OBJETIVO
Verificar el grado de implementación y la conformidad de la documentación relacionada con los requisitos de las Normas ISO 27001 y 27002, en los procesos que forman parte del Sistema de Gestión de Seguridad de la Información (SGSI), así como respecto a los requisitos legales y reglamentarios aplicables. Además evaluar el cumplimiento de las formalidades de Control de Documentos y Control de Registros, según los procedimientos PR-SGC-4.2.3-01 Elaboración, Emisión y Control de Documentos (con sus anexos) y PR.SGC.4.2.4-01 Control de Registros
ALCANCE
Comprende las políticas General de Seguridad Información, Gestión de Continuidad del Negocio, Control de Acceso y de Uso de Medios Removibles, más los procedimientos e Instructivos
documentados establecidos para los procesos del Sistema de Gestión de Seguridad de la Información
DOCUMENTACIÓN DE REFERENCIA
La documentación del SGSI que se encuentra en la Intranet
http://intranet/opensite_20121203130042.aspx, Portal de la Calidad. Norma ISO 27001 – ISO 27002
EQUIPO AUDITOR AUDITOR(A) LIDER:
José María Mantilla (Auditor Externo Líder)
AUDITORES(AS): OBSERVADOR:
José Ignacio Ronda
FIRMAS PERSONAS
ENTREVISTADAS
Armando Guajardo San Martín
José Ariza Lobos
Gabriel Rosales Villarroel Claudio Sáez Morales Moisés Donoso Miranda Alan Lobos
COMENTARIOS AL PROCESO DE AUDITORÍA:
Durante la auditoria se contó con la colaboración y disposición de todas las personas auditadas, y se tuvo acceso a toda la documentación requerida, incluyendo, en los casos necesarios, los registros pertinentes.
La auditoría se realizó siguiendo el Plan de Auditoría y se hace patente que la misma tuvo un carácter muestral, se revisó un conjunto de documentos y registros, los que se consideraron representativos de la población de documentos del Sistema de Gestión de la Seguridad de la Información del FOSIS.
En el Informe, en el detalle del requisito que se incumple, se ha incorporado en negritas, la
identificación del requisito o control en la nueva versión ISO/IEC 27001:2013, a modo de facilitar la adopción de acciones y en los casos pertinentes, las mejoras al Sistema de Gestión de la
N° TIPO (NC- OB-OM) DESCRIPCIÓN REQUISITO NORMATIVO / CLÁUSULA PROCEDIMIENTO / REQUISITO TÉCNICO 1 NC
Política General de Seguridad de la Información Fondo de Solidaridad e Inversión Social FOSIS Aprobada según resolución 3182 del 30 del 12 del
2011
No se evidencia la adopción de acciones para eliminar las acusas de la No Conformidad Nº 1 (NC 1) del Informe de la Auditoría realizada en diciembre de 2012.
Se indica resumen de la misma: “La declaración de la Política de SGSI no contiene todos los elementos que se requieren, tanto en la Norma como en la Guía Metodológica.”
Adicionalmente no se ha actualizado la política, considerando que han ocurrido cambios en la organización y en la normativa aplicable. No se ha designado al Encargado de Seguridad de la
Información y tampoco se han desarrollado durante el año 2013, y lo que va del 2014, reuniones del Comité de Seguridad de la Información.
Evidencia el documento con la Política General de Seguridad de la Información, y declaración de los auditados. Acta Nº 15 de 27 de diciembre de 2012, correspondiente a Reunión Ordinaria del Comité de Seguridad de la Información a la que asistieron un total de 9 funcionarios, incluyendo el Encargado de Seguridad de la información, el Encargado del sistema del PMG Seguridad de la Información, la
Coordinadora de Calidad, y profesionales y jefes de Departamentos y Encargados de Unidades, esta constituye la última reunión del Comité de Seguridad.
NCh-ISO 27001:2009 requisito 4.2.1 b Anexo A.5.1.1 NCh-ISO 27001:2013 requisito 5.2 Anexo A.5.1.1
2
NC
PR-SSI-A.7.1.1 Procedimiento para la Mantención y Actualización de Activos de Información El inventario de activos no se encuentra actualizado, si bien el documento existente es muy detallado, se han generado cambios en los equipos y en la organización, los que no se ven reflejados en el mismo.
Evidencia el documento Inventario y clasificación de Activos de Información y declaración de los auditados. El riesgo es que al no contar con el inventario de activos actualizado, se generen inexactitudes en el análisis de los riesgos de seguridad de la información, lo que puede incidir en la eficacia del SGSI del FOSIS y en la seguridad de la información NCh-ISO 27001:2009 requisito 4.2.1 d Anexo A.7.1.1 NCh-ISO 27001:2013 Anexo A.8.1.1
3
NC
PR-SSI-A.12.5.1 Procedimiento para el Desarrollo y Mantención de Software
La práctica descrita durante la entrevista no satisface lo documentado en el procedimiento, se han generado cambios en el proceso y no se ha actualizado el procedimiento, parte de las actividades se encuentran en la actualidad externalizadas.
Evidencia el documento Procedimiento de Desarrollo, Mantención de Software y Control de Cambios, declaración del auditado y revisión del repositorio de aplicaciones TI, proyectos.fosis.cl.
El riesgo es que en los procesos de desarrollo y mantención de software, no se cumplan las disposiciones y prácticas definidas, lo que puede incidir en el diseño e implementación de los requisitos de seguridad de la información durante el ciclo de vida de desarrollo, lo que puede generar vulnerabilidades en los sistemas
NCh-ISO 27001:2009 Anexo A.12.5.1
NCh-ISO 27001:2013 Anexo A.14.2.2
4
NC
PR-SSI-A.12.4.1 Procedimiento Control del software operacional
Lo que se describe en el procedimiento y que fue corroborado durante la entrevista al auditado, es un pauteo muy general que no satisfecha de forma consistente lo que exige el control A12.4.1 de la norma ISO/IEC 27001:2005, tampoco considera las orientaciones en la norma ISO/IEC 27002.
Adicionalmente no se cumple lo definido en el procedimiento, según la declaración del auditado. Evidencia Procedimiento Control de Software Operacional y declaración del auditado.
El riesgo es que no se controle adecuadamente la instalación del software sobre sistemas en producción, lo que podría generar vulnerabilidades y fallas en la integridad de estos sistemas.
NCh-ISO 27001:2009 Anexo A.12.4.1
NCh-ISO 27001:2013 Anexo A.12.5.1
5
NC
PR-SSI-A.10.2.1 Procedimiento Control y Seguimiento de SLA contratados con terceros
En el procedimiento se hace referencia a la Aplicación; http://aranda.fosis.cl, sitio en el que el Encargado informático regional o el Encargado del Área de Soporte y Operaciones deben registrar la fecha, una breve descripción del incidente, número de folio entregado por la empresa, sin embargo según declaración del auditado, no se encuentra
implementado.
Por otra parte, en el procedimiento, se refieren un conjunto de sistemas de monitoreo, tales como, el Sistema NetManager en la dirección
https://www.portalclientestempresas.cl, y el Sistema Alienvault, en la dirección
http://10.201.20.20/ossim/sesion/login.php, aunque en la actualidad se utilizan otros como por ejemplo Solarwinds, el que no se referencia.
Evidencia Procedimiento Control y Seguimiento de SLA contratados con terceros, revisión plataforma y declaración del auditado.
El riesgo es que no se realice un adecuado seguimiento a los servicios entregados por los
suministradores (terceros), y no se alcance el nivel de seguridad de la información y de entrega del servicio de según lo definido en los acuerdos de servicio.
NCh-ISO 27001:2009 Anexo A.10.2.1
NCh-ISO 27001:2013 Anexo A.15.2.1
6
NC
PR-SSI-A.10.8.1 Procedimiento para el intercambio de información con otras instituciones
En el procedimiento actual no se hace referencia a los sistemas CSIRT, ni tampoco a los vínculos por
ejemplo con Carabineros de Chile, Bomberos, y otras instituciones con las que se puede generar
intercambio de información, el procedimiento, define lo que parece ser un plan de acción para la integración al sistema PISEE (Plataforma Integrada de Servicios Electrónicos del Estado), pero no se referencian los medios e instituciones indicados anteriormente. Evidencia Procedimiento para el Intercambio de Información con otras Instituciones y declaración del auditado.
El riesgo es que no se consideren todas las
alternativas de intercambio de información y de esta forma no se consideren en todos los casos los
aspectos de seguridad de la información, lo que puede generar vulnerabilidades en este proceso.
NCh-ISO 27001:2009 Anexo A.10.8.1
NCh-ISO 27001:2013 Anexo A.6.1.2; A.6.1.3 y
7
NC
PR-SSI-A.10.1.2 Procedimiento Control de Cambios en las Operaciones
El procedimiento y las prácticas definidas en el mismo, no satisfacen los requisitos actuales para el control definido en la norma ISO/IEC 27001:2013, los que se ampliaron en relación a los exigidos en la norma ISO/IEC 27001:2005, adicionalmente se identifica lo siguiente:
La sección 6 del presente procedimiento sólo identifica el “Listado de Activos a Monitorear” pero no describe su control y no menciona el informe de impacto que se menciona en el 5.1, ni el registro de recepción de los trabajos que se menciona en el 5.2 ni la documentación contractual mencionada en el 5.3., lo que se planteó en la auditoria de diciembre 2012.
Evidencia el procedimiento, Procedimiento Control de Cambios en las Operaciones, y controles definidos en ISO/IEC 27001:2013.
El riesgo es que no se realicen los controles necesarios para la gestión oportuna de los cambios en la organización, los procesos del negocio, las instalaciones de
procesamiento de la información, y sistemas que puedan afectar la seguridad de la información, generando vulnerabilidades al sistema.
NCh-ISO 27001:2009 Anexo A.10.1.2
NCh-ISO 27001:2013 Anexo A.12.1.2; A.6.1.3 y
8
NC
Política de Gestión de Continuidad del Negocio
La política a la que se tuvo acceso es la Versión 1 de fecha 30 de octubre de 2012, durante la entrevista se declara la existencia de un site de contingencia en instalaciones de un proveedor externo, Telefónica, sin embargo no se obtiene evidencia de que se hayan definido los conceptos relevantes relativos a los tiempos de interrupción de los servicios y los plazos para la recuperación de los mismos (tiempo objetivo para la recuperación), ni al logro de la seguridad de la información en tales situaciones, ni que se haya definido formalmente una estructura para enfrentar un incidente que afecte la continuidad operacional, por otra parte se plantea que no se han realizado
ejercicios para evaluar la capacidad de la organización para la recuperación y asegurar la continuidad
operacional. Por otra parte no se evidencia la
existencia de un Plan de Recuperación que garantice la continuidad operacional.
Evidencia la Política a la que se hace referencia y declaraciones del auditado.
Riesgo, que ante la ocurrencia de una situación de catástrofe o interrupción de las actividades, no se puedan recuperar las actividades de manera oportuna.
NCh-ISO 27001:2009 Anexo A.14.1.1 al A.14.1.5
NCh-ISO 27001:2013 Anexo A.17.1.1; A.17.1.2 y
A.17.1.3
9
NC
PR-SSI-4.2.1-03 Procedimiento Gestión de Incidentes
No se evidencia la aplicación del procedimiento, según declaraciones del auditado, no se mantienen registros de los incidentes que se han generado. Evidencia, declaración del auditado
El riesgo es que la organización no adopte acciones que le permitan revertir las situaciones y mitigar los efectos de los incidentes de seguridad de la
NCh-ISO 27001:2009 4.2.2 h),
Anexo A.13.1.1 y A.13.1.2, A.13.2.1 al A.13.2.3
NCh-ISO 27001:2013 Anexo A.16.1.1; al A.16.1.7
10
NC
Se evidencia que no se realizó el tratamiento las no conformidades, observaciones y oportunidades de mejora resultado de la auditoría documental realizada en el mes de diciembre del año 2012.
Evidencia, Plan de Acción no cumplido y declaración del auditado.
El riesgo es que no se realice la mejora del SGSI, y que no se aprovechen las oportunidades para mejorar su desempeño. NCh-ISO 27001:2009 6; 8.2 y 8.3 NCh-ISO 27001:2013 10.1 y 10.2
1
OB
PR-SSI-A.11.2.2 Procedimiento Gestión de Privilegios
Se han generado cambios en los procesos los que no se han actualizado en el procedimiento. No se cumple lo definido, en ocasiones las solicitudes de creación de cuentas llegan directamente al área de informática, cuando deben llegar desde Gestión de Personas, por ejemplo mail solicitando creación de cuenta a asesor Dirección Ejecutiva de fecha 145/04/2014.
Evidencia la solicitud indicada y declaración del auditado.
El riesgo es que se incumplan los procedimientos para la gestión de privilegios, y se afecte la seguridad de la información. NCh-ISO 27001:2009 Anexo A.11.2.2 NCh-ISO 27001:2013 Anexo A.9.2.2
2
OB
PR-SSI-A.10.10.3 Procedimiento para el registro y monitoreo de actividades
En el procedimiento se hace referencia al registro, Planilla de Información, la que no se utiliza, pues en la actualidad el software de monitoreo ZABBIX,
Solarwind, registra el comportamiento de las actividades,
Evidencia declaración del auditado y sistema de monitoreo.
El riesgo es que no se mantengan los registros definidos y se puedan realizar actividades de procesamiento de información no autorizadas.
NCh-ISO 27001:2009 4.2.2 h),
Anexo A.10.10.3
NCh-ISO 27001:2013 Anexo A.12.4.3
RESUMEN DE NO CONFORMIDADES
NC DETECTADAS NC SEGUIMIENTO NC SEG CERRADAS NC SEG PENDIENTES
10
Se realizó el seguimiento a las NC, OB y OM de la auditoría documental realizada en diciembre de 2012.
No se evidencia que se hayan adoptado las acciones correctivas y mejoras para tratar las No Conformidades, Observaciones y Oportunidades de Mejora, identificadas en dicha auditoría documental, a pesar de que se evidenció que se había elaborado un Plan de Acción.
FORTALEZAS OBSERVADAS
No se identifican fortalezas en este momento.
DEBILIDADES OBSERVADAS
En el momento actual el Sistema de Gestión de la Seguridad de la Información del FOSIS, se encuentra en un estado de operación no sistemática, basada fundamentalmente en el interés de los especialistas que en su momento han tenido y tienen responsabilidades en el mismo, lo que impide su operación de manera eficaz.
No se han realizado durante el año 2013, y lo que va de 2014, reuniones del Comité de Seguridad de la Información.
No se ha nombrado oficialmente (mediante documento), luego de los cambios ocurridos recientemente, al o la reemplazante del Encargado de Seguridad de la Información.
No se han realizado acciones para adoptar en el Sistema de Gestión de la Seguridad de la Información del FOSIS, las modificaciones realizadas en la nueva versión de la norma ISO/IEC 27001 (ISO/IEC 27001:2013)
Las debilidades están asociadas a las no conformidades identificadas en este informe.
CONCLUSIÓN DE LA AUDITORÍA
La auditoría se desarrolló mediante entrevistas y examen de evidencias en base a muestras que se obtienen en terreno, por lo tanto pueden existir otros aspectos no revelados en esta auditoría y corresponde al Encargado de Seguridad de la Información y a los/las gestores/as de procesos, con el apoyo de la Coordinación Regional de la Calidad, detectar, registrar y solucionar otros hallazgos que no se levantaron en esta auditoría.
Durante la auditoria se constata que el Sistema de Gestión de la Seguridad de la Información del FOSIS, no se encuentra operando de manera sistemática y coherente en la actualidad, se
constató la existencia de documentos que no reflejan las prácticas actuales en lo relacionado con la seguridad de la información, en especial porque se han generado cambios en la tecnología, las
