Auditoria Informatica al Departamento de TI

6,123 views

Published on

Trabajo Final de Auditoria Informatica realizada en el 2010

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,123
On SlideShare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
319
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Auditoria Informatica al Departamento de TI

  1. 1. Auditoria del 3 de Septiembre al 13 de Octubre de 2011 Auditor responsable Gustavo Adolfo Díaz Tovar PAPELES DE TRABAJO 1
  2. 2. CONTENIDOINVESTIGACION PREELIMINAR ......................................................................................................................... 4DESCRIPCION DE LA ENTIDAD ......................................................................................................................... 5 RESEÑA [2]........................................................................................................................................... 5DIRECCIONAMIENTO ESTRATEGICO ................................................................................................................... 6 Misión ................................................................................................................................................. 6 Visión ................................................................................................................................................. 6 Valores Éticos ....................................................................................................................................... 6 Principios ............................................................................................................................................ 7 Objetivos ............................................................................................................................................. 7 Funciones ............................................................................................................................................ 8DESARROLLO TECNOLOGICO ........................................................................................................................... 9ORGANIGRAMA ......................................................................................................................................... 10MAPA DE PROCESOS .................................................................................................................................. 11........................................................................................................................................................... 11DESCRIPCION DEL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION .................................................................. 12 Creación[3]........................................................................................................................................ 12 Misión ............................................................................................................................................... 12 ESTRUCTURA DEL DEPARTAMENTO ............................................................................................................. 13 FUNCIONES ......................................................................................................................................... 13 COORDINADOR DEL DEPARTAMENTO DE TI .................................................................................................... 13 DEL AREA DE APLICACIONES ................................................................................................................. 13 DEL AREA DE HADWARE Y COMUNICACIONES ............................................................................................. 14 DEL AREA DE INVESTIGACION Y DESARROLLO ............................................................................................. 14CARACTERIZACION DEL PROCESO .................................................................................................................. 15IDENTIFICACION Y ANALISIS DEL RIESGO .......................................................................................................... 18ADMINISTRACION DEL RIESGO....................................................................................................................... 19 IDENTIFICACION DEL RIESGO .................................................................................................................... 19 ALCANCES .......................................................................................................................................... 20 RIESGOS IDENTIFICADOS ......................................................................................................................... 20 DESCRIPCION DE LOS RIESGOS ................................................................................................................. 21 2
  3. 3. CLASIFICACION DEL RIESGO ..................................................................................................................... 23 SEMAFORIZACION DEL RIESGO .................................................................................................................. 23 MAPA DE RIESGOS DEL DEPARTAMENTO TI .................................................................................................... 25MODELO DE ENCUESTAS.............................................................................................................................. 27HALLAZGOS Y EVIDENCIAS ........................................................................................................................... 36SITUACIONES ENCONTRADAS: ....................................................................................................................... 37 Situación N°1: Certificación ..................................................................................................................... 37 Situación N°2: Conocimiento del SIGC ........................................................................................................ 37 Situación N°3: Auditorias Anteriores ......................................................................................................... 37HALLAZGOS ENCONTRADOS: ......................................................................................................................... 37 Hallazgo N°1: Portafolio de Servicios.......................................................................................................... 37 Hallazgo N°2: Definición de procedimientos ................................................................................................. 38 Hallazgo N°3: Denominación del Departamento TI. ......................................................................................... 38 Hallazgo N°4: Planeación del Departamento TI. ............................................................................................. 39 Hallazgo N°5: Funciones del Personal Informático ......................................................................................... 39 Hallazgo N°6: Política de Desarrollo tecnológico ........................................................................................... 40 Hallazgo N°7: Perfiles Profesionales. ......................................................................................................... 40 Hallazgo N°8: Estrategias de Desarrollo Tecnológico...................................................................................... 41 Hallazgo N°9: Mapa de Riesgos ................................................................................................................ 41 Hallazgo N°10: Planes de Mejoramiento....................................................................................................... 42 Hallazgo N°11: Política Global de Seguridad .................................................................................................. 42 Hallazgo N°12: Copias de Seguridad. .......................................................................................................... 42ANEXOS ................................................................................................................................................. 43 3
  4. 4. INVESTIGACION PREELIMINAR 4
  5. 5. DESCRIPCION DE LA ENTIDADRESEÑA [2]Mediante Acuerdo 004 del 15 de Diciembre de 1970, emanado del Consejo Superior del ITUSCO, se autorizó laapertura de una seccional con sede en Florencia Caquetá. Así, la nueva sede de ITUSCO iniciaba sus primerostrabajos de estudios intermedios a nivel tecnológico en Ciencias Sociales, Lingüística y Literatura, Matemáticas yFísica, Contabilidad y Presupuesto y Topografía; ésta última fue cerrada por el bajo número de estudiantes (una solapromoción de 8 estudiantes).La Ley 13 del 30 de Enero de 1976, transformó el Instituto Técnico Universitario Surcolombiano ITUSCO enUniversidad Surcolombiana, con sede principal en Neiva. Posteriormente según Acuerdo 032 del 13 de junio de 1.977del Consejo Superior, se estableció la Regional Florencia, dependiente de la sede central de Neiva. La dependenciaeconómica y administrativa de la Regional de Florencia, de la Universidad Surcolombiana de Neiva, se convirtió en unobstáculo para la toma de decisiones y la proyección de la misma.Ante la sustentación de los diversos problemas para el desarrollo de la institución, como ente de educaciónsuperior, el 30 de diciembre de 1982, mediante la ley 60, se transformó la regional Florencia de la UniversidadSurcolombiana en Universidad de la Amazonia (UA), como una institución de educación superior, establecimientopúblico del orden nacional, con personería jurídica, autonomía administrativa y patrimonio independiente, adscrito alMinisterio de Educación Nacional; con domicilio en la ciudad de Florencia Caquetá y con las posibilidades deestablecer dependencias seccionales en los lugares de la Amazonía cuyas necesidades así lo exigieran.En mayo de 1983 el Ministerio de Educación nacional le concede reconocimiento institucional, a la universidad de laAmazonia por Resolución No 6533.La primera aproximación que tiene la Universidad de la Amazonia al área de investigaciones se hace con la creacióndel Centro de Investigaciones Surcolombiano, CISNU, con el objetivo de impulsar la actividad investigativa de launiversidad en el marco específico de necesidades del ambiente amazónico. Como apoyo a este centro deinvestigaciones y por Acuerdo 032 del 13 de Junio de 1974, el Consejo Superior creó la estructura orgánica de laUniversidad que ofrece, fuera de la sede de Florencia, dos granjas experimentales para el desarrollo de prácticasacadémicas.En 1984, se reglamentó el Instituto Amazónico de Investigaciones IAMI, con el objetivo de fomentar, coordinar yapoyar la práctica investigativa de los docentes y estudiantes de la Universidad. En la medida que ha crecido y laestructura de la universidad ha cambiado, también se han reestructurado sus dependencias. Así a partir del año1994 se creó la Vicerrectoría de Investigaciones, instancia académica que tiene como función básica la dirección,planificación y fomento de la investigación en la universidad.__________________________________________________[2] Esta información se publicó en la página institucional de la Universidad de la Amazonia, sección Acerca de la Entidad, en laURL http://www.uniamazonia.edu.co/v8/index.php/acerca-de-la-entidad/historia.html 5
  6. 6. A partir del año 1989 por acuerdo 064 del Consejo Superior se define, como una de las políticas de la universidad, laimplementación de programas de Educación Superior en la metodología Abierta y a Distancia, en los lugares de laregión Amazónica Colombiana, cuyas necesidades sociales de desarrollo lo exijan.En el año 1994 se inicia el desarrollo de programas en esta modalidad, en convenio con la Universidad Mariana dePasto, con la implementación de la tecnología en Comercio y Contaduría. De igual manera, en este año, se desarrollóla tecnología en Administración Municipal en convenio con la Escuela Superior de Administración Pública ESAP.En el segundo semestre del año 1996 se establece el convenio con la Universidad del Tolima .DIRECCIONAMIENTO ESTRATEGICOMisiónLa Universidad de la Amazonia, institución estatal de educación superior del orden nacional, creada por la ley 60 de1982 para contribuir especialmente en el desarrollo de la región amazónica, está comprometida con la formaciónintegral de un talento humano idóneo para asumir los retos del tercer milenio a través de una educación de calidad,amplia y democrática, a nivel de pregrado, posgrado y continuada, que propicie su fundamentación científica,desarrolle sus competencias investigativas, estimule su vinculación en la solución de la problemática regional ynacional y consolide valores que promuevan la ética, la solidaridad, la convivencia y la justicia social.VisiónLa Universidad de la Amazonia será una institución de educación superior en permanente acreditación social,reconocida y líder en la construcción, apropiación, adecuación, implementación y difusión de procesos académicos,científicos, investigativos y de proyección a la comunidad; preferencialmente encaminados a la búsqueda deldesarrollo humano sostenible de la región amazónica, de manera comprometida y articulada a la consolidación delproyecto de nación contemplado en la Constitución Nacional.Valores ÉticosMediante acuerdo 17 del 9 de agosto de 2007 el Consejo Superior de la Universidad de la Amazonia, aprobó la Catade Valores Éticos:HONESTIDAD: Elemento fundamental en las actuaciones de la comunidad universitaria, materializado enSINCERIDAD: La veracidad en el desarrollo de los principios y objetivos institucionales aplicados a la formaciónintegral de los ciudadanos de la región, como garantía de confianza social.RESPONSABILIDAD: Es el compromiso social y ambiental y la vocación con que cada uno de los miembros de lacomunidad universitaria, asumirá la parte que le corresponde hacer y la obligación ética de reparar un daño cuandose haya cometido un yerro 6
  7. 7. TRANSPARENCIA: Es el componente ético que identificará a cada servidor de la Institución de tal forma que suactuación sea muestra de credibilidad irrefutableEQUIDAD: Es la disposición de ánimo que moviliza a la Institución para dar a cada cual lo que merece. Pero tambiénexpresa de manera directa el sentido de justicia con que actuará cada uno de los miembros de la comunidad.TOLERANCIA: Valor de gran relevancia que implica atender y respetar las ideas y principios de la comunidad engeneral buscando siempre la comprensión y la concertación, propiciando un ambiente agradable y un trabajo feliz.SOLIDARIDAD: Es el apoyo y participación compartida para alcanzar los objetivos propuestos y facilitar el trabajoen equipo.CONVIVENCIA: Es la resultante del respeto mutuo, la lealtad y la adaptación a los diferentes grupos humanos ysituaciones del quehacer institucional que exigen la comprensión, la felicidad y la paz ciudadana, propendiendo por laconstrucción de vivencias pacificas y democráticas dentro de la sociedad.Principios  Armonización de la Universidad del pensamiento científico con la particularidad de las formas culturales y los modos de vida que existan en Colombia y en la región amazónica.  Búsqueda de la verdad, el ejercicio libre y responsable de la critica de la cátedra y del aprendizaje.  La práctica de la autonomía universitaria consagrada en la constitución y la ley.  La realización plena de los derechos y deberes fundamentales, sociales, económicos y culturales, cuyo ejercicio y disfrute supone el acceso a los códigos fundamentales de la cultura, que son el resultado de la acción educativa.  Calidad total en la prestación de sus servicios a la comunidad.Objetivos  Formar los recursos humanos, técnicos, científicos y culturales indispensables para el desarrollo socio- económico, político y cultural de la región amazónica.  Promover el conocimiento y la reafirmación de los valores de la nacionalidad colombiana, la expansión de las áreas de creación y goce de la cultura, y la conservación del patrimonio cultural del país.  Fomentar la investigación con énfasis en el área amazónica, con miras a desarrollar el conocimiento científico, tecnológico y cultural, prioritariamente en aquellos campos del saber que posibiliten la transformación sustentable de los diversos sistemas naturales y culturales de su área de influencia. 7
  8. 8.  Desarrollar procesos de concertación y cooperación institucional que permitan intercambiar información, concertar acuerdos y entendimientos operativos y realizar esfuerzos de acciones armónicas de la respectiva cuenca amazónica.  Establecer mecanismos operativos que redunden en la preservación de un medio ambiente sano y fomentar la educación y la cultura ecológicas, para la conservación y la utilización de los recursos de la Amazonia.  Promover la formación y consolidación de las comunidades académicas y la articulación con sus homólogas a nivel nacional e internacional.  Propender por la integración de las poblaciones amazónicas al proceso nacional de desarrollo, preservando sus valores culturales y sociales, particularmente los de la población indígena como elemento social de la Amazonia.  Producir conocimientos en el ámbito de lo educativo, y desarrollar procesos de innovación educativa.  Contribuir al logro de mayores niveles de calidad educativa del país.  Propiciar el desarrollo científico y tecnológico en las áreas de su competencia.  Contribuir a la formación de ciudadanos a partir de una pedagogía y una práctica de la Constitución Política.  Contribuir al desarrollo de la identidad del profesional de la Universidad de la Amazonia y a su valoración en el contexto social.  Servir de medio para planear el equilibrio ecológico de la región y la preservación de las especies, a fin de que sirva como epicentro de consulta y coordinación para las entidades estatales y particulares que tengan a su cargo dichas funcionesFuncionesPara el logro de los objetivos anteriores, la Universidad de la Amazonia deberá cumplir con las siguientes funciones,orientadas a la Docencia, la Investigación y la Extensión, a saber:Ofrecer programas académicos de pregrado y postgrado, entendidos como el conjunto de experiencias deaprendizaje estructuradas, para el desempeño eficaz de ocupaciones que permitan el ejercicio cualificado de unaprofesión o disciplina. 8
  9. 9. Fomentar la investigación y la creatividad, orientadas hacia la sistematización, producción, aplicación y difusión delconocimiento con el objeto de promover el desarrollo integral de la región.,Ofrecer programas de extensión, dirigidos al estudio y solución de las necesidades y problemas de la comunidad através del desarrollo de planes y programas de actualización y cualificación en la dirección, orientación y evaluaciónde los sistemas de producción y bienestar colectivo y el adecuado aprovechamiento de sus recursos.Adelantar programas de bienestar universitario, entendidos como el conjunto de actividades que se orientan aldesarrollo físico, psico-afectivo, espiritual y social de la comunidad universitaria.DESARROLLO TECNOLOGICOLa Universidad de la Amazonia cuenta con una infraestructura propia de hardware y de software. De software, conla plataforma Académusoft; esta plataforma gestiona de principio a fin todos los procesos académicos, y Gestasoft;que se encarga de gestionar de forma integrada con la academia los procesos financieros y contables. Además secuenta con desarrollos propios que brindan soluciones puntuales a necesidades institucionales, como reservas deespacios físicos, atención al usuario, mesas de ayuda, y en la actualidad con la implementación del sistemasCHAIRA, entre otros. De hardware,con una infraestructura propia de servidores y de redes que permite mantenerconectividad con los dispositivos instalados por todo el campus universitario y sus sedes más cercanas.Mediante acuerdo 08 de 2009 del honorable Consejo Superior, se creó el Departamento de Tecnologías de laInformación, responsable directo de gestionar el área de las TIC en la institución. En la actualidad el mencionadodepartamento está ajustando sus procesos de forma transversal con el SIGC y con ITIL V3 para obtener lacertificación ISO 20000. 9
  10. 10. ORGANIGRAMARef: Organigrama Universidad de la Amazonia [consultado 8/04/2011]. Disponible en http://www.uniamazonia.edu.co/v8/index.php/acerca-de-la-entidad/organigrama.html 10
  11. 11. MAPA DE PROCESOSLa universidad de la Amazonia dentro de sus SIGC ha definido cuatro macro-procesos orientados ala administración, gestión, control y evaluación de los procesos asociados a la organización, dentrode los cuales encontramos los PROCESOS DE APOYO que sirven a la gestión de los procesos.Dentro de este macro-proceso encontramos el PROCESO DE GESTION TECNOLOGICO queinvolucra la consecución, administración, planeación y control de los recursos e infraestructuratecnológica conque la universidad de la Amazonia cuenta mediante el Departamento TI que es eldirecto responsable del actuar de este proceso. 11
  12. 12. DESCRIPCION DEL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACIONCreación[3] Mediante Acuerdo 62 del 29 de noviembre de 2002, el Consejo Superior adoptó el Estatuto General de laUniversidad y en su Título IV, Capítulo II, estableció la estructura interna básica, ordenando que la programación delas diferentes unidades y dependencias que integran la Universidad de la Amazonia, deberán ser definidas en laestructura orgánica interna adoptada mediante Acuerdo de esta misma instancia.La Estructura Interna de la Universidad de la Amazonia se expidió mediante Acuerdo Superior número 5 del 26 defebrero de 2004, consagra en su artículo octavo y siguientes, el carácter, la estructura y funciones de la Oficina deInformática y Sistemas de la Universidad de la AmazoniaEn procura de fortalecer la planificación y gestión general de la infraestructura tecnológica de la institución paraservir de apoyo a los procesos de docencia, investigación y proyección social y de esta forma contribuir alcumplimiento de la misión institucional, se hace necesario modificar el artículo octavo y siguientes en cuanto a ladenominación, estructura, carácter y funciones de la Oficina de Informática y Sistemas que en adelante sedenominará Departamento de Tecnologías de la Información. En razón a que en el Acuerdo de estructura orgánicade la institución, no se hace mención a una dependencia que se encargue de realizar el seguimiento y apoyo a losgraduados de la Universidad, se hace necesario organizar una oficina al interior de la misma, para crear, mantener,mejorar y promocionar las relaciones Universidad-Graduados, con fines académicos, investigativos, administrativos,laborales y culturales, teniendo en cuenta que uno de los factores de calidad de los programas académicos es larelación organizada y sistemática entre la Universidad y sus graduados.MisiónEl Departamento de Tecnologías de la Información de la Universidad de la Amazonia tiene como misión laplanificación y gestión general de la infraestructura tecnológica de la institución, para servir de apoyo a losprocesos de docencia, investigación y proyección social y de esta forma contribuir al cumplimiento de la misióninstitucional______________________________________[3] Acuerdo 08 de 2009 dado por el Consejo Superior URL:http://apps.uniamazonia.edu.co/documentos/navega.php?PHPSESSID=rmv73k7d7irfng15kuiiuhpc61&dir=.%2FConsejo%20Superior%2FAcuerdos%2F2009 12
  13. 13. ESTRUCTURA DEL DEPARTAMENTOEl Departamento de Tecnologías de la Información tendrá la siguiente conformación:  Coordinación del Departamento de Tecnologías de la Información  Un área de aplicaciones  Un área de hardware y comunicaciones  Un área de investigación y desarrolloFUNCIONESCOORDINADOR DEL DEPARTAMENTO DE TI 1. Desarrollar e implementar el Plan Estratégico del Departamento de Tecnologías de la Información. 2. Gestionar la consecución de recursos para el desarrollo de proyectos informáticos. 3. Presentar y desarrollar las propuestas para el mejoramiento informático de las áreas académicas y administrativas de la universidad. 4. Presentar por escrito a su superior el plan operativo anual 5. Aplicar las directrices de los entes administrativos orientados al Departamento de Tecnologías de la Información. 6. Velar y responder por la seguridad en la trasmisión de datos. 7. Administrar y velar por la correcta conservación de los elementos entregados para el desarrollo de sus funciones. 8. Brindar asesoría a la comunidad académica en materia informática. 9. Planear y programar cursos de extensión a la comunidad. 10. Coordinar de manera permanente y sistemática con las áreas de su responsabilidad para el óptimo desempeño de sus funciones. 11. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia.DEL AREA DE APLICACIONES 1. Velar por el normal y permanente funcionamiento de las aplicaciones de la Universidad de la Amazonía: (i) Academusoft, (ii) Base de datos, (iii) SIIF, (iv) Gestasoft y los demás aplicativos que adquiera y/o desarrolle la institución 2. Realizar la administración de los aplicativos contables y financieros de la institución. 3. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia 13
  14. 14. DEL AREA DE HADWARE Y COMUNICACIONES 1. Velar por el normal y permanente funcionamiento de la infraestructura de hardware y comunicaciones de la Universidad de la Amazonia. 2. Administrar las salas de cómputo, recursos informáticos, redes y telecomunicaciones de la Universidad. 3. Prestar soporte técnico preventivo y correctivo a los equipos de cómputo de la institución. 4. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia.DEL AREA DE INVESTIGACION Y DESARROLLO 1. Desarrollar software de acuerdo a las necesidades de la Universidad 2. Efectuar los procesos de análisis, diseño, implementación y pruebas del software requerido por la institución. 3. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia 14
  15. 15. CARACTERIZACION DEL PROCESO 15
  16. 16. 16
  17. 17. 17
  18. 18. IDENTIFICACION Y ANALISIS DEL RIESGO 18
  19. 19. ADMINISTRACION DEL RIESGOPara la identificación y priorización del riesgo se toma como guía la GU-E-GC-01 que se encuentra en ladocumentación del sistema de Gestión de Calidad adoptado por la universidad de la amazonia basado en el acuerdo09 de 2010 del consejo superior donde se le asigna a la oficina de planeación la elaboración de esta guía y suimplementación en toda la institución y se establecen los formatos, procesos de clasificación del riesgo, procesosde análisis del riesgo, calificación del riesgo, evaluación del riesgo y valoración del riesgo a fin de estar acorde a lascondiciones establecidas dentro del SIGC.En base a la metodología COBIT Vrs 4 sobre la cual se realiza esta auditoria se modifica los controles adoptados enesta guía como lo son (Preventivos, Detectivo y Correctivo) por: 1. Efectividad: Actúa para determinar el grado de cumplimiento dentro de los tiempos y parámetros establecidos por los acuerdos, planes o políticas de mejor continua del riesgo. 2. Disponibilidad: Permite determinar el grado de accesibilidad y conocimiento de la situación por parte de los involucrados en el proceso. 3. Cumplimiento: Grado de cumplimiento a los acuerdos, planes y políticas.IDENTIFICACION DEL RIESGOLa identificación del riesgo se realizó mediante el proceso de investigación preliminar y la entrevista a los actoresinvolucrados en el proceso de GESTION TECNOLOGICA en el departamento TI, basado tanto en el resultado delanálisis del contexto estratégico como en el proceso de planeación de las medidas de control para garantizar laseguridad de la información y de los procedimientos. La identificación del riesgo se basó en el formato: MACRO PROCESOS- PROCESOS – DOMINIO COBIT- NUMERO DE RIESGOEl Decreto 1599 de 2005 define la identificación del riesgo como Elemento de Control, que posibilita conocer loseventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión,estableciendo los agentes generadores, las causas y los efectos de su ocurrencia.La identificación de los riesgos se realiza a nivel del planeación,componente de direccionamiento estratégico,identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el logro de losobjetivos y el cumplimiento de los acuerdos. Es la base del análisis de riesgos que permite avanzar hacia unaadecuada implementación de políticas que conduzcan a su control. 19
  20. 20. ALCANCESLa identificación del riesgo permite visualizar los factores externos e internos que afectan la seguridad de la funcióninformática en relación al cumplimiento de la misión institucional, de sus objetivos, políticas y acuerdos a través dela observación y verificación de los procedimientos organizacionales permitiendo: 1. Determinar las causas (medios, circunstancias y agentes internos o externos) de las situaciones riesgosas para la entidad. 2. Describir los riesgos (posibilidad de ocurrencia de un evento) con sus características generales o la forma en que se observan o manifiestan. 3. Precisar los efectos (consecuencias) que los riesgos puedan ocasionar a la Universidad.RIESGOS IDENTIFICADOS N° IDENTIFICACION RIESGO Incumplimiento de los acuerdos 1 PA-GT-PO-R1 institucionales Incumplimiento a los acuerdos de 2 PA-GT-PO-R2 certificación ISO 9001- 2008 y Norma Itil V3 Desconocimiento de la normatividad por 3 PA-GT-PO-R3 parte del personal informático 4 PA-GT-PO-R4 Seguimiento a los planes de mejora. Mala aplicación del sistema de Control 5 PA-GT-PO-R5 interno, 6 PA-GT-PO-R6 Perdida de Información Carencia de planes de contingencia del 7 PA-GT-PO-R7 personal informático Carencia de planes de contingencias de 8 PA-GT-PO-R8 software 9 PA-GT-PO-R9 Carencia de planes de contingencia 20
  21. 21. DESCRIPCION DE LOS RIESGOSPROCESO OBEJTIVO PROCESO DESCRIPCION DEL RIESGO CLASIFICACION HECHO GENERADOR CAUSA EFECTOS PA-GT-PO-R1: Incumplimiento de Personal que labora Desconocimiento de los Pérdida de credibilidad. los acuerdos institucionales por en el departamento acuerdos, políticas y/o Incurrir en sanciones por CUMPLIMIENTO parte del Departamento TI, TI. reglamentos. incumplimiento. Personal que labora Desconocimiento del SIGC. Sanciones. en el departamento Desconocimiento de la Normas Perdida de certificación. PA-GT-PO-R2:Incumplimiento de TI, ITIL V3 aplicada al contexto Mala imagen institucional. las normas itilv3 en los CUMPLIMIENTO universitario. procedimientos. Ausencia de capacitación. Mala interpretación de la norma. GESTION TECNOLOGICA Planificar y Mala operatividad de Ausencia de políticas de Sanciones. gestionar la PA-GT-PO-R3:Desconocimiento la oficina de control capacitación sobre la Perdidas económicas. infraestructura por parte de los funcionarios de interno. normatividad. Mala calidad del servicio. tecnológica, para las políticas, acuerdos y OPERATIVO Indisponibilidad del documento de servir de apoyo a los normativas que intervienen al la norma. procesos de la Departamento TI. Mala gestión documental. institución y de esta forma contribuir al PA-GT-PO-R4:Ausencia de planes Coordinador del Falta de gestión y cumplimiento Perdida de información. cumplimiento de la de mejora que garanticen la Departamento TI y de las políticas de gestión Perdida de confiabilidad. misión institucional. ESTRATEGICO seguridad, acceso y uso de la oficina de planeación tecnológicas establecidas en el Daños físicos. información Acuerdo 10 de 2010 Perdidas económicas. PA-GT-PO-R5:Falta de aplicación Oficina de control Falta de seguimiento a los Incumplimiento de los del sistema de control interno a interno procedimientos ejercidos por el acuerdos. los procedimientos de gestión OPERATIVO departamento TI. Malos seguimiento y tecnológico. Desarticulación del deber hacer evaluación. y el hacer. 21
  22. 22. PA-GT-PO-R6:Perdida de Infraestructura Mala infraestructura eléctrica y Mala calidad del servicio.información eléctrica y seguridad tecnológica. Perdidas económicas. TECNOLOGIA física. Ausencia de planes de Daños físicos en Hardware y restauración y backup. Software.PA-GT-PO-R7: Riesgo derivado de Personal que labora Acceso no autorizado. Mala calidad en el servicio.la actuación del factor humano del dentro del Ingeniería social. Incumplimiento a las normas.área de sistemas, ya sea del OPERATIVO departamento TI Ausencia de claridad de laspersonal, de los usuarios, o de los funciones del personal queadministradores. labora dentro del Departamento.PA-GT-PO-R8:Actualización del Periodos prolongados de Perdidas económicas.software instalado, piratería y actualización del software Virus informáticos.falta de licencias en los software. Área de hardware y instalado. Daños en las OPERATIVO comunicaciones Instalación de software sin configuraciones. licencia.PA-GT-PO-R9: No existe ningún Coordinador del Ausencia de planes de Perdidas económicas.plan de contingencia, ni un Departamento TI y contingencia. Perdidas de información.documento similar en donde se oficina de No inclusión dentro del mapa decontemplen medidas preventivas ESTRATEGICO planeación. riesgo anual.relacionadas con la seguridad de Ausencia en el plan opertavio.la información del DepartamentoTI. 22
  23. 23. CLASIFICACION DEL RIESGOSiguiendo la guía de administración del riesgo establecido por la afina de planeación de la Universidad de laamazonia se definen los valores cuantitativos que permitirán valorar el impacto y la probabilidad de los riesgos deacuerdo a la siguiente tabla: IMPACTO PROBABILIDAD De acuerdo a las consecuencias que se pueden Describe la posibilidad de ocurrencia del riesgo; ocasionar a la Universidad con la materialización del si este se ha materializado medida en criterios riesgo identificado se asignan los siguientes valores de frecuencia. cualitativos al impacto. Ítem Valor Ítem Valor Leve 5 Baja 1 Moderado 10 Media 2 Catastrófico 20 Alta 3SEMAFORIZACION DEL RIESGO CRITERIO VALOR Moderado Amarillo (5 -10) Importante Verde (15 – 20) Ina ceptable Rojo (30 – 60) IMPACTO LEVE MODERADO CATASTROFICO (5) (10) (20) ALTA 15 30 60 PROBABILIDAD (3) MEDIA 10 20 40 (2) BAJA 5 10 20 (1) 23
  24. 24. De acuerdo a la clasificación anterior, los riesgos identificados en el departamento TI se clasifican en: PROBABILIDAD Vs IMPACTO LEVE MODERADO CATASTROFICO PA-GT-PO-R1 ALTA No aplica No aplica PA-GT-PO-R3 PA-GT-PO-R6 MEDIA No aplica PA-GT-PO-R5 PA-GT-PO-R9 PA-GT-PO-R4 BAJA PA-GT-PO-R2 PA-GT-PO-R8 PA-GT-PO-R7 24
  25. 25. MAPA DE RIESGOS DEL DEPARTAMENTO TI VALORACION VALORACION PROCESO RIESGO PROBABILIDAD IMPACTO CONTROLES EXISTENTES DEL RIESGO CON ACCION DE TRATAMIENTO RESPONSABLE DEL RIESGO CONTROLES Implementar controles que Alta Catastrófico Inaceptable Inaceptable Personal del PA-GT-PO-R1 reduzcan el impacto y la 3 20 60 No existen controles Departamento TI probabilidad del riesgo Baja Leve Moderado No existen controles Moderado Implementar controles que Coordinador del PA-GT-PO-R2 1 5 5 reduzcan el impacto Departamento TI GESTION TECNOLOGICA Implementar controles que Alta Catastrófico Inaceptable No existen controles Inaceptable Personal del PA-GT-PO-R3 reduzcan el impacto y la 3 20 60 Departamento TI probabilidad del riesgo Implementar controles que Baja Catastrófico Importante No existen controles Importante Oficina de PA-GT-PO-R4 reduzcan el impacto y 1 20 20 Planeación puedan evitar el riesgo Implementar controles que Media Moderado Importante No existen controles Importante reduzcan el impacto y Oficina de Control PA-GT-PO-R5 2 10 20 puedan evitar el riesgo interno 25
  26. 26. Adecuación de la red Los controles existentes son Media Catastrófico Inaceptable Inaceptable eléctrica y documentación del Coordinador delPA-GT-PO-R6 efectivos pero no están 2 20 40 sistema automatizado de Departamento TI documentados. backup Implementar controles que Baja Catastrófico Importante No existen controles Importante Personal delPA-GT-PO-R7 reduzcan el impacto y 1 20 20 Departamento TI puedan evitar el riesgo Implementar controles que Área de Baja Moderado Moderado No existen controles ModeradoPA-GT-PO-R8 reduzcan el impacto y hardware y 1 10 10 puedan reducir el riesgo comunicaciones Implementar controles que Media Catastrófico Inaceptable No existen controles Inaceptable Oficina dePA-GT-PO-R9 reduzcan el impacto y la 2 20 40 Planeación probabilidad del riesgo 26
  27. 27. MODELO DE ENCUESTAS 27
  28. 28. ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION AUDITORIA INFORMATIVA BASADO EN COBIT V4Datos del encuestado (A la fecha de diligenciamiento)Dependencia: _________________________________________________________________________________________________________Cargo: _____________________________________________________ Nivel de Formación: Técnico ( ) Pregrado ( ) Especialización ( )Maestría ( ) Doctorado ( ) Otros ( )Cual? _______________________________________________________________________________Área en la que labora___________________________________________________________________________________________________Parte A. Conocimiento Organizacional y Misional del Departamento TI.1. Conoce cuál es la Misión del Departamento TI? Menciones algunos _____________________________________ Si 1 No 2 __________________________________ __________________________________Cuál? _________________________________________________________________________________________________________ 4. Los objetivos que tiene establecidos el__________________________________ departamento TI están alineados a los objetivos__________________________________ Misionales de la Universidad?2. Conoce de las políticas de desarrollo tecnológico de Si 1 No 2 la universidad de la Amazonia adoptados por el acuerdo 10 de 2010 5. Las políticas de TI están acorde con el plan de Si 1 calidad de la organización (SIGC). No 2 __________________________________________________ Indique dos de ellas, _____________________________________________________________________________________________________ _____________________________________________________________________________________________________ _______________________________________________________________________________________________ 6. En la actualidad el Departamento TI tiene ajustado___________________________________________________ todos sus procesos de forma transversal con el___________________________________________________ SIGC y con ITIL V3_________________________________________________ Si 1 No 23. Conoce de los objetivos del Departamento TI? 7. Dentro del mapa de procesos establecidos en el Si 1 SIGC, en cual Macro-procesos está involucrado No 2 directamente el departamento TI. 28
  29. 29. La implementación y administración de servicios TI de calidad, que Estratégico 1 cubran las necesidades de la institución Misional 2 De Apoyo 3 Evaluación 4 9. Tiene conocimiento de las funciones de su cargo, En todos 5 establecidas según el acuerdo 08 de 2009 emanado por consejo superior. 8. El objetivo del proceso de Gestión Tecnológica al que Si 1 responde el Departamento TI es: No 2 Mencioné tres de ellas, El desarrollo de las actividades administrativas y tecnicas ________________________________________________________ tendientes a la planeacion, manejo y organizacion de la documentacion ________________________________________________________ producida y recibida por la universidad de la amazonia, desde su origen hasta su destino final, facilitando su utilización y conservación. ________________________________________________________ Planificar y gestionar la infraestructura tecnológica, para servir de ________________________________________________________ apoyo a los procesos de la institución y de esta forma contribuir al cumplimiento de la misión institucional. ________________________________________________________ ________________________________________________________ Parte A. Planeación y organización. _____________________________________10. Con que periodicidad se formulan los planes _____________________________________ operativos del departamento TI? 13. Dentro de las funciones del departamento esta: Cada 3 Meses 1 Cada 6 Meses 2 “Planear y programar cursos de extensión a la Cada 12 Meses 3 comunidad”. Cada cuanto se realizan estos cursos. Más de 12 Meses 4 Nunca se ha hecho 1 Cada 3 Meses 211. Que elementos o acciones se llevan a cabo desde la Cada 6 Meses 3 planeación operativa para responder por la seguridad Cada 12 Meses 4 de la información ante agentes internos o externos, Más de 12 Meses 5 físicos o lógicos. _____________________________________ _____________________________________ Quienes son los responsables de orientarlos _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________12. Desde la planeación liderada por el departamento como responden a la necesidad de servicio de 14. Bajo qué criterios se selección el personal seguridad de la información. (Portafolio de Servicios) responsable de orientarlo. _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________ 29
  30. 30. _____________________________________ _____________________________________ _____________________________________ _____________________________________ Está reglamentada esta elección, Si 1 No 2 Realizado por: Gustavo Adolfo Díaz Tovar15. Con que periodicidad se asesora a los usuarios sobre el correcto manejo de las herramientas tecnológicas. Nunca se ha hecho 1 Cada 3 Meses 2 Cada 6 Meses 3 Cada 12 Meses 4 Más de 12 Meses 516. Existen proyecto en formulación y/o ejecución que permiten alianzas estratégicas con entidades del nivel regional, nacional e internacional para la financiación y cofinanciación de los proyectos que brindan el acceso a herramientas tecnológicas. Si 1 No 2 Cuáles? _____________________________________ _____________________________________ _____________________________________ _____________________________________ _____________________________________17. Con que periodicidad se identifican los riesgos que afectan al departamento TI? Cada 3 Meses 1 Cada 6 Meses 2 Cada 12 Meses 3 Más de 12 Meses 418. Como desarrolla el Departamento TI el Seguimiento y Evaluación de la implementación de las políticas de Desarrollo tecnológicos en la Universidad. _____________________________________ _____________________________________ _____________________________________ 30
  31. 31. ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION AUDITORIA INFORMATIVA BASADO EN COBIT V4 CHEKLISTDatos del encuestado (A la fecha de diligenciamiento)Dependencia: _________________________________________________________________________________________________________Cargo: _____________________________________________________ Nivel de Formación: Técnico ( ) Pregrado ( ) Especialización ( )Maestría ( ) Doctorado ( ) Otros ( )Cual? _______________________________________________________________________________Área en la que labora___________________________________________________________________________________________________Parte A. Planeación. 1. El Departamento de tecnologías de la información cuenta con políticas establecidas en TI? 6. En los últimos 12 meses se ha realizado algún tipo de auditoria a este departamento? Si 1 No 2 Si 1 No 2 2. Se ha realizado una planificación estratégica del De qué tipo? adecuado uso de las TI? Interna 1 Si 1 Externa 2 No 2 7. Existe planes de contingencia del software, de la red 3. Existe un plan operativo anual? y del personal informático? Si 1 No 2 Si 1 No 2 4. Existe un seguimiento continuo a la política de desarrollo tecnológico y planes operativos anuales? Quien elabora estos planes de contingencia en el Si 1 departamento? No 2 __________________________________________________ De qué manera hacen este seguimiento? _______________________________________________________________________________________ ___________________________________________________________________________________________________________________________ 8. Sus funciones se encuentran reglamentadas por alguna_____________________________________ instancia o dependencia de la universidad? 5. Se cuenta con un plan de infraestructura de redes Consejo Superior 1 de datos y eléctrico? Oficina de Control Interno 2 Oficina de División y Servicios 3 Si 1 Coordinar de Departamento 4 No 2 31
  32. 32. ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION AUDITORIA INFORMATIVA BASADO EN COBIT V4 SEGURIDAD DE LA INFORMACIONDatos del encuestado (A la fecha de diligenciamiento)Dependencia: _________________________________________________________________________________________________________Cargo: _____________________________________________________ Nivel de Formación: Técnico ( ) Pregrado ( ) Especialización ( )Maestría ( ) Doctorado ( ) Otros ( ) Cual? _______________________________________________________________________________Área en la que labora___________________________________________________________________________________________________Parte A: Política Global de SeguridadA1. ¿Ha tenido en cuenta la posibilidad de perder información A5. ¿Existen controles que detecten posibles fallos en lasensible de la organización a causa de algún ataque seguridad?informático?: Si 1 No 2 Si 1 No 2 De qué tipo? Lógicos 1A2. Cree que la Universidad está protegida ante la intrusión de Físicos 2hackers informáticos? A6. ¿Se ha definido el nivel de acceso de los usuarios?, es Si 1 decir, a qué recursos tienen acceso y a qué recursos no. No 2 Si 1A3. ¿Tiene conocimiento de las políticas de seguridad No 2orientadas a conservar la integridad, confidencialidad ydisponibilidad de la información? A7. ¿Se han definido modelos de amenaza de los SI que permita identificar y planificar de forma correcta la mejor Si 1 manera de mitigar las amenazas a las aplicaciones o sistemas No 2 de información de la Universidad? No existe 3 Si 1 No 2A4. ¿Se hace algún tipo de revisión de los sistemas deinformación de forma periódica? A8. ¿Utiliza alguna metodología, técnica o método para la identificación y análisis de vulnerabilidades en los sistemas de Si 1 información de la Universidad? No 2 Si 1¿Con qué periodicidad? Meses ( ) No 2 Cuál? _____________________________________________ 32
  33. 33. Parte B: Agresiones Físicas Externas Parte D: ServidoresB1. ¿Existen filtros y estabilizadores eléctricos en la red D1.¿Existen SO servidores, que impiden el acceso a los datos aeléctrica de suministro a los servidores? los usuarios no autorizados en la organización? Si 1 Si 1 No 2 No 2B2. ¿ Tienen instaladas fuentes de alimentación redundantes? D2. ¿Están los servidores protegidos en cuanto a inicio de sesión y accesos a través de la red? Si 1 No 2 Si 1 No 2B3. ¿Tiene instalados sistemas de alimentación interrumpida? Se accede de forma remota? Si 1 No 2 Si 1 No 2B4. ¿Está preparada la organización para superar cualquiereventualidad que interrumpa las actividades habituales que Parte E: Copia de Seguridadinvolucra el uso de las redes de datos o de comunicación? E1. ¿Se realizan copias de los datos? Si 1 No 2 Si 1 No 2De qué manera?______________________________________________________________ ¿Con qué periodicidad?______________________________________________________________________________________________________ Diariamente 1___________________________________________________ Semanalmente 2 Mensualmente 3Parte C: Controles de acceso fisco Semestral 4C1. ¿Existe algún control que impida el acceso físico a los E2. ¿Se prueba la integridad de las copias de seguridad? recursos a personal no autorizado? Si 1 Si 1 No 2 No 2 E3 ¿Ha probado restaurar alguna copia de seguridad? Que tipos de controles se utilizan? Si 1 No 2__________________________________________________________________________ Ha tenido éxito en la restauración__________________________________________________________________________ Nunca 1 Pocas Veces 2 Siempre| 3C2. ¿Existe algún mecanismo físico que impida el uso de lossistemas de información a dispositivos o equipos no E4 ¿Existe un procedimiento para obtener las copias deautorizados? seguridad? Si 1 Si 1 No 2 No 2 ¿Está automatizado? Si 1 No 2 33
  34. 34. E5. ¿Se almacenan las copias de seguridad en un lugar de G3.Una vez pasados los filtros de identificación, ¿se hanacceso restringido? separado los recursos a los que tiene acceso cada usuario? Si 1 No 2 Si 1 No 2E4.¿Se almacena alguna copia fuera de las instalaciones de launiversidad? Parte H: Planes de Seguridad y Contingencias Si 1 H1. ¿Se ha elaborado un plan de seguridad para salvaguarda No 2 los activos no tangibles (información) de la organización? Si 1Parte F: Mecanismo de identificación y No 2AutenticaciónF1. ¿Existe un procedimiento de Identificación y Autenticación H2.¿Existe un responsable o responsables que coordinen las medidas de seguridad aplicables?de los usuarios administradores de los servidores? Si 1 Si 1 No 2 No 2 Quienes?F2. ¿Está basado en contraseñas? _____________________________________ Si 1 _____________________________________ No 2 _____________________________________ ________________________F3.¿Las contraseñas se asignan de forma automática por el H4.¿Existe un presupuesto asignado para la seguridad en laservidor? información? Si 1 Si 1 No 2 No 2F4.¿Existe un procedimiento de cambio de contraseñas? Cuantía Si 1 No se asigna recursos 1 No 2 Menos de 1 millón 2 Menos de 5 millones 3 Menos de 1 0 millones 4Parte G: Controles de acceso Mas de 10 millones 5G1. ¿Existen controles para el acceso a los recursos? H5.¿Se ha elaborado un plan de seguridad? Si 1 Si 1 No 2 No 2G2.¿Existen ficheros de log o similares que registren los Se aplica realmente en la organizaciones?accesos autorizados y los intentos de acceso ilícitos? Si 1 Si 1 No 2 No 2 34
  35. 35. H6.¿Se han incluido en el mismo los aspectos relacionados conlas comunicaciones? I6.¿Existen controles sobre las páginas accedidas por cada Puesto o Usuario? Si 1 No 2 Si 1 No 2H7.El mismo personal del Departamento realiza el seguimiento I7.¿Se revisan las páginas accedidas para tomar medidasdel plan de seguridad? contra el usuario que no cumpla sus funciones? Si 1 Si 1 No 2 No 2H8.¿Existe un contrato de mantenimiento en el que se priorice Parte J: Ataques informáticosla seguridad y los planes de contingencias del software y delpersonal informático? K1. ¿A identificado ataques generados desde el interior de la Si 1 organización? No 2 Si 1 No 2H9.¿Dispone de personal informático involucrado directamente Como los evita? con la seguridad del sistema? Si 1 ___________________________________________________ No 2 ___________________________________________________ ___________________________________________________ ___________________________________________________Parte I: Acceso a Internet K2.¿Suele estar informado sobre las ultimas noticias en cuanto a seguridad?I1.¿Existe una política definida para los accesos a Internet? Si 1 Si 1 No 2 No 2 H3. Cual de loa siguientes tipos de ataques informáticos sonI2.¿Se ha explicado claramente a los usuarios esta política? más frecuentes Si 1 No 2 Virus Phising Gusanos MalwareI3.¿Existe un acceso a Internet corporativo? Troyanos Keylogger Drive-By-Download DoS Si 1 0-Days Otro No 2I4.¿Está limitado el acceso por puesto? El contenido de esta encuesta sera utilizada exclusivamente para fines académicos en el proceso de Si 1 No 2 investigación sobre afectaciones de los sistemas informáticos por acción de delitos informáticos.I5.¿Está limitado el acceso por usuario? Si 1 Realizado por: Gustavo Adolfo Díaz Tovar No 2 35
  36. 36. HALLAZGOS Y EVIDENCIAS 36
  37. 37. Las deficiencias evidenciadas como resultado de la auditoria adelantada por AMAZONAUDITOR inciden en eldesarrollo de los procesos institucionales lo que conlleva a conceptuar la importancia de dar solución a fin demejorar la gestión de los procesos adelantados por el departamento TI y dar cumplimiento a los acuerdos yobjetivos misionales de la institución.SITUACIONES ENCONTRADAS:Situación N°1: CertificaciónLa Universidad de la Amazonia, obtuvo en la vigencia 2010 la Certificación de Calidad Nacional NTCGP: 1000: 2009 y lacertificación Internacional ISO: 9001: 2008, para todos sus procesos misionales, el Sistema de Gestión de Calidadpermite a la Universidad estructurarse como ente competitivo, organizado y coherente en el desarrollo de sufunción misional.Situación N°2: Conocimiento del SIGCA pesar de que la Entidad adoptó el modelo de Operación por Procesos dentro del Sistema Integrado de Gestión de laCalidad y obtuvo en el 2010 por INCONTEC la Certificación de Calidad Nacional NTCGP: 1000: 2009 y la CertificaciónInternacional ISO: 9001: 2008, no es evidente un avance prospectivos de su implementación, pues en su granmayoría los funcionarios del departamento TI aun no tienen conocimiento del SGC y en algunas áreas no se vienenaplicando los procedimientos. Sin embargo se considera como buenas prácticas que permiten el desarrolloInstitucional.Situación N°3: Auditorias AnterioresLa Contraloría General de la República, con fundamento en las facultades otorgadas por el artículo 267 de laConstitución Política, practicó Auditoría Gubernamental con Enfoque Integral modalidad Regular a la UNIVERSIDAD DELA AMAZONIA, a través de la evaluación de los principios de la gestión fiscal: economía, eficiencia, eficacia y equidadcon que administró los recursos puestos a su disposición y los resultados de su gestión en las áreas, actividades oprocesos examinados, el examen del Balance General a 31 de Diciembre de 2010 Y el Estado de Actividad Financiera,Económica y Social por el año terminado en esa fecha. Dichos estados contables fueron examinados y comparadoscon los del año anterior, los cuales fueron auditados por la Contraloría General de la República.HALLAZGOS ENCONTRADOS:Hallazgo N°1: Portafolio de ServiciosLa universidad de la Amazonia bajo ningún acuerdo, decreto o normatividad establece dentro de sus elementos yfunciones un portafolio de servicios orientado a la administración, gestión y control de la información de launiversidad, por lo tanto, como producto de la auditoria se desconoció el origen y aprobación de estos serviciosque no definen su procedencia y si componen o no, elementos de extensión y proyección social dentro del 37
  38. 38. departamento TI. Se logró identificar manuales de usuario para 1 de los 38 servicios ofrecidos en este portafolio, elcual corresponde al servicio SERICE DESKT que permite hacer el registro y seguimiento de las incidencias propias.Lo anterior ocasionado por deficiencias en la regulación de las funciones y servicios del departamento y la ausenciade manuales de usuario que permitan la interpretación de los objetivos y funciones de cada servicio.Hallazgo N°2: Definición de procedimientosLa universidad de la Amazonia, no dio cumplimiento al Decreto 1599 de 2005 en cuanto a la implementación delSistema de Gestión de Calidad orientado a procesos; adoptado mediante el acuerdo N°22 del 24 de Noviembre de20008, ya que dentro de la auditoria efectuada no se logró identificar la definición de los procedimientos para darcumplimiento a los servicios ofrecidos por el departamento TI en cuanto: 1- Procedimientos de Seguridad de la Información. 2- Procedimientos de Copias de Seguridad. 3- Procedimientos de Actualizaciones Automáticas.Se deja en evidencia el incumplimiento en la elaboración y aplicación de los procedimientos para el desarrollo de losservicios del departamento. Lo anterior se debe a la falta de seguimiento por parte de la Oficina de Control Interno yde la Dirección del Departamento.Hallazgo N°3: Denominación del Departamento TI.La Universidad de la Amazonia, no dio cumplimiento al acuerdo 08 del 18 de mayo de 2009 emanado por el consejoSuperior, donde se acuerda la modificación de la denominación de la Oficina de Informática y Sistemas por la deDEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION y su dependencia a la vicerrectoría de investigaciones yposgrados como lo establece en su artículo 2º : “ARTÍCULO SEGUNDO. DENOMINACIÓN. Modifíquese la denominación de la Oficina de Informática y Sistemas por la de DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN, dependiente directamente de la Vicerrectoría de Investigaciones y Posgrados” Por lo tanto, se deja en evidencia que a la fecha no se han hecho las respectivos modificaciones al organigrama dela universidad publicada en la página web URL: (http://www.udla.edu.co/v8/acerca-de-la-entidad/organigrama.html) , incumpliendo con el artículo 8° de la ley 962 de 2005 por la cual se regula loscontenidos de Gobierno en línea y se establece que: “Los contenidos que el Estado ofrezca por medios electrónicos deben ser vigentes, relevantes, verificables, completos, que genere algún beneficio para los clientes y que no dé lugar a interpretaciones erradas. De igual forma, se debe evitar cualquier tipo de distorsión o interpretación tendenciosa de la información que va a ser publicada en medios electrónicos.” 38
  39. 39. Lo anterior ocasionado por la falta de actualización de los contenidos por parte del personal responsable de laadministración de la plataforma y por la mala coordinación entre la secretaria general de la Universidad y eldepartamento TI.Hallazgo N°4: Planeación del Departamento TI.El departamento de Tecnologías de la Información, no dio cumplimiento al artículo 5 del acuerdo 08 de 2009emanado por el consejo superior, por medio del cual se modifica parcialmente el Acuerdo 05 de 2002 que adopta laestructura interna de la Universidad de la Amazonia y se crean el Departamento de Tecnologías de la Información yla Oficina de Graduados, en el mencionado artículo se citan las funciones de cada una de las áreas deldepartamento TI a la cual se identificó:  Coordinador del Departamento de Tecnologías de la Información:El coordinador del departamento TI no dio cumplimiento al artículo quinto (5°) literal 1 el cual establece dentro desus funciones: “Desarrollar e implementar el Plan Estratégico del Departamento de Tecnologías de laInformación”, dado que en la actualidad se desconoce un plan estratégico para el presente año, como costa eldocumento F-8-DE-02-01 que muestra el formato del plan Operativo anual realizado el 22 de octubre de 2008 convigencia hasta el 1 de marzo de 2010. Lo anterior ocasionado por la falta de coordinación entre la oficina deplaneación y el departamento TI, agregando la ausencia de seguimiento a estos procesos por parte de la oficina decontrol interno.No se dio cumplimiento al artículo quinto (5°) literal 4 y 9 el cual establece dentro de sus funciones: “ Presentarpor escrito a su superior el plan operativo anual “ y “Planear y programar cursos de extensión a lacomunidad”. Mediante la auditoria se logró identificar que a la fecha 11 de Octubre de 2011, no se encuentra adscritoa la vicerrectoría de investigaciones ningún curso de extensión a la comunidad que este organizado y liderado por eldepartamento TI.Hallazgo N°5: Funciones del Personal InformáticoEl personal informático del departamento TI, desconoce parcial y totalmente el contenido de los acuerdos 08 de2009 y 10 de 2010 del CS, por medio del cual se crea el departamento TI y se adopta la política de desarrollotecnológico en la Universidad de la Amazonia. Los acuerdos anteriormente citados describen los lineamientosmisionales, funcionales y estructurales que deben orientar el proceder de este departamento, sobre los cuales ycomo producto de la auditoria se logró identificar:  El personal responsable de la coordinación de salas y soporte técnico desconoce parcialmente de los elementos misionales del departamento TI y de sus funciones, lo que propende a la existencia de extralimitaciones en sus funciones y subutilización respecto al deber operativo de este personal.  Se logró evidenciar que el departamento TI no tiene implementado sus funciones institucionales, y se encuentra subutilizado el personal a cargo de la dirección de este departamento en otras obligaciones no 39
  40. 40. adoptadas por la universidad. Se evidencio que el Director del Departamento TI responde al cargo de Coordinador del Área de Investigación y desarrollo. Lo anterior ocasionado por el incumplimiento de los acuerdos establecidos por el CS y la falta de seguimiento por parte de la oficina de control interno, incidiendo en la participación del personal universitario (Estudiantes y Docentes) y por ende el desarrollo institucional.Hallazgo N°6: Política de Desarrollo tecnológicoEl director del departamento y los coordinadores de las áreas que componen este mismo, desconocen totalmente dela política de desarrollo tecnológico adoptado mediante el acuerdo 10 de 2010 emanado por el CS, el cual le asigna laresponsabilidad al departamento TI del seguimiento y evaluación de la aplicación de esta política según costa en elartículo noveno (9°) “ARTÍCULO NOVENO. SEGUIMIENTO Y EVALUACIÓN. La implementación de las políticas deDesarrollo Tecnológico requiere de un proceso de seguimiento y evaluación permanente, por elDepartamento de Tecnología de la Información quien definirá los criterios, mecanismos y procedimientospara tal fin.”. Se deja en evidencia el incumplimiento de este artículo, dado que a la fecha el director deldepartamento desconoce de la existencia de esta obligación y de la definición de los criterios, mecanismos yprocedimientos para ejercer control.Hallazgo N°7: Perfiles Profesionales. La universidad de la Amazonia, no dio cumplimiento a los perfiles establecidos para el cargo de director del área de Investigación y desarrollo, y del área de redes y comunicaciones. Según costa en el documento CP-A-GT de la caracterización del proceso de Gestión Tecnológica el director del área de investigación y desarrollo debe ser ingeniero de sistemas con estudios en doctorado y el responsable del área de redes y comunicaciones debe ser ingeniero electrónico. Con lo cual se incumple a los perfiles ocupacionales. CARGO PERFIL Director Departamento Ingeniero de Sistemas Director área de hardware y Ingeniero de Sistemas comunicaciones Directo área de Software Ingeniero de Sistemas Coordinador de aplicaciones contables y Ingeniero de Sistemas financieras Administrador de Salas de Computo Ingeniero de Sistemas Ingenieros área de investigación y Ingenieros de Sistemas con estudios de desarrollo Doctorado Auxiliares de mantenimiento Técnicos en mantenimiento de equipos de computo Secretaria Estudiante de pregrado, experiencia en digitación de textos, con conocimientos en informática Ingeniero de redes y telecomunicaciones Ingeniero Electrónico 40

×