Informe Final de Auditoria de Sistemas Dadep Optativa

AUDITORES & CONSULTORES ADYCON
Equipo Auditor:
Alejandra María Vargas Palacio
Carlos Arturo Arregocés
Linderman Avendaño Amaya
Juan Arley Naranjo Lesmes
Universidad Libre de Colombia
Facultad de Ciencias Económicas, Administrativas y Contables.
Auditoria de sistemas
Bogotá
2019
Contenido
1. Departamento Administrativo de la Defensoría del Espacio Público..............................................3
1.1 Ambientación Unidad Auditable................................................................................................ 3
2. Mapa de procesos.......................................................................................................................... 4
3. Organigrama.................................................................................................................................. 5
4. Breve reseña.................................................................................................................................. 6
4.1 Misión:...................................................................................................................................... 8
4.2 Visión:....................................................................................................................................... 8
5. ALCANCE DE LA AUDITORIA....................................................................................................... 8
6. OBJETIVOS................................................................................................................................... 8
6.1 General..................................................................................................................................... 8
6.2 Específicos............................................................................................................................... 8
7. INFORMACION FUENTE............................................................................................................... 8
1. Departamento Administrativo de la Defensoría del Espacio Público.
Por medio del Acuerdo 018 del 31 de julio de 1999, el Concejo de Santa Fe de
Bogota D.C., crea la Defensoría del Espacio Público; entidad que estará
organizada como un Departamento Administrativo de la Administración Central de
Santa Fe de Bogotá.
Según el artículo 3º del Acuerdo 018, son: “(…) funciones de la Defensoría del
Espacio Público, sin perjuicio de las atribuciones de otras autoridades, la defensa,
inspección, vigilancia, regulación y control del espacio público del Distrito Capital;
la administración de los bienes inmuebles, y la conformación del inventario
general del patrimonio inmobiliario Distrital.”
1.1 Ambientación Unidad Auditable

Entidad: Departamento Administrativo de la Defensoría del Espacio Público
(DADEP).
Ubicación: CENTRO ADMINISTRATIVO DISTRITAL- CAD, Cr. 30 # 25-90 Piso
15.
Área: Subdirección de Administración Inmobiliaria y del Espacio Público.
Aplicación: Sistema de Información SIDEP 2.0
Funcionalidad: Registro del Inventario General de Espacio Público y Bienes
Fiscales del Distrito Capital de Bogotá, así como el registro de la administración,
defensa y registró contable de dicho inventario.
2. Mapa de procesos.
3. Organigrama.
4. Breve reseña.
La Defensa del Espacio Público en Bogotá tiene historia normativa documentada

desde su primera denominación como "Procuraduría de Bienes del Distrito
Capital", entidad creada mediante Decreto 214 de marzo 26 de 1997, con el
propósito de disponer de un ente sólido, capaz de responder adecuadamente a las
necesidades de Bogotá, para garantizar la defensa del espacio público y el
desarrollo de actividades complementarias.
Las funciones de la Procuraduría de Bienes del Distrito Capital inicialmente

involucraron mucho más que la obligación y responsabilidad de velar por las zonas
de cesión y las áreas de cesión obligatorias gratuitas de cualquier tipo, también
generaron el compromiso de custodiar dichas zonas y áreas, para que su cesión,
además de responder a los señalamientos normativos, de eficacia, eficiencia,
economía y celeridad, respondieran a las exigencias de Bogotá. Igualmente te
correspondieron actuaciones que implicaron responsabilidades de orden
administrativo, jurídico y de ejecución, tales como el mantenimiento,
administración y aprovechamiento de las zonas y de las áreas de cesión y su
entrega a cualquier título, o el recibo o aprehensión de las zonas de cesión
pertinentes, las acciones policivas, posesorias, de prescripción adquisitiva del
derecho de dominio y reivindicatorias.
A su vez, se le asignaron responsabilidades en el saneamiento de los bienes de

uso público y fiscal que hacen parte del inventario inmobiliario y las áreas de
cesión obligatoria para las vías, zonas verdes y servicios comunales, e igualmente
la facultad de celebrar los contratos de paso y uso de la infraestructura existente y
entregada por los Urbanizadores como zonas de cesión. Dentro de sus
obligaciones de control y vigilancia se le asignaron las de recuperación de las
zonas públicas afectadas por las obras de infraestructura para la prestación de
Servicios Públicos en Bogotá, buscando garantizar al Distrito Capital una acción
pronta sobre sus bienes inmobiliarios y la generación de actuaciones policivas o
judiciales que dieran un alto grado de tranquilidad a la administración de la ciudad.
Las obligaciones y responsabilidades antes señaladas, implicaron compromisos

de orden administrativo, técnico, jurídico y operativo; siendo estos cuatro
elementos suficientes para la estructuración de una entidad de alta importancia
para el Distrito Capital.
Los compromisos administrativos, técnicos, jurídicos y operativos, fueron

heredados por el actual DADEP, desde el 31 de julio de 1999, mediante Acuerdo
18, el Concejo de Bogotá, respondiendo tanto al avance evolutivo del espacio
público en la capital, como al cumplimiento de tos mandatos constitucionales y
legales, creó la Defensoría del Espacio Público, proporcionándole la
responsabilidad de encargarse de defender, vigilar y controlar el espacio público
de la Ciudad, estableciendo también que la entidad creada se organice como un
"Departamento Administrativo de la Administración Central de Bogotá".
Generándole además de las implicaciones administrativas y jurídicas, una

obligación con tres alcances de orden social: el mejoramiento de la calidad de
vida, la construcción de una nueva cultura del espacio público y el estímulo de la
participación comunitaria, lo que significa la obligación de que la entidad sea
dinámica y que constantemente se acople al desarrollo de la Ciudad.
Con la creación del Departamento Administrativo de la Defensoría del Espacio

Público, se genera la posibilidad de aportarle a Bogotá un nuevo proceso, ágil y
dinámico, que en su accionar logre el manejo efectivo, con sus componentes de
eficiencia y eficacia en lo referente al espacio público, ya que antes del DADEP,
existían unas situaciones que se tuvieron que asumir y corregir para poder actuar
acorde a los propósitos planteados.
www.dadep.gov.co fuente,
https://www.dadep.gov.co/sites/default/files/presupuesto/notas_a_los_estados_fina
ncieros_nov_2017.pdf, consultado el 27 de junio de 2019.
4.1 Misión:
Contribuir al mejoramiento de la calidad de vida en Bogotá, por medio de una
eficaz defensa del espacio público, de una óptima administración del patrimonio
inmobiliario de la ciudad y de la construcción de una nueva cultura del espacio
público, que garantice su uso y disfrute colectivo y estimule la participación
comunitaria.
4.2 Visión:
El Departamento Administrativo de la Defensoría del Espacio Público, en el 2020
será el referente a nivel distrital, nacional e internacional en la administración y
defensa efectiva del espacio público y los bienes fiscales, mejorando sus
condiciones de uso y aprovechamiento.
5. ALCANCE DE LA AUDITORIA
La auditoría se realizará sobre los lineamientos, políticas, procesos y

procedimientos dirigidos al aseguramiento de la información el centro de cómputo
y la oficina de sistemas del Departamento Administrativo de la Defensoría del
Espacio Público.
6. OBJETIVOS
6.1 General
6.2 Específicos
Identificar el esquema de jerarquización y división de las funciones del personal de
la Oficina de Sistemas.
Verificar si el proceso de gestión de la información y la tecnología y los

procedimientos respectivos se encuentran documentados.
Verificar los mecanismos de seguridad física del centro de cómputo.
Verificar la seguridad lógica manejada por la Oficina de Sistemas
Verificar los controles respecto a los BACKUPS
Verificar los controles para la continuidad de las operaciones de los sistemas de

información.
7. INFORMACION FUENTE
FECHA DE
NORMA - PROCEDIMIENTO
ACTUALIZACION
Subdirección de Administración Inmobiliaria y del Espacio Público.
INTERNO
Manual del usuario Sistema de Información
15 de septiembre 2017
Defensoría del Espacio Público SIDEP 2.0
EXTERNO
ULTIMA FECHA DE
RESOLUCIÓN
ACTUALIZACIÓN
Resolución 388 - 2016 29 de noviembre 2016
1. AMBIENTACIÓN UNIDAD AUDITABLE
 Entidad: Departamento Administrativo de la Defensoría del Espacio

Público (DADEP).
 Ubicación: CENTRO ADMINISTRATIVO DISTRITAL- CAD, Cr. 30 #
25-90 Piso 15.
 Área: Subdirección de Administración Inmobiliaria y del Espacio Público.
 Aplicación: Sistema de Información SIDEP 2.0
 Funcionalidad: Registro del Inventario General de Espacio Público y
Bienes Fiscales del Distrito Capital de Bogotá, así como el registro de la
administración, defensa y registró contable de dicho inventario
2. PROCEDIMIENTO DE AUDITORIA
# CAPITULO REF P/T HECHO POR

Administración
1 A-1 ERIKA RAMIREZ
personal
2 Documentación B-1 ERIKA RAMIREZ
3 Seguridad Física C-1 ALEJANDRA VARGAS
4 Seguridad Lógica D-1 ALEJANDRA VARGAS
5 Backup E-1 SONIA HERNANDEZ
6 Logs F-1 SONIA HERNANDEZ
7 Contingencia G-1 ERIKA RAMIREZ
8 Controles E-P-S H-1 ALEJANDRA VARGAS
3. CONCLUSION
 El aplicativo no ofrece mecanismos prácticos y eficientes respecto a la
generación de informes o reportes, así como el cargue de la información se
vuelve un paso a paso extenso.
 La información de los contratos de administración, mantenimiento y
aprovechamiento económico del espacio público que se cargan en los
diferentes módulos del SIDEP 2.0 se encuentra desactualizada de la
vigencia 2018.
4. PRESUPUESTO Y CONTROL DE TIEMPO

Cronograma general
CRONOGRAMA GENERAL
TIEMPO FECHA
Fecha de Inicio 11 abril de 2019
Fecha de Terminación 7 de mayor 2019
Total de horas Planeadas 60 horas (15 días)
Total, de horas Ejecutadas 60 horas (15 dios)
Exceso N/A
Justificación N/A
Cronograma detallado
CRONOGRAMA DETALLADO
Actividad Mes 1 Mes 2

RESPONSABLE
FECHA 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 1 2 3 4 5 5 7
Planeación
Levantamiento Información Sonia Hernandes
Generación Listas de Chequeo Sonia Hernandes
Generación Pruebas Sonia Hernandes
Generación Elementos SCI Sonia Hernandes
Ejecución
Apertura Erika Ramirez
Entrevistas Sonia Hernandes
Diligenciamiento Programa Auditoria Alejandra Vargas
Visitas a ___ Erika Ramirez
Ejecución de Pruebas Sonia Hernandes
Redacción Resultado Pruebas Alejandra Vargas
Preparar informe detallado Erika Ramirez
Preparar Informe Ejecutivo Sonia Hernandes
Acuerdo de informe Alejandra Vargas
Informe
Discusión del informe Erika Ramirez
Entrega Oficial del Informe Alejandra Vargas
Seguimiento
S1 2019 - 2
S2 2010 - 1
5. REVISIÓN Y APROBACIÓN DEL PROGRAMA DE AUDITORIA
8.1 APROBACIÓN PROGRAMA
FECHA
NOMBRE
DIA MES AÑO
ELABORADO
REVISADO
NOMBRE CARGO FUNCION FIRMA
ALEJANDRA Planeación y
Auditor del Sistema
VARGAS Ejecución
Gerente de Auditor del Coordinación y
SONIA HERNANDEZ
Sistema Supervisión
6. DESARROLLO DE LA AUDITORIA
6.1 Puntos para el Informe
HALLAZGOS
Ref.
# Descripción
P/T
El área de tecnología cuenta con 30 empleados para el desarrollo de
las actividades relacionadas con TI; cinco (5) de ellos de carrera
administrativa y 25 con contratos de prestación de servicios, por
H1
periodos de 11 o 12 meses, con frecuencia solicitan cesión o
terminación de los contratos, aprovechando oportunidades laborales
más estables, lo que conlleva a un grado alto de rotación de personal.
La entidad cuenta con un plan de capacitación para cada vigencia, no
se incluyen capacitaciones enfocadas a la tecnología de la
H2
información, teniendo en cuenta que no se tiene presupuesto para
ello.
El área de tecnología no cuenta con un catálogo, una relación o
documentación de sus proveedores, en el cual establezcan los
H3 contactos, vigencia de los contratos, servicios que prestan a la
entidad, garantías, entre otros. Pueden existir los contactos, pero no
en un archivo ordenado y sin control de la información.
El centro de cómputo se encuentra visible tanto para los funcionarios
como para los visitantes, ya que se encuentra frente a las salas de
reuniones de la entidad y está señalizado con un letrero muy evidente
H4
"CENTRO DE CÓMPUTO", de igual forma la parte exterior del centro
es en vidrio. Por otro lado, la parte posterior del centro de cómputo
tiene un ventanal de donde se observa una avenida principal.
H5 Se evidencia desorden y desorganización en el área, se encuentran
computadores de escritorio, cajas de cartón y diferentes cables en el

suelo obstruyendo el paso de personal y generando una apariencia de
falta de estética del centro de cómputo.
Gran cantidad de los cables de los diferentes equipos tecnológicos del
H6 centro de cómputo están sueltos, sin identificar, sin velcro ni ningún
tipo de amarre, es decir, no se evidencia un cableado estructurado.
La entidad cuenta con un Plan de Recuperación de Desastres en
Tecnología denominado "Guía para la ejecución del plan de
contingencia del área de informática del DADEP" sin embargo, este
H7 plan tiene vigencia del 13 de diciembre del 2011, por lo que se
considera desactualizado de acuerdo a los lineamientos impartidos
por el Ministerio de Tecnologías de la Información y las
Comunicaciones (MinTIC).
El DADEP no cuenta con planta eléctrica propia, este servicio es
soportado con las plantas eléctricas del edificio Centro Administrativo
Distrital (CAD), las cuales se encuentran en el sótano del mismo, sin
embargo, se evidencia que el área de tecnología del DADEP no tiene
H8 ningún control del mantenimiento y del funcionamiento de estas
plantas ya que las mismas son operadas por la Secretaria de
Hacienda Distrital, en consecuencia, y teniendo en cuenta las bajas
de energía en la entidad por largos periodos de tiempo, con
frecuencia se ve afectada la operación de la entidad.
En la entidad solo hay una persona autorizada para generar los
reportes e informes del SIDEP 2.0 y cuando no se encuentra, nadie
H9 tiene acceso a esta información. Además, estos reportes no están
definidos, esta persona de acuerdo a la necesidad del usuario genera
la información.
H10 El proceso para el cargue de la información requiere mucho tiempo ya
que se deben seguir muchos paso a paso, un ejemplo de un trámite
sería la ejecución de una visita, la cual es programada, asignada,
realizada, registrada y finalizada. Este paso a paso es lo que se
denomina trazabilidad, la cual quedará registrada en el sistema para
conocimiento de todos los usuarios, pero requiere mucho tiempo entre

un usuario y otro para finalizar el trámite.
Se encontraron Contratos de Administración con datos incompletos en
el cargue de la información en los respectivos módulos de
H11
seguimiento, información general e información financiera, además no
hay un responsable definido para esta actividad.
El sistema de información SIDEP 2.0 aún tiene módulos en desarrollo,
observando que no existe una programación adecuada entre
H12 producción, desarrollo y ambiente de pruebas para el sistema de
información, conllevando esto a demorar el proceso del cargue de la
información.
ASPECTOS SATISFACTORIOS
Se evidencia una adecuada estructura de gobierno TI de la oficina de

H13
sistemas por medio de un organigrama.
Se programan y se desarrollan eficientemente las actividades
H14 soportes y mantenimiento para garantizar el correcto funcionamiento
de la plataforma tecnológica de la entidad.
La mesa de ayuda maneja buenas herramientas donde soporta todos
los registros y almacenamiento de todas las incidencias y
H15 requerimientos radicados para mejorar el nivel de servicios, el
requerimiento de recursos mitigando la exposición de riesgo de la
organización y por tanto al departamento de TIC.
El DADEP cuenta con diversos aplicativos que ayudan a la gestión
misional y administrativa de la entidad como: SIDEP, ROYAL,
BIBLIOTECA VIRTUAL, CORDIS, SISCO, PERNO, LIMAY, SAI_SAE,
H16 SICIDEP, MAPA DIGITAL, ENTRE OTROS, aplicativos que están
compuestos por una serie de objetos que hay que proteger; para esto
realizan copias permanentes que permite la recuperación o instalación
si así se requiere.
El DADEP cuenta con acciones para mantener la integridad,
H17 disponibilidad y confidencialidad de la información, de acuerdo a los
lineamientos establecidos en la Política de Seguridad de la
Información de la entidad.
Se maneja un adecuado proceso de BACKUPS con el proceso
INCREMENTAL que es la copia de todos los archivos nuevos o
H18 modificados desde el último Backus completo o diferencial. Es el más
óptimo a nivel de rendimiento y espacio de almacenamiento, además
del más extendido.
Se lleva a cabo un muy buen proceso de la actualización de la
tecnología donde se puede administrar la calidad por medio de
indicadores. Se realizan ajustes de documentos y actualización de
H19
procesos y procedimientos, además se evidencia el desarrollo de
soportes y mantenimientos para garantizar el funcionamiento de la
plataforma tecnología.
6.2 Lista de chequeo
REFERENCIA
LISTA DE CHEQUEO
A-1
CG ADMINISTRACIÓN DE PERSONAL SI NO N/A D-P/T
1. ¿Tiene organigrama el área de tecnología? Si, en
el Plan Estratégico de Tecnologías de la Información
127-PPPG-104 VERSION 2 de fecha 12/02/2019, se
X
tiene definida la Estructura Orgánica de la Oficina de
Sistemas, al cual contiene el perfil, funciones y tipo de
contratación.
2. ¿Se tiene el personal suficiente en el área de

tecnología para el desempeño de sus funciones? Si,
el área cuenta con 1 jefe de oficina (libre
X
nombramiento), 4 personas de planta (carrera
administrativa) y 25 contratistas (Prestación de
servicios).
3. ¿Existe un documento en el cual definan los
perfiles y las funciones del personal de planta que
labora en el área de tecnología? Si, el DADEP tiene
establecido y publicado un manual especifico de X
funciones y de competencias laborales para los empleos
de la planta de personal, mediante la Resolución
001/2019.
4. ¿Existe un documento en el cual definan los
perfiles y las funciones del personal contratista que
labora en el área de tecnología? Si, el DADEP tiene
establecido un manual de contratación Código 127- X
MANGR-01 Versión 2 del 04/01/2019. Así mismo, la
entidad tiene definido un plan de contratación de fecha
16/04/2019.
5. ¿Se tienen un control o programación respecto a
la rotación del personal del área de tecnología? No.
A pesar que el área de tecnología cuenta con 30
personas para el desarrollo de las actividades
relacionadas con IT, se evidencia que solo 5 están
contratadas directamente con la entidad por carrera
X
administrativa y 25 son contratistas, es decir, con
contratos de prestación de servicios por periodos de 11
o 12 meses, en consecuencia, con frecuencia solicitan
cesión o terminación de los contratos toda vez que
encuentran oportunidades laborales más estables,
conllevando esto a una alta rotación de personal.
6. ¿El personal de sistemas ha recibido capacitación

suficiente con respecto a la tecnología de la

información? No, a pesar que la entidad cuenta con un
plan de capacitación para cada vigencia, no se incluyen X
capacitaciones enfocadas a la tecnología de la
información, teniendo en cuenta que no se tiene
presupuesto para ello.
CG DOCUMENTACIÓN
7. ¿El DADEP tiene establecida la caracterización del
proceso de gestión de la información y la
tecnología? Si, esta caracterización se encuentra
X
identificada con CÓDIGO: 127-PROGI-01 y se
encuentra publicada en la Intranet de la entidad:
http://sgc.dadep.gov.co/6/127-PROGI-01.php
8. ¿Existe un plan estratégico de tecnologías de la
información en la entidad? Si, el plan estratégico está
definido con el Código 127-PPPGI-04, Versión 2,
Vigente desde: 12/02/2019. Está implementado para la X
vigencia 2016-2020 y se encuentra publicado en la
Intranet de la entidad: http://sgc.dadep.gov.co/6/127-
PPPGI-04.php
9. ¿El área de tecnología tiene documentado el X
procedimiento de mantenimiento y soporte de la
infraestructura tecnológica? Si, cuenta con el
procedimiento definido CODIGO: 127-PRCGI-01,
VIGENCIA: 12/10/2018 y con un Instructivo para el
mantenimiento y soporte de la infraestructura
tecnológica, identificado con Código: 127-INSGI-02,
Vigencia desde: 09/10/2018, Versión: 3. Además se
tiene establecidos formatos para el control de este
procedimiento. Lo anterior, se encuentra publicado en la
INSGI-02.php
10. ¿El área de tecnología tiene establecido un
procedimiento para la seguridad de la información?
Si, cuenta con el procedimiento identificado con
CODIGO: 127-PRCGI-02, VIGENCIA DESDE: X
23/11/2018. Lo anterior, se encuentra publicado en la
PROGI-01.php
11. ¿El área de tecnología tiene definidos los roles y
responsabilidades de seguridad de la información?
Si, la entidad cuenta con un manual de roles y
responsabilidades de seguridad de la información
identificado con el Código: 127-MANGI-02, Vigencia
desde: 19/03/2019 Versión: 1. Así mismo, se tiene una X
guía de roles y responsabilidades de seguridad de la
información identificado con el Código: 127-GUIGI-04,
Vigencia desde: 19/03/2019, Versión: 1. Lo anterior, se
encuentra publicado en la Intranet de la entidad:
http://sgc.dadep.gov.co/6/127-GUIGI-04.php
12. ¿El área de tecnología maneja una guía o manual
de la seguridad de la información? Si, la entidad
cuenta con un manual de gestión de seguridad de la
información identificado con el Código: 127-MANGI-01,
Vigencia desde: 24/10/2018, Versión: 2. Así mismo, se
X
tiene una guía de seguridad de la información
identificado con el Código: 127-GUIGI-01, Vigencia
desde: 24-10-2018,Versión: 3. Lo anterior, se encuentra
publicado en la Intranet de la entidad:
http://sgc.dadep.gov.co/6/127-GUIGI-01.php
13. ¿Existe un plan de gestión de riesgos de X
seguridad digital en la entidad? Si, este plan de
gestión está definido con el CODIGO: 127-PPPGI-06,
Versión 1, Vigente desde: 16/11/2018. Se encuentra

publicado en la Intranet de la entidad:
http://sgc.dadep.gov.co/6/127-PPPGI-06.php
14. ¿Existe un plan de seguridad y privacidad de la
información en la entidad? Si, este plan de gestión
está definido con el CODIGO:127-PPPGI-05, Versión 2,
X
Vigente desde: 06/02/2018. Se encuentra publicado en
la Intranet de la entidad: http://sgc.dadep.gov.co/6/127-
PPPGI-05.php
15. ¿Existe una Política de seguridad de la
información en la entidad? Si, esta Política está
identificada con el CODIGO: 127-PPPGI-01, Versión
X
3,Vigente desde: 23/11/2018. Se encuentra publicado
en la Intranet de la entidad:
http://sgc.dadep.gov.co/6/127-PPPGI-01.php
16. ¿Tiene el DADEP una guía para los sistemas de
información? Si, esta Guía está identificada con el
Código: 127-GUIGI-02,Versión 3,Vigente desde: X
30/08/2017. Se encuentra publicado en la Intranet de la
entidad: http://sgc.dadep.gov.co/6/127-GUIGI-02.php
17. ¿El área de tecnología tiene establecido un
procedimiento para los sistemas de información? Si,
cuenta con el procedimiento identificado con CODIGO:
X
127-PRCGI-03, VIGENCIA DESDE: 30/08/2017. Lo
anterior, se encuentra publicado en la Intranet de la
entidad: http://sgc.dadep.gov.co/6/127-PRCGI-03.php
18. ¿Cuenta el DADEP con un Diagrama de Red o
Topología de la distribución del entorno
X
tecnológico? Si, denominado "INFRAESTRUCTURA
INFORMATICA DADEP".
19. ¿Existe un Modelo Entidad- Relación para los
aplicativos? Si, la entidad cuenta con varios aplicativos X
misionales y administrativos y todos cuentan con su
respectivo Modelo E-R.

20. ¿Tiene el área de tecnología una relación o
documentación de sus proveedores, en el cual
establezcan los contactos, vigencia de los
contratos, servicios que prestan a la entidad,
garantías ,entre otros ? No, el área de tecnología no
cuenta con un catálogo, una relación o documentación X
de sus proveedores, en el cual establezcan los
contactos, vigencia de los contratos, servicios que
prestan a la entidad, garantías ,entre otros. Tienen los
contactos, pero un archivo ordenado ni un control con
esta información.
CG SEGURIDAD FÍSICA
21. ¿Se poseen mecanismos de seguridad para el
acceso al Centro de Computo del DADEP? Si, solo el
personal autorizado puede ingresar mediante huella X
dactilar y hacer el respectivo registro en una planilla de
control.
22. ¿Cumple la ubicación del centro de cómputo con
los protocolos de seguridad de la infraestructura
tecnológica? No, el centro de cómputo se encuentra
visible tanto para los funcionarios como para los
visitantes, ya que se encuentra frente a las salas de
X
reuniones de la entidad y está señalizado con un letrero
muy evidente "CENTRO DE COMPUTO", además la
parte exterior del centro es de vidrio. Por otro lado, la
parte posterior del centro de cómputo tiene un ventanal
de donde se observa una avenida principal.
23. ¿El Centro de Computo cuenta con sistema
detección y extinción de incendios? Si, cuenta con un
X
controlador FM200 CHEMETRON- FIRE SYSTEM-
MICRO1001.
24. ¿El Centro de Computo tiene instalado un

Circuito cerrado de televisión? Si, pero únicamente
X
cuenta con una cámara de televisión que da hacía los
Racks.
25. ¿El Centro de Computo cuenta con aire
acondicionado y sistema de detección de humo? Si,
cuenta con dos (2) unidades de aire acondicionado de X
36.000 BTU y con sistema de detección de humo
conectado con toda la entidad.
26. ¿En general el centro de cómputo es ordenado,
aseado y cumple con los estándares de seguridad y
salud en el trabajo? No, toda vez que se evidencia
desorden y desorganización en el área, ya que se
X
encuentra computadores de escritorio, cajas de cartón,
y diferentes cables en el suelo obstruyendo el paso de
personal y generando una apariencia poco estética del
lugar.
27. ¿El cableado de los diferentes equipos
tecnológicos del centro de cómputo, cumplen con
las condiciones de etiquetado, amarre, estructura y
orden? No, ya que gran cantidad de los cables de los
X
diferentes equipos tecnológicos del centro de cómputo
están sueltos, sin identificar, sin velcro ni ningún tipo de
amarre, es decir, no se evidencia un cableado
estructurado.
28. ¿El DADEP lleva el inventario de los X
componentes tecnológicos que se encuentran en el
centro de cómputo, con los que se soportan los
servicios que presta la entidad? Si, se encuentra
relacionado en Plan estratégico de tecnologías de la
información identificado con Código: 127-PPPGI-04, en
el numeral 6.4 denominado "Infraestructura tecnológica
(centro de datos)".
29. ¿El DADEP lleva una relación de los activos de
los equipos, con los que se trabajan en las
diferentes áreas de la entidad? Si, se encuentra
X
relacionado en el Plan estratégico de tecnologías de la
información identificado con Código: 127-PPPGI-04, en
el numeral 6.5 denominado "Servicios Tecnológicos".
CG SEGURIDAD LÓGICA
30. ¿Existe un procedimiento para la creación,
modificación o eliminación de usuarios? Si, existe la
Política de Control de Acceso (Usuarios y Contraseñas),
establecida en el numeral 5.1.3 del Manual de Gestión
X
de Seguridad de la Información CODIGO: 127-MANGI-
01.
31. ¿Se cuenta con un elemento de comunicación y

seguridad perimetral informática? Si, se tiene Firewall
FortiGate 500D, el cual enruta comunicaciones seguras
configuradas entre los diferentes equipos de
comunicación gestionados para usuarios para
aplicaciones. La información más detallada se
X
encuentra relacionada en el Plan estratégico de
tecnologías de la información identificado con Código:
127-PPPGI-04, en el numeral 6.5 denominado
"Servicios Tecnológicos".
32. ¿Se tiene identificado el software base que

soporta los sistemas de información, portales web y
servicios de la entidad? Si, los principales son Oracle, X
MySQL, ArcGis, Java, Linux, Windows en diferentes
versiones y software ofimático de Microsoft, cuyo
inventario se encuentra relacionado en el Plan

estratégico de tecnologías de la información identificado
con Código: 127-PPPGI-04, en el numeral 6.5
denominado "Servicios Tecnológicos".
33. ¿El DADEP cuenta con ANTIVIRUS? Si, El DADEP

cuenta con una consola de Antivirus, la cual administra
los clientes colocados en todas las máquinas del
DADEP, permitiendo detectar casos de propagación
X
masiva de virus informáticos. El antivirus adquirido por
la entidad además de realizar prevención y desinfección
de virus informáticos también es: antimalware,
antispyware.
34. El área de tecnología tiene una programación
para la administración del antivirus corporativo? Si,
el área tiene definido quién y cómo realiza la
X
administración, lo anterior se encuentra en la Guía de
Seguridad de la Información CODIGO 127-GUIGI-01,
numeral 4.2.3.1
CG BACKUPS
35. ¿Existe un procedimiento que consigne todo lo
relativo a las copias de seguridad, como son los
instructivos para llevarlas a cabo, periodicidad,
persona responsable de su ejecución, número de
backup a realizar, lugar de almacenamiento de los X
backup? Si, existe la Política de Copias de Seguridad,
establecida en el numeral 5.1.4 del Manual de Gestión
de Seguridad de la Información CODIGO: 127-MANGI-
01.
36. ¿Las copias de seguridad se realizan X
regularmente de acuerdo con la política de copias
de seguridad establecida? Si, se realizan a diario en la
nube y mensuales en discos.

37 ¿Se verifica regularmente la correcta realización
de las copias se seguridad? Si, se hacen pruebas
X
ocasionalmente para revisar los discos que tienen las
copias de seguridad.
38 ¿Se guardan las copias de seguridad en lugares
distantes al centro de informática y en instalaciones
de alta seguridad? Si, se realizan backups de
contingencia que son remitidos al Archivo Central
X
Distrital y son custodiados en un lugar que cumple con
las condiciones de seguridad necesarias y su registro
queda en el formato Control Entrega Backups de
Contingencia.
39. ¿Qué tipo de backup se realiza: full-total,
diferencial, incremental o espejo? Si, se realizan full- X
mensual e incremental- diario
40. ¿Es rotulado todo medio o sistema de
almacenamiento, con información: ¿Servidor o Base
de datos - año - mes – día - hora - consecutivo
generado por el sistema? Si, los backups o copias de X
seguridad son respaldadas regularmente sobre un
medio de almacenamiento como cinta, CD y DVD y
estos son marcados debidamente.
41. ¿Se tiene un sistema de rotación de backup? No,
toda vez que las copias de seguridad hasta al momento X
son permanentes.
42. ¿Se realizan backup externos? Si, se realizan
backup de contingencia que son remitidos al Archivo
Central Distrital y a diario se realizan automáticamente X
con herramientas ORACLE y con tareas programadas
que quedan en la nube.
43. ¿Se tiene definida la mitigación de problemas X
con la base de datos de la entidad? Si, se tiene
definida la actualización, la restauración y las copias de

seguridad de los diferentes archivos, fuentes y datos en
general, lo anterior se encuentra en Guía de Seguridad
de la Información CODIGO 127-GUIGI-01, numeral
4.1.6.
CG LOGS
44. ¿Se tiene definida una política para pistas de
auditoria? Si, se tiene una Política de pistas de
X
auditoria en el Manual de Gestión de Seguridad de la
Información CODIGO 127-MANGI-01, numeral 5.1.13.
45. ¿Se tiene habilitación y configuración de los
LOGS? Si, se tiene LOGS en los sistemas operativos
establecidos por una herramienta, cuenta con la
X
parametrización: auditor, inserción, borrado,
modificación de datos, fecha, hora, dato anterior, dato
nuevo, usuario.
46. ¿Se exige a los usuarios que sigan buenas
prácticas en materia de seguridad en la selección y
uso de contraseñas de acceso al sistema? Si, se
X
entrega un usuario y clave por persona y se hacen
recomendaciones respecto al cambio de la clave tanto
en frecuencia como el contenido de la misma.
47. ¿Existe inspección de logs y bitácoras de
seguridad? Si, se evidencian en la respetiva X
herramienta. Están incluidas en las copias de seguridad.
48. ¿Los usuarios de logs se reúnen periódicamente
para analizar los resultados del monitoreo
X
efectuado? Si, se realizan las auditorias y seguimientos
pertinentes.
CG CONTINGENCIA
49. ¿Se garantiza la continuidad de las operaciones

de los elementos críticos que componen los X
sistemas de información? Si, se cuenta con la base de
datos de producción en Oracle RAC, la cual contiene

todos los sistemas de información administrativos y
misionales. Actualmente se está gestionando una
contratación para llevar a la nube los sistemas de
información y los archivos más críticos de la entidad
para tenerlo como contingencia y respaldo en alta
disponibilidad.
50. ¿Se establecen alternativas en caso de sufrir
pérdidas significativas o irrecuperables de
información? Si, para la recuperación ante desastres la
entidad cuenta con copias de seguridad de las bases de
datos, de los sistemas de información y archivo de
imágenes y de carpetas públicas, copias que se
conservan en la entidad y se envían dos copias X
mensuales a una entidad externa, en este caso al
archivo distrital. Estas copias han sido probadas y
funcionan correctamente. Adicionalmente la entidad
adquirió un software de back-ups para poder generar las
copias al tape Back-up con que cuenta la entidad.
51. ¿Se definen acciones y procedimientos para la

gestión de capacidad y gestión de continuidad? Si,
actualmente se está gestionando una contratación para
llevar a la nube los sistemas de información y los
X
archivos más críticos de la entidad para tenerlo como
contingencia y respaldo en alta disponibilidad. También
se está construyendo el documento de continuidad del
negocio
52. ¿Tiene el DADEP un Plan de Recuperación de
Desastre en tecnología actualizado? No, la entidad
X
cuenta con un Plan de Recuperación de Desastres en
Tecnología denominado " Guía para la ejecución del
plan de contingencia del área de informática del

DADEP" sin embargo, este plan tiene vigencia del 13 de
diciembre del 2011, por lo que se considera
desactualizado de acuerdo a los lineamientos impartidos
por el Ministerio de Tecnologías de la Información y las
Comunicaciones (MinTIC).
53. ¿El área de sistemas cuenta con una herramienta
como Mesa de Ayuda para los usuarios de la
entidad? Si, se tiene un software donde quedan
registrados y almacenados todos los incidentes y
requerimientos radicados por el usuario en la MDA, que
permite la mejora de los niveles de servicio, el equilibrio
de los recursos, mitigar la exposición al riesgo de la X
organización y por tanto al departamento de TIC. Brinda
la buena gestión de los servicios de TIC desde el punto
de vista del “ciclo de vida del servicio". Todo el trámite
se encuentra en el Instructivo Mantenimiento y Soporte
de la Infraestructura Tecnológica CODIGO:127-INSGI-
02.
54. ¿Se garantiza al usuario la infraestructura en
funcionamiento, actualizaciones de software y
hardware y la revisión de los registros de logs y
fallos presentados en la infraestructura tecnológica?
Si, se tiene establecido un programa de
"MANTENIMIENTO LA INFRAESTRUCTURA
X
TECNOLÓGICA", en cual se establecen las actividades
desarrolladas por la oficina de sistemas en la
administración y mantenimiento de la infraestructura
tecnológica del DADEP, según el Instructivo
Mantenimiento y Soporte de la Infraestructura
Tecnológica CODIGO:127-INSGI-02.
55. ¿El DADEP cuenta con plantas eléctricas? No, la X
entidad no cuenta con planta eléctrica propia, este

servicio es soportado con las plantas eléctricas del
edificio Centro Administrativo Distrital (CAD), las cuales
se encuentran en el sótano del mismo, sin embargo, se
evidencia que el área de tecnología del DADEP no tiene
ningún control del mantenimiento y del funcionamiento
de estas plantas ya que las mismas son operadas por la
Secretaria de Hacienda Distrital, en consecuencia, y
teniendo en cuenta las bajas de energía en la entidad
por largos periodos de tiempo, con frecuencia se ve
afectada la operación de la entidad.
56. ¿Maneja el DADEP lineamientos y/o principios
para garantizar el funcionamiento de todos los
componentes de tecnología de información y
comunicaciones de la entidad? Si, en la Defensoría
del Espacio Público, todos los procesos se apoyan en
las herramientas TI y en sistemas de información por lo
que se requiere continuar dando apoyo y fortaleciendo X
todos los componentes de tecnología de información y
comunicaciones de la entidad, por lo anterior, para
lograrlo se cuenta con la estructura de actividades
estratégicas y un plan maestro o mapa de ruta,
definidos en el Plan estratégico de tecnologías de la
información CODIGO: 127-PPPGI-04.
C.G. Controles en el proceso E-P-S
57. ¿Se tienen establecidas las pautas de operación X
del Sistema de Información de la Defensoría del
Espacio Público – SIDEP2?0? Si, se tiene
implementado el "MANUAL DEL USUARIO" CODIGO
Código: 127-MANIG -01, en el cual describen cómo
ingresar al sistema de información, los módulos que los
componen, los trámites que se tienen modelados, cómo
realizar búsquedas hasta cómo cerrar la sesión en el

mismo.
58. ¿Se evalúa la efectividad de los controles
existentes y se sugieren nuevos controles, de tal
forma que se pueda minimizar los riesgos y
X
fortalecer el control del SIDEP 2?0? Si, y se socializan
con los usuarios que manejan el sistema de información
en diferentes mesas de trabajo.
59. ¿El Sistema de Información de la Defensoría del
Espacio Público – SIDEP 2?0, tiene control de
acceso? Si, en la pantalla de inicio, debe dar clic en
“ingreso” y loguearse con el respectivo usuario y X
contraseña, La cual deberá ser asignada por la mesa de
ayuda de la Oficina de Sistemas del DADEP, previa
solicitud ante el líder del área.
60. ¿El sistema de información SIDEP 2?0, genera
listados, reportes e informes completos y fiables y
son recibidos por el personal autorizado? No, en la
entidad solo hay una persona autorizada para generar
los reportes e informes del SIDEP 2.0 y cuando no se X
encuentra, nadie tiene acceso a esta información.
Además, estos reportes no están definidos, esta
persona de acuerdo a la necesidad del usuario genera
la información.
61. ¿El sistema de información SIDEP 2?0, es X
funcional y practico? No, el proceso para el cargue de
la información requiere mucho tiempo ya que se deben
seguir muchos paso a paso, un ejemplo de un trámite
sería la ejecución de una visita, la cual es programada,
asignada, realizada, registrada y finalizada. Este paso a
paso es lo que se denomina trazabilidad, la cual
quedará registrada en el sistema para conocimiento de
todos los usuarios, pero requiere mucho tiempo entre un

usuario y otro para finalizar el trámite.
62. ¿Se identifican, analizan y evalúan las fortalezas,
debilidades, eficacia y efectividad del ingreso
(entrada), de los datos al sistema de información de
la entidad? No, toda vez que de la muestra verificada
se encontraron Contratos de Administración con datos X
incompletos en el cargue de la información en los
respectivos módulos de seguimiento, información
general e información financiera, además no hay un
responsable definido para esta actividad.
63. ¿Se utilizan formatos de fácil interpretación, letra
clara, legible e íntegra que corresponda a la
X
realidad? Si, los formatos son de fácil interpretación,
letra clara, legible.
64. ¿Para el cargue de la información de toda la
ejecución de los contratos de administración en el
SIDEO 2?0, se cuenta con el desarrollo de todos los
módulos necesarios? No, se evidencia que el sistema
de información SIDEP 2.0 aún tiene módulos en X
desarrollo, observando que no existe una programación
adecuada entre producción, desarrollo y ambiente de
pruebas para el sistema de información, conllevando
esto a demorar el proceso del cargue de la información.
65. ¿Se identifican, analizan y evalúan las fortalezas,
debilidades, eficacia y efectividad en las funciones
de procesamiento y de almacenamiento en el
X
sistema de aplicación en funcionamiento?? Si, sin
embargo, con frecuencia se presentan errores en la
funcionalidad del sistema.
7. Evidencias
7.1 Entrevista
Entrevista W-1
Fecha Nombre Cargo
ING. HUGO INGENIERO DE SISTEMAS/LIDER
9/05/2019
HERNANDEZ DEL ÁREA
CONCLUSIÓN
A nivel general se realizan ajustes a los documentos y actualización de
procesos y procedimientos, además se realiza seguimiento al desarrollo de
soportes y mantenimientos para garantizar el funcionamiento de la
plataforma tecnología. Sin embargo, faltan planes importantes para
actualizar según las recomendaciones y lineamientos del MinTIC.
Entrevista W-2
Fecha Nombre Cargo
ARIOSTO TECNICO EN SISTEMAS/ ADMINISTRADOR
9/05/2019
GOMEZ INFRAESTRUCTURA TECNOLOGICA
CONCLUSIÓN
En el centro de cómputo está equipado con los equipos de tecnología
necesarios y requeridos para el funcionamiento de la entidad, sin embargo,
falta atención en el tema desorden y desorganización en el área, ya que se
encuentra computadores de escritorio, cajas de cartón, y diferentes cables en
el suelo obstruyendo el paso de personal y generando una apariencia poco
estética del lugar.
Entrevista W-3
Fecha Nombre Cargo
9/05/2019 OSCAR INGENIERO SISTEMAS/ LIDER DE

MARTINEZ SEGURIDAD DE LA INFORMACIÓN.

CONCLUSIÓN
La entidad cuenta con copias de seguridad de las bases de datos, de los
sistemas de información y archivo de imágenes y de carpetas públicas,
copias que se conservan en la entidad y se envían dos copias mensuales a
una entidad externa, en este caso al archivo distrital. Estas copias han sido
probadas y funcionan correctamente. Adicionalmente la entidad adquirió un
software de back-ups para poder generar las copias al tape Back-up con que
cuenta la entidad.
7.2 Fotos
# Evidencia Descripción
Las dos (2) UPS se encuentran dentro del centro
1 (Img o1) UPS
de cómputo.
No hay buena estructura de cámaras ya se
(Img o2)
2 evidencia solo una cámara en el centro de
Cámara
cómputo.
(Img o3) Se evidencia buena ventilación ya que se cuenta
3
Ventilación con aire acondicionado sin filtración de agua.
(Img o4) Se cuenta con sistema de detección de incendios
4
Extintores y con extintores vigentes y en puntos específicos.
(Img o5) Control
5 Se cuenta con sistema de detección de humo.
de Humo
(Img o6)
Existen cables en el suelo que obstruyen el paso a
6 Instalaciones
los usuarios.
Eléctricas 1
(Img o7)
Existen en el techo de las salas cables sueltos sin
7 Instalaciones
marcar.
Eléctricas
(Img o8)
Existen cables de red de datos sin protección, sin
8 Estándar de
gabinetes y sin normas apropiadas.
cableado
(Img o9) Área Existen identificación de áreas del centro de
9
no Restringida cómputo.
(Img 10) centro

10 Existe identificación del centro de cómputo visible.
de cómputo 1
(Img 11) Centro Se encuentra visible el centro de cómputo para
11
de computo personal y visitantes.
(Img 12)
Reporte de Tiene control de acceso biométrico para el ingreso
12
ingresos de del personal.
personal
(Img o1) UPS
(Img o2) Cámara

(Img o3) Ventilación

(Img o4) Extintores
(Img o5) Control de Humo

(Img o6) Instalaciones Eléctricas 1
(Img o7) Instalaciones Eléctricas 2
(Img o8) Estándar de cableado

(Img o9) Área no Restringida
Centro ce cómputo
Centro ce cómputo
(Img 10) Centro de cómputo 1

(Img 10) Centro de cómputo 1
(Img 12) Reporte de ingresos de personal

10.3 Pantallazos
1.
SIDEP 2.0
SIGDEP
2. Líder Seguridad
de la Información ORFEO
Líder de SI CAPITAL
desarrollo
DBA - Data Base SUMA

Administrador
CIO Portales WeB

Jefe de Sistema CPM/MAP
Mesa de Ayuda
Administrador de
Infraestructura
Auxiliar
Administrativo Apoyo Gestión
Administrativa
Enlace Planeación y
procesos
administrativos
3.
4.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18
19.
28.
29.
30.
31.
32.
33.
34.
35.
43.
44.
45.
49.
52.
53.
54.
56.
57.
59.
61.
62.
65.
8. INFORME FINAL
OBJETIVOS
General:
 Evaluar el sistema de información SIDEP 2.0, con el fin de definir su

funcionamiento, practicidad y el cargue de la información de los Contratos
de Administración en la Subdirección Inmobiliaria y del Espacio Público.
Específicos:
 Verificar la actualización del cargue de la información en el sistema de

información de los contratos de administración, mantenimiento y
aprovechamiento económico del espacio público.
 Realizar un comparativo entre el expediente contractual de los contratos

de administración y la información cargada en los diferentes módulos del SIGEP
2.0.
ALCANCE DE LA AUDITORIA
 Se analizarán los contratos de administración vigentes en el año 2018.
INFORMACION FUENTE
FECHA DE
NORMA - PROCEDIMIENTO
ACTUALIZACION
Subdirección de Administración Inmobiliaria y del Espacio Público.
INTERNO
Manual del usuario Sistema de Información
15 de septiembre 2017
Defensoría del Espacio Público SIDEP 2.0
EXTERNO
ULTIMA FECHA DE
RESOLUCIÓN
ACTUALIZACIÓN
Resolución 388 - 2016 29 de noviembre 2016
Equipo y Duración: La auditoría se realizó al Departamento Administrativo de la

Defensoría del Espacio Público- DADEP, por el siguiente equipo auditor:
 Alejandra María Vargas Palacio

 Sonia Hernández Carvajal
 Erika Joana Ramírez Gutiérrez
Y tuvo una duración de dos (2) meses:
 Mes 1 del 11 de abril de 2019 hasta 30 de abril de 2019

 Mes 2 del 01 de mayo de 2019 hasta 07 de mayo de 2019
Resultado de la auditoria, le comunicamos los hallazgos identificados en esta

auditoría, a los cuales se les da unas recomendaciones y nivel de riesgo a que
conllevan estas deficiencias:
HALLAZGO # 1 HALLAZGO #2
Descripción Descripción
El área de tecnología cuenta con 30
empleados para el desarrollo de las
actividades relacionadas con TI; 5 de
La entidad cuenta con un plan de
ellos con contratos laborales por carrera
capacitación para cada vigencia, no se
administrativa y 25 con contratos de
incluyen capacitaciones enfocadas a la
prestación de servicios por periodos de
tecnología de la información, teniendo
11 o 12 meses, con frecuencia solicitan
en cuenta que no se tiene presupuesto
cesión o terminación de los contratos,
para ello.
aprovechando oportunidades laborales
más estables, lo que conlleva a un grado
alto de rotación de personal.
Recomendaciones Recomendaciones
Se recomienda definir muy bien el perfil
de cada puesto de trabajo, mejorar la Se recomienda elaborar planes de
selección de personal (para saber capacitación de manera sistemática y
encontrar la persona más adecuada y organizada, optimizando recursos, que
con las competencias necesarias), invertir permitan a los empleados obtener
en capital humano conocimientos, aptitudes, y habilidades
fomentar el desarrollo de nuevas en función de objetivos definidos.
competencias y retener el talento.
Nivel de riesgo Nivel de riesgo
El tener un alto grado de rotación de Las técnicas de entrenamiento pierden
personal permite la baja productividad, vigencia, causando conflictos
mal servicio al cliente, atraso en el innecesarios en el lugar de trabajo,
desarrollo del sistema operativo, altos cuando los empleados no están
costos relacionados con la contratación, capacitados, el protocolo y las
entrenamiento de nuevos empleados y en directrices que deben seguir no son

ocasiones puede derivarse en el cierre y claramente establecidos, lo que genera
liquidación de una empresa. un ambiente de caos y confusión.
HALLAZGO # 3 HALLAZGO # 4
El centro de cómputo se encuentra
El área de tecnología no cuenta con un visible tanto para los funcionarios como
catálogo, una relación o documentación para los visitantes, ya que se encuentra
de sus proveedores, en el cual frente a las salas de reuniones de la
establezcan los contactos, vigencia de entidad y está señalizado con un letrero
los contratos, servicios que prestan a la muy evidente "CENTRO DE
entidad, garantías, entre otros. Pueden CÓMPUTO", de igual forma la parte
existir los contactos, pero no en un exterior del centro es en vidrio. Por otro
archivo ordenado y sin control de la lado, la parte posterior del centro de
información. cómputo tiene un ventanal de donde se
observa una avenida principal.
Implementación de catálogo como base Para el centro de cómputo es necesario
de datos informando identificación, cumplir con requerimientos técnicos
nombre, teléfono, persona de contacto. para garantizar su funcionabilidad a lo
Los proveedores son una fuente largo del tiempo, entre los cuales es
importante de información para evaluar fundamental las instalaciones físicas,
el potencial de los artículos, darles se debe realizar un estudio del área
seguimiento a las acciones de los para optimizar al máximo cada metro
competidores e identificar áreas de del centro de cómputo, garantizando

oportunidad. que todas las áreas sean funcionales.
Selección de proveedores que no
Al no proteger y conservar los activos
reúnen los requisitos establecidos por
de la organización, de riesgos, de
la entidad, Incumplimiento de calidad y
desastres naturales, pude ocasionar
garantía de los productos,
actos mal intencionados, como robos,
incumplimiento en los tiempos de
actos vandálicos, fraude, sabotaje y
entrega, productos a precios que
hasta terrorismo.
impiden ser eficientes y eficaces.
Se evidencia desorden y desorganización en Gran cantidad de los cables de los

el área, se encuentran computadores de diferentes equipos tecnológicos del
escritorio, cajas de cartón y diferentes cables centro de cómputo están sueltos, sin
en el suelo obstruyendo el paso de personal identificar, sin velcro ni ningún tipo de
y generando una apariencia de falta de amarre, es decir, no se evidencia un
estética del centro de cómputo. cableado estructurado.
Se recomienda capacitar a la persona
Proteger y conservar los activos de la
encargada del centro de cómputo sobre la
organización para reducir la
importancia de adecuar de manera correcta
probabilidad de las pérdidas a un
y de acuerdo a las normas el tendido de red
mínimo nivel aceptable, a un costo
datos, cubrir y marcar, y desinstalar las
razonable y asegurar la adecuada
conexiones que generen riesgo a los
recuperación.
usuarios.
No tener el cableado estructurado,
Los objetos que interrumpen el paso pueden
genera fallas de instalaciones
generar incendios, pérdida de información,
inalámbricas, no permite la
mal funcionamiento del equipo, del software,
identificación de instalaciones
de los datos y de los medios de
defectuosas e inadecuado
almacenamiento.
almacenamiento.
El DADEP no cuenta con planta
eléctrica propia, este servicio es
La entidad cuenta con un Plan de soportado con las plantas eléctricas del
Recuperación de Desastres en edificio Centro Administrativo Distrital
Tecnología denominado "Guía para la (CAD), las cuales se encuentran en el
ejecución del plan de contingencia del sótano del mismo, sin embargo, se
área de informática del DADEP" sin evidencia que el área de tecnología del
embargo, este plan tiene vigencia del 13 DADEP no tiene ningún control del
de diciembre del 2011, por lo que se mantenimiento y del funcionamiento de
considera desactualizado de acuerdo a estas plantas ya que las mismas son
los lineamientos impartidos por el operadas por la Secretaria de Hacienda
Ministerio de Tecnologías de la Distrital, en consecuencia, y teniendo en
Información y las Comunicaciones cuenta las bajas de energía en la
(MinTIC). entidad por largos periodos de tiempo,
con frecuencia se ve afectada la
operación de la entidad.
Realizar la actualización a los procesos Se recomienda la adquisición de una
requeridos por el (MinTIC), proteger y planta eléctrica que trabaje con base a
conservar los activos de riesgos de algún combustible, conforme las
desastres naturales o actos mal necesidades de electricidad, ya sea
intencionados, asegurar que existen automática o manual. La adquisición de
controles adecuados para las ellas dependerá del uso que se le dé al
condiciones ambientales que reduzcan sistema de cómputo, en caso de apagón
el riesgo por fallas o mal funcionamiento sobre todo si esto ocurre durante la
noche y no hay personal disponible para

del equipo, software, de los datos y hacer la transferencia manual; en este
medios de almacenamiento. sentido es necesaria una planta de
transferencia automática. .
La falta de una planta de energía,
puede provocar en un poco tiempo el
Los activos de información pueden estar
colapso de un centro de cómputo,
sujetos a amenazas tanto internas como
pérdida económica tanto a nivel
externas. Estos riesgos pueden afectar
operativo como a nivel hardware.
a uno o más de los tres atributos
Cuando un centro de cómputo se cae
fundamentales de un activo;
por falta de energía o por alta
disponibilidad, confidencialidad e
temperatura generalmente hay daños
integridad.
en el disco duro, una fuente o peor una
base de datos.
En la entidad hay una persona autorizada El proceso para el cargue de la información

para generar los reportes e informes del requiere mucho tiempo ya que se deben
SIDEP 2.0, en su ausencia, nadie tiene seguir muchos paso a paso, un ejemplo de
acceso a esta información. Además, estos un trámite sería la ejecución de una visita,
reportes no están definidos, esta persona la cual es programada, asignada, realizada,
registrada y finalizada. Este paso a paso es

lo que se denomina trazabilidad, la cual
de acuerdo a la necesidad del usuario quedará registrada en el sistema para
genera la información. conocimiento de todos los usuarios, pero
requiere mucho tiempo entre un usuario y
otro para finalizar el trámite.
Se recomienda mantener a disposición los
Se recomienda dotar con equipos
sistemas de información, para que sean
informáticos que permitan una adecuada
flexibles y adecuados a las necesidades
conectividad a los servicios y sistemas de
de la entidad, facilitando que las áreas
información que tiene la entidad, de
responsables de la información
acuerdo a los roles y perfiles asignados de
incorporen, administren y generen la
manera inmediata y en línea con el fin de
información necesaria con la calidad
optimizar recursos.
requerida.
Poco crecimiento del área de sistemas,
No se pueden aprovechar al 100% las
poca implantación de sistemas que
capacidades del personal, porque no se le
impulsen al área a ser un área de
da la importancia necesaria pensando que
servicios y a establecer controles para
es un área con pocas posibilidades de
una mejor administración de la
expandir sus servicios.
información.
Se encontraron Contratos de El sistema de información SIDEP 2.0
Administración con datos aún tiene módulos en desarrollo,
incompletos en el cargue de la observando que no existe una

información en los respectivos programación adecuada entre
módulos de seguimiento, producción, desarrollo y ambiente de
información general e información pruebas para el sistema de
financiera, además no hay un información, conllevando esto a
responsable definido para esta demorar el proceso del cargue de la
actividad información.
Se recomienda fortalecer las
Garantizar la generación de
capacidades tecnológicas en
información oportuna, confiable y de
infraestructura, para poder asignar los
calidad, esto implica que sea
recursos de almacenamiento y
completa para que los cargues de
procesamiento necesarios para una
información terminen de manera
adecuada programación de desarrollo
exitosa y sin riesgo.
en los ambientes de prueba para el
sistema de información.
Dificultad en identificar, evaluar,
Deficiencia en la administración de proponer y desarrollar los proyectos en
las tecnologías, sin posibilidad de el área de tecnología de información
anticiparse a una posible pérdida de con el propósito de ofrecer un mejor
información. servicio a todos los niveles de la
organización.
Equipo auditor:
Alejandra Maria Vargas Palacio Sonia Hernández Carvajal
Erika Joana Ramírez Gutiérrez

Informe Final de Auditoria de Sistemas Dadep Optativa

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe Final de Auditoria de Sistemas Dadep Optativa

Cargado por

Copyright:

Formatos disponibles

AUDITORES & CONSULTORES ADYCON

Universidad Libre de Colombia

Facultad de Ciencias Económicas, Administrativas y Contables.

1. Departamento Administrativo de la Defensoría del Espacio Público.

1.1 Ambientación Unidad Auditable

La Defensa del Espacio Público en Bogotá tiene historia normativa documentada

Las funciones de la Procuraduría de Bienes del Distrito Capital inicialmente

A su vez, se le asignaron responsabilidades en el saneamiento de los bienes de

Las obligaciones y responsabilidades antes señaladas, implicaron compromisos

Los compromisos administrativos, técnicos, jurídicos y operativos, fueron

Generándole además de las implicaciones administrativas y jurídicas, una

Con la creación del Departamento Administrativo de la Defensoría del Espacio

La auditoría se realizará sobre los lineamientos, políticas, procesos y

Verificar si el proceso de gestión de la información y la tecnología y los

Verificar los mecanismos de seguridad física del centro de cómputo.

Verificar la seguridad lógica manejada por la Oficina de Sistemas

Verificar los controles respecto a los BACKUPS

Verificar los controles para la continuidad de las operaciones de los sistemas de

1. AMBIENTACIÓN UNIDAD AUDITABLE

 Entidad: Departamento Administrativo de la Defensoría del Espacio

# CAPITULO REF P/T HECHO POR

4. PRESUPUESTO Y CONTROL DE TIEMPO

Actividad Mes 1 Mes 2

5. REVISIÓN Y APROBACIÓN DEL PROGRAMA DE AUDITORIA

8.1 APROBACIÓN PROGRAMA

6.1 Puntos para el Informe

computadores de escritorio, cajas de cartón y diferentes cables en el

conocimiento de todos los usuarios, pero requiere mucho tiempo entre

Se evidencia una adecuada estructura de gobierno TI de la oficina de

6.2 Lista de chequeo

2. ¿Se tiene el personal suficiente en el área de

6. ¿El personal de sistemas ha recibido capacitación

Versión 1, Vigente desde: 16/11/2018. Se encuentra

respectivo Modelo E-R.

24. ¿El Centro de Computo tiene instalado un

31. ¿Se cuenta con un elemento de comunicación y

32. ¿Se tiene identificado el software base que

inventario se encuentra relacionado en el Plan

33. ¿El DADEP cuenta con ANTIVIRUS? Si, El DADEP

nube y mensuales en discos.

definida la actualización, la restauración y las copias de

49. ¿Se garantiza la continuidad de las operaciones

datos de producción en Oracle RAC, la cual contiene

51. ¿Se definen acciones y procedimientos para la

plan de contingencia del área de informática del

entidad no cuenta con planta eléctrica propia, este

realizar búsquedas hasta cómo cerrar la sesión en el

todos los usuarios, pero requiere mucho tiempo entre un

9/05/2019 OSCAR INGENIERO SISTEMAS/ LIDER DE

MARTINEZ SEGURIDAD DE LA INFORMACIÓN.

(Img 10) centro

(Img o1) UPS

(Img o2) Cámara

(Img o3) Ventilación

(Img o4) Extintores

(Img o5) Control de Humo

(Img o6) Instalaciones Eléctricas 1

(Img o7) Instalaciones Eléctricas 2

(Img o8) Estándar de cableado

(Img o9) Área no Restringida

(Img 10) Centro de cómputo 1

(Img 10) Centro de cómputo 1

(Img 12) Reporte de ingresos de personal