0/23Evaluados
0Conformes
0No Conformes
0OM
Volver al control
Inexistente
Aviso del auditor

El responsable de seguridad técnico (Carlos Andrés Gutiérrez, Desarrollador Fullstack) reporta que no existe un documento IRP formal. El proceso de respuesta a incidentes opera de forma ad hoc a través del canal de soporte de WhatsApp con los clientes. Esto incumple Ley 1581 Art. 17 y debilidad D5 del DOFA.

OmniControl S.A.S — Documento corporativo

Plan de Respuesta a Incidentes Cibernéticos (IRP)

Documento solicitado al responsable de seguridad

Código
IRP-001
Versión
Aprobado por
Fecha aprobación
Documento no encontrado

No existe un documento IRP en el sistema documental de OmniControl. Se solicitó al equipo técnico durante la auditoría y se confirmó verbalmente la ausencia del plan.

Sustituto informal — Canal de soporte WhatsApp

En lugar del IRP, OmniControl utiliza un grupo de WhatsApp para atender incidentes reportados por sus clientes. Extracto del grupo "OmniControl — Soporte Clientes" (los nombres han sido anonimizados):

Cliente Logística JK · 2026-02-14 09:34
Buenos días, no nos está dejando emitir factura electrónica desde hace 20 minutos. Es urgente.
Carlos (OmniControl) · 2026-02-14 09:51
Hola, ya estoy revisando. Probable caída del servicio de DIAN.
Cliente Transportes ML · 2026-02-14 10:02
A nosotros también nos pasa. ¿Es problema de ustedes o de la DIAN?
Carlos (OmniControl) · 2026-02-14 10:18
Era un certificado vencido nuestro. Ya se renovó. Por favor reintenten.
Cliente Logística JK · 2026-02-14 11:42
Funciona. ¿Pueden darnos un comunicado oficial sobre lo que pasó? Necesito reportarlo a mi gerencia.
Carlos (OmniControl) · 2026-02-14 13:12
Lo coordino con la gerente. Tan pronto tengamos algo te aviso.
[No hay mensaje de seguimiento. El comunicado oficial nunca se envió.]
Hallazgos derivados de este registro:
  • No existe protocolo formal de notificación a clientes.
  • No se distingue entre incidente operativo y brecha de datos personales (Ley 1581 Art. 17).
  • El canal mezcla soporte funcional con respuesta a incidentes.
  • No hay registro estructurado: clasificación, severidad, RCA, lecciones aprendidas.
  • Nunca se ha ejecutado un simulacro tabletop de respuesta a brecha de datos.