Sei sulla pagina 1di 45

Auditoria del 3 de Septiembre al 13 de Octubre de 2011 Auditor responsable Gustavo Adolfo Daz Tovar

PAPELES DE TRABAJO

CONTENIDO
INVESTIGACION PREELIMINAR ......................................................................................................................... 4 DESCRIPCION DE LA ENTIDAD ......................................................................................................................... 5 RESEA [2]........................................................................................................................................... 5 DIRECCIONAMIENTO ESTRATEGICO ................................................................................................................... 6 Misin ................................................................................................................................................. 6 Visin ................................................................................................................................................. 6 Valores ticos ....................................................................................................................................... 6 Principios ............................................................................................................................................ 7 Objetivos ............................................................................................................................................. 7 Funciones ............................................................................................................................................ 8 DESARROLLO TECNOLOGICO ........................................................................................................................... 9 ORGANIGRAMA ......................................................................................................................................... 10 MAPA DE PROCESOS .................................................................................................................................. 11 ........................................................................................................................................................... 11 DESCRIPCION DEL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION .................................................................. 12 Creacin[3]........................................................................................................................................ 12 Misin ............................................................................................................................................... 12 ESTRUCTURA DEL DEPARTAMENTO ............................................................................................................. 13 FUNCIONES ......................................................................................................................................... 13 COORDINADOR DEL DEPARTAMENTO DE TI .................................................................................................... 13 DEL AREA DE APLICACIONES ................................................................................................................. 13 DEL AREA DE HADWARE Y COMUNICACIONES ............................................................................................. 14 DEL AREA DE INVESTIGACION Y DESARROLLO ............................................................................................. 14 CARACTERIZACION DEL PROCESO .................................................................................................................. 15 IDENTIFICACION Y ANALISIS DEL RIESGO .......................................................................................................... 18 ADMINISTRACION DEL RIESGO....................................................................................................................... 19 IDENTIFICACION DEL RIESGO .................................................................................................................... 19 ALCANCES .......................................................................................................................................... 20 RIESGOS IDENTIFICADOS ......................................................................................................................... 20 DESCRIPCION DE LOS RIESGOS ................................................................................................................. 21 2

CLASIFICACION DEL RIESGO ..................................................................................................................... 23 SEMAFORIZACION DEL RIESGO .................................................................................................................. 23 MAPA DE RIESGOS DEL DEPARTAMENTO TI .................................................................................................... 25 MODELO DE ENCUESTAS.............................................................................................................................. 27 HALLAZGOS Y EVIDENCIAS ........................................................................................................................... 36 SITUACIONES ENCONTRADAS: ....................................................................................................................... 37

Situacin N1: Certificacin ..................................................................................................................... 37 Situacin N2: Conocimiento del SIGC ........................................................................................................ 37 Situacin N3: Auditorias Anteriores ......................................................................................................... 37
HALLAZGOS ENCONTRADOS: ......................................................................................................................... 37

Hallazgo N1: Portafolio de Servicios.......................................................................................................... 37 Hallazgo N2: Definicin de procedimientos ................................................................................................. 38 Hallazgo N3: Denominacin del Departamento TI. ......................................................................................... 38 Hallazgo N4: Planeacin del Departamento TI. ............................................................................................. 39 Hallazgo N5: Funciones del Personal Informtico ......................................................................................... 39 Hallazgo N6: Poltica de Desarrollo tecnolgico ........................................................................................... 40 Hallazgo N7: Perfiles Profesionales. ......................................................................................................... 40 Hallazgo N8: Estrategias de Desarrollo Tecnolgico...................................................................................... 41 Hallazgo N9: Mapa de Riesgos ................................................................................................................ 41 Hallazgo N10: Planes de Mejoramiento....................................................................................................... 42 Hallazgo N11: Poltica Global de Seguridad .................................................................................................. 42 Hallazgo N12: Copias de Seguridad. .......................................................................................................... 42
ANEXOS ................................................................................................................................................. 43

INVESTIGACION PREELIMINAR

DESCRIPCION DE LA ENTIDAD RESEA [2]


Mediante Acuerdo 004 del 15 de Diciembre de 1970, emanado del Consejo Superior del ITUSCO, se autoriz la apertura de una seccional con sede en Florencia Caquet. As, la nueva sede de ITUSCO iniciaba sus primeros trabajos de estudios intermedios a nivel tecnolgico en Ciencias Sociales, Lingstica y Literatura, Matemticas y Fsica, Contabilidad y Presupuesto y Topografa; sta ltima fue cerrada por el bajo nmero de estudiantes (una sola promocin de 8 estudiantes). La Ley 13 del 30 de Enero de 1976, transform el Instituto Tcnico Universitario Surcolombiano ITUSCO en Universidad Surcolombiana, con sede principal en Neiva. Posteriormente segn Acuerdo 032 del 13 de junio de 1.977 del Consejo Superior, se estableci la Regional Florencia, dependiente de la sede central de Neiva. La dependencia econmica y administrativa de la Regional de Florencia, de la Universidad Surcolombiana de Neiva, se convirti en un obstculo para la toma de decisiones y la proyeccin de la misma. Ante la sustentacin de los diversos problemas para el desarrollo de la institucin, como ente de educacin superior, el 30 de diciembre de 1982, mediante la ley 60, se transform la regional Florencia de la Universidad Surcolombiana en Universidad de la Amazonia (UA), como una institucin de educacin superior, establecimiento pblico del orden nacional, con personera jurdica, autonoma administrativa y patrimonio independiente, adscrito al Ministerio de Educacin Nacional; con domicilio en la ciudad de Florencia Caquet y con las posibilidades de establecer dependencias seccionales en los lugares de la Amazona cuyas necesidades as lo exigieran. En mayo de 1983 el Ministerio de Educacin nacional le concede reconocimiento institucional, a la universidad de la Amazonia por Resolucin No 6533. La primera aproximacin que tiene la Universidad de la Amazonia al rea de investigaciones se hace con la creacin del Centro de Investigaciones Surcolombiano, CISNU, con el objetivo de impulsar la actividad investigativa de la universidad en el marco especfico de necesidades del ambiente amaznico. Como apoyo a este centro de investigaciones y por Acuerdo 032 del 13 de Junio de 1974, el Consejo Superior cre la estructura orgnica de la Universidad que ofrece, fuera de la sede de Florencia, dos granjas experimentales para el desarrollo de prcticas acadmicas. En 1984, se reglament el Instituto Amaznico de Investigaciones IAMI, con el objetivo de fomentar, coordinar y apoyar la prctica investigativa de los docentes y estudiantes de la Universidad. En la medida que ha crecido y la estructura de la universidad ha cambiado, tambin se han reestructurado sus dependencias. As a partir del ao 1994 se cre la Vicerrectora de Investigaciones, instancia acadmica que tiene como funcin bsica la direccin, planificacin y fomento de la investigacin en la universidad.
__________________________________________________
[2] Esta informacin se public en la pgina institucional de la Universidad de la Amazonia, seccin Acerca de la Entidad, en la URL http://www.uniamazonia.edu.co/v8/index.php/acerca-de-la-entidad/historia.html

A partir del ao 1989 por acuerdo 064 del Consejo Superior se define, como una de las polticas de la universidad, la implementacin de programas de Educacin Superior en la metodologa Abierta y a Distancia, en los lugares de la regin Amaznica Colombiana, cuyas necesidades sociales de desarrollo lo exijan. En el ao 1994 se inicia el desarrollo de programas en esta modalidad, en convenio con la Universidad Mariana de Pasto, con la implementacin de la tecnologa en Comercio y Contadura. De igual manera, en este ao, se desarroll la tecnologa en Administracin Municipal en convenio con la Escuela Superior de Administracin Pblica ESAP. En el segundo semestre del ao 1996 se establece el convenio con la Universidad del Tolima .

DIRECCIONAMIENTO ESTRATEGICO Misin


La Universidad de la Amazonia, institucin estatal de educacin superior del orden nacional, creada por la ley 60 de 1982 para contribuir especialmente en el desarrollo de la regin amaznica, est comprometida con la formacin integral de un talento humano idneo para asumir los retos del tercer milenio a travs de una educacin de calidad, amplia y democrtica, a nivel de pregrado, posgrado y continuada, que propicie su fundamentacin cientfica, desarrolle sus competencias investigativas, estimule su vinculacin en la solucin de la problemtica regional y nacional y consolide valores que promuevan la tica, la solidaridad, la convivencia y la justicia social.

Visin
La Universidad de la Amazonia ser una institucin de educacin superior en permanente acreditacin social, reconocida y lder en la construccin, apropiacin, adecuacin, implementacin y difusin de procesos acadmicos, cientficos, investigativos y de proyeccin a la comunidad; preferencialmente encaminados a la bsqueda del desarrollo humano sostenible de la regin amaznica, de manera comprometida y articulada a la consolidacin del proyecto de nacin contemplado en la Constitucin Nacional.

Valores ticos
Mediante acuerdo 17 del 9 de agosto de 2007 el Consejo Superior de la Universidad de la Amazonia, aprob la Cata de Valores ticos: HONESTIDAD: Elemento fundamental en las actuaciones de la comunidad universitaria, materializado en SINCERIDAD: La veracidad en el desarrollo de los principios y objetivos institucionales aplicados a la formacin integral de los ciudadanos de la regin, como garanta de confianza social. RESPONSABILIDAD: Es el compromiso social y ambiental y la vocacin con que cada uno de los miembros de la comunidad universitaria, asumir la parte que le corresponde hacer y la obligacin tica de reparar un dao cuando se haya cometido un yerro

TRANSPARENCIA: Es el componente tico que identificar a cada servidor de la Institucin de tal forma que su actuacin sea muestra de credibilidad irrefutable EQUIDAD: Es la disposicin de nimo que moviliza a la Institucin para dar a cada cual lo que merece. Pero tambin expresa de manera directa el sentido de justicia con que actuar cada uno de los miembros de la comunidad. TOLERANCIA: Valor de gran relevancia que implica atender y respetar las ideas y principios de la comunidad en general buscando siempre la comprensin y la concertacin, propiciando un ambiente agradable y un trabajo feliz. SOLIDARIDAD: Es el apoyo y participacin compartida para alcanzar los objetivos propuestos y facilitar el trabajo en equipo. CONVIVENCIA: Es la resultante del respeto mutuo, la lealtad y la adaptacin a los diferentes grupos humanos y situaciones del quehacer institucional que exigen la comprensin, la felicidad y la paz ciudadana, propendiendo por la construccin de vivencias pacificas y democrticas dentro de la sociedad.

Principios
Armonizacin de la Universidad del pensamiento cientfico con la particularidad de las formas culturales y los modos de vida que existan en Colombia y en la regin amaznica. Bsqueda de la verdad, el ejercicio libre y responsable de la critica de la ctedra y del aprendizaje. La prctica de la autonoma universitaria consagrada en la constitucin y la ley. La realizacin plena de los derechos y deberes fundamentales, sociales, econmicos y culturales, cuyo ejercicio y disfrute supone el acceso a los cdigos fundamentales de la cultura, que son el resultado de la accin educativa. Calidad total en la prestacin de sus servicios a la comunidad.

Objetivos

Formar los recursos humanos, tcnicos, cientficos y culturales indispensables para el desarrollo socioeconmico, poltico y cultural de la regin amaznica. Promover el conocimiento y la reafirmacin de los valores de la nacionalidad colombiana, la expansin de las reas de creacin y goce de la cultura, y la conservacin del patrimonio cultural del pas. Fomentar la investigacin con nfasis en el rea amaznica, con miras a desarrollar el conocimiento cientfico, tecnolgico y cultural, prioritariamente en aquellos campos del saber que posibiliten la transformacin sustentable de los diversos sistemas naturales y culturales de su rea de influencia.

Desarrollar procesos de concertacin y cooperacin institucional que permitan intercambiar informacin, concertar acuerdos y entendimientos operativos y realizar esfuerzos de acciones armnicas de la respectiva cuenca amaznica. Establecer mecanismos operativos que redunden en la preservacin de un medio ambiente sano y fomentar la educacin y la cultura ecolgicas, para la conservacin y la utilizacin de los recursos de la Amazonia.

Promover la formacin y consolidacin de las comunidades acadmicas y la articulacin con sus homlogas a nivel nacional e internacional. Propender por la integracin de las poblaciones amaznicas al proceso nacional de desarrollo, preservando sus valores culturales y sociales, particularmente los de la poblacin indgena como elemento social de la Amazonia.

Producir conocimientos en el mbito de lo educativo, y desarrollar procesos de innovacin educativa.

Contribuir al logro de mayores niveles de calidad educativa del pas.

Propiciar el desarrollo cientfico y tecnolgico en las reas de su competencia. Contribuir a la formacin de ciudadanos a partir de una pedagoga y una prctica de la Constitucin Poltica. Contribuir al desarrollo de la identidad del profesional de la Universidad de la Amazonia y a su valoracin en el contexto social.

Servir de medio para planear el equilibrio ecolgico de la regin y la preservacin de las especies, a fin de que sirva como epicentro de consulta y coordinacin para las entidades estatales y particulares que tengan a su cargo dichas funciones

Funciones
Para el logro de los objetivos anteriores, la Universidad de la Amazonia deber cumplir con las siguientes funciones, orientadas a la Docencia, la Investigacin y la Extensin, a saber: Ofrecer programas acadmicos de pregrado y postgrado, entendidos como el conjunto de experiencias de aprendizaje estructuradas, para el desempeo eficaz de ocupaciones que permitan el ejercicio cualificado de una profesin o disciplina.

Fomentar la investigacin y la creatividad, orientadas hacia la sistematizacin, produccin, aplicacin y difusin del conocimiento con el objeto de promover el desarrollo integral de la regin., Ofrecer programas de extensin, dirigidos al estudio y solucin de las necesidades y problemas de la comunidad a travs del desarrollo de planes y programas de actualizacin y cualificacin en la direccin, orientacin y evaluacin de los sistemas de produccin y bienestar colectivo y el adecuado aprovechamiento de sus recursos. Adelantar programas de bienestar universitario, entendidos como el conjunto de actividades que se orientan al desarrollo fsico, psico-afectivo, espiritual y social de la comunidad universitaria.

DESARROLLO TECNOLOGICO
La Universidad de la Amazonia cuenta con una infraestructura propia de hardware y de software. De software, con la plataforma Acadmusoft; esta plataforma gestiona de principio a fin todos los procesos acadmicos, y Gestasoft; que se encarga de gestionar de forma integrada con la academia los procesos financieros y contables. Adems se cuenta con desarrollos propios que brindan soluciones puntuales a necesidades institucionales, como reservas de espacios fsicos, atencin al usuario, mesas de ayuda, y en la actualidad con la implementacin del sistemas CHAIRA, entre otros. De hardware,con una infraestructura propia de servidores y de redes que permite mantener conectividad con los dispositivos instalados por todo el campus universitario y sus sedes ms cercanas. Mediante acuerdo 08 de 2009 del honorable Consejo Superior, se cre el Departamento de Tecnologas de la Informacin, responsable directo de gestionar el rea de las TIC en la institucin. En la actualidad el mencionado departamento est ajustando sus procesos de forma transversal con el SIGC y con ITIL V3 para obtener la certificacin ISO 20000.

ORGANIGRAMA

Ref: Organigrama Universidad de la Amazonia [consultado 8/04/2011]. Disponible en http://www.uniamazonia.edu.co/v8/index.php/acerca-de-la-entidad/organigrama.html

10

MAPA DE PROCESOS
La universidad de la Amazonia dentro de sus SIGC ha definido cuatro macro-procesos orientados a la administracin, gestin, control y evaluacin de los procesos asociados a la organizacin, dentro de los cuales encontramos los PROCESOS DE APOYO que sirven a la gestin de los procesos. Dentro de este macro-proceso encontramos el PROCESO DE GESTION TECNOLOGICO que involucra la consecucin, administracin, planeacin y control de los recursos e infraestructura tecnolgica conque la universidad de la Amazonia cuenta mediante el Departamento TI que es el directo responsable del actuar de este proceso.

11

DESCRIPCION DEL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION Creacin[3]


Mediante Acuerdo 62 del 29 de noviembre de 2002, el Consejo Superior adopt el Estatuto General de la Universidad y en su Ttulo IV, Captulo II, estableci la estructura interna bsica, ordenando que la programacin de las diferentes unidades y dependencias que integran la Universidad de la Amazonia, debern ser definidas en la estructura orgnica interna adoptada mediante Acuerdo de esta misma instancia. La Estructura Interna de la Universidad de la Amazonia se expidi mediante Acuerdo Superior nmero 5 del 26 de febrero de 2004, consagra en su artculo octavo y siguientes, el carcter, la estructura y funciones de la Oficina de Informtica y Sistemas de la Universidad de la Amazonia En procura de fortalecer la planificacin y gestin general de la infraestructura tecnolgica de la institucin para servir de apoyo a los procesos de docencia, investigacin y proyeccin social y de esta forma contribuir al cumplimiento de la misin institucional, se hace necesario modificar el artculo octavo y siguientes en cuanto a la denominacin, estructura, carcter y funciones de la Oficina de Informtica y Sistemas que en adelante se denominar Departamento de Tecnologas de la Informacin. En razn a que en el Acuerdo de estructura orgnica de la institucin, no se hace mencin a una dependencia que se encargue de realizar el seguimiento y apoyo a los graduados de la Universidad, se hace necesario organizar una oficina al interior de la misma, para crear, mantener, mejorar y promocionar las relaciones Universidad-Graduados, con fines acadmicos, investigativos, administrativos, laborales y culturales, teniendo en cuenta que uno de los factores de calidad de los programas acadmicos es la relacin organizada y sistemtica entre la Universidad y sus graduados.

Misin
El Departamento de Tecnologas de la Informacin de la Universidad de la Amazonia tiene como misin la planificacin y gestin general de la infraestructura tecnolgica de la institucin, para servir de apoyo a los procesos de docencia, investigacin y proyeccin social y de esta forma contribuir al cumplimiento de la misin institucional

______________________________________
[3] Acuerdo 08 de 2009 dado por el Consejo Superior URL: http://apps.uniamazonia.edu.co/documentos/navega.php?PHPSESSID=rmv73k7d7irfng15kuiiuhpc61&dir=.%2FConsejo%20Superior%2 FAcuerdos%2F2009

12

ESTRUCTURA DEL DEPARTAMENTO


El Departamento de Tecnologas de la Informacin tendr la siguiente conformacin: Coordinacin del Departamento de Tecnologas de la Informacin Un rea de aplicaciones Un rea de hardware y comunicaciones Un rea de investigacin y desarrollo

FUNCIONES COORDINADOR DEL DEPARTAMENTO DE TI


1. Desarrollar e implementar el Plan Estratgico del Departamento de Tecnologas de la Informacin. 2. Gestionar la consecucin de recursos para el desarrollo de proyectos informticos. 3. Presentar y desarrollar las propuestas para el mejoramiento informtico de las reas acadmicas y administrativas de la universidad. 4. Presentar por escrito a su superior el plan operativo anual 5. Aplicar las directrices de los entes administrativos orientados al Departamento de Tecnologas de la Informacin. 6. Velar y responder por la seguridad en la trasmisin de datos. 7. Administrar y velar por la correcta conservacin de los elementos entregados para el desarrollo de sus funciones. 8. Brindar asesora a la comunidad acadmica en materia informtica. 9. Planear y programar cursos de extensin a la comunidad. 10. Coordinar de manera permanente y sistemtica con las reas de su responsabilidad para el ptimo desempeo de sus funciones. 11. Las dems que le sean asignadas y que le correspondan por la naturaleza de su dependencia. DEL AREA DE APLICACIONES 1. Velar por el normal y permanente funcionamiento de las aplicaciones de la Universidad de la Amazona: (i) Academusoft, (ii) Base de datos, (iii) SIIF, (iv) Gestasoft y los dems aplicativos que adquiera y/o desarrolle la institucin 2. Realizar la administracin de los aplicativos contables y financieros de la institucin. 3. Las dems que le sean asignadas y que le correspondan por la naturaleza de su dependencia

13

DEL AREA DE HADWARE Y COMUNICACIONES 1. Velar por el normal y permanente funcionamiento de la infraestructura de hardware y comunicaciones de la Universidad de la Amazonia. 2. Administrar las salas de cmputo, recursos informticos, redes y telecomunicaciones de la Universidad. 3. Prestar soporte tcnico preventivo y correctivo a los equipos de cmputo de la institucin. 4. Las dems que le sean asignadas y que le correspondan por la naturaleza de su dependencia. DEL AREA DE INVESTIGACION Y DESARROLLO 1. Desarrollar software de acuerdo a las necesidades de la Universidad 2. Efectuar los procesos de anlisis, diseo, implementacin y pruebas del software requerido por la institucin. 3. Las dems que le sean asignadas y que le correspondan por la naturaleza de su dependencia

14

CARACTERIZACION DEL PROCESO

15

16

17

IDENTIFICACION Y ANALISIS DEL RIESGO

18

ADMINISTRACION DEL RIESGO


Para la identificacin y priorizacin del riesgo se toma como gua la GU-E-GC-01 que se encuentra en la documentacin del sistema de Gestin de Calidad adoptado por la universidad de la amazonia basado en el acuerdo 09 de 2010 del consejo superior donde se le asigna a la oficina de planeacin la elaboracin de esta gua y su implementacin en toda la institucin y se establecen los formatos, procesos de clasificacin del riesgo, procesos de anlisis del riesgo, calificacin del riesgo, evaluacin del riesgo y valoracin del riesgo a fin de estar acorde a las condiciones establecidas dentro del SIGC. En base a la metodologa COBIT Vrs 4 sobre la cual se realiza esta auditoria se modifica los controles adoptados en esta gua como lo son (Preventivos, Detectivo y Correctivo) por: 1. Efectividad: Acta para determinar el grado de cumplimiento dentro de los tiempos y parmetros establecidos por los acuerdos, planes o polticas de mejor continua del riesgo.

2. Disponibilidad: Permite determinar el grado de accesibilidad y conocimiento de la situacin por parte de los involucrados en el proceso. 3. Cumplimiento: Grado de cumplimiento a los acuerdos, planes y polticas.

IDENTIFICACION DEL RIESGO


La identificacin del riesgo se realiz mediante el proceso de investigacin preliminar y la entrevista a los actores involucrados en el proceso de GESTION TECNOLOGICA en el departamento TI, basado tanto en el resultado del anlisis del contexto estratgico como en el proceso de planeacin de las medidas de control para garantizar la seguridad de la informacin y de los procedimientos. La identificacin del riesgo se bas en el formato: MACRO PROCESOS- PROCESOS DOMINIO COBIT- NUMERO DE RIESGO El Decreto 1599 de 2005 define la identificacin del riesgo como Elemento de Control, que posibilita conocer los eventos potenciales, estn o no bajo el control de la Entidad Pblica, que ponen en riesgo el logro de su Misin, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. La identificacin de los riesgos se realiza a nivel del planeacin,componente de direccionamiento estratgico, identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el logro de los objetivos y el cumplimiento de los acuerdos. Es la base del anlisis de riesgos que permite avanzar hacia una adecuada implementacin de polticas que conduzcan a su control.

19

ALCANCES
La identificacin del riesgo permite visualizar los factores externos e internos que afectan la seguridad de la funcin informtica en relacin al cumplimiento de la misin institucional, de sus objetivos, polticas y acuerdos a travs de la observacin y verificacin de los procedimientos organizacionales permitiendo: 1. Determinar las causas (medios, circunstancias y agentes internos o externos) de las situaciones riesgosas para la entidad.

2. Describir los riesgos (posibilidad de ocurrencia de un evento) con sus caractersticas generales o la forma en que se observan o manifiestan. 3. Precisar los efectos (consecuencias) que los riesgos puedan ocasionar a la Universidad.

RIESGOS IDENTIFICADOS

N 1 2 3 4 5 6 7 8 9

IDENTIFICACION PA-GT-PO-R1 PA-GT-PO-R2 PA-GT-PO-R3 PA-GT-PO-R4 PA-GT-PO-R5 PA-GT-PO-R6 PA-GT-PO-R7 PA-GT-PO-R8 PA-GT-PO-R9

RIESGO

Incumplimiento de los acuerdos institucionales Incumplimiento a los acuerdos de certificacin ISO 9001- 2008 y Norma Itil V3 Desconocimiento de la normatividad por parte del personal informtico Seguimiento a los planes de mejora. Mala aplicacin del sistema de Control interno, Perdida de Informacin Carencia de planes de contingencia del personal informtico Carencia de planes de contingencias de software Carencia de planes de contingencia

20

DESCRIPCION DE LOS RIESGOS


PROCESO OBEJTIVO PROCESO DESCRIPCION DEL RIESGO PA-GT-PO-R1: Incumplimiento de los acuerdos institucionales por parte del Departamento TI, CLASIFICACION CUMPLIMIENTO HECHO GENERADOR Personal que labora en el departamento TI. CAUSA Desconocimiento de acuerdos, polticas reglamentos. EFECTOS los Prdida de credibilidad. y/o Incurrir en sanciones por incumplimiento.

PA-GT-PO-R2:Incumplimiento de las normas itilv3 en los procedimientos.

CUMPLIMIENTO

GESTION TECNOLOGICA

Personal que labora Desconocimiento del SIGC. Sanciones. en el departamento Desconocimiento de la Normas Perdida de certificacin. TI, ITIL V3 aplicada al contexto Mala imagen institucional. universitario. Ausencia de capacitacin. Mala interpretacin de la norma. Mala operatividad de Ausencia de polticas de Sanciones. la oficina de control capacitacin sobre la Perdidas econmicas. interno. normatividad. Mala calidad del servicio. Indisponibilidad del documento de la norma. Mala gestin documental. Coordinador del Falta de gestin y cumplimiento Departamento TI y de las polticas de gestin oficina de planeacin tecnolgicas establecidas en el Acuerdo 10 de 2010 Oficina de control Falta de seguimiento a los interno procedimientos ejercidos por el departamento TI. Desarticulacin del deber hacer y el hacer. Perdida de informacin. Perdida de confiabilidad. Daos fsicos. Perdidas econmicas. Incumplimiento de los acuerdos. Malos seguimiento y evaluacin.

Planificar y gestionar la infraestructura tecnolgica, para servir de apoyo a los procesos de la institucin y de esta forma contribuir al cumplimiento de la misin institucional.

PA-GT-PO-R3:Desconocimiento por parte de los funcionarios de las polticas, acuerdos y normativas que intervienen al Departamento TI. PA-GT-PO-R4:Ausencia de planes de mejora que garanticen la seguridad, acceso y uso de la informacin PA-GT-PO-R5:Falta de aplicacin del sistema de control interno a los procedimientos de gestin tecnolgico.

OPERATIVO

ESTRATEGICO

OPERATIVO

21

PA-GT-PO-R6:Perdida informacin

de TECNOLOGIA

PA-GT-PO-R7: Riesgo derivado de la actuacin del factor humano del rea de sistemas, ya sea del personal, de los usuarios, o de los administradores. PA-GT-PO-R8:Actualizacin del software instalado, piratera y falta de licencias en los software.

OPERATIVO

OPERATIVO

Infraestructura Mala infraestructura elctrica y elctrica y seguridad tecnolgica. fsica. Ausencia de planes de restauracin y backup. Personal que labora Acceso no autorizado. dentro del Ingeniera social. departamento TI Ausencia de claridad de las funciones del personal que labora dentro del Departamento. Periodos prolongados de actualizacin del software rea de hardware y instalado. comunicaciones Instalacin de software sin licencia.

Mala calidad del servicio. Perdidas econmicas. Daos fsicos en Hardware y Software. Mala calidad en el servicio. Incumplimiento a las normas.

Perdidas econmicas. Virus informticos. Daos en configuraciones.

las

PA-GT-PO-R9: No existe ningn plan de contingencia, ni un documento similar en donde se contemplen medidas preventivas relacionadas con la seguridad de la informacin del Departamento TI.

ESTRATEGICO

Coordinador del Ausencia de planes de Perdidas econmicas. Departamento TI y contingencia. Perdidas de informacin. oficina de No inclusin dentro del mapa de planeacin. riesgo anual. Ausencia en el plan opertavio.

22

CLASIFICACION DEL RIESGO


Siguiendo la gua de administracin del riesgo establecido por la afina de planeacin de la Universidad de la amazonia se definen los valores cuantitativos que permitirn valorar el impacto y la probabilidad de los riesgos de acuerdo a la siguiente tabla:

IMPACTO De acuerdo a las consecuencias que se pueden ocasionar a la Universidad con la materializacin del riesgo identificado se asignan los siguientes valores cualitativos al impacto.

PROBABILIDAD Describe la posibilidad de ocurrencia del riesgo; si este se ha materializado medida en criterios de frecuencia.

tem Leve Moderado Catastrfico SEMAFORIZACION DEL RIESGO


CRITERIO Moderado Importante Ina ceptable

Valor 5 10 20

tem Baja Media Alta

Valor 1 2 3

VALOR
Amarillo (5 -10) Verde (15 20) Rojo (30 60)

LEVE (5) ALTA (3) MEDIA (2) BAJA (1) PROBABILIDAD 15 10 5

IMPACTO MODERADO (10) 30 20 10

CATASTROFICO (20) 60 40 20

23

De acuerdo a la clasificacin anterior, los riesgos identificados en el departamento TI se clasifican en:


PROBABILIDAD Vs IMPACTO

LEVE No aplica No aplica PA-GT-PO-R2

MODERADO No aplica PA-GT-PO-R5 PA-GT-PO-R8

ALTA MEDIA BAJA

CATASTROFICO PA-GT-PO-R1 PA-GT-PO-R3 PA-GT-PO-R6 PA-GT-PO-R9 PA-GT-PO-R4 PA-GT-PO-R7

24

MAPA DE RIESGOS DEL DEPARTAMENTO TI


VALORACION DEL RIESGO CON CONTROLES Inaceptable No existen controles

PROCESO

RIESGO

PROBABILIDAD

IMPACTO

VALORACION DEL RIESGO

CONTROLES EXISTENTES

ACCION DE TRATAMIENTO

RESPONSABLE

PA-GT-PO-R1

Alta 3

Catastrfico 20

Inaceptable 60

Implementar controles que reduzcan el impacto y la probabilidad del riesgo Implementar controles que reduzcan el impacto Implementar controles que reduzcan el impacto y la probabilidad del riesgo Implementar controles que reduzcan el impacto y puedan evitar el riesgo

Personal del Departamento TI

PA-GT-PO-R2

GESTION TECNOLOGICA

Baja 1

Leve 5

Moderado 5

No existen controles

Moderado

Coordinador del Departamento TI

PA-GT-PO-R3

Alta 3

Catastrfico 20

Inaceptable 60

No existen controles

Inaceptable

Personal del Departamento TI

PA-GT-PO-R4

Baja 1

Catastrfico 20

Importante 20

No existen controles

Importante

Oficina de Planeacin

PA-GT-PO-R5

Media 2

Moderado 10

Importante 20

No existen controles

Importante

Implementar controles que reduzcan el impacto y Oficina de Control puedan evitar el riesgo interno

25

PA-GT-PO-R6

Media 2

Catastrfico 20

Inaceptable 40

Los controles existentes son efectivos pero no estn documentados.

Inaceptable

Adecuacin de la red elctrica y documentacin del sistema automatizado de backup Implementar controles que reduzcan el impacto y puedan evitar el riesgo Implementar controles que reduzcan el impacto y puedan reducir el riesgo Implementar controles que reduzcan el impacto y la probabilidad del riesgo

Coordinador del Departamento TI

PA-GT-PO-R7

Baja 1

Catastrfico 20

Importante 20

No existen controles

Importante

Personal del Departamento TI

PA-GT-PO-R8

Baja 1

Moderado 10

Moderado 10

No existen controles

Moderado

rea de hardware y comunicaciones

PA-GT-PO-R9

Media 2

Catastrfico 20

Inaceptable 40

No existen controles

Inaceptable

Oficina de Planeacin

26

MODELO DE ENCUESTAS

27

ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION


AUDITORIA INFORMATIVA BASADO EN COBIT V4

Datos del encuestado (A la fecha de diligenciamiento)


Dependencia: _________________________________________________________________________________________________________ Cargo: _____________________________________________________ Nivel de Formacin: Tcnico ( ) Pregrado ( ) Especializacin ( ) Maestra ( ) Doctorado ( ) Otros ( )Cual? _______________________________________________________________________________ rea en la que labora___________________________________________________________________________________________________

Parte A. Conocimiento Organizacional y Misional del Departamento TI. 1. Conoce cul es la Misin del Departamento TI?
Si No Cul? 1 2

Menciones algunos

_____________________________________ __________________________________

_____________________________________ __________________________________

__________________________________ __________________________________
4. Los objetivos que tiene establecidos el departamento TI estn alineados a los objetivos Misionales de la Universidad?
Si No 1 2

__________________________________ __________________________________
2. Conoce de las polticas de desarrollo tecnolgico de la universidad de la Amazonia adoptados por el acuerdo 10 de 2010
Si No 1 2

5. Las polticas de TI estn acorde con el plan de


calidad de la organizacin (SIGC). __________________________________________________ __________________________________________________ __________________________________________________ ______________________________________________ 6. En la actualidad el Departamento TI tiene ajustado todos sus procesos de forma transversal con el SIGC y con ITIL V3
Si No 1 2

Indique dos de ellas,

___________________________________________________ ___________________________________________________ _________________________________________________ ___________________________________________________ ___________________________________________________ _________________________________________________ 3. Conoce de los objetivos del Departamento TI?
Si No 1 2

7. Dentro del mapa de procesos establecidos en el


SIGC, en cual Macro-procesos est involucrado directamente el departamento TI.

28

Estratgico Misional De Apoyo Evaluacin En todos

1 2 3 4 5

La implementacin y administracin de servicios TI de calidad, que cubran las necesidades de la institucin

9.

Tiene conocimiento de las funciones de su cargo, establecidas segn el acuerdo 08 de 2009 emanado por consejo superior.
Si No 1 2

8.

El objetivo del proceso de Gestin Tecnolgica al que responde el Departamento TI es:

El desarrollo de las actividades administrativas y tecnicas tendientes a la planeacion, manejo y organizacion de la documentacion producida y recibida por la universidad de la amazonia, desde su origen hasta su destino final, facilitando su utilizacin y conservacin. Planificar y gestionar la infraestructura tecnolgica, para servir de apoyo a los procesos de la institucin y de esta forma contribuir al cumplimiento de la misin institucional.

Mencion tres de ellas,

________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________

Parte A. Planeacin y organizacin.


10.

Con que periodicidad se formulan los planes operativos del departamento TI?
Cada 3 Meses Cada 6 Meses Cada 12 Meses Ms de 12 Meses 1 2 3 4

_____________________________________ _____________________________________ 13. Dentro de las funciones del departamento esta: Planear y programar cursos de extensin a la comunidad. Cada cuanto se realizan estos cursos.
Nunca se ha hecho Cada 3 Meses Cada 6 Meses Cada 12 Meses Ms de 12 Meses 1 2 3 4 5

11.

Que elementos o acciones se llevan a cabo desde la planeacin operativa para responder por la seguridad de la informacin ante agentes internos o externos, fsicos o lgicos. _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________

Quienes son los responsables de orientarlos _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ 14. Bajo qu criterios se seleccin el personal responsable de orientarlo. _____________________________________ _____________________________________ _____________________________________

12. Desde la planeacin liderada por el departamento como responden a la necesidad de servicio de seguridad de la informacin. (Portafolio de Servicios) _____________________________________ _____________________________________ _____________________________________ 29

_____________________________________ _____________________________________
Est reglamentada esta eleccin,
Si No 1 2

_____________________________________ _____________________________________

Realizado por: Gustavo Adolfo Daz Tovar

15. Con que periodicidad se asesora a los usuarios sobre el correcto manejo de las herramientas tecnolgicas.
Nunca se ha hecho Cada 3 Meses Cada 6 Meses Cada 12 Meses Ms de 12 Meses 1 2 3 4 5

16. Existen proyecto en formulacin y/o ejecucin que permiten alianzas estratgicas con entidades del nivel regional, nacional e internacional para la financiacin y cofinanciacin de los proyectos que brindan el acceso a herramientas tecnolgicas.
Si No 1 2

Cules?

_____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ 17. Con que periodicidad se identifican los riesgos que afectan al departamento TI?
Cada 3 Meses Cada 6 Meses Cada 12 Meses Ms de 12 Meses 1 2 3 4

18. Como desarrolla el Departamento TI el Seguimiento y Evaluacin de la implementacin de las polticas de Desarrollo tecnolgicos en la Universidad. _____________________________________ _____________________________________ _____________________________________ 30

ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION


AUDITORIA INFORMATIVA BASADO EN COBIT V4 CHEKLIST
Datos del encuestado (A la fecha de diligenciamiento)
Dependencia: _________________________________________________________________________________________________________ Cargo: _____________________________________________________ Nivel de Formacin: Tcnico ( ) Pregrado ( ) Especializacin ( ) Maestra ( ) Doctorado ( ) Otros ( )Cual? _______________________________________________________________________________ rea en la que labora___________________________________________________________________________________________________

Parte A. Planeacin.
1. El Departamento de tecnologas de la informacin cuenta con polticas establecidas en TI?
Si No 1 2

6.

En los ltimos 12 meses se ha realizado algn tipo de auditoria a este departamento?


Si No 1 2

2.

Se ha realizado una planificacin estratgica del adecuado uso de las TI?


Si No 1 2

De qu tipo? Interna Externa 1


2

3.

Existe un plan operativo anual?


Si No 1 2

7.

Existe planes de contingencia del software, de la red y del personal informtico?


Si No 1 2

4.

Existe un seguimiento continuo a la poltica de desarrollo tecnolgico y planes operativos anuales?


Si No 1 2

Quien elabora estos planes de contingencia en el departamento? __________________________________________________ __________________________________________________ _________________________________________________ 8. Sus funciones se encuentran reglamentadas por alguna instancia o dependencia de la universidad?
Consejo Superior Oficina de Control Interno Oficina de Divisin y Servicios Coordinar de Departamento 1 2 3 4

De qu manera hacen este seguimiento?


_____________________________________

_____________________________________ _____________________________________ _____________________________________


5. Se cuenta con un plan de infraestructura de redes de datos y elctrico?
Si No 1 2

31

ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION


AUDITORIA INFORMATIVA BASADO EN COBIT V4 SEGURIDAD DE LA INFORMACION

Datos del encuestado (A la fecha de diligenciamiento)


Dependencia: _________________________________________________________________________________________________________ Cargo: _____________________________________________________ Nivel de Formacin: Tcnico ( ) Pregrado ( ) Especializacin ( ) Maestra ( ) Doctorado ( ) Otros ( ) Cual? _______________________________________________________________________________ rea en la que labora___________________________________________________________________________________________________ Parte A: Poltica Global de Seguridad
A1. Ha tenido en cuenta la posibilidad de perder informacin A5. Existen controles que detecten posibles fallos en la

sensible de la organizacin a causa de algn ataque informtico?:


Si No 1 2

seguridad?
Si No 1 2

De qu tipo?
Lgicos Fsicos 1
2

A2. Cree que la Universidad est protegida ante la intrusin de

hackers informticos?
Si No 1 2

A6. Se ha definido el nivel de acceso de los usuarios?, es

decir, a qu recursos tienen acceso y a qu recursos no.


Si No 1 2

A3. Tiene conocimiento de las polticas de seguridad

orientadas a conservar la integridad, confidencialidad y disponibilidad de la informacin?


Si No No existe 1 2 3

A7. Se han definido modelos de amenaza de los SI que

permita identificar y planificar de forma correcta la mejor manera de mitigar las amenazas a las aplicaciones o sistemas de informacin de la Universidad?
Si No 1 2

A4. Se hace algn tipo de revisin de los sistemas de

informacin de forma peridica?


Si No 1 2

A8. Utiliza alguna metodologa, tcnica o mtodo para la

identificacin y anlisis de vulnerabilidades en los sistemas de informacin de la Universidad?


Si No 1 2

Con qu periodicidad? Meses ( ) Cul?

_____________________________________________

32

Parte B: Agresiones Fsicas Externas


B1. Existen filtros y estabilizadores elctricos en la red

Parte D: Servidores
D1.Existen SO servidores, que impiden el acceso a los datos a

elctrica de suministro a los servidores?


Si No 1 2

los usuarios no autorizados en la organizacin?


Si No 1 2

B2. Tienen instaladas fuentes de alimentacin redundantes? Si No 1 2

D2. Estn los servidores protegidos en cuanto a inicio de

sesin y accesos a travs de la red?


Si No Se accede de forma remota? 1 2

B3. Tiene instalados sistemas de alimentacin interrumpida? Si No 1 2

B4. Est preparada la organizacin para superar cualquier

Si No

1 2

eventualidad que interrumpa las actividades habituales que involucra el uso de las redes de datos o de comunicacin?
Si No 1 2

Parte E: Copia de Seguridad


E1. Se realizan copias de los datos? Si No 1 2

De qu manera? ______________________________________________________________

___________________________________________________ ___________________________________________________ ___________________________________________________


Parte C: Controles de acceso fisco
C1. Existe algn control que impida el acceso fsico a los

Con qu periodicidad?
Diariamente Semanalmente Mensualmente Semestral 1 2 3 4

E2. Se prueba la integridad de las copias de seguridad? Si No 1 2

recursos a personal no autorizado?


Si No 1 2

E3 Ha probado restaurar alguna copia de seguridad? Si No Ha tenido xito en la restauracin Nunca Pocas Veces Siempre| 1 2 3 1 2

Que tipos de controles se utilizan?

_____________________________________ _____________________________________ _____________________________________ _____________________________________


C2. Existe algn mecanismo fsico que impida el uso de los

sistemas de informacin a dispositivos o equipos autorizados?


Si No 1 2

no

E4 Existe un procedimiento para obtener las copias de seguridad? Si No Est automatizado? Si


1 No

1 2
2

33

E5. Se almacenan las copias de seguridad en un lugar de

G3.Una vez pasados los filtros de identificacin, se han

acceso restringido?
Si No 1 2

separado los recursos a los que tiene acceso cada usuario?


Si No 1 2

E4.Se almacena alguna copia fuera de las instalaciones de la

universidad?
Si No 1 2

Parte H: Planes de Seguridad y Contingencias


H1. Se ha elaborado un plan de seguridad para salvaguarda

los activos no tangibles (informacin) de la organizacin? de identificacin y


Si No 1 2

Parte F: Mecanismo Autenticacin

F1. Existe un procedimiento de Identificacin y Autenticacin

H2.Existe un responsable o responsables que coordinen las

de los usuarios administradores de los servidores?


Si No F2. Est basado en contraseas? Si No 1 2 1 2

medidas de seguridad aplicables?


Si No 1 2

Quienes?

F3.Las contraseas se asignan de forma automtica por el

_____________________________________ _____________________________________ _____________________________________ ________________________


H4.Existe un presupuesto asignado para la seguridad en la

servidor?
Si No 1 2

informacin?
Si No 1 2

F4.Existe un procedimiento de cambio de contraseas? Si No 1 2

Cuanta
No se asigna recursos Menos de 1 milln Menos de 5 millones Menos de 1 0 millones Mas de 10 millones 1 2 3 4 5

Parte G: Controles de acceso


G1. Existen controles para el acceso a los recursos? Si No 1 2

H5.Se ha elaborado un plan de seguridad? Si No 1 2

G2.Existen ficheros de log o similares que registren los

accesos autorizados y los intentos de acceso ilcitos?


Si No 1 2

Se aplica realmente en la organizaciones? Si No 1 2

34

H6.Se han incluido en el mismo los aspectos relacionados con

las comunicaciones?
Si No 1 2

I6.Existen controles sobre las pginas accedidas por cada

Puesto o Usuario?
Si No 1 2

H7.El mismo personal del Departamento realiza el seguimiento

I7.Se revisan las pginas accedidas para tomar medidas

del plan de seguridad?


Si No 1 2

contra el usuario que no cumpla sus funciones?


Si No 1 2

H8.Existe un contrato de mantenimiento en el que se priorice

Parte J: Ataques informticos

la seguridad y los planes de contingencias del software y del personal informtico?


Si No 1 2

K1. A identificado ataques generados desde el interior de la

organizacin?
Si No Como los evita? 1 2

H9.Dispone de personal informtico involucrado directamente

con la seguridad del sistema?


Si No 1 2

Parte I: Acceso a Internet

___________________________________________________ ___________________________________________________ ___________________________________________________ ___________________________________________________


K2.Suele estar informado sobre las ultimas noticias en cuanto

a seguridad?
I1.Existe una poltica definida para los accesos a Internet? Si 1 Si No 1 2

No

2
H3. Cual de loa siguientes tipos de ataques informticos son

I2.Se ha explicado claramente a los usuarios esta poltica?


Si No 1 2

ms frecuentes
Virus Gusanos Troyanos Drive-By-Download Phising Malware Keylogger DoS Otro

I3.Existe un acceso a Internet corporativo? Si No 1 2

0-Days

I4.Est limitado el acceso por puesto? Si No 1 2

El contenido de esta encuesta sera utilizada exclusivamente para fines acadmicos en el proceso de investigacin sobre afectaciones de los sistemas informticos por accin de delitos informticos.

I5.Est limitado el acceso por usuario? Si No 1 2


Realizado por: Gustavo Adolfo Daz Tovar

35

HALLAZGOS Y EVIDENCIAS

36

Las deficiencias evidenciadas como resultado de la auditoria adelantada por AMAZONAUDITOR inciden en el desarrollo de los procesos institucionales lo que conlleva a conceptuar la importancia de dar solucin a fin de mejorar la gestin de los procesos adelantados por el departamento TI y dar cumplimiento a los acuerdos y objetivos misionales de la institucin.

SITUACIONES ENCONTRADAS:
Situacin N1: Certificacin
La Universidad de la Amazonia, obtuvo en la vigencia 2010 la Certificacin de Calidad Nacional NTCGP: 1000: 2009 y la certificacin Internacional ISO: 9001: 2008, para todos sus procesos misionales, el Sistema de Gestin de Calidad permite a la Universidad estructurarse como ente competitivo, organizado y coherente en el desarrollo de su funcin misional.

Situacin N2: Conocimiento del SIGC


A pesar de que la Entidad adopt el modelo de Operacin por Procesos dentro del Sistema Integrado de Gestin de la Calidad y obtuvo en el 2010 por INCONTEC la Certificacin de Calidad Nacional NTCGP: 1000: 2009 y la Certificacin Internacional ISO: 9001: 2008, no es evidente un avance prospectivos de su implementacin, pues en su gran mayora los funcionarios del departamento TI aun no tienen conocimiento del SGC y en algunas reas no se vienen aplicando los procedimientos. Sin embargo se considera como buenas prcticas que permiten el desarrollo Institucional.

Situacin N3: Auditorias Anteriores


La Contralora General de la Repblica, con fundamento en las facultades otorgadas por el artculo 267 de la Constitucin Poltica, practic Auditora Gubernamental con Enfoque Integral modalidad Regular a la UNIVERSIDAD DE LA AMAZONIA, a travs de la evaluacin de los principios de la gestin fiscal: economa, eficiencia, eficacia y equidad con que administr los recursos puestos a su disposicin y los resultados de su gestin en las reas, actividades o procesos examinados, el examen del Balance General a 31 de Diciembre de 2010 Y el Estado de Actividad Financiera, Econmica y Social por el ao terminado en esa fecha. Dichos estados contables fueron examinados y comparados con los del ao anterior, los cuales fueron auditados por la Contralora General de la Repblica.

HALLAZGOS ENCONTRADOS:
Hallazgo N1: Portafolio de Servicios
La universidad de la Amazonia bajo ningn acuerdo, decreto o normatividad establece dentro de sus elementos y funciones un portafolio de servicios orientado a la administracin, gestin y control de la informacin de la universidad, por lo tanto, como producto de la auditoria se desconoci el origen y aprobacin de estos servicios que no definen su procedencia y si componen o no, elementos de extensin y proyeccin social dentro del

37

departamento TI. Se logr identificar manuales de usuario para 1 de los 38 servicios ofrecidos en este portafolio, el cual corresponde al servicio SERICE DESKT que permite hacer el registro y seguimiento de las incidencias propias. Lo anterior ocasionado por deficiencias en la regulacin de las funciones y servicios del departamento y la ausencia de manuales de usuario que permitan la interpretacin de los objetivos y funciones de cada servicio.

Hallazgo N2: Definicin de procedimientos


La universidad de la Amazonia, no dio cumplimiento al Decreto 1599 de 2005 en cuanto a la implementacin del Sistema de Gestin de Calidad orientado a procesos; adoptado mediante el acuerdo N22 del 24 de Noviembre de 20008, ya que dentro de la auditoria efectuada no se logr identificar la definicin de los procedimientos para dar cumplimiento a los servicios ofrecidos por el departamento TI en cuanto:

1- Procedimientos de Seguridad de la Informacin. 2- Procedimientos de Copias de Seguridad. 3- Procedimientos de Actualizaciones Automticas.


Se deja en evidencia el incumplimiento en la elaboracin y aplicacin de los procedimientos para el desarrollo de los servicios del departamento. Lo anterior se debe a la falta de seguimiento por parte de la Oficina de Control Interno y de la Direccin del Departamento.

Hallazgo N3: Denominacin del Departamento TI.


La Universidad de la Amazonia, no dio cumplimiento al acuerdo 08 del 18 de mayo de 2009 emanado por el consejo Superior, donde se acuerda la modificacin de la denominacin de la Oficina de Informtica y Sistemas por la de DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION y su dependencia a la vicerrectora de investigaciones y posgrados como lo establece en su artculo 2 : ARTCULO SEGUNDO. DENOMINACIN. Modifquese la denominacin de la Oficina de Informtica y Sistemas por la de DEPARTAMENTO DE TECNOLOGAS DE LA INFORMACIN, dependiente directamente de la Vicerrectora de Investigaciones y Posgrados Por lo tanto, se deja en evidencia que a la fecha no se han hecho las respectivos modificaciones al organigrama de la universidad publicada en la pgina web URL: (http://www.udla.edu.co/v8/acerca-de-laentidad/organigrama.html) , incumpliendo con el artculo 8 de la ley 962 de 2005 por la cual se regula los contenidos de Gobierno en lnea y se establece que:

Los contenidos que el Estado ofrezca por medios electrnicos deben ser vigentes, relevantes, verificables, completos, que genere algn beneficio para los clientes y que no d lugar a interpretaciones erradas. De igual forma, se debe evitar cualquier tipo de distorsin o interpretacin tendenciosa de la informacin que va a ser publicada en medios electrnicos.

38

Lo anterior ocasionado por la falta de actualizacin de los contenidos por parte del personal responsable de la administracin de la plataforma y por la mala coordinacin entre la secretaria general de la Universidad y el departamento TI.

Hallazgo N4: Planeacin del Departamento TI.


El departamento de Tecnologas de la Informacin, no dio cumplimiento al artculo 5 del acuerdo 08 de 2009 emanado por el consejo superior, por medio del cual se modifica parcialmente el Acuerdo 05 de 2002 que adopta la estructura interna de la Universidad de la Amazonia y se crean el Departamento de Tecnologas de la Informacin y la Oficina de Graduados, en el mencionado artculo se citan las funciones de cada una de las reas del departamento TI a la cual se identific: Coordinador del Departamento de Tecnologas de la Informacin:

El coordinador del departamento TI no dio cumplimiento al artculo quinto (5) literal 1 el cual establece dentro de sus funciones: Desarrollar e implementar el Plan Estratgico del Departamento de Tecnologas de la Informacin, dado que en la actualidad se desconoce un plan estratgico para el presente ao, como costa el documento F-8-DE-02-01 que muestra el formato del plan Operativo anual realizado el 22 de octubre de 2008 con vigencia hasta el 1 de marzo de 2010. Lo anterior ocasionado por la falta de coordinacin entre la oficina de planeacin y el departamento TI, agregando la ausencia de seguimiento a estos procesos por parte de la oficina de control interno. No se dio cumplimiento al artculo quinto (5) literal 4 y 9 el cual establece dentro de sus funciones: Presentar por escrito a su superior el plan operativo anual y Planear y programar cursos de extensin a la comunidad. Mediante la auditoria se logr identificar que a la fecha 11 de Octubre de 2011, no se encuentra adscrito a la vicerrectora de investigaciones ningn curso de extensin a la comunidad que este organizado y liderado por el departamento TI.

Hallazgo N5: Funciones del Personal Informtico


El personal informtico del departamento TI, desconoce parcial y totalmente el contenido de los acuerdos 08 de 2009 y 10 de 2010 del CS, por medio del cual se crea el departamento TI y se adopta la poltica de desarrollo tecnolgico en la Universidad de la Amazonia. Los acuerdos anteriormente citados describen los lineamientos misionales, funcionales y estructurales que deben orientar el proceder de este departamento, sobre los cuales y como producto de la auditoria se logr identificar: El personal responsable de la coordinacin de salas y soporte tcnico desconoce parcialmente de los elementos misionales del departamento TI y de sus funciones, lo que propende a la existencia de extralimitaciones en sus funciones y subutilizacin respecto al deber operativo de este personal. Se logr evidenciar que el departamento TI no tiene implementado sus funciones institucionales, y se encuentra subutilizado el personal a cargo de la direccin de este departamento en otras obligaciones no

39

adoptadas por la universidad. Se evidencio que el Director del Departamento TI responde al cargo de Coordinador del rea de Investigacin y desarrollo. Lo anterior ocasionado por el incumplimiento de los acuerdos establecidos por el CS y la falta de seguimiento por parte de la oficina de control interno, incidiendo en la participacin del personal universitario (Estudiantes y Docentes) y por ende el desarrollo institucional.

Hallazgo N6: Poltica de Desarrollo tecnolgico


El director del departamento y los coordinadores de las reas que componen este mismo, desconocen totalmente de la poltica de desarrollo tecnolgico adoptado mediante el acuerdo 10 de 2010 emanado por el CS, el cual le asigna la responsabilidad al departamento TI del seguimiento y evaluacin de la aplicacin de esta poltica segn costa en el artculo noveno (9) ARTCULO NOVENO. SEGUIMIENTO Y EVALUACIN. La implementacin de las polticas de

Desarrollo Tecnolgico requiere de un proceso de seguimiento y evaluacin permanente, por el Departamento de Tecnologa de la Informacin quien definir los criterios, mecanismos y procedimientos para tal fin.. Se deja en evidencia el incumplimiento de este artculo, dado que a la fecha el director del
departamento desconoce de la existencia de esta obligacin y de la definicin de los criterios, mecanismos y procedimientos para ejercer control.

Hallazgo N7: Perfiles Profesionales.


La universidad de la Amazonia, no dio cumplimiento a los perfiles establecidos para el cargo de director del rea de Investigacin y desarrollo, y del rea de redes y comunicaciones. Segn costa en el documento CP-A-GT de la caracterizacin del proceso de Gestin Tecnolgica el director del rea de investigacin y desarrollo debe ser ingeniero de sistemas con estudios en doctorado y el responsable del rea de redes y comunicaciones debe ser ingeniero electrnico. Con lo cual se incumple a los perfiles ocupacionales. CARGO Director Departamento Director rea de hardware y comunicaciones Directo rea de Software Coordinador de aplicaciones contables y financieras Administrador de Salas de Computo Ingenieros rea de investigacin y desarrollo Auxiliares de mantenimiento Secretaria Ingeniero de redes y telecomunicaciones PERFIL Ingeniero de Sistemas Ingeniero de Sistemas Ingeniero de Sistemas Ingeniero de Sistemas Ingeniero de Sistemas Ingenieros de Sistemas con estudios de Doctorado Tcnicos en mantenimiento de equipos de computo Estudiante de pregrado, experiencia en digitacin de textos, con conocimientos en informtica Ingeniero Electrnico

40

Auxiliares salas de computo

Estudiantes destacados del programa de Ingeniera de sistemas Formato CP-A-GT

Hallazgo N8: Estrategias de Desarrollo Tecnolgico


Se evidencio una vez realizado el proceso de encuestas al director y a los coordinadores de las reas del departamento, la existencia de convenios y alianzas mediante proyectos y programas anuales, en el cual, se vincula a la comunidad universitaria en el mejoramiento de las herramientas tecnolgicas, con organizaciones y fundaciones como Funtelmed, Colciencias y la Procuradura General de la Nacin como elementos estratgicos en la proyeccin a nivel local, regional, nacional e internacional para la financiacin y cofinanciacin de los proyectos que brindan el acceso a herramientas tecnolgicas. Por otra parte es muy evidente que dentro del plan operativo del ao 2009 y 2010 no se considera en ninguno de sus tems metas orientadas a responder a esta poltica de desarrollo tecnolgico de la universidad consagrado en el artculo sptimo del acuerdo 10 de 2010 ARTCULO

SPTIMO: ESTRATEGIAS. Las estrategias para el desarrollo tecnolgico de la Universidad de la Amazonia son las siguientes: Formulacin de proyectos y programas definidos anualmente, que vinculen a la comunidad universitaria en el mejoramiento de las herramientas tecnolgicas. Utilizacin de la infraestructura de la Universidad de la Amazonia, para la promocin y uso de las tecnologas que estn puestas al servicio. Implementacin y fortalecimiento de alianzas estratgicas con entidades del nivel local, regional, nacional e internacional, para la financiacin y cofinanciacin de los proyectos que brinden el acceso a herramientas tecnolgicas. Conformacin de redes para el intercambio de experiencias, conocimiento e informacin que permita interactuar en todos los aspectos para el mejoramiento tecnolgico Con el fin de incentivar la generacin tecnolgica la Universidad de la Amazonia establece un reconocimiento que se otorgar anualmente segn reglamentacin del Consejo Acadmico, como estmulo a los miembros de la comunidad acadmica por su aporte en el desarrollo tecnolgico.

Hallazgo N9: Mapa de Riesgos


La universidad de la Amazonia, no dio cumplimiento al acuerdo 09 de 2010 del CS donde se estable que: La

Universidad de la Amazonia ajustar y actualizar, por lo menos una vez al ao, el Mapa de Riesgos como herramienta fundamental de la Administracin del Riesgo, con la metodologa propuesta por la Gua de la Administracin del Riesgo publicada en el portal web universitario, y adoptar, a travs de los responsables de cada proceso, sin demora injustificada y en el marco de la viabilidad, medidas de aseguramiento contra la materializacin y resultados de los eventos descritos, y de los nuevos cuya ocurrencia pueda preverse ,

se logr evidenciar que hasta la fecha no se ha actualizado el mapa de riesgos de la universidad desde el 14 de Diciembre del 2009 lo que incurre en incumplimiento a lo establecido en este acuerdo. Lo anterior ocasionado por la inoperancia de la oficina de control interno en la administracin del riesgo como representante de la direccin del MECI y como evaluador independiente del Sistema de Control interno de la Institucin.

41

Hallazgo N10: Planes de Mejoramiento


La universidad de la Amazonia, no hace seguimiento peridico al plan de mejoramiento establecido para la gestin documental, a fin de mantener los archivos de la gestin de la entidad en forma organizada y conforme a los procedimientos vigente del proceso dentro del SIG de la universidad y normatividad Vigente en la ley general de archivo (Ley 594/2000). Lo anterior ocasionado por la falta de aplicacin del sistema de control interno y de los procedimientos de gestin documental.

Hallazgo N11: Poltica Global de Seguridad


El departamento TI, carece de una poltica global de seguridad que permita garantizar la conservacin de los datos y la integridad de los equipos a disposicin de este departamento. Como resultado de la auditoria se logr identificar. SEGURIDAD PERIMETRAL: Segn se constat con el director del departamento, existen revisiones peridicas (Cada 3 meses) de la configuracin de contrafuegos, sistemas de deteccin de intrusos, proxys de aplicaciones, filtrado de contenidos y de los sistemas contra el correo basura, que han permitido determinar la fortaleza frente a intentos de acceso no autorizados, tanto desde el exterior como desde el interior del claustro universitario. Este hallazgo no se pudo documentar con mayor claridad dado que no existe un soporte escrito de los procesos de mantenimiento lgico a los controles de la seguridad y se carece de un historial documental que refleje las acciones tomadas para mejorar la seguridad perimetral. PRUEBAS DE PENETRACION INTERNA Y/O EXTERNA: El departamento TI y en especial el rea de hardware y comunicaciones carece de un modelo de amenaza que tipifique los posibles ataques de penetracin que puedan sufrir los SI y que permita identificar, planificar y actuar de forma asertiva en la solucin de posibles amenazas. Lo anterior ocasionado por la falta de planeacin de una poltica de seguridad para los SI. PLANES DE CONTINGENCIA: A la fecha 11 de Octubre de 2011, no se pudo evidenciar planes de contingencia que le permitan a la organizacin superar cualquier eventualidad que interrumpa las actividades habituales que involucran el uso de las redes de datos o de comunicaciones. Lo anterior por la falta de coordinacin entre la oficina de planeacin y el departamento TI en la construccin de planes de contingencia.

Hallazgo N12: Copias de Seguridad.


El departamento TI, como medida de seguridad realiza diariamente copias de seguridad a la informacin, pero no se evidencio la correcta implantacin de un sistema de respaldo de la informacin, que permita su recuperacin en caso de daos en los sistemas, y la ausencia de un plan de contingencia que permita hacer frente, de manera ordenada, a esos daos. Lo anterior ocasionado por la falta de un plan director de seguridad que recoja los diferentes elementos de seguridad, asi como su adecuada definicin y actualizacin.

42

ANEXOS

43

Como anexos al proceso auditor se hace entrega de un CD-RW con los siguientes documentos digitales que fueron tenidos en cuenta en la auditoria.

TIPO
Documento

DESCRIPCIN
Informe de Auditoria Gubernamental con enfoque integral modalidad regular Vigencia 2010 Acuerdo 05 de 2004 de CS. Acuerdo 08 de 2009 de CS. Acuerdo 09 de 2010 de CS Acuerdo 10 de 2010 de CS. Informe sobre los planes de Mejoramiento Informe presentado a la contralora general de la republica Seguimiento planes de mejoramiento Plan Operativo Anual vigencia 2010 Listado Maestro de Documentos Portafolio de Servicios Ficha Tcnica Nodo de Internet y Redes Gua de Administracin del Riesgo en la Universidad de la Amazonia Informe Ejecutivo AnualModelo Estndar de Control Interno .MECI vigencia 2008 Sistema Integrado de Gestin para las universidades publicas Manual para la Implementacin de la estrategia de Gobierno en Lnea de la repblica de Colombia Versin 2010 Mapa de procesosUniversidad de la Amazonia Mapa de Riesgos Institucional Normatividad del Gobierno Electrnico en Colombia Normograma Universidad de la Amazonia

FORMATO
PDF

Documentos

PDF

Documento

PDF

Documento

PDF

Documento Documento Documento Documento Documento

PDF PDF PDF PDF PDF

Documento Documento

PDF PDF

Documento

PDF

Imagen Documento Documento Documento

JPG PDF PDF PDF

44

Imagen Documento Documento Documento Documento

Organigrama Uniamazonia Plan de Capacitacin vigencia 2008 Plan de Compras primer semestre de 2011 Papeles de Trabajo Dictamen de la Auditoria

PNG PDF PDF PDF PDF

45

Potrebbero piacerti anche