PLAN DE MEJORAMIENTO - Código: 15.

02-FOR-10
AUDITORÍA
Fecha de Aprobación:
SEGUIMIENTO Y EVALUACIÓN AL SISTEMA DE GESTION DE SEGURIDAD 29/04/2019
Aceros y Concretos
DE LA INFORMACION Versión: 1

ID DE LA AUDITORÍA: AC -22-2019

FECHA Y LUGAR DEL CIERRE DE AUDITORIA: 20 de junio de 2019 en la oficina de Telecomunicaciones e Informática

OBJETIVO(S) DE LA AUDITORÍA: Verificar el cumplimiento de la norma ISO 27002 evaluando los controles de cada uno de los dominios de la norma.

CRITERIO(S) DE LA AUDITORÍA: Sistema de gestión de la Seguridad de la Información (SGSI).

ALCANCE DE LA AUDITORIA: La auditoría se aplicará de forma sistemática, de carácter objetiva e independiente con el fin de establecer el grao de cumplimento del
objetivo. La Evaluación se llevará del periodo comprendido entre Junio de 2019 a la fecha de la auditoría.

IDENTIFICACIÓN DE LOS PROCESO(S) Y/O PROCEDIMIENTO(S) O AREA A AUDITAR:

IDENTIFICACIÓN DE L(OS) AUDITADO(S):

EQUIPO AUDITOR:
Nombre(s)
Auditor Líder: Henrry Heredia Noriega.

Auditor(es) Acompañante(s) NA

Auditor(es) en Formación: Juan Pablo Puentes

Experto(s) Técnico(s): NA
ITEM HALLAZGO POSIBLE ACCIÓN DE RESPONSABLE FECHA ESTADO DEL JUSTIFICACION /
CAUSA MEJORAMIENTO LIMITE HALLAZGO EVIDENCIA Y FECHA DE
ABIERTO CERRAD REVISION
O
1 De acuerdo a la revisión Se evidencia que Se recomienda Coordinador del área 25-junio-2019 x
de a la norma se no hay una asignar una persona de TI
encuentra que el dominio persona del área de TI a la
5. Política de seguridad y encargada de revisión de la política
su objetivo de Política de realizar revisión ya que se evidencia
Seguridad de la de desconocimiento de
Información no cumple en documentación la misma.
su control Revisión de la concerniente a
política de seguridad de la los compromisos
información establecidos en
la seguridad de la
información
2 En la revisión se evidencia No hay una Levantar el plan de Coordinador del área 25 – julio -2019 x
que en el dominio evidencia de plan riesgos sobre el de TI
Estructura organizativa de riesgos con acceso a la
para la seguridad existen respecto a la información por
fallas en sus controles obtención de parte de terceros. Gerente de bases de
debido a que no hay información a datos y seguridad de
asignación de terceros. la información
responsabilidad al monto
de realizar seguimientos
con terceros, con respecto
a los riesgos que puedan
existir.
3 Se encuentra fallas en la Se desconoce Remitirse a la Ley Coordinador del área 25-julio -2019 x
clasificación de la qué tipo de 1581 de 2012 de TI
información. Dominio información
Clasificación y control de delicada se está Auxiliar de sistemas
Realizar un
activos manejando y no levantamiento de
se ha realizado información con
un estudio de respecto a los
clasificación de la
 información
posiblemente activos de
mente por el información
desconocimiento
de la Asignar a personal
normatividad. para el
levantamiento de
información.

4 Se evidencia que el área La posible causa Planear reunión de Coordinador del área 30 – Junio - x
de TI no ha dado a conocer es el poco manera que la alta de TI 2019
en su totalidad el sistemas de acercamiento a la gerencia tenga todo
gestión de la seguridad de la alta gerencia el conocimiento de
información dándole a los planes que se Gerente de bases de
conocer la tienen con respecto datos y seguridad de
importancia del a los sistemas de la información
sistema de gestión de la
gestión de seguridad de la Gerente de
seguridad de la información en la Infraestructura
información. institución.
5 En el área de TI de la Desconocimiento Se debe por parte Coordinador del área 28-Junio- 2019 x
Empresa, las funciones no de las funciones del área leer de TI
se están distribuyendo en el manual de cuidadosa las
según las funciones funciones del cada
responsabilidades del de plasmado en el cargo con referencia
los cargos y lo podemos documento de al área de TI
evidencia en el dominio talento Humano.
Gestión de 42.15-RRHH-01
comunicaciones y MANUAL DE
operaciones, existe un CARGOS Y
bajo porcentaje. COMPETENCIA
S
6 Se evidencia que no se El documento no Se debe realizar una Coordinador del área 30-julio -2019 x
 cumple en su totalidad las tiene una revisión revisión completa e de TI
políticas de control de continua y poca incluir las políticas
acceso, el documento redacción. para que se cumplan Gerente de bases de
encontrado posee fallas en los dominios y datos y seguridad de
cuento al controles de controles faltantes. la información
seguridad de la
información
7 Las causas Documentar los Coordinador del área 01-agosto x
posibles es que procesos de control de TI -2019
No se lleva un control de no hay una de cambios y
cambio en el área de TI continuidad en el controles
y los controles proceso y no criptográficos Gerente de bases de
criptográficos. están descritas datos y seguridad de
en una la información
documentación
Gerente de
Infraestructura
9 Se presentan informalidad No existe el Pasar la solicitud al Coordinador del área 25-Junio-2019 x
en los reportes de los formato para área de Calidad para de TI
incidentes de la seguridad registro de que creen el archivo
de la información. incidentes del registro de
incidentes de
seguridad de la
información
incluyéndolo en el
sistema de gestión
de la Calidad (SGC).
10 No hay muchas evidencias Tratar de Coordinador del área 10 – Julio-
Concertar reunión x
de comunicación con la acercarse más a de TI
con la alta gerencia 2019
gerencia para que la alta gerencia y para informar de los
conozcan más sobre realizar procesos del área y
Gestión de la continuidad concientización la importancia de la
del negocio de la importancia información como
de la seguridad activo de la empresa
de la información
en la entidad.
NOMBRE Y FIMA DE LOS AUDITORES O FUNCIONARIO ASIGNADO NOMBRE Y FIRMA DE
QUIEN HACE EL
SEGUIMIENTO