Nombre de la organización: Segurito S.A.

Actividad: Servicios de logística de valores y gestión documental

Segurito es una empresa dedicada a servicios de logística y custodia de valores, así como
actividades de gestión documental para clientes del sector financiero, salud, y real. Cuenta
con 20 años de experiencia en el mercado y sedes en las ciudades de Bogotá y
Bucaramanga; aunque hay algunas políticas y lineamientos estandarizados, cada una de las
sedes realiza la gestión de su operación, tecnología y seguridad de forma independiente.

Actualmente, Segurito S.A. se encuentra finalizando las actividades de negociación para

firma e inicio de dos contratos:
1. Un nuevo negocio de logística de valores con un grupo financiero.
2. Un contrato de gestión documental con una red de hospitales en Colombia.

Con el fin de poder dar inicio a estos contratos, Segurito S.A. debe demostrar ciertos
estándares de calidad y seguridad frente al manejo de la información de sus clientes; por
ello requiere realizar la revisión de sus niveles de seguridad y la implementación de los
controles necesarios para dar tratamiento a los riesgos y vulnerabilidades existentes.
Desde julio de 2016, la junta directiva solicitó realizar un análisis para determinar el estado
actual en seguridad de la información para la organización el cual fue contratado con un
proveedor. Los resultados de dicho análisis fueron entregados a finales de septiembre de
2016.

Como parte de la descripción entrega por el proveedor se tiene lo siguiente:

“Visita sede Bucaramanga

Ingreso a las instalaciones a partir de las 8:00 a.m. para visitantes, presentación previa de
documento de identificación con fotografía en la recepción donde son tomados los datos
de nombre, número de documento, fotografía, área que visita, funcionario responsable y
huella dactilar para permitir el ingreso a las instalaciones. El funcionario recepcionista no
realiza solicitud de autorización de manejo de datos, sin embargo, la base de datos de
visitantes es eliminada semanalmente. Los funcionarios pueden ingresar desde las 7:15 a.m.
ingresando a través de torniquete con huella dactilar o tarjeta de proximidad.
El visitante es dirigido a una segunda recepción (en el piso base) donde es anunciado con el
funcionario a quien visita el cual debe ir hasta la recepción y recoger al visitante. El visitante
deja un documento de identificación y le es entregado una tarjeta de visitante, la cual
devuelve en el momento de retirarse de la segunda recepción. La sede cuenta con 5 pisos
cada uno de los cuales cuenta con un sistema de puertas activadas a partir de biométrico
dactilar, por lo cual la salida de los visitantes está sujeta al acompañamiento del funcionario
responsable. Sin embargo, se presentan ocasiones en las cuales los visitantes se desplazan
solos en las instalaciones y solicitan la ayuda de otros empleados para poder salir de cada
piso.
El acceso a los aplicativos de la organización se da a través de uso de un usuario y password
por cada uno de los aplicativos, los usuarios pueden tener diferentes nombres de usuario
por aplicativo y en algunos casos se utilizan usuarios genéricos. Dado que los usuarios
manejan varios nombres de usuario y contraseñas se presentan repetidos casos de
solicitudes de desbloqueo de contraseñas o requerimientos para recordar los nombres de
usuario que implican a la mesa de servicio actividades operativas mayores para responder
a todas las solicitudes, así como ocasiona que no en todos los casos realicen las actividades
requeridas de validación de la identidad de los usuarios previo a realizar el desbloqueo de
cuentas.
El área de tecnología tiene implementado una serie de controles y mecanismo para la
administración de las cuentas y claves de usuario y los accesos que requieren los
funcionarios a los diferentes recursos informáticos de la organización. Para el caso de las
aplicaciones, se manejan dos mecanismos de acceso, un esquema centralizado para las
aplicaciones que están integradas al directorio, y un esquema local que se maneja de
manera independiente en las aplicaciones que utilizan usuarios locales para su acceso.
Para el caso de los funcionarios del área financiera se cuenta con la asignación de tokens y
firmas digitales para la realización de las operaciones financieras. La asignación de los
tokens a los funcionarios las realiza el Gerente financiero de acuerdo con quien considera
que en un determinado momento puede realizar la operación financiera requerida.

En el área de tecnología se cuenta con dos analistas que desarrollan actividades paralelas
de administración de servidores, administración de equipos de red, administración de
equipos de seguridad informática y plataformas de virtualización. En igual medida ellos
asesoran las actividades de tecnología realizadas en los proyectos sin supervisión o
actividades de aprobación por parte del Gerente de tecnología. La Gerencia de tecnología
también cuenta con un área de desarrollo en la cual no se siguen prácticas de desarrollo
seguro y gestión de cambios.
En el área contable, se cuenta con dos Analistas contables, un Coordinador Contable y el
cargo de Gerente de contabilidad. Las operaciones realizadas frente a registro de ajustes
contables son realizadas por los analistas o el coordinador sin embargo no se cuenta con
límites de atribuciones establecidos para la realización de estas operaciones, así como no
se recibe autorización final del Gerente para la realización de los ajustes, sino que este es
dado por el Coordinador.

Se tiene establecido, que los requerimientos de acceso de los funcionarios deben ser
solicitados por su Jefe Inmediato al área de tecnología a través de la herramienta
“SolicitudesTI” provista para tal fin. Para realizar esta solicitud, los jefes deben diligenciar
datos básicos como el nombre, documento de identidad, fecha de inicio y de terminación
del contrato del empleado y especificar los aplicativos y recursos a los cuales la persona
requiere tener acceso. Los recursos posibles son:
• Aplicativo EnMovimiento: Sistema Core integral para logística.
• Aplicativo CRM: Sistema para temas de mercadeo y gestión de clientes.
• Aplicativo Gesdata: Sistema de gestión documental.
• Correo electrónico
 • Acceso al file server del área a la cual pertenece el usuario
• Navegación en internet
• Aplicativo de cartografía: para la gestión de rutas de vehículos.
• Aplicativo IPtransp: sistema para telefonía IP.
• SolicitudesTI: aplicativo de gestión de la mesa de servicio.

La autorización se da acuerdo al cargo que desempeña la persona dentro de la organización.

La información de las cuentas de usuario asignadas al funcionario es notificada vía correo
electrónico por el área de tecnología al jefe que realizo la solicitud. Para la creación de un
nuevo usuario se tiene establecido un acuerdo de servicio interno de tres (3) días hábiles,
pero debido al volumen de este tipo de requerimiento, existen casos donde el área de
tecnología no cumple con este tiempo.
La organización cuenta con un área de riesgos encargada de definir las respectivas políticas,
normas y lineamientos relacionados con seguridad de la información y la gestión de otros
riesgos como SARO y SARLAFT. El área de tecnología desarrolla actividades propias de
seguridad informática, sin embargo, en algunos casos desarrolla funciones relacionadas con
seguridad de la información. Hasta el momento las dos áreas no trabajan de la mano, pero
la idea es cambiar el esquema para que trabajen en equipo.
Actualmente la organización cuenta con políticas asociadas a seguridad de la información,
control de acceso, protección de datos personales, uso apropiado de software, uso de
medios removibles y comunicaciones.”

Como parte de una segunda visita se obtiene la siguiente información:

“Como parte del análisis realizado a la empresa Segurito S.A. se encuentran las siguientes
situaciones:

1. La organización cuenta con una metodología para la gestión de proyectos donde

establece los pasos desde la planeación hasta el cierre de los mismos. Fueron revisados
algunos de los proyectos que implican desarrollo de software y se encuentran en curso
y se encontró que estos no consideran la inclusión de lineamientos de seguridad como
parte de su desarrollo.
2. La organización tiene establecidos contratos con entidades financieras, sin embargo, no
cumple con los aspectos requeridos frente a la gestión de seguridad de la información
solicitada a proveedores y terceros que debe cumplir como proveedor por regulación
de la Superintendencia Financiera de Colombia de acuerdo con la circular 042 en los
numerales 3.2.3 y 3.2.5.
3. Los procesos de gestión documental se encuentran documentados por procedimientos
y políticas, los cuales fueron divulgados con el personal. Se realiza una visita a las
bodegas de la sede Bogotá donde se prestan los servicios de gestión documental para
la capital con el fin de verificar la realización de las actividades de acuerdo con su
definición. Se encuentra que, en algunos casos, los procedimientos de gestión
documental no son seguidos como están definidos. Por las áreas de almacenamiento
circula el personal administrativo de la organización adicional al personal a cargo de la
 gestión documental dado que el área de bodega de documentos se encuentra sobre un
pasillo que conduce a las oficinas de administración.
Los documentos se encuentran etiquetados por códigos y nombres de clientes, sin
embargo, no se encuentran sellados y no indican si se trata de información sensible. Se
han dado casos de errores de etiquetado de cajas que ocasionan que el personal a cargo
abra cajas de otros clientes y tenga acceso a información de forma errada. Algunos de
los clientes para los cuales se custodian documentos son entidades del sector salud y se
incluyen historias clínicas y reportes de seguridad social.
4. Continuando con la visita en Bogotá, se entrevista al personal de tecnología a cargo de
esta sede y se valida como se da cumplimiento a las políticas de control de acceso,
protección de datos personales, uso apropiado de software, uso de medios removibles
y comunicaciones. De acuerdo con indicación del personal, las políticas son generadas
en Bucaramanga (donde está la Gerencia de riesgos) sin embargo no hay una persona
encargada de su seguimiento para la sede Bogotá. En la política de control de acceso se
habla sobre la definición de áreas seguras con información o activos sensibles y los
controles de acceso a utilizar para su acceso tales como restricción a personal no
autorizado. La política de protección de datos personales fue generada de acuerdo con
la normatividad. El acceso a las instalaciones de Bogotá sigue los mismos pasos de
acceso a la sede en Bucaramanga.
5. Respecto a la administración de la tecnología, es indicado que se realiza por personal
ubicado en Bogotá. El Datacenter está en el 3 piso de la sede (la sede cuenta con 5 pisos,
la bodega documental está en el primero) y pueden acceder administradores de TI, el
Gerente de TI, los proveedores de tecnología con acompañamiento de personal
autorizado y el personal de aseo de la sede. Se visita el Datacenter con el administrador
de infraestructura, encontrando que las copias de respaldo son almacenadas en cajas
de cartón ubicadas en el Datacenter, de acuerdo con lo indicado por el funcionario, esto
se da de forma esporádica y no por más de una semana, mientras el proveedor a cargo
de la custodia de las cintas las recoge.
6. Hay ocasiones donde los usuarios para poder tomar su periodo de vacaciones dejan sus
usuarios con compañeros para que puedan seguir realizando las actividades de forma
normal, previa autorización del jefe inmediato, si se presentan olvidos de contraseña
que requieran su cambio los usuarios de Bogotá deben llamar a la mesa de servicio de
Bucaramanga. Dado que los funcionarios de Bucaramanga no conocen a los funcionarios
de Bogotá, realizan el desbloqueo de usuarios sin preguntar nada puesto que no los
conocen y no tienen información de referencia.
7. El área de tecnología de Bogotá está compuesta por 3 personas, la carga operativa es
grande y requieren conocer todos de toda la funcionalidad y necesidades para poder
responder a la operación. Dado esto, en la administración de plataforma manejan el
mismo usuario para facilitar la gestión, en los servidores no se han establecido
requerimientos de manejo de contraseñas asociados a cambio por caducidad, longitud
mínima y manejo de históricos. Con el fin de no entorpecer la labor, las estaciones de
trabajo no cuentan con bloqueo configurado para las sesiones por inactividad.
8. Como actividades para gestionar las cuentas y claves de usuario, todo el esquema
centralizado (autenticación contra directorio activo) se maneja desde Bucaramanga. En
el caso de las aplicaciones que utilizan usuarios locales se han definido administradores
locales que pertenecen a las áreas de negocio para apoyar esta labor y evitar que
 tecnología tenga más carga operativa. Las acciones de creación de usuarios,
modificación, eliminación y cambios de contraseñas en estos casos son de
responsabilidad autónoma de estos administradores sin la intervención de tecnología o
la Gerencia de riesgos. Entre los aplicativos que tienen administración local están
Gesdata y el CRM.
9. Tal como se indicó en la sede Bucaramanga, para los requerimientos de acceso de
funcionarios a aplicativos se realiza a través de la herramienta “SolicitudesTI”. La
solicitud se recibe por el personal de TI de Bucaramanga, quien tramita los accesos de
directorio activo y de los aplicativos a los cuales se accede a partir del usuario de red.
En el caso de aplicativos locales (no integrados a directorio activo) el personal de TI
dirige vía correo electrónico solicitud a los administradores de cada aplicativo para que
creen el usuario indicando nombre del funcionario, documento de identidad, área a la
cual pertenece y operaciones o permisos que deben asignarse (a veces no se especifican
los permisos que deben asignarse). Los administradores locales crean los usuarios,
remiten nombre de usuario y password al funcionario a quien lo asignan vía correo
electrónico (no cifrado) indicando que ya tienen acceso al aplicativo y registran los
usuarios en un Excel que tienen para control de los usuarios creados en una carpeta
compartida de sus áreas (Ej. El administrador de CRM es un funcionario de comercial,
que tiene el listado de usuarios en D:\GestionComercial\MiGestion\usuariosCRM.xlsx,
sobre la carpeta MiGestion tiene acceso toda el área comercial dado que requieren ver
otros archivos comerciales). Al momento no se maneja que los usuarios creados en
aplicativos locales sean iguales a los usuarios creados a nivel de red, sin embargo, en la
política de control de acceso se indica que deben manejarse los mismos nombres de
usuario para los funcionarios en los diferentes aplicativos que hay en la organización.
10. Se valida con la Gerencia de riesgos como se realiza trazabilidad de las actividades de
los funcionarios en los aplicativos y se indica que no hay personal a cargo de revisar logs
de auditoria, pero se cuenta con estos sobre transacciones y operaciones realizadas por
los funcionarios. Los logs son almacenados en un servidor de auditoria. Dado que se
tienen problemas de almacenamiento y el volumen de logs es grande, estos se
reescriben cada 2 días para poder grabar más registros de auditoria.
11. Como parte de la visita, se revisan varios documentos desde una sala de reuniones
destinada a proveedores y se descubre que desde esta locación se tiene acceso a varios
segmentos de red (por red cableada). La definición es que el acceso de red para
proveedores es el mismo de visitantes y es por inalámbrica”