6. RECOMENDACIONES PARA EL PROCESO DE AUDITORÍA
6.4. Inconformidades y acciones correctivas
Al momento de presentarse una no conformidad se recomienda tomar las respectivas medidas:
● Dependiendo el caso tomar las acciones correspondientes para controlarla y corregirla.
● Tomar con la mayor calma y responsabilidad posible las consecuencias de la inconformidad.
● Adoptar las medidas necesarias para eliminar las causas de la inconformidad con el fin de que no se reproduzca en otros sectores.
● Realizar una revisión de qué procesos podrían presentar la misma no conformidad y en cuales podría llegar a presentarse para evitarlo o corregirlo en el mismo tiempo.
123 ● Poner en práctica las sugerencias que puedan ser propuestas por el
auditor.
6.5. Mejora continua.
Al momento de presentar el informe con los hallazgos y las no conformidades, se plantea una fecha de presentación de las correcciones, este plazo tiene la finalidad de ver cómo la empresa actúa en la mejora de sus procesos y el cómo desea mantener ese valor agregado en la organización de sus procesos de seguridad de la información para dar prestigio ante sus competidores, clientes y proveedores.
Además que esta certificación requiere manejar un control de versiones ya que aunque la versión de ISO 27001 se encuentra en la 2013, el Core del negocio va evolucionando según los productos y servicios que van prestando a medida que esta va creciendo y por tanto los controles de seguridad requerirán cambios que se ajusten a sus necesidades más puntuales.
124
7. CONCLUSIONES.
● La propuesta de las Políticas de Seguridad de la Información, permitirán organizar muchos procesos internos con el fin de proteger tanto la data como los activos y recursos tecnológicos, vinculando a todos los miembros de la empresa.
● Por medio de los análisis de la red interna se detectaron varias oportunidades de mejora para garantizar la optimización de los procesos internos y dar mayor velocidad con una inversión que a un cierto plazo representaría un beneficio económico.
● En toda organización existen riesgos y vulnerabilidades, lo que se busca con un Sistema de Seguridad es mitigar al mínimo estos inconvenientes y tener un plan de contingencia en donde se puedan asumir responsabilidades ante algunos casos y poder dar continuidad al negocio.
● Al aplicar la propuesta de políticas y controles por medio de ISO 27001:2013 se brinda una mayor organización tanto en la documentación solicitada por la gerencia para estar el día con las certificaciones de calidad, como también en los demás procesos a nivel de seguridad de la información.
● El desarrollo de auditorías internas permite estar preparados en hallazgos que puedan estar latentes y no sean detectados en primera medida, esto dando la oportunidad de corregirlos y estar preparados para auditorías externas, brindando de igual manera la oportunidad de presentarse ante una certificación internacional como lo es ISO 27001, lo más importante es contar con el apoyo de los miembros de la empresa empezando por la gerencia.
● Se busca el en proceso hacer partícipes a todos los miembros de la empresa, en donde se tiene la finalidad que los entregables (Políticas y Controles) sean de conocimiento público y de fácil entendimiento, tanto para los miembros más expertos en temas técnicos, como aquellos que manejan un lenguaje más común.
125
8. RECOMENDACIONES.
● Se recomienda que antes de aplicar un control de cambios a las políticas propuestas es necesario efectuarse desde el análisis de riesgos, esto considerando que pueden existir nuevas amenazas o contemplarse algunas que se hayan obviado por no verlas relacionadas al Core del negocio.
● Se recomienda hacer una revisión periódica definida por la empresa, de las políticas propuestas con el fin de validar su funcionamiento y si estas requieren una actualización, ya sea adicionando ítems según las necesidades del negocio o suprimiéndolos si se valida que no hay aplicabilidad en la política establecida, se debe tener en cuenta que lo corregido debe estar dentro de los controles definidos en la norma ISO 27001:2013.
● Se recomienda la continua socialización de las actualizaciones a la documentación propuesta, con el fin de hacer partícipes a todos los miembros de la empresa, se aconseja realizar una presentación de las mismas desde la inducción al personal nuevo, y reuniones programadas en donde se da recordación a las mismas.
● Una manera de controlar el apropiamiento de las políticas planteadas es generar evaluaciones al personal donde se califica el conocimiento de las normas establecidas, en donde no se multa al no conocimiento o la no recaudación, pero si se toman medidas para dar recordación y aplicación a todos los miembros tanto administrativos como operativos de la empresa.
126
9. BIBLIOGRAFÍA
● Icontec Internacional, “NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA
27000”, Septiembre de 2018. Disponible en (https://tienda.icontec.org/wp- content/uploads/pdfs/NTC-ISO-IEC27000.pdf).
● Multiproyectos Industrial S.A, “Nosotros”, Septiembre de 2018. Disponible
en (https://mpi.com.co/tienda/).
● Iso Tools, “¿En qué consiste el ciclo PHVA de mejora continua?”, Octubre
2018. Disponible en (https://www.isotools.org/2015/02/20/en-que-consiste- el-ciclo-phva-de-mejora-continua/).
● Priscilla Oppenheimer, “Top-Down Network Design Third Edition”, Octubre
de 2018. Disponible en
(http://www.teraits.com/pitagoras/marcio/gpi/b_POppenheimer_TopDownNe tworkDesign_3rd_ed.pdf).
● Congreso de la república, “LEY ESTATUTARIA 1581 DE 2012”, Octubre de
2018. Disponible en
(http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html).
● MinTic, “Decreto 2609 de 2012”, Octubre de 2018. Disponible en
(https://www.mintic.gov.co/portal/604/w3-article-3528.html).
● Congreso de la república, “LEY 1273 DE 2009”, Octubre de 2018.
Disponible en
(http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html).
● Congreso de la república, “LEY 599 DE 2000”, Octubre de 2018. Disponible
en
(http://www.secretariasenado.gov.co/senado/basedoc/ley_0599_2000.html).
● Sistema único de Información Normativa, “RESOLUCIÓN 26930 DE 2000”,
Octubre de 2018. Disponible en (http://www.suin-
juriscol.gov.co/clp/contenidos.dll/Resolucion/4039873?fn=document- frame.htm$f=templates$3.0).
● Aleman Novoa, Helena Clara Isabel, “Metodología para la implementación
de un SGSI en la fundación Juan de Castellanos, bajó la norma ISO 27001:2005”, Octubre de 2018. Disponible en
(https://reunir.unir.net/bitstream/handle/123456789/3129/HelenaClaraIsabel _Aleman_Novoa.pdf?sequence=1).
● Moyano Orjuela Luz adriana, Suarez Cardenas Yasmin Elena, “Plan de
Implementación del SGSI basado en la norma ISO 27001:2013 para la empresa Interfaces y Soluciones”, Octubre de 2018. Disponible en
(http://repository.udistrital.edu.co/bitstream/11349/6737/1/MoyanoOrjuelaLu zAdriana2017.pdf).
● Bohorquez Cuevas Monica lorena, Prieto Moreno Lina Maritza, ”Propuesta
para establecer un sistema de gestión de seguridad de la información para la empresa SIE Software S.A.S”, Octubre de 2018. Disponible en
(http://repository.udistrital.edu.co/bitstream/11349/7345/1/PrietoMorenoLina Maritza2016.pdf).
127 ● Esguerra Cruz Liz Mayoly, Ortiz Cardenas Geraldine Alejandra, “Propuesta
de implementación de un sistema de gestión de seguridad de la
información basado en la norma ISO 27001:2013 para la empresa OVATO CITY GAS S.A.S”, Octubre de 2018. Disponible en
(http://repository.udistrital.edu.co/bitstream/11349/13419/4/Geraldine%20Al ejandra%20Ortiz%20C%c3%a1rdenas%202018.pdf).
● WIRESHARK, “Download Wireshark”, 19 de Enero de 2019. Disponible en
(https://www.wireshark.org/#download).
● López R. Samuel, “Ciclo de la calidad (ocho pasos en la solución de un
problema)”, Octubre de 2018. Disponible en
(http://iindustrialitp.com.mx/msamuel.lopezr/Documento_Comparativo_TOP S_Equipos_Orientados_a_la_Solucion_de_Problemas.pdf).
● Sanabria Acevedo Luis Eduardo, Rodriguez Martin Camilo Andres,
“Planificación y diseño de la red corporativa en empaques y manufacturas JOSPER S.A.S”, Enero de 2019. Disponible en
(http://repository.udistrital.edu.co/bitstream/11349/6872/1/SanabriaAcevedo LuisEduardo2017.pdf).
● Ortiz Castaño Jhon Alexander, “Proyecto Pasantías Arcis Ingeniería”, Enero
2019. Disponible en
(http://repository.udistrital.edu.co/bitstream/11349/7501/1/OrtizCasta%C3% B1oJhon2017.pdf).
● Open Up, “Clasificación de los Datacenters”, Enero de 2019. Disponible en
(https://www.openup.es/clasificacion-de-los-datacenters/).
● Ferretería Online VTC, “¿Para qué sirve un falso techo?”, Enero de 2019.
Disponible en (https://www.ferreteriaonlinevtc.com/blog/para-que-sirve-un- falso-techo-n138).
● ISOTools, “¿Qué debemos saber sobre las auditorías internas?”, Enero de
2019. Disponible en (https://www.isotools.org/2018/08/22/que-saber-sobre- auditorias-internas/).
● Emprende pyme.net,” La auditoría interna”, Enero de 2019. Disponible en
(https://www.emprendepyme.net/auditoria-interna.html).
● APC-Colombia, “Manual de auditorías internas”, Enero de 2019. Disponible
en
(https://www.apccolombia.gov.co/sites/default/files/archivos_usuario/2017/c- ot-001manual_de_auditoria_internav3.pdf).
● ISOTools, “¿En qué consiste el ciclo PHVA de mejora continua”, Mayo de
2018. Disponible en (https://www.isotools.org/2015/02/20/en-que-consiste- el-ciclo-phva-de-mejora-continua/).
● Huerta S. Marcos, “Metodología Top-Down”, Mayo de 2019. Disponible en (https://es.scribd.com/doc/242870887/2-Metodologia-Top-Down-espanol- pdf).
● CISCO, “Top-Down Network Design”, Mayo de 2019. Disponible en
(http://www.teraits.com/pitagoras/marcio/gpi/b_POppenheimer_TopDownNe tworkDesign_3rd_ed.pdf)
128 ● Kosutic Dejan, “Resumen del Anexo A de la Norma ISO 27001:2013”, Mayo
de 2019. Disponible en
(https://advisera.com/27001academy/es/knowledgebase/resumen-del- anexo-a-de-la-norma-iso-270012013/).
● MINTIC, “Controles de Seguridad y Privacidad de la Información”, Mayo de 2019. Disponible en (https://www.mintic.gov.co/gestionti/615/articles-
5482_G8_Controles_Seguridad.pdf)
● ICONTEC, “NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001”, Mayo
de 2019. Disponible en
(http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/file s/file/Norma.%20NTC-ISO-IEC%2027001.pdf).
● Ministerio de Hacienda y Administraciones Públicas (ESPAÑA), “MAGERIT
versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I - Método”, Junio de 2018. Disponible en
(https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/p ae_Metodolog/pae_Magerit.html).
● Ministerio de Hacienda y Administraciones Públicas (ESPAÑA), “MAGERIT
versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro II - Catálogo de Elementos”, Junio de 2018.
Disponible en
(https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/p ae_Metodolog/pae_Magerit.html).
● Ministerio de Hacienda y Administraciones Públicas (ESPAÑA), “MAGERIT
versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro III - Guía de Técnicas”, Junio de 2018. Disponible en (https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/p ae_Metodolog/pae_Magerit.html).
● Unifi, “Unifi AC AC LITE”, Junio de 2019. Disponible en
(https://www.ui.com/unifi/unifi-ap-ac-lite/).
● Unifi, “Unifi Cloud Key – Quick Start Guide”, Junio de 2018. Disponible en
(https://dl.ubnt.com/guides/UniFi/UniFi_Cloud_Key_UC-CK_QSG.pdf).
● Switch Juniper Networks EX4300-48P Especificaciones Fuente: http://www.networkscreen.com/EX4300-48P.asp#pricing