INFORME DE AUDITORÍA INTERNA DE LA POLITICA DE

SEGURIDAD DE LA INFORMACIÓN
12/06/2017

1
 Código:DG-100-FM-
229
FORMATO INFORME DE AUDITORÍA
Versión: 1
INTERNA DE GESTIÓN
Vigencia:08/07/2015

TABLA DE CONTENIDO

1. DATOS GENERALES ............................................................................................... 2

2. OBJETIVO DE LA AUDITORIA ................................................................................ 2
3. ALCANCE DE LA AUDITORIA ................................................................................. 3
4. CRITERIOS DE AUDITORÍA .................................................................................... 3
5. FORTALEZAS .......................................................................................................... 3
4. HALLAZGOS DE AUDITORÍA .................................................................................. 6
5. CONCLUSIONES ..................................................................................................... 8
6. EVIDENCIAS FOTOGRÁFICAS ............................................................................... 9

1
 Código:DG-100-FM-
229
FORMATO INFORME DE AUDITORÍA
Versión: 1
INTERNA DE GESTIÓN
Vigencia:08/07/2015

Auditoría N°01
Fecha
Día Mes Año
12 06 2017

1. DATOS GENERALES

PROCESO
POLITICA DE SEGURIDAD DE LA INFORMACION
AUDITADO
JEFE (e) OFICINA
RICARDO HERNANDEZ
LIDER DE PROCESO CARGO ASESORA DE
MATEUS
PLANEACIÓN
ASESORA DE
AUDITOR LÍDER YOLANDA CASTRO SALCEDO CARGO
CONTROL INTERNO

OBSERVADORES Y/O ACOMPAÑANTES.

NOMBRE:N/A CARGO:N/A

FECHA DE APERTURA AUDITORIA 05/06/2017

FECHA DE CIERRE DE LA 16/06/2017
AUDITORIA

2. OBJETIVO DE LA AUDITORIA

 Verificar el cumplimiento de la Política de Seguridad en la Información - Resolución

20161010000683 de 16-03-2016, específicamente en los temas que se relacionan a
continuación:
 Velar por la integridad, confidencialidad y disponibilidad de la información.
 Ampliar la información relevante de la política de seguridad.
 Evidenciar eficacia de los mecanismos de control de seguridad sobre la instalación
de software.
 Evidenciar permisos y control de la navegación en la web.
 Optimizar el trabajo de las áreas de riesgo.

2
 Código:DG-100-FM-
229
FORMATO INFORME DE AUDITORÍA
Versión: 1
INTERNA DE GESTIÓN
Vigencia:08/07/2015

3. ALCANCE DE LA AUDITORIA

La auditoría consiste en realizar la verificación de los mecanismos adoptados en la política de

seguridad de la Información para el cumplimiento de la misma, permitiendo medir la efectividad
de los controles implementados en los diferentes dispositivos de la plataforma de tecnología
adoptados en el INCI, labor que se ha venido trabajando desde finales del año 2015 a la fecha,
con el fin de promover el componente de seguridad y en cumplimiento del decreto 2573 de 2014.
Para esto se seleccionaron 36 equipos de cómputo a los cuales se les verificó:
 Verificar el licenciamiento de Software y legalidad de este.
 Restricciones de navegación en páginas de Internet
 Información institucional (Tablas de retención documental).
 Sensibilizar a los funcionarios de la importancia y uso de la Política de Seguridad
Informática

4. CRITERIOS DE AUDITORÍA

 Verificar el cumplimiento de la resolución 20161010000683 de 2016.

5. FORTALEZAS

1. Control de instalación de software: Se tiene restringido para funcionarios a través de

políticas en el Directorio activo. El 100% de los equipos auditados cuenta con directorio
activo como mecanismo de control interno para prevenir instalación de software

2. Verificación control de navegación: Control de filtrado web según políticas integradas en

firewall y directorio activo. El 98% de los equipos cumple con las restricciones de
navegabilidad establecidos en la política de Seguridad de la Información.

3. Metodología y desarrollo de la auditoria interna.

Hallazgo 1: Se evidencia que, sobre los equipos auditados, el 52,78% de los servidores
públicos no usa la carpeta institucional, dispuesta para tal fin como “Información Institucional”,
de acuerdo a lo establecido en el numeral 8 del ARTICULO 7. DEBERES DE LOS
SERVIDORES PUBLICOS DEL INCI, que establece: “ubicar todo archivo de trabajo en las
carpetas definidas en los escritorios de los computadores entregados para su trabajo definido
como “Información Institucional” y numeral 1 del ARTÍCULO 77. DEBERES PARA LOS
SUJETOS DE LA POLÍTICA RESPECTO AL HARDWARE, donde indica que los funcionarios
deben “Guardar la información institucional en una única carpeta llamada "Información
institucional", creada por la oficina de planeación en el disco duro del computador”.
Se recomienda hacer uso de la carpeta “Información Institucional” definida en la resolución de la
política de seguridad de la información.

3
 Código:DG-100-FM-
229
FORMATO INFORME DE AUDITORÍA
Versión: 1
INTERNA DE GESTIÓN
Vigencia:08/07/2015

Hallazgo 2: Se evidenció que, el 88,89% de los auditados no utilizan las TRD, en varios casos
se argumentó que se desconocía su existencia, de igual manera, se evidenció el
desconocimiento del “Instructivo para el Manejo de Documentos Electrónicos- Código: SG-110-
IN-040” para guardar la información relativa en los archivos e información institucional. Por lo
anterior, se evidenció incumplimiento del artículo 8 de la Ley 594 de 2000 y el procedimiento
Administración de Archivos y Registros del Proceso Administración Documental, generando
riesgo de pérdida de información, por no encontrarse debidamente organizada, esta situación
genera riesgos de sanciones por incumplimiento de la norma.

Se recomienda:
a. Realizar el uso de las TRD del proceso correspondiente.
b. Revisar con la Subdirección si se requiere actualizar las TRD en los diferentes
procesos.
c. Hacer uso del Instructivo para el Manejo de Documentos Electrónicos- Código: SG-
110-IN-040.

Hallazgo 3: En la verificación de licenciamiento de Software y legalidad realizada en los 36

equipos, se evidenció que, en 4 equipos, correspondientes al (11.11%) de la muestra, se encontró
software sin licencia (winzip y Suit adobe), se evidencia incumplimiento parcial a la política de
seguridad informática, así como un riesgo de generar sanciones a la entidad del ente
gubernamental encargado de monitorear estos casos, por incumplimiento en el licenciamiento de
software.

Se evidenció la instalación de otros softwares de uso de uso libre y/o no requieren licenciamiento,
como: PDF creator, Balabolka, Obi 3.9.1, Audacity, sobre estos equipos no se genera hallazgos.

A continuación se relacionan los software instalados que requirieron verificación, identificando si

se encuentran instalados, con licencia, sin licencia o gratuitos:

1. Winzip: Este software es para compresión y descompresión de archivos, tiene un tiempo

de prueba de 30 días, se concluye que ha culminado el tiempo de prueba, teniendo en
cuenta que dicho software ya estaba instalado antes de implementar el Directorio Activo.
No se evidenció la licencia de este software en los equipos en donde se encuentra
instalado. Los equipos en donde se evidenció la instalación de este software, se
procedió a desinstalarlo.
2. Suit de Adobe: El software se encuentra instalado en una de las máquinas, pero no ha
sido renovada su licencia, se cuenta con dos licencias cloud para este software, las
cuales se están siendo utilizadas en otros equipos.
3. Aspera: Se verificó que en 7 equipos (19,44% de los equipos instalados) si tiene licencia
y si está siendo usado.
4. Balabolka: Obi 3.9.1, Audacity: Se verificó que este software es gratuito de manera
permanente para Producción de Libros Digitales en la Biblioteca. Por lo anterior, no se
incumple requisitos de la política de seguridad de la información.

4
 Código:DG-100-FM-
229
FORMATO INFORME DE AUDITORÍA
Versión: 1
INTERNA DE GESTIÓN
Vigencia:08/07/2015

Se recomienda:
a. Reportar a la Oficina Asesora de Planeación (funcionarios designados para temas de
sistemas) cuando se requiera instalación de algún tipo de software ya sea licenciado
o libre.
b. Desinstalar el software o realizar la compra del programa para activar la licencia,
sobre los equipos en los que se evidenció software instalado sin la correspondiente
licencia.
c. Cuando los ingenieros realicen la instalación de software, verificar que sea una
fuente confiable al hacer las descarga(s) del software gratuito.
d. Validar las licencias en uso en las maquinas del INCI y la disponibilidad las mismas.

• Hallazgo 4: El 100% de los equipos auditados cuenta con directorio activo como
mecanismo de control interno para prevenir instalación de software, sin embargo, se
identificó que, en dos de los equipos auditados: uno, tiene habilitados permisos en el panel
de control, el otro tiene permisos para navegación sin restricciones.
Se recomienda:
a. Validar permisos de navegación y filtrado web según políticas integradas en firewall y
directorio activo.
b. Validar que estos permisos estén aplicando para la red lan, red Wifi.
c. Informar al jefe directo el hallazgo. En caso de que no esté en la lista de los equipos
que cuentan con permisos especiales, validar con la Subdirección si los requiere por
las funciones del cargo.
d. Generar plan de control para la navegación por parte de los jefes directos.
e. Validar las restricciones en el equipo de cómputo después de aplicar políticas en
Directorio Activo.

Hallazgo 5: Se evidenció que dos equipos de la muestra seleccionada (representa el 5%)

presentaron diferencias sobre la información de la placa de inventario que se encuentra
registrada en el software websafi para control de inventarios, respecto a los equipos físicos.
Se recomienda:
a. Verificar donde se encuentra el equipo asignado al funcionario.
b. Informar de manera oportuna a Recursos Físicos, traslados realizados por la Oficina
Asesora de Planeación como responsables de la plataforma tecnológica.
c. Verificar y si se requiere actualizar los procedimientos, de manera que cualquier
cambio en los equipos, por daños o mantenimientos, se reporte de manera inmediata
al Grupo de Administrativa y financiera de la Secretaría General.

5
 Código:DG-100-FM-
229
FORMATO INFORME DE AUDITORÍA
Versión: 1
INTERNA DE GESTIÓN
Vigencia:08/07/2015

4. HALLAZGOS DE AUDITORÍA

DESCRIPCIÓN (Debe contener criterio

NC OBS RECOMENDACIONES
afectado)
Se evidencia que, sobre los equipos auditados,
Realizar uso de la
el 52,78% de los servidores públicos no usa la
carpeta Información
carpeta institucional dispuesta para tal fin, por
Institucional definida en la
X tanto, se incumple parcialmente lo establecido
política para la
en el numeral 8 del artículo 7 y numeral 1 del
generación de copias de
artículo 77 de la Resolución 20161010000683
seguridad
de 2016.
Se evidenció que, el 88,89% de los auditados a. Realizar el uso de
no utilizan las TRD, en varios casos se las TRD del proceso
argumentó que se desconocía su existencia, correspondiente.
de igual manera, se evidenció el
b. Revisar con la
desconocimiento del “Instructivo para el
Subdirección si se
Manejo de Documentos Electrónicos- Código:
requiere actualizar las
SG-110-IN-040” para guardar la información
X TRD en los diferentes
relativa en los archivos e información
procesos.
institucional. Por lo anterior, se evidenció
incumplimiento del artículo 8 de la Ley 594 de c. Hacer uso del
2000 y el procedimiento Administración de Instructivo para el Manejo
Archivos y Registros del Proceso de Documentos
Administración Documental. Electrónicos- Código:
SG-110-IN-040.
En la verificación de licenciamiento de a. Reportar a la
Software y legalidad realizada en los 36 Oficina Asesora de
equipos, se evidenció que, en 4 equipos, Planeación (funcionarios
correspondientes al (11.11%) de la muestra, se designados para temas
encontró software sin licencia (winzip y Suit de sistemas) cuando se
adobe), se evidencia incumplimiento parcial a requiera instalación de
la política de seguridad informática, así como algún tipo de software ya
un riesgo de generar sanciones a la entidad del sea licenciado o libre.
X ente gubernamental encargado de monitorear
b. Desinstalar el
estos casos, por incumplimiento en el
software o realizar la
licenciamiento de software.
compra del programa
para activar la licencia,
sobre los equipos en los
que se evidenció
software instalado sin la
correspondiente licencia.

6
 Código:DG-100-FM-
229
FORMATO INFORME DE AUDITORÍA
Versión: 1
INTERNA DE GESTIÓN
Vigencia:08/07/2015

DESCRIPCIÓN (Debe contener criterio

NC OBS RECOMENDACIONES
afectado)
c. Cuando los
ingenieros realicen la
instalación de software,
verificar que sea una
fuente confiable al hacer
la(s) descarga(s) del
software gratuito.
d. Validar las
licencias en uso en las
maquinas del INCI y la
disponibilidad las
mismas..
El 100% de los equipos auditados cuenta con a. Validar permisos
directorio activo como mecanismo de control de navegación y filtrado
interno para prevenir instalación de software, web según políticas
sin embargo, se identificó que, en dos de los integradas en firewall y
equipos auditados: uno, tiene habilitados directorio activo.
permisos en el panel de control, el otro tiene b. Validar que estos
permisos para navegación sin restricciones. permisos estén
aplicando para la red
lan, red Wifi.
c. Informar al jefe
directo el hallazgo. En
caso de que no esté en
la lista de los equipos
que cuentan con
X permisos especiales,
validar con la
Subdirección si los
requiere por las
funciones del cargo.
d. Generar plan de
control para la
navegación por parte de
los jefes directos.
e. Validar las
restricciones en el
equipo de cómputo
después de aplicar
políticas en Directorio
Activo.

7
 Código:DG-100-FM-
229
FORMATO INFORME DE AUDITORÍA
Versión: 1
INTERNA DE GESTIÓN
Vigencia:08/07/2015

DESCRIPCIÓN (Debe contener criterio

NC OBS RECOMENDACIONES
afectado)
Se evidenció que dos equipos de la muestra a. Verificar donde se
seleccionada (representa el 5%) presentaron encuentra el equipo
diferencias sobre la información de la placa de asignado al funcionario.
inventario que se encuentra registrada en el b. Informar de
software websafi para control de inventarios, manera oportuna a
respecto a los equipos físicos. Recursos Físicos,
traslados realizados por
la Oficina Asesora de
Planeación como
responsables de la
plataforma tecnológica.
X c. Verificar y si se
requiere actualizar los
procedimientos, de
manera que cualquier
cambio en los equipos,
por daños o
mantenimientos, se
reporte de manera
inmediata al Grupo de
Administrativa y
financiera de la
Secretaría General.

Nota: Tanto las "No" Conformidades como las Observaciones identificadas se encuentran
establecidas como “hallazgos de auditoría”.

5. CONCLUSIONES

1. Los aspectos evaluados en la auditoría al cumplimiento de la política de seguridad de

la información, relacionados con la verificación de los equipos en directorio activo,
navegación y licenciamiento de software se cumplieron en su mayoría. Las
excepciones se tomarán como tal y se tomarán las acciones como desinstalación de
software, sobre los que no tengan software legal.
2. No existe apropiación aún de la política de seguridad de la información adoptada bajo
la resolución 20161010000683 por parte de los funcionarios del INCI.
3. Existen falencias, desconocimiento y/o uso inadecuado en:
a. La política de seguridad de la información.
b. En los manuales publicados para el manejo de TRD y organización de carpetas
en el SIG

8
 Código:DG-100-FM-
229
FORMATO INFORME DE AUDITORÍA
Versión: 1
INTERNA DE GESTIÓN
Vigencia:08/07/2015

4. No se realizó la actualización oportuna en el sistema de inventarios web safi en dos

de los equipos.
5. Es necesario validar perfiles de navegación en el firewall y permisos en directorio
activo para los equipos de cómputo que se encuentran en el INCI.

6. EVIDENCIAS FOTOGRÁFICAS
N/A
AUTORIZACIÓN PARA COMUNICAR ESTE INFORME:

Este informe se comunicará después de la auditoría y posterior a la revisión por parte del Auditor
Líder, aplicará únicamente a los procesos involucrados y no será divulgado a terceros sin su
autorización.
Nombre completo Responsabilidad Firma
Nombre: Yolanda Castro Salcedo ORIGINAL FIRMADO
Auditor Líder
Cargo: Asesora de Control Interno
Nombre: Helbert Castillo Martin ORIGINAL FIRMADO
Cargo: Profesional Esp. Oficina Auditor
Asesora de Planeación
Nombre: Alexander Latorre ORIGINAL FIRMADO
Cargo: Profesional Oficina Asesora Auditor
de Planeación
Nombre: Ricardo Hernández ORIGINAL FIRMADO
Mateus
Líder del Proceso
Cargo: Jefe(e) Oficina Asesora de
Planeación