Corporación Universitaria Comfacauca 1

INFORME DE AUDITORIA INTERNA

INFORME FINAL DE AUDITORÍA

SOLICITUD: AUDI003
NOMBRE DE LA ORGANIZACIÓN: Corporación Universitaria Unicomfacauca.
DOMICILIOS AUDITADOS: Corporación Universitaria Comfacauca Popayán.
FECHA DE AUDITORIA: 26 de Abril 2017
CRITERIO DE AUDITORIA: Estándar ISO 27001 v.2013
OBJETIVO: Verificar el cumplimiento de las políticas de los controles referentes
a la gestión de activos y adquisición, desarrollo y mantenimiento de los sistemas
de información en las áreas de Tecnología de información, Almacén y Web
Master de la corporación Universitaria (Unicomfacauca), de acuerdo a los
objetivos y contralores presentados en la norma ISO 27001 - v.2013.
ALCANCE: Verificar la aplicación de políticas de seguridad referentes a
seguridad de la información en las áreas de las Tecnologías de la información,
Almacén y Web Master de la Corporación Universitaria UNICOMFACAUCA,
sede Popayán, bajo el estándar ISO 27001 del 2013.
SECTOR: Educativo Universitario
*PERSONAL CONTACTADO:
NOMBRE CARGO
Fabián Sánchez Coordinador Área Tecnologías de La Información
Álvaro Guzmán Auxiliar Área Tecnologías de La Información
Jorge Alberto Prado Coordinador del área del Almacén
Edward Troyano Web Master

EQUIPO AUDITOR

AUDITOR LIDER: Andres Navia

AUDITOR 1: Andres Navia

INFORMACION FINAL DE AUDITORIA

 Corporación Universitaria Comfacauca 2
INFORME DE AUDITORIA INTERNA

SOLICITUD: AUDI003
AREAS AUDITADAS: Tecnologías de Información, Almacén y Web Master.
*PERSONAL CONTACTADO:
NOMBRE CARGO
Fabián Sánchez Coordinador Área Tecnologías de La Información
Álvaro Guzmán Auxiliar Área Tecnologías de La Información
Jorge Alberto Prado Coordinador del área del Almacén
Fernando Ortega Auxiliar de Web Master
Edward Troyano Web Master
AUDITOR LIDER: Andres Navia
AUDITOR 1: Andres Navia

En el proceso de verificación que se realizó a las áreas antes mencionadas,

pertenecientes a la Corporación Universitaria Unicomfacauca, se tuvo como
referencia los criterios evaluativos de la norma ISO 27001 DE 2013 anexos A.8
A.14; Obteniendo los siguientes resultados:

Teniendo los siguientes métodos de calificación en las conformidades o no

conformidades y si se aplica o no a los criterios en las salas de computo 1, 2 y 3:

C – Conformidad.
NC – No Conformidad.
A – Aplica.
NA – No aplica.

ÁREAS
ELEMENTO, CRITERIO Y ACTIVIDAD TI AL WM
A.8 GESTIÓN DE ACTIVOS
 Corporación Universitaria Comfacauca 3
INFORME DE AUDITORIA INTERNA

A.8.1 Responsabilidad por los activos

A.8.1.1 Inventario de activos. C C C
A.8.1.2 Propiedad de los activos. C C C
A.8.1.3 Uso aceptable de los activos. C C C
A.8.1.4 Devolución de activos. C C C
A.8.2 Clasificación de la información
A.8.2.1 Clasificación de los activos. C C C
A.8.2.2 Etiquetado de la información. C C C
A.8.2.3 Manejo de activos. C C C
A.8.3 Manejo de medios
A.8.3.1 Gestión de medios removibles . C C C
A.8.3.2 Dispositivos de los medios. NC NC NC
A.8.3.3 Transferencia de medios físicos. C C C

A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

A.14.1 Requisitos de seguridad de los sistemas de información

A.14.1.1 Análisis y especificación de los
requisitos de seguridad de la C C C
información.
A.14.1.2 Seguridad de servicios de las
C NA C
aplicaciones en redes públicas.
A.14.1.3 Protección de transacciones de los
NA , NC NA NA
servicios de las aplicaciones.
A.14.2 Seguridad en los procesos de desarrollo y de soporte
A.14.2.1 Política de desarrollo seguro. NA NA NA
A.14.2.2 Procedimientos de control de cambios
NA NA NA
en sistemas.
A.14.2.3 Revisión técnica de las aplicaciones
después de cambios en la plataforma NA NA C
de operación.
A.14.2.4 Restricciones en los cambios a los
NA NA C
paquetes de software.
A.14.2.5 Principios de construcción de los
NA NA NA
sistemas seguros.
A.14.2.6 Ambiente de desarrollo seguro. NA NA NA
A.14.2.7 Desarrollo contratado externamente. C C C
A.14.2.8 Pruebas de seguridad de sistemas C C C
A.14.2.9 Pruebas de aceptación de sistemas C C C
A.14.3 Datos de prueba
A.14.3.1 Protección de datos de prueba NA NA NA
 Corporación Universitaria Comfacauca 4
INFORME DE AUDITORIA INTERNA

CONFORMIDADES

Conformidades Área Tecnologías de Información (TI), Almacén (AL) y en

Web Master (WM).

CONTROL DESCRIPCION AREA

Estándar ISO 27001:2013
A.8.1.1 Se cuenta con inventario
actualizado de los activos TI , AL, WM
respectivos
A.8.1.2 Hay un responsable
encargado de manejar TI , AL, WM
los activos
A.8.1.3 Hay procesos definidos
TI , AL, WM
para
A.8.1.4 Se realiza el proceso de
entrega de cargo incluido
los activos asignados al TI , AL, WM
finalizar un contrato con
cualquier empleado.

A.8.2.1 Clasifican la información

de acuerdo con la
función de los requisitos
legal, valor de criticidad y TI , AL, WM
divulgación o modalidad
no autorizada en las
áreas de la organización
A.8.2.2 Realizan un etiquetado
de la información y de
activos, de acuerdo a TI , AL, WM
unos esquemas que
adopta la organización.
A.8.2.3 Desarrollan e
implementan
procedimientos para el
manejo de activos con el TI , AL, WM
esquema de clasificación
que adopta la
organización.

A.8.3.1 Implementan TI , AL, WM

procedimientos para la
 Corporación Universitaria Comfacauca 5
INFORME DE AUDITORIA INTERNA

gestión de los medios

removibles clasificados
por la organización.
A.8.3.3 Se observó que los
medios que contiene
información se tienen
TI , AL, WM
protegidos contra el
acceso no autorizado al
uso

Conformidades Área tecnología de la información (TI)

CONTROL DESCRIPCION AREA

Estándar ISO 27001:2013
A.14.1.1 Incluyen los requisitos
relacionados con
seguridad de la
información a los nuevos
TI
o mejoras de los
sistemas que van a
acceder a la
organización.
A.14.1.2 La organización cuenta
con la protección
adecuada tanto de
aplicaciones y de la
TI
información que pasa por
las redes públicas de la
organización de toda
amenaza eminente.

Conformidades Área Web Master (WM)

CONTROL DESCRIPCION AREA

Estándar ISO 27001:2013
A.14.2.3 Revisan y avalan las WM
aplicaciones críticas de la
organización y las
 Corporación Universitaria Comfacauca 6
INFORME DE AUDITORIA INTERNA

someten a pruebas
pertinentes para
asegurar que no haya
algún imparto adverso de
las operaciones o
seguridad del sistema.
A.14.2.4 La organización trata a
desalentar de las
modificaciones de los
paquetes de software
WM
innecesarios para la
organización y los
cambios que hacen se
controlan estrictamente.
A.14.2.7 Se evidencio que la
organización supervisa y
hace seguimiento de los
WM
desarrollos de sistemas
que se contratan
externamente.
A.14.2.8 Realizan las pertinentes
pruebas durante el
desarrollo del sistema
WM
para garantizar su
funcionalidad de sobre la
seguridad.
A.14.2.9 Establecen para todos
los sistemas nuevos que
ingresan a la
WM
organización, pruebas y
criterios de aceptación
para su funcionalidad.

NO CONFORMIDADES

No Conformidades Área Tecnologías De Información (TI) y Web Master (WM).

CONTROL DESCRIPCION AREA

Estándar ISO 27001:2013
A.8.3.2 Se observó que no TI
disponen de forma
segura de los medios
que ya no se requieren
 Corporación Universitaria Comfacauca 7
INFORME DE AUDITORIA INTERNA

en la organización,
siendo que lo almacenan
en una bodega que está
completamente llena.
A.14.1.3 Se detectó fallos en la
protección de la
información enviada
atraves en las redes
TI
públicas como trasmisión
incompleta, enrutamiento
errado o no autorizada
de la organización.
A.14.2.1 Se verifica que no
establecen ni aplican
reglas, bajo ningún
criterio existente para el WM
desarrollo de software o
sistema en la
organización.
A.14.2.2 Se cotejo que no existen
cambios de los sistemas
existentes en la
organización solo que WM
hay actualizaciones
pertinentes a cada
sistema.
A.14.2.5 La organización no
establecen ni mantienen
por completo la
construcción de los WM
sistemas seguros para
poderlo aplicar en
cualquier actividad.
A.14.2.6 Se conoció que en la
organización solo
cuentan con un
porcentaje del 60 % en la
WM
protección de los
ambientes de desarrollo
del ciclo de vida de los
sistemas.
A.14.3.1 Se comprendió que a la TI
de hacer pruebas a los
sistemas de información
apenas desarrollados no
 Corporación Universitaria Comfacauca 8
INFORME DE AUDITORIA INTERNA

se necesitan la
información verídica de la
organización.

CONCLUSIONES Y OBSERVACIONES

OBSERVACIONES GENERALES

Se recomienda a la organización que tenga un lugar y procedimiento

A.8.3.2 más adecuado de los medios que ya no se requieren para poderlos
dar de baja para alivianar un poco el lugar de almacenamiento.

Se deben establecer e implementar reglas para obtener un criterio de

A.14.2.1 desarrollo de los software o sistemas que se cuentan en la
organización.
La organización debe tratar de llevar el porcentaje de un 99% en la
A.14.2.6 protección de los ambientes de desarrollo y en su ciclos de vidas de

los sistemas que cuentan.

FIRMAS DE RECEPCIÓN DE ESTE INFORME

AUDITOR LIDER REPRESENTANTE DE FECHA

LA ORGANIZACIÓN

Andres Navia Katherine Márceles 26 de Abril 2016