Trabajo Final de Auditoria Informatica realizada en el 2010

1. Auditoria del 3 de Septiembre al 13 de Octubre de 2011
Auditor responsable Gustavo Adolfo Díaz Tovar
PAPELES DE TRABAJO
1

2. CONTENIDO
INVESTIGACION PREELIMINAR ......................................................................................................................... 4
DESCRIPCION DE LA ENTIDAD ......................................................................................................................... 5
RESEÑA [2]........................................................................................................................................... 5
DIRECCIONAMIENTO ESTRATEGICO ................................................................................................................... 6
Misión ................................................................................................................................................. 6
Visión ................................................................................................................................................. 6
Valores Éticos ....................................................................................................................................... 6
Principios ............................................................................................................................................ 7
Objetivos ............................................................................................................................................. 7
Funciones ............................................................................................................................................ 8
DESARROLLO TECNOLOGICO ........................................................................................................................... 9
ORGANIGRAMA ......................................................................................................................................... 10
MAPA DE PROCESOS .................................................................................................................................. 11
........................................................................................................................................................... 11
DESCRIPCION DEL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION .................................................................. 12
Creación[3]........................................................................................................................................ 12
Misión ............................................................................................................................................... 12
ESTRUCTURA DEL DEPARTAMENTO ............................................................................................................. 13
FUNCIONES ......................................................................................................................................... 13
COORDINADOR DEL DEPARTAMENTO DE TI .................................................................................................... 13
DEL AREA DE APLICACIONES ................................................................................................................. 13
DEL AREA DE HADWARE Y COMUNICACIONES ............................................................................................. 14
DEL AREA DE INVESTIGACION Y DESARROLLO ............................................................................................. 14
CARACTERIZACION DEL PROCESO .................................................................................................................. 15
IDENTIFICACION Y ANALISIS DEL RIESGO .......................................................................................................... 18
ADMINISTRACION DEL RIESGO....................................................................................................................... 19
IDENTIFICACION DEL RIESGO .................................................................................................................... 19
ALCANCES .......................................................................................................................................... 20
RIESGOS IDENTIFICADOS ......................................................................................................................... 20
DESCRIPCION DE LOS RIESGOS ................................................................................................................. 21
2

3. CLASIFICACION DEL RIESGO ..................................................................................................................... 23
SEMAFORIZACION DEL RIESGO .................................................................................................................. 23
MAPA DE RIESGOS DEL DEPARTAMENTO TI .................................................................................................... 25
MODELO DE ENCUESTAS.............................................................................................................................. 27
HALLAZGOS Y EVIDENCIAS ........................................................................................................................... 36
SITUACIONES ENCONTRADAS: ....................................................................................................................... 37
Situación N°1: Certificación ..................................................................................................................... 37
Situación N°2: Conocimiento del SIGC ........................................................................................................ 37
Situación N°3: Auditorias Anteriores ......................................................................................................... 37
HALLAZGOS ENCONTRADOS: ......................................................................................................................... 37
Hallazgo N°1: Portafolio de Servicios.......................................................................................................... 37
Hallazgo N°2: Definición de procedimientos ................................................................................................. 38
Hallazgo N°3: Denominación del Departamento TI. ......................................................................................... 38
Hallazgo N°4: Planeación del Departamento TI. ............................................................................................. 39
Hallazgo N°5: Funciones del Personal Informático ......................................................................................... 39
Hallazgo N°6: Política de Desarrollo tecnológico ........................................................................................... 40
Hallazgo N°7: Perfiles Profesionales. ......................................................................................................... 40
Hallazgo N°8: Estrategias de Desarrollo Tecnológico...................................................................................... 41
Hallazgo N°9: Mapa de Riesgos ................................................................................................................ 41
Hallazgo N°10: Planes de Mejoramiento....................................................................................................... 42
Hallazgo N°11: Política Global de Seguridad .................................................................................................. 42
Hallazgo N°12: Copias de Seguridad. .......................................................................................................... 42
ANEXOS ................................................................................................................................................. 43
3

4. INVESTIGACION PREELIMINAR
4

5. DESCRIPCION DE LA ENTIDAD
RESEÑA [2]
Mediante Acuerdo 004 del 15 de Diciembre de 1970, emanado del Consejo Superior del ITUSCO, se autorizó la
apertura de una seccional con sede en Florencia Caquetá. Así, la nueva sede de ITUSCO iniciaba sus primeros
trabajos de estudios intermedios a nivel tecnológico en Ciencias Sociales, Lingüística y Literatura, Matemáticas y
Física, Contabilidad y Presupuesto y Topografía; ésta última fue cerrada por el bajo número de estudiantes (una sola
promoción de 8 estudiantes).
La Ley 13 del 30 de Enero de 1976, transformó el Instituto Técnico Universitario Surcolombiano ITUSCO en
Universidad Surcolombiana, con sede principal en Neiva. Posteriormente según Acuerdo 032 del 13 de junio de 1.977
del Consejo Superior, se estableció la Regional Florencia, dependiente de la sede central de Neiva. La dependencia
económica y administrativa de la Regional de Florencia, de la Universidad Surcolombiana de Neiva, se convirtió en un
obstáculo para la toma de decisiones y la proyección de la misma.
Ante la sustentación de los diversos problemas para el desarrollo de la institución, como ente de educación
superior, el 30 de diciembre de 1982, mediante la ley 60, se transformó la regional Florencia de la Universidad
Surcolombiana en Universidad de la Amazonia (UA), como una institución de educación superior, establecimiento
público del orden nacional, con personería jurídica, autonomía administrativa y patrimonio independiente, adscrito al
Ministerio de Educación Nacional; con domicilio en la ciudad de Florencia Caquetá y con las posibilidades de
establecer dependencias seccionales en los lugares de la Amazonía cuyas necesidades así lo exigieran.
En mayo de 1983 el Ministerio de Educación nacional le concede reconocimiento institucional, a la universidad de la
Amazonia por Resolución No 6533.
La primera aproximación que tiene la Universidad de la Amazonia al área de investigaciones se hace con la creación
del Centro de Investigaciones Surcolombiano, CISNU, con el objetivo de impulsar la actividad investigativa de la
universidad en el marco específico de necesidades del ambiente amazónico. Como apoyo a este centro de
investigaciones y por Acuerdo 032 del 13 de Junio de 1974, el Consejo Superior creó la estructura orgánica de la
Universidad que ofrece, fuera de la sede de Florencia, dos granjas experimentales para el desarrollo de prácticas
académicas.
En 1984, se reglamentó el Instituto Amazónico de Investigaciones IAMI, con el objetivo de fomentar, coordinar y
apoyar la práctica investigativa de los docentes y estudiantes de la Universidad. En la medida que ha crecido y la
estructura de la universidad ha cambiado, también se han reestructurado sus dependencias. Así a partir del año
1994 se creó la Vicerrectoría de Investigaciones, instancia académica que tiene como función básica la dirección,
planificación y fomento de la investigación en la universidad.
__________________________________________________
[2] Esta información se publicó en la página institucional de la Universidad de la Amazonia, sección Acerca de la Entidad, en la
URL http://www.uniamazonia.edu.co/v8/index.php/acerca-de-la-entidad/historia.html
5

6. A partir del año 1989 por acuerdo 064 del Consejo Superior se define, como una de las políticas de la universidad, la
implementación de programas de Educación Superior en la metodología Abierta y a Distancia, en los lugares de la
región Amazónica Colombiana, cuyas necesidades sociales de desarrollo lo exijan.
En el año 1994 se inicia el desarrollo de programas en esta modalidad, en convenio con la Universidad Mariana de
Pasto, con la implementación de la tecnología en Comercio y Contaduría. De igual manera, en este año, se desarrolló
la tecnología en Administración Municipal en convenio con la Escuela Superior de Administración Pública ESAP.
En el segundo semestre del año 1996 se establece el convenio con la Universidad del Tolima .
DIRECCIONAMIENTO ESTRATEGICO
Misión
La Universidad de la Amazonia, institución estatal de educación superior del orden nacional, creada por la ley 60 de
1982 para contribuir especialmente en el desarrollo de la región amazónica, está comprometida con la formación
integral de un talento humano idóneo para asumir los retos del tercer milenio a través de una educación de calidad,
amplia y democrática, a nivel de pregrado, posgrado y continuada, que propicie su fundamentación científica,
desarrolle sus competencias investigativas, estimule su vinculación en la solución de la problemática regional y
nacional y consolide valores que promuevan la ética, la solidaridad, la convivencia y la justicia social.
Visión
La Universidad de la Amazonia será una institución de educación superior en permanente acreditación social,
reconocida y líder en la construcción, apropiación, adecuación, implementación y difusión de procesos académicos,
científicos, investigativos y de proyección a la comunidad; preferencialmente encaminados a la búsqueda del
desarrollo humano sostenible de la región amazónica, de manera comprometida y articulada a la consolidación del
proyecto de nación contemplado en la Constitución Nacional.
Valores Éticos
Mediante acuerdo 17 del 9 de agosto de 2007 el Consejo Superior de la Universidad de la Amazonia, aprobó la Cata
de Valores Éticos:
HONESTIDAD: Elemento fundamental en las actuaciones de la comunidad universitaria, materializado en
SINCERIDAD: La veracidad en el desarrollo de los principios y objetivos institucionales aplicados a la formación
integral de los ciudadanos de la región, como garantía de confianza social.
RESPONSABILIDAD: Es el compromiso social y ambiental y la vocación con que cada uno de los miembros de la
comunidad universitaria, asumirá la parte que le corresponde hacer y la obligación ética de reparar un daño cuando
se haya cometido un yerro
6

7. TRANSPARENCIA: Es el componente ético que identificará a cada servidor de la Institución de tal forma que su
actuación sea muestra de credibilidad irrefutable
EQUIDAD: Es la disposición de ánimo que moviliza a la Institución para dar a cada cual lo que merece. Pero también
expresa de manera directa el sentido de justicia con que actuará cada uno de los miembros de la comunidad.
TOLERANCIA: Valor de gran relevancia que implica atender y respetar las ideas y principios de la comunidad en
general buscando siempre la comprensión y la concertación, propiciando un ambiente agradable y un trabajo feliz.
SOLIDARIDAD: Es el apoyo y participación compartida para alcanzar los objetivos propuestos y facilitar el trabajo
en equipo.
CONVIVENCIA: Es la resultante del respeto mutuo, la lealtad y la adaptación a los diferentes grupos humanos y
situaciones del quehacer institucional que exigen la comprensión, la felicidad y la paz ciudadana, propendiendo por la
construcción de vivencias pacificas y democráticas dentro de la sociedad.
Principios
 Armonización de la Universidad del pensamiento científico con la particularidad de las formas culturales y
los modos de vida que existan en Colombia y en la región amazónica.
 Búsqueda de la verdad, el ejercicio libre y responsable de la critica de la cátedra y del aprendizaje.
 La práctica de la autonomía universitaria consagrada en la constitución y la ley.
 La realización plena de los derechos y deberes fundamentales, sociales, económicos y culturales, cuyo
ejercicio y disfrute supone el acceso a los códigos fundamentales de la cultura, que son el resultado de la
acción educativa.
 Calidad total en la prestación de sus servicios a la comunidad.
Objetivos
 Formar los recursos humanos, técnicos, científicos y culturales indispensables para el desarrollo socio-
económico, político y cultural de la región amazónica.
 Promover el conocimiento y la reafirmación de los valores de la nacionalidad colombiana, la expansión de
las áreas de creación y goce de la cultura, y la conservación del patrimonio cultural del país.
 Fomentar la investigación con énfasis en el área amazónica, con miras a desarrollar el conocimiento
científico, tecnológico y cultural, prioritariamente en aquellos campos del saber que posibiliten la
transformación sustentable de los diversos sistemas naturales y culturales de su área de influencia.
7

8.  Desarrollar procesos de concertación y cooperación institucional que permitan intercambiar información,
concertar acuerdos y entendimientos operativos y realizar esfuerzos de acciones armónicas de la
respectiva cuenca amazónica.
 Establecer mecanismos operativos que redunden en la preservación de un medio ambiente sano y
fomentar la educación y la cultura ecológicas, para la conservación y la utilización de los recursos de la
Amazonia.
 Promover la formación y consolidación de las comunidades académicas y la articulación con sus
homólogas a nivel nacional e internacional.
 Propender por la integración de las poblaciones amazónicas al proceso nacional de desarrollo,
preservando sus valores culturales y sociales, particularmente los de la población indígena como
elemento social de la Amazonia.
 Producir conocimientos en el ámbito de lo educativo, y desarrollar procesos de innovación educativa.
 Contribuir al logro de mayores niveles de calidad educativa del país.
 Propiciar el desarrollo científico y tecnológico en las áreas de su competencia.
 Contribuir a la formación de ciudadanos a partir de una pedagogía y una práctica de la Constitución
Política.
 Contribuir al desarrollo de la identidad del profesional de la Universidad de la Amazonia y a su valoración
en el contexto social.
 Servir de medio para planear el equilibrio ecológico de la región y la preservación de las especies, a fin de
que sirva como epicentro de consulta y coordinación para las entidades estatales y particulares que
tengan a su cargo dichas funciones
Funciones
Para el logro de los objetivos anteriores, la Universidad de la Amazonia deberá cumplir con las siguientes funciones,
orientadas a la Docencia, la Investigación y la Extensión, a saber:
Ofrecer programas académicos de pregrado y postgrado, entendidos como el conjunto de experiencias de
aprendizaje estructuradas, para el desempeño eficaz de ocupaciones que permitan el ejercicio cualificado de una
profesión o disciplina.
8

9. Fomentar la investigación y la creatividad, orientadas hacia la sistematización, producción, aplicación y difusión del
conocimiento con el objeto de promover el desarrollo integral de la región.,
Ofrecer programas de extensión, dirigidos al estudio y solución de las necesidades y problemas de la comunidad a
través del desarrollo de planes y programas de actualización y cualificación en la dirección, orientación y evaluación
de los sistemas de producción y bienestar colectivo y el adecuado aprovechamiento de sus recursos.
Adelantar programas de bienestar universitario, entendidos como el conjunto de actividades que se orientan al
desarrollo físico, psico-afectivo, espiritual y social de la comunidad universitaria.
DESARROLLO TECNOLOGICO
La Universidad de la Amazonia cuenta con una infraestructura propia de hardware y de software. De software, con
la plataforma Académusoft; esta plataforma gestiona de principio a fin todos los procesos académicos, y Gestasoft;
que se encarga de gestionar de forma integrada con la academia los procesos financieros y contables. Además se
cuenta con desarrollos propios que brindan soluciones puntuales a necesidades institucionales, como reservas de
espacios físicos, atención al usuario, mesas de ayuda, y en la actualidad con la implementación del sistemas
CHAIRA, entre otros. De hardware,con una infraestructura propia de servidores y de redes que permite mantener
conectividad con los dispositivos instalados por todo el campus universitario y sus sedes más cercanas.
Mediante acuerdo 08 de 2009 del honorable Consejo Superior, se creó el Departamento de Tecnologías de la
Información, responsable directo de gestionar el área de las TIC en la institución. En la actualidad el mencionado
departamento está ajustando sus procesos de forma transversal con el SIGC y con ITIL V3 para obtener la
certificación ISO 20000.
9

10. ORGANIGRAMA
Ref: Organigrama Universidad de la Amazonia [consultado 8/04/2011]. Disponible en http://www.uniamazonia.edu.co/v8/index.php/acerca-de-la-entidad/organigrama.html
10

11. MAPA DE PROCESOS
La universidad de la Amazonia dentro de sus SIGC ha definido cuatro macro-procesos orientados a
la administración, gestión, control y evaluación de los procesos asociados a la organización, dentro
de los cuales encontramos los PROCESOS DE APOYO que sirven a la gestión de los procesos.
Dentro de este macro-proceso encontramos el PROCESO DE GESTION TECNOLOGICO que
involucra la consecución, administración, planeación y control de los recursos e infraestructura
tecnológica conque la universidad de la Amazonia cuenta mediante el Departamento TI que es el
directo responsable del actuar de este proceso.
11

12. DESCRIPCION DEL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION
Creación[3]
Mediante Acuerdo 62 del 29 de noviembre de 2002, el Consejo Superior adoptó el Estatuto General de la
Universidad y en su Título IV, Capítulo II, estableció la estructura interna básica, ordenando que la programación de
las diferentes unidades y dependencias que integran la Universidad de la Amazonia, deberán ser definidas en la
estructura orgánica interna adoptada mediante Acuerdo de esta misma instancia.
La Estructura Interna de la Universidad de la Amazonia se expidió mediante Acuerdo Superior número 5 del 26 de
febrero de 2004, consagra en su artículo octavo y siguientes, el carácter, la estructura y funciones de la Oficina de
Informática y Sistemas de la Universidad de la Amazonia
En procura de fortalecer la planificación y gestión general de la infraestructura tecnológica de la institución para
servir de apoyo a los procesos de docencia, investigación y proyección social y de esta forma contribuir al
cumplimiento de la misión institucional, se hace necesario modificar el artículo octavo y siguientes en cuanto a la
denominación, estructura, carácter y funciones de la Oficina de Informática y Sistemas que en adelante se
denominará Departamento de Tecnologías de la Información. En razón a que en el Acuerdo de estructura orgánica
de la institución, no se hace mención a una dependencia que se encargue de realizar el seguimiento y apoyo a los
graduados de la Universidad, se hace necesario organizar una oficina al interior de la misma, para crear, mantener,
mejorar y promocionar las relaciones Universidad-Graduados, con fines académicos, investigativos, administrativos,
laborales y culturales, teniendo en cuenta que uno de los factores de calidad de los programas académicos es la
relación organizada y sistemática entre la Universidad y sus graduados.
Misión
El Departamento de Tecnologías de la Información de la Universidad de la Amazonia tiene como misión la
planificación y gestión general de la infraestructura tecnológica de la institución, para servir de apoyo a los
procesos de docencia, investigación y proyección social y de esta forma contribuir al cumplimiento de la misión
institucional
______________________________________
[3] Acuerdo 08 de 2009 dado por el Consejo Superior URL:
http://apps.uniamazonia.edu.co/documentos/navega.php?PHPSESSID=rmv73k7d7irfng15kuiiuhpc61&dir=.%2FConsejo%20Superior%2
FAcuerdos%2F2009
12

13. ESTRUCTURA DEL DEPARTAMENTO
El Departamento de Tecnologías de la Información tendrá la siguiente conformación:
 Coordinación del Departamento de Tecnologías de la Información
 Un área de aplicaciones
 Un área de hardware y comunicaciones
 Un área de investigación y desarrollo
FUNCIONES
COORDINADOR DEL DEPARTAMENTO DE TI
1. Desarrollar e implementar el Plan Estratégico del Departamento de Tecnologías de la Información.
2. Gestionar la consecución de recursos para el desarrollo de proyectos informáticos.
3. Presentar y desarrollar las propuestas para el mejoramiento informático de las áreas académicas y
administrativas de la universidad.
4. Presentar por escrito a su superior el plan operativo anual
5. Aplicar las directrices de los entes administrativos orientados al Departamento de Tecnologías de la
Información.
6. Velar y responder por la seguridad en la trasmisión de datos.
7. Administrar y velar por la correcta conservación de los elementos entregados para el desarrollo de sus
funciones.
8. Brindar asesoría a la comunidad académica en materia informática.
9. Planear y programar cursos de extensión a la comunidad.
10. Coordinar de manera permanente y sistemática con las áreas de su responsabilidad para el óptimo
desempeño de sus funciones.
11. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia.
DEL AREA DE APLICACIONES
1. Velar por el normal y permanente funcionamiento de las aplicaciones de la Universidad de la Amazonía: (i)
Academusoft, (ii) Base de datos, (iii) SIIF, (iv) Gestasoft y los demás aplicativos que adquiera y/o
desarrolle la institución
2. Realizar la administración de los aplicativos contables y financieros de la institución.
3. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia
13

14. DEL AREA DE HADWARE Y COMUNICACIONES
1. Velar por el normal y permanente funcionamiento de la infraestructura de hardware y comunicaciones de
la Universidad de la Amazonia.
2. Administrar las salas de cómputo, recursos informáticos, redes y telecomunicaciones de la Universidad.
3. Prestar soporte técnico preventivo y correctivo a los equipos de cómputo de la institución.
4. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia.
DEL AREA DE INVESTIGACION Y DESARROLLO
1. Desarrollar software de acuerdo a las necesidades de la Universidad
2. Efectuar los procesos de análisis, diseño, implementación y pruebas del software requerido por la
institución.
3. Las demás que le sean asignadas y que le correspondan por la naturaleza de su dependencia
14

15. CARACTERIZACION DEL PROCESO
15

16. 16

17. 17

18. IDENTIFICACION Y ANALISIS DEL RIESGO
18

19. ADMINISTRACION DEL RIESGO
Para la identificación y priorización del riesgo se toma como guía la GU-E-GC-01 que se encuentra en la
documentación del sistema de Gestión de Calidad adoptado por la universidad de la amazonia basado en el acuerdo
09 de 2010 del consejo superior donde se le asigna a la oficina de planeación la elaboración de esta guía y su
implementación en toda la institución y se establecen los formatos, procesos de clasificación del riesgo, procesos
de análisis del riesgo, calificación del riesgo, evaluación del riesgo y valoración del riesgo a fin de estar acorde a las
condiciones establecidas dentro del SIGC.
En base a la metodología COBIT Vrs 4 sobre la cual se realiza esta auditoria se modifica los controles adoptados en
esta guía como lo son (Preventivos, Detectivo y Correctivo) por:
1. Efectividad: Actúa para determinar el grado de cumplimiento dentro de los tiempos y parámetros
establecidos por los acuerdos, planes o políticas de mejor continua del riesgo.
2. Disponibilidad: Permite determinar el grado de accesibilidad y conocimiento de la situación por parte de
los involucrados en el proceso.
3. Cumplimiento: Grado de cumplimiento a los acuerdos, planes y políticas.
IDENTIFICACION DEL RIESGO
La identificación del riesgo se realizó mediante el proceso de investigación preliminar y la entrevista a los actores
involucrados en el proceso de GESTION TECNOLOGICA en el departamento TI, basado tanto en el resultado del
análisis del contexto estratégico como en el proceso de planeación de las medidas de control para garantizar la
seguridad de la información y de los procedimientos. La identificación del riesgo se basó en el formato:
MACRO PROCESOS- PROCESOS – DOMINIO COBIT- NUMERO DE RIESGO
El Decreto 1599 de 2005 define la identificación del riesgo como Elemento de Control, que posibilita conocer los
eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión,
estableciendo los agentes generadores, las causas y los efectos de su ocurrencia.
La identificación de los riesgos se realiza a nivel del planeación,componente de direccionamiento estratégico,
identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el logro de los
objetivos y el cumplimiento de los acuerdos. Es la base del análisis de riesgos que permite avanzar hacia una
adecuada implementación de políticas que conduzcan a su control.
19

20. ALCANCES
La identificación del riesgo permite visualizar los factores externos e internos que afectan la seguridad de la función
informática en relación al cumplimiento de la misión institucional, de sus objetivos, políticas y acuerdos a través de
la observación y verificación de los procedimientos organizacionales permitiendo:
1. Determinar las causas (medios, circunstancias y agentes internos o externos) de las situaciones
riesgosas para la entidad.
2. Describir los riesgos (posibilidad de ocurrencia de un evento) con sus características generales o la
forma en que se observan o manifiestan.
3. Precisar los efectos (consecuencias) que los riesgos puedan ocasionar a la Universidad.
RIESGOS IDENTIFICADOS
N° IDENTIFICACION RIESGO
Incumplimiento de los acuerdos
1 PA-GT-PO-R1
institucionales
Incumplimiento a los acuerdos de
2 PA-GT-PO-R2
certificación ISO 9001- 2008 y Norma Itil V3
Desconocimiento de la normatividad por
3 PA-GT-PO-R3
parte del personal informático
4 PA-GT-PO-R4 Seguimiento a los planes de mejora.
Mala aplicación del sistema de Control
5 PA-GT-PO-R5
interno,
6 PA-GT-PO-R6 Perdida de Información
Carencia de planes de contingencia del
7 PA-GT-PO-R7
personal informático
Carencia de planes de contingencias de
8 PA-GT-PO-R8
software
9 PA-GT-PO-R9 Carencia de planes de contingencia
20

21. DESCRIPCION DE LOS RIESGOS
PROCESO OBEJTIVO PROCESO DESCRIPCION DEL RIESGO CLASIFICACION HECHO GENERADOR CAUSA EFECTOS
PA-GT-PO-R1: Incumplimiento de Personal que labora Desconocimiento de los Pérdida de credibilidad.
los acuerdos institucionales por en el departamento acuerdos, políticas y/o Incurrir en sanciones por
CUMPLIMIENTO
parte del Departamento TI, TI. reglamentos. incumplimiento.
Personal que labora Desconocimiento del SIGC. Sanciones.
en el departamento Desconocimiento de la Normas Perdida de certificación.
PA-GT-PO-R2:Incumplimiento de TI, ITIL V3 aplicada al contexto Mala imagen institucional.
las normas itilv3 en los CUMPLIMIENTO universitario.
procedimientos. Ausencia de capacitación.
Mala interpretación de la norma.
GESTION TECNOLOGICA
Planificar y Mala operatividad de Ausencia de políticas de Sanciones.
gestionar la PA-GT-PO-R3:Desconocimiento la oficina de control capacitación sobre la Perdidas económicas.
infraestructura por parte de los funcionarios de interno. normatividad. Mala calidad del servicio.
tecnológica, para las políticas, acuerdos y OPERATIVO Indisponibilidad del documento de
servir de apoyo a los normativas que intervienen al la norma.
procesos de la Departamento TI. Mala gestión documental.
institución y de esta
forma contribuir al PA-GT-PO-R4:Ausencia de planes Coordinador del Falta de gestión y cumplimiento Perdida de información.
cumplimiento de la de mejora que garanticen la Departamento TI y de las políticas de gestión Perdida de confiabilidad.
misión institucional. ESTRATEGICO
seguridad, acceso y uso de la oficina de planeación tecnológicas establecidas en el Daños físicos.
información Acuerdo 10 de 2010 Perdidas económicas.
PA-GT-PO-R5:Falta de aplicación Oficina de control Falta de seguimiento a los Incumplimiento de los
del sistema de control interno a interno procedimientos ejercidos por el acuerdos.
los procedimientos de gestión OPERATIVO departamento TI. Malos seguimiento y
tecnológico. Desarticulación del deber hacer evaluación.
y el hacer.
21

22. PA-GT-PO-R6:Perdida de Infraestructura Mala infraestructura eléctrica y Mala calidad del servicio.
información eléctrica y seguridad tecnológica. Perdidas económicas.
TECNOLOGIA
física. Ausencia de planes de Daños físicos en Hardware y
restauración y backup. Software.
PA-GT-PO-R7: Riesgo derivado de Personal que labora Acceso no autorizado. Mala calidad en el servicio.
la actuación del factor humano del dentro del Ingeniería social. Incumplimiento a las normas.
área de sistemas, ya sea del OPERATIVO departamento TI Ausencia de claridad de las
personal, de los usuarios, o de los funciones del personal que
administradores. labora dentro del Departamento.
PA-GT-PO-R8:Actualización del Periodos prolongados de Perdidas económicas.
software instalado, piratería y actualización del software Virus informáticos.
falta de licencias en los software. Área de hardware y instalado. Daños en las
OPERATIVO
comunicaciones Instalación de software sin configuraciones.
licencia.
PA-GT-PO-R9: No existe ningún Coordinador del Ausencia de planes de Perdidas económicas.
plan de contingencia, ni un Departamento TI y contingencia. Perdidas de información.
documento similar en donde se oficina de No inclusión dentro del mapa de
contemplen medidas preventivas ESTRATEGICO planeación. riesgo anual.
relacionadas con la seguridad de Ausencia en el plan opertavio.
la información del Departamento
TI.
22

23. CLASIFICACION DEL RIESGO
Siguiendo la guía de administración del riesgo establecido por la afina de planeación de la Universidad de la
amazonia se definen los valores cuantitativos que permitirán valorar el impacto y la probabilidad de los riesgos de
acuerdo a la siguiente tabla:
IMPACTO PROBABILIDAD
De acuerdo a las consecuencias que se pueden Describe la posibilidad de ocurrencia del riesgo;
ocasionar a la Universidad con la materialización del si este se ha materializado medida en criterios
riesgo identificado se asignan los siguientes valores de frecuencia.
cualitativos al impacto.
Ítem Valor Ítem Valor
Leve 5 Baja 1
Moderado 10 Media 2
Catastrófico 20 Alta 3
SEMAFORIZACION DEL RIESGO
CRITERIO VALOR
Moderado Amarillo (5 -10)
Importante Verde (15 – 20)
Ina ceptable Rojo (30 – 60)
IMPACTO
LEVE MODERADO CATASTROFICO
(5) (10) (20)
ALTA
15 30 60
PROBABILIDAD
(3)
MEDIA
10 20 40
(2)
BAJA
5 10 20
(1)
23

24. De acuerdo a la clasificación anterior, los riesgos identificados en el departamento TI se clasifican en:
PROBABILIDAD Vs IMPACTO LEVE MODERADO CATASTROFICO
PA-GT-PO-R1
ALTA No aplica No aplica
PA-GT-PO-R3
PA-GT-PO-R6
MEDIA No aplica PA-GT-PO-R5
PA-GT-PO-R9
PA-GT-PO-R4
BAJA PA-GT-PO-R2 PA-GT-PO-R8
PA-GT-PO-R7
24

25. MAPA DE RIESGOS DEL DEPARTAMENTO TI
VALORACION
VALORACION
PROCESO RIESGO PROBABILIDAD IMPACTO CONTROLES EXISTENTES DEL RIESGO CON ACCION DE TRATAMIENTO RESPONSABLE
DEL RIESGO
CONTROLES
Implementar controles que
Alta Catastrófico Inaceptable Inaceptable Personal del
PA-GT-PO-R1 reduzcan el impacto y la
3 20 60 No existen controles Departamento TI
probabilidad del riesgo
Baja Leve Moderado No existen controles Moderado Implementar controles que Coordinador del
PA-GT-PO-R2
1 5 5 reduzcan el impacto Departamento TI
GESTION TECNOLOGICA
Implementar controles que
Alta Catastrófico Inaceptable No existen controles Inaceptable Personal del
PA-GT-PO-R3 reduzcan el impacto y la
3 20 60 Departamento TI
probabilidad del riesgo
Implementar controles que
Baja Catastrófico Importante No existen controles Importante Oficina de
PA-GT-PO-R4 reduzcan el impacto y
1 20 20 Planeación
puedan evitar el riesgo
Implementar controles que
Media Moderado Importante No existen controles Importante reduzcan el impacto y Oficina de Control
PA-GT-PO-R5
2 10 20 puedan evitar el riesgo interno
25

26. Adecuación de la red
Los controles existentes son
Media Catastrófico Inaceptable Inaceptable eléctrica y documentación del Coordinador del
PA-GT-PO-R6 efectivos pero no están
2 20 40 sistema automatizado de Departamento TI
documentados.
backup
Implementar controles que
Baja Catastrófico Importante No existen controles Importante Personal del
PA-GT-PO-R7 reduzcan el impacto y
1 20 20 Departamento TI
puedan evitar el riesgo
Implementar controles que Área de
Baja Moderado Moderado No existen controles Moderado
PA-GT-PO-R8 reduzcan el impacto y hardware y
1 10 10
puedan reducir el riesgo comunicaciones
Implementar controles que
Media Catastrófico Inaceptable No existen controles Inaceptable Oficina de
PA-GT-PO-R9 reduzcan el impacto y la
2 20 40 Planeación
probabilidad del riesgo
26

27. MODELO DE ENCUESTAS
27

28. ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA
INFORMACION
AUDITORIA INFORMATIVA BASADO EN COBIT V4
Datos del encuestado (A la fecha de diligenciamiento)
Dependencia: _________________________________________________________________________________________________________
Cargo: _____________________________________________________ Nivel de Formación: Técnico ( ) Pregrado ( ) Especialización ( )
Maestría ( ) Doctorado ( ) Otros ( )Cual? _______________________________________________________________________________
Área en la que labora___________________________________________________________________________________________________
Parte A. Conocimiento Organizacional y Misional del Departamento TI.
1. Conoce cuál es la Misión del Departamento TI? Menciones algunos
_____________________________________
Si 1
No 2
__________________________________
__________________________________
Cuál?
__________________________________
_____________________________________
__________________________________ 4. Los objetivos que tiene establecidos el
__________________________________ departamento TI están alineados a los objetivos
__________________________________ Misionales de la Universidad?
2. Conoce de las políticas de desarrollo tecnológico de Si 1
No 2
la universidad de la Amazonia adoptados por el
acuerdo 10 de 2010 5. Las políticas de TI están acorde con el plan de
Si 1 calidad de la organización (SIGC).
No 2 __________________________________________________
Indique dos de ellas, __________________________________________________
___________________________________________________ __________________________________________________
___________________________________________________ ______________________________________________
_________________________________________________
6. En la actualidad el Departamento TI tiene ajustado
___________________________________________________ todos sus procesos de forma transversal con el
___________________________________________________ SIGC y con ITIL V3
_________________________________________________
Si 1
No 2
3. Conoce de los objetivos del Departamento TI?
7. Dentro del mapa de procesos establecidos en el
Si 1 SIGC, en cual Macro-procesos está involucrado
No 2 directamente el departamento TI.
28

29. La implementación y administración de servicios TI de calidad, que
Estratégico 1 cubran las necesidades de la institución
Misional 2
De Apoyo 3
Evaluación 4 9. Tiene conocimiento de las funciones de su cargo,
En todos 5 establecidas según el acuerdo 08 de 2009 emanado
por consejo superior.
8. El objetivo del proceso de Gestión Tecnológica al que Si 1
responde el Departamento TI es: No 2
Mencioné tres de ellas,
El desarrollo de las actividades administrativas y tecnicas ________________________________________________________
tendientes a la planeacion, manejo y organizacion de la documentacion
________________________________________________________
producida y recibida por la universidad de la amazonia, desde su origen
hasta su destino final, facilitando su utilización y conservación.
________________________________________________________
Planificar y gestionar la infraestructura tecnológica, para servir de ________________________________________________________
apoyo a los procesos de la institución y de esta forma contribuir al
cumplimiento de la misión institucional. ________________________________________________________
________________________________________________________
Parte A. Planeación y organización.
_____________________________________
10. Con que periodicidad se formulan los planes _____________________________________
operativos del departamento TI?
13. Dentro de las funciones del departamento esta:
Cada 3 Meses 1
Cada 6 Meses 2 “Planear y programar cursos de extensión a la
Cada 12 Meses 3 comunidad”. Cada cuanto se realizan estos cursos.
Más de 12 Meses 4
Nunca se ha hecho 1
Cada 3 Meses 2
11. Que elementos o acciones se llevan a cabo desde la Cada 6 Meses 3
planeación operativa para responder por la seguridad Cada 12 Meses 4
de la información ante agentes internos o externos, Más de 12 Meses 5
físicos o lógicos.
_____________________________________
_____________________________________ Quienes son los responsables de orientarlos
_____________________________________
_____________________________________
_____________________________________
_____________________________________
_____________________________________
_____________________________________
_____________________________________
_____________________________________
_____________________________________
12. Desde la planeación liderada por el departamento
como responden a la necesidad de servicio de 14. Bajo qué criterios se selección el personal
seguridad de la información. (Portafolio de Servicios) responsable de orientarlo.
_____________________________________
_____________________________________ _____________________________________
_____________________________________ _____________________________________
_____________________________________
29

30. _____________________________________ _____________________________________
_____________________________________ _____________________________________
Está reglamentada esta elección,
Si 1
No 2
Realizado por: Gustavo Adolfo Díaz Tovar
15. Con que periodicidad se asesora a los usuarios sobre
el correcto manejo de las herramientas tecnológicas.
Nunca se ha hecho 1
Cada 3 Meses 2
Cada 6 Meses 3
Cada 12 Meses 4
Más de 12 Meses 5
16. Existen proyecto en formulación y/o ejecución que
permiten alianzas estratégicas con entidades del nivel
regional, nacional e internacional para la financiación
y cofinanciación de los proyectos que brindan el
acceso a herramientas tecnológicas.
Si 1
No 2
Cuáles?
_____________________________________
_____________________________________
_____________________________________
_____________________________________
_____________________________________
17. Con que periodicidad se identifican los riesgos que
afectan al departamento TI?
Cada 3 Meses 1
Cada 6 Meses 2
Cada 12 Meses 3
Más de 12 Meses 4
18. Como desarrolla el Departamento TI el Seguimiento y
Evaluación de la implementación de las políticas de
Desarrollo tecnológicos en la Universidad.
_____________________________________
_____________________________________
_____________________________________
30

31. ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA
INFORMACION
AUDITORIA INFORMATIVA BASADO EN COBIT V4
CHEKLIST
Datos del encuestado (A la fecha de diligenciamiento)
Dependencia: _________________________________________________________________________________________________________
Cargo: _____________________________________________________ Nivel de Formación: Técnico ( ) Pregrado ( ) Especialización ( )
Maestría ( ) Doctorado ( ) Otros ( )Cual? _______________________________________________________________________________
Área en la que labora___________________________________________________________________________________________________
Parte A. Planeación.
1. El Departamento de tecnologías de la información
cuenta con políticas establecidas en TI? 6. En los últimos 12 meses se ha realizado algún tipo de
auditoria a este departamento?
Si 1
No 2 Si 1
No 2
2. Se ha realizado una planificación estratégica del
De qué tipo?
adecuado uso de las TI?
Interna 1
Si 1 Externa 2
No 2
7. Existe planes de contingencia del software, de la red
3. Existe un plan operativo anual?
y del personal informático?
Si 1
No 2 Si 1
No 2
4. Existe un seguimiento continuo a la política de desarrollo
tecnológico y planes operativos anuales? Quien elabora estos planes de contingencia en el
Si 1 departamento?
No 2
__________________________________________________
De qué manera hacen este seguimiento?
__________________________________________________
_____________________________________ _________________________________________________
_____________________________________
_____________________________________ 8. Sus funciones se encuentran reglamentadas por alguna
_____________________________________ instancia o dependencia de la universidad?
5. Se cuenta con un plan de infraestructura de redes Consejo Superior 1
de datos y eléctrico? Oficina de Control Interno 2
Oficina de División y Servicios 3
Si 1
Coordinar de Departamento 4
No 2
31

32. ENCUESTA AL DEPARTAMENTO DE TECNOLOGIAS DE LA
INFORMACION
AUDITORIA INFORMATIVA BASADO EN COBIT V4
SEGURIDAD DE LA INFORMACION
Datos del encuestado (A la fecha de diligenciamiento)
Dependencia: _________________________________________________________________________________________________________
Cargo: _____________________________________________________ Nivel de Formación: Técnico ( ) Pregrado ( ) Especialización ( )
Maestría ( ) Doctorado ( ) Otros ( ) Cual? _______________________________________________________________________________
Área en la que labora___________________________________________________________________________________________________
Parte A: Política Global de Seguridad
A1. ¿Ha tenido en cuenta la posibilidad de perder información A5. ¿Existen controles que detecten posibles fallos en la
sensible de la organización a causa de algún ataque seguridad?
informático?: Si 1
No 2
Si 1
No 2
De qué tipo?
Lógicos 1
A2. Cree que la Universidad está protegida ante la intrusión de Físicos 2
hackers informáticos?
A6. ¿Se ha definido el nivel de acceso de los usuarios?, es
Si 1
decir, a qué recursos tienen acceso y a qué recursos no.
No 2
Si 1
A3. ¿Tiene conocimiento de las políticas de seguridad No 2
orientadas a conservar la integridad, confidencialidad y
disponibilidad de la información? A7. ¿Se han definido modelos de amenaza de los SI que
permita identificar y planificar de forma correcta la mejor
Si 1 manera de mitigar las amenazas a las aplicaciones o sistemas
No 2
de información de la Universidad?
No existe 3
Si 1
No 2
A4. ¿Se hace algún tipo de revisión de los sistemas de
información de forma periódica? A8. ¿Utiliza alguna metodología, técnica o método para la
identificación y análisis de vulnerabilidades en los sistemas de
Si 1 información de la Universidad?
No 2
Si 1
¿Con qué periodicidad? Meses ( ) No 2
Cuál?
_____________________________________________
32

33. Parte B: Agresiones Físicas Externas Parte D: Servidores
B1. ¿Existen filtros y estabilizadores eléctricos en la red D1.¿Existen SO servidores, que impiden el acceso a los datos a
eléctrica de suministro a los servidores? los usuarios no autorizados en la organización?
Si 1 Si 1
No 2 No 2
B2. ¿ Tienen instaladas fuentes de alimentación redundantes? D2. ¿Están los servidores protegidos en cuanto a inicio de
sesión y accesos a través de la red?
Si 1
No 2 Si 1
No 2
B3. ¿Tiene instalados sistemas de alimentación interrumpida?
Se accede de forma remota?
Si 1
No 2 Si 1
No 2
B4. ¿Está preparada la organización para superar cualquier
eventualidad que interrumpa las actividades habituales que Parte E: Copia de Seguridad
involucra el uso de las redes de datos o de comunicación?
E1. ¿Se realizan copias de los datos?
Si 1
No 2 Si 1
No 2
De qué manera?
______________________________________________________________ ¿Con qué periodicidad?
___________________________________________________
___________________________________________________ Diariamente 1
___________________________________________________ Semanalmente 2
Mensualmente 3
Parte C: Controles de acceso fisco Semestral 4
C1. ¿Existe algún control que impida el acceso físico a los E2. ¿Se prueba la integridad de las copias de seguridad?
recursos a personal no autorizado?
Si 1
Si 1 No 2
No 2
E3 ¿Ha probado restaurar alguna copia de seguridad?
Que tipos de controles se utilizan?
Si 1
No 2
_____________________________________
_____________________________________ Ha tenido éxito en la restauración
_____________________________________
_____________________________________ Nunca 1
Pocas Veces 2
Siempre| 3
C2. ¿Existe algún mecanismo físico que impida el uso de los
sistemas de información a dispositivos o equipos no E4 ¿Existe un procedimiento para obtener las copias de
autorizados? seguridad?
Si 1
Si 1
No 2
No 2
¿Está automatizado? Si 1 No 2
33

34. E5. ¿Se almacenan las copias de seguridad en un lugar de G3.Una vez pasados los filtros de identificación, ¿se han
acceso restringido? separado los recursos a los que tiene acceso cada
usuario?
Si 1
No 2 Si 1
No 2
E4.¿Se almacena alguna copia fuera de las instalaciones de la
universidad? Parte H: Planes de Seguridad y Contingencias
Si 1
H1. ¿Se ha elaborado un plan de seguridad para salvaguarda
No 2
los activos no tangibles (información) de la organización?
Si 1
Parte F: Mecanismo de identificación y No 2
Autenticación
F1. ¿Existe un procedimiento de Identificación y Autenticación H2.¿Existe un responsable o responsables que coordinen las
medidas de seguridad aplicables?
de los usuarios administradores de los servidores?
Si 1
Si 1 No 2
No 2
Quienes?
F2. ¿Está basado en contraseñas?
_____________________________________
Si 1 _____________________________________
No 2 _____________________________________
________________________
F3.¿Las contraseñas se asignan de forma automática por el H4.¿Existe un presupuesto asignado para la seguridad en la
servidor? información?
Si 1 Si 1
No 2 No 2
F4.¿Existe un procedimiento de cambio de contraseñas? Cuantía
Si 1 No se asigna recursos 1
No 2 Menos de 1 millón 2
Menos de 5 millones 3
Menos de 1 0 millones 4
Parte G: Controles de acceso
Mas de 10 millones 5
G1. ¿Existen controles para el acceso a los recursos? H5.¿Se ha elaborado un plan de seguridad?
Si 1
Si 1
No 2
No 2
G2.¿Existen ficheros de log o similares que registren los
Se aplica realmente en la organizaciones?
accesos autorizados y los intentos de acceso ilícitos?
Si 1
Si 1 No 2
No 2
34

35. H6.¿Se han incluido en el mismo los aspectos relacionados con
las comunicaciones? I6.¿Existen controles sobre las páginas accedidas por cada
Puesto o Usuario?
Si 1
No 2 Si 1
No 2
H7.El mismo personal del Departamento realiza el seguimiento I7.¿Se revisan las páginas accedidas para tomar medidas
del plan de seguridad? contra el usuario que no cumpla sus funciones?
Si 1
Si 1
No 2
No 2
H8.¿Existe un contrato de mantenimiento en el que se priorice Parte J: Ataques informáticos
la seguridad y los planes de contingencias del software y del
personal informático?
K1. ¿A identificado ataques generados desde el interior de la
Si 1 organización?
No 2
Si 1
No 2
H9.¿Dispone de personal informático involucrado directamente
Como los evita?
con la seguridad del sistema?
Si 1 ___________________________________________________
No 2 ___________________________________________________
___________________________________________________
___________________________________________________
Parte I: Acceso a Internet
K2.¿Suele estar informado sobre las ultimas noticias en cuanto
a seguridad?
I1.¿Existe una política definida para los accesos a Internet?
Si 1
Si 1 No 2
No 2
H3. Cual de loa siguientes tipos de ataques informáticos son
I2.¿Se ha explicado claramente a los usuarios esta política? más frecuentes
Si 1
No 2 Virus Phising
Gusanos Malware
I3.¿Existe un acceso a Internet corporativo? Troyanos Keylogger
Drive-By-Download DoS
Si 1 0-Days Otro
No 2
I4.¿Está limitado el acceso por puesto? El contenido de esta encuesta sera utilizada
exclusivamente para fines académicos en el proceso de
Si 1
No 2 investigación sobre afectaciones de los sistemas
informáticos por acción de delitos informáticos.
I5.¿Está limitado el acceso por usuario?
Si 1
Realizado por: Gustavo Adolfo Díaz Tovar
No 2
35

36. HALLAZGOS Y EVIDENCIAS
36

37. Las deficiencias evidenciadas como resultado de la auditoria adelantada por AMAZONAUDITOR inciden en el
desarrollo de los procesos institucionales lo que conlleva a conceptuar la importancia de dar solución a fin de
mejorar la gestión de los procesos adelantados por el departamento TI y dar cumplimiento a los acuerdos y
objetivos misionales de la institución.
SITUACIONES ENCONTRADAS:
Situación N°1: Certificación
La Universidad de la Amazonia, obtuvo en la vigencia 2010 la Certificación de Calidad Nacional NTCGP: 1000: 2009 y la
certificación Internacional ISO: 9001: 2008, para todos sus procesos misionales, el Sistema de Gestión de Calidad
permite a la Universidad estructurarse como ente competitivo, organizado y coherente en el desarrollo de su
función misional.
Situación N°2: Conocimiento del SIGC
A pesar de que la Entidad adoptó el modelo de Operación por Procesos dentro del Sistema Integrado de Gestión de la
Calidad y obtuvo en el 2010 por INCONTEC la Certificación de Calidad Nacional NTCGP: 1000: 2009 y la Certificación
Internacional ISO: 9001: 2008, no es evidente un avance prospectivos de su implementación, pues en su gran
mayoría los funcionarios del departamento TI aun no tienen conocimiento del SGC y en algunas áreas no se vienen
aplicando los procedimientos. Sin embargo se considera como buenas prácticas que permiten el desarrollo
Institucional.
Situación N°3: Auditorias Anteriores
La Contraloría General de la República, con fundamento en las facultades otorgadas por el artículo 267 de la
Constitución Política, practicó Auditoría Gubernamental con Enfoque Integral modalidad Regular a la UNIVERSIDAD DE
LA AMAZONIA, a través de la evaluación de los principios de la gestión fiscal: economía, eficiencia, eficacia y equidad
con que administró los recursos puestos a su disposición y los resultados de su gestión en las áreas, actividades o
procesos examinados, el examen del Balance General a 31 de Diciembre de 2010 Y el Estado de Actividad Financiera,
Económica y Social por el año terminado en esa fecha. Dichos estados contables fueron examinados y comparados
con los del año anterior, los cuales fueron auditados por la Contraloría General de la República.
HALLAZGOS ENCONTRADOS:
Hallazgo N°1: Portafolio de Servicios
La universidad de la Amazonia bajo ningún acuerdo, decreto o normatividad establece dentro de sus elementos y
funciones un portafolio de servicios orientado a la administración, gestión y control de la información de la
universidad, por lo tanto, como producto de la auditoria se desconoció el origen y aprobación de estos servicios
que no definen su procedencia y si componen o no, elementos de extensión y proyección social dentro del
37

38. departamento TI. Se logró identificar manuales de usuario para 1 de los 38 servicios ofrecidos en este portafolio, el
cual corresponde al servicio SERICE DESKT que permite hacer el registro y seguimiento de las incidencias propias.
Lo anterior ocasionado por deficiencias en la regulación de las funciones y servicios del departamento y la ausencia
de manuales de usuario que permitan la interpretación de los objetivos y funciones de cada servicio.
Hallazgo N°2: Definición de procedimientos
La universidad de la Amazonia, no dio cumplimiento al Decreto 1599 de 2005 en cuanto a la implementación del
Sistema de Gestión de Calidad orientado a procesos; adoptado mediante el acuerdo N°22 del 24 de Noviembre de
20008, ya que dentro de la auditoria efectuada no se logró identificar la definición de los procedimientos para dar
cumplimiento a los servicios ofrecidos por el departamento TI en cuanto:
1- Procedimientos de Seguridad de la Información.
2- Procedimientos de Copias de Seguridad.
3- Procedimientos de Actualizaciones Automáticas.
Se deja en evidencia el incumplimiento en la elaboración y aplicación de los procedimientos para el desarrollo de los
servicios del departamento. Lo anterior se debe a la falta de seguimiento por parte de la Oficina de Control Interno y
de la Dirección del Departamento.
Hallazgo N°3: Denominación del Departamento TI.
La Universidad de la Amazonia, no dio cumplimiento al acuerdo 08 del 18 de mayo de 2009 emanado por el consejo
Superior, donde se acuerda la modificación de la denominación de la Oficina de Informática y Sistemas por la de
DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACION y su dependencia a la vicerrectoría de investigaciones y
posgrados como lo establece en su artículo 2º :
“ARTÍCULO SEGUNDO. DENOMINACIÓN. Modifíquese la denominación de la Oficina de Informática y Sistemas por la
de DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN, dependiente directamente de la Vicerrectoría de
Investigaciones y Posgrados”
Por lo tanto, se deja en evidencia que a la fecha no se han hecho las respectivos modificaciones al organigrama de
la universidad publicada en la página web URL: (http://www.udla.edu.co/v8/acerca-de-la-
entidad/organigrama.html) , incumpliendo con el artículo 8° de la ley 962 de 2005 por la cual se regula los
contenidos de Gobierno en línea y se establece que:
“Los contenidos que el Estado ofrezca por medios electrónicos deben ser vigentes, relevantes, verificables,
completos, que genere algún beneficio para los clientes y que no dé lugar a interpretaciones erradas. De igual
forma, se debe evitar cualquier tipo de distorsión o interpretación tendenciosa de la información que va a ser
publicada en medios electrónicos.”
38

39. Lo anterior ocasionado por la falta de actualización de los contenidos por parte del personal responsable de la
administración de la plataforma y por la mala coordinación entre la secretaria general de la Universidad y el
departamento TI.
Hallazgo N°4: Planeación del Departamento TI.
El departamento de Tecnologías de la Información, no dio cumplimiento al artículo 5 del acuerdo 08 de 2009
emanado por el consejo superior, por medio del cual se modifica parcialmente el Acuerdo 05 de 2002 que adopta la
estructura interna de la Universidad de la Amazonia y se crean el Departamento de Tecnologías de la Información y
la Oficina de Graduados, en el mencionado artículo se citan las funciones de cada una de las áreas del
departamento TI a la cual se identificó:
 Coordinador del Departamento de Tecnologías de la Información:
El coordinador del departamento TI no dio cumplimiento al artículo quinto (5°) literal 1 el cual establece dentro de
sus funciones: “Desarrollar e implementar el Plan Estratégico del Departamento de Tecnologías de la
Información”, dado que en la actualidad se desconoce un plan estratégico para el presente año, como costa el
documento F-8-DE-02-01 que muestra el formato del plan Operativo anual realizado el 22 de octubre de 2008 con
vigencia hasta el 1 de marzo de 2010. Lo anterior ocasionado por la falta de coordinación entre la oficina de
planeación y el departamento TI, agregando la ausencia de seguimiento a estos procesos por parte de la oficina de
control interno.
No se dio cumplimiento al artículo quinto (5°) literal 4 y 9 el cual establece dentro de sus funciones: “ Presentar
por escrito a su superior el plan operativo anual “ y “Planear y programar cursos de extensión a la
comunidad”. Mediante la auditoria se logró identificar que a la fecha 11 de Octubre de 2011, no se encuentra adscrito
a la vicerrectoría de investigaciones ningún curso de extensión a la comunidad que este organizado y liderado por el
departamento TI.
Hallazgo N°5: Funciones del Personal Informático
El personal informático del departamento TI, desconoce parcial y totalmente el contenido de los acuerdos 08 de
2009 y 10 de 2010 del CS, por medio del cual se crea el departamento TI y se adopta la política de desarrollo
tecnológico en la Universidad de la Amazonia. Los acuerdos anteriormente citados describen los lineamientos
misionales, funcionales y estructurales que deben orientar el proceder de este departamento, sobre los cuales y
como producto de la auditoria se logró identificar:
 El personal responsable de la coordinación de salas y soporte técnico desconoce parcialmente de los
elementos misionales del departamento TI y de sus funciones, lo que propende a la existencia de
extralimitaciones en sus funciones y subutilización respecto al deber operativo de este personal.
 Se logró evidenciar que el departamento TI no tiene implementado sus funciones institucionales, y se
encuentra subutilizado el personal a cargo de la dirección de este departamento en otras obligaciones no
39

40. adoptadas por la universidad. Se evidencio que el Director del Departamento TI responde al cargo de
Coordinador del Área de Investigación y desarrollo. Lo anterior ocasionado por el incumplimiento de los
acuerdos establecidos por el CS y la falta de seguimiento por parte de la oficina de control interno,
incidiendo en la participación del personal universitario (Estudiantes y Docentes) y por ende el desarrollo
institucional.
Hallazgo N°6: Política de Desarrollo tecnológico
El director del departamento y los coordinadores de las áreas que componen este mismo, desconocen totalmente de
la política de desarrollo tecnológico adoptado mediante el acuerdo 10 de 2010 emanado por el CS, el cual le asigna la
responsabilidad al departamento TI del seguimiento y evaluación de la aplicación de esta política según costa en el
artículo noveno (9°) “ARTÍCULO NOVENO. SEGUIMIENTO Y EVALUACIÓN. La implementación de las políticas de
Desarrollo Tecnológico requiere de un proceso de seguimiento y evaluación permanente, por el
Departamento de Tecnología de la Información quien definirá los criterios, mecanismos y procedimientos
para tal fin.”. Se deja en evidencia el incumplimiento de este artículo, dado que a la fecha el director del
departamento desconoce de la existencia de esta obligación y de la definición de los criterios, mecanismos y
procedimientos para ejercer control.
Hallazgo N°7: Perfiles Profesionales.
La universidad de la Amazonia, no dio cumplimiento a los perfiles establecidos para el cargo de director del
área de Investigación y desarrollo, y del área de redes y comunicaciones. Según costa en el documento
CP-A-GT de la caracterización del proceso de Gestión Tecnológica el director del área de investigación y
desarrollo debe ser ingeniero de sistemas con estudios en doctorado y el responsable del área de redes y
comunicaciones debe ser ingeniero electrónico. Con lo cual se incumple a los perfiles ocupacionales.
CARGO PERFIL
Director Departamento Ingeniero de Sistemas
Director área de hardware y Ingeniero de Sistemas
comunicaciones
Directo área de Software Ingeniero de Sistemas
Coordinador de aplicaciones contables y Ingeniero de Sistemas
financieras
Administrador de Salas de Computo Ingeniero de Sistemas
Ingenieros área de investigación y Ingenieros de Sistemas con estudios de
desarrollo Doctorado
Auxiliares de mantenimiento Técnicos en mantenimiento de equipos de
computo
Secretaria Estudiante de pregrado, experiencia en
digitación de textos, con conocimientos
en informática
Ingeniero de redes y telecomunicaciones Ingeniero Electrónico
40

41. Auxiliares salas de computo Estudiantes destacados del programa de
Ingeniería de sistemas
Formato CP-A-GT
Hallazgo N°8: Estrategias de Desarrollo Tecnológico
Se evidencio una vez realizado el proceso de encuestas al director y a los coordinadores de las áreas del
departamento, la existencia de convenios y alianzas mediante proyectos y programas anuales, en el cual, se vincula
a la comunidad universitaria en el mejoramiento de las herramientas tecnológicas, con organizaciones y
fundaciones como Funtelmed, Colciencias y la Procuraduría General de la Nación como elementos estratégicos en la
proyección a nivel local, regional, nacional e internacional para la financiación y cofinanciación de los proyectos que
brindan el acceso a herramientas tecnológicas. Por otra parte es muy evidente que dentro del plan operativo del
año 2009 y 2010 no se considera en ninguno de sus ítems metas orientadas a responder a esta política de
desarrollo tecnológico de la universidad consagrado en el artículo séptimo del acuerdo 10 de 2010 “ARTÍCULO
SÉPTIMO: ESTRATEGIAS. Las estrategias para el desarrollo tecnológico de la Universidad de la Amazonia son
las siguientes:
Formulación de proyectos y programas definidos anualmente, que vinculen a la comunidad universitaria en
el mejoramiento de las herramientas tecnológicas.
Utilización de la infraestructura de la Universidad de la Amazonia, para la promoción y uso de las
tecnologías que están puestas al servicio.
Implementación y fortalecimiento de alianzas estratégicas con entidades del nivel local, regional, nacional e
internacional, para la financiación y cofinanciación de los proyectos que brinden el acceso a herramientas
tecnológicas.
Conformación de redes para el intercambio de experiencias, conocimiento e información que permita
interactuar en todos los aspectos para el mejoramiento tecnológico
Con el fin de incentivar la generación tecnológica la Universidad de la Amazonia establece un
reconocimiento que se otorgará anualmente según reglamentación del Consejo Académico, como estímulo a
los miembros de la comunidad académica por su aporte en el desarrollo tecnológico. “
Hallazgo N°9: Mapa de Riesgos
La universidad de la Amazonia, no dio cumplimiento al acuerdo 09 de 2010 del CS donde se estable que: “La
Universidad de la Amazonia ajustará y actualizará, por lo menos una vez al año, el Mapa de Riesgos como
herramienta fundamental de la Administración del Riesgo, con la metodología propuesta por la Guía de la
Administración del Riesgo publicada en el portal web universitario, y adoptará, a través de los responsables
de cada proceso, sin demora injustificada y en el marco de la viabilidad, medidas de aseguramiento contra
la materialización y resultados de los eventos descritos, y de los nuevos cuya ocurrencia pueda preverse” ,
se logró evidenciar que hasta la fecha no se ha actualizado el mapa de riesgos de la universidad desde el 14 de
Diciembre del 2009 lo que incurre en incumplimiento a lo establecido en este acuerdo. Lo anterior ocasionado por la
inoperancia de la oficina de control interno en la administración del riesgo como representante de la dirección del
MECI y como evaluador independiente del Sistema de Control interno de la Institución.
41