residual y Propuesta e implementación de
tratamientos de riesgo.
A8.2.2 Etiquetado de la información.
Control: Se debe desarrollar e implementar un conjunto adecuado de procedimientos para

el etiquetado de la información, de acuerdo con el esquema de clasificación de información
adoptado por la organización.
 Se evidenció que el etiquetado de la información implica la calificación del activo de

información, atendiendo la naturaleza del mismo, es decir se tiene en cuenta la
legislación, identificación y calificación de los activos de Información de acuerdo a la

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
categorización y nivel de riesgo, mediante código de barras, en aras de reducir la posible
afectación negativa de la seguridad de la información gestionada por la Entidad.
A8.2.3 Manejo de activos.
Control: Se deben desarrollar e implementar procedimientos para el manejo de activos, de

acuerdo con el esquema de clasificación de información adoptado por la organización.
 Se observó que mediante el aplicativo CORDIS se realiza el control de los documentos

radicados ante la Secretaría y de los documentos generados por la entidad, así, como
los trámites internos surtidos para dar respuesta a los diferentes requerimientos.
 Se evidenció que mediante el centro Web de Contenidos WCC (Web Content Center)
se está realizando la migración de imágenes que permita digitalizar e indexar los
documentos de las diferentes áreas de la entidad, entre otros, para lo cual fue necesario
establecer controles para el autenticación de usuarios y contraseña, creando grupos de
usuarios de acuerdo a las series documentales. Igualmente el equipo auditor evidenció
que el sistema permite la generación de reportes de auditoría donde se visualizan
acciones ejecutadas por los funcionarios con la información dentro de la herramienta.
 Durante la reunión con la Oficina de Control Disciplinario Interno del 4 de abril de 2017
señaló que en el marco del WCC se están digitalizando los expedientes, que obran como
segundo cuaderno de copias, (Contribución preventiva). La OCDI cuenta con un espacio
exclusivo para el ingreso de la información, contribuyendo a la política gubernamental
“Cero Papel” establecida en el Decreto Nacional Anti trámites 019 de 2012.
Y que para el control de acceso a la información se restringió soló para el personal de la

oficina en el aplicativo WCC, asignando un escáner que está conectado a la red con
acceso exclusivo para la Oficina de Disciplinarios.
El equipo auditor verificó los soportes del proyecto de digitalización en WCC que está
adelantando la Oficina de Control Disciplinario Interno, respecto del cuaderno de copias
de todos los procesos disciplinarios (Art. 96 Ley 734 de 2002) que se iniciaron a partir
de enero de 2016 y planillas de reuniones que fueron remitidas mediante correo
electrónico el día 21 de abril al equipo auditor, observando la realización de 4 reuniones
entre la Subdirección de Gestión Documental y la Oficina de Control Disciplinario Interno
relacionadas con el proyecto WCC. Igualmente mantienen informes de entrega de
expedientes activos e inactivos de abogados de la OCDI a la Subdirección de Gestión
Documental para que fueran ingresados a la herramienta como se constató en los
soportes allegados.
 Adicionalmente se verificó la ejecución del proyecto de digitalización de documentos en

WCC en la Oficina de Análisis y Control de Riesgo, quienes informaron que
"Teniendo en cuenta las mesas de trabajo realizadas por la subdirección y la Oficina asesora, una de las necesidades
conversadas fue la digitalización de la información que contaba la oficina en su estantería en especial las Actas. Para
ello se llevó un trabajo en conjunto donde la Oficina entregaba a través de un ticket (adjunto a este correo) por la
mesa de servicio, las cajas y carpetas organizadas y creadas en el SGDEA-WCC, según procedimientos de la CPR-

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
43, y estas se comenzaban a escanear, e indexar al perfil de la serie que le correspondía según las tablas de
Retención.
Cada vez que se cumplía con la tarea de un ticket hasta la entrega de la documentación y su puesta en el sistema,
la oficina generaba otro ticket por mesa de servicio entregando las siguientes Cajas y carpetas para ser digitalizadas.
La evidencia quedaba contemplada en el Ticket asignado y terminaba con el documento subido al sistema
SGDEA".
Al respecto, el equipo auditor observó la copia de los soportes del ticket 43101, con
sus cajas y carpetas creadas en el sistema junto con las personas que intervinieron en
el proceso.
 Por otra parte se evidenció que la Secretaría Distrital de Hacienda expidió la resolución
0064 del 7 de abril de 2017 “Por la cual se aprueba el Sistema Integrado de Conservación
– SIC de la Secretaria Distrital de Hacienda”. que tiene como finalidad garantizar la
conservación y preservación de cualquier tipo de información de la Entidad, manteniendo
atributos como unidad, integridad, autenticidad, inalterabilidad, originalidad, fiabilidad y
accesibilidad de toda la documentación de la entidad, tanto física como digital en todo
su ciclo de vida (art. 1 Acuerdo 006 de 2014 del Archivo General de la Nación).
Para esto, el SIC de la entidad contempla dos planes:
1. Plan de conservación documental: Aplica para los documentos de archivo creados

en medio físico y/o análogo.
2. Plan de preservación digital: Aplica a documentos digitales y o electrónicos de

archivo.
A8.3.1 Gestión de medio removibles.
Control: Se deben implementar procedimientos para la gestión de medio removibles, de

acuerdo con el esquema de clasificación adoptado por la organización.
 Se observó que en la actualidad la SDH no cuenta con un procedimiento sobre las

políticas y controles de uso sobre los dispositivos móviles asignados en la entidad
quienes indicaron que no tienen conocimiento con respecto a Smart-Phones.
 Actualmente la DIT se encuentra desarrollando una propuesta denominada "Archivos X"

con la cual se pretende proveer un espacio virtual de almacenamiento para que los
funcionarios suban la información a utilizar y de esta manera prevenir o mitigar el riesgo
de fuga de información y de infección de software malicioso, para deshabilitar los puertos
de USB de los equipos informáticos de la entidad. El equipo auditor pudo observar que
a la fecha sólo se han efectuado campañas de promoción del servicio, sin que se haya
informado sobre la gestión de los medios removibles a los usuarios.
A8.3.2 Disposición de los medios.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Control: Se debe disponer en forma segura de los medios cuando ya no se requieran,
utilizando procedimientos formales.
 Se observó que en el procedimiento disposición Final 43-P16 se establecen los pasos a

seguir para la disposición final de los expedientes físicos, electrónicos e híbridos
teniendo en cuenta lo definido en la Tabla de Retención Documental, con el fin de
establecer la documentación a eliminar, seleccionar o conservar.
 De igual manera el grupo de Seguridad de la Información perteneciente a la

Subsecretaria General allegó documento denominado "Procedimiento De Borrado
Seguro" en el cual se señala el paso a paso para efectuar un formateo de dispositivos
físicos de almacenamiento de información a bajo nivel, con lo cual se busca eliminar la
información guardada en los dispositivos de almacenamiento, observando que este
documento no está normalizado en el sistema de gestión de calidad. Se sugiere realizar
la formalización en el SGI del documento “Procedimiento De Borrado Seguro”.
A8.3.3 Transferencia de medios físicos.
Control: Los medios que contienen información se deben proteger contra acceso no
autorizado, uso indebido o corrupción durante el transporte.
 En la reunión realizada el día 20 de abril de 2017 con la Dirección de Gestión Corporativa

se consultó sobre los controles establecidos para la seguridad de la información física
(documentos y /o medios de almacenamiento electrónicos). La subdirección de Gestión
Documental indicó que se aborda en diferentes aspectos, así:
 Para la distribución de las comunicaciones de la Secretaría se tiene suscrito un contrato

de correspondencia y como mecanismo de control para asegurar la entrega, en
oportunidad y calidad, tienen un sistema de acuses de recibo, que permite hacer cruces
en las bases de datos de entrega como de recibo y seguimiento a los mensajeros por
GPS.
 Para el caso de movimiento de gran volumen (por un trasteo) o un traslado documental

tienen controles en el embalaje; utilizando cajas de cartón adecuadas, marcación de los
contenidos, utilización de dos tipos de zunchos uno de ellos numerado (para evitar
aperturas y posibles pérdidas) y cámara de seguridad en el vehículo.
 Adicionalmente la Subdirección de Gestión Documental reportó mediante correo

electrónico del día 26 de abril que el contrato actual está suscrito con la firma A&V
EXPRESS, No. 160104-0-2016 del 18 de mayor 2017. Y que dentro del contrato de
correspondencia tienen vinculado personal que apoya la gestión y trámite de las
comunicaciones oficiales de la entidad, en este grupo tienen designados diez (10)
motorizados encargados de transportar y entregar la documentación, con los tiempos
estipulados en el procedimiento CPR-43 Gestión Documental; actividad que debe ser
verificada por el supervisor del contrato.
Control de Acceso. (Dominio A.9 NTC-ISO/IEC 27001:2013)

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
A9.1 Requisitos del negocio para el control de acceso.
Objetivo: Limitar el acceso a información y a instalaciones de procesamiento de

información.
A9.1.1 Política de control de acceso.
Control: Se debe establecer, documentar y revisar una política de control de acceso con
base en los requisitos del negocio y de la seguridad de la información.
 El equipo auditor observó que en el documento de Políticas de Seguridad de la

Información Versión 2 se encuentran establecidos los lineamientos PS7, PSI12 y PSI13
que se deberán seguir en la entidad con respecto al Control de Acceso a los activos de
Información de la Secretaría.
A9.1.2 Registro y cancelación del registro de usuarios.
Control: Se debe implementar un proceso formal de registro y de cancelación de registro

de usuarios, para posibilitar la asignación de los derechos de acceso.
 Para verificación de lo establecido en el procedimiento 65-P-06 “Administración De

Cuentas De Usuario” de la gestión de cuentas de usuario de los sistemas de información
de la Secretaria Distrital de Hacienda mediante ticket de Mesa de Servicio, el equipo
auditor solicitó a la DIT mediante correo electrónico del 25 de abril de 2017, el registro
respecto de la solicitud de usuarios de red del grupo de personas que encuentran
relacionadas en la tabla del control 7.1. La DIT mediante correo del 27 de abril de 2017
reportó que mediante la Solicitud de creación: 41234 en atención al CORDIS
2016IE13526 fueron creados los usuarios para ese grupo de colaboradores. Igualmente
reportó la Solicitud de creación: 45387 atendiendo una petición de la Dirección Jurídica
creando el usuario "lnunez".
 La Oficina de Control Disciplinario Interno reportó mediante correo electrónico del 21 de

abril de 2017 que para la solicitud de creación o cancelación de usuarios en el SID 3 se
debe diligenciar un formato establecido por la Dirección Distrital de Asuntos
Disciplinarios de la Secretaría Jurídica de la Alcaldía Mayor de Bogotá, por ser los
Administradores funcionales y técnicos de esta herramienta;
 Se evidenció que se utiliza el formato 43-F.35 “PERMISOS DE ACCESO A SERIES”

para la solicitud de autorización a usuarios para el acceso a series y subseries en el
Sistema de Gestión Documental por parte de las dependencias.
A9.2.2 Suministro de acceso de usuarios.
Control: Se debe implementar un proceso de suministro de acceso formal de usuarios para

asignar o revocar los derechos de acceso para todo tipo de usuarios para todos los
sistemas y servicios.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
 Se observó que la entrega formal para la entrega de usuarios y clave inicial se hace a
través de tickets y CORDIS Según lo establecido en el procedimiento 65-P-06
"Administración De Cuentas De Usuario".
 La Oficina de Control Disciplinario Interno reportó mediante correo electrónico del 21 de

abril de 2017 que dicha jefatura envía la solicitud a la Secretaría Jurídica y la respuesta
es enviada por correo institucional a cada funcionario, en la que se informa el usuario y
la contraseña, esta última que tiene carácter provisional puesto que por seguridad de la
información, cada usuario deberá cambiar la contraseña recibida. En el mencionado
correo adjunta copia de un formato diligenciado dirigido a la Secretaría Jurídica donde
se observó la solicitud de asignación de diferentes roles a 9 funcionarios de la OCDI e
indicó que son solicitados según funciones y responsabilidades.
A9.2.3 Gestión de información de autenticación secreta de usuarios.
Control: Se debe restringir y controlar la asignación y uso de derechos de acceso

privilegiado
 El equipo auditor evidenció que se verifica la identidad de usuario antes de

proporcionarle la nueva información de autenticación secreta, adicionalmente se observó
que la Dirección Jurídica realizó solicitud de creación de usuarios a la DIT, a través del
ticket 45387 respecto a este requerimiento la DIT mediante CORDIS 2013IE17297 del
24 de agosto de 2016. reportó que no pudo crear el usuario para uno de los
colaboradores solicitados, debido a que el usuario "mmorales" ya existe y se requiere de
un segundo nombre o apellido para poder crear otro usuario para el colaborador, sin que
a la fecha el equipo auditor haya observado la solución a esta situación.
A9.2.4 Gestión de información de autenticación secreta de usuarios.
Control: La asignación de información de autenticación secreta se debe controlar por medio

de un proceso de gestión formal.
 El equipo auditor en reunión con la DIT el día 25 de abril de 2017 consultó sobre el
proceso de asignación de usuarios en la entidad y la DIT indicó que los memorandos
que son remitidos con los usuarios creados mediantes solicitudes de creación (o tickets)
tienen adjunto un sobre sellado con los datos de usuario y clave asignados, situación
que fue evidenciada por los auditores.
A9.2.5 Revisión de los derechos de acceso de usuarios.
Control: Los propietarios de los activos deben revisar los derechos de acceso de los
usuarios, a intervalos regulares.
 El equipo auditor en reunión con la DIT el día 25 de abril de 2017 consultó sobre la forma
de verificar las asignaciones de privilegios periódicamente, para asegurar que no se
hayan obtenido privilegios no autorizados indicando esta Dirección que aunque se

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
cuenta con la herramienta Audit Vault se deberían definir responsables de revisar alertas
que envíe el aplicativo cuando ocurra actualizaciones de datos no autorizadas. La
configuración de estas alertas se deberán definir en mesas de trabajo que se adelanten
con las áreas funcionales propietarias de la información.
A9.2.6 Retiro o ajuste de los derechos de acceso.
Control: Los derechos de acceso de todos los empleados y de usuarios externos a la

información y a las instalaciones de procesamiento de información se deben retirar al
terminar su empleo, contrato o acuerdo, o se deben ajustar cuando se hagan cambios.
 El equipo auditor observó mediante el análisis de la información de la planta de personal

remitida por la Dirección de Gestión Corporativa, el caso de una funcionaria que se
encontraba en vinculación provisional en la Subdirección de Gestión Documental
renunciado a este cargo para ingresar a la Oficina de Notificaciones y Documentación
Fiscal de la DIB con vinculación temporal. Observando se encontró que el usuario de
dicha funcionaria se encuentra activo para el aplicativo CORDIS según listado remitido
de usuarios activos.
 Frente a esta situación, se consultó mediante correo electrónico a la Subdirección de

Gestión Documental del 20 de abril de 2017, los soportes de los trámites a las solicitudes
de retiro de los derechos de acceso a este aplicativo, indicando mediante respuesta del
26 de abril de 2017 que la funcionaria se encontraba en la Subdirección Gestión
Documental y se inactivó de CORDIS el día 28-03-2017, por cuanto quedó seleccionada
y vinculada según el concurso de temporales y por esta razón la Oficina de Notificaciones
y Documentación Fiscal, solicitó la activación en esa dependencia, activación que se
registró el día 29-03-2017.
 En la siguiente imagen que adjuntó la subdirección se pudo observar la activación e

inactivación del usuario de la funcionaria por retiro e ingreso de la entidad con diferente
tipo de vinculación:
Imagen 2. Registro de activación e Inactivación de usuario
Fuente: Correo electrónico de la Subdirección de Gestión Documental
A9.3 Responsabilidades de los usuarios.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de
autenticación.
A9.3.1 Uso de información de autenticación secreta.
Control: Se debe exigir a los usuarios que cumplan las prácticas de la organización para el
uso de información de autenticación secreta.
 El equipo auditor evidenció el 30 de marzo de 2017 en los portátiles de la Sala de

Informática del Noveno Piso de la Entidad, que tienen adherido con cinta un papel que
registra el usuario Sala_Informatica_9-1 y la clave correspondiente.
Imagen 3. Imagen de portátil 1 con usuario y contraseña
Fuente: Tomada por el equipo auditor en el noveno piso.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Se verificó el usuario en el listado de usuarios de red remitido por la DIT encontrándose en

estado activo.
El equipo auditor efectuó una prueba del ingreso en el equipo de cómputo pccadse06041
conectado a la red corporativa de la entidad el día 17 de abril de 2017 resultando exitoso el
acceso como se observa en las siguientes imágenes:
Imagen 6. Prueba de acceso en el equipo de cómputo pcadse06041
Fuente. Toma efectuada por el equipo auditor en el computador pcadse06041

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Al realizar las pruebas de acceso por parte del el equipo auditor, utilizando el usuario y clave
que se encuentra adheridos en los portátiles ubicados en las salas de informática del
noveno piso, se observó que con la sesión iniciada dentro del equipo fue posible explorar
la red de la entidad como se muestra a continuación:
Imagen 8. Prueba de equipos conectados a red encontrados utilizando el usuario y

clave de portátil de noveno piso.
A9.4 Control de acceso a sistemas y aplicaciones.
Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
A9.4.1 Restricción de acceso a la información.
Control: El acceso a la información y a las funciones de los sistemas de las aplicaciones se

debe restringir de acuerdo con la política de control de acceso.
 El equipo auditor observó en el formato 44-F.05 “ESPECIFICACIÓN FUNCIONAL”

Versión 11, utilizado en el procedimiento 44-P-01 CONSTRUCCION O
MANTENIMIENTO DE SOLUCIONES DE SOFTWARE la sección 3.1 donde se definen
los perfiles y responsabilidades que tendrán el aplicativo a construir.
 La sección 3.2 donde se definen los datos de entrada y salida de cada proceso; la
sección 3.3. Para identificar el análisis de impacto en el aplicativo definiendo qué
funcionalidades del aplicativo en producción, se ven afectadas por el desarrollo de la
nueva funcionalidad, con el fin de tomar las acciones pertinentes; la sección 3.4
identificado si la nueva funcionalidad impactará la funcionalidad de otros aplicativos o
requiere funcionalidades de ellos; la sección 4 para incluir los prototipos referenciados
en el numeral 3.2 definiendo las características de cada campo.
A9.4.2 Procedimiento de ingreso seguro.
Control: Cuando lo requiere la política de control de acceso, el acceso a sistemas y

aplicaciones se debe controlar mediante un proceso de ingreso seguro.
 El equipo auditor observó en el formato 44-F.16 ESPECIFICACIÓN TÉCNICA Versión 8

utilizado en el procedimiento 44-P-01 CONSTRUCCION O MANTENIMIENTO DE
SOLUCIONES DE SOFTWARE la sección 6 “Características no funcionales” donde los
analistas de la SOTIC deben indicar el mecanismo de seguridad que la aplicación o
funcionalidad utiliza para dar ingreso a un usuario, por ejemplo:
a) Usuario y PassWord ó
b) valida y autentica usuario en OIM y OID respectivamente.
Fuente: Verificación realizada por el equipo auditor

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
A9.4.3 Sistema de gestión de contraseñas.
Control: Los sistemas de gestión de contraseñas deben ser interactivos y deben asegurar
la calidad de las contraseñas.
 El equipo auditor efectuó una prueba en el Sistema de Gestión de Identidades para

verificar si se encuentran implementadas las consideraciones técnicas en la generación
de las contraseñas establecidas en el 65-P-06 ADMINISTRACION DE CUENTAS DE
USUARIO haciendo un intento de cambio de clave con el dato “1111” obteniendo el
resultado que se observa en el siguiente gráfico:

Imagen 8. Prueba de equipos conectados a red encontrados utilizando el usuario y
Fuente: prueba realizada por el equipo auditor
Con base en la prueba realizada, se observó que el control establecido, es efectivo.
A9.4.4 Uso de programas utilitarios privilegiado.
Control: Se debe restringir y controlar estrictamente el uso de programas utilitarios que

podrían tener capacidad de anular el sistema y los controles de las aplicaciones.
 El equipo auditor realizó un análisis del listado titulado 5. SOFTWARE INFORMÁTICO

remitido por la DIT encontrando el siguiente software instalado en los equipos de
cómputo de la entidad:

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
Tabla 4: No Software utilitario Instalado
SOFTWARE CANTIDAD EQUIPOS DONDE SE
INSTALADO ENCUENTRA INSTALADO
Emule 1
File Scavenger 3.2 5
FileZilla Client 3.6.0.2 1
Fuente: Equipo auditor
Al consultar por internet las funcionalidades de estos aplicativos se observó que Emule
y FileZilla Client permite compartir archivos electrónicos entre computadores y File
Scavenger permite recuperar archivos borrados o recuperar datos de discos duros
reformateados.
A9.4.5 Control de acceso a códigos fuente de programas.
Control: Se debe restringir el acceso a los códigos fuente de los programas.
 Mediante memorando 2017IE6004 se solicitó a la DIT el listado de usuarios con acceso

a las herramientas de control de versiones de código fuente Visual Source Safe y
Subversion utilizada en dicha dependencia. Posteriormente, mediante correo electrónico
del 26 de abril se solicitó soportes de la gestión de asignación y retiros de accesos de
usuarios a las herramientas mencionadas realizadas en el vigencia 2017 y de los logs
de auditoria que lleve registro de las acciones ejecutadas dentro de estas por los
usuarios. A la fecha del 28 de abril del 2017 la OCI no recibió información definitiva de
los soportes solicitados por lo cual el equipo auditor no pudo realizar la verificación del
control.
Verificar la efectividad de los controles de los dominios A.5 al A.9 identificados para
asegurar la integridad, confidencialidad y disponibilidad de la información asociados
a los riesgos de seguridad de la información.
De acuerdo a las pruebas y verificaciones realizadas por el equipo auditor, respecto a

los controles identificados para los dominios del A.5 al A.9 en la Secretaría se pudo
establecer que algunos de ellos son efectivos y otros son susceptibles de mejora como
lo pueden evidenciar en la presentación de resultados de este informe.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
4. CONCLUSIONES
 La entidad se encuentra en proceso de implementación de un Sistema de Seguridad

de la Información y para dar cumplimiento a la Resolución 305 del 2008 por la cual se
establece las políticas en materia de Tecnologías de la Información y Comunicaciones
para el Distrito, se evidencia que se la existencia de elementos y controles que
permiten proveer una protección a la información de la entidad.
 Las áreas auditadas cuentan con sistemas de control que les permite proveer un nivel
de seguridad a la información que se utilizan para el desarrollo de sus funciones
institucionales, controles que se implementaron en su momento para mitigar la
exposición a la perdida de información, en especial ante las amenazas del entorno en
que se procesa la información de la entidad.
En muchas ocasiones, estos controles se han implementado por iniciativas

individuales por parte de las diferentes direcciones, otros se generaron como
proyectos para cubrir una necesidad y dar una protección adecuada a la información
de la Secretaria, con aplicaciones como el CORDIS, PERNO,LIMAY, Mesa de ayuda,
etc, situación que se refleja en la no integralidad de un sistema de seguridad de la
información
 La Secretaría adelanta acciones de elaboración del mapa de riesgos de seguridad de

la información, conforme con el instructivo “Diligenciamiento de la Matriz de Riesgos
en Seguridad de la Información” identificado con código 76-02 perteneciente al
sistema de gestión de calidad de la SHD, anotando que a la fecha de corte de la
presente auditoria de evidencia que la única matriz de riesgos de seguridad de la
información existente, se levantó en la Dirección de Impuestos de Bogotá, en el
marco del proyecto de optimización de procesos.
 La secretaria inicio la gestión para identificar los activos de información de la entidad,
cuyos resultados pudo verificar, el equipo auditor, en el inventario de activos de
información que se encuentra publicada en el portal web de la SDH en el siguiente
Link:
http://www.shd.gov.co/shd/sites/default/files/files/Inventario%20Activos%20Datos-
%20Informaci%C3%B3n%20SDH%20v2(1).xlsx).
En esta matriz de activos de información, no se relaciona, entre otros, los elementos

de hardware, software, recursos humanos, tal como se encuentra indicado en el
instructivo “Clasificación de Activos de Información y Análisis de Riesgos en
Seguridad de la Información” con código 76-I-03, así como las definiciones señaladas
en la Políticas de Seguridad de la Información de la entidad, en el numeral 10.2 del
artículo 10° de la resolución 305 de 2008 vigente a la fecha del desarrollo de la
auditoría, que menciona lo siguiente:
“Activos de información: Elementos de Hardware y de Software de procesamiento,

almacenamiento y comunicaciones, bases de datos y procesos, procedimientos y
recursos humanos asociados con el manejo de los datos y la información misional,

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
operativa y administrativa de cada entidad, órgano u organismo”(subrayado y
resaltado por la OCI)
 Dentro del periodo de ejecución de la auditoria, se pudo evidenciar el inicio de una

campaña de publicidad mediante mensajes en carteleras virtuales, correo electrónico,
fondo de pantalla, para promover e incentivar entre los funcionarios de la SHD, el
conocimiento y aplicación de las políticas de seguridad de la información en sus
actividades diarias.
5. RECOMENDACIONES
 Los activos de información de la SHD están expuestos a amenazas derivadas de

acciones o conductas accidentales o intencionales por parte de las personas que
acceden a los sistemas, por lo que se debe fortalecer los controles existentes y/o
implementar nuevos, dentro de un modelo coordinado de administración de riesgos
de seguridad de la información, de manera tal que los controles adoptados se
complemente entre si y hagan más robusta la seguridad de la Información como
materia prima de la Entidad.
 Conforme la normatividad adoptada en el Distrito Capital, los parámetros para la
implementación del Sistema de seguridad de la Información se fundamenta en la
norma técnica NTC-ISO-IEC 27001, por lo que se recomienda su observancia en el
proceso de diseño e implementación del sistema de seguridad de la Información de
la SHD.
 Como mecanismo de fortalecimiento del sistema de seguridad de la información, se

recomienda efectuar jornadas de socialización de las Políticas de Seguridad de la
Información de la Secretaria de Hacienda Distrital para los trabajadores contratistas
y terceros que tengan acceso la red corporativa de la entidad atendiendo la
responsabilidad y las maneras y formas en que cumplen con dicha responsabilidad.
 La matriz de activos de información que tiene la Secretaria debe ser actualizada bajo
la nueva estructura y siguiendo las indicaciones consignadas en el instructivo
“Clasificación de Activos de Información y Análisis de Riesgos en Seguridad de la
Información” 76-I-03 y en el numeral 10.2 del artículo 10° de la resolución 305 de
2008 vigente a la fecha del desarrollo de la auditoría que menciona lo siguiente:
“Activos de información: Elementos de Hardware y de Software de

procesamiento, almacenamiento y comunicaciones, bases de datos y
procesos, procedimientos y recursos humanos asociados con el manejo de los
datos y la información misional, operativa y administrativa de cada entidad, órgano u
organismo”(subrayado y resaltado por la OCI)

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9
 Diseñar una estrategia para la formación progresiva de la Cultura de la Seguridad de
la Información, en la cual se debe buscar el compromiso y apoyo de las direcciones,
indicando las pautas de comportamiento apropiadas para el uso de los sistemas y la
información, las cuales están plasmadas en las políticas y procedimientos de
seguridad de la información, así como las sanciones por su incumplimiento.
Esta estrategia debe tener planes para cada una de las etapas de aprendizaje:
sensibilización (conocimiento básico), entrenamiento (habilidades), educación formal
y desarrollo profesional.
 Establecer medidas con el fin de evitar el uso de usuarios genéricos o restringir el

acceso limitado en estos equipos, así como ejercer un control estricto en el manejo
de las autenticaciones de usuarios.
 Verificar la pertinencia del software instalado en los equipos de cómputo, para evitar
riesgos de seguridad de la información, como son la vulneración de la propiedad
intelectual, descarga de software infectado con malware, filtraciones de información
y ataques de denegación de servicios (Denial of Services DoS)
 Se recomienda realiza mesas de trabajo, con las áreas funcionales propietarias, para
establecer los controles, alertas necesarias para prevenir posibles fugas, perdidas y/o
modificaciones de la información por personal no autorizado.
 El equipo auditor recomienda se determine si la información reservada relacionada

con datos de dirección, teléfono, celular y otros datos personales, se transmitan a
través de mecanismos seguros, tipo protocolo HTTPS
 Se recomienda incluir los documentos estandarizados para la implementación del

SGSI, en el Sistema de Gestión de la Calidad de la Secretaria, para que se mantenga
una única codificación de identificación.

Teléfono (571) 338 5000 • Línea 195
• Nit. 899.999.061-9

Auditoria Seguridad de La Información 2017

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria Seguridad de La Información 2017

Caricato da

Copyright:

Formati disponibili

SECRETARÍA DISTRITAL DE HACIENDA

DESPACHO DEL SECRETARIO DE HACIENDA

Bogotá D. C., ABRIL 2017

Sede Administrativa: Carrera 30 Nº 25-90 -

JUAN ALBERTO JAMAICA OSPINA

JHON ALEXANDER TORRES DUARTE

Sede Administrativa: Carrera 30 Nº 25-90 -

2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA 6

3. INFORME DE GESTIÓN Y RESULTADOS 3

Sede Administrativa: Carrera 30 Nº 25-90 -

La Oficina de Control Interno, en desarrollo de lo previsto en los artículos 209 y 269 de la

Este documento, presenta el informe resultante de la auditoria mencionada previamente;

Sede Administrativa: Carrera 30 Nº 25-90 -

Verificar la integridad, confidencialidad y disponibilidad de la información de las

Sede Administrativa: Carrera 30 Nº 25-90 -

2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA AUDITORÍA

La auditoría fue incluida y aprobada en el Programa Anual de Auditorías aprobado por el

Para la ejecución de la auditoría se realizó solicitud de información, a través de

Sede Administrativa: Carrera 30 Nº 25-90 -

3. INFORME DE GESTIÓN Y RESULTADOS.

Verificar la integridad, confidencialidad y disponibilidad de la información de las

Tabla 1. Alineación de las Políticas de Seguridad de la Información de la Secretaría con

POLITICA DE SEGURIDAD DE LA INFORMACION DE DOMINIO ISO 27001:2013

PSI4 La entidad protege las actives de información y vela por la

Sede Administrativa: Carrera 30 Nº 25-90 -

PSI11 La entidad dispone de procedimientos y canales de *N.A

PSI15 La entidad define su plan de continuidad de negocio con el fin de *N.A

Fuente: Elaboración equipo auditor

Sede Administrativa: Carrera 30 Nº 25-90 -

Verificar la existencia y cumplimiento de las Políticas de Seguridad de la

Política de la Seguridad de la Información (Dominio A.5 NTC-ISO/IEC 27001:2013)

A.5.1 Directrices establecidas por la dirección para la seguridad de la información.

Objetivo: Brindar orientación y apoyo por parte de la dirección, para la seguridad de la

 Tomado como referente el contenido de la tabla 1, se verificó la existencia de controles

A.5.1.1 Políticas para la seguridad de la información.

Control: Se debería definir un conjunto de políticas para la seguridad de la información,

 Se observó que la primera versión de las políticas de Seguridad de la Información,

El día 26 de enero de 2017, se evidenció que las políticas de Seguridad de la

 Se observó que la Secretaria Distrital de Hacienda estableció nuevamente su

Sede Administrativa: Carrera 30 Nº 25-90 -

No obstante, se observó que aunque las Políticas de Seguridad de la Información, fueron

A.5.1.2 Revisión de las políticas para seguridad de la información

Control: Las políticas para seguridad de la información se deberían revisar a intervalos

 El equipo auditor no evidenció que se tengan establecidos intervalos planificados para

Organización de la Seguridad de la Información. (Dominio A.6 NTC-ISO/IEC

A.6.1.1 Roles y responsabilidades para la seguridad de información.

Control: Se deberían definir y asignar todas las responsabilidades de la seguridad de la

 Se observó que la entidad expidió la Resolución SDH-00141 del 19 de Junio de 2014

El liderazgo operativo del Subsistema SGSI, actualmente se encuentra bajo la

Sede Administrativa: Carrera 30 Nº 25-90 -

A6.1.2 Separación de deberes.

 El equipo auditor evidenció en el anexo 3 del procedimiento 44-P-01 (versión 15 del

A.6.1.3 Contacto con las autoridades.

 Se evidenció comunicación con el centro CSIRT de la Policía Nacional de Colombia

A.6.1.4 Contacto con grupos de interés especial.

Control: Es conveniente mantener contactos apropiados con grupos de interés especial u

 Se observó la suscripción a alertas de seguridad emitidas por organizaciones

A.6.1.5 Seguridad de la información en la gestión de proyectos.

Control: La seguridad de la información se debería tratar en la gestión de proyectos,

Sede Administrativa: Carrera 30 Nº 25-90 -

El equipo auditor evidenció la elaboración y gestión de una matriz de riesgos de

 De acuerdo con lo informado en las entrevistas y al plan de trabajo definido para el

A.6.2 Dispositivos móviles y teletrabajo.