secretarÍa distrital de hacienda despacho del … · dominios a5 al a9, objetivos de control y...

Sede Administrativa: Carrera 30 Nº 25-90 - Código Postal 111311 Dirección de Impuestos de Bogotá: Avenida Calle 17 Nº 65B-95 - Código Postal 111611 Teléfono (571) 338 5000 • Línea 195 [email protected] • Nit. 899.999.061-9

Bogotá, Distrito Capital - Colombia

SECRETARÍA DISTRITAL DE HACIENDA

DESPACHO DEL SECRETARIO DE HACIENDA

OFICINA DE CONTROL INTERNO

INFORME FINAL

AUDITORÍA DE GESTIÓN AL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN

(Dominios A5 al A9 de la NTC 27001:2013)

Bogotá D. C., ABRIL 2017

mailto:[email protected]



Secretaria Distrital de Hacienda Distrital BEATRIZ HELENA ARBELÁEZ MARTÍNEZ

Jefe de la Oficina de Control Interno ALBERTO CASTIBLANCO BEDOYA

Jefe Oficina de Control Interno (e)

Equipo Auditor KITSON RICARDO CASTAÑO ESPINOSA

Profesional Especializado Código 222 Grado 27

Auditor Líder

JUAN ALBERTO JAMAICA OSPINA

Profesional Universitario Código 222 Grado 24

Auditor Interno

JHON ALEXANDER TORRES DUARTE

Profesional Universitario Código 219 Grado 18

Auditor Interno




CONTENIDO

Página

1. PLAN DE AUDITORÍA

5

2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA AUDITORÍA

6

3. INFORME DE GESTIÓN Y RESULTADOS

3

4. CONCLUSIONES

35

5. RECOMENDACIONES 36




INTRODUCCIÓN

La Oficina de Control Interno, en desarrollo de lo previsto en los artículos 209 y 269 de la

Constitución Política, en la ley 87 de 1993 y demás normas que la complementan y

desarrollan, y de acuerdo con lo previsto en el Plan Anual de Auditoria para la vigencia

2017, realizó una auditoría de gestión al sistema de seguridad de la información (Dominios

A5 al A9 de la NTC 27001:2013).

Este documento, presenta el informe resultante de la auditoria mencionada previamente;

contiene aspectos administrativos, normativos y técnicos, que fueron detectados como

oportunidades de mejora por el equipo auditor con el ánimo de generar eficiencia en las

actividades que se ven involucradas en el procesamiento de la información de la Secretaria

de Hacienda Distrital que es susceptible de ser protegida.




1. PLAN DE AUDITORÍA

OBJETIVO GENERAL

Verificar la integridad, confidencialidad y disponibilidad de la información de las dependencias auditadas según Dominios A.5 al A.9, controles y objetivos de control, con corte a la fecha. OBJETIVOS ESPECÍFICOS

Verificar la existencia y cumplimiento de las Políticas de Seguridad de la Información al Interior de las dependencias auditadas relacionadas con los dominios A5 al A9.

Verificar el estado en la implementación y/o aplicación de los controles, al interior de las dependencias auditadas respecto de:

Política de la Seguridad de la Información (Dominio A.5 NTC-ISO/IEC 27001:2013)

Organización de la Seguridad de la Información. (Dominio A.6 NTC-ISO/IEC

27001:2013)

Seguridad de los Recursos Humanos. (Dominio A.7 NTC-ISO/IEC 27001:2013)

Gestión de Activos. (Dominio A.8 NTC-ISO/IEC 27001:2013)

Control de Acceso. (Dominio A.9 NTC-ISO/IEC 27001:2013)

Verificar la efectividad de los controles de los dominios A.5 al A.9 identificados para asegurar la integridad, confidencialidad y disponibilidad de la información asociados a los riesgos de seguridad de la información.

ALCANCE

Dominios A5 al A9, objetivos de control y controles en observancia de la norma NTC-ISO/IEC 27001:2013, acorde con lo establecido en la Resolución 305 de 2008 de la Comisión Distrital de Sistemas y demás normatividad aplicable a la fecha.

CRITERIOS

Resolución 305 de 2008 de la Comisión Distrital de Sistemas «Por la cual se expiden políticas públicas para las entidades, organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la Información y Comunicaciones respecto a la planeación, seguridad, democratización, calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales y Software Libre» en su capítulo segundo reglamenta que las entidades distritales deben adoptar como marco de referencia para el desarrollo e implementación del Sistema de Gestión de Seguridad de la Información las normas NTC-ISO/IEC 27001 y la NTC-ISO/IEC 27002.




METODOLOGÍA

La auditoría se ejecutó de acuerdo con las normas de auditoría generalmente aceptadas y el procedimiento 71-P-02 de auditoría de gestión establecido por la Oficina de Control Interno de la Secretaría de Hacienda.

Las técnicas de auditoría utilizadas con las áreas auditadas, fueron entrevistas con funcionarios, revisión de información, revisión documental, cruce de información, entre otras, durante la ejecución de la misma, tomando selectivo (muestreo no estadísticas) para verificación de controles, en puestos de trabajo del personal de las siguientes dependencias: Dirección de Informática y Tecnología, Dirección de Gestión Corporativa, Subdirección de Planeación e Inteligencia Tributaria, Oficina de Análisis y Control de Riesgos y Oficina de Control Disciplinario Interno.

2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA AUDITORÍA

La auditoría fue incluida y aprobada en el Programa Anual de Auditorías aprobado por el Comité de Control Interno el 2 de Febrero de 2017, y se tenía prevista como Auditoría de Gestión al Sistema de Seguridad de la Información (Dominios A5 al A9 de la NTC 27001:2013) implementado y consolidado. No obstante, desde la etapa de preparación en reuniones sostenidas con el Subsecretario General y el equipo de trabajo de Seguridad de la Información realizaron las respectivas aclaraciones, indicando ellos que actualmente se encuentra en etapa de diagnóstico para posterior implementación del Sistema de Seguridad de la Información en la Secretaria, razón por la cual fue necesario ajustar el alcance de la auditoría.

Por lo anterior, se hace la salvedad, que se concertó entre auditados y la oficina de control interno que dadas las condiciones y el proceso que se está adelantando de elaboración del diagnóstico, políticas de seguridad e identificación de riesgos, entre otros, en la Secretaría Distrital de Hacienda, como resultado de la ejecución de la auditoría en el informe se incluirán únicamente “Oportunidades de Mejora” y “Recomendaciones” en cumplimiento del rol de “Asesoría” que compete a la Oficina de Control Interno.

Para la ejecución de la auditoría, se tenía previsto un plazo prudencial de ocho (8) semanas, sin embargo, el desarrollo de la misma coincidió con vencimientos del Impuesto predial que exigía dedicación exclusiva a varias Direcciones de la Secretaría, razón por la cual fue necesario reprogramar (dos semanas después) la realización de las entrevistas. Para la ejecución de la auditoría se realizó solicitud de información, a través de memorandos a la Oficina de Planeación y la Dirección de Informática y Tecnología, Subsecretaría General, Subdirección de Planeación e Inteligencia Tributaria Oficina de Análisis y Control de Riesgos, Dirección de Gestión Corporativa, Análisis y Control de Riesgos. Adicionalmente el equipo auditor agendó reuniones con las áreas incluidas en el selectivo.




Los resultados del presente informe sólo se hacen referencia a los documentos y pruebas realizadas y no se hacen extensibles a otros soportes.

La Oficina de Control Interno remitió el informe preliminar de la Auditoría del SGSI a los correos electrónicos de las áreas auditadas el día 11 de mayo de 2017 según memorando CORDIS 2017IE8888 dando un plazo de 5 días, de acuerdo a lo establecido en el procedimiento 71-P-02, para allegar las observaciones correspondientes. Teniendo en cuenta que una vez transcurrido el término otorgado para dar respuesta, los auditados no se pronunciaron sobre el informe preliminar, la Oficina de Control Interno da por entendido que fue aceptado.

3. INFORME DE GESTIÓN Y RESULTADOS.

Verificar la integridad, confidencialidad y disponibilidad de la información de las dependencias auditadas según Dominios A.5 al A.9, controles y objetivos de control, con corte a la fecha.

Producto del análisis y verificación documental por parte del equipo auditor, para cada una de las Políticas de Seguridad de la Información de la Secretaría, se hizo la revisión para constatar la alineación con los Dominios de la NTC-ISO-IEC 27001:2013 por parte de la entidad, como se detalla en la siguiente tabla:

Tabla 1. Alineación de las Políticas de Seguridad de la Información de la Secretaría con los Dominios A5 a A9 de la NTC-ISO-IEC 27001:2013.

POLITICA DE SEGURIDAD DE LA INFORMACION DE LA SDH

DOMINIO ISO 27001:2013

PSI1 Las responsabilidades frente a la seguridad de la información son

definidas en el manual de funciones y/o en los documentos del Sistema de Gestión de Calidad, son publicadas, divulgadas y formalmente aceptadas por cada uno de los servidores públicos, proveedores y terceros.

A.6 Organización dela seguridad de la información.

PSI2 La entidad establece roles y responsabilidades para el gobierno,

la gestión, administración y operación de la seguridad de la información. A.6 Organización dela seguridad de la información.

PSI3 La entidad protege la información creada, procesada, transmitida

o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales, que pueden ser causados por las amenazas.

A.9 Control de acceso

PSI4 La entidad protege las actives de información y vela por la

efectividad de los mecanismos de control de acceso físico que aseguren las instalaciones en todas sus sedes

* N.A




POLITICA DE SEGURIDAD DE LA INFORMACION DE LA SDH

DOMINIO ISO 27001:2013

PSI5 La entidad clasifica su información de acuerdo a las normas

aplicables y define procedimientos e instructivos que le permitan a los propietarios de la información, que la cataloguen y determinen los controles requeridos para su protección.

A.8 Gestión de activos

PSI6 La entidad está comprometida con proteger la información de los

riesgos que se derivan de la gestión de sus servidores públicos.

A.7 Seguridad de los recursos humanos

PSI7 La entidad adopta mecanismos de autenticación para el acceso

y/o uso de los activos de información, los cuales son personales e intransferibles. Los servidores públicos, terceros y contribuyentes son responsables de tomar precauciones para mantener en secreto los medios

de autenticación.

A.9 Control de acceso

PSI8 La entidad controles la gestión y operación de los activos de

información incluyendo; las tecnologías de información y comunicaciones (TIC's), el ciclo de vida del software y monitorea su uso.

* N.A

PSI9 La entidad establece cuales son los sistemas de información

corporativos y sus respectivos propietarios los cuales asignan, modifican, revocan y depuran los privilegios de accesos de los usuarios de manera controlada.


PSI10 La entidad define el área responsable de autorizar la adquisición,

instalación, cambio o eliminación de componentes de la plataforma

tecnológica (hardware y software)

A.6 Organización dela seguridad de la información.

PSI11 La entidad dispone de procedimientos y canales de

comunicación para que los servidores públicos, proveedores, terceros y ciudadanos cumplan su obligación de reportar incidentes y anomalías, que permitan una respuesta rápida y coordinada para minimizar impactos negativos en su operación y mejorar la efectividad del modelo de

seguridad.

*N.A

PSI12 El acceso a la información, es autorizado por el responsable del

tratamiento de la misma y está controlado por mecanismos que garantizan confidencialidad, integridad, disponibilidad, control y auditoria.

A.9 Control De Acceso

PSI13 El acceso a los activos de información y a los recursos que

intervienen en su tratamiento, depende de las funciones propias del cargo o servicio contratado.


PSI14 La entidad exige a; funcionarios, contratistas y particulares que

ejerzan funciones públicas, que apliquen todas las medidas a su alcance para que los activos de información mantengan su confidencialidad, disponibilidad e integridad en cualquier media que estos se encuentren

A.7 seguridad de los recursos humanos

PSI15 La entidad define su plan de continuidad de negocio con el fin de

asegurar la disponibilidad de sus procesos misionales y la continuidad de su operación para que sean ejecutados por sus servidores públicos.

*N.A

Fuente: Elaboración equipo auditor *NA= No aplica para los dominios objeto de auditoría (A5 a A9) ISO 27001:2013




Adicionalmente, para determinar la integridad, confidencialidad y disponibilidad de la información acorde con el plan de auditoría se verificaron los aspectos contenidos específicos como se enuncia a continuación:

Verificar la existencia y cumplimiento de las Políticas de Seguridad de la Información al Interior de las dependencias auditadas relacionadas con los dominios A5 al A9 y el estado en la implementación y/o aplicación de los controles, al interior de las dependencias auditadas respecto de:

Política de la Seguridad de la Información (Dominio A.5 NTC-ISO/IEC 27001:2013)

A.5.1 Directrices establecidas por la dirección para la seguridad de la información.

Objetivo: Brindar orientación y apoyo por parte de la dirección, para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes.

Tomado como referente el contenido de la tabla 1, se verificó la existencia de controles para los procesos auditados y se observó que las políticas actuales de seguridad de la información se encuentran alineadas con la NTC-ISO-IEC 27001:2013, como se menciona a continuación:

A.5.1.1 Políticas para la seguridad de la información. Control: Se debería definir un conjunto de políticas para la seguridad de la información, aprobada por la dirección, publicada y comunicada a los empleados y partes externas pertinentes. Se observó que la primera versión de las políticas de Seguridad de la Información,

fueron aprobadas en marzo de 2015 y fueron publicadas en mayo de 2015, según acta 01 del 30 de julio de 2015 de la revisión gerencial del Sistema Integral de Gestión.

El día 26 de enero de 2017, se evidenció que las políticas de Seguridad de la Información versión 2 fueron presentadas al Comité SIG de la SDH, y aprobadas el 1 de febrero de 2017, las cuales se encuentran vigentes.

El equipo auditor constató que para el segundo semestre de 2016 la SDH conformó un equipo de trabajo con el objetivo de fortalecer el Sistema de Gestión de la Seguridad de la Información para la entidad, equipo de trabajo que se asignó a la Subsecretaria General.

Se observó que la Secretaria Distrital de Hacienda estableció nuevamente su compromiso con la seguridad de la información aprobando la segunda versión de las políticas de Seguridad de la información que entró en vigencia el 15 de febrero de 2017.




El equipo auditor evidenció la publicación en el portal web de la Entidad http://www.shd.gov.co/shd/sites/default/files/files/sistemas/pol20170215segprivinf.pdf la versión 2 de las políticas de Seguridad de la Información. No obstante, se observó que aunque las Políticas de Seguridad de la Información, fueron publicadas el 15 de Febrero de 2017 su divulgación y socialización inició el 17 de abril del presente año a través de campañas con tips para darlas a conocer y que se apropien por parte de los funcionarios y partes interesadas de la SDH.

A.5.1.2 Revisión de las políticas para seguridad de la información Control: Las políticas para seguridad de la información se deberían revisar a intervalos planificados o si ocurren cambios significativos, para asegurar su conveniencia, adecuación y eficacia continúas.

El equipo auditor no evidenció que se tengan establecidos intervalos planificados para efectuar la revisión de las políticas de seguridad de la información de la Secretaría.

Organización de la Seguridad de la Información. (Dominio A.6 NTC-ISO/IEC

27001:2013)

A.6.1.1 Roles y responsabilidades para la seguridad de información. Control: Se deberían definir y asignar todas las responsabilidades de la seguridad de la información.

Se observó que la entidad expidió la Resolución SDH-00141 del 19 de Junio de 2014

"Por la cual se crean los niveles de responsabilidad y autoridad del Sistema Integrado de Gestión - SIG en la Secretaria Distrital de Hacienda y se dictan otras disposiciones". En el artículo 3° se establece el Subsistema de Seguridad de la Información (SGSI) que hace parte del SIG. En el artículo 5° designa como Líder del SGSI a la Dirección de Sistemas e Informática (DSI), hoy, Dirección de Informática y Tecnología (DIT). El artículo 6° le designa funciones, roles y responsabilidades a los líderes de los subsistemas establecidos. Igualmente en varios artículos crea mesas técnicas, equipos operativos y al Comité del SIG, les designa funciones y responsabilidades.

El artículo 19° establece que los servidores públicos de la SDH deben participar activamente en la implementación y mejora continua del Sistema Integrado de Gestión de acuerdo con los lineamientos y metodologías suministradas por las diferentes instancias de coordinación de la entidad.

El liderazgo operativo del Subsistema SGSI, actualmente se encuentra bajo la coordinación de la Subsecretaría General de la entidad.

Se evidenció en el acta del Comité SIG del 26 de enero de 2017 que a la Oficina Asesora de Planeación y a la Subsecretaría General se les designó proyectar el acto




administrativo que modificara la Resolución 00141 de 2014 en cuanto a la nueva asignación del líder funcional del Subsistema de Gestión de Seguridad de la Información y la Estrategia de Gobierno en Línea – GEL, compromiso que está pendiente.

A6.1.2 Separación de deberes. Control: Los deberes y áreas de responsabilidad en conflicto se deben separar para reducir las posibilidades de modificación no autorizada o no intencional, o el uso indebido de los activos de la organización.

El equipo auditor evidenció en el anexo 3 del procedimiento 44-P-01 (versión 15 del

SGC) complementado con el procedimiento 46-P-04 Atención De Requerimientos ara Software Aplicativo del CPR 46, pertenecientes a la Dirección de Informática y Tecnología, donde se encuentran definidos y establecidos los roles y responsabilidades de los participantes (Usuario funcional, Líder Funcional, Líder Técnico, Analista, DBA) en los proyectos de desarrollo de software realizados al interior de la entidad. Estos procedimientos están soportados en el Sistema de Gestión de Requerimientos de Software.

A.6.1.3 Contacto con las autoridades. Control: Se deberían mantener los contactos apropiados con las autoridades pertinentes.

Se evidenció comunicación con el centro CSIRT de la Policía Nacional de Colombia mediante correos electrónicos enviados en agosto de 2015 que fueron relacionados por la Subsecretaría General en el memorando 2017IE4944.

A.6.1.4 Contacto con grupos de interés especial. Control: Es conveniente mantener contactos apropiados con grupos de interés especial u otros foros y asociaciones profesionales especializadas en seguridad.

Se observó la suscripción a alertas de seguridad emitidas por organizaciones especializadas del grupo operativo de SGSI de la entidad y replicación de estas alertas a las dependencias de la SDH, de acuerdo con las evidencias aportadas por la Subsecretaría General en el memorando 2017IE4944.

A.6.1.5 Seguridad de la información en la gestión de proyectos. Control: La seguridad de la información se debería tratar en la gestión de proyectos, independientemente del tipo de proyecto.

Mediante memorando 2017IE6180 del 30 de marzo de 2017 la OACR informó que sólo se cuenta con una matriz de riesgos inherentes de seguridad de la información para la




Dirección de Impuestos de Bogotá elaborada en el marco del proceso de optimización que se encuentra en ejecución al interior de la entidad. El equipo auditor evidenció la elaboración y gestión de una matriz de riesgos de seguridad de la información ajustada a la metodología establecida en el procedimiento 76-P-02 "Gestión De Riesgo En Seguridad De La Información" de la Oficina de Análisis y Control de Riesgos y al consultar soportes con dicha dependencia se informó que la matriz llegó a la etapa de establecer los riesgos inherentes, siendo importante que determinen el riesgo residual de los riesgos inherentes identificados.

De acuerdo con lo informado en las entrevistas y al plan de trabajo definido para el proyecto de optimización de procesos indican que “van a realizar el levantamiento de los riesgos de seguridad de la información en las diferentes áreas de la entidad”, en los cuales se deberá aplicar los lineamientos establecidos por el procedimiento de la OACR.

Finalmente durante la etapa de ejecución del presente informe se observó que mediante Resolución SDH-000080 del 24 de abril de 2017, la Secretaría de Hacienda adoptó la Política integral de Administración de Riesgos y las "Políticas complementarias para la Gestión del Riesgo Operacional”. documento en el cual se establecen las políticas, estrategias y recursos para la administración de riesgos y las sanciones por el incumplimiento de las mismas, así mismo se contemplan diferentes tipologías de riesgos dentro de las cuales se incluyeron las de seguridad de la información.

A.6.2 Dispositivos móviles y teletrabajo. Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.

En reunión realizada el día 25 de abril de 2017 con la Dirección de Informática y

Tecnología el equipo auditor consultó si existe un procedimiento establecido referente a las políticas y controles de uso de los dispositivos móviles asignados en la entidad, respecto a lo cual indicaron “que no tienen conocimiento en el caso de los Smart Phones, y para los portátiles se aplican las mismas de los equipos de escritorio siempre y cuando estén conectados a la red corporativa de la entidad”. Se recomienda identificar y adoptar políticas y controles de uso de los dispositivos móviles de propiedad de la entidad.

A.6.2.2 Teletrabajo. Control: Se deberían implementar una política y unas medidas de seguridad de soporte, para proteger la información a la que se tiene acceso, que es procesada o almacenada en los lugares en los que se realiza teletrabajo. La Dirección de Gestión de Corporativa se encuentra ejecutando un proyecto de

implementación de Teletrabajo en la organización, la cual se tiene prevista para finalizar en el 2018 según se observó en el plan de acción 2017 de la dependencia, publicado en el Portal Web de la SDH, así mismo tienen contemplado ejecutar una prueba piloto en el cuarto trimestre del 2017.


http://aplinternas.shd.gov.co/calidad/archivos_adjuntos/76-P-02_2_20160428_081721.pdf%20t%20_blank



Se evidenció como soporte del trabajo realizado en el proyecto mencionado, la DGC remitió copia del acta No 185 de la reunión realizada con el SENA y la SDH con el objetivo de ofrecer información e inducción sobre la ruta de acción para el proceso de teletrabajo y cronograma detallado con actividades, fechas y responsables de la vigencia 2017.

El equipo auditor recomienda tener en cuenta las exigencias normativas para la implementación del teletrabajo, en especial los aspectos relacionados con el uso adecuado de los equipos informáticos y la adaptación del manual de funciones y competencias laborales de acuerdo a lo indicado en el Decreto 884 de 2012.

Seguridad de los Recursos Humanos. (Dominio A.7 NTC-ISO/IEC 27001:2013)

A.7.1 Antes de asumir el empleo. Objetivo: Asegurar que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran.

A.7.1.1 Selección. Control: Las verificaciones de los antecedentes de todos los candidatos a un empleo se deberían llevar a cabo de acuerdo con las leyes, reglamentos y ética pertinentes, y deberían ser proporcionales a los requisitos de negocio, a la clasificación de la información a que se va a tener acceso, y a los riesgos percibidos.

Se observó que la a Entidad y específicamente la Subdirección de Talento Humano, para el proceso de selección de personal tiene documentado el procedimiento denominado Provisión de Personal (02-P-01) por medio del cual realiza la verificación de los antecedentes de los candidatos a los empleos a proveer.

El equipo auditor realizó la revisión al listado de Usuarios de Red entregado por la DIT en memorando 2017IE6344 y tomó un muestreo selectivo de 12 registros identificados como pasantes como se muestra en la tabla 2,cotejando contra las bases de datos suministradas por la Dirección de Gestión Corporativa no se encontraron registrados en estas. Al indagar el equipo auditor con la DGC sobre la situación evidenciada, respondieron no tener conocimiento de la vinculación de este grupo de personas en la Secretaría.

TABLA 2: Usuarios Pasantes de la SHD que fueron identificados como pasantes.

CORREO ULTIMO FECHA DE INICIO DE SESIÓN DEPENDENCIA

[email protected] 7/13/2016 2:25:59 PM Dirección Jurídica

[email protected] 9/16/2016 9:47:25 AM Dirección Jurídica





CORREO ULTIMO FECHA DE INICIO DE SESIÓN DEPENDENCIA


[email protected] 11/10/2016 10:31 Dirección Jurídica








Fuente: Cruce efectuado por el equipo auditor de base de datos DIT y bases de datos DGC

Adicionalmente el equipo auditor solicitó mediante correo electrónico el día 20 de abril de 2017 a la Dirección Jurídica soportes de las verificaciones de antecedentes de hoja de vida que hayan realizado a siete (7) de los colaboradores indicados anteriormente en la tabla, que por usuario de red se observó que fueron vinculados a la entidad, información que no fue allegada al equipo auditor.

Se reiteró esta solicitud a la Dirección Jurídica el día 24 de abril de 2017 y a la fecha de elaboración del informe preliminar no se recibió la información, razón por la cual se deja la nota que no fue posible hacer la verificación de las evidencias por parte del equipo auditor.

A.7.1.2 Términos y condiciones del empleo Control: Los acuerdos contractuales con empleados y contratistas, deberían establecer sus responsabilidades y las de la organización en cuanto a la seguridad de la información

Se evidenció que los servidores públicos que ingresan a la entidad deben firmar un compromiso de confidencialidad como requisito para la posesión del cargo, igualmente a los contratistas tienen cláusulas para este fin los acuerdos contractuales como pudo ser evidenciado por el equipo auditor, para tal efecto se consultó el Sistema Electrónico para la Contratación Estatal – SECOP, y se efectuó un muestreo no estadístico de diez (10) contratos celebrados por la entidad, en los cuales se pudo comprobar que cuentan con una cláusula de confidencialidad de la información de la SHD, tal como se observa en la cláusula No 27 de la imagen extractada de uno de los contratos revisados (170043-0-2017):

Adicionalmente, la DIT reportó mediante correo del 27 de abril de 2017 que para el contrato de outsourcing con el proveedor de mesa ETB: 160270-0-2016 en el documento de estudios previos, obligaciones Generales 6 cita: "Guardar total reserva de la información que por razón del servicio y desarrollo de sus actividades obtenga. Esta es




de propiedad de la Secretaría Distrital de Hacienda de Bogotá D.C., y solo salvo expreso requerimiento de autoridad competente podrá ser divulgada".

Imagen 1. Cláusula de Confidencialidad de la Información

Fuente: Contrato 170043-0-2017 suscrito por la SHD

A.7.2.1 Responsabilidades de la dirección. Control: La dirección debería exigir a todos los empleados y contratistas la aplicación de la seguridad de la información de acuerdo con las políticas y procedimientos establecidos por la organización. En la reunión realizada el día 25 de abril de 2017 con la DIT el equipo auditor consultó

la forma como los directivos de dicha dirección asegura que los colaboradores estén debidamente informados sobre sus roles y responsabilidades de seguridad de la información, indicando que se dan a conocer los roles y responsabilidades antes de que se les otorgue el acceso a la información o sistemas de información confidenciales como es el caso de los diseñadores de software

Adicionalmente, la SOTIC indicó que mediante capacitaciones en el puesto de trabajo realizadas a los colaboradores que ingresan a la dependencia, se les dan a conocer las funciones a desarrollar y procedimientos que deberán seguir, por ejemplo el procedimiento 44-P-01 (Construcción O Mantenimiento De Soluciones De Software) en el caso de esa subdirección.


http://aplinternas.shd.gov.co/calidad/archivos_adjuntos/44-P-01_15_20161102_144944.pdf%20t%20_blank



Se allegó por parte del Grupo de Seguridad de la Información el documento denominado "Formato Aceptación Política" donde se observó que está diseñado para ser diligenciado por empleados, supernumerarios, contratistas, y otros, herramienta que permitirá dar cobertura de la aplicación de las Políticas de Seguridad de la Información de manera que sea cumplida por quien tiene acceso a la información de la entidad.

Adicionalmente, en reunión celebrada el 21 de abril de 2017 con la Subdirección de Planeación e Inteligencia tributaria de la Dirección de Impuestos de Bogotá esta hizo entrega al equipo auditor copia del formato "ACUERDO DE CONFIDENCIALIDAD CELEBRADO ENTRE LA SECRETARÍA DISTRITAL DE HACIENDA DE BOGOTÁ, D.C Y ___" que se firma entre la Dirección de Impuestos y cada uno de los funcionarios y que tiene como finalidad establecer los términos que rigen el uso y la protección de la información incorporada en documentos y bases de datos utilizadas en dicho despacho.

A7.2.2 Toma de conciencia, educación y formación en la seguridad de la información. Control: Todos los empleados de la organización, y en donde sea pertinente, los contratistas, deben recibir la educación y la formación en toma de conciencia apropiada, y actualizaciones regulares sobre las políticas y procedimientos de la organización pertinentes para su cargo.

Respecto a este control, el equipo de auditor aplicó una encuesta de cinco preguntas (4 cerradas y 1 abierta) a 37 funcionarios de las áreas auditadas de diferentes cargos (auxiliar, técnico, profesional), con el objetivo de establecer el grado de conocimiento y apropiación de los encuestados sobre el SGSI al interior de la entidad y como aplican la seguridad en sus labores diarias , producto de la tabulación y análisis de las encuestas se presentan los siguientes resultados:

Imagen Pregunta No 1 de Encuesta SGSI







El equipo auditor procedió a hacer un análisis de los resultados obtenidos y luego de la

tabulación de las encuestas, se obtuvo los siguientes resultados:




Pregunta No 1. ¿Conoce usted el sistema de Gestión de Seguridad de la Información de la SDH? Se observó que el 84% de los encuestados respondió que sí conoce el Sistema de gestión de Seguridad de la Información y el 16% no lo conoce.

Pregunta No 2 ¿Aplica usted las políticas de Seguridad de la Información en sus actividades?

Se observó que el 92% de los encuestados respondió que aplica las políticas de seguridad de la Información y el 8% no.

Pregunta No 3 ¿Conoce usted las políticas de Seguridad de la Información?

Se observó que el 76% de los encuestados respondió que sí conoce las políticas de seguridad de la Información y el 13% no y un 11% restante no sabe/no responde.

Pregunta No 4 Cuando me hablan de seguridad de la información considera que hacen referencia a:

Se observó que el 68% de los encuestados respondió correctamente y el 32% de manera incorrecta.

Pregunta No 5 (abierta) ¿Cómo contribuye usted con la Seguridad de la información al interior de la SDH?

Se observó que las prácticas más comunes de seguridad de la información al interior de la Secretaria aplicadas por los funcionarios son: El bloqueo de la sesión de computador cuando se levantan del puesto, La utilización del correo institucional para él envió de información de la entidad, y

El no compartir las claves de acceso al computador y aplicaciones.

Se observaron resultados positivos en la aplicación de la encuesta respecto al conocimiento y aplicación de la Seguridad de la Información y sus políticas, situación que pudo obedecer a los tips de seguridad que se han remitido a través del correo electrónico y de las carteleras virtuales, por lo que se sugiere sea una actividad que se ejecute de manera permanente.

A7.2.3 Proceso disciplinario Control: Se debe contar con un proceso formal, el cual debe ser comunicado, para emprender acciones contra empleados que hayan cometido una violación a la seguridad de la información. Se observó que la Secretaria Distrital de Hacienda tiene documentada la caracterización

del proceso CPR-56 Investigaciones Disciplinarias, dentro de la cual se establece que existen dos clases de procedimientos; Procedimiento Disciplinario Ordinario (56-P-01)




Procedimiento Disciplinario Verbal (56-P-02) y en el nomograma la referenciación de la Ley 734 de 2002, así las cosas el equipo auditor procedió a verificar dicha norma encontrando el ámbito de aplicación legal a utilizar en el caso de afectación de la seguridad de la información de la entidad, de lo cual resalta el artículo 48° los numerales 1 y 43 que indican:

Artículo 48. Son faltas gravísimas las siguientes:

1. Realizar objetivamente una descripción típica consagrada en la ley como delito sancionable a título de dolo, cuando se cometa en razón, con ocasión o como consecuencia de la función o cargo, o abusando del mismo... 43. Causar daño a los equipos estatales de informática, alterar, falsificar, introducir, borrar, ocultar o desaparecer información en cualquiera de los sistemas de información oficial contenida en ellos o en los que se almacene o guarde la misma, o permitir el acceso a ella a personas no autorizadas. (Subrayado y resaltado por el equipo auditor)

La Oficina de Control Interno Disciplinario reportó mediante correo electrónico del 21 de abril el siguiente resumen estadístico sobre procesos disciplinarios relacionados con violación a la Seguridad de la Información adelantados por dicha dependencia durante la vigencia 2016 y 2017:

Tabla 3 Estadística Procesos Disciplinarios relacionados por violación a la seguridad de la

información

ETAPA DEL PROCESO DISCIPLINARIO

APERTURA INVESTIGACION 5

APERTURA INDAGACIÓN PRELIMINAR 6

ARCHIVO EN INDAGACIÓN PRELIMINAR 7

REMISIONES POR COMPETENCIA 2

AUTO INHIBITORIO 1

TOTAL 21

Fuente: Datos suministrados por la OCDI Así mismo se indicó que se hace uso del sistema SID 3 (Sistema de Información Disciplinario del Distrito Capital -http://www.alcaldiabogota.gov.co/SID3/portal/index.jsp) el cual es de uso exclusivo para los funcionarios de la Oficina de Control Disciplinario; y se utiliza para subir la información de los procesos disciplinarios. La protección de la información física está a cargo de los funcionarios quienes mantienen el expediente bajo llave, una vez finalizan las etapas del proceso disciplinario pasa al archivo de gestión por tres años y luego al archivo central por 12 años.

El equipo de auditor verificó la Política de Seguridad y Privacidad de la Información de la entidad y observó que en su en su numeral séptimo contempla las sanciones relacionadas con el incumplimiento a las políticas, así:


http://www.alcaldiabogota.gov.co/SID3/portal/index.jsp%20t%20_blank



“El incumplimiento de lo establecido en el presente documento será evaluado según el impacto generado y a criterio de las instancias de control se aplicaran las medidas correctivas a que haya lugar, las cuales pueden ser acciones administrativas disciplinarias y/o penales.”

Gestión de Activos. (Dominio A.8 NTC-ISO/IEC 27001:2013)

A8.1 Responsabilidad por los activos.

Objetivo: Identificar los activos organizacionales y definir las responsabilidades de protección adecuadas. A8.1.1 Inventario de activos. Control: Se deben identificar los activos asociados con información e instalaciones de procesamiento de información, y se debe elaborar y mantener un inventario de estos activos. ● Se evidencia que la Secretaría Distrital de Hacienda adoptó los criterios de valoración

de sus activos de información, dentro de las acciones de implementación de la ley de Transparencia y Acceso a la Información Pública mediante la Resolución No SDH-000194 del 4 de septiembre de 2015.

Se observó que la Secretaría tiene documentados procedimientos para la administración

de los Activos de información entre ellos se encuentra el de Recepción e Ingreso de Bienes Devolutivos y de Consumo 40-P-01, - Retiro de Bienes del Inventario 40-P-02, - Asignación y Entrega de Bienes Devolutivos 40-P-03, - Elaboración y Actualización de

Tablas de Retención Documental 43-P-19, Análisis de Riesgos en Seguridad de la Información se establece en el instructivo 76-I-03 y una matriz de activos de información.

Adicional a lo anterior también se evidenció que cuenta con el instructivo "Clasificación De Activos De Información Y Análisis De Riesgos En Seguridad De La Información" con código (76-I-03) mediante el cual se establece la metodología para efectuar el inventario y la clasificación de los activos de información, para los diferentes tipos de activos (personas, Hardware, Software, Bases de Datos, Servicios, etc.) Así mismo se pudo evidenciar que existe un inventario de activos de información, que se encuentra publicado en el portal web de la entidad en el siguiente link: http://www.shd.gov.co/shd/node/21000 Dentro de este link se observó que hay un archivo en formato Excel con el nombre Inventario Activos Datos e Información.xlsx y se indica que la fecha del documento es del Jueves, Marzo 19, 2015. En este sentido, se recomienda realizar la respectiva actualización.


http://www.shd.gov.co/shd/node/21000

http://www.shd.gov.co/shd/sites/default/files/documentos/Inventario%20Activos%20Datos%20e%20Informaci%C3%B3n.xlsx%20t%20_blank



Al efectuar una análisis de los datos registrados en el documento publicado, se observó que existe una columna denominada "Tipo" al efectuar la revisión de registros consignados en la matriz se evidenció que todos están catalogados como "Datos/Información". Se recomienda hacer la revisión y actualización pertinente de manera que se incluyan todos los registros según su clasificación, teniendo en cuenta que actualmente sólo se tienen identificados como “Datos/Información”.

A8.1.2 Propiedad de los activos

Control: Los activos mantenidos en el inventario deben tener un propietario. Se observó que la propiedad de los activos de información le corresponde a la dirección

que los genera en el día a día de su gestión, teniendo en cuenta que es quien los mantiene actualizados, los clasifica y diseña los controles para su seguridad y los administra en el tiempo.

Adicionalmente se evidencia que mediante la Resolución No SDH-000194 del 4 de septiembre de 2015 se asigna la responsabilidad al jefe de cada dependencia asignar el carácter de información clasificada o reservada a la información pública que se encuentra bajo su posesión, control o custodia según disposiciones legales aplicables vigentes.

Se evidencia que mediante la Circular Interna N0. DDI-0000001 del 6 de Febrero de 2017 la Dirección de Impuestos de Bogotá adopta lineamientos para el tratamiento de información tributaria y no tributaria tanto dentro de la Entidad como la entrega a autoridades judiciales, legales o administrativas y adopta íntegramente el concepto dado sobre el tema por la Dirección Jurídica mediante CORDIS 2017IE1153 del 20 de enero de 2017.

Se evidenció que en el inventario de activos de información que se encuentra publicado en la página Web de la Secretaría de Hacienda se encuentra una columna denominada propietario y en otra custodio, es decir que se tiene establecido dentro del inventario antes indicado que cada activo de información referenciado en la matriz de inventario, cuenta con un responsable que lo administra.

A8.1.3 Uso aceptable de los activos. Control: Se deben identificar, documentar e implementar reglas para el uso aceptable de información y de activos asociados con información e instalaciones de procesamiento de información.

Se observó en el procedimiento 65-P- 06 "Administración de Cuentas de usuario" se establecen los parámetros de administración de las cuentas de usuario de los sistemas de información de la Entidad., y en consecuencia todas las Direcciones auditadas tienen controles para el acceso a las diferentes bases de datos y/o aplicativos que se emplean en la gestión.




A8.1.4 Devolución de activos. Control: Todos los empleados y usuarios de partes externas deben devolver todos los activos de la organización que se encuentren a su cargo, al terminar su empleo, contrato o acuerdo. Se observó que la Dirección de Gestión Corporativa tiene documentado el procedimiento

Retiro Del Servicio (85-P-03) y el formato 85-F.10 Constancia De Entrega que deberá ser diligenciado por colaboradores que tengan una vinculación de Libre nombramiento y remoción, Carrera Administrativa, Provisional, supernumerario, Contratista, Vinculación Temporal o Pasante, certificando la entrega de bienes y documentos a su cargo, asuntos pendientes y demás información como requisito para legalizar su retiro de la entidad según normatividad aplicable para cada caso.

Adicionalmente el equipo de auditor solicitó soporte del trámite de devolución de equipos tecnológicos (computadores, USB, celulares, etc.) que procesen o almacenen información por parte de colaboradores que se retiraron de la entidad, según selectivo tomado de los listados de planta y retiros remitidos por la Dirección de Gestión Corporativa para 8 funcionarios donde se tomó 1 transitorio, 5 provisionales y 2 titulares, observando en los 8 soportes remitidos por la la Subdirección de Talento Humano que fueron diligenciados en su totalidad tanto por los colaboradores como por cada una de las áreas requeridas.

A8.2.1 Clasificación de la información. Control: La información se debe clasificar en función de los requisitos legales, valor, criticidad y susceptibilidad a divulgación o a modificación no autorizada.

Se observó que la clasificación de activos de información y análisis de riesgos en seguridad de la información está establecida en el instructivo 76-I-03 en el que se incluyeron siete (7) parámetros para su clasificación: Planeación, Especificación de procedimiento e Inventario y clasificación de activos de información, Identificación de riesgos, Valoración del riesgo inherente, identificación y valoración de controles existentes, Valoración del riesgo residual y Propuesta e implementación de tratamientos de riesgo.

A8.2.2 Etiquetado de la información. Control: Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el etiquetado de la información, de acuerdo con el esquema de clasificación de información adoptado por la organización. Se evidenció que el etiquetado de la información implica la calificación del activo de

información, atendiendo la naturaleza del mismo, es decir se tiene en cuenta la legislación, identificación y calificación de los activos de Información de acuerdo a la




categorización y nivel de riesgo, mediante código de barras, en aras de reducir la posible afectación negativa de la seguridad de la información gestionada por la Entidad.

A8.2.3 Manejo de activos. Control: Se deben desarrollar e implementar procedimientos para el manejo de activos, de acuerdo con el esquema de clasificación de información adoptado por la organización. Se observó que mediante el aplicativo CORDIS se realiza el control de los documentos

radicados ante la Secretaría y de los documentos generados por la entidad, así, como los trámites internos surtidos para dar respuesta a los diferentes requerimientos.

Se evidenció que mediante el centro Web de Contenidos WCC (Web Content Center) se está realizando la migración de imágenes que permita digitalizar e indexar los documentos de las diferentes áreas de la entidad, entre otros, para lo cual fue necesario establecer controles para el autenticación de usuarios y contraseña, creando grupos de usuarios de acuerdo a las series documentales. Igualmente el equipo auditor evidenció que el sistema permite la generación de reportes de auditoría donde se visualizan acciones ejecutadas por los funcionarios con la información dentro de la herramienta.

Durante la reunión con la Oficina de Control Disciplinario Interno del 4 de abril de 2017 señaló que en el marco del WCC se están digitalizando los expedientes, que obran como segundo cuaderno de copias, (Contribución preventiva). La OCDI cuenta con un espacio exclusivo para el ingreso de la información, contribuyendo a la política gubernamental “Cero Papel” establecida en el Decreto Nacional Anti trámites 019 de 2012.

Y que para el control de acceso a la información se restringió soló para el personal de la oficina en el aplicativo WCC, asignando un escáner que está conectado a la red con acceso exclusivo para la Oficina de Disciplinarios. El equipo auditor verificó los soportes del proyecto de digitalización en WCC que está adelantando la Oficina de Control Disciplinario Interno, respecto del cuaderno de copias de todos los procesos disciplinarios (Art. 96 Ley 734 de 2002) que se iniciaron a partir de enero de 2016 y planillas de reuniones que fueron remitidas mediante correo electrónico el día 21 de abril al equipo auditor, observando la realización de 4 reuniones entre la Subdirección de Gestión Documental y la Oficina de Control Disciplinario Interno relacionadas con el proyecto WCC. Igualmente mantienen informes de entrega de expedientes activos e inactivos de abogados de la OCDI a la Subdirección de Gestión Documental para que fueran ingresados a la herramienta como se constató en los soportes allegados.

Adicionalmente se verificó la ejecución del proyecto de digitalización de documentos en WCC en la Oficina de Análisis y Control de Riesgo, quienes informaron que

"Teniendo en cuenta las mesas de trabajo realizadas por la subdirección y la Oficina asesora, una de las necesidades conversadas fue la digitalización de la información que contaba la oficina en su estantería en especial las Actas. Para ello se llevó un trabajo en conjunto donde la Oficina entregaba a través de un ticket (adjunto a este correo) por la mesa de servicio, las cajas y carpetas organizadas y creadas en el SGDEA-WCC, según procedimientos de la CPR-




43, y estas se comenzaban a escanear, e indexar al perfil de la serie que le correspondía según las tablas de Retención.

Cada vez que se cumplía con la tarea de un ticket hasta la entrega de la documentación y su puesta en el sistema, la oficina generaba otro ticket por mesa de servicio entregando las siguientes Cajas y carpetas para ser digitalizadas.

La evidencia quedaba contemplada en el Ticket asignado y terminaba con el documento subido al sistema SGDEA".

Al respecto, el equipo auditor observó la copia de los soportes del ticket 43101, con sus cajas y carpetas creadas en el sistema junto con las personas que intervinieron en el proceso.

Por otra parte se evidenció que la Secretaría Distrital de Hacienda expidió la resolución 0064 del 7 de abril de 2017 “Por la cual se aprueba el Sistema Integrado de Conservación – SIC de la Secretaria Distrital de Hacienda”. que tiene como finalidad garantizar la conservación y preservación de cualquier tipo de información de la Entidad, manteniendo atributos como unidad, integridad, autenticidad, inalterabilidad, originalidad, fiabilidad y accesibilidad de toda la documentación de la entidad, tanto física como digital en todo su ciclo de vida (art. 1 Acuerdo 006 de 2014 del Archivo General de la Nación). Para esto, el SIC de la entidad contempla dos planes: 1. Plan de conservación documental: Aplica para los documentos de archivo creados

en medio físico y/o análogo.

2. Plan de preservación digital: Aplica a documentos digitales y o electrónicos de archivo.

A8.3.1 Gestión de medio removibles. Control: Se deben implementar procedimientos para la gestión de medio removibles, de acuerdo con el esquema de clasificación adoptado por la organización.

Se observó que en la actualidad la SDH no cuenta con un procedimiento sobre las políticas y controles de uso sobre los dispositivos móviles asignados en la entidad quienes indicaron que no tienen conocimiento con respecto a Smart-Phones.

Actualmente la DIT se encuentra desarrollando una propuesta denominada "Archivos X" con la cual se pretende proveer un espacio virtual de almacenamiento para que los funcionarios suban la información a utilizar y de esta manera prevenir o mitigar el riesgo de fuga de información y de infección de software malicioso, para deshabilitar los puertos de USB de los equipos informáticos de la entidad. El equipo auditor pudo observar que a la fecha sólo se han efectuado campañas de promoción del servicio, sin que se haya informado sobre la gestión de los medios removibles a los usuarios.

A8.3.2 Disposición de los medios.




Control: Se debe disponer en forma segura de los medios cuando ya no se requieran, utilizando procedimientos formales. Se observó que en el procedimiento disposición Final 43-P16 se establecen los pasos a

seguir para la disposición final de los expedientes físicos, electrónicos e híbridos teniendo en cuenta lo definido en la Tabla de Retención Documental, con el fin de establecer la documentación a eliminar, seleccionar o conservar.

De igual manera el grupo de Seguridad de la Información perteneciente a la Subsecretaria General allegó documento denominado "Procedimiento De Borrado Seguro" en el cual se señala el paso a paso para efectuar un formateo de dispositivos físicos de almacenamiento de información a bajo nivel, con lo cual se busca eliminar la información guardada en los dispositivos de almacenamiento, observando que este documento no está normalizado en el sistema de gestión de calidad. Se sugiere realizar la formalización en el SGI del documento “Procedimiento De Borrado Seguro”.

A8.3.3 Transferencia de medios físicos. Control: Los medios que contienen información se deben proteger contra acceso no autorizado, uso indebido o corrupción durante el transporte. En la reunión realizada el día 20 de abril de 2017 con la Dirección de Gestión Corporativa

se consultó sobre los controles establecidos para la seguridad de la información física (documentos y /o medios de almacenamiento electrónicos). La subdirección de Gestión Documental indicó que se aborda en diferentes aspectos, así:

Para la distribución de las comunicaciones de la Secretaría se tiene suscrito un contrato de correspondencia y como mecanismo de control para asegurar la entrega, en oportunidad y calidad, tienen un sistema de acuses de recibo, que permite hacer cruces en las bases de datos de entrega como de recibo y seguimiento a los mensajeros por GPS.

Para el caso de movimiento de gran volumen (por un trasteo) o un traslado documental tienen controles en el embalaje; utilizando cajas de cartón adecuadas, marcación de los contenidos, utilización de dos tipos de zunchos uno de ellos numerado (para evitar aperturas y posibles pérdidas) y cámara de seguridad en el vehículo.

Adicionalmente la Subdirección de Gestión Documental reportó mediante correo electrónico del día 26 de abril que el contrato actual está suscrito con la firma A&V EXPRESS, No. 160104-0-2016 del 18 de mayor 2017. Y que dentro del contrato de correspondencia tienen vinculado personal que apoya la gestión y trámite de las comunicaciones oficiales de la entidad, en este grupo tienen designados diez (10) motorizados encargados de transportar y entregar la documentación, con los tiempos estipulados en el procedimiento CPR-43 Gestión Documental; actividad que debe ser verificada por el supervisor del contrato.

Control de Acceso. (Dominio A.9 NTC-ISO/IEC 27001:2013)




A9.1 Requisitos del negocio para el control de acceso. Objetivo: Limitar el acceso a información y a instalaciones de procesamiento de información.

A9.1.1 Política de control de acceso.

Control: Se debe establecer, documentar y revisar una política de control de acceso con base en los requisitos del negocio y de la seguridad de la información.

El equipo auditor observó que en el documento de Políticas de Seguridad de la Información Versión 2 se encuentran establecidos los lineamientos PS7, PSI12 y PSI13 que se deberán seguir en la entidad con respecto al Control de Acceso a los activos de Información de la Secretaría.

A9.1.2 Registro y cancelación del registro de usuarios.

Control: Se debe implementar un proceso formal de registro y de cancelación de registro de usuarios, para posibilitar la asignación de los derechos de acceso.

Para verificación de lo establecido en el procedimiento 65-P-06 “Administración De Cuentas De Usuario” de la gestión de cuentas de usuario de los sistemas de información de la Secretaria Distrital de Hacienda mediante ticket de Mesa de Servicio, el equipo auditor solicitó a la DIT mediante correo electrónico del 25 de abril de 2017, el registro respecto de la solicitud de usuarios de red del grupo de personas que encuentran relacionadas en la tabla del control 7.1. La DIT mediante correo del 27 de abril de 2017 reportó que mediante la Solicitud de creación: 41234 en atención al CORDIS 2016IE13526 fueron creados los usuarios para ese grupo de colaboradores. Igualmente reportó la Solicitud de creación: 45387 atendiendo una petición de la Dirección Jurídica creando el usuario "lnunez".

La Oficina de Control Disciplinario Interno reportó mediante correo electrónico del 21 de abril de 2017 que para la solicitud de creación o cancelación de usuarios en el SID 3 se debe diligenciar un formato establecido por la Dirección Distrital de Asuntos Disciplinarios de la Secretaría Jurídica de la Alcaldía Mayor de Bogotá, por ser los Administradores funcionales y técnicos de esta herramienta;

Se evidenció que se utiliza el formato 43-F.35 “PERMISOS DE ACCESO A SERIES” para la solicitud de autorización a usuarios para el acceso a series y subseries en el Sistema de Gestión Documental por parte de las dependencias.

A9.2.2 Suministro de acceso de usuarios. Control: Se debe implementar un proceso de suministro de acceso formal de usuarios para asignar o revocar los derechos de acceso para todo tipo de usuarios para todos los sistemas y servicios.




Se observó que la entrega formal para la entrega de usuarios y clave inicial se hace a través de tickets y CORDIS Según lo establecido en el procedimiento 65-P-06 "Administración De Cuentas De Usuario".

La Oficina de Control Disciplinario Interno reportó mediante correo electrónico del 21 de abril de 2017 que dicha jefatura envía la solicitud a la Secretaría Jurídica y la respuesta es enviada por correo institucional a cada funcionario, en la que se informa el usuario y la contraseña, esta última que tiene carácter provisional puesto que por seguridad de la información, cada usuario deberá cambiar la contraseña recibida. En el mencionado correo adjunta copia de un formato diligenciado dirigido a la Secretaría Jurídica donde se observó la solicitud de asignación de diferentes roles a 9 funcionarios de la OCDI e indicó que son solicitados según funciones y responsabilidades.

A9.2.3 Gestión de información de autenticación secreta de usuarios. Control: Se debe restringir y controlar la asignación y uso de derechos de acceso privilegiado

El equipo auditor evidenció que se verifica la identidad de usuario antes de proporcionarle la nueva información de autenticación secreta, adicionalmente se observó que la Dirección Jurídica realizó solicitud de creación de usuarios a la DIT, a través del ticket 45387 respecto a este requerimiento la DIT mediante CORDIS 2013IE17297 del 24 de agosto de 2016. reportó que no pudo crear el usuario para uno de los colaboradores solicitados, debido a que el usuario "mmorales" ya existe y se requiere de un segundo nombre o apellido para poder crear otro usuario para el colaborador, sin que a la fecha el equipo auditor haya observado la solución a esta situación.

A9.2.4 Gestión de información de autenticación secreta de usuarios. Control: La asignación de información de autenticación secreta se debe controlar por medio de un proceso de gestión formal. El equipo auditor en reunión con la DIT el día 25 de abril de 2017 consultó sobre el

proceso de asignación de usuarios en la entidad y la DIT indicó que los memorandos que son remitidos con los usuarios creados mediantes solicitudes de creación (o tickets) tienen adjunto un sobre sellado con los datos de usuario y clave asignados, situación que fue evidenciada por los auditores.

A9.2.5 Revisión de los derechos de acceso de usuarios.

Control: Los propietarios de los activos deben revisar los derechos de acceso de los usuarios, a intervalos regulares.

El equipo auditor en reunión con la DIT el día 25 de abril de 2017 consultó sobre la forma de verificar las asignaciones de privilegios periódicamente, para asegurar que no se hayan obtenido privilegios no autorizados indicando esta Dirección que aunque se




cuenta con la herramienta Audit Vault se deberían definir responsables de revisar alertas que envíe el aplicativo cuando ocurra actualizaciones de datos no autorizadas. La configuración de estas alertas se deberán definir en mesas de trabajo que se adelanten con las áreas funcionales propietarias de la información.

A9.2.6 Retiro o ajuste de los derechos de acceso. Control: Los derechos de acceso de todos los empleados y de usuarios externos a la información y a las instalaciones de procesamiento de información se deben retirar al terminar su empleo, contrato o acuerdo, o se deben ajustar cuando se hagan cambios.

El equipo auditor observó mediante el análisis de la información de la planta de personal remitida por la Dirección de Gestión Corporativa, el caso de una funcionaria que se encontraba en vinculación provisional en la Subdirección de Gestión Documental renunciado a este cargo para ingresar a la Oficina de Notificaciones y Documentación Fiscal de la DIB con vinculación temporal. Observando se encontró que el usuario de dicha funcionaria se encuentra activo para el aplicativo CORDIS según listado remitido de usuarios activos.

Frente a esta situación, se consultó mediante correo electrónico a la Subdirección de Gestión Documental del 20 de abril de 2017, los soportes de los trámites a las solicitudes de retiro de los derechos de acceso a este aplicativo, indicando mediante respuesta del 26 de abril de 2017 que la funcionaria se encontraba en la Subdirección Gestión Documental y se inactivó de CORDIS el día 28-03-2017, por cuanto quedó seleccionada y vinculada según el concurso de temporales y por esta razón la Oficina de Notificaciones y Documentación Fiscal, solicitó la activación en esa dependencia, activación que se registró el día 29-03-2017.

En la siguiente imagen que adjuntó la subdirección se pudo observar la activación e inactivación del usuario de la funcionaria por retiro e ingreso de la entidad con diferente tipo de vinculación:

Imagen 2. Registro de activación e Inactivación de usuario

Fuente: Correo electrónico de la Subdirección de Gestión Documental

A9.3 Responsabilidades de los usuarios.




Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de autenticación. A9.3.1 Uso de información de autenticación secreta.

Control: Se debe exigir a los usuarios que cumplan las prácticas de la organización para el uso de información de autenticación secreta.

El equipo auditor evidenció el 30 de marzo de 2017 en los portátiles de la Sala de Informática del Noveno Piso de la Entidad, que tienen adherido con cinta un papel que registra el usuario Sala_Informatica_9-1 y la clave correspondiente.

Imagen 3. Imagen de portátil 1 con usuario y contraseña

Fuente: Tomada por el equipo auditor en el noveno piso.








Se verificó el usuario en el listado de usuarios de red remitido por la DIT encontrándose en estado activo. El equipo auditor efectuó una prueba del ingreso en el equipo de cómputo pccadse06041 conectado a la red corporativa de la entidad el día 17 de abril de 2017 resultando exitoso el acceso como se observa en las siguientes imágenes:

Imagen 6. Prueba de acceso en el equipo de cómputo pcadse06041

Fuente. Toma efectuada por el equipo auditor en el computador pcadse06041






Al realizar las pruebas de acceso por parte del el equipo auditor, utilizando el usuario y clave que se encuentra adheridos en los portátiles ubicados en las salas de informática del noveno piso, se observó que con la sesión iniciada dentro del equipo fue posible explorar la red de la entidad como se muestra a continuación: Imagen 8. Prueba de equipos conectados a red encontrados utilizando el usuario y

clave de portátil de noveno piso.


A9.4 Control de acceso a sistemas y aplicaciones. Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.




A9.4.1 Restricción de acceso a la información. Control: El acceso a la información y a las funciones de los sistemas de las aplicaciones se debe restringir de acuerdo con la política de control de acceso.

El equipo auditor observó en el formato 44-F.05 “ESPECIFICACIÓN FUNCIONAL” Versión 11, utilizado en el procedimiento 44-P-01 CONSTRUCCION O MANTENIMIENTO DE SOLUCIONES DE SOFTWARE la sección 3.1 donde se definen los perfiles y responsabilidades que tendrán el aplicativo a construir.

La sección 3.2 donde se definen los datos de entrada y salida de cada proceso; la sección 3.3. Para identificar el análisis de impacto en el aplicativo definiendo qué funcionalidades del aplicativo en producción, se ven afectadas por el desarrollo de la nueva funcionalidad, con el fin de tomar las acciones pertinentes; la sección 3.4 identificado si la nueva funcionalidad impactará la funcionalidad de otros aplicativos o requiere funcionalidades de ellos; la sección 4 para incluir los prototipos referenciados en el numeral 3.2 definiendo las características de cada campo.

A9.4.2 Procedimiento de ingreso seguro.

Control: Cuando lo requiere la política de control de acceso, el acceso a sistemas y aplicaciones se debe controlar mediante un proceso de ingreso seguro.

El equipo auditor observó en el formato 44-F.16 ESPECIFICACIÓN TÉCNICA Versión 8 utilizado en el procedimiento 44-P-01 CONSTRUCCION O MANTENIMIENTO DE SOLUCIONES DE SOFTWARE la sección 6 “Características no funcionales” donde los analistas de la SOTIC deben indicar el mecanismo de seguridad que la aplicación o funcionalidad utiliza para dar ingreso a un usuario, por ejemplo:

a) Usuario y PassWord ó b) valida y autentica usuario en OIM y OID respectivamente.


Fuente: Verificación realizada por el equipo auditor




A9.4.3 Sistema de gestión de contraseñas. Control: Los sistemas de gestión de contraseñas deben ser interactivos y deben asegurar la calidad de las contraseñas.

El equipo auditor efectuó una prueba en el Sistema de Gestión de Identidades para verificar si se encuentran implementadas las consideraciones técnicas en la generación de las contraseñas establecidas en el 65-P-06 ADMINISTRACION DE CUENTAS DE USUARIO haciendo un intento de cambio de clave con el dato “1111” obteniendo el resultado que se observa en el siguiente gráfico:

Imagen 8. Prueba de equipos conectados a red encontrados utilizando el usuario y

Fuente: prueba realizada por el equipo auditor

Con base en la prueba realizada, se observó que el control establecido, es efectivo. A9.4.4 Uso de programas utilitarios privilegiado. Control: Se debe restringir y controlar estrictamente el uso de programas utilitarios que podrían tener capacidad de anular el sistema y los controles de las aplicaciones.

El equipo auditor realizó un análisis del listado titulado 5. SOFTWARE INFORMÁTICO remitido por la DIT encontrando el siguiente software instalado en los equipos de cómputo de la entidad:




Tabla 4: No Software utilitario Instalado

SOFTWARE INSTALADO

CANTIDAD EQUIPOS DONDE SE ENCUENTRA INSTALADO

Emule 1

File Scavenger 3.2 5

FileZilla Client 3.6.0.2 1 Fuente: Equipo auditor

Al consultar por internet las funcionalidades de estos aplicativos se observó que Emule y FileZilla Client permite compartir archivos electrónicos entre computadores y File Scavenger permite recuperar archivos borrados o recuperar datos de discos duros reformateados.

A9.4.5 Control de acceso a códigos fuente de programas.

Control: Se debe restringir el acceso a los códigos fuente de los programas.

Mediante memorando 2017IE6004 se solicitó a la DIT el listado de usuarios con acceso a las herramientas de control de versiones de código fuente Visual Source Safe y Subversion utilizada en dicha dependencia. Posteriormente, mediante correo electrónico del 26 de abril se solicitó soportes de la gestión de asignación y retiros de accesos de usuarios a las herramientas mencionadas realizadas en el vigencia 2017 y de los logs de auditoria que lleve registro de las acciones ejecutadas dentro de estas por los usuarios. A la fecha del 28 de abril del 2017 la OCI no recibió información definitiva de los soportes solicitados por lo cual el equipo auditor no pudo realizar la verificación del control.

Verificar la efectividad de los controles de los dominios A.5 al A.9 identificados para asegurar la integridad, confidencialidad y disponibilidad de la información asociados a los riesgos de seguridad de la información.

De acuerdo a las pruebas y verificaciones realizadas por el equipo auditor, respecto a

los controles identificados para los dominios del A.5 al A.9 en la Secretaría se pudo

establecer que algunos de ellos son efectivos y otros son susceptibles de mejora como

lo pueden evidenciar en la presentación de resultados de este informe.




4. CONCLUSIONES

La entidad se encuentra en proceso de implementación de un Sistema de Seguridad de la Información y para dar cumplimiento a la Resolución 305 del 2008 por la cual se establece las políticas en materia de Tecnologías de la Información y Comunicaciones para el Distrito, se evidencia que se la existencia de elementos y controles que permiten proveer una protección a la información de la entidad.

Las áreas auditadas cuentan con sistemas de control que les permite proveer un nivel de seguridad a la información que se utilizan para el desarrollo de sus funciones institucionales, controles que se implementaron en su momento para mitigar la exposición a la perdida de información, en especial ante las amenazas del entorno en que se procesa la información de la entidad.

En muchas ocasiones, estos controles se han implementado por iniciativas individuales por parte de las diferentes direcciones, otros se generaron como proyectos para cubrir una necesidad y dar una protección adecuada a la información de la Secretaria, con aplicaciones como el CORDIS, PERNO,LIMAY, Mesa de ayuda, etc, situación que se refleja en la no integralidad de un sistema de seguridad de la información

La Secretaría adelanta acciones de elaboración del mapa de riesgos de seguridad de la información, conforme con el instructivo “Diligenciamiento de la Matriz de Riesgos en Seguridad de la Información” identificado con código 76-02 perteneciente al sistema de gestión de calidad de la SHD, anotando que a la fecha de corte de la presente auditoria de evidencia que la única matriz de riesgos de seguridad de la información existente, se levantó en la Dirección de Impuestos de Bogotá, en el marco del proyecto de optimización de procesos.

La secretaria inicio la gestión para identificar los activos de información de la entidad, cuyos resultados pudo verificar, el equipo auditor, en el inventario de activos de información que se encuentra publicada en el portal web de la SDH en el siguiente Link: http://www.shd.gov.co/shd/sites/default/files/files/Inventario%20Activos%20Datos-%20Informaci%C3%B3n%20SDH%20v2(1).xlsx).

En esta matriz de activos de información, no se relaciona, entre otros, los elementos de hardware, software, recursos humanos, tal como se encuentra indicado en el instructivo “Clasificación de Activos de Información y Análisis de Riesgos en Seguridad de la Información” con código 76-I-03, así como las definiciones señaladas en la Políticas de Seguridad de la Información de la entidad, en el numeral 10.2 del artículo 10° de la resolución 305 de 2008 vigente a la fecha del desarrollo de la auditoría, que menciona lo siguiente:

“Activos de información: Elementos de Hardware y de Software de procesamiento, almacenamiento y comunicaciones, bases de datos y procesos, procedimientos y recursos humanos asociados con el manejo de los datos y la información misional,


http://www.shd.gov.co/shd/sites/default/files/files/Inventario%20Activos%20Datos-%20Informaci%C3%B3n%20SDH%20v2(1).xlsx%20t%20_blank

http://www.shd.gov.co/shd/sites/default/files/files/Inventario%20Activos%20Datos-%20Informaci%C3%B3n%20SDH%20v2(1).xlsx%20t%20_blank



operativa y administrativa de cada entidad, órgano u organismo”(subrayado y resaltado por la OCI)

Dentro del periodo de ejecución de la auditoria, se pudo evidenciar el inicio de una campaña de publicidad mediante mensajes en carteleras virtuales, correo electrónico, fondo de pantalla, para promover e incentivar entre los funcionarios de la SHD, el conocimiento y aplicación de las políticas de seguridad de la información en sus actividades diarias.

5. RECOMENDACIONES

Los activos de información de la SHD están expuestos a amenazas derivadas de acciones o conductas accidentales o intencionales por parte de las personas que acceden a los sistemas, por lo que se debe fortalecer los controles existentes y/o implementar nuevos, dentro de un modelo coordinado de administración de riesgos de seguridad de la información, de manera tal que los controles adoptados se complemente entre si y hagan más robusta la seguridad de la Información como materia prima de la Entidad.

Conforme la normatividad adoptada en el Distrito Capital, los parámetros para la implementación del Sistema de seguridad de la Información se fundamenta en la norma técnica NTC-ISO-IEC 27001, por lo que se recomienda su observancia en el proceso de diseño e implementación del sistema de seguridad de la Información de la SHD.

Como mecanismo de fortalecimiento del sistema de seguridad de la información, se recomienda efectuar jornadas de socialización de las Políticas de Seguridad de la Información de la Secretaria de Hacienda Distrital para los trabajadores contratistas y terceros que tengan acceso la red corporativa de la entidad atendiendo la responsabilidad y las maneras y formas en que cumplen con dicha responsabilidad.

La matriz de activos de información que tiene la Secretaria debe ser actualizada bajo la nueva estructura y siguiendo las indicaciones consignadas en el instructivo “Clasificación de Activos de Información y Análisis de Riesgos en Seguridad de la Información” 76-I-03 y en el numeral 10.2 del artículo 10° de la resolución 305 de 2008 vigente a la fecha del desarrollo de la auditoría que menciona lo siguiente:

“Activos de información: Elementos de Hardware y de Software de procesamiento, almacenamiento y comunicaciones, bases de datos y procesos, procedimientos y recursos humanos asociados con el manejo de los

datos y la información misional, operativa y administrativa de cada entidad, órgano u organismo”(subrayado y resaltado por la OCI)




Diseñar una estrategia para la formación progresiva de la Cultura de la Seguridad de la Información, en la cual se debe buscar el compromiso y apoyo de las direcciones, indicando las pautas de comportamiento apropiadas para el uso de los sistemas y la información, las cuales están plasmadas en las políticas y procedimientos de seguridad de la información, así como las sanciones por su incumplimiento.

Esta estrategia debe tener planes para cada una de las etapas de aprendizaje: sensibilización (conocimiento básico), entrenamiento (habilidades), educación formal y desarrollo profesional.

Establecer medidas con el fin de evitar el uso de usuarios genéricos o restringir el acceso limitado en estos equipos, así como ejercer un control estricto en el manejo de las autenticaciones de usuarios.

Verificar la pertinencia del software instalado en los equipos de cómputo, para evitar riesgos de seguridad de la información, como son la vulneración de la propiedad intelectual, descarga de software infectado con malware, filtraciones de información y ataques de denegación de servicios (Denial of Services DoS)

Se recomienda realiza mesas de trabajo, con las áreas funcionales propietarias, para establecer los controles, alertas necesarias para prevenir posibles fugas, perdidas y/o modificaciones de la información por personal no autorizado.

El equipo auditor recomienda se determine si la información reservada relacionada con datos de dirección, teléfono, celular y otros datos personales, se transmitan a través de mecanismos seguros, tipo protocolo HTTPS

Se recomienda incluir los documentos estandarizados para la implementación del SGSI, en el Sistema de Gestión de la Calidad de la Secretaria, para que se mantenga una única codificación de identificación.


secretarÍa distrital de hacienda despacho del … · dominios a5 al a9, objetivos de control y...

Documents