Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
PAPELES DE TRABAJO
CONTENIDO
INVESTIGACION PREELIMINAR ......................................................................................................................... 4 DESCRIPCION DE LA ENTIDAD ......................................................................................................................... 5 RESEA [2]........................................................................................................................................... 5 DIRECCIONAMIENTO ESTRATEGICO ................................................................................................................... 6 Misin ................................................................................................................................................. 6 Visin ................................................................................................................................................. 6 Valores ticos ....................................................................................................................................... 6 Principios ............................................................................................................................................ 7 Objetivos ............................................................................................................................................. 7 Funciones ............................................................................................................................................ 8 DESARROLLO TECNOLOGICO ........................................................................................................................... 9 ORGANIGRAMA ......................................................................................................................................... 10 MAPA DE PROCESOS .................................................................................................................................. 11 ........................................................................................................................................................... 11 DESCRIPCION DEL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION .................................................................. 12 Creacin[3]........................................................................................................................................ 12 Misin ............................................................................................................................................... 12 ESTRUCTURA DEL DEPARTAMENTO ............................................................................................................. 13 FUNCIONES ......................................................................................................................................... 13 COORDINADOR DEL DEPARTAMENTO DE TI .................................................................................................... 13 DEL AREA DE APLICACIONES ................................................................................................................. 13 DEL AREA DE HADWARE Y COMUNICACIONES ............................................................................................. 14 DEL AREA DE INVESTIGACION Y DESARROLLO ............................................................................................. 14 CARACTERIZACION DEL PROCESO .................................................................................................................. 15 IDENTIFICACION Y ANALISIS DEL RIESGO .......................................................................................................... 18 ADMINISTRACION DEL RIESGO....................................................................................................................... 19 IDENTIFICACION DEL RIESGO .................................................................................................................... 19 ALCANCES .......................................................................................................................................... 20 RIESGOS IDENTIFICADOS ......................................................................................................................... 20 DESCRIPCION DE LOS RIESGOS ................................................................................................................. 21 2
CLASIFICACION DEL RIESGO ..................................................................................................................... 23 SEMAFORIZACION DEL RIESGO .................................................................................................................. 23 MAPA DE RIESGOS DEL DEPARTAMENTO TI .................................................................................................... 25 MODELO DE ENCUESTAS.............................................................................................................................. 27 HALLAZGOS Y EVIDENCIAS ........................................................................................................................... 36 SITUACIONES ENCONTRADAS: ....................................................................................................................... 37
Situacin N1: Certificacin ..................................................................................................................... 37 Situacin N2: Conocimiento del SIGC ........................................................................................................ 37 Situacin N3: Auditorias Anteriores ......................................................................................................... 37
HALLAZGOS ENCONTRADOS: ......................................................................................................................... 37
Hallazgo N1: Portafolio de Servicios.......................................................................................................... 37 Hallazgo N2: Definicin de procedimientos ................................................................................................. 38 Hallazgo N3: Denominacin del Departamento TI. ......................................................................................... 38 Hallazgo N4: Planeacin del Departamento TI. ............................................................................................. 39 Hallazgo N5: Funciones del Personal Informtico ......................................................................................... 39 Hallazgo N6: Poltica de Desarrollo tecnolgico ........................................................................................... 40 Hallazgo N7: Perfiles Profesionales. ......................................................................................................... 40 Hallazgo N8: Estrategias de Desarrollo Tecnolgico...................................................................................... 41 Hallazgo N9: Mapa de Riesgos ................................................................................................................ 41 Hallazgo N10: Planes de Mejoramiento....................................................................................................... 42 Hallazgo N11: Poltica Global de Seguridad .................................................................................................. 42 Hallazgo N12: Copias de Seguridad. .......................................................................................................... 42
ANEXOS ................................................................................................................................................. 43
INVESTIGACION PREELIMINAR
A partir del ao 1989 por acuerdo 064 del Consejo Superior se define, como una de las polticas de la universidad, la implementacin de programas de Educacin Superior en la metodologa Abierta y a Distancia, en los lugares de la regin Amaznica Colombiana, cuyas necesidades sociales de desarrollo lo exijan. En el ao 1994 se inicia el desarrollo de programas en esta modalidad, en convenio con la Universidad Mariana de Pasto, con la implementacin de la tecnologa en Comercio y Contadura. De igual manera, en este ao, se desarroll la tecnologa en Administracin Municipal en convenio con la Escuela Superior de Administracin Pblica ESAP. En el segundo semestre del ao 1996 se establece el convenio con la Universidad del Tolima .
Visin
La Universidad de la Amazonia ser una institucin de educacin superior en permanente acreditacin social, reconocida y lder en la construccin, apropiacin, adecuacin, implementacin y difusin de procesos acadmicos, cientficos, investigativos y de proyeccin a la comunidad; preferencialmente encaminados a la bsqueda del desarrollo humano sostenible de la regin amaznica, de manera comprometida y articulada a la consolidacin del proyecto de nacin contemplado en la Constitucin Nacional.
Valores ticos
Mediante acuerdo 17 del 9 de agosto de 2007 el Consejo Superior de la Universidad de la Amazonia, aprob la Cata de Valores ticos: HONESTIDAD: Elemento fundamental en las actuaciones de la comunidad universitaria, materializado en SINCERIDAD: La veracidad en el desarrollo de los principios y objetivos institucionales aplicados a la formacin integral de los ciudadanos de la regin, como garanta de confianza social. RESPONSABILIDAD: Es el compromiso social y ambiental y la vocacin con que cada uno de los miembros de la comunidad universitaria, asumir la parte que le corresponde hacer y la obligacin tica de reparar un dao cuando se haya cometido un yerro
TRANSPARENCIA: Es el componente tico que identificar a cada servidor de la Institucin de tal forma que su actuacin sea muestra de credibilidad irrefutable EQUIDAD: Es la disposicin de nimo que moviliza a la Institucin para dar a cada cual lo que merece. Pero tambin expresa de manera directa el sentido de justicia con que actuar cada uno de los miembros de la comunidad. TOLERANCIA: Valor de gran relevancia que implica atender y respetar las ideas y principios de la comunidad en general buscando siempre la comprensin y la concertacin, propiciando un ambiente agradable y un trabajo feliz. SOLIDARIDAD: Es el apoyo y participacin compartida para alcanzar los objetivos propuestos y facilitar el trabajo en equipo. CONVIVENCIA: Es la resultante del respeto mutuo, la lealtad y la adaptacin a los diferentes grupos humanos y situaciones del quehacer institucional que exigen la comprensin, la felicidad y la paz ciudadana, propendiendo por la construccin de vivencias pacificas y democrticas dentro de la sociedad.
Principios
Armonizacin de la Universidad del pensamiento cientfico con la particularidad de las formas culturales y los modos de vida que existan en Colombia y en la regin amaznica. Bsqueda de la verdad, el ejercicio libre y responsable de la critica de la ctedra y del aprendizaje. La prctica de la autonoma universitaria consagrada en la constitucin y la ley. La realizacin plena de los derechos y deberes fundamentales, sociales, econmicos y culturales, cuyo ejercicio y disfrute supone el acceso a los cdigos fundamentales de la cultura, que son el resultado de la accin educativa. Calidad total en la prestacin de sus servicios a la comunidad.
Objetivos
Formar los recursos humanos, tcnicos, cientficos y culturales indispensables para el desarrollo socioeconmico, poltico y cultural de la regin amaznica. Promover el conocimiento y la reafirmacin de los valores de la nacionalidad colombiana, la expansin de las reas de creacin y goce de la cultura, y la conservacin del patrimonio cultural del pas. Fomentar la investigacin con nfasis en el rea amaznica, con miras a desarrollar el conocimiento cientfico, tecnolgico y cultural, prioritariamente en aquellos campos del saber que posibiliten la transformacin sustentable de los diversos sistemas naturales y culturales de su rea de influencia.
Desarrollar procesos de concertacin y cooperacin institucional que permitan intercambiar informacin, concertar acuerdos y entendimientos operativos y realizar esfuerzos de acciones armnicas de la respectiva cuenca amaznica. Establecer mecanismos operativos que redunden en la preservacin de un medio ambiente sano y fomentar la educacin y la cultura ecolgicas, para la conservacin y la utilizacin de los recursos de la Amazonia.
Promover la formacin y consolidacin de las comunidades acadmicas y la articulacin con sus homlogas a nivel nacional e internacional. Propender por la integracin de las poblaciones amaznicas al proceso nacional de desarrollo, preservando sus valores culturales y sociales, particularmente los de la poblacin indgena como elemento social de la Amazonia.
Propiciar el desarrollo cientfico y tecnolgico en las reas de su competencia. Contribuir a la formacin de ciudadanos a partir de una pedagoga y una prctica de la Constitucin Poltica. Contribuir al desarrollo de la identidad del profesional de la Universidad de la Amazonia y a su valoracin en el contexto social.
Servir de medio para planear el equilibrio ecolgico de la regin y la preservacin de las especies, a fin de que sirva como epicentro de consulta y coordinacin para las entidades estatales y particulares que tengan a su cargo dichas funciones
Funciones
Para el logro de los objetivos anteriores, la Universidad de la Amazonia deber cumplir con las siguientes funciones, orientadas a la Docencia, la Investigacin y la Extensin, a saber: Ofrecer programas acadmicos de pregrado y postgrado, entendidos como el conjunto de experiencias de aprendizaje estructuradas, para el desempeo eficaz de ocupaciones que permitan el ejercicio cualificado de una profesin o disciplina.
Fomentar la investigacin y la creatividad, orientadas hacia la sistematizacin, produccin, aplicacin y difusin del conocimiento con el objeto de promover el desarrollo integral de la regin., Ofrecer programas de extensin, dirigidos al estudio y solucin de las necesidades y problemas de la comunidad a travs del desarrollo de planes y programas de actualizacin y cualificacin en la direccin, orientacin y evaluacin de los sistemas de produccin y bienestar colectivo y el adecuado aprovechamiento de sus recursos. Adelantar programas de bienestar universitario, entendidos como el conjunto de actividades que se orientan al desarrollo fsico, psico-afectivo, espiritual y social de la comunidad universitaria.
DESARROLLO TECNOLOGICO
La Universidad de la Amazonia cuenta con una infraestructura propia de hardware y de software. De software, con la plataforma Acadmusoft; esta plataforma gestiona de principio a fin todos los procesos acadmicos, y Gestasoft; que se encarga de gestionar de forma integrada con la academia los procesos financieros y contables. Adems se cuenta con desarrollos propios que brindan soluciones puntuales a necesidades institucionales, como reservas de espacios fsicos, atencin al usuario, mesas de ayuda, y en la actualidad con la implementacin del sistemas CHAIRA, entre otros. De hardware,con una infraestructura propia de servidores y de redes que permite mantener conectividad con los dispositivos instalados por todo el campus universitario y sus sedes ms cercanas. Mediante acuerdo 08 de 2009 del honorable Consejo Superior, se cre el Departamento de Tecnologas de la Informacin, responsable directo de gestionar el rea de las TIC en la institucin. En la actualidad el mencionado departamento est ajustando sus procesos de forma transversal con el SIGC y con ITIL V3 para obtener la certificacin ISO 20000.
ORGANIGRAMA
10
MAPA DE PROCESOS
La universidad de la Amazonia dentro de sus SIGC ha definido cuatro macro-procesos orientados a la administracin, gestin, control y evaluacin de los procesos asociados a la organizacin, dentro de los cuales encontramos los PROCESOS DE APOYO que sirven a la gestin de los procesos. Dentro de este macro-proceso encontramos el PROCESO DE GESTION TECNOLOGICO que involucra la consecucin, administracin, planeacin y control de los recursos e infraestructura tecnolgica conque la universidad de la Amazonia cuenta mediante el Departamento TI que es el directo responsable del actuar de este proceso.
11
Misin
El Departamento de Tecnologas de la Informacin de la Universidad de la Amazonia tiene como misin la planificacin y gestin general de la infraestructura tecnolgica de la institucin, para servir de apoyo a los procesos de docencia, investigacin y proyeccin social y de esta forma contribuir al cumplimiento de la misin institucional
______________________________________
[3] Acuerdo 08 de 2009 dado por el Consejo Superior URL: http://apps.uniamazonia.edu.co/documentos/navega.php?PHPSESSID=rmv73k7d7irfng15kuiiuhpc61&dir=.%2FConsejo%20Superior%2 FAcuerdos%2F2009
12
13
DEL AREA DE HADWARE Y COMUNICACIONES 1. Velar por el normal y permanente funcionamiento de la infraestructura de hardware y comunicaciones de la Universidad de la Amazonia. 2. Administrar las salas de cmputo, recursos informticos, redes y telecomunicaciones de la Universidad. 3. Prestar soporte tcnico preventivo y correctivo a los equipos de cmputo de la institucin. 4. Las dems que le sean asignadas y que le correspondan por la naturaleza de su dependencia. DEL AREA DE INVESTIGACION Y DESARROLLO 1. Desarrollar software de acuerdo a las necesidades de la Universidad 2. Efectuar los procesos de anlisis, diseo, implementacin y pruebas del software requerido por la institucin. 3. Las dems que le sean asignadas y que le correspondan por la naturaleza de su dependencia
14
15
16
17
18
2. Disponibilidad: Permite determinar el grado de accesibilidad y conocimiento de la situacin por parte de los involucrados en el proceso. 3. Cumplimiento: Grado de cumplimiento a los acuerdos, planes y polticas.
19
ALCANCES
La identificacin del riesgo permite visualizar los factores externos e internos que afectan la seguridad de la funcin informtica en relacin al cumplimiento de la misin institucional, de sus objetivos, polticas y acuerdos a travs de la observacin y verificacin de los procedimientos organizacionales permitiendo: 1. Determinar las causas (medios, circunstancias y agentes internos o externos) de las situaciones riesgosas para la entidad.
2. Describir los riesgos (posibilidad de ocurrencia de un evento) con sus caractersticas generales o la forma en que se observan o manifiestan. 3. Precisar los efectos (consecuencias) que los riesgos puedan ocasionar a la Universidad.
RIESGOS IDENTIFICADOS
N 1 2 3 4 5 6 7 8 9
IDENTIFICACION PA-GT-PO-R1 PA-GT-PO-R2 PA-GT-PO-R3 PA-GT-PO-R4 PA-GT-PO-R5 PA-GT-PO-R6 PA-GT-PO-R7 PA-GT-PO-R8 PA-GT-PO-R9
RIESGO
Incumplimiento de los acuerdos institucionales Incumplimiento a los acuerdos de certificacin ISO 9001- 2008 y Norma Itil V3 Desconocimiento de la normatividad por parte del personal informtico Seguimiento a los planes de mejora. Mala aplicacin del sistema de Control interno, Perdida de Informacin Carencia de planes de contingencia del personal informtico Carencia de planes de contingencias de software Carencia de planes de contingencia
20
CUMPLIMIENTO
GESTION TECNOLOGICA
Personal que labora Desconocimiento del SIGC. Sanciones. en el departamento Desconocimiento de la Normas Perdida de certificacin. TI, ITIL V3 aplicada al contexto Mala imagen institucional. universitario. Ausencia de capacitacin. Mala interpretacin de la norma. Mala operatividad de Ausencia de polticas de Sanciones. la oficina de control capacitacin sobre la Perdidas econmicas. interno. normatividad. Mala calidad del servicio. Indisponibilidad del documento de la norma. Mala gestin documental. Coordinador del Falta de gestin y cumplimiento Departamento TI y de las polticas de gestin oficina de planeacin tecnolgicas establecidas en el Acuerdo 10 de 2010 Oficina de control Falta de seguimiento a los interno procedimientos ejercidos por el departamento TI. Desarticulacin del deber hacer y el hacer. Perdida de informacin. Perdida de confiabilidad. Daos fsicos. Perdidas econmicas. Incumplimiento de los acuerdos. Malos seguimiento y evaluacin.
Planificar y gestionar la infraestructura tecnolgica, para servir de apoyo a los procesos de la institucin y de esta forma contribuir al cumplimiento de la misin institucional.
PA-GT-PO-R3:Desconocimiento por parte de los funcionarios de las polticas, acuerdos y normativas que intervienen al Departamento TI. PA-GT-PO-R4:Ausencia de planes de mejora que garanticen la seguridad, acceso y uso de la informacin PA-GT-PO-R5:Falta de aplicacin del sistema de control interno a los procedimientos de gestin tecnolgico.
OPERATIVO
ESTRATEGICO
OPERATIVO
21
PA-GT-PO-R6:Perdida informacin
de TECNOLOGIA
PA-GT-PO-R7: Riesgo derivado de la actuacin del factor humano del rea de sistemas, ya sea del personal, de los usuarios, o de los administradores. PA-GT-PO-R8:Actualizacin del software instalado, piratera y falta de licencias en los software.
OPERATIVO
OPERATIVO
Infraestructura Mala infraestructura elctrica y elctrica y seguridad tecnolgica. fsica. Ausencia de planes de restauracin y backup. Personal que labora Acceso no autorizado. dentro del Ingeniera social. departamento TI Ausencia de claridad de las funciones del personal que labora dentro del Departamento. Periodos prolongados de actualizacin del software rea de hardware y instalado. comunicaciones Instalacin de software sin licencia.
Mala calidad del servicio. Perdidas econmicas. Daos fsicos en Hardware y Software. Mala calidad en el servicio. Incumplimiento a las normas.
las
PA-GT-PO-R9: No existe ningn plan de contingencia, ni un documento similar en donde se contemplen medidas preventivas relacionadas con la seguridad de la informacin del Departamento TI.
ESTRATEGICO
Coordinador del Ausencia de planes de Perdidas econmicas. Departamento TI y contingencia. Perdidas de informacin. oficina de No inclusin dentro del mapa de planeacin. riesgo anual. Ausencia en el plan opertavio.
22
IMPACTO De acuerdo a las consecuencias que se pueden ocasionar a la Universidad con la materializacin del riesgo identificado se asignan los siguientes valores cualitativos al impacto.
PROBABILIDAD Describe la posibilidad de ocurrencia del riesgo; si este se ha materializado medida en criterios de frecuencia.
Valor 5 10 20
Valor 1 2 3
VALOR
Amarillo (5 -10) Verde (15 20) Rojo (30 60)
CATASTROFICO (20) 60 40 20
23
24
PROCESO
RIESGO
PROBABILIDAD
IMPACTO
CONTROLES EXISTENTES
ACCION DE TRATAMIENTO
RESPONSABLE
PA-GT-PO-R1
Alta 3
Catastrfico 20
Inaceptable 60
Implementar controles que reduzcan el impacto y la probabilidad del riesgo Implementar controles que reduzcan el impacto Implementar controles que reduzcan el impacto y la probabilidad del riesgo Implementar controles que reduzcan el impacto y puedan evitar el riesgo
PA-GT-PO-R2
GESTION TECNOLOGICA
Baja 1
Leve 5
Moderado 5
No existen controles
Moderado
PA-GT-PO-R3
Alta 3
Catastrfico 20
Inaceptable 60
No existen controles
Inaceptable
PA-GT-PO-R4
Baja 1
Catastrfico 20
Importante 20
No existen controles
Importante
Oficina de Planeacin
PA-GT-PO-R5
Media 2
Moderado 10
Importante 20
No existen controles
Importante
Implementar controles que reduzcan el impacto y Oficina de Control puedan evitar el riesgo interno
25
PA-GT-PO-R6
Media 2
Catastrfico 20
Inaceptable 40
Inaceptable
Adecuacin de la red elctrica y documentacin del sistema automatizado de backup Implementar controles que reduzcan el impacto y puedan evitar el riesgo Implementar controles que reduzcan el impacto y puedan reducir el riesgo Implementar controles que reduzcan el impacto y la probabilidad del riesgo
PA-GT-PO-R7
Baja 1
Catastrfico 20
Importante 20
No existen controles
Importante
PA-GT-PO-R8
Baja 1
Moderado 10
Moderado 10
No existen controles
Moderado
PA-GT-PO-R9
Media 2
Catastrfico 20
Inaceptable 40
No existen controles
Inaceptable
Oficina de Planeacin
26
MODELO DE ENCUESTAS
27
Parte A. Conocimiento Organizacional y Misional del Departamento TI. 1. Conoce cul es la Misin del Departamento TI?
Si No Cul? 1 2
Menciones algunos
_____________________________________ __________________________________
_____________________________________ __________________________________
__________________________________ __________________________________
4. Los objetivos que tiene establecidos el departamento TI estn alineados a los objetivos Misionales de la Universidad?
Si No 1 2
__________________________________ __________________________________
2. Conoce de las polticas de desarrollo tecnolgico de la universidad de la Amazonia adoptados por el acuerdo 10 de 2010
Si No 1 2
___________________________________________________ ___________________________________________________ _________________________________________________ ___________________________________________________ ___________________________________________________ _________________________________________________ 3. Conoce de los objetivos del Departamento TI?
Si No 1 2
28
1 2 3 4 5
9.
Tiene conocimiento de las funciones de su cargo, establecidas segn el acuerdo 08 de 2009 emanado por consejo superior.
Si No 1 2
8.
El desarrollo de las actividades administrativas y tecnicas tendientes a la planeacion, manejo y organizacion de la documentacion producida y recibida por la universidad de la amazonia, desde su origen hasta su destino final, facilitando su utilizacin y conservacin. Planificar y gestionar la infraestructura tecnolgica, para servir de apoyo a los procesos de la institucin y de esta forma contribuir al cumplimiento de la misin institucional.
Con que periodicidad se formulan los planes operativos del departamento TI?
Cada 3 Meses Cada 6 Meses Cada 12 Meses Ms de 12 Meses 1 2 3 4
_____________________________________ _____________________________________ 13. Dentro de las funciones del departamento esta: Planear y programar cursos de extensin a la comunidad. Cada cuanto se realizan estos cursos.
Nunca se ha hecho Cada 3 Meses Cada 6 Meses Cada 12 Meses Ms de 12 Meses 1 2 3 4 5
11.
Que elementos o acciones se llevan a cabo desde la planeacin operativa para responder por la seguridad de la informacin ante agentes internos o externos, fsicos o lgicos. _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________
Quienes son los responsables de orientarlos _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ 14. Bajo qu criterios se seleccin el personal responsable de orientarlo. _____________________________________ _____________________________________ _____________________________________
12. Desde la planeacin liderada por el departamento como responden a la necesidad de servicio de seguridad de la informacin. (Portafolio de Servicios) _____________________________________ _____________________________________ _____________________________________ 29
_____________________________________ _____________________________________
Est reglamentada esta eleccin,
Si No 1 2
_____________________________________ _____________________________________
15. Con que periodicidad se asesora a los usuarios sobre el correcto manejo de las herramientas tecnolgicas.
Nunca se ha hecho Cada 3 Meses Cada 6 Meses Cada 12 Meses Ms de 12 Meses 1 2 3 4 5
16. Existen proyecto en formulacin y/o ejecucin que permiten alianzas estratgicas con entidades del nivel regional, nacional e internacional para la financiacin y cofinanciacin de los proyectos que brindan el acceso a herramientas tecnolgicas.
Si No 1 2
Cules?
_____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ 17. Con que periodicidad se identifican los riesgos que afectan al departamento TI?
Cada 3 Meses Cada 6 Meses Cada 12 Meses Ms de 12 Meses 1 2 3 4
18. Como desarrolla el Departamento TI el Seguimiento y Evaluacin de la implementacin de las polticas de Desarrollo tecnolgicos en la Universidad. _____________________________________ _____________________________________ _____________________________________ 30
Parte A. Planeacin.
1. El Departamento de tecnologas de la informacin cuenta con polticas establecidas en TI?
Si No 1 2
6.
2.
3.
7.
4.
Quien elabora estos planes de contingencia en el departamento? __________________________________________________ __________________________________________________ _________________________________________________ 8. Sus funciones se encuentran reglamentadas por alguna instancia o dependencia de la universidad?
Consejo Superior Oficina de Control Interno Oficina de Divisin y Servicios Coordinar de Departamento 1 2 3 4
31
seguridad?
Si No 1 2
De qu tipo?
Lgicos Fsicos 1
2
hackers informticos?
Si No 1 2
permita identificar y planificar de forma correcta la mejor manera de mitigar las amenazas a las aplicaciones o sistemas de informacin de la Universidad?
Si No 1 2
_____________________________________________
32
Parte D: Servidores
D1.Existen SO servidores, que impiden el acceso a los datos a
Si No
1 2
eventualidad que interrumpa las actividades habituales que involucra el uso de las redes de datos o de comunicacin?
Si No 1 2
De qu manera? ______________________________________________________________
Con qu periodicidad?
Diariamente Semanalmente Mensualmente Semestral 1 2 3 4
E3 Ha probado restaurar alguna copia de seguridad? Si No Ha tenido xito en la restauracin Nunca Pocas Veces Siempre| 1 2 3 1 2
no
1 2
2
33
acceso restringido?
Si No 1 2
universidad?
Si No 1 2
Quienes?
servidor?
Si No 1 2
informacin?
Si No 1 2
Cuanta
No se asigna recursos Menos de 1 milln Menos de 5 millones Menos de 1 0 millones Mas de 10 millones 1 2 3 4 5
34
las comunicaciones?
Si No 1 2
Puesto o Usuario?
Si No 1 2
organizacin?
Si No Como los evita? 1 2
a seguridad?
I1.Existe una poltica definida para los accesos a Internet? Si 1 Si No 1 2
No
2
H3. Cual de loa siguientes tipos de ataques informticos son
ms frecuentes
Virus Gusanos Troyanos Drive-By-Download Phising Malware Keylogger DoS Otro
0-Days
El contenido de esta encuesta sera utilizada exclusivamente para fines acadmicos en el proceso de investigacin sobre afectaciones de los sistemas informticos por accin de delitos informticos.
35
HALLAZGOS Y EVIDENCIAS
36
Las deficiencias evidenciadas como resultado de la auditoria adelantada por AMAZONAUDITOR inciden en el desarrollo de los procesos institucionales lo que conlleva a conceptuar la importancia de dar solucin a fin de mejorar la gestin de los procesos adelantados por el departamento TI y dar cumplimiento a los acuerdos y objetivos misionales de la institucin.
SITUACIONES ENCONTRADAS:
Situacin N1: Certificacin
La Universidad de la Amazonia, obtuvo en la vigencia 2010 la Certificacin de Calidad Nacional NTCGP: 1000: 2009 y la certificacin Internacional ISO: 9001: 2008, para todos sus procesos misionales, el Sistema de Gestin de Calidad permite a la Universidad estructurarse como ente competitivo, organizado y coherente en el desarrollo de su funcin misional.
HALLAZGOS ENCONTRADOS:
Hallazgo N1: Portafolio de Servicios
La universidad de la Amazonia bajo ningn acuerdo, decreto o normatividad establece dentro de sus elementos y funciones un portafolio de servicios orientado a la administracin, gestin y control de la informacin de la universidad, por lo tanto, como producto de la auditoria se desconoci el origen y aprobacin de estos servicios que no definen su procedencia y si componen o no, elementos de extensin y proyeccin social dentro del
37
departamento TI. Se logr identificar manuales de usuario para 1 de los 38 servicios ofrecidos en este portafolio, el cual corresponde al servicio SERICE DESKT que permite hacer el registro y seguimiento de las incidencias propias. Lo anterior ocasionado por deficiencias en la regulacin de las funciones y servicios del departamento y la ausencia de manuales de usuario que permitan la interpretacin de los objetivos y funciones de cada servicio.
Los contenidos que el Estado ofrezca por medios electrnicos deben ser vigentes, relevantes, verificables, completos, que genere algn beneficio para los clientes y que no d lugar a interpretaciones erradas. De igual forma, se debe evitar cualquier tipo de distorsin o interpretacin tendenciosa de la informacin que va a ser publicada en medios electrnicos.
38
Lo anterior ocasionado por la falta de actualizacin de los contenidos por parte del personal responsable de la administracin de la plataforma y por la mala coordinacin entre la secretaria general de la Universidad y el departamento TI.
El coordinador del departamento TI no dio cumplimiento al artculo quinto (5) literal 1 el cual establece dentro de sus funciones: Desarrollar e implementar el Plan Estratgico del Departamento de Tecnologas de la Informacin, dado que en la actualidad se desconoce un plan estratgico para el presente ao, como costa el documento F-8-DE-02-01 que muestra el formato del plan Operativo anual realizado el 22 de octubre de 2008 con vigencia hasta el 1 de marzo de 2010. Lo anterior ocasionado por la falta de coordinacin entre la oficina de planeacin y el departamento TI, agregando la ausencia de seguimiento a estos procesos por parte de la oficina de control interno. No se dio cumplimiento al artculo quinto (5) literal 4 y 9 el cual establece dentro de sus funciones: Presentar por escrito a su superior el plan operativo anual y Planear y programar cursos de extensin a la comunidad. Mediante la auditoria se logr identificar que a la fecha 11 de Octubre de 2011, no se encuentra adscrito a la vicerrectora de investigaciones ningn curso de extensin a la comunidad que este organizado y liderado por el departamento TI.
39
adoptadas por la universidad. Se evidencio que el Director del Departamento TI responde al cargo de Coordinador del rea de Investigacin y desarrollo. Lo anterior ocasionado por el incumplimiento de los acuerdos establecidos por el CS y la falta de seguimiento por parte de la oficina de control interno, incidiendo en la participacin del personal universitario (Estudiantes y Docentes) y por ende el desarrollo institucional.
Desarrollo Tecnolgico requiere de un proceso de seguimiento y evaluacin permanente, por el Departamento de Tecnologa de la Informacin quien definir los criterios, mecanismos y procedimientos para tal fin.. Se deja en evidencia el incumplimiento de este artculo, dado que a la fecha el director del
departamento desconoce de la existencia de esta obligacin y de la definicin de los criterios, mecanismos y procedimientos para ejercer control.
40
SPTIMO: ESTRATEGIAS. Las estrategias para el desarrollo tecnolgico de la Universidad de la Amazonia son las siguientes: Formulacin de proyectos y programas definidos anualmente, que vinculen a la comunidad universitaria en el mejoramiento de las herramientas tecnolgicas. Utilizacin de la infraestructura de la Universidad de la Amazonia, para la promocin y uso de las tecnologas que estn puestas al servicio. Implementacin y fortalecimiento de alianzas estratgicas con entidades del nivel local, regional, nacional e internacional, para la financiacin y cofinanciacin de los proyectos que brinden el acceso a herramientas tecnolgicas. Conformacin de redes para el intercambio de experiencias, conocimiento e informacin que permita interactuar en todos los aspectos para el mejoramiento tecnolgico Con el fin de incentivar la generacin tecnolgica la Universidad de la Amazonia establece un reconocimiento que se otorgar anualmente segn reglamentacin del Consejo Acadmico, como estmulo a los miembros de la comunidad acadmica por su aporte en el desarrollo tecnolgico.
Universidad de la Amazonia ajustar y actualizar, por lo menos una vez al ao, el Mapa de Riesgos como herramienta fundamental de la Administracin del Riesgo, con la metodologa propuesta por la Gua de la Administracin del Riesgo publicada en el portal web universitario, y adoptar, a travs de los responsables de cada proceso, sin demora injustificada y en el marco de la viabilidad, medidas de aseguramiento contra la materializacin y resultados de los eventos descritos, y de los nuevos cuya ocurrencia pueda preverse ,
se logr evidenciar que hasta la fecha no se ha actualizado el mapa de riesgos de la universidad desde el 14 de Diciembre del 2009 lo que incurre en incumplimiento a lo establecido en este acuerdo. Lo anterior ocasionado por la inoperancia de la oficina de control interno en la administracin del riesgo como representante de la direccin del MECI y como evaluador independiente del Sistema de Control interno de la Institucin.
41
42
ANEXOS
43
Como anexos al proceso auditor se hace entrega de un CD-RW con los siguientes documentos digitales que fueron tenidos en cuenta en la auditoria.
TIPO
Documento
DESCRIPCIN
Informe de Auditoria Gubernamental con enfoque integral modalidad regular Vigencia 2010 Acuerdo 05 de 2004 de CS. Acuerdo 08 de 2009 de CS. Acuerdo 09 de 2010 de CS Acuerdo 10 de 2010 de CS. Informe sobre los planes de Mejoramiento Informe presentado a la contralora general de la republica Seguimiento planes de mejoramiento Plan Operativo Anual vigencia 2010 Listado Maestro de Documentos Portafolio de Servicios Ficha Tcnica Nodo de Internet y Redes Gua de Administracin del Riesgo en la Universidad de la Amazonia Informe Ejecutivo AnualModelo Estndar de Control Interno .MECI vigencia 2008 Sistema Integrado de Gestin para las universidades publicas Manual para la Implementacin de la estrategia de Gobierno en Lnea de la repblica de Colombia Versin 2010 Mapa de procesosUniversidad de la Amazonia Mapa de Riesgos Institucional Normatividad del Gobierno Electrnico en Colombia Normograma Universidad de la Amazonia
FORMATO
PDF
Documentos
Documento
Documento
Documento Documento
PDF PDF
Documento
44
Organigrama Uniamazonia Plan de Capacitacin vigencia 2008 Plan de Compras primer semestre de 2011 Papeles de Trabajo Dictamen de la Auditoria
45