PAPEL DE TRABAJO AUDITORIA DE

SISTEMAS SOLUCIONES INMEDIATAS

FECHA: 04-03-18

CLIENTE PERIODO DE REVISIÓN FECHA AUDITORIA

Soluciones Inmediatas S.A 2019 24032020
ELABORADO POR CARGO FECHA ELABORACIÓN
Juan Pablo Payan Auditor Senior de Sistemas 21-04-2020
REVISADO POR CARGO FECHA REVISIÓN
DD-MM-AAAA

ALCANCE:

1. Políticas de seguridad de la información

2. Plan de Continuidad de Negocio - DRP.

3. Usuarios y grupos de Directorio Activo

4. Control e inventario del licenciamiento de software (Sistema Operativo, Office y Antivirus)

5. Gestión de copias de seguridad y prácticas de restauración de información

6. Parches de seguridad y actualizaciones del sistema operativo de los servidores

7. Validación de mecanismos de interfaz entre los aplicativos CORE

8. Gestión de usuarios privilegiados y contraseñas especiales

9. Implementación del sistema de información QUERYX

Organización Del área de sistemas

En inspección a la estructura organizacional de la compañía se identificó la conformación de la Jefatura

de TIC liderada por el Ingeniero Edwin Cruz y dos personas encargadas del soporte y atención de casos
de Sistemas para toda la compañía.

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

Entre las funciones que llevan a cabo se encuentran:

 Infraestructura
 Gestionar el Inventario de Hardware (Servidores y almacenamiento).
 Gestionar el licenciamiento de Software.
 Administrar los servidores, almacenamiento y sistemas operativos.

 Red de comunicaciones
 Administrar los equipos de comunicación.
 Administrar el cableado estructurado.
 Administrar la planta telefónica.

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

 Seguridad
 Definir e implantar política de seguridad informática.
 Definir esquema de seguridad en sistemas de información de acuerdo a
las mejores prácticas.

 Aplicaciones
 Administración de roles y usuarios de los sistemas
 Copias de seguridad y pruebas de restauración de información
 Soporte
 Atender los incidentes reportados por medio de la mesa de ayuda
(soporte nivel 1).
 Administrar las herramientas de apoyo (Antivirus, Backup,
actualizaciones etc.)
 Gestionar la creación y actualización de cuentas de usuario

Políticas de seguridad de la información:

En validación a las políticas de seguridad de la información de la compañía Soluciones Inmediatas se

inspeccionó el documento TIPC02 POLITICA DE SEGURIDAD DE LA INFORMACION SISA, que cuenta con
los lineamientos referentes a los siguientes temas:

1. ADMINISTRACION DE USUARIOS
2. INSTALACION Y USO DE SOFTWARE
3. SEGURIDAD DE LA INFORMACION DE EQUIPOS
4. USO DE INTERNET
5. ADMINISTRACIÓN DEL BUZÓN DE CORREO ELECTRÓNICO

Igualmente la entidad cuenta con otro documento para socializar con el usuario final los lineamientos
establecidos para garantizar la adecuada utilización de los recursos informáticos y de comunicaciones
disponibles en todas las sedes de Soluciones Inmediatas S.A, el documento en referencia es el MANUAL
DE TECNOLOGÍA Y SISTEMAS DE INFORMACIÓN PARA EL USUARIO FINAL identificado con código
TIMN03.

Este documento define los lineamientos sobre los siguientes temas al interior de la compañía:

Uso de la red de voz y datos

Uso de servicio de telefonía a nivel nacional

Uso de equipos de cómputo

Uso de las licencias de software

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

Uso de credenciales de uso de software y equipos cómputo

Uso del correo electrónico

Uso de la mensajería interna

Uso de sistemas de información (contable, nómina, facturación, CRM, selección, contratación,

reclutamiento)

Uso de recursos compartidos

Capacitación

Uso del servicio de internet

Uso de copias de seguridad (backup)

Uso de la VPN y acceso remoto

Uso de mesa de ayuda

Producto de lo anterior se concluye que le entidad cuenta con unas políticas de seguridad de la
información documentadas y que definen los lineamientos para los usuarios y el área informática aplique
en sus funciones diarias, adicional a ello se encuentran actualizadas de acuerdo a información de control
de cambios.

Gestión de copias de seguridad y prácticas de restauración de información

Si bien se evidenció un procedimiento de copias de seguridad de la información en los equipos de los

usuarios y estaciones de trabajo de cada colaborador, no observamos la frecuencia de las copias de
seguridad, responsable, información a respaldar, lugar de almacenamiento, control de evidencia de

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

ejecución del backup, software de ejecución de los backup para servidores y sistemas como QUERYX y
CGUNO, así como tampoco se observaron prácticas de restauración de información.

De igual manera no se evidenció backup de la parametrizaciones, formulación e información del sistema

QUERYS.

A continuación se ilustran algunas instrucciones de las copias de seguridad de la información de los

usuarios en sus estaciones de trabajo.

Parches de seguridad y actualizaciones del sistema operativo de los servidores

No evidenciamos un control preventivo de monitoreo continuo sobre las actualizaciones efectivas de los
parches de seguridad o paquetes de servicios de Microsoft en la Jefatura de Sistemas y TIC de la
compañía, sobre los Sistemas Operativos instalados en los servidores y equipos del área usuaria.

Esto toma mayor relevancia teniendo en cuenta que la entidad no cuenta con una plataforma de
Antivirus.

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

Plan de Continuidad de Negocio - DRP.

En indagación con el Jefe de Sistemas y TIC se conoció que la entidad no cuenta con un proceso
documentado de plan de contingencia de informática, que contemple actividades como:

▪ Identificación de los activos de información críticos para la compañía

▪ Análisis de impacto (BIA)
▪ Identificación y orden de amenazas más probables
▪ Análisis del tiempo máximo de inactividad tolerable para cada función
▪ Infraestructura alterna como mínimo de las operaciones más críticas
▪ Pruebas al Plan de Contingencia

Lo anterior puede generar pérdida de disponibilidad de la información y de la prestación de los servicios

de la compañía, ante un evento inesperado

Contratación con proveedores de servicios de TI

En inspección a los contratos de servicios de TI de la compañía se identificaron los siguientes contratos:

COLUMBUS NETWORKS DE COLOMBIA LTDA – Alcance de los servicios de administración de la

infraestructura tecnológica, se observó que se cuentan con cláusulas de protección de datos y acuerdos
de niveles de servicios entre el proveedor y soluciones inmediatas.

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

DYNAMIC SOLUTIONS: Contrato a través del cual se realiza el alquiler de los equipos de cómputos de la
entidad y legalización de su sistema operativo y herramientas utilitarias:

La figura anterior ilustra la carta de legalidad de software con que cuentan los equipos de cómputo de
Soluciones Inmediatas, igualmente se evidenciaron acuerdos de niveles de servicio y cláusulas de
protección de datos y confidencialidad de información entre el proveedor y Soluciones Inmediatas SAS.

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

Usuarios y grupos de Directorio Activo

En validación a los usuarios, políticas y grupos del DA se verificaron los usuarios pertenecientes a grupo
de administrador, en donde se evidenciaron los usuarios autorizados:

Igualmente se validaron los grupos existentes con el fin de identificar grupos con permisos de
administrador o súper usuarios:

En la anterior imagen se observa que el grupo Administrators es el único grupo que cuenta con permisos
completos y sin estricción sobre el DA.

Políticas:

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

La imagen anterior ilustra las políticas de contraseña para los usuarios del DA, en donde se observa que
se encuentran los parámetros para l conformación de contraseñas robustas.

La imagen anterior ilustra las políticas de seguridad y auditoria del directorio activo, mediante el cual se
puede monitorear los eventos de los usuarios de la red. Se evidencian que se encuentran deshabilitadas
por lo que se procede a relacionar en el informe de auditoría.

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

Control e inventario del licenciamiento de software (Sistema Operativo, Office y Antivirus)

Se identificó que el inventario cuenta con 52 equipos de cómputo que no se visualizan en la carta de
legalidad de software del proveedor de las licencias de Windows 7, así como no se identificaron algunos
equipos en la carta de legalidad con licencia de Microsoft Office.

Lo anterior genera el riesgo de violación a los derechos de propiedad intelectual, y derechos de autor.

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

Validación de mecanismos de interfaz entre los aplicativos CORE

No existe un mecanismo automático de interface entre los sistemas CGUNO (Contabilidad) y QUERYX
(Facturación) que velen por la integridad de la información, el proceso de interface se realiza mediante
un archivo de texto que puede ser editado.
Lo anterior genera el riesgo de Pérdida de integridad de información que se carga a la Contabilidad.

APLICACIÓN PROPOSITO ADMINISTRADOR COMENTARIO

Facturación, Nómina,
QUERYX SOFTLAN Interfaz con 8.5 mediante TXT
contratación

CGUNO 8.5 Contabilidad Administrador de TI Interfaz con QUERYX

Permite pedir un grupo de trabajadores a un

T3RS Reclutamiento y selección T3RS - Contrato
reclutador, no hace interfaz con QUERYX

CRM Crear cliente prospecto Servicio al Cliente Proveedor DataCRM

Gestión de usuarios privilegiados y contraseñas especiales

No se observó un procedimiento de custodia de contraseñas especiales que son requeridas para el

acceso a las plataformas operativas, servidores, base de datos, dispositivos de red, entre otros. Si bien se
cuenta con un documento consolidado es necesario contar con protocolos de administración y seguridad
para estos usuarios.

Implementación del sistema de información QUERYX

En la impementación del sistema de información QUERYX se revisó la integridad de la data del sistema;

Se observaron 93 empleados sin el número de cuenta del banco correspondiente en la base de datos de
QUERYX por lo que se validó con el Jefe de TI informando que Soluciones Inmediatas no realiza el pago
directo de la nómina a los empleados de estas empresas:

REESTRUCTURA S.A.S.
AGENTE GENERAL S.A.S.
INDUSTRIAS METALURGICAS SAYCAR
LIMITADA
MOTORED DE COLOMBIA S.A.S.
COMERCIALIZADORA INTERNACIONAL AND
SAS
KUEHNE + NAGEL S A S
JPP
REALIZADO POR REVISADO POR AUTORIZADO POR
 PAPEL DE TRABAJO AUDITORIA DE
SISTEMAS SOLUCIONES INMEDIATAS
FECHA: 04-03-18

ODA GELATO S.A.S.

No se evidenciaron los parámetros configurados para la conformación de la contraseña de los usuarios

del sistema de información QUERYX que contemple al menos lo siguiente:

o Longitud mínima de la contraseña (8 Caracteres).

o Manejo de contraseñas alfanuméricas.
o Tiempo de caducidad de la contraseña entre 45 a 60 días.
o Restricción en el uso de la misma contraseña (Como mínimo un histórico de las últimas 4
contraseñas utilizadas).
o Restricción contraseñas por omisión (El nombre de usuario sea la contraseña).
o El área de TI, debe ser el único autorizado para realizar el desbloqueo de una cuenta de
usuario de los Sistemas.

No se evidenciaron los permisos definidos de los usuarios que acceden al sistema de información
QUERYX, y las opciones de eliminación, modificación y creación en los módulos que conforman el
aplicativo.

JPP
REALIZADO POR REVISADO POR AUTORIZADO POR