1

Auditoria del 3 de Septiembre al 13 de Octubre de 2011 Auditor responsable Gustavo Adolfo Díaz Tovar

PAPELES DE TRABAJO

2

CONTENIDO INVESTIGACION PREELIMINAR ......................................................................................................................... 4

DESCRIPCION DE LA ENTIDAD ......................................................................................................................... 5

RESEÑA [2]........................................................................................................................................... 5

DIRECCIONAMIENTO ESTRATEGICO ................................................................................................................... 6

Misión ................................................................................................................................................. 6

Visión ................................................................................................................................................. 6

Valores Éticos ....................................................................................................................................... 6

Principios ............................................................................................................................................ 7

Objetivos ............................................................................................................................................. 7

Funciones ............................................................................................................................................ 8

DESARROLLO TECNOLOGICO ........................................................................................................................... 9

ORGANIGRAMA ......................................................................................................................................... 10

MAPA DE PROCESOS .................................................................................................................................. 11

........................................................................................................................................................... 11

DESCRIPCION DEL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION .................................................................. 12

Creación[3]........................................................................................................................................ 12

Misión ............................................................................................................................................... 12

ESTRUCTURA DEL DEPARTAMENTO ............................................................................................................. 13

FUNCIONES ......................................................................................................................................... 13

COORDINADOR DEL DEPARTAMENTO DE TI .................................................................................................... 13

DEL AREA DE APLICACIONES ................................................................................................................. 13

DEL AREA DE HADWARE Y COMUNICACIONES ............................................................................................. 14

DEL AREA DE INVESTIGACION Y DESARROLLO ............................................................................................. 14

CARACTERIZACION DEL PROCESO .................................................................................................................. 15

IDENTIFICACION Y ANALISIS DEL RIESGO .......................................................................................................... 18

ADMINISTRACION DEL RIESGO ....................................................................................................................... 19

IDENTIFICACION DEL RIESGO .................................................................................................................... 19

ALCANCES .......................................................................................................................................... 20

RIESGOS IDENTIFICADOS ......................................................................................................................... 20

DESCRIPCION DE LOS RIESGOS ................................................................................................................. 21

3

CLASIFICACION DEL RIESGO ..................................................................................................................... 23

SEMAFORIZACION DEL RIESGO .................................................................................................................. 23

MAPA DE RIESGOS DEL DEPARTAMENTO TI .................................................................................................... 25

MODELO DE ENCUESTAS .............................................................................................................................. 27

HALLAZGOS Y EVIDENCIAS ........................................................................................................................... 36

SITUACIONES ENCONTRADAS: ....................................................................................................................... 37

Situación N°1: Certificación ..................................................................................................................... 37

Situación N°2: Conocimiento del SIGC ........................................................................................................ 37

Situación N°3: Auditorias Anteriores ......................................................................................................... 37

HALLAZGOS ENCONTRADOS: ......................................................................................................................... 37

Hallazgo N°1: Portafolio de Servicios .......................................................................................................... 37

Hallazgo N°2: Definición de procedimientos ................................................................................................. 38

Hallazgo N°3: Denominación del Departamento TI. ......................................................................................... 38

Hallazgo N°4: Planeación del Departamento TI. ............................................................................................. 39

Hallazgo N°5: Funciones del Personal Informático ......................................................................................... 39

Hallazgo N°6: Política de Desarrollo tecnológico ........................................................................................... 40

Hallazgo N°7: Perfiles Profesionales. ......................................................................................................... 40

Hallazgo N°8: Estrategias de Desarrollo Tecnológico ...................................................................................... 41

Hallazgo N°9: Mapa de Riesgos ................................................................................................................ 41

Hallazgo N°10: Planes de Mejoramiento....................................................................................................... 42

Hallazgo N°11: Política Global de Seguridad .................................................................................................. 42

Hallazgo N°12: Copias de Seguridad. .......................................................................................................... 42

ANEXOS ................................................................................................................................................. 43

4

INVESTIGACION PREELIMINAR

5

DESCRIPCION DE LA ENTIDAD

RESEÑA [2]

Mediante Acuerdo 004 del 15 de Diciembre de 1970, emanado del Consejo Superior del ITUSCO, se autorizó la

apertura de una seccional con sede en Florencia Caquetá. Así, la nueva sede de ITUSCO iniciaba sus primeros trabajos de estudios intermedios a nivel tecnológico en Ciencias Sociales, Lingüística y Literatura, Matemáticas y

Física, Contabilidad y Presupuesto y Topografía; ésta última fue cerrada por el bajo número de estudiantes (una sola promoción de 8 estudiantes).

La Ley 13 del 30 de Enero de 1976, transformó el Instituto Técnico Universitario Surcolombiano ITUSCO en

Universidad Surcolombiana, con sede principal en Neiva. Posteriormente según Acuerdo 032 del 13 de junio de 1.977

del Consejo Superior, se estableció la Regional Florencia, dependiente de la sede central de Neiva. La dependencia

económica y administrativa de la Regional de Florencia, de la Universidad Surcolombiana de Neiva, se convirtió en un obstáculo para la toma de decisiones y la proyección de la misma.

Ante la sustentación de los diversos problemas para el desarrollo de la institución, como ente de educación

superior, el 30 de diciembre de 1982, mediante la ley 60, se transformó la regional Florencia de la Universidad

Surcolombiana en Universidad de la Amazonia (UA), como una institución de educación superior, establecimiento

público del orden nacional, con personería jurídica, autonomía administrativa y patrimonio independiente, adscrito al

Ministerio de Educación Nacional; con domicilio en la ciudad de Florencia Caquetá y con las posibilidades de establecer dependencias seccionales en los lugares de la Amazonía cuyas necesidades así lo exigieran.

En mayo de 1983 el Ministerio de Educación nacional le concede reconocimiento institucional, a la universidad de la Amazonia por Resolución No 6533.

La primera aproximación que tiene la Universidad de la Amazonia al área de investigaciones se hace con la creación

del Centro de Investigaciones Surcolombiano, CISNU, con el objetivo de impulsar la actividad investigativa de la

universidad en el marco específico de necesidades del ambiente amazónico. Como apoyo a este centro de

investigaciones y por Acuerdo 032 del 13 de Junio de 1974, el Consejo Superior creó la estructura orgánica de la

Universidad que ofrece, fuera de la sede de Florencia, dos granjas experimentales para el desarrollo de prácticas académicas.

En 1984, se reglamentó el Instituto Amazónico de Investigaciones IAMI, con el objetivo de fomentar, coordinar y

apoyar la práctica investigativa de los docentes y estudiantes de la Universidad. En la medida que ha crecido y la

estructura de la universidad ha cambiado, también se han reestructurado sus dependencias. Así a partir del año 1994 se creó la Vicerrectoría de Investigaciones, instancia académica que tiene como función básica la dirección,

planificación y fomento de la investigación en la universidad.

__________________________________________________ [2] Esta información se publicó en la página institucional de la Universidad de la Amazonia, sección Acerca de la Entidad, en la URL http://www.uniamazonia.edu.co/v8/index.php/acerca-de-la-entidad/historia.html

6

A partir del año 1989 por acuerdo 064 del Consejo Superior se define, como una de las políticas de la universidad, la

implementación de programas de Educación Superior en la metodología Abierta y a Distancia, en los lugares de la

región Amazónica Colombiana, cuyas necesidades sociales de desarrollo lo exijan.

En el año 1994 se inicia el desarrollo de programas en esta modalidad, en convenio con la Universidad Mariana de Pasto, con la implementación de la tecnología en Comercio y Contaduría. De igual manera, en este año, se desarrolló

la tecnología en Administración Municipal en convenio con la Escuela Superior de Administración Pública ESAP.

En el segundo semestre del año 1996 se establece el convenio con la Universidad del Tolima.

DIRECCIONAMIENTO ESTRATEGICO

Misión

La Universidad de la Amazonia, institución estatal de educación superior del orden nacional, creada por la ley 60 de

1982 para contribuir especialmente en el desarrollo de la región amazónica, está comprometida con la formación

integral de un talento humano idóneo para asumir los retos del tercer milenio a través de una educación de calidad,

amplia y democrática, a nivel de pregrado, posgrado y continuada, que propicie su fundamentación científica,

desarrolle sus competencias investigativas, estimule su vinculación en la solución de la problemática regional y

nacional y consolide valores que promuevan la ética, la solidaridad, la convivencia y la justicia social.

Visión

La Universidad de la Amazonia será una institución de educación superior en permanente acreditación social,

reconocida y líder en la construcción, apropiación, adecuación, implementación y difusión de procesos académicos,

científicos, investigativos y de proyección a la comunidad; preferencialmente encaminados a la búsqueda del

desarrollo humano sostenible de la región amazónica, de manera comprometida y articulada a la consolidación del

proyecto de nación contemplado en la Constitución Nacional.

Valores Éticos

Mediante acuerdo 17 del 9 de agosto de 2007 el Consejo Superior de la Universidad de la Amazonia, aprobó la Cata

de Valores Éticos:

HONESTIDAD: Elemento fundamental en las actuaciones de la comunidad universitaria, materializado en

SINCERIDAD: La veracidad en el desarrollo de los principios y objetivos institucionales aplicados a la formación

integral de los ciudadanos de la región, como garantía de confianza social.

RESPONSABILIDAD: Es el compromiso social y ambiental y la vocación con que cada uno de los miembros de la

comunidad universitaria, asumirá la parte que le corresponde hacer y la obligación ética de reparar un daño cuando

se haya cometido un yerro

7

TRANSPARENCIA: Es el componente ético que identificará a cada servidor de la Institución de tal forma que su

actuación sea muestra de credibilidad irrefutable

EQUIDAD: Es la disposición de ánimo que moviliza a la Institución para dar a cada cual lo que merece. Pero también

expresa de manera directa el sentido de justicia con que actuará cada uno de los miembros de la comunidad.

TOLERANCIA: Valor de gran relevancia que implica atender y respetar las ideas y principios de la comunidad en general buscando siempre la comprensión y la concertación, propiciando un ambiente agradable y un trabajo feliz.

SOLIDARIDAD: Es el apoyo y participación compartida para alcanzar los objetivos propuestos y facilitar el trabajo

en equipo.

CONVIVENCIA: Es la resultante del respeto mutuo, la lealtad y la adaptación a los diferentes grupos humanos y

situaciones del quehacer institucional que exigen la comprensión, la felicidad y la paz ciudadana, propendiendo por la

construcción de vivencias pacificas y democráticas dentro de la sociedad.

Principios

Armonización de la Universidad del pensamiento científico con la particularidad de las formas culturales y

los modos de vida que existan en Colombia y en la región amazónica.

Búsqueda de la verdad, el ejercicio libre y responsable de la critica de la cátedra y del aprendizaje.

La práctica de la autonomía universitaria consagrada en la constitución y la ley.

La realización plena de los derechos y deberes fundamentales, sociales, económicos y culturales, cuyo

ejercicio y disfrute supone el acceso a los códigos fundamentales de la cultura, que son el resultado de la

acción educativa.

Calidad total en la prestación de sus servicios a la comunidad.

Objetivos

Formar los recursos humanos, técnicos, científicos y culturales indispensables para el desarrollo socio- económico, político y cultural de la región amazónica.

Promover el conocimiento y la reafirmación de los valores de la nacionalidad colombiana, la expansión de

las áreas de creación y goce de la cultura, y la conservación del patrimonio cultural del país.

Fomentar la investigación con énfasis en el área amazónica, con miras a desarrollar el conocimiento

científico, tecnológico y cultural, prioritariamente en aquellos campos del saber que posibiliten la

transformación sustentable de los diversos sistemas naturales y culturales de su área de influencia.

8

Desarrollar procesos de concertación y cooperación institucional que permitan intercambiar información,

concertar acuerdos y entendimientos operativos y realizar esfuerzos de acciones armónicas de la

respectiva cuenca amazónica.

Establecer mecanismos operativos que redunden en la preservación de un medio ambiente sano y fomentar la educación y la cultura ecológicas, para la conservación y la utilización de los recursos de la

Amazonia.

Promover la formación y consolidación de las comunidades académicas y la articulación con sus

homólogas a nivel nacional e internacional.

Propender por la integración de las poblaciones amazónicas al proceso nacional de desarrollo,

preservando sus valores culturales y sociales, particularmente los de la población indígena como elemento social de la Amazonia.

Producir conocimientos en el ámbito de lo educativo, y desarrollar procesos de innovación educativa.

Contribuir al logro de mayores niveles de calidad educativa del país.

Propiciar el desarrollo científico y tecnológico en las áreas de su competencia.

Contribuir a la formación de ciudadanos a partir de una pedagogía y una práctica de la Constitución

Política.

Contribuir al desarrollo de la identidad del profesional de la Universidad de la Amazonia y a su valoración

en el contexto social.

Servir de medio para planear el equilibrio ecológico de la región y la preservación de las especies, a fin de

que sirva como epicentro de consulta y coordinación para las entidades estatales y particulares que

tengan a su cargo dichas funciones

Funciones

Para el logro de los objetivos anteriores, la Universidad de la Amazonia deberá cumplir con las siguientes funciones,

orientadas a la Docencia, la Investigación y la Extensión, a saber:

Ofrecer programas académicos de pregrado y postgrado, entendidos como el conjunto de experiencias de

aprendizaje estructuradas, para el desempeño eficaz de ocupaciones que permitan el ejercicio cualificado de una

profesión o disciplina.

9

Fomentar la investigación y la creatividad, orientadas hacia la sistematización, producción, aplicación y difusión del

conocimiento con el objeto de promover el desarrollo integral de la región.,

Ofrecer programas de extensión, dirigidos al estudio y solución de las necesidades y problemas de la comunidad a

través del desarrollo de planes y programas de actualización y cualificación en la dirección, orientación y evaluación

de los sistemas de producción y bienestar colectivo y el adecuado aprovechamiento de sus recursos.

Adelantar programas de bienestar universitario, entendidos como el conjunto de actividades que se orientan al

desarrollo físico, psico-afectivo, espiritual y social de la comunidad universitaria.

DESARROLLO TECNOLOGICO

La Universidad de la Amazonia cuenta con una infraestructura propia de hardware y de software. De software, con

la plataforma Académusoft; esta plataforma gestiona de principio a fin todos los procesos académicos, y Gestasoft;

que se encarga de gestionar de forma integrada con la academia los procesos financieros y contables. Además se

cuenta con desarrollos propios que brindan soluciones puntuales a necesidades institucionales, como reservas de

espacios físicos, atención al usuario, mesas de ayuda, y en la actualidad con la implementación del sistemas CHAIRA, entre otros. De hardware,con una infraestructura propia de servidores y de redes que permite mantener

conectividad con los dispositivos instalados por todo el campus universitario y sus sedes más cercanas.

Mediante acuerdo 08 de 2009 del honorable Consejo Superior, se creó el Departamento de Tecnologías de la

Información, responsable directo de gestionar el área de las TIC en la institución. En la actualidad el mencionado

departamento está ajustando sus procesos de forma transversal con el SIGC y con ITIL V3 para obtener la

certificación ISO 20000.

10

ORGANIGRAMA

Ref: Organigrama Universidad de la Amazonia [consultado 8/04/2011]. Disponible en http://www.uniamazonia.edu.co/v8/index.php/acerca-de-la-entidad/organigrama.html

11

MAPA DE PROCESOS

La universidad de la Amazonia dentro de sus SIGC ha definido cuatro macro-procesos orientados a

la administración, gestión, control y evaluación de los procesos asociados a la organización, dentro

de los cuales encontramos los PROCESOS DE APOYO que sirven a la gestión de los procesos.

Dentro de este macro-proceso encontramos el PROCESO DE GESTION TECNOLOGICO que

involucra la consecución, administración, planeación y control de los recursos e infraestructura

tecnológica conque la universidad de la Amazonia cuenta mediante el Departamento TI que es el

directo responsable del actuar de este proceso.

12

DESCRIPCION DEL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION

Creación[3]

Mediante Acuerdo 62 del 29 de noviembre de 2002, el Consejo Superior adoptó el Estatuto General de la

Universidad y en su Título IV, Capítulo II, estableció la estructura interna básica, ordenando que la programación de

las diferentes unidades y dependencias que integran la Universidad de la Amazonia, deberán ser definidas en la

estructura orgánica interna adoptada mediante Acuerdo de esta misma instancia.

La Estructura Interna de la Universidad de la Amazonia se expidió mediante Acuerdo Superior número 5 del 26 de

febrero de 2004, consagra en su artículo octavo y siguientes, el carácter, la estructura y funciones de la Oficina de

Informática y Sistemas de la Universidad de la Amazonia

En procura de fortalecer la planificación y gestión general de la infraestructura tecnológica de la institución para

servir de apoyo a los procesos de docencia, investigación y proyección social y de esta forma contribuir al

cumplimiento de la misión institucional, se hace necesario modificar el artículo octavo y siguientes en cuanto a la

denominación, estructura, carácter y funciones de la Oficina de Informática y Sistemas que en adelante se

denominará Departamento de Tecnologías de la Información. En razón a que en el Acuerdo de estructura orgánica

de la institución, no se hace mención a una dependencia que se encargue de realizar el seguimiento y apoyo a los

graduados de la Universidad, se hace necesario organizar una oficina al interior de la misma, para crear, mantener,

mejorar y promocionar las relaciones Universidad-Graduados, con fines académicos, investigativos, administrativos,

laborales y culturales, teniendo en cuenta que uno de los factores de calidad de los programas académicos es la

relación organizada y sistemática entre la Universidad y sus graduados.

Misión

El Departamento de Tecnologías de la Información de la Universidad de la Amazonia tiene como misión la

planificación y gestión general de la infraestructura tecnológica de la institución, para servir de apoyo a los

procesos de docencia, investigación y proyección social y de esta forma contribuir al cumplimiento de la misión

institucional

______________________________________ [3] Acuerdo 08 de 2009 dado por el Consejo Superior URL:

http://apps.uniamazonia.edu.co/documentos/navega.php?PHPSESSID=rmv73k7d7irfng15kuiiuhpc61&dir=.%2FConsejo%20Superior%2

FAcuerdos%2F2009

13

ESTRUCTURA DEL DEPARTAMENTO

El Departamento de Tecnologías de la Información tendrá la siguiente conformación:

Coordinación del Departamento de Tecnologías de la Información

Un área de aplicaciones

Un área de hardware y comunicaciones

Un área de investigación y desarrollo

FUNCIONES

COORDINADOR DEL DEPARTAMENTO DE TI

1. Desarrollar e implementar el Plan Estratégico del Departamento de Tecnologías de la Información.

2. Gestionar la consecución de recursos para el desarrollo de proyectos informáticos.

3. Presentar y desarrollar las propuestas para el mejoramiento informático de las áreas académicas y

administrativas de la universidad.

4. Presentar por escrito a su superior el plan operativo anual

5. Aplicar las directrices de los entes administrativos orientados al Departamento de Tecnologías de la

Información.

6. Velar y responder por la seguridad en la trasmisión de datos.

7. Administrar y velar por la correcta conservación de los elementos entregados para el desarrollo de sus

funciones.

8. Brindar asesoría a la comunidad académica en materia informática.

9. Planear y programar cursos de extensión a la comunidad.

10. Coordinar de manera permanente y sistemática con las áreas de su responsabilidad para el óptimo

desempeño de sus funciones.

11. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia.

DEL AREA DE APLICACIONES

1. Velar por el normal y permanente funcionamiento de las aplicaciones de la Universidad de la Amazonía: (i)

Academusoft, (ii) Base de datos, (iii) SIIF, (iv) Gestasoft y los demás aplicativos que adquiera y/o desarrolle la institución

2. Realizar la administración de los aplicativos contables y financieros de la institución.

3. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia

14

DEL AREA DE HADWARE Y COMUNICACIONES

1. Velar por el normal y permanente funcionamiento de la infraestructura de hardware y comunicaciones de

la Universidad de la Amazonia.

2. Administrar las salas de cómputo, recursos informáticos, redes y telecomunicaciones de la Universidad.

3. Prestar soporte técnico preventivo y correctivo a los equipos de cómputo de la institución.

4. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia.

DEL AREA DE INVESTIGACION Y DESARROLLO

1. Desarrollar software de acuerdo a las necesidades de la Universidad

2. Efectuar los procesos de análisis, diseño, implementación y pruebas del software requerido por la institución.

3. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia

15

CARACTERIZACION DEL PROCESO

16

17

18

IDENTIFICACION Y ANALISIS DEL RIESGO

19

ADMINISTRACION DEL RIESGO

Para la identificación y priorización del riesgo se toma como guía la GU-E-GC-01 que se encuentra en la

documentación del sistema de Gestión de Calidad adoptado por la universidad de la amazonia basado en el acuerdo

09 de 2010 del consejo superior donde se le asigna a la oficina de planeación la elaboración de esta guía y su

implementación en toda la institución y se establecen los formatos, procesos de clasificación del riesgo, procesos de análisis del riesgo, calificación del riesgo, evaluación del riesgo y valoración del riesgo a fin de estar acorde a las

condiciones establecidas dentro del SIGC.

En base a la metodología COBIT Vrs 4 sobre la cual se realiza esta auditoria se modifica los controles adoptados en

esta guía como lo son (Preventivos, Detectivo y Correctivo) por:

1. Efectividad: Actúa para determinar el grado de cumplimiento dentro de los tiempos y parámetros

establecidos por los acuerdos, planes o políticas de mejor continua del riesgo.

2. Disponibilidad: Permite determinar el grado de accesibilidad y conocimiento de la situación por parte de

los involucrados en el proceso.

3. Cumplimiento: Grado de cumplimiento a los acuerdos, planes y políticas.

IDENTIFICACION DEL RIESGO

La identificación del riesgo se realizó mediante el proceso de investigación preliminar y la entrevista a los actores

involucrados en el proceso de GESTION TECNOLOGICA en el departamento TI, basado tanto en el resultado del

análisis del contexto estratégico como en el proceso de planeación de las medidas de control para garantizar la

seguridad de la información y de los procedimientos. La identificación del riesgo se basó en el formato:

MACRO PROCESOS- PROCESOS – DOMINIO COBIT- NUMERO DE RIESGO

El Decreto 1599 de 2005 define la identificación del riesgo como Elemento de Control, que posibilita conocer los eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión,

estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. La identificación de los riesgos se realiza a nivel del planeación,componente de direccionamiento estratégico,

identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el logro de los

objetivos y el cumplimiento de los acuerdos. Es la base del análisis de riesgos que permite avanzar hacia una

adecuada implementación de políticas que conduzcan a su control.

20

ALCANCES

La identificación del riesgo permite visualizar los factores externos e internos que afectan la seguridad de la función

informática en relación al cumplimiento de la misión institucional, de sus objetivos, políticas y acuerdos a través de

la observación y verificación de los procedimientos organizacionales permitiendo:

1. Determinar las causas (medios, circunstancias y agentes internos o externos) de las situaciones

riesgosas para la entidad.

2. Describir los riesgos (posibilidad de ocurrencia de un evento) con sus características generales o la

forma en que se observan o manifiestan.

3. Precisar los efectos (consecuencias) que los riesgos puedan ocasionar a la Universidad.

RIESGOS IDENTIFICADOS

N° IDENTIFICACION RIESGO

1 PA-GT-PO-R1 Incumplimiento de los acuerdos

institucionales

2 PA-GT-PO-R2 Incumplimiento a los acuerdos de

certificación ISO 9001- 2008 y Norma Itil V3

3 PA-GT-PO-R3 Desconocimiento de la normatividad por

parte del personal informático

4 PA-GT-PO-R4 Seguimiento a los planes de mejora.

5 PA-GT-PO-R5 Mala aplicación del sistema de Control interno,

6 PA-GT-PO-R6 Perdida de Información

7 PA-GT-PO-R7 Carencia de planes de contingencia del

personal informático

8 PA-GT-PO-R8 Carencia de planes de contingencias de software

9 PA-GT-PO-R9 Carencia de planes de contingencia

21

DESCRIPCION DE LOS RIESGOS

PROCESO OBEJTIVO PROCESO DESCRIPCION DEL RIESGO CLASIFICACION HECHO GENERADOR CAUSA EFECTOS

GEST

ION

TEC

NOLO

GICA

Planificar y gestionar la

infraestructura tecnológica, para

servir de apoyo a los

procesos de la institución y de esta

forma contribuir al cumplimiento de la

misión institucional.

PA-GT-PO-R1: Incumplimiento de

los acuerdos institucionales por parte del Departamento TI,

CUMPLIMIENTO

Personal que labora en el departamento

TI.

Desconocimiento de los acuerdos, políticas y/o

reglamentos.

Pérdida de credibilidad. Incurrir en sanciones por

incumplimiento.

PA-GT-PO-R2:Incumplimiento de

las normas itilv3 en los procedimientos.

CUMPLIMIENTO

Personal que labora

en el departamento TI,

Desconocimiento del SIGC.

Desconocimiento de la Normas ITIL V3 aplicada al contexto

universitario.

Ausencia de capacitación. Mala interpretación de la norma.

Sanciones.

Perdida de certificación. Mala imagen institucional.

PA-GT-PO-R3:Desconocimiento

por parte de los funcionarios de

las políticas, acuerdos y normativas que intervienen al

Departamento TI.

OPERATIVO

Mala operatividad de la oficina de control

interno.

Ausencia de políticas de capacitación sobre la

normatividad. Indisponibilidad del documento de

la norma. Mala gestión documental.

Sanciones. Perdidas económicas.

Mala calidad del servicio.

PA-GT-PO-R4:Ausencia de planes de mejora que garanticen la

seguridad, acceso y uso de la información

ESTRATEGICO

Coordinador del Departamento TI y

oficina de planeación

Falta de gestión y cumplimiento de las políticas de gestión

tecnológicas establecidas en el Acuerdo 10 de 2010

Perdida de información. Perdida de confiabilidad.

Daños físicos. Perdidas económicas.

PA-GT-PO-R5:Falta de aplicación

del sistema de control interno a

los procedimientos de gestión tecnológico.

OPERATIVO

Oficina de control

interno

Falta de seguimiento a los

procedimientos ejercidos por el departamento TI.

Desarticulación del deber hacer

y el hacer.

Incumplimiento de los

acuerdos. Malos seguimiento y

evaluación.

22

PA-GT-PO-R6:Perdida de

información TECNOLOGIA

Infraestructura

eléctrica y seguridad física.

Mala infraestructura eléctrica y

tecnológica. Ausencia de planes de

restauración y backup.

Mala calidad del servicio.

Perdidas económicas. Daños físicos en Hardware y

Software.

PA-GT-PO-R7: Riesgo derivado de la actuación del factor humano del

área de sistemas, ya sea del personal, de los usuarios, o de los

administradores.

OPERATIVO

Personal que labora dentro del

departamento TI

Acceso no autorizado. Ingeniería social.

Ausencia de claridad de las funciones del personal que

labora dentro del Departamento.

Mala calidad en el servicio. Incumplimiento a las normas.

PA-GT-PO-R8:Actualización del

software instalado, piratería y falta de licencias en los software.

OPERATIVO

Área de hardware y comunicaciones

Periodos prolongados de actualización del software

instalado. Instalación de software sin

licencia.

Perdidas económicas. Virus informáticos.

Daños en las configuraciones.

PA-GT-PO-R9: No existe ningún

plan de contingencia, ni un

documento similar en donde se contemplen medidas preventivas

relacionadas con la seguridad de la información del Departamento

TI.

ESTRATEGICO

Coordinador del

Departamento TI y oficina de

planeación.

Ausencia de planes de

contingencia. No inclusión dentro del mapa de

riesgo anual.

Ausencia en el plan opertavio.

Perdidas económicas.

Perdidas de información.

23

CLASIFICACION DEL RIESGO

Siguiendo la guía de administración del riesgo establecido por la afina de planeación de la Universidad de la

amazonia se definen los valores cuantitativos que permitirán valorar el impacto y la probabilidad de los riesgos de

acuerdo a la siguiente tabla:

IMPACTO PROBABILIDAD

De acuerdo a las consecuencias que se pueden

ocasionar a la Universidad con la materialización del riesgo identificado se asignan los siguientes valores

cualitativos al impacto.

Describe la posibilidad de ocurrencia del riesgo;

si este se ha materializado medida en criterios de frecuencia.

Ítem Valor Ítem Valor

Leve 5 Baja 1

Moderado 10 Media 2

Catastrófico 20 Alta 3

SEMAFORIZACION DEL RIESGO

CRITERIO VALOR

Moderado Amarillo (5 -10)

Importante Verde (15 – 20)

Ina ceptable Rojo (30 – 60)

IMPACTO

LEVE

(5)

MODERADO

(10)

CATASTROFICO

(20)

PRO

BABI

LIDA

D

ALTA

(3) 15 30 60

MEDIA

(2) 10 20 40

BAJA

(1) 5 10 20

24

De acuerdo a la clasificación anterior, los riesgos identificados en el departamento TI se clasifican en:

PROBABILIDAD Vs IMPACTO LEVE MODERADO CATASTROFICO

ALTA No aplica No aplica PA-GT-PO-R1

PA-GT-PO-R3

MEDIA

No aplica PA-GT-PO-R5 PA-GT-PO-R6

PA-GT-PO-R9

BAJA PA-GT-PO-R2 PA-GT-PO-R8 PA-GT-PO-R4

PA-GT-PO-R7

25

MAPA DE RIESGOS DEL DEPARTAMENTO TI

PROCESO RIESGO PROBABILIDAD IMPACTO VALORACION

DEL RIESGO CONTROLES EXISTENTES

VALORACION

DEL RIESGO CON

CONTROLES

ACCION DE TRATAMIENTO RESPONSABLE GE

STIO

N T

ECNO

LOGI

CA

PA-GT-PO-R1 Alta

3

Catastrófico

20

Inaceptable

60

No existen controles

Inaceptable

Implementar controles que

reduzcan el impacto y la

probabilidad del riesgo

Personal del

Departamento TI

PA-GT-PO-R2 Baja

1

Leve

5

Moderado

5

No existen controles

Moderado

Implementar controles que

reduzcan el impacto

Coordinador del

Departamento TI

PA-GT-PO-R3 Alta

3

Catastrófico

20

Inaceptable

60

No existen controles

Inaceptable

Implementar controles que reduzcan el impacto y la

probabilidad del riesgo

Personal del

Departamento TI

PA-GT-PO-R4 Baja

1

Catastrófico

20

Importante

20

No existen controles

Importante

Implementar controles que

reduzcan el impacto y

puedan evitar el riesgo

Oficina de

Planeación

PA-GT-PO-R5 Media

2

Moderado

10

Importante

20

No existen controles

Importante

Implementar controles que

reduzcan el impacto y

puedan evitar el riesgo

Oficina de Control

interno

26

PA-GT-PO-R6 Media

2

Catastrófico

20

Inaceptable

40

Los controles existentes son

efectivos pero no están

documentados.

Inaceptable

Adecuación de la red

eléctrica y documentación del sistema automatizado de

backup

Coordinador del

Departamento TI

PA-GT-PO-R7 Baja

1

Catastrófico

20

Importante

20

No existen controles

Importante

Implementar controles que

reduzcan el impacto y puedan evitar el riesgo

Personal del

Departamento TI

PA-GT-PO-R8 Baja

1

Moderado

10

Moderado

10

No existen controles

Moderado

Implementar controles que

reduzcan el impacto y

puedan reducir el riesgo

Área de

hardware y

comunicaciones

PA-GT-PO-R9 Media

2

Catastrófico

20

Inaceptable

40

No existen controles

Inaceptable

Implementar controles que

reduzcan el impacto y la probabilidad del riesgo

Oficina de

Planeación

27

MODELO DE ENCUESTAS

28

Datos del encuestado (A la fecha de diligenciamiento)

Dependencia: _________________________________________________________________________________________________________

Cargo: _____________________________________________________ Nivel de Formación: Técnico ( ) Pregrado ( ) Especialización ( )

Maestría ( ) Doctorado ( ) Otros ( )Cual? _______________________________________________________________________________

Área en la que labora___________________________________________________________________________________________________

Parte A. Conocimiento Organizacional y Misional del Departamento TI.

1. Conoce cuál es la Misión del Departamento TI? Si 1 No 2

Cuál?

_____________________________________

______________________________________________________________________________________________________

2. Conoce de las políticas de desarrollo tecnológico de

la universidad de la Amazonia adoptados por el

acuerdo 10 de 2010 Si 1 No 2

Indique dos de ellas,

______________________________________________________________________________________________________

_________________________________________________

___________________________________________________

____________________________________________________________________________________________________

3. Conoce de los objetivos del Departamento TI?

Si 1 No 2

Menciones algunos

_____________________________________

______________________________________________________________________________________________________

4. Los objetivos que tiene establecidos el departamento TI están alineados a los objetivos

Misionales de la Universidad?

Si 1 No 2

5. Las políticas de TI están acorde con el plan de

calidad de la organización (SIGC).

__________________________________________________

__________________________________________________

__________________________________________________

______________________________________________

6. En la actualidad el Departamento TI tiene ajustado todos sus procesos de forma transversal con el

SIGC y con ITIL V3 Si 1 No 2

7. Dentro del mapa de procesos establecidos en el SIGC, en cual Macro-procesos está involucrado

directamente el departamento TI.

ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA

INFORMACION

AUDITORIA INFORMATIVA BASADO EN COBIT V4

29

Estratégico 1

Misional 2 De Apoyo 3

Evaluación 4

En todos 5

8. El objetivo del proceso de Gestión Tecnológica al que

responde el Departamento TI es:

El desarrollo de las actividades administrativas y tecnicas

tendientes a la planeacion, manejo y organizacion de la documentacion

producida y recibida por la universidad de la amazonia, desde su origen

hasta su destino final, facilitando su utilización y conservación.

Planificar y gestionar la infraestructura tecnológica, para servir de

apoyo a los procesos de la institución y de esta forma contribuir al

cumplimiento de la misión institucional.

La implementación y administración de servicios TI de calidad, que

cubran las necesidades de la institución

9. Tiene conocimiento de las funciones de su cargo, establecidas según el acuerdo 08 de 2009 emanado

por consejo superior.

Si 1 No 2

Mencioné tres de ellas, ________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

Parte A. Planeación y organización.

10. Con que periodicidad se formulan los planes operativos del departamento TI?

Cada 3 Meses 1

Cada 6 Meses 2

Cada 12 Meses 3

Más de 12 Meses 4

11. Que elementos o acciones se llevan a cabo desde la

planeación operativa para responder por la seguridad

de la información ante agentes internos o externos, físicos o lógicos.

_____________________________________

_____________________________________

_____________________________________

_____________________________________

_____________________________________

_____________________________________

12. Desde la planeación liderada por el departamento

como responden a la necesidad de servicio de seguridad de la información. (Portafolio de Servicios)

_____________________________________

_____________________________________

_____________________________________

_____________________________________

_____________________________________

13. Dentro de las funciones del departamento esta: “Planear y programar cursos de extensión a la

comunidad”. Cada cuanto se realizan estos cursos.

Nunca se ha hecho 1

Cada 3 Meses 2

Cada 6 Meses 3 Cada 12 Meses 4

Más de 12 Meses 5

Quienes son los responsables de orientarlos _____________________________________

_____________________________________

_____________________________________

_____________________________________

_____________________________________

14. Bajo qué criterios se selección el personal responsable de orientarlo.

_____________________________________

_____________________________________

_____________________________________

30

_____________________________________

_____________________________________

Está reglamentada esta elección,

Si 1 No 2

15. Con que periodicidad se asesora a los usuarios sobre

el correcto manejo de las herramientas tecnológicas.

Nunca se ha hecho 1

Cada 3 Meses 2

Cada 6 Meses 3

Cada 12 Meses 4 Más de 12 Meses 5

16. Existen proyecto en formulación y/o ejecución que

permiten alianzas estratégicas con entidades del nivel regional, nacional e internacional para la financiación

y cofinanciación de los proyectos que brindan el acceso a herramientas tecnológicas.

Si 1 No 2

Cuáles?

_____________________________________

_____________________________________

_____________________________________

_____________________________________

_____________________________________

17. Con que periodicidad se identifican los riesgos que

afectan al departamento TI?

Cada 3 Meses 1

Cada 6 Meses 2

Cada 12 Meses 3

Más de 12 Meses 4

18. Como desarrolla el Departamento TI el Seguimiento y Evaluación de la implementación de las políticas de

Desarrollo tecnológicos en la Universidad.

_____________________________________

_____________________________________

_____________________________________

_____________________________________

_____________________________________

Realizado por: Gustavo Adolfo Díaz Tovar

31

Datos del encuestado (A la fecha de diligenciamiento)

Dependencia: _________________________________________________________________________________________________________

Cargo: _____________________________________________________ Nivel de Formación: Técnico ( ) Pregrado ( ) Especialización ( )

Maestría ( ) Doctorado ( ) Otros ( )Cual? _______________________________________________________________________________

Área en la que labora___________________________________________________________________________________________________

Parte A. Planeación.

1. El Departamento de tecnologías de la información

cuenta con políticas establecidas en TI?

Si 1 No 2

2. Se ha realizado una planificación estratégica del

adecuado uso de las TI?

Si 1 No 2

3. Existe un plan operativo anual?

Si 1 No 2

4. Existe un seguimiento continuo a la política de desarrollo

tecnológico y planes operativos anuales?

Si 1 No 2

De qué manera hacen este seguimiento?

____________________________________________________________________________________________________________________________________________________

5. Se cuenta con un plan de infraestructura de redes

de datos y eléctrico?

Si 1 No 2

6. En los últimos 12 meses se ha realizado algún tipo de

auditoria a este departamento?

Si 1 No 2

De qué tipo?

Interna 1

Externa 2

7. Existe planes de contingencia del software, de la red

y del personal informático?

Si 1 No 2

Quien elabora estos planes de contingencia en el

departamento?

__________________________________________________

__________________________________________________

_________________________________________________

8. Sus funciones se encuentran reglamentadas por alguna

instancia o dependencia de la universidad?

Consejo Superior 1

Oficina de Control Interno 2 Oficina de División y Servicios 3

Coordinar de Departamento 4

AUDITORIA INFORMATIVA BASADO EN COBIT V4

CHEKLIST

ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA

INFORMACION

32

Datos del encuestado (A la fecha de diligenciamiento)

Dependencia: _________________________________________________________________________________________________________

Cargo: _____________________________________________________ Nivel de Formación: Técnico ( ) Pregrado ( ) Especialización ( )

Maestría ( ) Doctorado ( ) Otros ( ) Cual? _______________________________________________________________________________

Área en la que labora___________________________________________________________________________________________________

Parte A: Política Global de Seguridad

A1. ¿Ha tenido en cuenta la posibilidad de perder información

sensible de la organización a causa de algún ataque

informático?:

Si 1 No 2

A2. Cree que la Universidad está protegida ante la intrusión de

hackers informáticos?

Si 1 No 2

A3. ¿Tiene conocimiento de las políticas de seguridad

orientadas a conservar la integridad, confidencialidad y

disponibilidad de la información?

Si 1

No 2 No existe 3

A4. ¿Se hace algún tipo de revisión de los sistemas de

información de forma periódica?

Si 1

No 2

¿Con qué periodicidad? Meses ( )

A5. ¿Existen controles que detecten posibles fallos en la

seguridad?

Si 1 No 2

De qué tipo?

Lógicos 1

Físicos 2

A6. ¿Se ha definido el nivel de acceso de los usuarios?, es

decir, a qué recursos tienen acceso y a qué recursos no.

Si 1 No 2

A7. ¿Se han definido modelos de amenaza de los SI que

permita identificar y planificar de forma correcta la mejor

manera de mitigar las amenazas a las aplicaciones o sistemas

de información de la Universidad?

Si 1 No 2

A8. ¿Utiliza alguna metodología, técnica o método para la

identificación y análisis de vulnerabilidades en los sistemas de

información de la Universidad?

Si 1 No 2

Cuál? _____________________________________________

AUDITORIA INFORMATIVA BASADO EN COBIT V4

SEGURIDAD DE LA INFORMACION

ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA

INFORMACION

33

Parte B: Agresiones Físicas Externas

B1. ¿Existen filtros y estabilizadores eléctricos en la red

eléctrica de suministro a los servidores?

Si 1

No 2

B2. ¿Tienen instaladas fuentes de alimentación redundantes?

Si 1 No 2

B3. ¿Tiene instalados sistemas de alimentación interrumpida?

Si 1

No 2

B4. ¿Está preparada la organización para superar cualquier

eventualidad que interrumpa las actividades habituales que

involucra el uso de las redes de datos o de comunicación?

Si 1

No 2

De qué manera?

______________________________________________________________

___________________________________________________

______________________________________________________________________________________________________

Parte C: Controles de acceso fisco

C1. ¿Existe algún control que impida el acceso físico a los

recursos a personal no autorizado?

Si 1

No 2

Que tipos de controles se utilizan?

_______________________________________________________________________________________________________________ _____________________________________ C2. ¿Existe algún mecanismo físico que impida el uso de los

sistemas de información a dispositivos o equipos no

autorizados?

Si 1

No 2

Parte D: Servidores

D1.¿Existen SO servidores, que impiden el acceso a los datos a

los usuarios no autorizados en la organización?

Si 1

No 2

D2. ¿Están los servidores protegidos en cuanto a inicio de

sesión y accesos a través de la red?

Si 1

No 2

Se accede de forma remota?

Si 1

No 2

Parte E: Copia de Seguridad

E1. ¿Se realizan copias de los datos?

Si 1 No 2

¿Con qué periodicidad?

Diariamente 1

Semanalmente 2 Mensualmente 3

Semestral 4

E2. ¿Se prueba la integridad de las copias de seguridad?

Si 1 No 2

E3 ¿Ha probado restaurar alguna copia de seguridad?

Si 1

No 2

Ha tenido éxito en la restauración

Nunca 1

Pocas Veces 2

Siempre| 3

E4 ¿Existe un procedimiento para obtener las copias de

seguridad?

Si 1

No 2

¿Está automatizado? Si 1 No 2

34

E5. ¿Se almacenan las copias de seguridad en un lugar de

acceso restringido?

Si 1

No 2

E4.¿Se almacena alguna copia fuera de las instalaciones de la

universidad?

Si 1

No 2

Parte F: Mecanismo de identificación y

Autenticación

F1. ¿Existe un procedimiento de Identificación y Autenticación

de los usuarios administradores de los servidores?

Si 1 No 2

F2. ¿Está basado en contraseñas?

Si 1

No 2

F3.¿Las contraseñas se asignan de forma automática por el

servidor?

Si 1

No 2

F4.¿Existe un procedimiento de cambio de contraseñas?

Si 1

No 2

Parte G: Controles de acceso

G1. ¿Existen controles para el acceso a los recursos?

Si 1

No 2

G2.¿Existen ficheros de log o similares que registren los

accesos autorizados y los intentos de acceso ilícitos?

Si 1

No 2

G3.Una vez pasados los filtros de identificación, ¿se han

separado los recursos a los que tiene acceso cada

usuario?

Si 1 No 2

Parte H: Planes de Seguridad y Contingencias

H1. ¿Se ha elaborado un plan de seguridad para salvaguarda

los activos no tangibles (información) de la organización?

Si 1

No 2

H2.¿Existe un responsable o responsables que coordinen las

medidas de seguridad aplicables?

Si 1

No 2

Quienes?

_______________________________________________________________________________________________________________________________________ H4.¿Existe un presupuesto asignado para la seguridad en la

información?

Si 1

No 2

Cuantía

No se asigna recursos 1

Menos de 1 millón 2

Menos de 5 millones 3

Menos de 1 0 millones 4

Mas de 10 millones 5

H5.¿Se ha elaborado un plan de seguridad?

Si 1

No 2

Se aplica realmente en la organizaciones?

Si 1

No 2

35

H6.¿Se han incluido en el mismo los aspectos relacionados con

las comunicaciones?

Si 1

No 2

H7.El mismo personal del Departamento realiza el seguimiento

del plan de seguridad?

Si 1

No 2

H8.¿Existe un contrato de mantenimiento en el que se priorice

la seguridad y los planes de contingencias del software y del

personal informático?

Si 1

No 2

H9.¿Dispone de personal informático involucrado directamente

con la seguridad del sistema?

Si 1

No 2

Parte I: Acceso a Internet

I1.¿Existe una política definida para los accesos a Internet?

Si 1

No 2

I2.¿Se ha explicado claramente a los usuarios esta política?

Si 1

No 2

I3.¿Existe un acceso a Internet corporativo?

Si 1

No 2

I4.¿Está limitado el acceso por puesto?

Si 1

No 2

I5.¿Está limitado el acceso por usuario?

Si 1

No 2

I6.¿Existen controles sobre las páginas accedidas por cada

Puesto o Usuario?

Si 1

No 2

I7.¿Se revisan las páginas accedidas para tomar medidas

contra el usuario que no cumpla sus funciones?

Si 1

No 2

Parte J: Ataques informáticos

K1. ¿A identificado ataques generados desde el interior de la

organización?

Si 1

No 2

Como los evita?

______________________________________________________________________________________________________

______________________________________________________________________________________________________

K2.¿Suele estar informado sobre las ultimas noticias en cuanto

a seguridad?

Si 1

No 2

H3. Cual de loa siguientes tipos de ataques informáticos son

más frecuentes

Virus Phising

Gusanos Malware

Troyanos Keylogger

Drive-By-Download DoS

0-Days Otro

El contenido de esta encuesta sera utilizada exclusivamente para fines académicos en el proceso de

investigación sobre afectaciones de los sistemas informáticos por acción de delitos informáticos.

Realizado por: Gustavo Adolfo Díaz Tovar

36

HALLAZGOS Y EVIDENCIAS

37

Las deficiencias evidenciadas como resultado de la auditoria adelantada por AMAZONAUDITOR inciden en el

desarrollo de los procesos institucionales lo que conlleva a conceptuar la importancia de dar solución a fin de

mejorar la gestión de los procesos adelantados por el departamento TI y dar cumplimiento a los acuerdos y objetivos misionales de la institución.

SITUACIONES ENCONTRADAS:

Situación N°1: Certificación

La Universidad de la Amazonia, obtuvo en la vigencia 2010 la Certificación de Calidad Nacional NTCGP: 1000: 2009 y la

certificación Internacional ISO: 9001: 2008, para todos sus procesos misionales, el Sistema de Gestión de Calidad

permite a la Universidad estructurarse como ente competitivo, organizado y coherente en el desarrollo de su

función misional.

Situación N°2: Conocimiento del SIGC

A pesar de que la Entidad adoptó el modelo de Operación por Procesos dentro del Sistema Integrado de Gestión de la

Calidad y obtuvo en el 2010 por INCONTEC la Certificación de Calidad Nacional NTCGP: 1000: 2009 y la Certificación

Internacional ISO: 9001: 2008, no es evidente un avance prospectivos de su implementación, pues en su gran

mayoría los funcionarios del departamento TI aun no tienen conocimiento del SGC y en algunas áreas no se vienen aplicando los procedimientos. Sin embargo se considera como buenas prácticas que permiten el desarrollo

Institucional.

Situación N°3: Auditorias Anteriores

La Contraloría General de la República, con fundamento en las facultades otorgadas por el artículo 267 de la

Constitución Política, practicó Auditoría Gubernamental con Enfoque Integral modalidad Regular a la UNIVERSIDAD DE LA AMAZONIA, a través de la evaluación de los principios de la gestión fiscal: economía, eficiencia, eficacia y equidad con que administró los recursos puestos a su disposición y los resultados de su gestión en las áreas, actividades o

procesos examinados, el examen del Balance General a 31 de Diciembre de 2010 Y el Estado de Actividad Financiera,

Económica y Social por el año terminado en esa fecha. Dichos estados contables fueron examinados y comparados

con los del año anterior, los cuales fueron auditados por la Contraloría General de la República.

HALLAZGOS ENCONTRADOS:

Hallazgo N°1: Portafolio de Servicios

La universidad de la Amazonia bajo ningún acuerdo, decreto o normatividad establece dentro de sus elementos y funciones un portafolio de servicios orientado a la administración, gestión y control de la información de la universidad, por lo tanto, como producto de la auditoria se desconoció el origen y aprobación de estos servicios

que no definen su procedencia y si componen o no, elementos de extensión y proyección social dentro del

38

departamento TI. Se logró identificar manuales de usuario para 1 de los 38 servicios ofrecidos en este portafolio, el

cual corresponde al servicio SERICE DESKT que permite hacer el registro y seguimiento de las incidencias propias.

Lo anterior ocasionado por deficiencias en la regulación de las funciones y servicios del departamento y la ausencia

de manuales de usuario que permitan la interpretación de los objetivos y funciones de cada servicio.

Hallazgo N°2: Definición de procedimientos

La universidad de la Amazonia, no dio cumplimiento al Decreto 1599 de 2005 en cuanto a la implementación del Sistema de Gestión de Calidad orientado a procesos; adoptado mediante el acuerdo N°22 del 24 de Noviembre de

20008, ya que dentro de la auditoria efectuada no se logró identificar la definición de los procedimientos para dar

cumplimiento a los servicios ofrecidos por el departamento TI en cuanto:

1- Procedimientos de Seguridad de la Información. 2- Procedimientos de Copias de Seguridad. 3- Procedimientos de Actualizaciones Automáticas.

Se deja en evidencia el incumplimiento en la elaboración y aplicación de los procedimientos para el desarrollo de los

servicios del departamento. Lo anterior se debe a la falta de seguimiento por parte de la Oficina de Control Interno y

de la Dirección del Departamento.

Hallazgo N°3: Denominación del Departamento TI.

La Universidad de la Amazonia, no dio cumplimiento al acuerdo 08 del 18 de mayo de 2009 emanado por el consejo

Superior, donde se acuerda la modificación de la denominación de la Oficina de Informática y Sistemas por la de

DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION y su dependencia a la vicerrectoría de investigaciones y

posgrados como lo establece en su artículo 2º :

“ARTÍCULO SEGUNDO. DENOMINACIÓN. Modifíquese la denominación de la Oficina de Informática y Sistemas por la

de DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN, dependiente directamente de la Vicerrectoría de

Investigaciones y Posgrados”

Por lo tanto, se deja en evidencia que a la fecha no se han hecho las respectivos modificaciones al organigrama de la universidad publicada en la página web URL: (http://www.udla.edu.co/v8/acerca-de-la-

entidad/organigrama.html) , incumpliendo con el artículo 8° de la ley 962 de 2005 por la cual se regula los

contenidos de Gobierno en línea y se establece que:

“Los contenidos que el Estado ofrezca por medios electrónicos deben ser vigentes, relevantes, verificables,

completos, que genere algún beneficio para los clientes y que no dé lugar a interpretaciones erradas. De igual forma, se debe evitar cualquier tipo de distorsión o interpretación tendenciosa de la información que va a ser

publicada en medios electrónicos.”

39

Lo anterior ocasionado por la falta de actualización de los contenidos por parte del personal responsable de la

administración de la plataforma y por la mala coordinación entre la secretaria general de la Universidad y el

departamento TI.

Hallazgo N°4: Planeación del Departamento TI.

El departamento de Tecnologías de la Información, no dio cumplimiento al artículo 5 del acuerdo 08 de 2009 emanado por el consejo superior, por medio del cual se modifica parcialmente el Acuerdo 05 de 2002 que adopta la

estructura interna de la Universidad de la Amazonia y se crean el Departamento de Tecnologías de la Información y la Oficina de Graduados, en el mencionado artículo se citan las funciones de cada una de las áreas del

departamento TI a la cual se identificó:

Coordinador del Departamento de Tecnologías de la Información:

El coordinador del departamento TI no dio cumplimiento al artículo quinto (5°) literal 1 el cual establece dentro de

sus funciones: “Desarrollar e implementar el Plan Estratégico del Departamento de Tecnologías de la Información”, dado que en la actualidad se desconoce un plan estratégico para el presente año, como costa el

documento F-8-DE-02-01 que muestra el formato del plan Operativo anual realizado el 22 de octubre de 2008 con

vigencia hasta el 1 de marzo de 2010. Lo anterior ocasionado por la falta de coordinación entre la oficina de

planeación y el departamento TI, agregando la ausencia de seguimiento a estos procesos por parte de la oficina de

control interno.

No se dio cumplimiento al artículo quinto (5°) literal 4 y 9 el cual establece dentro de sus funciones: “Presentar por escrito a su superior el plan operativo anual “ y “Planear y programar cursos de extensión a la comunidad”. Mediante la auditoria se logró identificar que a la fecha 11 de Octubre de 2011, no se encuentra adscrito

a la vicerrectoría de investigaciones ningún curso de extensión a la comunidad que este organizado y liderado por el

departamento TI.

Hallazgo N°5: Funciones del Personal Informático

El personal informático del departamento TI, desconoce parcial y totalmente el contenido de los acuerdos 08 de

2009 y 10 de 2010 del CS, por medio del cual se crea el departamento TI y se adopta la política de desarrollo tecnológico en la Universidad de la Amazonia. Los acuerdos anteriormente citados describen los lineamientos

misionales, funcionales y estructurales que deben orientar el proceder de este departamento, sobre los cuales y como producto de la auditoria se logró identificar:

El personal responsable de la coordinación de salas y soporte técnico desconoce parcialmente de los

elementos misionales del departamento TI y de sus funciones, lo que propende a la existencia de

extralimitaciones en sus funciones y subutilización respecto al deber operativo de este personal.

Se logró evidenciar que el departamento TI no tiene implementado sus funciones institucionales, y se

encuentra subutilizado el personal a cargo de la dirección de este departamento en otras obligaciones no

40

adoptadas por la universidad. Se evidencio que el Director del Departamento TI responde al cargo de

Coordinador del Área de Investigación y desarrollo. Lo anterior ocasionado por el incumplimiento de los

acuerdos establecidos por el CS y la falta de seguimiento por parte de la oficina de control interno, incidiendo en la participación del personal universitario (Estudiantes y Docentes) y por ende el desarrollo

institucional.

Hallazgo N°6: Política de Desarrollo tecnológico

El director del departamento y los coordinadores de las áreas que componen este mismo, desconocen totalmente de

la política de desarrollo tecnológico adoptado mediante el acuerdo 10 de 2010 emanado por el CS, el cual le asigna la

responsabilidad al departamento TI del seguimiento y evaluación de la aplicación de esta política según costa en el

artículo noveno (9°) “ARTÍCULO NOVENO. SEGUIMIENTO Y EVALUACIÓN. La implementación de las políticas de Desarrollo Tecnológico requiere de un proceso de seguimiento y evaluación permanente, por el Departamento de Tecnología de la Información quien definirá los criterios, mecanismos y procedimientos para tal fin.”. Se deja en evidencia el incumplimiento de este artículo, dado que a la fecha el director del

departamento desconoce de la existencia de esta obligación y de la definición de los criterios, mecanismos y

procedimientos para ejercer control.

Hallazgo N°7: Perfiles Profesionales.

La universidad de la Amazonia, no dio cumplimiento a los perfiles establecidos para el cargo de director del área de Investigación y desarrollo, y del área de redes y comunicaciones. Según costa en el documento

CP-A-GT de la caracterización del proceso de Gestión Tecnológica el director del área de investigación y

desarrollo debe ser ingeniero de sistemas con estudios en doctorado y el responsable del área de redes y

comunicaciones debe ser ingeniero electrónico. Con lo cual se incumple a los perfiles ocupacionales.

CARGO PERFIL

Director Departamento Ingeniero de Sistemas

Director área de hardware y

comunicaciones

Ingeniero de Sistemas

Directo área de Software Ingeniero de Sistemas

Coordinador de aplicaciones contables y

financieras

Ingeniero de Sistemas

Administrador de Salas de Computo Ingeniero de Sistemas

Ingenieros área de investigación y

desarrollo

Ingenieros de Sistemas con estudios de

Doctorado

Auxiliares de mantenimiento Técnicos en mantenimiento de equipos de

computo

Secretaria Estudiante de pregrado, experiencia en

digitación de textos, con conocimientos

en informática

Ingeniero de redes y telecomunicaciones Ingeniero Electrónico

41

Auxiliares salas de computo Estudiantes destacados del programa de

Ingeniería de sistemas

Formato CP-A-GT

Hallazgo N°8: Estrategias de Desarrollo Tecnológico

Se evidencio una vez realizado el proceso de encuestas al director y a los coordinadores de las áreas del

departamento, la existencia de convenios y alianzas mediante proyectos y programas anuales, en el cual, se vincula a la comunidad universitaria en el mejoramiento de las herramientas tecnológicas, con organizaciones y

fundaciones como Funtelmed, Colciencias y la Procuraduría General de la Nación como elementos estratégicos en la proyección a nivel local, regional, nacional e internacional para la financiación y cofinanciación de los proyectos que brindan el acceso a herramientas tecnológicas. Por otra parte es muy evidente que dentro del plan operativo del

año 2009 y 2010 no se considera en ninguno de sus ítems metas orientadas a responder a esta política de

desarrollo tecnológico de la universidad consagrado en el artículo séptimo del acuerdo 10 de 2010 “ARTÍCULO SÉPTIMO: ESTRATEGIAS. Las estrategias para el desarrollo tecnológico de la Universidad de la Amazonia son las siguientes: Formulación de proyectos y programas definidos anualmente, que vinculen a la comunidad universitaria en el mejoramiento de las herramientas tecnológicas.

Utilización de la infraestructura de la Universidad de la Amazonia, para la promoción y uso de las tecnologías que están puestas al servicio.

Implementación y fortalecimiento de alianzas estratégicas con entidades del nivel local, regional, nacional e internacional, para la financiación y cofinanciación de los proyectos que brinden el acceso a herramientas tecnológicas.

Conformación de redes para el intercambio de experiencias, conocimiento e información que permita interactuar en todos los aspectos para el mejoramiento tecnológico

Con el fin de incentivar la generación tecnológica la Universidad de la Amazonia establece un reconocimiento que se otorgará anualmente según reglamentación del Consejo Académico, como estímulo a los miembros de la comunidad académica por su aporte en el desarrollo tecnológico. “

Hallazgo N°9: Mapa de Riesgos

La universidad de la Amazonia, no dio cumplimiento al acuerdo 09 de 2010 del CS donde se estable que: “La Universidad de la Amazonia ajustará y actualizará, por lo menos una vez al año, el Mapa de Riesgos como herramienta fundamental de la Administración del Riesgo, con la metodología propuesta por la Guía de la Administración del Riesgo publicada en el portal web universitario, y adoptará, a través de los responsables de cada proceso, sin demora injustificada y en el marco de la viabilidad, medidas de aseguramiento contra la materialización y resultados de los eventos descritos, y de los nuevos cuya ocurrencia pueda preverse” , se logró evidenciar que hasta la fecha no se ha actualizado el mapa de riesgos de la universidad desde el 14 de Diciembre del 2009 lo que incurre en incumplimiento a lo establecido en este acuerdo. Lo anterior ocasionado por la

inoperancia de la oficina de control interno en la administración del riesgo como representante de la dirección del

MECI y como evaluador independiente del Sistema de Control interno de la Institución.

42

Hallazgo N°10: Planes de Mejoramiento

La universidad de la Amazonia, no hace seguimiento periódico al plan de mejoramiento establecido para la gestión

documental, a fin de mantener los archivos de la gestión de la entidad en forma organizada y conforme a los

procedimientos vigente del proceso dentro del SIG de la universidad y normatividad Vigente en la ley general de

archivo (Ley 594/2000). Lo anterior ocasionado por la falta de aplicación del sistema de control interno y de los procedimientos de gestión documental.

Hallazgo N°11: Política Global de Seguridad

El departamento TI, carece de una política global de seguridad que permita garantizar la conservación de los datos y

la integridad de los equipos a disposición de este departamento. Como resultado de la auditoria se logró identificar.

SEGURIDAD PERIMETRAL: Según se constató con el director del departamento, existen revisiones

periódicas (Cada 3 meses) de la configuración de contrafuegos, sistemas de detección de intrusos, proxys

de aplicaciones, filtrado de contenidos y de los sistemas contra el correo basura, que han permitido

determinar la fortaleza frente a intentos de acceso no autorizados, tanto desde el exterior como desde el

interior del claustro universitario. Este hallazgo no se pudo documentar con mayor claridad dado que no

existe un soporte escrito de los procesos de mantenimiento lógico a los controles de la seguridad y se

carece de un historial documental que refleje las acciones tomadas para mejorar la seguridad perimetral.

PRUEBAS DE PENETRACION INTERNA Y/O EXTERNA: El departamento TI y en especial el área de

hardware y comunicaciones carece de un modelo de amenaza que tipifique los posibles ataques de penetración que puedan sufrir los SI y que permita identificar, planificar y actuar de forma asertiva en la

solución de posibles amenazas. Lo anterior ocasionado por la falta de planeación de una política de seguridad para los SI.

PLANES DE CONTINGENCIA: A la fecha 11 de Octubre de 2011, no se pudo evidenciar planes de contingencia

que le permitan a la organización superar cualquier eventualidad que interrumpa las actividades habituales

que involucran el uso de las redes de datos o de comunicaciones. Lo anterior por la falta de coordinación entre la oficina de planeación y el departamento TI en la construcción de planes de contingencia.

Hallazgo N°12: Copias de Seguridad.

El departamento TI, como medida de seguridad realiza diariamente copias de seguridad a la información, pero no se

evidencio la correcta implantación de un sistema de respaldo de la información, que permita su recuperación en

caso de daños en los sistemas, y la ausencia de un plan de contingencia que permita hacer frente, de manera

ordenada, a esos daños. Lo anterior ocasionado por la falta de un plan director de seguridad que recoja los diferentes elementos de seguridad, asi como su adecuada definición y actualización.

43

ANEXOS

44

Como anexos al proceso auditor se hace entrega de un CD-RW con los siguientes documentos

digitales que fueron tenidos en cuenta en la auditoria.

TIPO DESCRIPCIÓN FORMATO

Documento

Informe de Auditoria Gubernamental con enfoque integral modalidad regular Vigencia 2010

PDF

Documentos

Acuerdo 05 de 2004 de CS. Acuerdo 08 de 2009 de CS. Acuerdo 09 de 2010 de CS Acuerdo 10 de 2010 de CS.

PDF

Documento Informe sobre los planes de Mejoramiento

PDF

Documento

Informe presentado a la contraloría general de la republica “Seguimiento planes de mejoramiento”

PDF

Documento Plan Operativo Anual vigencia 2010

PDF

Documento Listado Maestro de Documentos

PDF

Documento Portafolio de Servicios PDF

Documento Ficha Técnica Nodo de Internet y Redes

PDF

Documento Guía de Administración del Riesgo en la Universidad de la Amazonia

PDF

Documento

Informe Ejecutivo Anual- Modelo Estándar de Control Interno .MECI vigencia 2008

PDF

Documento Sistema Integrado de Gestión para las universidades publicas

PDF

Documento

Manual para la Implementación de la estrategia de Gobierno en Línea de la república de Colombia Versión 2010

PDF

Imagen Mapa de procesos- Universidad de la Amazonia

JPG

Documento Mapa de Riesgos Institucional PDF

Documento Normatividad del Gobierno Electrónico en Colombia

PDF

Documento Normograma Universidad de la Amazonia

PDF

45

Imagen Organigrama Uniamazonia PNG

Documento Plan de Capacitación vigencia 2008

PDF

Documento Plan de Compras primer semestre de 2011

PDF

Documento Papeles de Trabajo PDF

Documento Dictamen de la Auditoria PDF