Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Equipo Auditor:
Alejandra María Vargas Palacio
Carlos Arturo Arregocés
Linderman Avendaño Amaya
Juan Arley Naranjo Lesmes
Auditoria de sistemas
Bogotá
2019
AUDITORES & CONSULTORES ADYCON
Contenido
1. Departamento Administrativo de la Defensoría del Espacio Público..............................................3
1.1 Ambientación Unidad Auditable................................................................................................ 3
2. Mapa de procesos.......................................................................................................................... 4
3. Organigrama.................................................................................................................................. 5
4. Breve reseña.................................................................................................................................. 6
4.1 Misión:...................................................................................................................................... 8
4.2 Visión:....................................................................................................................................... 8
5. ALCANCE DE LA AUDITORIA....................................................................................................... 8
6. OBJETIVOS................................................................................................................................... 8
6.1 General..................................................................................................................................... 8
6.2 Específicos............................................................................................................................... 8
7. INFORMACION FUENTE............................................................................................................... 8
AUDITORES & CONSULTORES ADYCON
Por medio del Acuerdo 018 del 31 de julio de 1999, el Concejo de Santa Fe de
Bogota D.C., crea la Defensoría del Espacio Público; entidad que estará
organizada como un Departamento Administrativo de la Administración Central de
Santa Fe de Bogotá.
Según el artículo 3º del Acuerdo 018, son: “(…) funciones de la Defensoría del
Espacio Público, sin perjuicio de las atribuciones de otras autoridades, la defensa,
inspección, vigilancia, regulación y control del espacio público del Distrito Capital;
la administración de los bienes inmuebles, y la conformación del inventario
general del patrimonio inmobiliario Distrital.”
2. Mapa de procesos.
AUDITORES & CONSULTORES ADYCON
3. Organigrama.
AUDITORES & CONSULTORES ADYCON
4. Breve reseña.
www.dadep.gov.co fuente,
https://www.dadep.gov.co/sites/default/files/presupuesto/notas_a_los_estados_fina
ncieros_nov_2017.pdf, consultado el 27 de junio de 2019.
AUDITORES & CONSULTORES ADYCON
4.1 Misión:
Contribuir al mejoramiento de la calidad de vida en Bogotá, por medio de una
eficaz defensa del espacio público, de una óptima administración del patrimonio
inmobiliario de la ciudad y de la construcción de una nueva cultura del espacio
público, que garantice su uso y disfrute colectivo y estimule la participación
comunitaria.
4.2 Visión:
El Departamento Administrativo de la Defensoría del Espacio Público, en el 2020
será el referente a nivel distrital, nacional e internacional en la administración y
defensa efectiva del espacio público y los bienes fiscales, mejorando sus
condiciones de uso y aprovechamiento.
5. ALCANCE DE LA AUDITORIA
6. OBJETIVOS
6.1 General
6.2 Específicos
Identificar el esquema de jerarquización y división de las funciones del personal de
la Oficina de Sistemas.
7. INFORMACION FUENTE
FECHA DE
NORMA - PROCEDIMIENTO
ACTUALIZACION
Subdirección de Administración Inmobiliaria y del Espacio Público.
INTERNO
Manual del usuario Sistema de Información
15 de septiembre 2017
Defensoría del Espacio Público SIDEP 2.0
EXTERNO
ULTIMA FECHA DE
RESOLUCIÓN
ACTUALIZACIÓN
Resolución 388 - 2016 29 de noviembre 2016
2. PROCEDIMIENTO DE AUDITORIA
3. CONCLUSION
El aplicativo no ofrece mecanismos prácticos y eficientes respecto a la
generación de informes o reportes, así como el cargue de la información se
vuelve un paso a paso extenso.
La información de los contratos de administración, mantenimiento y
aprovechamiento económico del espacio público que se cargan en los
diferentes módulos del SIDEP 2.0 se encuentra desactualizada de la
vigencia 2018.
CRONOGRAMA GENERAL
TIEMPO FECHA
Fecha de Inicio 11 abril de 2019
Fecha de Terminación 7 de mayor 2019
Total de horas Planeadas 60 horas (15 días)
Total, de horas Ejecutadas 60 horas (15 dios)
AUDITORES & CONSULTORES ADYCON
Exceso N/A
Justificación N/A
Cronograma detallado
CRONOGRAMA DETALLADO
FECHA
NOMBRE
DIA MES AÑO
ELABORADO
REVISADO
NOMBRE CARGO FUNCION FIRMA
ALEJANDRA Planeación y
Auditor del Sistema
VARGAS Ejecución
Gerente de Auditor del Coordinación y
SONIA HERNANDEZ
Sistema Supervisión
AUDITORES & CONSULTORES ADYCON
6. DESARROLLO DE LA AUDITORIA
HALLAZGOS
Ref.
# Descripción
P/T
El área de tecnología cuenta con 30 empleados para el desarrollo de
las actividades relacionadas con TI; cinco (5) de ellos de carrera
administrativa y 25 con contratos de prestación de servicios, por
H1
periodos de 11 o 12 meses, con frecuencia solicitan cesión o
terminación de los contratos, aprovechando oportunidades laborales
más estables, lo que conlleva a un grado alto de rotación de personal.
La entidad cuenta con un plan de capacitación para cada vigencia, no
se incluyen capacitaciones enfocadas a la tecnología de la
H2
información, teniendo en cuenta que no se tiene presupuesto para
ello.
El área de tecnología no cuenta con un catálogo, una relación o
documentación de sus proveedores, en el cual establezcan los
H3 contactos, vigencia de los contratos, servicios que prestan a la
entidad, garantías, entre otros. Pueden existir los contactos, pero no
en un archivo ordenado y sin control de la información.
El centro de cómputo se encuentra visible tanto para los funcionarios
como para los visitantes, ya que se encuentra frente a las salas de
reuniones de la entidad y está señalizado con un letrero muy evidente
H4
"CENTRO DE CÓMPUTO", de igual forma la parte exterior del centro
es en vidrio. Por otro lado, la parte posterior del centro de cómputo
tiene un ventanal de donde se observa una avenida principal.
H5 Se evidencia desorden y desorganización en el área, se encuentran
AUDITORES & CONSULTORES ADYCON
ASPECTOS SATISFACTORIOS
Información de la entidad.
Se maneja un adecuado proceso de BACKUPS con el proceso
INCREMENTAL que es la copia de todos los archivos nuevos o
H18 modificados desde el último Backus completo o diferencial. Es el más
óptimo a nivel de rendimiento y espacio de almacenamiento, además
del más extendido.
Se lleva a cabo un muy buen proceso de la actualización de la
tecnología donde se puede administrar la calidad por medio de
indicadores. Se realizan ajustes de documentos y actualización de
H19
procesos y procedimientos, además se evidencia el desarrollo de
soportes y mantenimientos para garantizar el funcionamiento de la
plataforma tecnología.
REFERENCIA
LISTA DE CHEQUEO
A-1
CG ADMINISTRACIÓN DE PERSONAL SI NO N/A D-P/T
1. ¿Tiene organigrama el área de tecnología? Si, en
el Plan Estratégico de Tecnologías de la Información
127-PPPG-104 VERSION 2 de fecha 12/02/2019, se
X
tiene definida la Estructura Orgánica de la Oficina de
Sistemas, al cual contiene el perfil, funciones y tipo de
contratación.
AUDITORES & CONSULTORES ADYCON
INSGI-02.php
10. ¿El área de tecnología tiene establecido un
procedimiento para la seguridad de la información?
Si, cuenta con el procedimiento identificado con
CODIGO: 127-PRCGI-02, VIGENCIA DESDE: X
23/11/2018. Lo anterior, se encuentra publicado en la
Intranet de la entidad: http://sgc.dadep.gov.co/6/127-
PROGI-01.php
11. ¿El área de tecnología tiene definidos los roles y
responsabilidades de seguridad de la información?
Si, la entidad cuenta con un manual de roles y
responsabilidades de seguridad de la información
identificado con el Código: 127-MANGI-02, Vigencia
desde: 19/03/2019 Versión: 1. Así mismo, se tiene una X
guía de roles y responsabilidades de seguridad de la
información identificado con el Código: 127-GUIGI-04,
Vigencia desde: 19/03/2019, Versión: 1. Lo anterior, se
encuentra publicado en la Intranet de la entidad:
http://sgc.dadep.gov.co/6/127-GUIGI-04.php
12. ¿El área de tecnología maneja una guía o manual
de la seguridad de la información? Si, la entidad
cuenta con un manual de gestión de seguridad de la
información identificado con el Código: 127-MANGI-01,
Vigencia desde: 24/10/2018, Versión: 2. Así mismo, se
X
tiene una guía de seguridad de la información
identificado con el Código: 127-GUIGI-01, Vigencia
desde: 24-10-2018,Versión: 3. Lo anterior, se encuentra
publicado en la Intranet de la entidad:
http://sgc.dadep.gov.co/6/127-GUIGI-01.php
13. ¿Existe un plan de gestión de riesgos de X
seguridad digital en la entidad? Si, este plan de
gestión está definido con el CODIGO: 127-PPPGI-06,
AUDITORES & CONSULTORES ADYCON
(centro de datos)".
29. ¿El DADEP lleva una relación de los activos de
los equipos, con los que se trabajan en las
diferentes áreas de la entidad? Si, se encuentra
X
relacionado en el Plan estratégico de tecnologías de la
información identificado con Código: 127-PPPGI-04, en
el numeral 6.5 denominado "Servicios Tecnológicos".
CG SEGURIDAD LÓGICA
30. ¿Existe un procedimiento para la creación,
modificación o eliminación de usuarios? Si, existe la
Política de Control de Acceso (Usuarios y Contraseñas),
establecida en el numeral 5.1.3 del Manual de Gestión
X
de Seguridad de la Información CODIGO: 127-MANGI-
01.
7. Evidencias
7.1 Entrevista
Entrevista W-1
Fecha Nombre Cargo
ING. HUGO INGENIERO DE SISTEMAS/LIDER
9/05/2019
HERNANDEZ DEL ÁREA
CONCLUSIÓN
A nivel general se realizan ajustes a los documentos y actualización de
procesos y procedimientos, además se realiza seguimiento al desarrollo de
soportes y mantenimientos para garantizar el funcionamiento de la
plataforma tecnología. Sin embargo, faltan planes importantes para
actualizar según las recomendaciones y lineamientos del MinTIC.
Entrevista W-2
Fecha Nombre Cargo
ARIOSTO TECNICO EN SISTEMAS/ ADMINISTRADOR
9/05/2019
GOMEZ INFRAESTRUCTURA TECNOLOGICA
CONCLUSIÓN
En el centro de cómputo está equipado con los equipos de tecnología
necesarios y requeridos para el funcionamiento de la entidad, sin embargo,
falta atención en el tema desorden y desorganización en el área, ya que se
encuentra computadores de escritorio, cajas de cartón, y diferentes cables en
el suelo obstruyendo el paso de personal y generando una apariencia poco
estética del lugar.
Entrevista W-3
Fecha Nombre Cargo
7.2 Fotos
# Evidencia Descripción
Las dos (2) UPS se encuentran dentro del centro
1 (Img o1) UPS
de cómputo.
No hay buena estructura de cámaras ya se
(Img o2)
2 evidencia solo una cámara en el centro de
Cámara
cómputo.
(Img o3) Se evidencia buena ventilación ya que se cuenta
3
Ventilación con aire acondicionado sin filtración de agua.
(Img o4) Se cuenta con sistema de detección de incendios
4
Extintores y con extintores vigentes y en puntos específicos.
(Img o5) Control
5 Se cuenta con sistema de detección de humo.
de Humo
(Img o6)
Existen cables en el suelo que obstruyen el paso a
6 Instalaciones
los usuarios.
Eléctricas 1
(Img o7)
Existen en el techo de las salas cables sueltos sin
7 Instalaciones
marcar.
Eléctricas
(Img o8)
Existen cables de red de datos sin protección, sin
8 Estándar de
gabinetes y sin normas apropiadas.
cableado
(Img o9) Área Existen identificación de áreas del centro de
9
no Restringida cómputo.
AUDITORES & CONSULTORES ADYCON
Centro ce cómputo
Centro ce cómputo
1.
AUDITORES & CONSULTORES ADYCON
SIDEP 2.0
SIGDEP
2. Líder Seguridad
de la Información ORFEO
Líder de SI CAPITAL
desarrollo
Administrador de
Infraestructura
Auxiliar
Administrativo Apoyo Gestión
Administrativa
Enlace Planeación y
procesos
administrativos
AUDITORES & CONSULTORES ADYCON
3.
4.
AUDITORES & CONSULTORES ADYCON
6.
AUDITORES & CONSULTORES ADYCON
7.
AUDITORES & CONSULTORES ADYCON
8.
9.
AUDITORES & CONSULTORES ADYCON
10.
AUDITORES & CONSULTORES ADYCON
11.
12.
AUDITORES & CONSULTORES ADYCON
13.
14.
AUDITORES & CONSULTORES ADYCON
15.
16.
AUDITORES & CONSULTORES ADYCON
17.
AUDITORES & CONSULTORES ADYCON
18
19.
AUDITORES & CONSULTORES ADYCON
28.
29.
AUDITORES & CONSULTORES ADYCON
30.
31.
AUDITORES & CONSULTORES ADYCON
32.
AUDITORES & CONSULTORES ADYCON
33.
34.
AUDITORES & CONSULTORES ADYCON
35.
43.
AUDITORES & CONSULTORES ADYCON
44.
45.
AUDITORES & CONSULTORES ADYCON
49.
AUDITORES & CONSULTORES ADYCON
52.
53.
AUDITORES & CONSULTORES ADYCON
54.
56.
AUDITORES & CONSULTORES ADYCON
57.
AUDITORES & CONSULTORES ADYCON
59.
61.
AUDITORES & CONSULTORES ADYCON
62.
65.
AUDITORES & CONSULTORES ADYCON
8. INFORME FINAL
OBJETIVOS
General:
Específicos:
ALCANCE DE LA AUDITORIA
AUDITORES & CONSULTORES ADYCON
INFORMACION FUENTE
FECHA DE
NORMA - PROCEDIMIENTO
ACTUALIZACION
Subdirección de Administración Inmobiliaria y del Espacio Público.
INTERNO
Manual del usuario Sistema de Información
15 de septiembre 2017
Defensoría del Espacio Público SIDEP 2.0
EXTERNO
ULTIMA FECHA DE
RESOLUCIÓN
ACTUALIZACIÓN
Resolución 388 - 2016 29 de noviembre 2016
HALLAZGO # 1 HALLAZGO #2
Descripción Descripción
El área de tecnología cuenta con 30
empleados para el desarrollo de las
actividades relacionadas con TI; 5 de
La entidad cuenta con un plan de
ellos con contratos laborales por carrera
capacitación para cada vigencia, no se
administrativa y 25 con contratos de
incluyen capacitaciones enfocadas a la
prestación de servicios por periodos de
tecnología de la información, teniendo
11 o 12 meses, con frecuencia solicitan
en cuenta que no se tiene presupuesto
cesión o terminación de los contratos,
para ello.
aprovechando oportunidades laborales
más estables, lo que conlleva a un grado
alto de rotación de personal.
Recomendaciones Recomendaciones
Se recomienda definir muy bien el perfil
de cada puesto de trabajo, mejorar la Se recomienda elaborar planes de
selección de personal (para saber capacitación de manera sistemática y
encontrar la persona más adecuada y organizada, optimizando recursos, que
con las competencias necesarias), invertir permitan a los empleados obtener
en capital humano conocimientos, aptitudes, y habilidades
fomentar el desarrollo de nuevas en función de objetivos definidos.
competencias y retener el talento.
Nivel de riesgo Nivel de riesgo
El tener un alto grado de rotación de Las técnicas de entrenamiento pierden
personal permite la baja productividad, vigencia, causando conflictos
mal servicio al cliente, atraso en el innecesarios en el lugar de trabajo,
desarrollo del sistema operativo, altos cuando los empleados no están
costos relacionados con la contratación, capacitados, el protocolo y las
AUDITORES & CONSULTORES ADYCON
HALLAZGO # 3 HALLAZGO # 4
Descripción Descripción
El centro de cómputo se encuentra
El área de tecnología no cuenta con un visible tanto para los funcionarios como
catálogo, una relación o documentación para los visitantes, ya que se encuentra
de sus proveedores, en el cual frente a las salas de reuniones de la
establezcan los contactos, vigencia de entidad y está señalizado con un letrero
los contratos, servicios que prestan a la muy evidente "CENTRO DE
entidad, garantías, entre otros. Pueden CÓMPUTO", de igual forma la parte
existir los contactos, pero no en un exterior del centro es en vidrio. Por otro
archivo ordenado y sin control de la lado, la parte posterior del centro de
información. cómputo tiene un ventanal de donde se
observa una avenida principal.
Recomendaciones Recomendaciones
Implementación de catálogo como base Para el centro de cómputo es necesario
de datos informando identificación, cumplir con requerimientos técnicos
nombre, teléfono, persona de contacto. para garantizar su funcionabilidad a lo
Los proveedores son una fuente largo del tiempo, entre los cuales es
importante de información para evaluar fundamental las instalaciones físicas,
el potencial de los artículos, darles se debe realizar un estudio del área
seguimiento a las acciones de los para optimizar al máximo cada metro
AUDITORES & CONSULTORES ADYCON
HALLAZGO # 5 HALLAZGO # 6
Descripción Descripción
Recomendaciones Recomendaciones
Se recomienda capacitar a la persona
Proteger y conservar los activos de la
encargada del centro de cómputo sobre la
organización para reducir la
importancia de adecuar de manera correcta
probabilidad de las pérdidas a un
y de acuerdo a las normas el tendido de red
mínimo nivel aceptable, a un costo
datos, cubrir y marcar, y desinstalar las
razonable y asegurar la adecuada
conexiones que generen riesgo a los
recuperación.
usuarios.
Nivel de riesgo Nivel de riesgo
No tener el cableado estructurado,
Los objetos que interrumpen el paso pueden
genera fallas de instalaciones
generar incendios, pérdida de información,
inalámbricas, no permite la
mal funcionamiento del equipo, del software,
identificación de instalaciones
de los datos y de los medios de
defectuosas e inadecuado
almacenamiento.
almacenamiento.
AUDITORES & CONSULTORES ADYCON
HALLAZGO # 7 HALLAZGO # 8
Descripción Descripción
El DADEP no cuenta con planta
eléctrica propia, este servicio es
La entidad cuenta con un Plan de soportado con las plantas eléctricas del
Recuperación de Desastres en edificio Centro Administrativo Distrital
Tecnología denominado "Guía para la (CAD), las cuales se encuentran en el
ejecución del plan de contingencia del sótano del mismo, sin embargo, se
área de informática del DADEP" sin evidencia que el área de tecnología del
embargo, este plan tiene vigencia del 13 DADEP no tiene ningún control del
de diciembre del 2011, por lo que se mantenimiento y del funcionamiento de
considera desactualizado de acuerdo a estas plantas ya que las mismas son
los lineamientos impartidos por el operadas por la Secretaria de Hacienda
Ministerio de Tecnologías de la Distrital, en consecuencia, y teniendo en
Información y las Comunicaciones cuenta las bajas de energía en la
(MinTIC). entidad por largos periodos de tiempo,
con frecuencia se ve afectada la
operación de la entidad.
Recomendaciones Recomendaciones
Realizar la actualización a los procesos Se recomienda la adquisición de una
requeridos por el (MinTIC), proteger y planta eléctrica que trabaje con base a
conservar los activos de riesgos de algún combustible, conforme las
desastres naturales o actos mal necesidades de electricidad, ya sea
intencionados, asegurar que existen automática o manual. La adquisición de
controles adecuados para las ellas dependerá del uso que se le dé al
condiciones ambientales que reduzcan sistema de cómputo, en caso de apagón
el riesgo por fallas o mal funcionamiento sobre todo si esto ocurre durante la
AUDITORES & CONSULTORES ADYCON
HALLAZGO # 9 HALLAZGO # 10
Descripción Descripción
HALLAZGO # 11 HALLAZGO # 12
Descripción Descripción
Se encontraron Contratos de El sistema de información SIDEP 2.0
Administración con datos aún tiene módulos en desarrollo,
AUDITORES & CONSULTORES ADYCON
Equipo auditor: