Embed Size (px)
Citation preview
INFORME DE AUDITORIA DE CUMPLIMIENTO A LAS POLÍTICAS DE SEGURIDAD INFORMATICA
Fernando Santamaría Luna Gerente
Marlon López Sánchez Director de Planeación
Magnolia Ayala Solano Sub Gerente Área Financiero
Andrés Fabián Amaya Sub Gerente Área Administrativa
Vicente García Parra Sub Gerente Área Distribución
Hernando Antonio Hincapie Sub Gerente Área Comercial y Mercadeo
Yenny Johana Rodríguez Pineda Secretaria General y Jurídica
Yuri Alexander Lascarro Profesional 02 Control Interno
San José del Guaviare, marzo 21 de 2017
COPIA C
ONTROLADA
I. INTRODUCCIÓN
La Empresa de Energía Eléctrica del Departamento del Guaviare - ENERGUAVIARE S.A. E.S.P, se constituye bajo la iniciativa de la Administración Departamental con la figura de sociedad anónima el 30 de agosto de 2001, mediante Escritura Pública No. 848 de la Notaría Única de San José del Guaviare, inscrita en la Cámara de Comercio el 10 de Septiembre de 2001, folio número 282 del libro respectivo.
El objeto social y Registro Único de Prestadores de Servicios públicos – RUPS de ENERGUAVIARE S.A. E.S.P, es Comercialización y Distribución de Energía Eléctrica en el Sistema Interconectado Nacional – SIN, Generación, Distribución y Comercialización de Energía en Zonas No Interconectadas – ZNI, prestando sus servicios en la actualidad en San José del Guaviare y en las localidades de El Retorno, Calamar, La Libertad, el Capricho y Puerto Concordia – Meta.
En cumplimiento al objeto social, la Empresa se encuentra sujeta a las disposiciones Constitucionales y Legales propias de la prestación de un servicio público domiciliario y en particular las de la energía eléctrica, establecidas en la ley 142 de 1994, modificada parcialmente por la Ley 689 de 2001, la ley 143 de 1994, las Resoluciones de la Comisión de Regulación de Energía y Gas Combustible – CREG, la Jurisprudencia, Los Estatutos Sociales y demás códigos, reglamentos, políticas y manuales de orden interno aprobados por la Junta Directiva; de las cuales se desprende que tanto la naturaleza como el régimen jurídico de una empresa de servicios públicos mixta, será de “carácter especial”; dado que algunos aspectos que lo regulan son públicos y otros privados, según lo establezca la norma; de allí, que ENERGUAVIARE S.A E.S.P sea una empresa mixta1, con régimen de derecho privado cuyos actos, contratos, régimen laboral y disciplinario, control interno, contrato de condiciones uniformes se sujeta al derecho privado y lo relacionado con condiciones para la prestación del servicio, determinación del consumo facturable, peticiones, quejas y recursos de los usuarios, metodologías tarifarias, facturación, subsidios, sistemas de información a los Usuarios, se rijan por el derecho público.
En cuanto al ejercicio del control, inspección y vigilancia de la prestación del servicio de energía encontramos que la misma, radica en cabeza de la Superintendencia de Servicios Públicos Domiciliarios y otros órganos con el alcance que expresamente establecen las normas, como son los Comités de Desarrollo y Control Social de los Servicios Públicos Domiciliarios, el Ministerio de Minas y Energía - MME, Unidad de Planeación Minero Energética – UPME, la Comisión de Regulación de Energía y Gas Combustible – CREG, Auditoría externa de gestión y resultados. Por su parte, el control, inspección y vigilancia como Sociedad Anónima, radica en cabeza de la Superintendencia de Sociedades y otros órganos con el alcance que expresamente establecen las normas como son las Cámaras de Comercio y el control fiscal, entendido en lo financiero, presupuestal, contable, de gestión y resultados, es ejercido en cabeza de la Contraloría. Finalmente, como administrador del mercado de energía mayorista (MEM) se encuentra XM- filial ISA.
1 Entiéndase por Empresa de Servicios Públicos Domiciliarios Mixta, aquella que su composición accionaria comprende capital público y privado, siendo más del cincuenta por ciento (50%) de dicho capital de carácter público.
COPIA C
ONTROLADA
II. OBJETIVO DEL INFORME Presentar el informe de auditoría de cumplimiento a las Políticas de Seguridad Informática, aprobadas por la Junta Directiva de ENERGUAVIARE SA ESP.
III. ALCANCE DEL INFORME La evaluación efectuada a las Políticas de Seguridad Informática corresponde al cumplimiento primer trimestre de 2017.
IV. ARQUITECTURA ORGANIZACIONAL DE LA EMPRESA
MISIÓN DE ENERGUAVIARE S.A. ESP ENERGUAVIARE S.A. E.S.P. distribuye y comercializa energía eléctrica con altos estándares de calidad para satisfacer las necesidades de nuestros clientes. Nuestras actividades se desarrollan con criterios de efectividad, para garantizar la sostenibilidad empresarial y la generación del valor económico, con profundo respeto a nuestros grupos de interés, y el medio ambiente. VISIÓN DE ENERGUAVIARE SA ESP Ser reconocida para el 2020 como una empresa de distribución y comercialización de energía competitiva en la Amazo-Orinoquia Colombiana. Consolidada por sus iniciativas de modernización e incorporación de las mejores prácticas en sus procesos operativos, comerciales y financieros, basadas en el desarrollo del recurso humano y preservación del medio ambiente. OBJETIVOS DE LA EMPRESA
I. Comprar, vender y comercializar energía eléctrica o de otras fuentes.
II. Construir y explotar centrales y/o plantas generadoras de energía y sub-estaciones,
líneas de transformación, transmisión y redes de distribución de energía eléctrica. III. Crear o participar en la creación de nuevas empresas de servicios públicos o de
carácter mercantil, cuyo objeto sea afín a ENERGUAVIARE S.A. E.S.P. IV. Adquirir, grabar y enajenar bienes muebles e inmuebles, corporales e incorporales y en
general realizar todos los actos de comercio necesarios para el desarrollo del objeto
COPIA C
ONTROLADA
social, tales como colocar o tomar dinero en mutuo, emitir acciones, celebrar contratos de arrendamiento, prestación de servicios.
V. Vender, comercializar, distribuir electrodomésticos a los suscriptores o usuarios del
servicio de energía eléctrica domiciliaria. VI. Vender, comercializar unidades de computadores de redes de datos, equipos de
comunicaciones a entidades gubernamentales para el adelantamiento de programas educativos para la dotación y creación de aulas virtuales y salas de cómputo.
VII. Aplicar en la facturación de los usuarios suscriptores de energía eléctrica domiciliaria,
la venta de servicios convenidos con entidades públicas y privadas, respetando las directrices de facturación de la superintendencia de servicios públicos.
PRINCIPIOS
Responsabilidad Transparencia Moralidad Igualdad Imparcialidad Eficacia Eficiencia Celeridad Buena Fe Legalidad
VALORES
Respeto Tolerancia Lealtad Institucional Confianza Participación Honestidad Compromiso Solidaridad Pertenencia Compañerismo Dialogo Presentación personal
COPIA C
ONTROLADA
ESTRUCTURA ORGÁNICA DE ENERGUAVIARE SA ESP
MAPA DE PROCESOS
COPIA C
ONTROLADA
POLITICA DE CALIDAD ENERGUAVIARE SA ESP como empresa distribuidora y comercializadora de energía garantiza el cumplimiento de los requisitos legales, técnicos y contractuales, para satisfacer las necesidades de nuestros clientes con los más altos estándares de calidad. Contamos con personal competente, en constante comunicación y trabajo en equipo para identificar, analizar y eliminar todas aquellas actividades que no le agreguen valor a nuestro cliente, buscando la constante evaluación de cada uno de nuestros proveedores. Propendemos por la rentabilidad y eficacia a través de las mejores prácticas de operación y mantenimiento, con el fin de lograr la disponibilidad requerida y el mejoramiento continuo de los procesos.
OBJETIVOS DE CALIDAD 1. Cumplir oportunamente con los requisitos legales definidos para la calidad del servicio.
2. Disminuir el margen de inconsistencias en las lecturas de medidores, implementando un
sistema de lecturas en tiempo real.
3. Establecer mecanismos que permitan la compra de energía a precios competitivos.
4. Aumentar la satisfacción de los clientes a través de un excelente servicio de distribución y
comercialización de energía.
5. Atender oportunamente los PQRS de nuestros clientes, con trato cordial y respetuoso.
6. Mejorar continuamente los procesos del SGC, a través de la evaluación y seguimiento en
función del cumplimiento de la política de calidad.
7. Desarrollar el plan de reducción de pérdidas, que permita incrementar los ingresos.
8. Fortalecer el talento humano mediante una constante formación que permitan mejorar el
desempeño de los trabajadores.
COPIA C
ONTROLADA
IV. VERIFICACIÓN DEL CUMPLIMIENTO DE LAS POLÍTICAS APROBADAS POR LA JD DE ENERGUAVIARE SA ESP
Para la evaluación efectuada se visitó la Oficina de Sistemas tomándose como criterios las 14 políticas de seguridad informática aprobadas por la junta Directiva de ENERGUAVIARE SA ESP, el 18 de agosto de 2015, así:
POLÍTICA 1 Acceso a la Información
Observaciones: 1. Cada vez que existan novedades de personal en cuanto a las terminaciones de contratos laborales, la Subgerencia Administrativa debe informar a la Oficina de Sistemas para el bloqueo de usuarios y acceso a la información; esta situación se hace extensiva a la Secretaria General y Jurídica, para el caso de contratistas. Finalmente, en caso de cambios o traslados de trabajadores a otros cargos o dependencias deberá informarse con anticipación a la oficina de sistemas 2. La Oficina de Sistemas debe establecer controles internos para el acceso a la información por parte de los Trabajadores de la empresa, es de anotar, que El Gerente y los Subgerentes son los responsables de generar la información y deben autorizar solo el acceso indispensable de acuerdo con el trabajo realizado a los trabajadores y personas ajenas, previa justificación.
POLÍTICA 2
Identificación y Autenticación del Personal Autorizado a Acceder a los Datos Almacenados en las Estaciones de Trabajo de Cada Área de la Empresa ENERGUAVIARE SA ESP
Observaciones: 1. Los equipos de la empresa no están agregados al dominio LOCAL, con un administrador y clave manejada por cada usuario, pese a que actualmente se cuenta con un servidor que está optimizado; se debe laborar un cronograma de trabajo para que se cumpla con este lineamiento de la Política.
POLÍTICA 3
Control de Acceso a la Red Inalámbrica de la Empresa ENERGUAVIARE SA ESP
COPIA C
ONTROLADA
Observaciones: 1. Cumple, actualmente se cuenta con tres Router en la sede principal con la red inalámbrica ENERGUAVIARE y uno en la Subestación red subestación energuavaire, que son contraladas por la Oficina de Sistemas. 2. La oficina de Sistemas no cuenta con un firewall físico para administrar y bloquear páginas que no contribuyan con las actividades diarias de la empresa. Aunque parcialmente esto se suple con un proxy por software que actualmente está instalado.
POLÍTICA 4 Control de acceso al Sistema de Información de la Empresa ENERGUAVIARE SA ESP
Observaciones: 1. El control de acceso a los Sistemas de Información lo tiene únicamente el Administrador del Sistema, pero la Subgerencia Administrativa debe definir hacia futuro la designación de un trabajador de planta que ejerza dicho control, en las vacancias temporales (vacaciones, licencias, permisos) del profesional 01 de Sistemas
POLÍTICA 5 Administración de Cambios en los Sistemas de Información y Recursos Informáticos
Observaciones:
1. Se cumple con esta política los Trabajadores cada vez que requieren cambios en los
Sistemas de Información, los solicitan mediante Requisiciones dirigidas al Administrador de los
Sistemas. Se debe seguir efectuando esta acción.
POLÍTICA 6 Seguridad de la Información
Observaciones:
1. Aunque se han efectuado las capacitaciones pertinentes a los trabajadores de la empresa para el manejo de los Sistemas de Información, El Administrador debe recalcar acerca de la utilización de los manuales de procedimientos y certificar su entrega. Con esto se fortalece en el manejo y protección de la información. 2. Se efectuó prueba selectiva en la sede principal escogiendo 16 equipos en uso de propiedad de la empresa, para detectar si los usuarios de las Áreas de Gerencia,
COPIA C
ONTROLADA
Administrativa, Planeación, Jurídica, Financiera, Comercial, manejaban información no laboral en los mismos; obteniéndose como resultado 13 equipos con información no laboral (fotos, tarjetas, música, videos), situación que se puso en conocimiento al Subgerente Administrativo para que emitiera una circular haciendo mención al cumplimiento de la política y de prohibir este tipo de información en los equipos de la empresa. Finalmente, para dar estricto cumplimiento a la política la oficina de sistemas debe eliminar esta información cada vez que intervenga un equipo de la empresa.
POLÍTICA 7
Almacenamiento y Respaldo de la Información
Observaciones:
1. En la Oficina de Sistemas no se cuenta actualmente con los equipos adecuados para el almacenamiento de la información, aunque se realizan las copias de seguridad de manera incremental. 2. Se efectuó prueba selectiva en la sede principal escogiendo 16 equipos en uso de propiedad de la empresa de diferentes áreas, para detectar si tenían instalado el programa COBIAN BACKUPS; obteniéndose como resultado que en 9 equipos no se encuentra instalado y no hay actualización en la Oficina de Sistemas de los usuarios responsables de cada equipo. 3. La Oficina de Sistemas debe documentar el Plan de Seguridad y solicitar al Comité de Calidad-MECI su aprobación; es de anotar, que la información en medio magnético de ENERGUAVIARE SA ESP deberá ser almacenada y respaldada de acuerdo con las normas que se establezcan en dicho Plan. 4. La Subgerencia Administrativa debe actualizar la política especialmente en lo relacionado con la forma en que se generan las copias de seguridad, debe ser automatizada.
POLÍTICA 8 Medidas de Protección a la Información Manejada en la Empresa ENERGUAVIARE SA ESP por causa de Código Malicioso en las Áreas Donde se Maneje Información Crítica
Observaciones:
1. Actualmente no se cuenta con licencia antivirus para equipos, así como también, para servidores de la empresa, pese a que en reiteradas oportunidades la Oficina de Sistemas ha comunicado estas situaciones. 2. No se cuenta con firewall físico para tomar medidas de protección a la información de la Empresa.
COPIA C
ONTROLADA
POLÍTICA 9
Software Utilizado
Observaciones:
1. Actualmente se cuenta con licencia de uso para el SIEC, ISOLUCION Y PIMISYS, pero no se tiene licenciado el ORACLE para la base de datos del SIEC. 2. No hay licenciamiento de los productos Autodesk (Auto Cad) 3. No hay licenciamiento del chat interno, para lo cual es necesario adquirir uno con iguales o mejores características, pero con licenciamiento.
POLÍTICA 10
Actualización de Hardware
Observaciones:
1. Cumple.
POLÍTICA 11
Seguridad para los Servicios Informáticos. Observaciones:
1. Cumple.
POLÍTICA 12
Contingencia. Observaciones:
1. La Oficina de Sistemas debe actualizar el Plan de Contingencia 2017 y solicitar al Comité de Calidad – MECI su aprobación para implementación. 2. Es necesario y de vital importancia, el cambio de la UPS que suministra la energía a los servidores donde se encuentran alojados los sistemas de información ISOLUCION, PIMISYS, SIEC, sistemas de información para localidades, servidor Proxy, Circuito cerrado de TV, Router Cisco, switch, Discos Backup DB, Equipo de Software. El cambio de debe ser lo antes posible, la UPS actual presenta fallas cuando se presentas cortes de energía, y en un tiempo estima de 10 minutos entra en estado crítico y se apaga,
COPIA C
ONTROLADA
suspendiendo el suministro de energía y generado un apagado inesperado de los servidores, esto ha ocasionado serios inconvenientes y errores en las configuraciones de los servicios de los servidores. Los errores más comunes que se han venido presentando son:
Interrupción en las copias de seguridad de las DB de los sistemas de información SIEC y PIMISYS.
Daño en el cargue sistema operativo de los servidores.
Daño en la conexión a las bases de datos SIEC Y PIMISYS
Interrupción en los procedimientos de la parte comercial y facturación, generando perdida de información, es necesario la implementación de UPS de 3KVA para (Comercial, Facturación, Jurídica).
Ejecución del servicio de SmartFlow Parsing Engine –V4 en Servidor server 2012 software ISOLUCION; el software de ISOLUCIÓN tiene un módulo de asignación de tareas dirigido por los líderes de procesos, quien a través del Software asignan las tareas a los líderes de procedimientos, debido a los cortes de energía, este servicio se detiene impidiendo que la tarea se refleje a quien fue asignada.
Daños en el hardware de los equipos, discos duros, Monitores, fuentes de poder.
Daño del disco duro del CCTV.
Para evitar esta serie de inconvenientes, se recomienda adquirir una UPS de 20 KVA – 16 WATS reales de uso exclusivo para los servidores y para los clientes de la parte comercial, facturación, jurídica una UPS de 3 KVA – 1800 WATS.
3. la oficina de sistemas del área administrativa está al tanto de todos los procesos y
actividades que se realizan, y una de ellos es tener al 100% en funcionamiento los equipos de
comunicaciones y sistemas de información que facilitan las labores cotidianas, debido a los
esporádicos cortes de energía que se presenta en diferentes horas del día y madrugada y que
en ocasiones duran más de 20 0 40 minutos estos afectan el continuo funcionamientos del
rack principal, donde se encuentran los servidores de bases de datos, sistemas de información
comercial, financiero y, que lo posible sea prevenir perdida de los mismo y la información que
ahí se almacena, es necesario, lo más pronto posible implementar un banco de baterías con
autonomía de 8 horas para para poder suplir dichos inconvenientes.
COPIA C
ONTROLADA
POLÍTICA 13
Auditoria. Observaciones:
1. Cumple
POLÍTICA 14
Seguridad Física. Observaciones:
1. Se detecta fallas en 4 cámaras de seguridad (exterior entrada a la empresa, recepción, pasillo de entrada y cafetería) 2. Se detecta fallas en las cámaras de seguridad de las localidades, requieren optimización del circuito cerrado. 3. En los centros de cómputo no existen elementos de control de incendio, inundación y alarmas. 4. Se debe revisar esta política y actualizarla ya que presenta contenidos que no tienen relación con la seguridad informática (ítems 2, 6, 8)
V. RIESGOS ASOCIADOS
1. Sanciones por parte de los entes de control y vigilancia por la carencia de licencias, además
de las sanciones pecuniarias que puedan interponer los titulares de los programas y softwares.
2. Pérdida de información por la carencia de medidas de protección idóneas y de equipos de
almacenamiento adecuados.
VI. RECOMENDACIONES
1. Establecer un plan de acciones correctivas inmediato por parte de la subgerencia
Administrativa, para mitigar las inconsistencias detectadas.
2. Establecer medidas de Protección a la Información Manejada en la Empresa por causa de Código Malicioso en las Áreas Donde se Maneje Información Crítica.
COPIA C
ONTROLADA
3. Adquirir las licencias para los programas que actualmente utiliza la empresa, de tal
manera que no se presenten hacia futuro posibles sanciones.
4. Fortalecer la seguridad en la información que genera la empresa, así como también, el
almacenamiento y respaldo de la información.
5. La Oficina de Sistemas debe actualizar el Plan de Contingencia 2017 y solicitar al
Comité de Calidad – MECI su aprobación para implementación.
6. La Oficina de Sistemas debe documentar el Plan de Seguridad y solicitar al Comité de Calidad-MECI su aprobación; es de anotar, que la información en medio magnético de ENERGUAVIARE SA ESP deberá ser almacenada y respaldada de acuerdo con las normas que se establezcan en dicho Plan.
7. Efectuar las mejoras locativas en la oficina de sistemas que permita garantizar su buen funcionamiento, la seguridad de los funcionarios y de los equipos
YURI ALEXANDER LASCARRO Profesional 02 Control Interno Esp. Auditoria Forense Esp. Alta Gerencia
COPIA C
ONTROLADA
