Fase5-Grupo90168 17 PDF

AUDITORÍA DE SISTEMAS
Unidad 1 - Fase 5
Resultados finales de auditoría
PRESENTADO POR:
NOMBRE CÓDIGO_ _
GUSTAVO ANDRÉS BOBADILLA MORENO 1110472376
OSCAR STIVEN MARULANDA OTALVARO 1130656079
JOHN HENRY MEDINA GONZÁLEZ 80774194
GRUPO: 90168_17
TUTOR:
FRANCISCO NICOLAS SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

MAYO 18 DE 2019
BOGOTÁ, D.C.
Contenido
INTRODUCCIÓN .............................................................................................................................. 5
OBJETIVOS ........................................................................................................................................ 6
PLANEACIÓN DE LA AUDITORÍA.................................................................................................. 7
1. Propuestas de empresa ................................................................................................... 7
1.1. VCMedios Colombia................................................................................................. 7
1.2. Instituto Rural ............................................................................................................... 7
2. Descripción de la empresa elegida............................................................................. 8
2.1. Estructura organizacional ........................................................................................ 9
2.2. Cargos y funciones.................................................................................................. 10
2.3. Servicios del área informática ............................................................................. 14
2.4. Activos informáticos ................................................................................................ 19
2.5. Sistemas informáticos ............................................................................................. 30
3. Plan de auditoría .............................................................................................................. 31
3.1. Antecedentes............................................................................................................ 31
3.2. Objetivo de la auditoría ......................................................................................... 31
3.2.1. Objetivo General ................................................................................................. 31
3.2.2. Objetivos Específicos .......................................................................................... 31
3.3. Alcances de la auditoría ....................................................................................... 32
3.4. Metodología .............................................................................................................. 33
4. Programa de Auditoría ................................................................................................... 36
a. Roles y responsabilidades del equipo auditor .................................................... 42
b. Pruebas a realizar ........................................................................................................ 43
EJECUCIÓN DE LA AUDITORÍA ................................................................................................... 44
PO9 IDENTIFICACIÓN DE EVENTOS – OSCAR MARULANDA .......................................... 44
A. Diseño y aplicación de instrumentos de recolección de información ... 44
B. Análisis y evaluación de riesgos ............................................................................. 47
2
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS – OSCAR MARULANDA ............ 48
DS11 ADMINISTRACIÓN DE DATOS – GUSTAVO BOBADILLA ......................................... 53
DS12 ADMINISTRACIÓN DE LAS INSTALACIONES – JOHN MEDINA ............................. 63
RESULTADOS DE LA AUDITORÍA ................................................................................................. 70
PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI – OSCAR MARULANDA .............. 70
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS – OSCAR MARULANDA ............ 73
TRATAMIENTO DE RIESGOS ................................................................................................. 73
HALLAZGOS ............................................................................................................................ 74
CONTROLES ............................................................................................................................ 78
DS11 ADMINISTRACIÓN DE DATOS – GUSTAVO BOBADILLA ......................................... 80
TRATAMIENTO DE RIESGOS ................................................................................................. 80
HALLAZGOS ............................................................................................................................ 81
CONTROLES ............................................................................................................................ 99
DICTAMEN ............................................................................................................................ 100
DS12 ADMINISTRACIÓN DEL AMBIENTE FISICO – JOHN MEDINA ............................... 103
TRATAMIENTO DE RIESGOS ............................................................................................... 103
HALLAZGOS .......................................................................................................................... 104
CONTROLES .......................................................................................................................... 119
CONCLUSIONES .......................................................................................................................... 120
REFERENCIAS BIBLIOGRÁFICAS ............................................................................................... 122
3
Lista de Figuras
Figura 1. Estructura organizacional del Instituto Rural ......................................................... 9

Figura 2. Mapa de sistemas de información del Instituto Rural ...................................... 30
Lista de Tablas
Tabla 1. Cargos del Instituto Rural ........................................................................................... 10

Tabla 2. Activos de información del Instituto Rural ............................................................ 19
Tabla 3. Presupuesto para la Auditoría .................................................................................. 34
Tabla 4. Cronograma de actividades de la auditoría ...................................................... 35
Tabla 5. Roles y responsabilidades del equipo auditor .................................................... 42
Tabla 6. Pruebas a realizar ........................................................................................................ 43
Tabla 7. Hallazgo 1 – DS 11 Administración de Datos ....................................................... 81
Tabla 10. Hallazgo 4 – DS 11 Administración de Datos ..................................................... 90
Tabla 13. Hallazgo 1 – DS 12 Administración del espacio físico .................................. 104
4
INTRODUCCIÓN
La auditoría informática requiere de conocer diversos conceptos que,

aunque guardan una similitud, es necesario precisar y diferenciar para
garantizar la aplicación pertinente del proceso.
Por lo anterior, la presente actividad busca la interiorización de los términos

de riesgo, vulnerabilidad y amenaza, y contrastar el control interno
informático respecto de la auditoría informática, a través de un desarrollo
conceptual, y mediante el uso de mapas mentales y de cuadros
comparativos.
A su vez, se hace necesario conocer la metodología de la Auditoría, así

como la metodología de análisis y evaluación de riesgos informáticos. De
esta forma, se podrán identificar las causas que originan los riesgos y resolver
problemas mediante la definición y aplicación de controles.
Por último, se debe adelantar la metodología para el tratamiento de riesgos,

así como precisar los hallazgos y determinar controles sobre los mismos, para
emitir un dictamen.
5
OBJETIVOS
El objetivo general de la presente actividad consiste en que el futuro

Ingeniero de Sistemas aplique los conceptos fundamentales de la auditoría
y la seguridad informática en un entorno empresarial.
Para lograrlo, se hace necesario alcanzar los siguientes objetivos específicos:
• Identificar una empresa para adelantar la auditoría informática,

disponiendo la información necesaria para su desarrollo.
• Definir el plan de auditoría.
• Precisar un programa de auditoría.
• Diseñar y aplicar instrumentos de recolección de información para

descubrir vulnerabilidades, amenazas y riesgos para cada proceso
asignado.
• Adelantar un análisis y evaluación de riesgos para determinar las

causas que los originan y resolver problemas mediante la definición y
aplicación de controles.
• Adelantar el tratamiento de los riesgos.
• Precisar los hallazgos, identificando sus causas y consecuencias.
• Definir controles para cada uno de los hallazgos.
• Emitir un dictamen de los resultados de la auditoría.
6
PLANEACIÓN DE LA AUDITORÍA
1. Propuestas de empresa
El líder de la actividad propuso que, durante la primera semana de la

actividad, comprendida entre el viernes 15 al jueves 21 de febrero de 2019,
se recibirían las diversas propuestas de empresa en la que se desarrollará la
auditoría, de modo que se continuara con los demás puntos de la actividad
correspondiente a la fase 2. A continuación, se detallan las empresas
propuestas en el foro durante el plazo definido:
1.1. VCMedios Colombia
Descripción: Empresa de Tecnología enfocada al campo de la TV a nivel de

América.
Propuso: Oscar Stevens Marulanda.
Fecha: Domingo 17 de febrero de 2019.
1.2. Instituto Rural
Descripción: Entidad responsable de gestionar, promover y financiar el

desarrollo agropecuario y rural para la transformación del campo y
adelantar programas con impacto regional, adscrita al Ministerio de
Agricultura y Desarrollo Rural.
Propuso: Gustavo Bobadilla.
Fecha: Domingo 17 de febrero de 2019.
7
2. Descripción de la empresa elegida
El objeto del Instituto Rural es ejecutar la política de desarrollo agropecuario

y rural con enfoque territorial formulada por el Ministerio de Agricultura y
Desarrollo Rural, a través de la estructuración, cofinanciación y ejecución de
planes y proyectos integrales de desarrollo agropecuario y rural nacionales
y de iniciativa territorial o asociativa, así como fortalecer la gestión del
desarrollo agropecuario y rural y contribuir a mejorar las condiciones de vida
de los pobladores rurales y la competitividad del país.
Se seleccionó el Instituto Rural, toda vez que su estructura organizacional

facilita el desarrollo de los diversos ejercicios propuestos. Es importante
resaltar que se cuenta con el apoyo de la Oficina de Tecnologías de la
Información (OTI) como de la Oficina de Control Interno (OCI), dinamizando
la gestión para el presente ejercicio y las actividades subsiguientes.
De igual forma, se dialogó con ambos equipos sobre el desarrollo del

presente curso, y resaltan la total disposición para el apoyo al mismo. De
hecho, compartieron los insumos básicos requeridos en el paso 3 para el
desarrollo de la presente actividad: (i) descripción de área informática, (ii)
los servicios, (iii) los activos informáticos y (iv) los sistemas informáticos, y otra
información asociada al procedimiento y al Plan Estratégico de Tecnologías
de Información (PETI) de la Entidad.
8
2.1. Estructura organizacional
A continuación, se presenta la estructura organizacional del Instituto Rural,

información dispuesta por la Oficina de Tecnologías de la Información (OTI).
Figura 1. Estructura organizacional del Instituto Rural
Fuente: Instituto Rural, 2019.
9
2.2. Cargos y funciones
De acuerdo con el Manual de Funciones del Instituto Rural, los cargos con
los que cuenta se detallan en la siguiente tabla:
Tabla 1. Cargos del Instituto Rural

N°.
NIVEL DENOMINACIÓN DEL EMPLEO CÓDIGO GRADO
CARGOS
1 DIRECTIVO Presidente de la Agencia E1 05
1 ASESOR Experto G3 07
3 TÉCNICO Técnico Asistencial 01 12
3 DIRECTIVO Vicepresidente de Agencia E2 04
1 DIRECTIVO Secretario General de Agencia E6 04
13 DIRECTIVO Director Técnico de Agencia E4 01
3 DIRECTIVO Jefe de Oficina de Agencia G1 06
2 DIRECTIVO Jefe de Oficina de Agencia G1 05
3 PROFESIONAL Gestor T1 17
27 PROFESIONAL Analista T2 06
1 PROFESIONAL Analista T2 05
108 TÉCNICO Técnico Asistencial O1 12
444 TOTAL
El personal relacionado anteriormente, junto con los contratistas que se

requieran para dar cobertura al 100% del territorio nacional, tendrán como
objetivo desempeñar las funciones del Instituto Rural, las cuales se detallan
a continuación:
1. Adoptar los planes de acción para la ejecución de las políticas de

desarrollo agropecuario y rural integral, a través de la estructuración de
proyectos estratégicos nacionales bajo los lineamientos del Ministerio de
Agricultura y Desarrollo Rural.
10
2. Promover la elaboración y adopción de planes de desarrollo
agropecuario y rural integral con enfoque territorial en las entidades
territoriales e instancias de integración territorial, y establecer los criterios
para su formulación, con base en las políticas que defina el Ministerio de
Agricultura y Desarrollo Rural, en coordinación con los demás sectores
administrativos.
3. Definir los criterios de formulación y estructuración de proyectos

estratégicos nacionales y de iniciativa territorial o asociativa, en términos de
su viabilidad técnica, jurídica, ambiental y financiera, de acuerdo con las
políticas del Ministerio de Agricultura y Desarrollo Rural.
4. Formular, estructurar, cofinanciar y ejecutar proyectos estratégicos

nacionales, así como aquellos de iniciativa territorial o asociativa, alineados
a los planes de desarrollo agropecuario y rural integral con enfoque territorial
y a la política formulada por el Ministerio de Agricultura y Desarrollo Rural.
5. Establecer y definir las líneas de cofinanciación de los proyectos integrales

de desarrollo agropecuario y rural integral con enfoque territorial.
6. Definir criterios para la calificación y selección de los proyectos integrales

a ser cofinanciados por la Agencia, acorde con los lineamientos de política
del Ministerio de Agricultura y Desarrollo Rural.
7. Diseñar, adoptar y divulgar los instrumentos para la formulación,

estructuración y adopción de planes y proyectos integrales de desarrollo
agropecuario y rural con enfoque territorial y asistir a las entidades
territoriales e instancias de integración territorial en su implementación.
8. Ejecutar la política relacionada con la atención a la agricultura familiar y

la atención a los pequeños agricultores de acuerdo con los lineamientos del
Ministerio de Agricultura y Desarrollo Rural.
9. Diseñar, adoptar y divulgar los instrumentos a través de los cuales la

Agencia ofrece los bienes y servicios para la cofinanciación de los planes y
proyectos integrales de desarrollo agropecuario y rural con enfoque
territorial, en el marco de la normativa vigente.
11
10. Diseñar y promover modelos de operación para la ejecución de los de
planes y proyectos integrales de desarrollo agropecuario y rural con
enfoque territorial, a través de esquemas de asociación público-privada,
concesiones, convenios marco de cofinanciación con entidades territoriales
y contratos con operadores, entre otros.
11. Definir los requerimientos técnicos y las condiciones que deben acreditar
los operadores encargados de la estructuración y ejecución de los
proyectos integrales de desarrollo agropecuario y rural con enfoque
territorial.
12. Adelantar procesos de coordinación inter e intrasectorial para facilitar la

intervención integral en el territorio, con base en la estrategia de articulación
adoptada por el Ministerio de Agricultura y Desarrollo Rural y la política de
coordinación del Gobierno nacional.
13. Coordinar con el Departamento para la Prosperidad Social y las demás

entidades competentes, la prestación de los servicios relacionados con la
superación de la pobreza y la pobreza extrema en las zonas donde
intervenga la Agencia, con el fin de evitar duplicidades en su gestión.
14. Apoyar a las entidades territoriales e instancias de integración territorial,

y a las organizaciones sociales, comunitarias y productivas rurales, para
asegurar su participación en los procesos de estructuración, cofinanciación
y ejecución de los proyectos integrales de desarrollo agropecuario y rural
con enfoque territorial que impulse la Agencia.
15. Desarrollar e implementar el sistema de monitoreo, seguimiento y control

a la ejecución de los proyectos integrales de desarrollo agropecuario y rural.
16. Diseñar y administrar el Banco de Proyectos de desarrollo agropecuario

y rural el cual contendrá los proyectos que estructuren, entre otras, la
Agencia, las entidades territoriales, las instancias de integración territorial y
las organizaciones sociales, comunitarias y productivas rurales.
17. Adelantar la gestión contractual para la ejecución de los proyectos

integrales de desarrollo agropecuario y rural financiados y cofinanciados por
la Agencia.
12
18. Apoyar el proceso de formalización de organizaciones sociales,
comunitarias y productivas rurales, entre otras, para facilitar su participación
en los procesos de planeación y ejecución de planes de desarrollo rural con
enfoque territorial.
19. Propiciar mecanismos de veeduría y participación ciudadana para

ejercer control social sobre los proyectos integrales de desarrollo
agropecuario y rural.
20. Constituir con otras personas jurídicas de derecho público o privado,

asociaciones, fundaciones o entidades para promover el desarrollo
agropecuario y rural.
21. Las demás que le asigne la ley de acuerdo a su naturaleza y objetivos.
13
2.3. Servicios del área informática
A continuación, se sintetizan los servicios vigentes del Instituto Rural, de

acuerdo con lo definido en el catálogo de servicios basados en
Tecnologías de la Información (TI).
Sitios o páginas web del Instituto Rural, que son utilizados para visualizar
información institucional, servicios, estadísticas, noticias y trámites
relacionados con su objeto institucional.
Permite la configuración, administración, soporte y mantenimiento a los

servidores (físicos y virtuales) que dan soporte a los sistemas de información
y servicios de TI del Instituto Rural.
Consiste en mantener disponible, operativo y en correcto funcionamiento

todo elemento que compone el centro de datos, dicho mantenimiento
debe ser sobre cada elemento ya sea activo o pasivo, así como también
mantener el lugar organizado y acatar las políticas de seguridad y gestión
dadas por la Oficina de Tecnologías de la Información.
14
Consiste en la ejecución de todos los procesos técnicos, operativos y
administrativos para la correcta operación de los servicios de base de datos
de la Entidad.
Busca facilitar a los usuarios y/o colaboradores comunicarse utilizando un

medio que facilite la colaboración y las decisiones rápidas.
Consiste en un sistema que integra varios medios de comunicación como

servicios de telefonía, buzón de voz, mensajería instantánea corporativa,
conferencias web y estado de disponibilidad del usuario en una sola e
innovadora experiencia para los usuarios. Los usuarios y/o colaboradores del
Instituto Rural cuentan con una extensión telefónica desde la cual pueden
tener acceso a los servicios anteriormente mencionados. El usuario y/o
colaborador puede realizar conferencias telefónicas o mediante video
desde su equipo o desde las salas dispuestas con dicha infraestructura.
15
Consiste en el conjunto de elementos que permite conexión de la totalidad
de los equipos de la Entidad con los servicios tecnológicos e Internet,
teniendo en cuenta las políticas y esquemas de seguridad establecidos en
el instituto Rural para proteger la información que se transfiere a través de
los canales de comunicación.
Consiste en realizar copias de seguridad de la información almacenada en

la totalidad de la infraestructura tecnológica y servicios prestados por la
OTIC del Instituto Rural. Las copias de seguridad se realizan de forma
periódica (diaria, semanal y mensual) de acuerdo con las necesidades y
políticas definidas por la OTI, lo que permite la restauración de información
borrada por algún evento de seguridad informática que se presente al
interior de la entidad.
Consiste brindar el soporte, accesos a los aplicativos, y modificaciones

funcionales acorde a las necesidades de las áreas y procesos estratégicos,
de evaluación y control, misionales, de apoyo del Instituto Rural.
16
Consiste en brindar la administración y operación de la seguridad de la
información para los servicios de TI acorde a las necesidades definidas en
la política de Seguridad de la Información del Instituto Rural.
Consiste en brindar la administración, operación y soporte del servicio de

impresión y digitalización para el Instituto Rural y sus sedes.
El Servicio de outsourcing de impresión consiste en el diseño,

implementación, operación y soporte del servicio de impresión,
digitalización, para el instituto Rural y sus sedes, dentro del servicio se debe
contemplar el suministro de equipos de impresión y consumibles.
Consiste en brindar la gestión y administración de servicios base (Directorio

Activo, DNS, DHCP, Proxy, file server, impresión entre otros), así como la
operación diaria, mantenimientos, revisiones, soporte técnico,
configuraciones, de la infraestructura base de servicios con los que cuenta
el Instituto Rural y sus sedes.
17
Consiste en brindar el soporte técnico y adecuado funcionamiento del
puesto de trabajo para los usuarios y/o colaboradores del Instituto Rural y sus
sedes para el cumplimiento de sus funciones diarias.
Consiste en brindar el soporte técnico, operación, atención, administración

y mantenimiento de las salas de reuniones, donde se incluyen equipos de
sonido, grabación, equipos de proyección, videoconferencia, logística para
la coordinación de reuniones y todo lo requerido a nivel tecnológico para
asistencia a reuniones de los usuarios y/o colaboradores del Instituto Rural.
Permite gestionar la elaboración de los conceptos técnicos relacionados

con las adquisiciones tecnológicas en el ámbito de hardware, software,
sistemas de información y conceptos técnicos para las aplicaciones y
sistemas de información.
El servicio de Oficina de Proyectos - PMO, facilita el acompañamiento y el

apoyo necesario para gestionar proyectos de tecnologías de la información
del Instituto Rural de forma estructurada basándose en buenas prácticas.
18
2.4. Activos informáticos
Tabla 2. Activos de información del Instituto Rural

DEPENDENCIA DEPENDENCIA
MEDIO O NIVEL DE
RESPONSABLE DE RESPONSABLE DE NOMBRE O TÍTULO PUBLICADA O Fecha de
SOPORTE EN QUE CLASIFICACIÓN Frecuencia
PROCESO LA PRODUCCIÓN LA CUSTODIA Y DE LA DESCRIPCIÓN DEL CONTENIDO DE LA INFORMACIÓN FORMATO DISPONIBLE PARA DISPONIBILIDAD generación de la
ESTA LA DE LA de actualización
DE LA ACCESO A LA INFORMACIÓN CONSULTA información
INFORMACIÓN INFORMACIÓN
Secretaría Secretaría Papel / Imagen / Audio /
Control
General - General - PROCESOS Documentos donde se juzga el comportamiento de los servidores públicos y de los particulares que ejercen Electrónico / Video / Documento Disponible para Información Por autonomía del
Disciplinario hasta 10 días hábiles. 26/08/2016
Control Interno Control Interno DISCIPLINARIOS funciones públicas frente a normas administrativas de carácter ético. Video / Audio / de texto / Base de consulta pública reservada responsable
Interno
Disciplinario Disciplinario Discos datos
Secretaría Secretaría
General - General -
Gestión ACTAS - Actas baja Documento donde se registra los bienes que según concepto técnico por su estado quedaron clasificados como Papel / Disponible para Por autonomía del
Dirección Dirección Documento de texto Datos Abiertos hasta 10 días hábiles. 8/07/2017
Administrativa de Bienes Muebles bienes inservibles, servibles no utilizables u obsoletos. Electrónico consulta responsable
Administrativa y Administrativa y
Financiera Financiera
ACTAS - Actas
Comité Técnico de
General - General -
Gestión Sostenibilidad del Documento en donde se deja constancia del desarrollo de las sesiones ordinarias y/o extraordinarias del Comité Papel / Disponible para Por acuerdo entre las
Financiera Sistema de Técnico de Sostenibilidad del Sistema de Información Financiera y el Comité de Cartera. Electrónico consulta partes
Información
Financiera
ACTAS - Actas
Comité para la
General - General - Documento en donde se deja constancia del desarrollo de las sesiones ordinarias y/o extraordinarias del Comité
Gestión implementación Papel / Disponible para Por acuerdo entre las
Dirección Dirección para la implementación del nuevo marco normativo y de convergencia hacia las Normas Internacionales de Documento de texto Datos Abiertos hasta 10 días hábiles. 8/07/2017
Financiera del nuevo marco Electrónico consulta partes
Administrativa y Administrativa y Contabilidad para el Sector Público
normativo
contable
General - General - ACTAS - Actas de
Gestión Papel / Disponible para Por acuerdo entre las
Dirección Dirección Reunión Grupo de Documento que evidencia acciones tomadas frente al grupo de trabajo Documento de texto Datos Abiertos hasta 10 días hábiles. 8/07/2017
Financiera Electrónico consulta partes
Administrativa y Administrativa y Trabajo
CERTIFICACIONES -
General - General - Información
Gestión Certificaciones de Documento donde se reporta los pagos y deducciones a favor de un proveedor, ya sea persona natural o Documento de texto Disponible para Inmediato, hasta 10 días
Dirección Dirección Electrónico pública 2/01/2017 Diaria
Financiera Ingresos y jurídica, al igual del personal adscrito a la planta de la entidad / Hoja de cálculo consulta hábiles.
Administrativa y Administrativa y clasificada
Retenciones
COMPROBANTES
General - General -
Gestión DE CONTABILIDAD - Papel / Documento de texto Disponible para Inmediato, hasta 10 días
Dirección Dirección Documento en donde se registra una operación contable Datos Abiertos 2/01/2017 Diaria
Financiera Comprobantes de Electrónico / Hoja de cálculo consulta hábiles.
Ingreso
General - General - COMPROBANTES
Gestión Papel / Documento de texto Disponible para Inmediato, hasta 10 días
Dirección Dirección DE CONTABILIDAD - Documento en donde se registra una operación contable Datos Abiertos 9/07/2017 Diaria
Financiera Electrónico / Hoja de cálculo consulta hábiles.
Administrativa y Administrativa y Órdenes de Pago
General - General -
Gestión CONCILIACIONES Proceso que permite confrontar y conciliar los valores que la entidad tiene registrados, de una cuenta de ahorros Disponible para
Dirección Dirección Electrónico Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 9/07/2017 Mensual
Financiera BANCARIAS o corriente, con los valores que el banco suministra por medio del extracto bancario. consulta
General - General - CONSECUTIVO
Gestión Es la disposición de las comunicaciones oficiales, el cual es ordenada consecutivamente teniendo en cuenta el Disponible para
Dirección Dirección COMUNICACIONES Papel Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 9/07/2017 Diaria
Documental número asignado en la radicación. consulta
Administrativa y Administrativa y OFICIALES
General - General - Consolidación de los movimientos financieros de la entidad (Abono a cuenta y débitos) - Lo cual contiene entre
Gestión CUENTAS Papel / Documento de texto Disponible para
Dirección Dirección otros los siguientes documentos: Documentos de apertura de cuentas, extractos bancarios, cheques, cruce de Datos Abiertos hasta 10 días hábiles. 2/06/2016 Diaria
Financiera BANCARIAS Electrónico / Imagen consulta
Administrativa y Administrativa y correspondencia entre las partes, tarjetas de firmas autorizadas y condiciones de manejo.
Secretaría Secretaría DECLARACIONES
General - General - TRIBUTARIAS -
Gestión Registro del pago efectuado por la entidad como agente retenedor del pago anticipado del impuesto de la Papel / Documento de texto Disponible para Por autonomía del
Dirección Dirección Declaración de Datos Abiertos hasta 10 días hábiles. 9/07/2017
Financiera renta y complementarios Electrónico / Imagen consulta responsable
Administrativa y Administrativa y Retención en la
Financiera Financiera Fuente
Secretaría Secretaría DECLARACIONES
General - General - TRIBUTARIAS -
Gestión Papel / Documento de texto Disponible para Por autonomía del
Dirección Dirección Declaración de Pago efectuado por la entidad en el impuesto de ingresos y patrimonio Datos Abiertos hasta 10 días hábiles. 9/07/2017
Financiera Electrónico / Imagen consulta responsable
Administrativa y Administrativa y Ingresos y
Financiera Financiera Patrimonio
19
MEDIO O NIVEL DE
INFORMES -
General - General -
Gestión Informes de Inmediato, hasta 10 días
Dirección Dirección Gestión del Presupuesto de Ingresos y Gastos de la Entidad Electrónico Hoja de cálculo Publicada Datos Abiertos 2/01/2017 Diaria
Financiera Ejecución hábiles.
Presupuestal
General - General -
Gestión ESTADOS Informes que permiten conocer la situación económica social y los cambios que experimenta la misma a una Hoja de cálculo / Inmediato, hasta 10 días
Dirección Dirección Electrónico Publicada Datos Abiertos 2/01/2017 Trimestral
Financiera FINANCIEROS fecha o periodo determinado, la cual es útil para la Entidad Imagen hábiles.
General - General - INFORMES -
Gestión Información correspondiente a las personas naturales y jurídicas que tengan deudas superiores a cinco (5)
Dirección Dirección Informes Deudores Electrónico Hoja de cálculo Publicada Datos Abiertos
Financiera salarios mínimos legales mensuales vigentes (es decir $ 3.906.210 para el año 2018) y más de seis meses de mora.
Administrativa y Administrativa y Morosos
General - General -
Gestión Papel / Hoja de cálculo / Disponible para
Dirección Dirección INGRESOS Todo lo que genere derechos adquiridos Datos Abiertos hasta 10 días hábiles. 2/01/2017 Mensual
Financiera Electrónico Documentos físicos consulta
PLANES - Plan
General - General -
Gestión Anual PAC: Plan Anual Mensualizado de Caja. Es el monto máximo mensual de pagos que puede realizar la entidad, Papel / Hoja de cálculo / Disponible para
Dirección Dirección Datos Abiertos hasta 10 días hábiles. 1/05/2016 Mensual
Financiera Mensualizado de previa aprobación del Ministerio de Hacienda y Crédito Público Electrónico Documentos físicos consulta
Caja - PAC
CERTIFICADOS DE
General - General -
Gestión REGISTRO RP-: Proceso mediante el cual se afecta el presupuesto de gastos definitivamente, amparando un acto legal y Papel / Documento de texto Disponible para
Dirección Dirección Datos Abiertos hasta 10 días hábiles. 18/05/2016 Diaria
Financiera PRESUPUESTAL garantizando que las apropiaciones no serán desviadas a ningún otro fin. Electrónico / Imagen consulta
(CRP)
CERTIFICADOS DE
General - General -
Gestión DISPONIBILIDAD Documento con el cual se certifica que existe apropiación presupuestal disponible y libre de afectación para la Papel / Documento de texto Disponible para
Dirección Dirección Datos Abiertos hasta 10 días hábiles. 18/05/2016 Diaria
Financiera PRESUPUESTAL asunción de compromisos afectando el presupuesto de gastos de forma parcial. Electrónico / Imagen consulta
(CDP)
LEGALIZACION
General - General - Documentos que se entregan por parte de los empleados públicos que deban viajar fuera de su sede de
Gestión GASTOS DE Documento de texto Disponible para Documento
Dirección Dirección trabajo, en desarrollo de comisiones de servicio dentro del país o en el exterior, tendrán derecho al Papel hasta 10 días hábiles. 1/01/2018 Diaria
Administrativa PERMANENCIA Y / Hoja de cálculo consulta definitivo
Administrativa y Administrativa y reconocimiento y pago de los gastos de transporte, de acuerdo con reglamentaci6n especial del gobierno
VIÁTICOS
Secretaría Secretaría HISTORIAL DE
Planos / Imagen /
General - General - CONTROL Y
Gestión Papel / Audio / Video / Disponible para Documento en Por autonomía del
Dirección Dirección MANTENIMIENTO A Documentos donde se registra el mantenimiento a las instalaciones, de la Agencia. hasta 10 días hábiles. 1/06/2018
Administrativa Electrónico Documento de texto consulta Construcción responsable
Administrativa y Administrativa y SEDES
/ Base de datos
Financiera Financiera ADMINISTRATIVAS
General - General - Documentos relativos al vehículo, como impronta, tarjeta de propiedad, manifiesto de aduana, cartilla de
Gestión HISTORIAL DE Papel / Disponible para Por autonomía del
Dirección Dirección garantía, factura de compra o resolución de transferencia, soat, soporte de pago de impuesto, mantenimiento Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 30/01/2017
Administrativa VEHÍCULOS Electrónico consulta responsable
Administrativa y Administrativa y preventivo y correctivo, revisión tecno mecánica
COMPROBANTES
DE ALMACÉN -
General - General -
Gestión Comprobantes de Disponible para Por autonomía del
Dirección Dirección Registros de la salida física de los bienes de consumo Almacén Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 1/08/2017
Administrativa Egresos de consulta responsable
Almacén de Bienes
de Consumo
COMPROBANTES
Secretaría Secretaría DE ALMACÉN -
General - General - Comprobantes de
Gestión Documento de texto Disponible para Por autonomía del
Dirección Dirección Egresos de Registros de la salida física de los bienes muebles de Almacén Papel Datos Abiertos hasta 10 días hábiles. 1/01/2018
Administrativa / Hoja de cálculo consulta responsable
Administrativa y Administrativa y Almacén de Bienes
Financiera Financiera Muebles e
Inmuebles
COMPROBANTES
DE ALMACÉN -
Gestión Comprobantes de Documento de texto Disponible para
Dirección Dirección Registros del ingreso de bienes de consumo al Almacén Papel pública hasta 10 días hábiles. 1/08/2017 Mensual
Administrativa Ingreso de / Hoja de cálculo consulta
Almacén de Bienes
de Consumo
COMPROBANTES
Secretaría Secretaría DE ALMACÉN -
General - General - Comprobantes de
Gestión Disponible para
Dirección Dirección Ingreso de Registros del ingreso de bienes muebles al Almacén Electrónico Documento de texto Datos Abiertos hasta 10 días hábiles. 1/08/2017 Mensual
Administrativa consulta
Administrativa y Administrativa y Almacén de Bienes
Financiera Financiera Muebles e
Inmuebles
General - General - INFORMES -
Gestión Documento de texto Disponible para
Dirección Dirección Informes de Estado Compendio de los bienes que tienen la Agencia Electrónico Datos Abiertos hasta 10 días hábiles. 8/07/2017 Mensual
Administrativa / Imagen consulta
Administrativa y Administrativa y de Almacén
20
MEDIO O NIVEL DE
El Plan Anual de Adquisiciones es una herramienta para: (i) facilitar a la Agencia a identificar, registrar, programar
General - General - PLANES - Plan
Gestión y divulgar sus necesidades de bienes, obras y servicios; y (ii) Electrónico / Disponible para Inmediato, hasta 10 días
Dirección Dirección Anual de Hoja de cálculo Datos Abiertos 7/09/2016 Mensual
Administrativa diseñar estrategias de contratación basadas en agregación de la demanda que permitan incrementar la Papel consulta hábiles.
Administrativa y Administrativa y Adquisiciones
eficiencia del proceso de contratación.
General - General -
Gestión POLIZAS DE Contrato que obliga, mediante el cobro de una prima, a indemnizar el daño producido. Existen diversos tipos de Electrónico / Disponible para Por autonomía del
Administrativa SEGUROS seguros que suponen un respaldo financiero para el asegurado ante eventualidades. Papel consulta responsable
Programa de
Gestión General - General - Papel / Disponible para Documento en
gestión Programa de gestión documental Documento de texto
Documental Gestión Gestión Electrónico consulta Construcción
documental - PGD
Documental Documental
Programa de
Gestión General - General - Disponible para Documento en
gestión Acto administrativo de adopción Papel Documento de texto
Documental Gestión Gestión consulta Construcción
documental - PGD
Programa de
transferencias Cronograma Papel Documento de Texto
documentales
Programa de
Gestión General - General - Papel / Hoja de cálculo / Disponible para Documento en
transferencias Inventario
Documental Gestión Gestión Electrónico Base de datos consulta Construcción
documentales
Programa de
transferencias Acta Papel Documento de texto
documentales
Gestión General - General - Plan institucional Disponible para Documento en
Plan institucional de archivos - PINAR Papel Documento de texto
Documental Gestión Gestión de archivos - PINAR consulta Construcción
Gestión General - General - Plan institucional Disponible para Documento en
Acto administrativo de adopción Papel Documento de texto
Documental Gestión Gestión de archivos - PINAR consulta Construcción
Secretaría Secretaría INSTRUMENTOS DE
Gestión General - General - CLASIFICACIÓN Y Disponible para Documento en
Tablas de Retención Documental Papel Documento de texto
Documental Gestión Gestión RETENCIÓN consulta Construcción
Documental Documental DOCUMENTAL
Soportes TRD Papel Documento de texto
Cuadros de Clasificación Documental Papel Documento de texto
Acta Papel Documento de texto
Acto administrativo de adopción Papel Documento de texto
Certificado de registro único de series documentales - RUSID Papel Documento de texto
Comunicación oficial Papel Documento de texto
Gestión General - General - REGISTRO Y Disponible para Por autonomía del
Planillas de control correo enviado Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 7/12/2016
Documental Gestión Gestión CONTROL consulta responsable
Planillas de control entrega de correo recibido Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 7/12/2016
Planillas de entrega documentación a la mano Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 7/12/2016
Planillas devolución correo Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 7/12/2016
21
MEDIO O NIVEL DE
REGISTROS DE
Gestión General - General - Disponible para Por autonomía del
CONSULTA DE Registro de consulta expedientes Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 7/12/2016
Documental Gestión Gestión consulta responsable
EXPEDIENTES
SEGUIMIENTO A
ORGANIZACIÓN DE
ARCHIVOS Y Listado de asistencia Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 7/12/2016
FONDOS
DOCUMENTALES
SEGUIMIENTO A
ORGANIZACIÓN DE Documento de texto
Gestión General - General - Papel / Disponible para Por autonomía del
ARCHIVOS Y Anexo - acta de reunión / Hoja de cálculo / Datos Abiertos hasta 10 días hábiles. 7/12/2016
Documental Gestión Gestión Electrónico consulta responsable
FONDOS Bases de datos
DOCUMENTALES
SEGUIMIENTO A
ORGANIZACIÓN DE
ARCHIVOS Y Informe de seguimiento Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 7/12/2016
FONDOS
DOCUMENTALES
SEGUIMIENTO A
ORGANIZACIÓN DE
ARCHIVOS Y Comunicación oficial Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 7/12/2016
FONDOS
DOCUMENTALES
TABLAS DE
CONTROL DE Tablas de Control de Acceso Papel Documento de texto
ACCESO
TABLAS DE
CONTROL DE Acto administrativo de adopción Papel Documento de texto
ACCESO
General - General - El fondo de caja menor contablemente hablando, dinero que se destina para cubrir pagos menores que se
Gestión Electrónico / Disponible para
Dirección Dirección CAJA MENOR generan al interior de la Agencia, como por ejemplo gastos de servicio de taxi eventuales, gastos de cafetería, Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 2/02/2017 Diaria
Administrativa Papel consulta
Administrativa y Administrativa y gastos en compra de elementos de aseo entre otros.
DECLARACIONES
TRIBUTARIAS -
General - General -
Gestión Declaración Papel / Documento de texto Disponible para Por autonomía del
Dirección Dirección Registro del pago tributario efectuado sobre el desarrollo de actividades comerciales y de servicio Datos Abiertos hasta 10 días hábiles. 9/07/2016
Financiera Retención Electrónico / Imagen consulta responsable
Impuesto Industria
y Comercio - ICA
INFORMES -
General - General -
Gestión Informes de Gestión del proceso de ejecución de pagos de cuentas por pagar o reservas presupuestales constituidas en la Inmediato, hasta 10 días
Dirección Dirección Electrónico Hoja de cálculo Publicada Datos Abiertos 2/01/2017 Diaria
Financiera Rezago vigencia fiscal anterior hábiles.
Presupuestal
INSTRUMENTOS
General - General - Instrumento de recuperación de información que describe de manera exacta y precisa las series, subseries y
Gestión ARCHIVISTICOS - Disponible para
Dirección Dirección expedientes en un fondo documental. Electrónico Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 8/07/2017 Diaria
Documental Inventario consulta
Documental
INSTRUMENTOS
General - General -
Gestión ARCHIVISTICOS - Disponible para Inmediato, hasta 10 días Por acuerdo entre las
Dirección Dirección Es un instrumento para la planeación de la función archivística, el cual se articula con los demás planes y papel Documento de texto Datos Abiertos 8/07/2017
Documental Plan Institucional consulta hábiles. partes
Administrativa y Administrativa y proyectos estratégicos previstos por la entidad.
de Archivos - PINAR
Secretaría Secretaría INSTRUMENTOS Conjunto de planes, programas, procesos y procedimientos de conservación documental y preservación digital,
General - General - ARCHIVISTICOS - bajo el concepto de archivo total, acorde con la política de gestión documental; tendiente a asegurar el
Gestión Disponible para Inmediato, hasta 10 días Por acuerdo entre las
Dirección Dirección Sistema Integrado adecuado mantenimiento de cualquier tipo de información, independiente del medio o tecnología con la cual papel Documento de texto Datos Abiertos 8/07/2017
Documental consulta hábiles. partes
Administrativa y Administrativa y de Conservación se haya elaborado, conservando atributos tales como unidad, integridad autenticidad, inalterabilidad,
Financiera Financiera Documental - SIC originalidad, fiabilidad y accesibilidad, desde el momento de su producción y/o recepción, durante su gestión,
hasta su disposición final.
General - General - INSTRUMENTOS - Es un instrumento de referencia, que determina el uso, consulta y acceso de la información que produce la
Gestión Disponible para Por acuerdo entre las
Dirección Dirección Tablas de Control Agencia y que tiene la cualidad de clasificada y reservada según la ley correspondiente por parte de los usuarios Electrónico Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 8/07/2017
Documental consulta partes
Administrativa y Administrativa y de Acceso internos y externos.
INSTRUMENTOS -
General - General -
Gestión Tablas de Disponible para Por acuerdo entre las
Dirección Dirección Listado de series, subseries con sus correspondientes tipos documentales, a las cuales se asigna el tiempo de Electrónico Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 8/07/2017
Documental Retención consulta partes
Administrativa y Administrativa y permanencia en cada etapa del ciclo vital de los documentos
Documental
INSTRUMENTOS DE
REGISTRO Y
General - General -
Gestión CONTROL Disponible para Por acuerdo entre las
Dirección Dirección Es un documento que evidencia el control de entrega de comunicaciones oficiales externas. papel Documento de texto Datos Abiertos hasta 10 días hábiles. 8/07/2017
Documental DOCUMENTAL - consulta partes
Planillas de Control
de
22
MEDIO O NIVEL DE
Comunicaciones
Enviadas
INSTRUMENTOS DE
Secretaría Secretaría REGISTRO Y
General - General - CONTROL
Dirección Dirección DOCUMENTAL - Es un documento que evidencia el control de entrega de las comunicaciones oficiales. papel documento de texto Datos Abiertos hasta 10 días hábiles. 8/07/2017
Administrativa y Administrativa y planillas de Control
Financiera Financiera Entrega de
Comunicaciones
INSTRUMENTOS DE
Dirección Dirección DOCUMENTAL - Es un documento donde se registra las comunicaciones oficiales que no surtieron su entrega efectiva por parte papel documento de texto Datos Abiertos hasta 10 días hábiles. 8/07/2017
Administrativa y Administrativa y Planillas del operador y por lo tanto son devueltas a sus remitentes.
Financiera Financiera Devolución de
Comunicaciones
INSTRUMENTOS DE
Dirección Dirección DOCUMENTAL - papel documento de texto Datos Abiertos hasta 10 días hábiles. 8/07/2017
Administrativa y Administrativa y Planilla de Es un documento donde se registra la documentación que se pretende archivar en un expediente.
Financiera Financiera Incorporación de
Documentos
General - General - LIBROS DE Libros donde se registran en forma analítica y detallada los valores y la información registrada en libros
Gestión Papel / Documento de texto Disponible para
Dirección Dirección CONTABILIDAD - principales. Existe la obligación de llevarlos ya que estos deben servir de soporte para conocer las transacciones Datos Abiertos hasta 10 días hábiles. 2/01/2017 Diaria
Financiera Electrónico / Hoja de cálculo consulta
Administrativa y Administrativa y Libros Auxiliares individuales.
General - General - LIBROS DE
Gestión Libro que recoge todas las operaciones económicas registradas en las distintas cuentas contables de la entidad Papel / Documento de texto Disponible para
Dirección Dirección CONTABILIDAD - Datos Abiertos hasta 10 días hábiles. 2/01/2017 Diaria
Financiera de manera cronológica. Electrónico / Hoja de cálculo consulta
Administrativa y Administrativa y Libros Mayores
Gestión Suma de todos los registros financieros de los sueldos de los empleados, incluyendo los salarios, las bonificaciones Papel / Disponible para
Dirección Dirección NOMINA Hoja de cálculo pública hasta 10 días hábiles. Mensual
Financiera y las deducciones. Electrónico consulta
PROGRAMAS -
General - General - Es un instrumento archivístico que formula y documenta a corto, mediano y largo plazo, el desarrollo sistemático
Gestión Programa de Disponible para Inmediato, hasta 10 días Por acuerdo entre las
Dirección Dirección de los procesos archivísticos, encaminados a la planificación, procesamiento, manejo y organización de la papel documento de texto Datos Abiertos 8/07/2017
Documental Gestión consulta hábiles. partes
Administrativa y Administrativa y documentación producida y recibida por una entidad, desde su origen hasta su destino final, con el objetivo de
Documental - PGD
Financiera Financiera facilitar su utilización y conservación.
General - General - REGISTROS DE
Dirección Dirección CONSULTA DE Son los registros que evidencia el trámite de consulta de expedientes al archivo central. papel Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 8/07/2017 Diaria
Documental consulta
Administrativa y Administrativa y EXPEDIENTES
Secretaría Secretaría TRANSFERENCIAS
General - General - DOCUMENTALES -
Dirección Dirección Transferencias Es el traslado de documentos de los archivos de gestión o de oficina al archivo central. papel Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 10/07/2016
Administrativa y Administrativa y Documentales
Financiera Financiera Primarias
Secretaría Secretaría TRANSFERENCIAS
General - General - DOCUMENTALES -
Dirección Dirección Transferencias Es el traslado de documentos del archivo central al archivo histórico para su conservación permanente papel Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 8/07/2017
Administrativa y Administrativa y Documentales
Financiera Financiera Secundarias
Direccionamiento ACUERDOS -
Secretaría Secretaría Decisión sobre algo tomada en común por los miembros del Consejo Directivo que afectan el funcionamiento de Papel / Disponible para
Estratégico Acuerdo de Documento de Texto Datos Abiertos hasta 10 días hábiles. nov-16 Mensual
General General la Agencia. Electrónico consulta
Institucional Consejo Directivo
Direccionamiento CIRCULARES -
Secretaría Secretaría Documento que emite la Agencia a todos sus colaboradores, para dar a conocer disposiciones de carácter Disponible para Por autonomía del
Estratégico Circulares Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 17/06/2016
General General oficial que deben de ser llevados a cabo al pie de la letra. consulta responsable
Institucional Informativas
Direccionamiento CIRCULARES - Es un documento que dirige una autoridad competente para la ejecución de una norma a todos o aparte de sus
Secretaría Secretaría Disponible para Por autonomía del
Estratégico Circulares subalternos simultáneamente para darle a conocer disposiciones o asuntos internos para que se cumplan a Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 17/06/2016
General General consulta responsable
Institucional reglamentarias cabalidad.
Direccionamiento
Secretaría Secretaría ACTAS - Actas de Documento escrito en el que se relatan en forma clara, pormenorizada y veraz, los hechos relativos a la toma de Disponible para Por autonomía del
Estratégico Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 20/04/2016
General General posesión y encargo posesión de un cargo público. consulta responsable
Institucional
INFORMES -
Direccionamiento
Secretaría Secretaría Informes Son aquellos informes establecidos por norma para ser presentados a los órganos de control cuando la norma lo Disponible para Por autonomía del
General General organismos de establece o los requieran. consulta responsable
Institucional
control
Direccionamiento
Secretaría Secretaría INFORMES - Informe Descripción detallada de las características y circunstancias de un asunto específico que es solicitado por otra Disponible para Por autonomía del
General General a otras entidades entidad. consulta responsable
Institucional
Direccionamiento
Secretaría Secretaría INFORMES - Documento que incluye las actividades de coordinación, gestión, administración y dirección que se han Disponible para Por autonomía del
General General Informes de gestión efectuado durante un período de tiempo. consulta responsable
Institucional
23
MEDIO O NIVEL DE
Direccionamiento Resolución administrativa consiste en una orden escrita dictada por el jefe de un servicio público que tiene
Estratégico RESOLUCIONES carácter general, obligatorio y permanente, y se refiere al ámbito de competencia del servicio. papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 30/03/2016
Institucional Las resoluciones se dictan para cumplir las funciones que la ley encomienda a cada servicio público.
Secretaría Secretaría Derecho que tiene toda persona a formular peticiones respetuosas en interés general, solicitar y obtener
Participación y
General - General - DERECHOS DE informaciones y consultas sobre asuntos asignados a la Agencia de conformidad con lo establecido en la Electrónico / Disponible para Por autonomía del
Atención al Documento de texto Datos Abiertos hasta 10 días hábiles. 21/05/2015
Atención al Atención al PETICIÓN - Petición Constitución Política de Colombia y el Código de Procedimiento Administrativo y de lo Contencioso Papel consulta responsable
Ciudadano
Ciudadano Ciudadano Administrativo.
Participación y
General - General - DERECHOS DE Electrónico / Disponible para
Atención al Expresión de insatisfacción con la conducta o la actuación de los servidores públicos de la Agencia. Documento de texto Datos Abiertos hasta 10 días hábiles. 30/06/2017 Trimestral
Atención al Atención al PETICIÓN - Queja Papel consulta
Ciudadano
Ciudadano Ciudadano
Participación y DERECHOS DE
General - General - Documento mediante el cual un usuario solicita se le entreguen copias que reposan en la Agencia sobre un Electrónico / Disponible para Por autonomía del
Atención al PETICIÓN - Solicitud Documento de texto Datos Abiertos hasta 10 días hábiles. 21/05/2015
Atención al Atención al asunto de interés. Papel consulta responsable
Ciudadano de copias
Ciudadano Ciudadano
Participación y DERECHOS DE Expresión de insatisfacción, inconformidad, desagrado o descontento que un ciudadano pone en conocimiento
General - General - Electrónico / Disponible para
Atención al PETICIÓN - por el incumplimiento de un requisito, la deficiente atención en un servicio prestado o irregularidad de alguna de Documento de texto Datos Abiertos hasta 10 días hábiles. 30/06/2017 Trimestral
Atención al Atención al Papel consulta
Ciudadano Reclamo las características de los servicios ofrecidos por la Agencia.
Ciudadano Ciudadano
General - General - Consejo o propuesta que formula un ciudadano externo a la entidad para mejorar, agilizar, la calidad de los Electrónico / Disponible para Por autonomía del
Atención al PETICIÓN - Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Atención al Atención al servicios, trámite y/o la atención. Papel consulta responsable
Ciudadano Sugerencia
Ciudadano Ciudadano
General - General - Electrónico / Disponible para Por autonomía del
Atención al PETICIÓN - En cuando un ciudadano manifiesta su satisfacción por un servicio prestado Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Atención al Atención al Papel consulta responsable
Ciudadano Felicitación
Ciudadano Ciudadano
Participación y DERECHOS DE Puesta en conocimiento ante una autoridad competente de una conducta posiblemente irregular, para que se
Atención al PETICIÓN - adelante la correspondiente investigación penal, disciplinaria, fiscal, administrativa-sancionatoria o ético Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Ciudadano Denuncia profesional.
Ciudadano Ciudadano
General - General - Es la solicitud verbal o escrita en la que se somete un caso o asuntos a consideración del Instituto Rural, con el fin Electrónico / Disponible para Por autonomía del
Atención al PETICIÓN - Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Atención al Atención al de obtener respuesta a sus inquietudes. Papel consulta responsable
Ciudadano Consulta
Ciudadano Ciudadano
Atención al PETICIÓN - Petición Documento por medio del cual una entidad solicita información a otra entidad. Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Ciudadano entre autoridades
Ciudadano Ciudadano
DERECHOS DE
Participación y PETICIÓN -
Atención al Desistimiento a Documento mediante el cual un usuario desiste en cualquier tiempo de su petición Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Ciudadano derecho de
Ciudadano Ciudadano
petición
Participación y
General - General - DERECHOS DE Es la oportunidad que tiene todo ciudadano de manifestar su inconformidad sobre una decisión, acto, hecho del Electrónico / Disponible para Por autonomía del
Atención al Atención al PETICIÓN - Recurso Instituto Rural. Papel consulta responsable
Ciudadano
Ciudadano Ciudadano
DERECHOS DE
Atención al Respuesta a Documento por medio del cual se le da respuesta a un ciudadano sobre un derecho de petición. Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Ciudadano derecho de
Ciudadano Ciudadano
petición
DERECHOS DE
Atención al Comunicación de Documento mediante el cual la Entidad traslada una comunicación que le compete a otra entidad. Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Ciudadano traslado por
Ciudadano Ciudadano
competencia
DERECHOS DE
Participación y PETICIÓN - Solicitud
General - General - Documento por medio del cual la Agencia le informa a un ciudadano los motivos para la ampliación del término Electrónico / Disponible para Por autonomía del
Atención al ampliación del Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Atención al Atención al para responder un Derecho de Petición. Papel consulta responsable
Ciudadano término para
Ciudadano Ciudadano
responder
DERECHOS DE
PETICIÓN - Solicitud
Secretaría Secretaría de
Participación y
General - General - complementación, Documento por medio del cual un ciudadano solicita que se le complemente, corrija o aclare una respuesta a Electrónico / Disponible para Por autonomía del
Atención al Atención al corrección o derecho de petición. Papel consulta responsable
Ciudadano
Ciudadano Ciudadano aclaración a
derecho de
petición
Atención al PETICIÓN - Documento por medio del cual se le informa a un usuario sobre una actuación administrativa. Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Ciudadano Notificación
Ciudadano Ciudadano
DERECHOS DE
Atención al Respuesta Documento que se recibe de un requerimiento efectuado por el Instituto Rural a un usuario externo. Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Ciudadano allegada por
Ciudadano Ciudadano
externo
24
MEDIO O NIVEL DE
DERECHOS DE
Secretaría Secretaría PETICIÓN -
Participación y
General - General - Constancia de Electrónico / Disponible para Por autonomía del
Atención al Documento que evidencia la respuesta emitida por el Instituto Rural y entregada al ciudadano. Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Atención al Atención al entrega respuesta Papel consulta responsable
Ciudadano
Ciudadano Ciudadano a derecho de
petición
Participación y
General - General - INFORMES - Electrónico / Disponible para Por autonomía del
Atención al Los informes evidencian la gestión realizada en el área de Atención al Ciudadano. Documento de texto Datos Abiertos hasta 10 días hábiles. 6/01/2017
Atención al Atención al Informes de gestión Papel consulta responsable
Ciudadano
Ciudadano Ciudadano
Según cómo se clasifique
la solicitud de la
información.
Secretaría Secretaría Información: 10 días
ACTAS - Actas de Documento que refiere las deliberaciones o decisiones que se toman al interior de la comisión, cuyo objeto es
Gestión Talento General - General - Disponible para Copias: 3 días
Comisión de garantizar la participación de los empleados en las decisiones que los afecten, así como la vigilancia y el respeto Papel Documento de texto Datos Abiertos 21/04/2016 Mensual
Humano Dirección de Dirección de consulta Consulta en relación con
Personal por las normas y los derechos de carrera.
Talento Humano Talento Humano la materia a su cargo: 30
días
Derecho de Petición: 15
días
la solicitud de la
información.
ACTAS - Actas de Documento que refiere las deliberaciones o decisiones que se toman al interior del Comité, cuyo objeto es Información
Gestión Talento General - General - Disponible para Copias: 3 días Por autonomía del
Comité de contribuir a proteger a los empleados contra riesgos psicosociales que afectan la salud en los lugares de trabajo Papel Documento de texto pública 21/04/2016
Humano Dirección de Dirección de consulta Consulta en relación con responsable
Convivencia (acoso laboral). clasificada
días
días
la solicitud de la
información.
Secretaría Secretaría ACTAS - Actas de Información: 10 días
Registro de las reuniones del Comité de Seguridad y Salud en el trabajo, el cual es el órgano paritario y colegiado Información
Gestión Talento General - General - Comité de Disponible para Copias: 3 días Por autonomía del
de participación destinado a la consulta regular y periódica de las actuaciones de la empresa en materia de Papel Documento de texto pública 21/04/2016
Humano Dirección de Dirección de Seguridad y Salud consulta Consulta en relación con responsable
prevención de riesgos. clasificada
Talento Humano Talento Humano en el Trabajo la materia a su cargo: 30
días
días
la solicitud de la
información.
ACTAS - Actas de
Gestión Talento General - General - Disponible para Copias: 3 días Por autonomía del
Reunión Grupo de Documento que contiene el seguimiento a los diferentes planes estratégicos del área de Talento Humano Papel Documento de texto Datos Abiertos 21/04/2016
Humano Dirección de Dirección de consulta Consulta en relación con responsable
Trabajo
días
días
la solicitud de la
información.
La historia laboral es una serie documental de manejo y acceso de Talento Humano, en donde se conservan Información
Gestión Talento General - General - HISTORIAS - Historias Disponible para Copias: 3 días Por autonomía del
todos los documentos de carácter administrativo relacionados con el vínculo laboral que se establece entre el Papel Documento de texto pública 4/04/2016
Humano Dirección de Dirección de Laborales consulta Consulta en relación con responsable
funcionario y la Agencia. clasificada
días
días
la solicitud de la
información.
Secretaría Secretaría MANUALES - Información: 10 días
Documento de carácter técnico que contiene las especificidades (funciones, requisitos de estudio y experiencia,
Gestión Talento General - General - Manual específico Papel / Copias: 3 días Por autonomía del
conocimientos básicos requeridos y competencias comportamentales) de los empleos de la planta de personal Documento de texto Publicada Datos Abiertos 30/03/2016
Humano Dirección de Dirección de de funciones y Electrónico Consulta en relación con responsable
de la Agencia
Talento Humano Talento Humano competencias la materia a su cargo: 30
días
días
la solicitud de la
información.
Información
Gestión Talento General - General - La nómina es la suma de todos los registros financieros de los sueldos de los empleados, incluyendo los salarios, las Documento de texto Disponible para Copias: 3 días Por autonomía del
NÓMINA Papel pública 21/04/2016
Humano Dirección de Dirección de bonificaciones y las deducciones. / Imagen consulta Consulta en relación con responsable
clasificada
días
días
Información Según cómo se clasifique
Gestión Talento Secretaría Secretaría PLANES - Plan Documento que tiene por objetivo diseñar estrategias de planeación anual de la provisión del talento humano, Por autonomía del
Papel Documento de texto Publicada pública la solicitud de la 21/04/2016
Humano General - General - anual de vacantes con el fin de identificar las necesidades de la planta de personal de la Agencia. responsable
clasificada información.
25
MEDIO O NIVEL DE
Dirección de Dirección de Información: 10 días
Talento Humano Talento Humano Copias: 3 días
Consulta en relación con
la materia a su cargo: 30
días
días
la solicitud de la
información.
PLANES - Plan de
Gestión Talento General - General - Documento que contiene la acciones que fomenta el equilibrio entre la vida personal y laboral de los servidores Copias: 3 días
bienestar social e Papel Documento de texto Publicada Datos Abiertos 21/04/2016 Anual
Humano Dirección de Dirección de a través de programas y actividades y que contribuyan en la calidad de vida de los servidores Consulta en relación con
incentivos
días
días
la solicitud de la
información.
PLANES - Plan
Gestión Talento General - General - Documentos que contiene la identificación de las necesidades de capacitación para fortalecer las Copias: 3 días
Institucional de Papel Documento de texto Publicada Datos Abiertos 21/04/2016 Anual
Humano Dirección de Dirección de competencias funcionales y comportamentales de los servidores públicos. Consulta en relación con
capacitaciones
días
días
la solicitud de la
información.
PLANES - Plan de Documento que tiene por objeto establecer un cronograma para capacitar al personal en el Sistema de Gestión
Gestión Talento General - General - Copias: 3 días
seguridad y salud y Seguridad y Salud en el Trabajo SGSST, permitiendo adoptar una cultura de mejora continua en prevención, Papel Documento de texto Publicada Datos Abiertos 21/04/2016 Anual
Humano Dirección de Dirección de Consulta en relación con
en el trabajo seguridad y salud en el trabajo
días
días
la solicitud de la
información.
PROVISIONES DE
Gestión Talento General - General - Copias: 3 días Por autonomía del
PLANTAS Documentos que tiene por objeto mostrar la trazabilidad del proceso de provisión de la planta temporal Papel Documento de texto Publicada Datos Abiertos 3/04/2017
Humano Dirección de Dirección de Consulta en relación con responsable
TEMPORALES
días
días
la solicitud de la
información.
SISTEMAS DE
GESTIÓN DE
Gestión Talento General - General - Documento que contiene las acciones que se desarrollan en materia de protección y promoción de la salud de Disponible para Copias: 3 días Por autonomía del
SEGURIDAD Y Papel Documento de texto Datos Abiertos mar-17
Humano Dirección de Dirección de los servidores. consulta Consulta en relación con responsable
SALUD EN EL
TRABAJO
días
días
EVENTOS
INSTITUCIONALES -
Gestión de Oficina de Oficina de Inmediato, hasta 10 días Por autonomía del
Participación en Cubrimiento periodístico de los eventos en que participa y/o organiza el Instituto Rural. Electrónico Documento de texto Publicada Datos Abiertos 11/04/2018
Comunicaciones Comunicaciones Comunicaciones hábiles. responsable
eventos
Nacionales
Gestión de Oficina de Oficina de PLANES - Plan de Documento de texto Inmediato, hasta 10 días
Reporte de temas específicas y generales de la Agencia Electrónico Publicada Datos Abiertos 08/01/2016 Mensual
Comunicaciones Comunicaciones Comunicaciones comunicaciones / Hoja de cálculo hábiles.
Esto reportes de noticias evidencian la manera en que ven a el Instituto Rural desde afuera, tanto las entidades
Gestión de Oficina de Oficina de REPORTE DE Disponible para
estatales como las privadas y que afecta de una manera positiva o negativa a la Entidad. Este ejercicio se realiza Electrónico Documento de texto Datos Abiertos Hasta 10 días hábiles. 1/02/2018 Diaria
Comunicaciones Comunicaciones Comunicaciones NOTICIAS consulta
revisando los medios de comunicación del país.
Gestión de Oficina de Oficina de Actas de
Disponible para Por autonomía del
Tecnologías de la Tecnologías de Tecnologías de Reuniones de Actas de Reuniones de Trabajo, realizadas por temas laborales Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 24/02/2016
consulta responsable
Información la Información la Información Trabajo
Copia de
Gestión de Oficina de seguridad Información
Todos los Disponible para
Tecnologías de la Tecnologías de corporativa en Registros de la copia de seguridad corporativa en medio magnético o digital Electrónico Base de Datos pública hasta 10 días hábiles. 2/07/2017 Diaria
procesos consulta
Información la Información medio magnético clasificada
o digital
Gestión de Oficina de Oficina de
Derechos de Disponible para Por autonomía del
Tecnologías de la Tecnologías de Tecnologías de Solicitudes formales realizadas a la Agencia Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 10/04/2017
Petición consulta responsable
Información la Información la Información
Documento con la exposición de datos o hechos, describe el estado de un problema respecto a un tema Disponible para Por autonomía del
Tecnologías de la Tecnologías de Tecnologías de Informes técnicos Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 3/01/2017
relacionado con la Oficina de Tecnologías de la Información. consulta responsable
26
MEDIO O NIVEL DE
Informes de Documento que incluye las actividades de coordinación, administración y dirección que se efectúan en la Papel / Disponible para Por autonomía del
Tecnologías de la Tecnologías de Tecnologías de Documento de Texto Datos Abiertos hasta 10 días hábiles. 1/02/2017
Gestión Oficina de Tecnologías de la Información Electrónico consulta responsable
Gestión de Oficina de Oficina de Informes
Documento que incluye las respuestas a organismos de control de las actividades que se efectúan en la Oficina Papel / Disponible para
Tecnologías de la Tecnologías de Tecnologías de Organismos de Documento de Texto Datos Abiertos hasta 10 días hábiles.
de Tecnologías de la Información Electrónico consulta
Información la Información la Información Control
Herramientas administrativas que establecen actividades y estrategias en materia de tecnologías de la Disponible para Por autonomía del
Tecnologías de la Tecnologías de Tecnologías de Planes Electrónico Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 4/05/2017
información para el Instituto Rural. consulta responsable
Herramientas administrativas que establecen actividades y estrategias en materia de tecnologías de la Disponible para Por autonomía del
Tecnologías de la Tecnologías de Tecnologías de Plan Operativo Electrónico Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 12/12/2017
información para el Instituto Rural. consulta responsable
Gestión de Oficina de Oficina de Plan estratégico de
Herramientas administrativas que establecen políticas y estrategias en materia de tecnologías de la información Disponible para
Tecnologías de la Tecnologías de Tecnologías de tecnologías de la Electrónico Documento de Texto Datos Abiertos hasta 10 días hábiles.
para el Instituto Rural. consulta
Información la Información la Información información - PETI
Soporte servicios Disponible para Por autonomía del
Tecnologías de la Tecnologías de Tecnologías de Es la Gestión de los servicios que se realizan en la Ofician de Tecnologías de la Información. Electrónico Hoja de cálculo Datos Abiertos hasta 10 días hábiles. 21/09/2017
informáticos consulta responsable
INFORMES -
Evaluación Oficina de Oficina de Contiene los documentos generados en cumplimiento a una solicitud generalmente por parte de la Presidencia Disponible para
Informes de Electrónico Documento de texto Datos Abiertos
Independiente Control Interno Control Interno de la Agencia, quien es la encargada de generar los informes originales y consolidarlos. consulta
Gestión
De acuerdo con
las fechas
establecidas en el
INFORMES - Inmediato a través de la
Evaluación Oficina de Oficina de Contiene la solicitud del trabajo, aprobación, acta de reunión de apertura, plan de trabajo y los resultados de la Plan Anual de Por autonomía del
Informes Trabajos Electrónico Documento de texto Publicada Datos Abiertos consulta en la Página
Independiente Control Interno Control Interno ejecución de los trabajos de consultoría realizadas por la Oficina de Control Interno del Instituto Rural. Auditoría de la responsable
de Consultoría Web de la Entidad.
Oficina de
Control Interno dl
Instituto Rural.
Contiene los memorandos de inicio, programa de trabajo inicial y su seguimiento, comunicaciones oficiales
relacionadas, con sus respectivos soportes, evidencias los y los resultados de la ejecución de cada trabajo de
cumplimiento registrado en el informe de los trabajos de cumplimiento:
• Informe Plan de Mejoramiento Contraloría General de la Republica.
INFORMES - • Informe de Atención al Ciudadano y Gestión de PQRSD
Informes de • Informe Austeridad y Eficiencia en el Gasto Publico Inmediato a través de la
Evaluación Oficina de Oficina de Electrónico / Documento de texto
Cumplimiento • Informe Evaluación de Gestión por Dependencias Publicada Datos Abiertos consulta en la Página 1/02/2017 Trimestral
Independiente Control Interno Control Interno Papel / Hoja de cálculo
Legal y/o • Informe Decreto 1069 de 2015 eKOGUI Web de la Entidad.
Normativo • Informe Evaluación del Sistema de Control Interno Contable
• Informe a las Normas de Derechos de Autor
• Informe Pormenorizado del Estado del Control Interno
• Informe de Seguimiento al Plan de Mejoramiento Archivístico (PMA)
• Informe de Seguimiento PAYAC
DERECHOS DE
PETICIÓN-
Evaluación Oficina de Oficina de Peticiones de Toda petición recibida y dirigida a la Oficina de Control Interno del Instituto Rural con su respectiva respuesta y Electrónico / Documento de texto Disponible para Por autonomía del
Datos Abiertos hasta 10 días hábiles. 22/02/2017
Independiente Control Interno Control Interno Órganos de anexos (en caso de ser aplicable). Papel / Hoja de cálculo consulta responsable
Control y la
Ciudadanía
Direccionamiento ACUERDOS -
Secretaría Secretaría Decisión sobre algo tomada en común por los miembros del Consejo Directivo que afectan el funcionamiento de Papel / Disponible para
Estratégico Acuerdo de Documento de Texto Datos Abiertos hasta 10 días hábiles. nov-16 Mensual
General General la Agencia. Electrónico consulta
Institucional Consejo Directivo
Estratégico Circulares Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 17-jun-16
Estratégico Circulares subalternos simultáneamente para darle a conocer disposiciones o asuntos internos para que se cumplan a Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 17-jun-16
Direccionamiento
Estratégico Papel Documento de Texto Datos Abiertos hasta 10 días hábiles.
Institucional
INFORMES -
Direccionamiento
Institucional
control
Direccionamiento
Estratégico Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. ene-18
Institucional
Direccionamiento
Secretaría Secretaría INFORMES - Documento que incluye las actividades de coordinación, gestión, administración y dirección que se han Disponible para
General General Informes de gestión efectuado durante un período de tiempo. consulta
Institucional
Estratégico RESOLUCIONES carácter general, obligatorio y permanente, y se refiere al ámbito de competencia del servicio. papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 30-mar-16
Estratégico Circulares Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 17-jun-16
Estratégico Circulares subalternos simultáneamente para darle a conocer disposiciones o asuntos internos para que se cumplan a Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 17-jun-16
Direccionamiento
Institucional
27
MEDIO O NIVEL DE
INFORMES -
Direccionamiento
Institucional
control
Direccionamiento
Estratégico Papel Documento de Texto Datos Abiertos hasta 10 días hábiles. ene-18
Institucional
Direccionamiento
Secretaría Secretaría INFORMES - Documento que incluye las actividades de coordinación, gestión, administración y dirección que se han Disponible para
General General Informes de gestión efectuado durante un período de tiempo. consulta
Institucional
Estratégico RESOLUCIONES carácter general, obligatorio y permanente, y se refiere al ámbito de competencia del servicio. papel Documento de Texto Datos Abiertos hasta 10 días hábiles. 30-mar-16
Vicepresidencia Vicepresidencia ACTAS - Actas de
de Gestión de Gestión Comité de Se toman decisiones en materia contractual sobre los distintos procesos contractuales Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 22/03/2017 No cambia
Contractual consulta
Contractual Contractual Contratación
Demas
dependencias y Vicepresidencia
Gestión Agrupa el compendio documental, que da cuenta de la gestión contractual en cada una de sus etapas: Papel / Documento de texto Inmediato, hasta 10 días
Vicepresidencia de Gestión CONTRATOS Publicada Datos Abiertos 7/07/2016 No cambia
Contractual precontractual, contractual y poscontractual. electrónico / Imagen hábiles.
de Gestión Contractual
Contractual
Demas
Gestión Agrupa el compendio documental, que da cuenta de la gestión contractual en cada una de sus etapas: Papel / Documento de texto Inmediato, hasta 10 días
Vicepresidencia de Gestión CONVENIOS Publicada Datos Abiertos 7/07/2016 No cambia
Contractual precontractual, contractual y poscontractual. electrónico / Imagen hábiles.
Contractual
Demas
INFORMES -
Gestión Informes A Descripción detallada de las características y circunstancias de un asunto específico que es solicitado por un Papel / Documento de texto Disponible para A solicitud del
Vicepresidencia de Gestión Datos Abiertos hasta 10 días hábiles. 8/11/2016
Contractual Organismos de ente de control. electrónico / Imagen consulta interesado
Control
Contractual
Demas
Gestión INFORMES - Informe Descripción detallada de las características y circunstancias de un asunto específico que es solicitado por otra Papel / Documento de texto Disponible para A solicitud del
Vicepresidencia de Gestión Datos Abiertos hasta 10 días hábiles. 30/09/2016
Contractual A Otras Entidades entidad. electrónico / Imagen consulta interesado
Contractual
Demas
dependencias y Vicepresidencia INFORMES -
Gestión Documento que incluye las actividades de coordinación, gestión, administración y dirección que se han Papel / Documento de texto Inmediato, hasta 10 días
Vicepresidencia de Gestión Informes de Publicada Datos Abiertos ene-17 anual
Contractual efectuado durante un período de tiempo. electrónico / Imagen hábiles.
de Gestión Contractual Gestión
Contractual
Demas
Gestión MEMORIALES DE Documento que describe un acuerdo bilateral o multilateral entre partes. El mismo expresa una convergencia de Papel / Documento de texto Disponible para
Vicepresidencia de Gestión Datos Abiertos hasta 10 días hábiles. 28/06/2017 No cambia
Contractual ENTENDIMIENTO deseo entre las partes, indicando la intención de emprender una línea de acción común. electrónico / Imagen consulta
Contractual
Demas
Gestión PLANES - Plan de Programa detallado que involucra todas las modalidades de contratación que se ejecutarán durante el ejercicio Papel / Inmediato, hasta 10 días
Vicepresidencia de Gestión Hoja de cálculo Publicada Datos Abiertos sep-16 Mensual
Contractual Contratación presupuestal correspondiente a cada vigencia electrónico hábiles.
Contractual
Demas
PROCESOS -
dependencias y Vicepresidencia Es cuando por motivos o causas que impidan la escogencia objetiva de un contratista y se declarara en acto
Gestión Proceso Papel / Documento de texto Inmediato, hasta 10 días Por autonomía del
Vicepresidencia de Gestión administrativo en el que se señalarán en forma expresa y detallada las razones que han conducido a esa Publicada Datos Abiertos 9/08/2017
Contractual Descartado o electrónico / Imagen hábiles. responsable
de Gestión Contractual decisión.
Declarado Desierto
Contractual
ACTAS - Actas de
Direccionamiento Comité
Oficina de Oficina de Documento que contiene el análisis y decisiones del Comité Institucional de Institucional de Gestión y Disponible para Por acuerdo entre las
Estratégico Institucional de Papel Documento de texto Datos Abiertos hasta 10 días hábiles. 17/05/2017
Planeación Planeación Desempeño y los soportes correspondientes. consulta partes
Institucional Gestión y
Desempeño
Direccionamiento Documento que presenta las necesidades recursos de inversión y funcionamiento de la Agencia para la siguiente
Oficina de Oficina de ANTEPROYECTO DE Papel / Disponible para
Estratégico vigencia ante el Ministerio de Hacienda para consolidar la propuesta de presupuesto que se presenta al Documento de texto Datos Abiertos hasta 10 días hábiles. 31/05/2016 Anual
Planeación Planeación PRESUPUESTO Electrónico consulta
Institucional Congreso de la República.
Administración MODELO Documento de texto
del Sistema Oficina de Oficina de INTEGRADO DE Contiene los documentos de planeación, ejecución y seguimiento del plan de implementación del Modelo / Hoja de cálculo / Disponible para
Electrónico Datos Abiertos hasta 10 días hábiles. 4/08/2017 Mensual
Integrado de Planeación Planeación PLANEACION Y Integrado de Planeación y Gestión Imagen / Bases de consulta
Gestión GESTION datos
Dirección Dirección INFORMES - Informe
Gestión Hoja de cálculo /
administrativa y administrativa y de Ejecución Contiene información del avance en la ejecución del presupuesto asignado a el Instituto Rural. Electrónico Publicada Datos Abiertos Inmediato 31/01/2017 Mensual
Financiera Base de datos
financiera financiera Presupuestal
Direccionamiento INFORMES - Informe
Oficina de Oficina de
Estratégico de Rendición de Documento con la información que se presenta en la audiencia y otros mecanismos de rendición de cuentas Electrónico Documento de texto Publicada Datos Abiertos Inmediato 14/11/2017 Anual
Planeación Planeación
Institucional cuentas
COOPERACIÓN
INTERNACIONAL
concepto o Documento de texto
Direccionamiento
Oficina de Oficina de insumos para Documentos de soporte para la suscripción de convenios de cooperación internacional y el seguimiento a la Papel / / Hoja de cálculo / Disponible para Por acuerdo entre las
Estratégico Datos Abiertos hasta 10 días hábiles. 1/06/2017
Planeación Planeación sustentar la ejecución de estos. Electrónico Imagen / Bases de consulta partes
Institucional
necesidad, datos
importancia,
beneficio de
28
MEDIO O NIVEL DE
realizar la
cooperación
Documento del
convenio de
cooperación
Informes de
seguimiento de la
ejecución del
convenio.
PLANES - Plan
Direccionamiento
Oficina de Oficina de Anticorrupción y Documento de texto Disponible para Por autonomía del
Estratégico Documentos de soporte de construcción del plan anticorrupción, plan aprobado y documentos de seguimiento. Electrónico Datos Abiertos Inmediato 31/01/2017
Planeación Planeación de Atención al / Hoja de cálculo consulta responsable
Institucional
Ciudadano
Direccionamiento Documento de texto
Oficina de Oficina de PLANES - Plan de
Estratégico Documentos de soporte de construcción del plan de acción, plan aprobado y documentos de seguimiento. Electrónico / Hoja de cálculo / Publicada Datos Abiertos Inmediato 31/01/2017 Anual
Planeación Planeación Acción Institucional
Institucional Base de datos
Direccionamiento PLANES - Plan Documento de texto
Oficina de Oficina de
Estratégico estratégico Documentos de soporte de construcción del plan de estratégico, plan aprobado y documentos de seguimiento. Electrónico / Hoja de cálculo / Publicada Datos Abiertos Inmediato 31/01/2017 Cuatreño
Planeación Planeación
Institucional institucional Base de datos
Documento de texto Los primeros
Direccionamiento PROYECTO -
Oficina de Oficina de Papel / / Hoja de cálculo / Disponible para proyectos se
Estratégico Proyectos de Documentos con la formulación y justificación de los proyectos de inversión del Instituto Rural Datos Abiertos hasta 10 días hábiles. Anual
Planeación Planeación Electrónico Imagen / Bases de consulta recibieron del
Institucional inversión
datos INCODER y MADR
Direccionamiento
Oficina de Oficina de TRAMITES Papel / Documento de texto Disponible para
Estratégico Soportes de la necesidad, legalidad y aprobación de los tramites presupuestales de funcionamiento e inversión Datos Abiertos hasta 10 días hábiles. 31/07/2017 Mensual
Planeación Planeación PRESUPUESTALES Electrónico / Hoja de cálculo consulta
Institucional
Administración
SISTEMA Documentos de planeación y desarrollo del sistema integrado de gestión como procedimientos, formatos,
del Sistema Oficina de Oficina de Documento de texto Por autonomía del
INTEGRADO DE manuales, registro de acciones de mejora, mapa de riesgos, registros de auditoria interna, informes, Electrónico Publicada Datos Abiertos Inmediato 30/09/2017
Integrado de Planeación Planeación / Base de datos responsable
GESTION capacitaciones, comunicaciones.
Gestión
ACCIONES
Asesoría y CONSTITUCIONALES Acción que permite hacer efectivo el cumplimiento de normas aplicables con fuerza material de Ley o Actos Disponible para Información Por autonomía del
Oficina Jurídica Oficina Jurídica Papel Texto / base de datos Máximo 10 días hábiles N.A.
Defensa Jurídica - Acciones de Administrativos. consulta pública reservada responsable
Cumplimiento
ACCIONES
Acciones interpuestas por un número plural o un conjunto de personas que reúnen condiciones uniformes
Asesoría y CONSTITUCIONALES Disponible para Información Por autonomía del
Oficina Jurídica Oficina Jurídica respecto de una misma causa que originó perjuicios individuales para dichas personas. Se ejerce exclusivamente Papel Texto / base de datos Máximo 10 días hábiles febrero de 2011
Defensa Jurídica - Acciones de consulta pública reservada responsable
para obtener el reconocimiento y pago de indemnización de los perjuicios.
Grupo
ACCIONES
Acción mediante la cual se busca la protección inmediata de los derechos constitucionales fundamentales,
Oficina Jurídica Oficina Jurídica cuando quiera que éstos resulten vulnerados por la acción o la omisión de cualquier autoridad o de los Papel Texto / base de datos Máximo 10 días hábiles julio de 2016
Defensa Jurídica - Acciones de consulta pública reservada responsable
particulares en los casos que señale el Decreto 2591 de 1991.
Tutela
ACCIONES
Acción mediante la cual se busca la protección de los derechos e intereses colectivos.
Oficina Jurídica Oficina Jurídica Se ejercen para evitar el daño contingente, hacer cesar el peligro, la amenaza, la vulneración o agravio sobre Papel Texto / base de datos Máximo 10 días hábiles enero de 2005
Defensa Jurídica - Acciones consulta pública reservada responsable
los derechos e intereses colectivos, o restituir las cosas a su estado anterior cuando fuere posible.
Populares
ACTAS - Actas de Información
Asesoría y Documento que contiene el acuerdo conciliatorio, en virtud del cual se crean, modifican o extinguen derechos, Disponible para
Oficina Jurídica Oficina Jurídica Comité de Papel Texto pública Máximo 10 días hábiles febrero de 2017 No cambia
Defensa Jurídica haciendo tránsito a cosa juzgada y prestando mérito ejecutivo. consulta
Conciliación clasificada
Facultad que tienen las entidades estatales de recuperar de las acreencias a su favor, cuando el pago de estas
Asesoría y COBROS Disponible para Información Por autonomía del
Oficina Jurídica Oficina Jurídica no se ha cumplido de forma voluntaria y directa por quien se encuentra obligado, garantizando la potestad de Papel Texto / base de datos 10 días hábiles 2012
Defensa Jurídica COACTIVOS consulta pública reservada responsable
ejecución que recae sobre los actos administrativos y acreencias a favor de la administración.
INFORMES -
Asesoría y Informes de Texto de carácter expositivo, en el que se describen cada una de las actuaciones que se llevan a cabo durante Disponible para Información Por autonomía del
Oficina Jurídica Oficina Jurídica Papel Texto 15 días hábiles nov-16
Defensa Jurídica seguimiento a las diferentes etapas del proceso administrativo de cobro coactivo. consulta pública reservada responsable
cobros coactivos
INFORMES - Información
Asesoría y Disponible para Por autonomía del
Oficina Jurídica Oficina Jurídica Informes de Texto de carácter expositivo, en el que se describen las acciones, los métodos y los procedimientos llevados a Papel Texto pública 15 días hábiles dic-16
Defensa Jurídica consulta responsable
Procesos Judiciales cabo durante las diferentes etapas procesales. clasificada
Asesoría y PROCESOS Conjunto de actos predeterminados por el legislador, encaminados a resolver en el tiempo un litigio que se Disponible para Información Por autonomía del
Oficina Jurídica Oficina Jurídica Papel Texto / base de datos 10 días hábiles jun-99
Defensa Jurídica JUDICIALES presenta en virtud del ejercicio de una acción, a fin de dirimir en derecho, el conflicto que se presenta. consulta pública reservada responsable
29
2.5. Sistemas informáticos
Tomando como referencia el inventario de sistemas de información del

Instituto Rural, la siguiente figura sintetiza el sistema de información misional
de la entidad, diferenciando los niveles y estados respectivos.
Figura 2. Mapa de sistemas de información del Instituto Rural
30
3. Plan de auditoría
3.1. Antecedentes
Para alcanzar su visión, el Instituto Rural requiere de un Sistema de

Información misional que soporte la gestión de las dependencias misionales,
así como la información de los productores agropecuarios. De igual forma,
es necesario adelantar una articulación interinstitucional para potenciar
esta información, a través de procesos de interoperabilidad.
Tenienendo en cuenta que la entidad entró en operación desde 2016, aún

es una organización relativamente jóven, por lo que es necesario garantizar
la integridad, disponiblidad y confidencialidad de la información de los
productores agropecuarios del país, mientras se avanza en la curva de
aprendizaje y establecimiento del referido sistema de información misional.
3.2. Objetivo de la auditoría
3.2.1. Objetivo General1
Realizar la auditoría al software aplicativo, las bases de datos, el plan de

seguridad de la información, y el acceso físico al Instituto Rural de Colombia,
con el fin de proteger la integridad, disponibilidad y confidencialidad de la
información de la entidad.
3.2.2. Objetivos Específicos2
Objetivo 1: Conocer el software aplicativo, la administración de las bases de

datos, y el plan de seguridad que soporta el sistema de información misional
del Instituto Rural, así como los controles de acceso físico a la entidad, con
el fin de analizar los riesgos que puedan presentarse en cuanto a la
seguridad de la información, mediante visitas a la entidad y entrevistas con
funcionarios y usuarios.
1
Basado en la guía para evaluar la ciberseguridad (Auditool, 2018).
2
Basado en el Blog de Auditoría Informática y de Sistemas (Solarte, 2012).
31
Objetivo 2: Diseñar el plan de auditoría, y su correspondiente programa de
auditoría, así como las herramientas para el levantamiento de información
y las pruebas para constatar el estado actual del problema en la entidad.
Objetivo 3: Aplicar los instrumentos de recolección de información y pruebas

que se han diseñado para determinar los riesgos existentes en el software
aplicativo, las bases de datos y el plan de seguridad de la información, de
acuerdo a las vulnerabilidades y amenazas que se han evidenciado
preliminarmente con el fin de hacer la valoración de los riesgos que
permitan medir la probabilidad de ocurrencia y el impacto que causa en la
organización.
Objetivo 4: Realizar el dictamen de la auditoría, identificando el nivel de

madurez en los procesos evaluados, lo cual permitirá definir la forma en la
que serán tratados los riesgos de modo que se sugieran posibles soluciones
en el informe final.
3.3. Alcances de la auditoría
Del software aplicativo se evaluarán los siguientes aspectos:
- Control para la instalación.

- Restricciones para la configuración.
- Estado del licenciamiento de los programas.
- Administración de los requerimientos de aplicaciones.
De las bases de datos se evaluará:
- Acceso a la información.
- Optimización del espacio.
- Respaldo y restauración de la información.
- Administración de los datos.
En lo referente al plan de seguridad de la información se evaluará:
- Administración de cuentas de usuario.

- Seguridad de la red institucional.
- Manejo de incidentes de seguridad.
32
En cuanto al acceso físico a la entidad se evaluará:
- Diseño del data center.

- Medidas de seguridad para el acceso a las instalaciones.
- Protección contra factores ambientales.
3.4. Metodología3
i. Definir el estado del arte. A partir de la información dispuesta por el

Instituto Rural, se buscará identificar posibles inconvenientes en cuanto
a la integridad, disponibilidad y confidencialidad de la información de
la entidad. En caso de ser necesario, se adelantarán visitas a su sede y
entrevistas a los colaboradores de la Oficina de Tecnologías de la
Información (OTI).
ii. Diseñar de instrumentos y pruebas. Con el fin de contar con información

estructurada, se diseñarán, entre otras herramientas, formatos de
chequeo, entrevistas, y plan de pruebas.
iii. Aplicación de instrumentos y pruebas. Se aplicarán las entrevistas y

aplicarán las pruebas, lo cual permitirá validar los riesgos
preliminarmente identificados, o descubrir nuevos riesgos, así como
constatar la realidad de los activos y sistemas de información de la
entidad.
iv. Analizar y evaluar los riesgos. A partir de las vulnerabilidades y amenazas

identificadas, se determinarán los riesgos a los que se ve expuesto el
Instituto Rural, y serán definidos los controles pertinentes.
v. Emitir dictamen de la auditoría. Se determinará el grado de madurez de

la empresa tomando como referencia los procesos y objetivos de control
evaluados en la auditoría.
vi. Realizar el informe final de la auditoría. Elaboración de informe técnico
33
a. Recursos para el desarrollo
i. Humanos
La auditoría será adelantada por el equipo de estudiantes del curso,

correspondientes al grupo 90168_17.
ii. Físicos
Instalaciones del Instituto Rural y dispositivos de red.
iii. Tecnológicos
Equipos de cómputo de los integrantes del grupo con office 365 dispuesto
por la Universidad Nacional Abierta y a Distancia (UNAD).
iv. Presupuesto
De acuerdo con lo anteriormente expuesto, la siguiente tabla sintetiza el

presupuesto designado para la Auditoría.
Tabla 3. Presupuesto para la Auditoría
ÍTEM PRESUPUESTO
Honorarios $12’421.740
($828,116 x 5 estudiantes x 3 meses)
Gastos generales $400.000
(cafetería, trasnporte, copias)
Medios de almacenamiento magnético $20.000
(CD’s y DVD’s)
Útiles y papelería $50.000
Equipos de oficina $100,000
Total $12’991.740
Fuente: Elaboración propia.
34
b. Cronograma de actividades
Tomando como referencia las guías de actividades de las fases del curso, se proyecta el siguiente cronograma
para la auditoría
Tabla 4. Cronograma de actividades de la auditoría
FEBRERO MARZO ABRIL MAYO
Actividad V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J V S D L M X J
15 16 17 18 19 20 21 22 23 24 25 26 27 28 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
Proponer empresas para llevar a cabo
la auditoria.
Seleccionar una de las empresas
propuestas para realizar la auditoría.
Describir la empresa seleccionada.
Elaborar el plan de auditoria.
Asignar procesos a los integrantes del
grupo.
Seleccionar procesos con sus respectivos
objetivos de control y actividades de
control y elabora el programa de
auditoría.
Consolidar el documento preliminar.
Diseñar y aplicar los instrumentos de
recolección de información para
descubrir vulnerabilidades, amenazas y
riesgos para cada proceso asignado.
Diseñar y aplicar un conjunto de
pruebas.
Elaborar un cuadro de las
vulnerabilidades, amenazas y riesgos
detectados para cada proceso
evaluado.
Realizar el análisis y evaluación de
riesgos para cada proceso asignado.
Elaborar la matriz de riesgos de cada
proceso evaluado.
Elaborar el cuadro de tratamiento de
riesgos para cada riesgo detectado.
Elaborar el formato de hallazgos para
cada uno de los riesgos cuyo
tratamiento sea controlarlo o ejercer
control.
Elaborar un cuadro de los controles
propuestos, y clasificarlos como
controles preventivos, detectivos y
correctivos.
Elaborar el dictamen de la auditoría
para la medición del nivel de madurez
de cada proceso evaluado.
Elaborar el informe final de auditoría con
los hallazgos y recomendaciones
Compilar el resultado de los trabajos
entregados en cada uno de los
colaborativos organizando los resultados
en orden lógico.
Compilar en un solo documento todo el
proceso de auditoría llevado a cabo y
organizarlo.
Elaborar un video que permita
evidenciar todo el proceso de auditoría.
Consolidar el documento final.
35
4. Programa de Auditoría
Con el fin de desarrollar el programa de auditoría, se identificaron 7 procesos

del estándar CobIT 4.1 con 12 objetivos de control asociados al objetivo de
la auditoría, e indicando los estudiantes asignados, producto de un proceso
de análisis, buscando garantizar abarcar los 4 dominios para las siguientes
fases, con el fin de darle una visión holística a la auditoría.
A continuación, se presentan los dominios, procesos y objetivos de control

relacionados directamente con el objetivo y los alcances determinados en
el plan de auditoría.
Dominio: Planificar y Organizar (PO). Este dominio cubre las estrategias y las
tácticas, y tiene que ver con identificar la manera en que TI puede contribuir
de la mejor manera al logro de los objetivos del Instituto Rural.
PO4 Definir los procesos, organización y relaciones de TI: Una

organización de TI se debe definir tomando en cuenta los requerimientos
de personal, funciones, rendición de cuentas, autoridad, roles,
responsabilidades y supervisión. La organización está embebida en un
marco de trabajo de procesos de TI que asegure la transparencia y el
control, así como el involucramiento de los altos ejecutivos y de la
gerencia del negocio. Un comité estratégico debe garantizar la
vigilancia del consejo directivo sobre TI, y uno ó más comités de
dirección, en los cuales participen tanto el negocio como TI, deben
determinar las prioridades de los recursos de TI alineados con las
necesidades del negocio.
➢ PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el

Cumplimiento: Establecer la propiedad y la responsabilidad de los
riesgos relacionados con TI a un nivel superior apropiado. Definir y
asignar roles críticos para administrar los riesgos de TI, incluyendo la
responsabilidad específica de la seguridad de la información, la
seguridad física y el cumplimiento. Establecer responsabilidad sobre la
administración del riesgo y la seguridad a nivel de toda la
organización para manejar los problemas a nivel de toda la empresa.
Puede ser necesario asignar responsabilidades adicionales de
36
administración de la seguridad a nivel de sistema específico para
manejar problemas relacionados con seguridad. Obtener orientación
de la alta dirección con respecto al apetito de riesgo de TI y la
aprobación de cualquier riesgo residual de TI.
➢ PO4.9 Propiedad de Datos y de Sistema: Proporcionar al negocio los

procedimientos y herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos y los sistemas de
información. Los dueños toman decisiones sobre la clasificación de la
información y de los sistemas y sobre cómo protegerlos de acuerdo a
esta clasificación.
➢ PO4.14 Políticas y Procedimientos para Personal Contratado: Asegurar

que los consultores y el personal contratado que soporta la función de
TI cumplan con las políticas organizacionales de protección de los
activos de información de la empresa de tal manera que se logren los
requerimientos contractuales acordados.
PO9 Evaluar y Administrar los Riesgos de TI: Crear y dar mantenimiento a

un marco de trabajo de administración de riesgos. El marco de trabajo
documenta un nivel común acordado de riesgos de TI, estrategias de
mitigación y riesgos residuales. Cualquier impacto potencial sobre las
metas del Instituto Rural, causado por algún evento no planeado se
debe identificar, analizar y evaluar.
➢ PO9.3 Identificación de Eventos: Identificar riesgos (una amenaza

importante y realista que explota una vulnerabilidad aplicable y
significativa), clasificar si son relevantes y en qué medida afectan los
objetivos del Instituto Rural.
➢ PO9.4 Evaluación de riesgos de TI: Medir los riesgos, a través de la

evaluación recurrente de la probabilidad e impacto de los riesgos
identificados, usando métodos cuantitativos y cualitativos, que
permitan obtener la magnitud del riesgo encontrado.
37
Dominio: Adquirir e Implementar (AI). Para llevar a cabo la estrategia de TI,
las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así
como implementadas e integradas en los procesos del Instituto Rural.
Además, el cambio y el mantenimiento de los sistemas existentes está
cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos del entidad.
AI2 Adquirir y mantener software aplicativo: Las aplicaciones deben

estar disponibles de acuerdo con los requerimientos del Instituto Rural.
Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada
de controles aplicativos y requerimientos de seguridad, y el desarrollo y
la configuración en sí de acuerdo a los estándares. Esto permite a las
organizaciones apoyar la operatividad del negocio de forma apropiada
con las aplicaciones automatizadas correctas.
➢ AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la

seguridad de las aplicaciones y los requerimientos de disponibilidad
en respuesta a los riesgos identificados y en línea con la clasificación
de datos, la arquitectura de la información, la arquitectura de
seguridad de la información y la tolerancia a riesgos de la
organización.
Dominio: Entregar y Dar Soporte (DS). Este dominio cubre la entrega en sí de

los servicios requeridos, lo que incluye la prestación del servicio, la
administración de la seguridad y de la continuidad, el soporte del servicio a
los usuarios, la administración de los datos y de las instalaciones operativos.
DS5 Garantizar la seguridad de los sistemas: La necesidad de mantener

la integridad de la información y de proteger los activos de TI, requiere
de un proceso de administración de la seguridad. Este proceso incluye
el establecimiento y mantenimiento de roles y responsabilidades de
seguridad, políticas, estándares y procedimientos de TI. La
administración de la seguridad también incluye realizar monitoreos de
seguridad y pruebas periódicas así como realizar acciones correctivas
sobre las debilidades o incidentes de seguridad identificados. Una
efectiva administración de la seguridad protege todos los activos de TI
38
para minimizar el impacto en el negocio causado por vulnerabilidades
o incidentes de seguridad.
➢ DS5.3 Administración de Identidad: Asegurar que todos los usuarios

(internos, externos y temporales) y su actividad en sistemas de TI
(aplicación de negocio, entorno de TI, operación de sistemas,
desarrollo y mantenimiento) deben ser identificables de manera
única. Permitir que el usuario se identifique a través de mecanismos de
autenticación. Confirmar que los permisos de acceso del usuario al
sistema y los datos están en línea con las necesidades del negocio
definidas y documentadas y que los requerimientos de trabajo están
adjuntos a las identidades del usuario. Asegurar que los derechos de
acceso del usuario se solicitan por la gerencia del usuario, aprobados
por el responsable del sistema e implementado por la persona
responsable de la seguridad. Las identidades del usuario y los
derechos de acceso se mantienen en un repositorio central. Se
despliegan técnicas efectivas en coste y procedimientos rentables, y
se mantienen actualizados para establecer la identificación del
usuario, realizar la autenticación y habilitar los derechos de acceso.
➢ DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que

la implementación de la seguridad en TI sea probada y monitoreada
de forma pro-activa. La seguridad en TI debe ser reacreditada
periódicamente para garantizar que se mantiene el nivel seguridad
aprobado. Una función de ingreso al sistema (logging) y de monitoreo
permite la detección oportuna de actividades inusuales o anormales
que pueden requerir atención.
➢ DS5.10 Seguridad de la Red: Uso de técnicas de seguridad y

procedimientos de administración asociados (por ejemplo, firewalls,
dispositivos de seguridad, segmentación de redes, y detección de
intrusos) para autorizar acceso y controlar los flujos de información
desde y hacia las redes.
DS11. Administración de datos: Una efectiva administración de datos

requiere de la identificación de requerimientos de datos. El proceso de
39
administración de información también incluye el establecimiento de
procedimientos efectivos para administrar la librería de medios, el
respaldo y la recuperación de datos y la eliminación apropiada de
medios. Una efectiva administración de datos ayuda a garantizar la
calidad, oportunidad y disponibilidad de la información del negocio.
➢ DS11.6 Requerimientos de Seguridad para la Administración de Datos:

Definir e implementar las políticas y procedimientos para identificar y
aplicar los requerimientos de seguridad aplicables al recibo,
procesamiento, almacén y salida de los datos para conseguir los
objetivos de negocio, las políticas de seguridad de la organización y
requerimientos regulatorios.
DS12. Administración del ambiente físico: La protección del equipo de

cómputo y del personal, requiere de instalaciones bien diseñadas y bien
administradas. El proceso de administrar el ambiente físico incluye la
definición de los requerimientos físicos del centro de datos (site), la
selección de instalaciones apropiadas y el diseño de procesos efectivos
para monitorear factores ambientales y administrar el acceso físico. La
administración efectiva del ambiente físico reduce las interrupciones del
negocio ocasionadas por daños al equpo de cómputo y al personal.
➢ DS12.2 Medidas de Seguridad Física: Definir e implementar medidas de

seguridad físicas alineadas con los requerimientos del negocio. Las medidas
deben incluir, pero no limitarse al esquema del perímetro de seguridad, de
las zonas de seguridad, la ubicación de equipo crítico y de las áreas de
envírecepción.
Dominio: Monitorear y Evaluar (ME). Todos los procesos de TI deben

evaluarse de forma regular en el tiempo en cuanto a su calidad y
cumplimiento de los requerimientos de control. Este dominio abarca la
administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del gobierno.
ME4. Proporcionar Gobierno de TI: El establecimiento de un marco de

trabajo de gobierno efectivo, incluye la definición de estructuras,
procesos, liderazgo, roles y responsabilidades organizacionales para
40
garantizar así que las inversiones empresariales en TI estén alineadas y de
acuerdo con las estrategias y objetivos empresariales.
➢ ME4.5 Administración de riesgos: Introducir las responsabilidades de

administración de riesgos en la organización, asegurando que el
negocio y TI regularmente evalúan y reportan riesgos relacionados
con TI y su impacto y que la posición de los riesgos de TI de la empresa
es transparente a los interesados.
41
a. Roles y responsabilidades del equipo auditor
Tabla 5. Roles y responsabilidades del equipo auditor

NOMBRE
DOMINIOS PROCESOS OBJETIVOS DE CONTROL
AUDITOR
PO4 Definir los procesos,Oscar PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento;
organización y relacionesStivens PO4.9 Propiedad de Datos y de Sistema;
PO Planificar
de TI Marulanda PO4.14 Políticas y Procedimientos para Personal Contratado;
y Organizar
PO9 Evaluar y Administrar PO9.3 Identificación de Eventos;
Gustavo
los Riesgos de TI PO9.4 Evaluación de riesgos de TI;
Andrés
AI Adquirir e AI2 Adquirir y mantener
Bobadilla AI2.4 Seguridad y Disponibilidad de las Aplicaciones;
Implementar software aplicativo
Oscar DS5.3 Administración de Identidad;
DS5 Garantizar la
Stivens DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad;
seguridad de los sistemas
DS Entregar Marulanda DS5.10 Seguridad de la Red;
y dar DS11. Administración de
DS11.6 Requerimientos de Seguridad para la Administración de Datos;
Soporte datos
DS12. Administración del Gustavo
DS12.2 Medidas de Seguridad Física;
ambiente físico Andrés
ME. Bobadilla
ME4. Proporcionar
Monitorear ME4.5 Administración de riesgos;
Gobierno de TI
y Evaluar
42
b. Pruebas a realizar
Tabla 6. Pruebas a realizar

NOMBRE
DOMINIOS PROCESOS TIPO DE PRUEBA
AUDITOR
PO4 Definir los procesos,Oscar
organización y relacionesStivens Documental
PO Planificar
de TI Marulanda
y Organizar
PO9 Evaluar y Administrar
Gustavo Documental
los Riesgos de TI
Andrés
AI Adquirir e AI2 Adquirir y mantener Pruebas con
Bobadilla
Implementar software aplicativo software
Oscar
DS5 Garantizar la Pruebas con
Stivens
seguridad de los sistemas software
DS Entregar Marulanda
y dar DS11. Administración de Pruebas con
Soporte datos software
DS12. Administración del Gustavo
Fotografía
ambiente físico Andrés
ME. Bobadilla
ME4. Proporcionar
Monitorear Documental
Gobierno de TI
y Evaluar
43
EJECUCIÓN DE LA AUDITORÍA
PO9 IDENTIFICACIÓN DE EVENTOS – OSCAR MARULANDA
A. Diseño y aplicación de instrumentos de recolección de información
Formato 1. Fuentes de conocimiento, pruebas de análisis de auditoría – PO9

Evaluar y Administrar los Riesgos de TI
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE
9
AUDITORIA PO
ENTIDAD PAGINA
Instituto de Desarrollo Rural
AUDITADA 1 DE 1
PROCESO
Seguridad de la información del Instituto Rural
AUDITADO
RESPONSABLE Oscar Stiven Marulanda Otalvaro
DOMINIO PO9 Evaluar y Administrar los Riesgos de TI
PROCESO PO9.3 Identificación de Eventos
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
• Plan Estratégico de Entrevista con

Tecnologías de colaboradores del
Información (PETI) Se realizar revisión de Departamento de
del Instituto Rural toda la Sistemas, con la
documentación finalidad de validar si
correspondiente para se la empresa
• Procedimiento de
identificar posibles cumple con los
seguridad falencias o riesgos. estándares de
implementado a seguridad
nivel de redes solicitados.
44
Formato 2. Lista de Chequeo – PO9 Evaluar y Administrar los Riesgos de TI
LISTA CHEQUEO
PO9 Evaluar y
PO9.3 Identificación
DOMINIO Administrar los PROCESO
de Eventos:
Riesgos de TI
OBJETIVO DE CONTROL PO9 Evaluar y Administrar los Riesgos de TI

CONFORME
N.º ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Se realiza marco de trabajo para

1 la administración de riesgos el área X
de TI?
OBJETIVO DE CONTROL PO9.3 Identificación de Eventos

CONFORME
¿Se identifican los riesgos y

2 vulnerabilidades de alto impacto X
para el instituto rural?
OBJETIVO DE CONTROL PO9.4 Evaluación de riesgos de TI

CONFORME
45
¿Se realizan pruebas para medir
los riesgos he impactos
3 X
identificados usando los métodos
cuantitativos y cualitativos?
Formato 3. Entrevista – PO9 Evaluar y Administrar los Riesgos de TI
ENTIDAD AUDITADA Instituto Rural PAGINA

1 DE 1
OBJETIVO Identificar las vulnerabilidades de seguridad en la
AUDITORÍA infraestructura de la empresa
PROCESO
AUDITADO
DOMINIO Evaluar y PROCESO PO9 Evaluar y Administrar los
Administrar los Riesgos de TI
Riesgos de TI
ENTREVISTADO Andrés Rivera

CARGO Funcionario Departamento de Tecnologías de la Información
Tema: Aspectos evaluados no conformes en la lista de chequeo
1. ¿Se tiene claros los distintos tipos de riesgos a nivel de seguridad perimetral
que se tiene en el área?
R: el área constantemente realiza actualización de sus bases de datos y de
conocimientos referentes a los nuevos tipos de ataque o riesgos que se puedan
correr.
46
2. ¿Se realizan constantes evaluaciones con los usuarios referentes a los
distintos tipos de riesgos que puedan correr en sus respectivas áreas?
R: Se realiza de manera constante una serie de evaluaciones a cada una de las
áreas con la finalidad de tener un panorama más amplio sobre la manera de
actuar de parte del usuario final y como identificar un posible riesgo.
B. Análisis y evaluación de riesgos
LISTADO DE RIESGOS
PLANEACION Y ORGANIZACIÓN
RIESGO PROCESOS OBJETIVO DE CONTROL CAUSA QUE LOS ORIGINA

No
documentació Documentar y llevar
La no socialización de la
n de los PO9 Evaluación y trazabilidad de los
información que pueda
posibles administración distintos riesgos que se
afectar al usuario
riesgos a corren en la empresa
correr
La no Socializar y evaluar el Desconocimiento y poca
socialización conocimiento de parte prevención
de los posibles de los usuarios con la
PO9 Evaluación y
riesgos que se finalidad de conocer los
pueden administración alcances que tienen
presentar con respecto a los distintos
los usuarios riesgos
47
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS – OSCAR MARULANDA
Formato 4. Fuentes de conocimiento, pruebas de análisis de auditoría –

DS5: Garantizar la seguridad de los sistemas
REF
5
AUDITORIA DS
ENTIDAD PAGINA
AUDITADA 1 DE 1
PROCESO
AUDITADO
DOMINIO (DS) Entregar y Dar Soporte
PROCESO DS5: Garantizar la seguridad de los sistemas

• Plan Estratégico de Se realizar revisión de

Entrevista con
toda la
documentación
Información (PETI) Departamento de
correspondiente al
del Instituto Rural Sistemas, con la
nivel de seguridad
finalidad de validar si
implementado en el
se la empresa
• Procedimiento de área de networking e
cumple con los
seguridad identificar si la entidad
estándares de
implementado a cumple con los
seguridad
estándares de
nivel de redes solicitados.
seguridad.
48
Formato 5. Lista de Chequeo – DS5 Garantizar la seguridad de los sistemas
LISTA CHEQUEO
DS5 Garantizar la
Entregar y Dar Soporte
DOMINIO PROCESO seguridad de los
(DS)
sistemas
OBJETIVO DE CONTROL DS5 Garantizar la seguridad de los sistemas

CONFORME
¿Se tienen definidos los roles y

1 políticas que se deben establecer a X
nivel de seguridad?
OBJETIVO DE CONTROL DS5.3 Administración de Identidad

CONFORME
¿Se tienen estandarizados

mecanismos de autenticación por
2 X
parte de los usuarios en los
distintos sistemas de la empresa?
DS5.5 Pruebas, Vigilancia y Monitoreo de la

OBJETIVO DE CONTROL
Seguridad
CONFORME
Se cuenta con un
sistema de doble
¿Se cuenta con un nivel de autenticación para
seguridad en la autenticación por validar que los usuarios
3 cada usuario para descartar X que están ingresando a
posibles infiltraciones en la la red sean los
infraestructura? permitidos
49
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red:
CONFORME
Si bien a partir del
inventario se activos se
¿Se cuenta con dispositivos de red
identificó la vida útil o el
(firewall) para proteger la red de
plazo jurídico en que
cualquier ataque y a su vez con
4 X deben mantenerse los
una segmentación en la red para
documentos, no está
separar los distintos
definida claramente la
departamentos?
política para la
eliminación de los datos.
Formato 6. Entrevista – DS5 Garantizar la seguridad de los sistemas

1 DE 1
OBJETIVO Identificar las vulnerabilidades de seguridad en la
AUDITORÍA infraestructura de la empresa
PROCESO
AUDITADO
DOMINIO DS Entregar y Dar PROCESO DS5 Garantizar la seguridad
Soporte de los sistemas
ENTREVISTADO Andrés Rivera

CARGO Funcionario Departamento de Tecnologías de la Información
1. ¿Se tiene identificados los dispositivos que impliquen un alto riesgo para la
infraestructura?
R: en el área se tiene claro y se monitorean constantemente los dispositivos de
red los cuales implican un alto riesgo para la infraestructura tecnológica.
50
2. ¿Se realizan monitoreos constantes en la seguridad de la red?
R: se cuenta con una herramienta de monitoreo la cual nos general reportes
sobre el estatus de la red y a su vez si se están produciendo algún tipo de
ataques.
3. ¿cada cuánto se realizan las renovaciones de las credenciales de los usuarios?

R: la política está establecida para que cada 3 meses los usuarios se vean
obligados a cambiar sus credenciales a los distintos sistemas de la empresa.
Formato 7. Cuestionario – DS5 Garantizar la seguridad de los sistemas

Cuestionario de Control: DS5
Proceso DS5 Garantizar la seguridad de los sistemas
Pregunta Si No OBSERVACIONES
¿En cuántas ocasiones se ha 1
identificado ataques de hackers a
la red?
¿Qué tan seguros se sienten los 4
usuarios con respecto al nivel de
seguridad prestado en la
infraestructura?
¿Qué tantos incidentes han 1
presentado los usuarios a nivel de
seguridad? ?
¿Qué tan alto es el porcentaje de 1
vulnerabilidad en la red?
TOTALES 6 1
51
LISTADO DE RIESGOS
SERVICIOS Y SOPORTE
CAUSA QUE LOS

RIESGO PROCESOS OBJETIVO DE CONTROL
ORIGINA
Violación de la
Garantizar la seguridad en los Restricciones a los
seguridad sea por virus DS5 Seguridad
sistemas implementados en la equipos y control más
o persona del Sistema empresa detallado
inescrupulosa
indebida
poca experiencia en la
implementación del DS5 Seguridad Restringir o limitar los distintos
implementación de
sistema de seguridad del Sistema ataque externos
seguridad perimetral
en la red
flexibilidad en las DS5 Seguridad Restringir con políticas del AD a Incrementar los niveles
políticas de seguridad del Sistema usuarios de políticas de seguridad
Probabilidad Impacto Valor

Recurso Ítem Vulnerabilidades Amenaza Riesgo
1 2 3 4 1 2 3 4 total
1 Falta de seguridad en el sistema
Mal manejo de las

2
políticas de Backup
Usuarios con Privilegios
3
inadecuados
Software
Falta de instalación o actualización

4
del software antivirus
Mala configuración o actualización
5 de los sistemas de cortafuego y
detección de software malicioso
Forma inadecuada que generar y
6 cifrar las contraseñas de los
usuarios
configuración inadecuada a las

7
políticas de uso de internet
52
DS11 ADMINISTRACIÓN DE DATOS – GUSTAVO BOBADILLA
Formato 8. Fuentes de conocimiento, pruebas de análisis de auditoría –

DS11 Administración de Datos
REF
11
AUDITORIA DS
ENTIDAD PAGINA
AUDITADA 1 DE 1
PROCESO
AUDITADO
RESPONSABLE Gustavo Bobadilla
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO DS Entregar y Dar Soporte
PROCESO DS11: Administración de Datos

Revisión documental
• Plan Estratégico de del PETI y del
Entrevista con
procedimiento, con el
fin de identificar si en
la entidad se
del Instituto Rural Sistemas, con el fin
administran
de validar si lo
adecuadamente los
definido en el PETI y el
• Procedimiento de datos en función de la
procedimiento de
Desarrollo de seguridad de la
desarrollo de
Software del Instituto información. Se
software se aplica en
realizará lista de
Rural la práctica.
chequeo a partir de
este ejercicio.
53
Formato 9. Lista de Chequeo – DS11 Administración de Datos
LISTA CHEQUEO
Entregar y Dar DS11 Administración

DOMINIO PROCESO
Soporte (DS) de Datos
DS11.1 Requerimientos del Negocio para la

OBJETIVO DE CONTROL
Administración de Datos
CONFORME
¿Las necesidades de reinicio y

reproceso del sistema misional
1 X
de la entidad están
soportadas?
DS11.2 Acuerdos de almacenamiento y
OBJETIVO DE CONTROL
conservación
CONFORME
Si bien se cuenta con

¿Se tienen definidos
el inventario de
procedimientos para el archivo,
activos, no está claro
2 almacenamiento y retención X
el procedimiento para
de los datos del sistema de
el archivo de esta
información del Instituto Rural?
información.
DS11.3 Sistema de administración de librerías y
OBJETIVO DE CONTROL
medios
CONFORME
¿Se tienen definidos Se cuenta con el
procedimientos para mantener inventario de activos,
un inventario de medios el cual se actualiza
almacenados y archivados en como mínimo cada
3 X
el sistema de información vigencia de acuerdo
misional de la entidad, con el fin con lo definido en el
de asegurar su usabilidad e Sistema de Gestión de
integridad? Calidad.
54
OBJETIVO DE CONTROL DS11.4 Eliminación
CONFORME
Si bien a partir del
inventario se activos se
identificó la vida útil o
¿Se han definido políticas para el plazo jurídico en que
la eliminación o transferencia deben mantenerse los
4 X
de información del Instituto documentos, no está
Rural? definida claramente la
política para la
eliminación de los
datos.
OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración
CONFORME
¿La entidad cuenta con
procedimientos de respaldo y
5 restauración de los datos del X
sistema de información
misional?
DS11.6 Requerimientos de seguridad para la
OBJETIVO DE CONTROL
administración de datos
CONFORME
No está claramente
¿Se han definido políticas y definido en las fuentes
procedimientos para identificar de conocimiento, que
6 X
y aplicar los requerimientos de se constituyen en la
seguridad de los datos? información oficial al
respecto.
55
Formato 10. Entrevista – DS11 Administración de Datos

1 DE 1
OBJETIVO Conocer los problemas relacionados con el hardware y
AUDITORÍA software en las aulas de informática
PROCESO
AUDITADO
RESPONSABLE Gustavo Bobadilla
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO DS Entregar y Dar PROCESO DS11: Administración de
Soporte Datos
ENTREVISTADO Fredy Estupiñán

CARGO Funcionario Departamento de Tecnologías
4. ¿Tienen identificados los equipos sensibles al interior de la entidad?

Rta/ Si bien se cuenta con el inventario de activos, no se precisa en el mismo los
equipos sensibles, aunque se tienen identificados al interior de las dependencias
misionales.
5. ¿Se efectúan procesos periódicos de eliminación de información?

Rta/ Se adelantan depuraciones sobre la información que se encuentra en el
servidor, pero no se realizan procesos de eliminación con una periodicidad
definida. Debe resaltarse que el almacenamiento en OneDrive ha crecido
sustancialmente en el último año.
6. ¿Cómo identifican y aplican los requerimientos de seguridad de los datos?

Rta/ Se aplica el procedimiento definido por el Sistema de Gestión de Calidad
para identificar los activos, y el nivel de seguridad requerido. No obstante,
56
Formato 11. Cuestionario – DS11 Administración de Datos

Dominio Adquisición e Implementación
Proceso DS11: Administración de Datos
¿Cuántos eventos se han 1
presentado donde la entidad haya
sido incapaz para recuperar
información crítica para el proceso
de negocio?
¿Qué tan satisfechos están los 2 Se midió esta situación con
usuarios con la disponibilidad de la una encuesta al interior de la
información? entidad y se encontró que
solo el 80% de los usuarios
están satisfechos.
¿Se han presentado incidentes de 5 Se evidenció que la entidad
incumplimientos de las Leyes no dispone de información
debido a problemas con la histórica de sus atenciones,
administración del en un horizonte temporal
almacenamiento? que la Ley lo obliga.
¿Qué tan alto es el porcentaje de 3
restauraciones exitosas?
Número de incidentes en los que se 2
recuperaron datos de medios y
equipos ya desechados
Número de incidentes de falta de 2
servicio de integridad de
información causados por falta de
capacidad de almacenamiento
¿Con qué frecuencia realizan las 3 Actualmente no se cuenta
pruebas de los medios de con un DBA.
respaldo?
¿Cuánto tiempo en promedio se 2
tarda la oficina de tecnologías en
la restauración de datos?
TOTALES 9 11
57
La escala de calificación de cada una de las preguntas va de 1 hasta 5, la
calificación puede ir en el SI, en el NO, donde 1 significa que no es importante tener
el control para el auditor y 5 significa que es importante que se tenga el control.
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se

vea afectado por las acciones de las cuales se está indagando, entre más alto el
porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.
PREGUNTA: Espacio donde se indicará la descripción de la consulta de la cual se

indagará.
SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la

entidad.
El cálculo de este porcentaje se hace de la siguiente forma:
Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo parcial = (9* 100) / 20 = 45

Porcentaje de riesgo = 100 – 45 = 55
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorización:
1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: = 45%

Porcentaje de riesgo = 55%
Impacto según relevancia del proceso: Riesgo Medio
58
Riesgos iniciales
Teniendo en cuenta el proceso que se está evaluando, los riesgos iniciales que
están relacionados directamente son los siguientes:
1. Pérdida de integridad de la información almacenada en el sistema de

información misional.
2. Saturación de espacio de almacenamiento.
3. Incapacidad para restaurar la información.
Riesgos con la aplicación de instrumentos
Luego de aplicar los instrumentos como entrevistas se descubrieron nuevos riesgos,

los cuales se detallan a continuación.
4. No disponibilidad de la información requerida para la realización de

actividades institucionales.
5. La conservación de la información no cumple con los términos legales.
6. Divulgación no autorizada de información.
Posteriormente y de acuerdo a las normas aplicadas se construye las escalas de

medición del impacto y la probabilidad de ocurrencia de los riesgos, en las que
se adelanta una valoración cuantitativa y cualitativa tal y como aparece en las
siguientes matrices:
59
Matriz para medición de probabilidad e impacto de riesgos
IMPACTO
NIVEL DESCRIPTOR DESCRIPCIÓN
Si el hecho llegara a presentarse, tendría

1 Insignificante
consecuencias o efectos mínimos sobre la entidad
Si el hecho llegara a presentarse, tendría bajo impacto

2 Menor
o efecto sobre la entidad
Si el hecho llegara a presentarse, tendría medianas

3 Moderado
consecuencias o efectos sobre la entidad
Si el hecho llegara a presentarse, tendría altas

4 Mayor
Si el hecho llegara a presentarse, tendría desastrosas

5 Catastrófico
PROBABILIDAD
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
El evento puede ocurrir sólo en No se ha presentado en los
1 Raro
circunstancias excepcionales últimos 5 años
El evento puede ocurrir en algún Se ha presentado al menos 1
2 Improbable
momento vez en los últimos 5 años
El evento puede ocurrir en algún Se ha presentado al menos de
3 Posible
momento 1 vez en los últimos 2 años
El evento probablemente ocurrirá
Se ha presentado al menos 1
4 Probable en la mayoría de las
vez en el último año
circunstancias
Se espera que el evento ocurra en Se ha presentado más de 1 vez
5 Casi Seguro
la mayoría de las circunstancias al año
Con las escalas de medición se construye la matriz de riesgos general que se aplica
para cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.
60
EVALUACIÓN Y MEDIDAS DE RESPUESTA
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
IMPACTO
PROBABILIDAD
Insignificante = 1
Menor = 2
Raro = 1
Moderado = 3
Improbable = 2
Mayor = 4
Posible = 3
Probable = 4 Catastrófico = 5
Casi Seguro = 5
Teniendo en cuenta los insumos anteriores se procede a hacer el proceso de

evaluación de los riesgos encontrados en cada uno de los procesos evaluados,
teniendo en cuenta los riesgos en cuanto a la probabilidad de ocurrencia de estos
y el impacto que pueden causar en la empresa.
Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se indica
las acciones que pueden realizarse para el tratamiento de los riesgos de acuerdo
a la siguiente tabla donde se indica por cada color, el tratamiento que se puede
aplicar en cada caso.
B Zona de riesgo Baja: Asumir el riesgo

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir
61
Análisis y evaluación de riesgos
N° Descripción Impacto Probabilidad

R1 Pérdida de integridad de la información almacenada en el 3 3
sistema de información misional.
R2 Saturación de espacio de almacenamiento. 3 4
R3 Incapacidad para restaurar la información. 3 3
R4 No disponibilidad de la información requerida para la 5 2
realización de actividades institucionales.
R5 La conservación de la información no cumple con los 4 3
términos legales.
R6 Divulgación no autorizada de información. 3 4
Resultado matriz de riesgos
IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1)
Improbable (2) R4
Posible (3) R1, R3 R5
R2, R6
Probable (4)
Casi Seguro (5)
62
DS12 ADMINISTRACIÓN DE LAS INSTALACIONES – JOHN MEDINA
El objetivo es proporcionar un ambiente físico conveniente que proteja al equipo y al personal

de TI contra peligros naturales (fuego, polvo, calores excesivos) o fallas humanas lo cual se
hace posible con la instalación de controles físicos y ambientales adecuados que sean
revisados regularmente para su funcionamiento apropiado definiendo procedimientos que
provean control de acceso del personal a las instalaciones y contemplen su seguridad física.
La lista de chequeo tiene como objetivo fundamental la verificación de la existencia de

controles en cada uno de los procesos evaluados.
Formato 12. Fuentes de conocimiento: DS12 Administración del ambiente

físico
REF
12
AUDITORIA DS
ENTIDAD PAGINA
AUDITADA 1 DE 1
PROCESO
AUDITADO
RESPONSABLE John Henry Medina
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO DS Entregar y Dar Soporte
PROCESO DS12: Administración del ambiente físico
63
Revisión documental
• Plan Estratégico de del PETI y del
Entrevista con
procedimiento, con el
fin de identificar si en
la entidad se
del Instituto Rural Sistemas, con el fin
administran
de validar si lo
adecuadamente los
definido en el PETI y el
• Procedimiento de datos en función de la
procedimiento de
Desarrollo de seguridad de la
desarrollo de
Software del Instituto información. Se
software se aplica en
realizará lista de
Rural la práctica.
chequeo a partir de
este ejercicio.
Formato 13. Lista chequeo: DS12 Administración del ambiente físico
LISTA CHEQUEO - LC 01
DS12
Entregar y Administración
Dominio Proceso
dar soporte del ambiente
físico
Objetivo de
DS12. Administración del ambiente físico
control
conforme Observación
N.º Aspecto evaluado
SI NO
¿Se cuenta con
instalación con tierra Si, cada uno de los equipos cuenta con
1 X
física para todos los conexión de polo a tierra
equipos?
¿La instalación
eléctrica se realizó
No, es general para toda la estructura
2 específicamente X
física.
para el centro de
cómputo?
64
¿Se cuenta con otra
Instalación dentro el
centro de cómputo,
3 diferente de la que X No, no cuenta con respaldo de UPS.
alimenta a los
equipos de
cómputo?
¿La acometida llega
Si, se cuenta con un tablero independiente
4 a un tablero de X
para la instalación eléctrica.
distribución?
¿El tablero de
Si, está en la entrada principal. Es accesible
distribución está en la
5 X por parte del administrador de la sala de
sala, visible y
computo.
accesible?
¿El tablero considera
espacio para futuras
ampliaciones de
hasta de un 30 %
No, está en el límite de capacidad. No se
6 (Considerando que X
cuenta con más espacio.
se dispone de
espacio físico para la
instalación de más
equipos)?
Formato 14. Entrevista – DS12 Administración del ambiente físico

1 DE 1
OBJETIVO Conocer los problemas relacionados con el hardware y
AUDITORÍA software en las aulas de informática
PROCESO
AUDITADO
RESPONSABLE John Henry Medina
DOMINIO DS Entregar y Dar PROCESO DS12. Administración del
Soporte ambiente físico
65
ENTREVISTADO Carlos Albarracín
CARGO Funcionario Departamento de Tecnologías
7. ¿La instalación eléctrica se realizó específicamente para el centro de

cómputo?
Rta/ No, es general para toda la estructura física.
8. ¿Se cuenta con otra Instalación dentro el centro de cómputo, diferente de la

que alimenta a los equipos de cómputo?
Rta/ No, no cuenta con respaldo de UPS.
3. ¿El tablero considera espacio para futuras ampliaciones de hasta de un 30 %

(Considerando que se dispone de espacio físico para la instalación de más
equipos)?
Rta/ No, está en el límite de capacidad. No se cuenta con más espacio.
Formato 15. Cuestionario – DS12 Administración del ambiente físico

Proceso DS12.3 Acceso Físico
¿Se tienen lugares de acceso 1
restringido?
¿Se poseen mecanismos de 3
seguridad para el acceso de estos
jugares?
¿A este mecanismo de seguridad 4 Aun no se han detectado
se le han detectado debilidades? debilidades
¿Tiene medidas implementadas 2
ante la falla del sistema de
seguridad?
66
¿Con cuanta frecuencia se 4 Se ofrece una credencial y
actualizan las claves o no se vuelve a actualizar con
credenciales de acceso? regularidad
¿Se tiene registro de las personas 5
que ingresan a las instalaciones?
TOTALES 11 8
La escala de calificación de cada una de las preguntas va de 1 hasta 5, la

calificación puede ir en el SI, en el NO, donde 1 significa que no es importante tener
el control para el auditor y 5 significa que es importante que se tenga el control.
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se

vea afectado por las acciones de las cuales se está indagando, entre más alto el
porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.
PREGUNTA: Espacio donde se indicará la descripción de la consulta de la cual se

indagará.
SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la

entidad.
El cálculo de este porcentaje se hace de la siguiente forma:
Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo parcial = (11* 100) / 19 = 57,89

Porcentaje de riesgo = 100 – 57,89 = 42,10
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorización:
1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: = 57,89%

Porcentaje de riesgo = 42,10%
Impacto según relevancia del proceso: Riesgo Medio
67
Riesgos iniciales
Teniendo en cuenta el proceso que se está evaluando, los riesgos iniciales que
están relacionados directamente son los siguientes:
1. Acceso de personas no autorizadas a las instalaciones.

2. Control de credenciales de acceso.
Riesgos con la aplicación de instrumentos
Luego de aplicar los instrumentos como entrevistas se descubrieron nuevos riesgos,

los cuales se detallan a continuación.
3. No se actualizan las credenciales de acceso con frecuencia.

4. La conservación de la información no cumple con los términos legales.
5. Es posible que cualquier persona pueda ingresar a las instalaciones.
Posteriormente y de acuerdo a las normas aplicadas se construye las escalas de

medición del impacto y la probabilidad de ocurrencia de los riesgos, en las que
se adelanta una valoración cuantitativa y cualitativa tal y como aparece en las
siguientes matrices:
Con las escalas de medición se construye la matriz de riesgos general que se aplica
para cualquiera de los procesos, teniendo en cuenta los riesgos encontrados.

R1 Acceso de personas no autorizadas a las instalaciones. 4 4
R2 Control de credenciales de acceso. 4 3
R3 No se actualizan las credenciales de acceso con frecuencia. 3 3
R4 La conservación de la información no cumple con los 4 3
términos legales.
R5 Es posible que cualquier persona pueda ingresar a las 3 4
instalaciones.
68
IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1)
Improbable (2)
Posible (3) R3 R2, R4
R5 R1
Probable (4)
Casi Seguro (5)
69
RESULTADOS DE LA AUDITORÍA
PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI – OSCAR MARULANDA
REF
HALLAZGO 4
PO9
PÁGINA
PROCESO AUDITADO Funcionamiento y aspecto de la red
1 DE 1
RESPONSABLE Stiven Marulanda
MATERIAL DE SOPORTE COBIT
PO9 Evaluar y Administrar los PO9.3 Identificación de

DOMINIO PROCESO
Riesgos de TI Eventos
DESCRIPCIÓN HALLAZGO: Se revisa Documentación de procesos a realizar en las distintas

tareas del área de TI y se identifican falencia e incongruencias en procesos, a su vez se logran
identificar riesgos de alto impacto lo cual puede generar un gran inconveniente para la
infraestructura
CAUSAS: Se debe a la no actualización de manuales o procedimientos en su debido momento

y a su vez no se tienen claros los procedimientos para evitar los riesgos que esto puede
generar el la infraestructura
CONSECUENCIAS: El no tener la documentación al día conlleva a cometer una serie de errores

en la implementación de procesos para el personal nuevo del área
70
VALORACIÓN DEL RIESGO:
• Probabilidad de ocurrencia: 40%

• Impacto según relevancia del proceso:
RECOMENDACIONES: realizar una base de conocimientos en la cual se realicen todas las

actualizaciones con fecha establecida y se realice una constante revisión de estos procesos
cada mes, de igual manera capacitar al personal en los distintos riesgos los cuales pueden
generar un alto impacto negativo en la infraestructura.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
REF
HALLAZGO 4
PO9
PÁGINA
1 DE 1
PO9 Evaluar y Administrar los PO9.4 Evaluación de

DOMINIO PROCESO
Riesgos de TI riesgos de TI
DESCRIPCIÓN HALLAZGO: al realizar pruebas a nivel de usuarios con la finalidad de identificar

falencias o preparación de los mismos en cuanto a buenas prácticas y uso de sus
71
herramientas tecnológicas se identifica que los usuarios se convierten en una falencia
potencial para la infraestructura tecnológica
CAUSAS: Esto se debe a la poca socialización del área de TI al personal de la empresa

referente a los prevenciones a tener.
CONSECUENCIAS: el usuario al no estar informado sobre los riesgos que pueden correr puede
conllevar a volverse muy vulnerable a todo tipo de riesgo informático.

RECOMENDACIONES: realizar capacitaciones preventivas con las distintas áreas referentes a

las nuevas amenazas.
72
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS – OSCAR MARULANDA
TRATAMIENTO DE RIESGOS

R1 Políticas de seguridad de muy bajo nivel 4 3
R2 Falta de antivirus a nivel de usuarios 4 3
R3 Restricción de usuarios por área 3 3
R4 No cuentan con seguridad perimetral que cumpla los 5 4
estándares
R5 Mala socialización con los usuarios referente a los riesgos a los 3 2
cuales se están expuestos.
PROBABILIDAD Catastrófico
Menor (2) Moderado (3) Mayor (4)
(5)
Raro (1)
Improbable (2) R5
Posible (3) R3
Probable (4) R1,R2 R4
Casi Seguro (5)
73
HALLAZGOS
Hallazgo 1
REF
HALLAZGO 1
DS5
PÁGINA
1 DE 1
DS5 Garantizar la seguridad de los DS5.3 Administración

DOMINIO PROCESO
sistemas de Identidad
DESCRIPCIÓN HALLAZGO: Se identifica por parte de los equipos de los usuarios una alta
vulnerabilidad a la red ante Virus por falta de un antivirus y ser mas estrictos en las politicas
de dominio
CAUSAS: vulnerabilidad en las políticas y falta de ser más estrictos, a esto se le suma la falta
de un antivirus en determinados equipos que están en la red
CONSECUENCIAS: La afectación se puede ver implícita en toda la Documentación digital he

información de suma importancia para la empresa
74

RECOMENDACIONES: implementar un servidor de antivirus local el cual controle y restringa el

acceso de cualquier Host en la red y a su vez endurecer las políticas del AD
Hallazgo 2
REF
HALLAZGO 2
DS5
PÁGINA
1 DE 1
DS5 Garantizar la seguridad de los DS5.5 Pruebas, Vigilancia y

DOMINIO PROCESO
sistemas Monitoreo de la Seguridad
75
DESCRIPCIÓN HALLAZGO: Se identifican una serie de vulnerabilidades, ya que varios de los
usuarios en la red tienen acceso a información o áreas no permitidas de la infraestructura,
de igual manera se evidencia falta de seguridad en la red, para evitar posibles infiltraciones.
CAUSAS: Esto se debe a la indebida configuración de la red, ya que no existe una lista de ACL
en los SW los cuales restrinjan estos accesos.
CONSECUENCIAS: Una de las principales consecuencias es la infiltración de personal no

autorizado a los sistemas de la empresa y exposición de información confidencial

RECOMENDACIONES: Buscar personal capacitado para la implementación y administracion

de la red, al igual que capacitar al personal actual en el manejo de políticas y restricciones de
red.
76
Hallazgo 3
REF
HALLAZGO 3
DS5
PÁGINA
1 DE 1
DS5 Garantizar la seguridad de los DS5.10 Seguridad de la

DOMINIO PROCESO
sistemas Red
DESCRIPCIÓN HALLAZGO: Se realizan pruebas desde una red externa para identificar posibles
vulnerabilidades en la implementación del sistema de seguridad perimetral, y así se identifican
puntos vulnerables
CAUSAS: Esto se debe a la mala implementación del sistema de seguridad perimetral en los
cuales se ven implicados sus reglas de acceso y entrada a la red y además la identificación de
Puerto virtuales los cuales se encuentran abiertos y se convierten en un alto riesgo para la red
corporativa.
CONSECUENCIAS: la afectación se puede ver reflejada en la caída constante del servicio de

internet y la inundación de la red con un tráfico no existente el cual le general una afectación
masiva de los servicios.
77

RECOMENDACIONES: Una de las posibles soluciones para este inconvenientes es realizar una
validación general de cuáles y como están configuradas las reglas de entrada y salida del
Firewall y a su vez cerrar todos los puertos o protocolos los cuales puedan permitir el acceso a
personas inescrupulosas
CONTROLES
2. Elaborar un cuadro de los controles propuestos, y clasificarlos como

Controles preventivos, detectivos y correctivos
Riesgos Tipo de Control Soluciones o Controles
Diseñar, realizar implementación y uso de las redes de

No se realiza un escaneo
comunicación, donde se consignen requerimientos
continuo para evitar Preventivo
técnicos, uso adecuado, seguridad y actualización de las
intrusiones en la red
redes y sus componentes
No se tiene un
inventarios de los
Diseñar o contratar herramienta para control de
equipos existentes y a Correctivo
inventario de los activos de la empresa.
que usuarios está
asignado
78
No existen políticas de Implementar y endurecer las reglas de entrada y salida en
seguridad y acceso a la preventivo la red estandarizándolas de acuerdo a las necesidades de
red cada área.
No existen políticas de
acceso, seguridad y uso Restringir el acceso a la información al personal no
Preventivo
correcto de la autorizado bajo una política de autenticación en dominio
información
Los Usuarios no se
realizar jornadas en las cuales se les tenga informado a
capacitan
Correctivo los usuarios o sea por via mail sobre las buenas practicas a
constantemente a los
utilizar en sus labores diarias
riesgos informáticos
No existe un sistema de
Capacitar al personal de IT en la implementación de este
seguridad perimetral de Correctivo
tipo de sistemas de seguridad.
red bien implementado
No existe una marcación Realizar levantamiento de la información de la red, con la

correcta en los puntos Correctivo finalidad de identificar y estandarizar los puntos de red en
de red su marcación
Determinados usuarios
cuentan con las Estandarizar de nuevo las credenciales de administracion
credenciales de Preventivo en los equipos y evitar que los usuarios logren tener
administracion de los información de la misma.
equipos
79
DS11 ADMINISTRACIÓN DE DATOS – GUSTAVO BOBADILLA
LEVE MODERADO CATASTROFICO
ALTO R2, R6
MEDIO R1, R3 R4
BAJO R5
N° Descripción Tratamiento
Pérdida de integridad de la información almacenada en

R1 Eliminarlo
el sistema de información misional.
R2 Saturación de espacio de almacenamiento. Controlarlo
R3 Incapacidad para restaurar la información. Eliminarlo
No disponibilidad de la información requerida para la

R4 Eliminarlo
realización de actividades institucionales.
La conservación de la información no cumple con los
R5 Controlarlo
términos legales.
R6 Divulgación no autorizada de información. Controlarlo
80
HALLAZGOS
Hallazgo 1
Tabla 7. Hallazgo 1 – DS 11 Administración de Datos
REF
HALLAZGO 1
H_DS_11_1
PÁGINA
PROCESO AUDITADO Seguridad de la Información del Instituto Rural
1 DE 3
RESPONSABLE Gustavo Andrés Bobadilla Moreno
DS Entregar y Dar DS11: Administración

DOMINIO PROCESO
Soporte de Datos
DESCRIPCIÓN:
Pérdida de integridad de la información almacenada en el sistema de información misional.
81
CAUSAS:
• Datos no estructurados. Se evidencia en el sistema de información misional que para algunos campos
permiten almacenar información sin control alguno, no teniendo las validaciones pertinentes en cada
variable ni las mallas de validación entre variables.
• Introducción manual de datos. Con el fin de adelantar actualizaciones de información, desde las
dependencias misionales, en algunos casos, se permite insertar valores directamente sobre la base de
datos.
CONSECUENCIAS:
• Toma de decisiones errada.
• Sanciones.
• Reprocesos.
• Daños a la imagen del Instituto.

• Impacto según relevancia del proceso: Moderado
82
RECOMENDACIONES:
• Conformar un grupo técnico-misional para validar las mallas de validación del sistema de
información misional.
• Restringir en mayor medida la inserción manual de datos, revisando los procedimientos para la
actualización de información.
EVIDENCIAS - REF_PT:
Fuentes de conocimiento, pruebas de análisis de auditoría / FC_08_DS-11
Lista de Chequeo / LC_09_DS-11
Entrevista / EN_10_DS-11
Cuestionario / CU_11_DS-11
83
Hallazgo 2
REF
HALLAZGO 2
H_DS_11_2
PÁGINA
1 DE 3

DOMINIO PROCESO
Soporte de Datos
DESCRIPCIÓN:
Saturación de espacio de almacenamiento.
84
CAUSAS
Las dependencias tienen espacio de almacenamiento en el servidor, y en caso de requerir más, se
adelantan procesos para solventar esta necesidad. No obstante, es claro el proceso de saturación
del servidor toda vez que no hay control de la información almacenada.
CONSECUENCIAS:
• Incurrir en costos adicionales.
• Pueden verse restringidos los procesos del Instituto que requieran espacio de almacenamiento.
• La atención a los usuarios puede afectarse.

85
RECOMENDACIONES:
• Administración de cuotas por proceso.
• Realizar informes de almacenamiento por dependencia.
86
Hallazgo 3
REF
HALLAZGO 3
H_DS_11_3
PÁGINA
1 DE 3

DOMINIO PROCESO
Soporte de Datos
DESCRIPCIÓN:
Incapacidad para restaurar la información.
87
CAUSAS:
Se identificó que pese a contar con herramientas de almacenamiento en la nube, como OneDrive,
los colaboradores del Instituto no las usan. En caso de sufrir pérdida de información en el disco local,
en la mayoría de los casos no es posible restaurar la información, toda vez que no existe un respaldo
para adelantar esta labor.
CONSECUENCIAS:
• Demora en el trámite de los procesos misionales.
• Pérdida de información necesaria.
• Reprocesos en las dependencias.

88
RECOMENDACIONES:
• Se hace necesario garantizar el uso de las herramientas de respaldo por parte de todos los
colaboradores de la entidad, por lo cual se debe impartir esta directiva desde la Oficina de
Tecnologías, y validar continuamente su cumplimiento.
89
Hallazgo 4
REF
HALLAZGO 4
H_DS_11_4
PÁGINA
1 DE 3

DOMINIO PROCESO
Soporte de Datos
DESCRIPCIÓN:
No disponibilidad de la información requerida para la realización de actividades institucionales.
90
CAUSAS:
En algunas ocasiones se cae la red y no es posible acceder a la información requerida para el desarrollo de
actividades misionales. No obstante, el servidor de aplicaciones o de base de datos ha presentado restricciones
para su acceso.
CONSECUENCIAS:
• Incumplimiento en los términos de respuesta.
• Imposibilidad de atención al usuario.
• Falta de insumos para el desarrollo de actividades misionales.
• Incumplimiento en los cronogramas.

• Impacto según relevancia del proceso: Catastrófico
91
RECOMENDACIONES:
• Validar la conectividad y realizar seguimiento al servicio, para identificar las causas y si es
necesario cambiar de proveedor.
• Revisar los logs de la base para identificar las causas por las cuales se cae el servidor.
92
Hallazgo 5
REF
HALLAZGO 5
H_DS_11_5
PÁGINA
1 DE 3

DOMINIO PROCESO
Soporte de Datos
DESCRIPCIÓN:
La conservación de la información no cumple con los términos legales.
93
CAUSAS:
No se tiene claridad frente al tiempo que debe estar archivado un documento, o que debe permanecer en el
sistema de información misional.
CONSECUENCIAS:
• Incurrir en no conformidades por parte de los entes de control.
• Pérdida de la memoria histórica de la entidad.
• Falta de sustento en procesos jurídicos referentes a acciones adelantadas en el pasado.

94
RECOMENDACIONES:
Es necesario articular al Grupo de Gestión Documental y la Oficina de Tecnologías en la revisión de la
política para la conservación y eliminación de datos a partir de la vida útil y plazo jurídico que debe
mantenerse.
Posteriormente, debe socializarse a todas las dependencias misionales, definir controles en los sistemas
de información, y adelantar el seguimiento respectivo.
95
Hallazgo 6
REF
HALLAZGO 6
H_DS_11_6
PÁGINA
1 DE 3

DOMINIO PROCESO
Soporte de Datos
DESCRIPCIÓN:
Divulgación no autorizada de información.
96
CAUSAS:
Se ha evidenciado que, principalmente por desconocimiento de los procedimientos, se dispone
información a terceros, sin que esté autorizada dicha acción.
CONSECUENCIAS:
• Demandas judiciales por violación a la confidencialidad.
• Daños en la reputación del Instituto.

97
RECOMENDACIONES:
• Garantizar que los términos contractuales de los colaboradores se ciñen a un marco de
confidencialidad de la información.
• Validar los controles en los sistemas de información.
• Revisar el inventario de activos, indicando las restricciones que puedan tener los documentos.
• Socializar los procedimientos y protocolas donde se indican las restricciones para la disposición
de la información.
98
CONTROLES
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL
Pérdida de integridad de Se conformará un grupo técnico-misional para validar las mallas de
la información
validación del sistema de información misional. De igual forma, se
almacenada en el PREVENTIVO
sistema de información
restringirá en mayor medida la inserción manual de datos, revisando los
misional. procedimientos para la actualización de información.
Desde la Oficina de Tecnologías de la Información debe adelantarse la
Saturación de espacio administración de cuotas por proceso. Así mismo, es necesario realizar
CORRECTIVO
de almacenamiento. informes de almacenamiento por dependencia, con el fin de proyectar y
evaluar el crecimiento del almacenamiento.
Definir directiva que indique que todos los colaboradores del Instituto usen
Incapacidad para
CORRECTIVO la herramienta OneDrive para el respaldo de información, y adelantar
restaurar la información.
seguimiento periódico de su cumplimiento.
No disponibilidad de la Es necesario validar la conectividad y realizar seguimiento al servicio, para
información requerida
identificar las causas y si es necesario cambiar de proveedor. Así mismo, se
para la realización de CORRECTIVO
actividades
deben revisar los logs de la base para identificar las causas por las cuales
institucionales. se cae el servidor.
La conservación de la
Revisar la política para la conservación y eliminación de datos a partir de
información no cumple DETECTIVO
con los términos legales.
la vida útil y plazo jurídico que debe mantenerse.
Deben socializarse los procedimientos y protocolas donde se indican las
Divulgación no restricciones para la disposición de la información. Así mismo, garantizar
autorizada de PREVENTIVO que los términos contractuales de los colaboradores se ciñen a un marco
información. de confidencialidad, validar los controles en los sistemas, y actualizar el
inventario de activos con las restricciones.
99
DICTAMEN
Objetivo de la Auditoria:
Realizar la auditoría al software aplicativo, las bases de datos, el plan de

seguridad de la información, y el acceso físico al Instituto Rural de Colombia,
con el fin de proteger la integridad, disponibilidad y confidencialidad de la
información de la entidad.
Dictamen
Se estableció un nivel de madurez 3 DEFINIDO por cuanto se entiende y

acepta la necesidad de la administración de datos en las diversas
dependencias del Instituto, estableciendo responsabilidad sobre la
administración de estos se asigna la propiedad sobre los datos a la parte
responsable que controla la integridad y la seguridad. Los procedimientos
de administración de datos se formalizan dentro de la Oficina de
Tecnologías y se utilizan algunas herramientas para respaldo y recuperación
de la información. De igual forma, se realiza monitoreo sobre la
administración de datos, y se definen métricas básicas de desempeño.
Hallazgos que soportan el Dictamen
• Se evidencia en el sistema de información misional que para algunos

campos permiten almacenar información sin control alguno, no teniendo las
validaciones pertinentes en cada variable ni las mallas de validación entre
variables.
• Con el fin de adelantar actualizaciones de información, desde las

dependencias misionales, en algunos casos, se permite insertar valores
directamente sobre la base de datos.
• Las dependencias tienen espacio de almacenamiento en el servidor,

y en caso de requerir más, se adelantan procesos para solventar esta
necesidad. No obstante, es claro el proceso de saturación del servidor
toda vez que no hay control de la información almacenada.
100
• Se identificó que pese a contar con herramientas de
almacenamiento en la nube, como OneDrive, los colaboradores del
Instituto no las usan. En caso de sufrir pérdida de información en el
disco local, en la mayoría de los casos no es posible restaurar la
información, toda vez que no existe un respaldo para adelantar esta
labor.
• En algunas ocasiones se cae la red y no es posible acceder a la
información requerida para el desarrollo de actividades misionales. No
obstante, el servidor de aplicaciones o de base de datos ha
presentado restricciones para su acceso.
• No se tiene claridad frente al tiempo que debe estar archivado un
documento, o que debe permanecer en el sistema de información
misional.
• Se ha evidenciado que, principalmente por desconocimiento de los
procedimientos, se dispone información a terceros, sin que esté
autorizada dicha acción.
Recomendaciones
• Conformar un grupo técnico-misional para validar las mallas de

validación del sistema de información misional.
• Restringir en mayor medida la inserción manual de datos, revisando

los procedimientos para la actualización de información.
• Administración de cuotas de almacenamiento por proceso.
• Realizar informes de almacenamiento por dependencia.
• Se hace necesario garantizar el uso de las herramientas de respaldo

por parte de todos los colaboradores de la entidad, por lo cual se
debe impartir esta directiva desde la Oficina de Tecnologías, y validar
continuamente su cumplimiento.
• Validar la conectividad y realizar seguimiento al servicio, para

identificar las causas y si es necesario cambiar de proveedor.
101
• Revisar los logs de la base para identificar las causas por las cuales se
cae el servidor.
• Es necesario articular al Grupo de Gestión Documental y la Oficina de

Tecnologías en la revisión de la política para la conservación y
eliminación de datos a partir de la vida útil y plazo jurídico que debe
mantenerse.
• Posteriormente, debe socializarse a todas las dependencias

misionales, definir controles en los sistemas de información, y adelantar
el seguimiento respectivo.
• Garantizar que los términos contractuales de los colaboradores se

ciñen a un marco de confidencialidad de la información.
• Validar los controles en los sistemas de información.
• Revisar el inventario de activos, indicando las restricciones que

puedan tener los documentos.
• Socializar los procedimientos y protocolas donde se indican las

restricciones para la disposición de la información.
102
DS12 ADMINISTRACIÓN DEL AMBIENTE FISICO – JOHN MEDINA
LEVE MODERADO CATASTROFICO
ALTO R5 R1
MEDIO R3 R2, R4
BAJO
N° Descripción Tratamiento
Acceso de personas no autorizadas a las instalaciones.

R1 Eliminarlo
Control de credenciales de acceso.

R2 Controlarlo
No se actualizan las credenciales de acceso con

R3 frecuencia. Controlarlo
La conservación de la información no cumple con los

R4 términos legales. Eliminarlo
Es posible que cualquier persona pueda ingresar a las

R5 instalaciones. Eliminarlo
103
HALLAZGOS
Hallazgo 1
Tabla 13. Hallazgo 1 – DS 12 Administración del espacio físico
REF
HALLAZGO 1
H_DS_12_1
PROCESO Seguridad de la Información del PÁGINA

AUDITADO Instituto Rural 1 DE 3
RESPONSABLE John Henry Medina González
MATERIAL DE
COBIT 4.1
SOPORTE
DS12:
DS Entregar y Dar Administración
DOMINIO PROCESO
Soporte del espacio
físico
DESCRIPCIÓN:
Acceso de personas no autorizadas a las instalaciones.
CAUSAS:
• Controles de acceso ineficientes. Se evidencia que el acceso es libre.
104
• No hay protocolos de seguridad. No existe un protocolo de seguridad
claramente definido.
CONSECUENCIAS:
• Acceso de personas no autorizadas.
• Posible daño al bien intangible de la compañía.
• Gastos innecesarios.

105
RECOMENDACIONES:
• Tener un control de acceso en el cual cada trabajador tiene
asignada en su credencial un área o áreas de acceso de acuerdo
a la función desempeñada dentro de la institución.
• Informar a todo el personal que debe reportar la pérdida de su

credencial, de manera inmediata, con el fin de bloquear la
anterior, asignar una nueva, y proceder con el protocolo de dicha
perdida.
Fuentes de conocimiento, pruebas de análisis de auditoría / FC_08_DS-
12
106
Hallazgo 2
REF
HALLAZGO 2
H_DS_12_2

MATERIAL DE
COBIT 4.1
SOPORTE
DS12:
DOMINIO PROCESO
Soporte del espacio
físico
DESCRIPCIÓN:
Control de credenciales de acceso.
CAUSAS
107

CONSECUENCIAS:

• Impacto según relevancia del proceso: Catastrófico.
108
RECOMENDACIONES:
• Tener un control de acceso en el cual cada trabajador tiene
asignada en su credencial un área o áreas de acceso de acuerdo
a la función desempeñada dentro de la institución.
• Informar a todo el personal que debe reportar la pérdida de su

credencial, de manera inmediata, con el fin de bloquear la
anterior, asignar una nueva, y proceder con el protocolo de dicha
perdida.
• Actualizar de manera periódica las dependencias del personal

que se haya modificado, así como la eliminación del personal
retirado y la inclusión del nuevo.
12
109
Hallazgo 3
REF
HALLAZGO 3
H_DS_12_3

MATERIAL DE
COBIT 4.1
SOPORTE
DS12:
DOMINIO PROCESO
Soporte del espacio
físico
DESCRIPCIÓN:
No se actualizan las credenciales de acceso con frecuencia.
CAUSAS:
110
CONSECUENCIAS:

111
RECOMENDACIONES:
12
112
Hallazgo 4
REF
HALLAZGO 4
H_DS_12_4

MATERIAL DE
COBIT 4.1
SOPORTE
DS12:
DOMINIO PROCESO
Soporte del espacio
físico
DESCRIPCIÓN:
La conservación de la información no cumple con los términos legales.
CAUSAS:
113
No se tiene claridad frente al tiempo que debe estar archivado un documento,
o que debe permanecer en el sistema de información misional.
CONSECUENCIAS:
• Incurrir en no conformidades por parte de los entes de control.
• Pérdida de la memoria histórica de la entidad.
• Falta de sustento en procesos jurídicos referentes a acciones
adelantadas en el pasado.

114
RECOMENDACIONES:
Es necesario articular al Grupo de Gestión Documental y la Oficina de
Tecnologías en la revisión de la política para la conservación y
eliminación de datos a partir de la vida útil y plazo jurídico que debe
mantenerse.
12
115
Hallazgo 5
REF
HALLAZGO 5
H_DS_12_5

MATERIAL DE
COBIT 4.1
SOPORTE
DS12:
DOMINIO PROCESO
Soporte del espacio
físico
DESCRIPCIÓN:
Es posible que cualquier persona pueda ingresar a las instalaciones.
CAUSAS:
116
CONSECUENCIAS:
• Tener un control de acceso de personal externo y/o visitante.

117
RECOMENDACIONES:
12
118
CONTROLES
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
Acceso de personas no Tener personal idóneo en el área
autorizadas a las CORRECTIVO para actualizar la base de datos de
instalaciones. credenciales de acceso.
Control de credenciales Actualizar de manera periódica las
de acceso. credenciales con el acceso a cada
CORRECTIVO
área o dependencia de acuerdo a
su función.
No se actualizan las Actualizar de manera periódica las
credenciales de acceso credenciales con el acceso a cada
con frecuencia. área o dependencia de acuerdo a
CORRECTIVO
su función.
Establecer responsables sobre la
actualización de dicha tarea.
La conservación de la Revisar la política para la
información no cumple conservación y eliminación de
DETECTIVO
con los términos legales. datos a partir de la vida útil y plazo
jurídico que debe mantenerse.
Es posible que cualquier Tener personal idóneo en el área
persona pueda ingresar CORRECTIVO para actualizar la base de datos
a las instalaciones. de credenciales de acceso.
119
CONCLUSIONES
Con el desarrollo de la actividad, enfocada en el Instituto Rural de

Colombia, los estudiantes del curso aplicaron los conceptos fundamentales
de la auditoría y la seguridad informática.
Para lograrlo, los estudiantes desarrollaron a su vez los siguientes

componentes:
• Se identificó el estado del arte de la entidad seleccionada, lo cual

permitió contar con la información preliminar mínima para adelantar
la auditoría informática: estructura organizacional, cargos y funciones,
servicios del área informática, activos y sistemas informáticos.
• Se especificaron los antecedentes, objetivo, alcances y metodología

de la auditoría, en el marco del plan de auditoría.
• Se definieron los procesos del estándar Cobit 4.1 asociados a los

objetivos de la auditoría, y los activos informáticos relacionados, así
como los objetivos de control pertinentes para el desarrollo de la
auditoría.
• Se diseñaron y aplicaron instrumentos de recolección de información

para descubrir vulnerabilidades, amenazas y riesgos para cada
proceso asignado.
• Se adelantó un análisis y evaluación de riesgos para determinar las

causas que los originan y resolver problemas mediante la definición y
aplicación de controles.
• Se adelantó el tratamiento de los riesgos, a partir de su probabilidad

e impacto.
• Precisar los hallazgos, identificando sus causas y consecuencias.
120
• A partir de la documentación de los hallazgos, se definieron los
controles pertinentes para cada uno.
• Con la información gestionada en el marco del proceso de resultados,

se emitió un dictamen que permite identificar el nivel de madurez de
la entidad.
121
REFERENCIAS BIBLIOGRÁFICAS
Auditool. (2018). Guía para evaluar la ciberseguridad (PDF). Recuperado de

https://www.auditool.org/herramientas/guias-practicas/6237-guia-para-
evaluar-la-ciberseguridad [Recuperado el 23 de febrero de 2019].
Instituto Rural. (2018a). Catálogo de servicios de Tecnologías de la

Información. 04 de julio de 2018.
Instituto Rural. (2018b). Activos de Información consolidado. 23 de agosto de

2018.
Instituto Rural. (2018c). Manual de Funciones de los empleos de planta

permanente y temporal. 01 de noviembre de 2018.
Instituto Rural. (2018d). Inventario de sistemas de información. 25 de

noviembre de 2018.
Instituto Rural. (2018d). Organigrama Institucional del Instituto Rural. 05 de

febrero de 2018.
Solarte, Francisco. (2012). Auditoría informática y de sistemas: Plan de

Auditoría (en línea). Recuperado de
http://auditordesistemas.blogspot.com/2012/02/memorando-de-
planeacion-auditoria.html [Recuperado el 15 de febrero de 2019].
UNAD. (2019). Auditoría de Sistemas: Guía de actividades y rúbrica de

evaluación - Fase 2 Planeación de auditoría (PDF). Recuperado de
https://campus01.unad.edu.co/ecbti46/pluginfile.php/6915/mod_folder/
content/0/Gu%C3%ADa%20de%20actividades%20y%20r%C3%BAbrica%2
0de%20evaluaci%C3%B3n%20%E2%80%93%20Fase%202%20%E2%80%93%2
0Planeaci%C3%B3n%20de%20auditor%C3%ADa.pdf?forcedownload=1
[Recuperado el 15 de febrero de 2019].
122

Fase5-Grupo90168 17 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fase5-Grupo90168 17 PDF

Cargado por

Copyright:

Formatos disponibles

AUDITORÍA DE SISTEMAS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

Figura 1. Estructura organizacional del Instituto Rural ......................................................... 9

Tabla 1. Cargos del Instituto Rural ........................................................................................... 10

La auditoría informática requiere de conocer diversos conceptos que,

Por lo anterior, la presente actividad busca la interiorización de los términos

A su vez, se hace necesario conocer la metodología de la Auditoría, así

Por último, se debe adelantar la metodología para el tratamiento de riesgos,

El objetivo general de la presente actividad consiste en que el futuro

Para lograrlo, se hace necesario alcanzar los siguientes objetivos específicos:

• Identificar una empresa para adelantar la auditoría informática,

• Definir el plan de auditoría.

• Precisar un programa de auditoría.

• Diseñar y aplicar instrumentos de recolección de información para

• Adelantar un análisis y evaluación de riesgos para determinar las

• Adelantar el tratamiento de los riesgos.

• Precisar los hallazgos, identificando sus causas y consecuencias.

• Definir controles para cada uno de los hallazgos.

• Emitir un dictamen de los resultados de la auditoría.

El líder de la actividad propuso que, durante la primera semana de la

1.1. VCMedios Colombia

Descripción: Empresa de Tecnología enfocada al campo de la TV a nivel de

Propuso: Oscar Stevens Marulanda.

Fecha: Domingo 17 de febrero de 2019.

1.2. Instituto Rural

Descripción: Entidad responsable de gestionar, promover y financiar el

Propuso: Gustavo Bobadilla.

Fecha: Domingo 17 de febrero de 2019.

El objeto del Instituto Rural es ejecutar la política de desarrollo agropecuario

Se seleccionó el Instituto Rural, toda vez que su estructura organizacional

De igual forma, se dialogó con ambos equipos sobre el desarrollo del

A continuación, se presenta la estructura organizacional del Instituto Rural,

Figura 1. Estructura organizacional del Instituto Rural

Fuente: Instituto Rural, 2019.

Tabla 1. Cargos del Instituto Rural

El personal relacionado anteriormente, junto con los contratistas que se

1. Adoptar los planes de acción para la ejecución de las políticas de

3. Definir los criterios de formulación y estructuración de proyectos

4. Formular, estructurar, cofinanciar y ejecutar proyectos estratégicos

5. Establecer y definir las líneas de cofinanciación de los proyectos integrales

6. Definir criterios para la calificación y selección de los proyectos integrales

7. Diseñar, adoptar y divulgar los instrumentos para la formulación,

8. Ejecutar la política relacionada con la atención a la agricultura familiar y

9. Diseñar, adoptar y divulgar los instrumentos a través de los cuales la

12. Adelantar procesos de coordinación inter e intrasectorial para facilitar la

13. Coordinar con el Departamento para la Prosperidad Social y las demás

14. Apoyar a las entidades territoriales e instancias de integración territorial,

15. Desarrollar e implementar el sistema de monitoreo, seguimiento y control

16. Diseñar y administrar el Banco de Proyectos de desarrollo agropecuario

17. Adelantar la gestión contractual para la ejecución de los proyectos

19. Propiciar mecanismos de veeduría y participación ciudadana para

20. Constituir con otras personas jurídicas de derecho público o privado,

21. Las demás que le asigne la ley de acuerdo a su naturaleza y objetivos.

A continuación, se sintetizan los servicios vigentes del Instituto Rural, de

Permite la configuración, administración, soporte y mantenimiento a los

Consiste en mantener disponible, operativo y en correcto funcionamiento

Busca facilitar a los usuarios y/o colaboradores comunicarse utilizando un

Consiste en un sistema que integra varios medios de comunicación como

Consiste en realizar copias de seguridad de la información almacenada en

Consiste brindar el soporte, accesos a los aplicativos, y modificaciones

Consiste en brindar la administración, operación y soporte del servicio de

El Servicio de outsourcing de impresión consiste en el diseño,

Consiste en brindar la gestión y administración de servicios base (Directorio