De esta calificación dependerá el ítem de OBJETIVOS DE CONTROL en la fase de ANÁLISIS del modelo. El rango de esta calificación se dará de 0 a 1 comprendido por los siguientes rangos:
Tabla 12 Definición de la calificación para los objetivos de control. Los autores
RANGO INICIAL RANGO FINAL DEFINICIÓN
0 0,33 No Cumplió (0)
0,34 0,66 Cumple Parcialmente (0,5)
0,67 1 Cumple satisfactoriamente (1)
3.5 BENEFICIOS DE LA IMPLEMENTACIÓN DEL MODELO
La implementación de este modelo guía traería para la compañía múltiples ventajas, las cuales se enunciarán a continuación:
• La compañía tendrá una guía dinámica, precisa y directa, que le informará a cerca de los documentos necesarios para que pueda realizar la certificación en la norma ISO27001.
• Contará con parámetros basados en la estrategia de gobierno en línea que enriquecerán el nivel de protección de la entidad, debido a que brinda ítems que la norma no nombra, además de estar alineados con el plan de desarrollo nacional, lo cual lo convierte en un modelo especifico, enfocado en las necesidades de las entidades colombianas.
• Le indicara al usuario en qué nivel de madurez se encuentra, al calcular de manera dinámica los ítems que aplicarían y los que la entidad ya ha desarrollado.
• Es una herramienta manejada completamente por el usuario, el modelo plantea los ítems, pero, la entidad define que parámetros le aplica, debido a que no todas las entidades se encaminaran al mismo alcance, y no todas buscaran certificar toda la entidad.
• De no desear la certificación, el modelo puede servirle a la organización de base para analizar, implementar y realizar un seguimiento a un plan de seguridad de la información. Este es necesario para todas las entidades, garantizar la protección de sus datos.
La implementación del modelo es siempre una ayuda que todas las entidades sin necesidad de ser del estado deberían ensayar para fortalecer su sistema de seguridad de la información.
3.6 MODELO GUIA PARA LA CERTIFICACIÓN EN ISO27001 DE LAS ENTIDADES, QUE HAN IMPLEMENTADO LOS NORMAS ESTABLECIDAS POR LA ESTRATEGIA DE GOBIERNO EN LÍNEA
El modelo guía para la certificación en ISO 27001 de las entidades, que han implementado las normas establecidas por la estrategia de gobierno en línea será expresado en el anexo A de este documento.
CAPITULO 4: ANÁLISIS Y DIAGNÓSTICO 4.1 INTRODUCCIÓN
En el presente capítulo se realizará un análisis y un posterior diagnóstico del sistema de seguridad de la información de la Contaduría general de la nación, utilizando los desarrollados en el modelo guía para la certificación en ISO27001 de las entidades, que han implementado las normas establecidas por la estrategia de gobierno en línea.
4.2 ENTIDAD A ANALIZAR: CONTADURIA GENERAL DE LA NACIÓN.
La contaduría general de la nación es una entidad del sector público creada para determinar las políticas, principios y normas sobre la contabilidad que deben regir en el país para todo el sector público; llevar la contabilidad general de la nación, señalar y definir los estados financieros e informes que deben elaborar y presentar las entidades y organismos del sector público, elaborar el balance general de la nación, para el país tenga conocimiento del manejo financiero, económico y social de estado. (Redacción el tiempo, 2005. La contaduría general y sus competencias)23
Misión
Es la entidad rectora responsable de regular la contabilidad general de la nación, con autoridad doctrinaria en materia de interpretación normativa contable, que uniforma, centraliza y consolida la contabilidad pública, con el fin de elaborar el balance general, orientado a la toma de decisiones de la administración pública general, que contribuye a la gestión de un estado moderno y trasparente.
Visión
Ser reconocidos como la entidad líder que habrá consolidado un nuevo sistema nacional contable público del país y que provea información contable oficial con calidad y oportunidad para los diferentes usuarios, de acuerdo con estándares nacionales e internacionales de contabilidad que contribuya a generar conocimiento sobre la realidad financiera, económica, social y ambiental del estado colombiano. (Contaduría general de la nación. Direccionamiento estratégico)24
Al ser una entidad pública que controla toda la normatividad, el balance general y la contabilidad de la nación, la Contaduría general de la nación es una de las más importantes organizaciones del país. La información que tiene a su cargo requiere una exhaustiva protección, por lo tanto, se hace necesario que se implementen normas como la ISO27001 y el modelo de gobierno en línea (El cual debería estar implementado al ser una entidad
23 Redacción el tiempo. La contaduría general y sus competencias. 2005. 24 Contaduría general de la nación. Direccionamiento estratégico.
gubernamental). Por lo tanto, se eligió esta entidad, debido a que es una organización del estado que requiere una debida revisión de la seguridad de la información.
4.3 ESTADO ACTUAL DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.
Se realiza el análisis y diagnóstico del sistema de seguridad, en base al modelo propuesto en el actual proyecto. El cual deberá indicar el estado actual del SGSI de la contaduría y su nivel de posibilidades de conseguir la certificación.
Nota: Este estudio se realizará contando con los documentos públicos de la contaduría, por ende, habrá información relevante que no podrá ser investigada, ni añadida.
Para revisar el diagnostico aplicado mediante el modelo remitirse al ANEXO B del presente proyecto.
4.4 RESULTADOS.
Teniendo en cuenta el desarrollo del modelo propuesto, siguiendo el lineamiento de las fases, grupos y parámetros, se llevó a cabo una investigación en la cual se obtuvieron ciertos documentos, reportes y estadísticas de la entidad Contaduría general de la nación. Los cuales hacen énfasis a la ejecución de procesos de seguridad de la información en dicha entidad y fueron parametrizados según la herramienta propuesta. Lo que se buscaba era conocer el estado de la seguridad y el manejo de los procedimientos actualmente, esto con el fin de conocer el nivel en el que se encuentra dicha entidad para alcanzar la certificación en ISO27001.
Tomando el sistema de evaluación del modelo se pueden obtener los siguientes datos: - En cuanto a los objetivos de control se obtuvo el resultado:
Tabla 13.Resultados obtenidos con el modelo. Objetivos de control. Los autores
O 114
W 31 S 0,656746988
V 83
T 57
(Datos obtenidos con respecto al anexo 2)
El resultado obtenido en la variable S, según el parágrafo 3.4.7, en la tabla 12 de este proyecto, corresponde a la calificación de 0.5 que quiere decir que cumple parcialmente con los objetivos de control.
Este ítem se encuentra localizado en la fase 1 (Análisis), grupo 5 (Objetivos de Control). Por lo tanto, se da la calificación para ser evaluado en dicho grupo y dicha fase.
- En cuanto el modelo guía para la certificación en ISO27001 de las entidades, que han implementado las normas establecidas por la estrategia de gobierno en línea, se obtuvieron los documentos que hacían referencia a cada parámetro y se evaluó, su cumplimento, esto siguiendo el conducto que debería hacer el funcionario de las entidades que hagan uso de la herramienta. A continuación, se procedió a realizar la calificación siguiendo lo dicho en el capítulo 3.4 Funcionamiento del modelo, y este arrojo los siguientes resultados:
Tabla 14 Resultados del modelo aplicado en la contaduría. Los autores
X Valor
C/X
(Porcentajes/x) Valor Y Valor Z Valor
Sumatoria de Z Valor X1 1 C/X1 0,03 Y1 1 ZA 0,03 X2 1 C/X2 0,1 Y2 1 ZA 0,1 X3 2 C/X3 0,015 Y3 1 ZA 0,015 X4 10 C/X4 0,005 Y4 2,5 ZA 0,0125 X5 1 C/X5 0,07 Y5 0,5 ZA 0,035 X6 1 C/X6 0,02 Y6 1 ZA 0,02 X7 10 C/X7 0,005 Y7 6 ZA 0,03 ∑ZA 0,24 X8 4 C/X8 0,015 Y8 1 ZB 0,015 X9 4 C/X9 0,02 Y9 0 ZB 0 X10 2 C/X10 0,015 Y10 2 ZB 0,03 Calificación X11 2 C/X11 0,025 Y11 1 ZB 0,025 N 0,6575 X12 1 C/X12 0,03 Y12 1 ZB 0,03 ∑ZB 0,1 X13 4 C/X13 0,015 Y13 2 ZC 0,03 X14 4 C/X14 0,0125 Y14 2 ZC 0,025 X15 1 C/X15 0,03 Y15 0 ZC 0 X16 1 C/X16 0,06 Y16 1 ZC 0,06 ∑ZC 0,12 X17 2 C/X17 0,03 Y17 2 ZD 0,06 X18 2 C/X18 0,03 Y18 2 ZD 0,06 X19 1 C/X19 0,05 Y19 1 ZD 0,05 X20 1 C/X20 0,03 Y20 1 ZD 0,03 ∑ZD 0,2
Con el resultado arrojado se puede notar que según la tabla 11 que el resultado de N, indica que el nivel de ejecución del sistema de seguridad es de Nivel Definido, el cual es el cuarto nivel a alcanzar e indica que tiene un cumplimiento aceptable pero no el más óptimo.
4.5 CONCLUSIONES
De los resultados brindados por el modelo, se pueden abstraer una serie de fortalezas y debilidades que tiene el sistema de seguridad de la información de la contaduría, estas podrían ser el punto de partida para continuar con la tarea de certificación de la norma ISO 27001.
• Debilidades.
- En los objetivos de control se obtuvo una calificación aceptable, pero para realizar una optimización del sistema, se deberían contemplar muchos más parámetros. - En el sistema de seguridad, la información proporcionada por la entidad no se
encuentra completa, esta de manera privada o no existe.
- Falta un mayor compromiso por parte de la dirección la cual se vio muy involucrada en la parte de revisión de incidentes, pero muy poco integrada con la implementación. Es importante que la dirección este siempre presente y se realicen informes detallados de ser posible en todas las fases del proceso.
- El punto más débil del sistema a consideración de los evaluadores fue el de los riesgos, los cuales se encuentran definidos en una matriz de riesgos de todas las áreas de la compañía, para TI y seguridad se encuentran menos de 5 riesgos identificados. Lo cual no es muy común en entidades de esa magnitud y menos las entidades públicas.
- No se encuentran definidas ni las amenazas, ni vulnerabilidades, puede ser por que sean de carácter privado, pero no se encontró referencia en ningún documento de ninguno de los temas mencionados.
• Fortalezas
- Hay que resaltar que el sistema de comunicación de políticas de seguridad y los cambios a nivel de TI, son muy accesibles para sus usuarios, el planteamiento para encontrar la información esta considerablemente bien diseñado.
- Existen diferentes políticas definidas para los procesos especifico de TI, se sobresaltan los detalles enfáticos para cada área, de este modo será más fácil acatarla. - La contaduría vela por mantener actualizado su sitio
La mejora de este sistema se verá obligada en atacar las debilidades anteriormente mencionadas y dejarse guiar por el modelo propuesto para terminar con un resultado satisfactorio y una posible certificación en ISO 27001.
CAPITULO 5: AUDITORIA 5.1 INTRODUCCIÓN
El siguiente capítulo tiene como finalidad revisar en una forma detallada la política de seguridad de una entidad de carácter público e indicar si lo que se está definiendo cumple con lo que guía la norma ISO27001. La entidad a analizar será la contaduría.
5.2 INFORME DE LA REVISIÓN.
El presente informe tiene como finalidad mostrar el nivel de cumplimiento de la política de seguridad de la contaduría general de la nación, utilizando la norma ISO27001
5.3 Política de Seguridad
Se realiza un análisis objetivo basado en la norma ISO 27001, del manual de seguridad de la contaduría general de la nación el cual contiene la política de seguridad de dicha entidad, (Manual de seguridad de la información Contaduría general de la nación, Documentos Contaduría, Capitulo 7)25.
Este análisis tiene como fin brindar unas recomendaciones para que la entidad crezca en el ámbito de la seguridad de la información.
Tabla 15 Auditoria correspondiente a la política de seguridad y SGSI. Los autores
Criterio de evaluación
Descripción de lo encontrado Recomendación Alcance de la
política
Enfocado en los procesos misionales de la sede de la contaduría.
Se recomienda
especificar que la política está también orientada a los entes remotos que puedan acceder a ella.
Marco de
referencia
Está compuesta de una serie de Ítems, que parten desde:
• 5 objetivos, los cuales pueden describirse como los pilares del sistema de seguridad.
- Proteger la información recibida y generada por la CGN en sus procesos, mediante la implementación de
Se desarrolla de una forma entendible, enfoca puntos clave que los usuarios de la contaduría deben conocer, más sin embargo se recomienda añadir más información, por ejemplo, no se evidencia la forma de
25 Manual de seguridad de la información Contaduría general de la nación, Documentos Contaduría, Capitulo
Criterio de evaluación
Descripción de lo encontrado Recomendación controles de conformidad con la
norma NTCISO/IEC 27001:2013.
- Velar por la protección de los activos informáticos de apoyo en los procesos misionales.
- Identificar y dar cumplimiento a los requisitos legales y regulatorios, así como a las obligaciones contractuales de la Contaduría General de la Nación.
- Gestionar los riesgos de seguridad de la información de acuerdo con las directrices de la entidad, con el fin de proteger la confidencialidad, integridad y disponibilidad de la información.
• Contiene unos principios que fundamentan las políticas de seguridad de la
información para la infraestructura tecnológica y de información
- Protección de los recursos.
- Protección de la información. - Autorización de usuarios. - Responsabilidad. - Disponibilidad. - Integridad. - Confianza. - Esfuerzo de Equipo.
- Soporte primario para la Seguridad de Información.
- Compromiso de la dirección con la seguridad de la información.
- Clasificación de la Información. • Contiene una tabla de clasificación de la
información en la cual expresa el nivel de criticidad que puede dársele en cuanto al nivel de privacidad Los niveles van desde:
- Confidencial.
- Uso interno
- Publico.
evaluar los riesgos ni dónde encontrar dicha valoración. Debe ser
más detallada
describiendo la forma de interacción con los
procesos de la
contaduría, porque se define la política de una manera muy global, por ende, pueden quedar detalles donde hay
cabida a
Criterio de evaluación
Descripción de lo encontrado Recomendación • Se desarrollan unas políticas específicas
para cada área que incluya a la seguridad de la información
-Políticas aplicables a los usuarios -Política de acceso a los recursos de
información -Política de uso de los recursos de
información -Política de administración de
contraseñas -Política de cumplimiento ante
requerimientos legales y contractuales – derechos de autor
-Política de control de virus -Política de seguridad de los equipos
móviles -Política de confidencialidad de la
información -Política de monitoreo y evaluación del
cumplimiento -Política de reportes de incidentes de
seguridad de información -Política de pantalla despejada y
escritorio limpio
-Política de respaldo de datos -Política de la seguridad del acceso de
terceros
-Política de acceso lógico -Política de acceso físico -Política de control de acceso
-Política de conflictos legales Se tiene en
cuenta el negocio
Se encuentra la información de manera globalizada. Explicar de manera detallada el modo en el que la información de la contaduría queda expuesta. Se recomienda también enunciar los procesos que se encuentran vulnerables y/o han sido amenazados.
Criterio de evaluación
Descripción de lo encontrado Recomendación Alineación con
el contexto organizacional
La CGN propende por el cumplimiento de las directrices del Gobierno Nacional relacionadas con la seguridad de la información, la protección de los datos, el habeas data, el buen nombre de la Contaduría General de la Nación y de los terceros con los que la entidad tenga vínculos, aplicando metodologías de valoración y tratamiento de los riesgos según las necesidades organizacionales
A pesar de comprender la prioridad y de velar por la seguridad de la
información, se
considera que esta, no tiene un enfoque referente a los diferentes procesos y situaciones que se manejan en la
contaduría. La
información presentada en dicho documento se muestra de manera muy general, tanto así que
podría ser
implementada en otras entidades sin importar el
negocio, no se
especifican los factores tanto externos como internos que puedan llegar a afectar los procesos estratégicos de la contaduría. Por lo tanto, se recomienda, tener claridad con los diferentes componentes que puedan tener impactos en las diferentes tareas realizadas por la entidad. Hay criterios de evaluación del riesgo No se evidencian en el desarrollo de la política. Se recomienda incluir los niveles de evaluación de los riesgos en la política de seguridad, debido a que deben estar disponibles para que las personas en el alcance los conozcan. La aprobó la
dirección
Es deber del Contador General de la Nación participar de manera activa en la
seguridad de la información mediante la revisión y aprobación del presente
Además de estar aprobada por la alta gerencia, se recomienda incluir a los directores
Criterio de evaluación
Descripción de lo encontrado Recomendación manual, la delegación de funciones y
responsabilidades, y la iniciación de planes y programas para mantener la concientización sobre la seguridad de la Información.
de cada área, para que se
apersonen y
comuniquen la misma a sus grupos.
En resumen, se pude inferir que el desarrollo de la política de seguridad de la entidad Contaduría general de la nación, posee ciertas grietas, en donde a pesar de contemplar políticas para ciertos procesos, se queda corta en su forma de tratamiento de riesgos, este factor es uno de los más importantes para requerir una certificación a nivel de la norma ISO27001. Además de lo mencionado, se resalta la generalidad con la que se realizó dicho documento, no se pueden validar los procesos críticos donde el personal y a quien corresponda atender la política, pueda seguir las pautas pactadas.
Es necesario y como recomendación de los autores de este proyecto, replantear o utilizar una guía que le permita conocer los pasos a seguir para cumplir con la norma. Se propone el modelo guía para la certificación en ISO 27001 de las entidades, que han implementado las normas establecidas por la estrategia de gobierno en línea, con el objetivo de mejorar los procesos de seguridad y facilitar una posible certificación.
5.4 Intervención de GEL en la entidad.
A continuación, se describen algunos lineamientos del modelo GEL, que la contaduría quiso aplicar en sus procesos la estrategia y a continuación se muestran su aplicabilidad y algunas recomendaciones para mejorar su ejecución. (Auditoria Interna de gestión TICS, Documentos Contaduría. Capítulo 3) 26
Tabla 16 Auditoria implementación Procesos de GEL. Los autores
Diagnóstico de Seguridad y Privacidad
Lineamiento Aplicabilidad Recomendación
LI.ES.01 Las instituciones de la administración pública deben contar con una estrategia de TI que esté alineada con las estrategias sectoriales, el Plan Nacional de Desarrollo, los planes sectoriales, los planes decenales -cuando
La aplicabilidad de este lineamiento se evidenció en el documento Plan Estratégico de las Tecnologías de la Información (PETI) publicado en la intranet de la entidad, el cual tiene un alcance de cuatro años y está próximo de actualización en la presente vigencia.
Continuar velando por tener actualizada la información. Cada año sería recomendable generar una revisión y actualizar la estrategia, consecuentemente con las tecnologías actuales.
Diagnóstico de Seguridad y Privacidad
Lineamiento Aplicabilidad Recomendación
existan- y los planes estratégicos
institucionales. La estrategia de TI debe estar orientada a generar valor y a contribuir al logro de los objetivos estratégicos. LI.ES.02 Cada sector e institución, mediante un trabajo articulado, debe
contar con una
Arquitectura Empresarial que permita materializar su visión estratégica utilizando la tecnología
como agente de
transformación. Para ello, debe aplicar el Marco de
Referencia de
Arquitectura Empresarial para la gestión de TI del país, teniendo en cuenta las características específicas del sector o la institución.
Se observó que actualmente la entidad no ha implementado acciones propias de la arquitectura empresarial.
Se recomienda dirigirse a los documentos brindados por la estrategia de gobierno en línea, en la página del ministerio de tecnologías en el marco de referencia: https://www.mintic.gov.co/m arcodereferencia/, allí podrán encontrar una instrucción detallada de la forma de
implementación. Sin
mencionar que este marco es una de las bases de la implementación.
LI.GO.01 La dirección de Tecnologías y Sistemas de