Versin 1.

0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I

FECHA DEL INFORME: Mayo 11 de NUMERO DEL INFORME:

2016
OBJETO AUDITADO Seguridad de la informacin en el rea de
sistemas
MACROPROCESO AUDITADO Seguridad de la informacin
FECHA REALIZACION DE LA AUDITORIA 14 marzo de 2016 a 16 de mayo de 2016

RESPONSABLE DEL OBJETO AUDITADO

NOMBRE CARGO
Esteban Arbelez Coordinador de Sistemas

INTRODUCCION (Objetivo, Alcance)

Objetivo.

Realizar la evaluacin de los controles aplicados a los procesos copia, restauracin, y resguardo de la
informacin, con la persona encargada de sistemas de la empresa SOTRANDES S.A.S (Sociedad
Transportadora de los Andes) en el periodo en, de acuerdo a los procedimientos internos de la
institucin y a la norma NTC-ISO/IEC 27001 y buenas prcticas de TI.

Alcance.

Se va a tomar del periodo del ao 2016 del mes de abril del da 1 hasta el 13 de mayo del 2016 como
muestra de los procesos que se estn llevando acabo y registros o documentos los cuales contenga
evidencia de cmo se ha llevado la aplicacin de las polticas de seguridad que se tiene en la
corporacin.

Lugar: SOTRANDES S.A.S (Sociedad Transportadora de los Andes)

Perodo: 18 de abril al 13 de mayo de 2016

Objeto Auditable: Seguridad de la Informacin.

 Versin 1.0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I

Definicin de la Muestra:

Muestra #1:

EVENTO OBSERVADO:

Se detect que todos los funcionarios de la compaa pueden acceder a la informacin visualizando los
mismos datos en el sistema.

RECOMENDACIN:

ISO 27001 4.2.3

La organizacin debe:

a) Ejecutar procedimientos de seguimiento y revisin y otros controles para:

1) detectar rpidamente errores en los resultados del procesamiento;

2) identificar con prontitud los incidentes e intentos de violacin a la
3) seguridad, tanto los que tuvieron xito como los que fracasaron;
4) posibilitar que la direccin determine si las actividades de seguridad
5) delegadas a las personas o implementadas mediante tecnologa de la
6) informacin se estn ejecutando en la forma esperada;
7) ayudar a detectar eventos de seguridad, y de esta manera impedir
8) incidentes de seguridad mediante el uso de indicadores, y
9) 5) determinar si las acciones tomadas para solucionar un problema de
10) violacin a la seguridad fueron eficaces.

b) Emprender revisiones regulares de la eficacia del SGSI (que incluyen el

cumplimiento de la poltica y objetivos del SGSI, y la revisin de los controles de
seguridad) teniendo en cuenta los resultados de las auditorias de seguridad,
incidentes, medicin de la eficacia sugerencias y retroalimentacin de todas las
partes interesadas.

c) Medir la eficacia de los controles para verificar que se han cumplido los
requisitos de seguridad.

d) Revisar las valoraciones de los riesgos a intervalos planificados, y revisar el nivel

de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los
cambios en:
 Versin 1.0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I

1) la organizacin,
2) la tecnologa,
1) los objetivos y procesos del negocio,
2) las amenazas identificadas,
3) la eficacia de los controles implementados, y
4) eventos externos, tales como cambios en el entorno legal o
5) reglamentario, en las obligaciones contractuales, y en el clima social.

e) Realizar auditoras internas del SGSI a intervalos planificados (vase el numeral 6).
NOTA Las auditoras internas, denominadas algunas veces auditoras de primera parte, las
realiza la propia organizacin u otra organizacin en su nombre, para propsitos internos.
f) Emprender una revisin del SGSI, realizada por la direccin, en forma regular para
asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al
proceso de SGSI (vase el numeral 7.1).
g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de las
actividades de seguimiento y revisin.
h) Registrar acciones y eventos que podran tener impacto en la eficacia o el
desempeo del SGSI (vase el numeral 4.3.3).

Muestra # 2:

EVENTO OBSERVADO:

Se detect que los equipos presentan vulnerabilidad en la informacin ya que no cuentan con
antivirus, no cuentan con un sistema operativo actualizado por lo cual se genera una alta probabilidad
de una intrusin maliciosa a los datos como lo puede ser a travs de un sniffer, spyware o malware.

RECOMENDACIN:

ISO 27001 A.9 (A.9.2.4 a A.9.2.7)

A.9.2.4 Mantenimiento de los equipos.

Control Los equipos deben recibir mantenimiento adecuado para asegurar su continua disponibilidad
e integridad.
A.9.2.5 Seguridad de los equipos fuera de las instalaciones.
Control
Se debe suministrar seguridad para los equipos fuera de las instalaciones teniendo en cuenta los
diferentes riesgos de trabajar fuera de las instalaciones de la organizacin.
A.9.2.6 Seguridad en la reutilizacin o eliminacin de los equipos.
Control
Se deben verificar todos los elementos del equipo que contengan medios de almacenamiento para
 Versin 1.0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I

asegurar que se haya eliminado cualquier software licenciado y datos sensibles o asegurar que se
hayan sobrescrito de forma segura, antes de la eliminacin.
A.9.2.7 Retiro de activos
Control
Ningn equipo, informacin ni software se deben retirar sin autorizacin previa.

Muestra # 3:

EVENTO OBSERVADO:

Se evidencio que los funcionarios del rea de sistemas realizan modificaciones en los archivos
previamente actualizados.

RECOMENDACIN:

ISO 27001 A.10.1

A.10.1.1 Documentacin de los procedimientos de operacin

Control
Los procedimientos de operacin se deben
documentar, mantener y estar disponibles para todos los usuarios que los necesiten.
A.10.1.2 Gestin del cambio. Control Se deben controlar los cambios en los servicios y los sistemas de
procesamiento de informacin.

A.10.1.3 Distribucin de funciones.

Control
Las funciones y las reas de responsabilidad se deben distribuir para reducir las oportunidades de
modificacin no autorizada o no intencional, o el uso inadecuado de los activos de la organizacin.
A.10.1.4 Separacin de las instalaciones de desarrollo, ensayo y operacin.
Control
Las instalaciones de desarrollo, ensayo y operacin deben estar separadas para reducir los riesgos de
acceso o cambios no autorizados en el sistema operativo.
 Versin 1.0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I

CONCLUSION

Se requiere una adecuada restructuracin del control de los datos que cumpla los requerimientos de
seguridad de la informacin en la empresa Sotrandes S.A.S, debido a que los controles que existen
actualmente no cumplen las medidas de seguridad que debe tener la empresa transportadora con el fin
de salvaguardar los activos y asegurar el que las actividades que realizan los funcionarios en la empresa
Sotrandes S.A.S se efectan con normalidad de acuerdo a las polticas de seguridad de la informacin
ptimas.

RESULTADOS DE LA AUDITORIA

Se evaluaron los controles encargados de mitigar los riesgos de perdida de la informacin para el rea
de sistemas:

Se verifico el procedimiento preventivo contra desastres naturales que afecten a las tecnologas
de informacin y que estos estn alineados con la continuidad y seguridad de la informacin.

Se evaluaron los controles preventivos que se aplican para mitigar los riesgos que afectan a la
infraestructura fsica del centro.

Donde los resultados de las pruebas obtenidos reflejan que los funcionarios conocen las polticas que
existen dentro de la organizacin, adems se evidencia que hay una resolucin que indica las pautas y
uso responsable de las tics y de correo institucional, tambin se obtuvo como resultado el que los
funcionarios estn expuestos a perdida de informacin debido a la falta de infraestructura y software
para realizar copias de seguridad.

De acuerdo a los controles establecidos por el centro de formacin se identific que este sigue como
parmetro principal de buenas practicas la norma ISO 27001 ya que SOTRANDES S.A.S no se encuentra
certificado en dicha norma, pero si en la ISO 9001, la cual genero la implementacin de un sistema para
la gestin de la calidad que tiene como uno de sus pilares la norma NTC-ISO 27001.
 Versin 1.0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I

LISTA DE DISTRIBUCION
Copia de este informe se ha entregado a las siguientes personas:
NOMBRE CARGO
Javier Ortiz Gerente General
Julio Rodrguez Ingeniero de Sistemas
Esteba Arbelez Coordinador de Sistemas

OBSERVACIONES DEL AUDITADO

Conforme a la auditora a realizar, se analizarn los procesos que estn descritos en este documento.
Se realizarn capacitaciones a los encargados de los procesos para controlar los mismos, esto con el
fin de revisar las causas por las cuales se est incurriendo en falencias.

ANEXOS
1. Ingreso al servidor
2. Inventario
3. Mantenimiento
4. Proceso de Backup
5. Programas instalados
6. Usuarios registrados

Notas:
1. Copia de este informe debe ser devuelto al auditor firmado en seal de aceptacin y
confirmacin de lo acordado en la revisin, dentro de los siguientes cinco (5) das calendario.
Cumplido este trmino se dar como aceptado el informe.

2. El auditado cuenta con un plazo mximo de cuatro semanas a partir de la entrega de este
informe para que formule y comunique le Plan de Accin para el tratamiento de las No
Conformidades y Observaciones que se relacionan y enviar copia de ste al auditor lder para
el seguimiento correspondiente.
 Versin 1.0
Cdigo IF1
Informe Final de Auditora Fecha 7 de Mayo de 2016
I

NOMBRE FIRMA
Elabor
Esteban Arbelez Hernndez

Auditor Lder
Aprob

Director Ejecutivo de Auditoria

Aprob
Esteban Arbelez Hernndez

Responsable del Objeto Auditado