Corporación Universitaria Comfacauca 1

INFORME DE AUDITORIA INTERNA

INFORME FINAL DE AUDITORÍA

SOLICITUD: Numero II
NOMBRE DE LA ORGANIZACIÓN: Corporación Universitaria Unicomfacauca.
DOMICILIOS AUDITADOS: Corporación Universitaria Comfacauca Popayán.
FECHA DE AUDITORIA: 20 de Abril 2017
CRITERIO DE AUDITORIA: Estándar ISO 27001 v.2013 e ISO 270002v. 2007
OBJETIVO: Evaluar el cumplimiento de las políticas referentes a la seguridad
de la información en las áreas , Tecnologías de Información, Talento Humano y
Calidad, de la Corporación Universitaria (Unicomfacauca), de acuerdo a los
objetivos y contralores presentados en la norma ISO 27001: V2013 e ISO 27002
V2007.
ALCANCE: Verificar la aplicación de políticas de seguridad referentes a
seguridad de la información en las áreas Tecnologías de la información, Talento
Humano y Gestión de Calidad de la Corporación Universitaria
UNICOMFACAUCA, sede Popayán, bajo el estándar ISO 27001 de 2013 y
27002 de 2007.
SECTOR: Educativo Universitario
*PERSONAL CONTACTADO:
NOMBRE CARGO
Fabián Sánchez Coordinador Área Tecnologías de La Información
Álvaro Guzmán Auxiliar Área Tecnologías de La Información
Alejandra Narváez Auxiliar Área Talento Humano
Fernanda Cruz Auxiliar Área Gestión de Calidad
*Únicamente se nombran algunas personas entrevistadas.

EQUIPO AUDITOR

AUDITOR LIDER: Diego Alejandro Murcia Silva

AUDITOR 1: Jairo Andrés Hoyos Mosquera

INFORMACION FINAL DE AUDITORIA

 Corporación Universitaria Comfacauca 2
INFORME DE AUDITORIA INTERNA

SOLICITUD: Numero II
AREAS AUDITADAS: Tecnologías de Información, Talento Humano y Gestión
de Calidad
*PERSONAL CONTACTADO:
NOMBRE CARGO
Fabián Sánchez Director de Sistemas
Álvaro Guzmán Colaborador de Sistemas
Alejandra Narváez Auxiliar Talento Humano
Fernanda Cruz Auxiliar Gestión de Calidad
AUDITOR LIDER: Diego Alejandro Murcia
AUDITOR 1: Jairo Andrés Hoyos

En el proceso de verificación que se realizó a las áreas antes mencionadas,

pertenecientes a la Corporación Universitaria Unicomfacauca, se tuvo como
referencia los criterios evaluativos de la norma ISO 27001 DE 2013 anexos A.5
(POLITICAS DE LA SEGURIDAD DE LA INFORMACIÓN), A.6
(ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN) y A.7
(SEGURIDAD DE LOS RECURSOS HUMANOS), e ISO 27002 DE 2008 anexos
5(POLÍTICAS DE SEGURIDAD), 6(ASPECTOS ORGANIZATIVOS DE LA
SEGURIDAD DE LA INFORMACIÓN) Y 8(SEGURIDAD LIGADA A LOS
RECURSOS HUMANOS). Obteniendo los siguientes resultados:

Teniendo los siguientes métodos de calificación en las conformidades o no

conformidades y si se aplica o no a los criterios en las salas de computo 1, 2 y 3:

C – Conformidad.
NC – No Conformidad.
A – Aplica.
NA – No aplica.

ÁREAS
 Corporación Universitaria Comfacauca 3
INFORME DE AUDITORIA INTERNA

ELEMENTO/CRITERIO / ACTIVIDAD/ TI TH C

A.5 Políticas de la seguridad de la información

A.5.1 Orientación de la dirección para la
gestión de la seguridad de la
información
A.5.1.1 Políticas para la seguridad de la A, C A, C A, C
información
A.5.1.2 Revisión de las políticas para la A, C NA NA
seguridad de la información
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
A.6.1 Organización interna
A.6.1.1 Roles y responsabilidades para la A, C A, C A, C
seguridad de la información
A.6.1.2 Separación de deberes A, C A, C A, C
A.6.1.3 Contacto con las autoridades A, C A, C A, C
A.6.1.4 Contacto con grupos de interés A, C A, C NA
especial
A.6.1.5 Seguridad de la información en la A, C NA NA
gestión de proyectos
A.6.2 Dispositivos móviles y teletrabajo
A.6.2.1 Políticas para dispositivos móviles A, C A, C A, C
A.6.2.2 Teletrabajo NA NA NA

A.7 SEGURIDAD DE LOS RECURSOS

HUMANOS
A.7.1 Antes de asumir el empleo
A.7.1.1 Selección A, C A, C A, C
A.7.1.2 Términos y condiciones del empleo A, C A, C A, C
A.7.2 Durante la ejecución del empleo
A.7.2.1 Responsabilidades de la dirección A, C A, C A, C
A.7.2.2 Toma de conciencia, educación y A, C A, C A, C
formación en la seguridad de la
información
A.7.2.3 Proceso Disciplinario A, C A, C A, C
A.7.3 Terminación y cambio de empleo
A.7.3.1 Terminación o cambio de A, C A, C A, C
responsabilidades de empleo
 Corporación Universitaria Comfacauca 4
INFORME DE AUDITORIA INTERNA

CONFORMIDADES

Conformidades Área Tecnologías de Información (TI).

CONTROL DESCRIPCION AREA

Estándar ISO 27001:2013
e ISO 27000:2008
A.5.1.1 Se evidencio que se TI
tiene implantadas,
aprobadas y socializadas
políticas referentes a la
seguridad de la
información.
A.6.1.1 Se comprobó de la TI
existencia de un
encargado para cada
dependencia de la
organización que actúa
como líder.
A.6.1.2 Se observó que cada TI
área es físicamente
independiente una de la
otra.
A.6.1.3 La institución cuenta con TI
contacto de autoridades
como la policía, la
defensa civil y los
bomberos , y nos
contestaros que no era
muy frecuente pero que
se realizaban
capacitaciones y
actualizaciones en
contenidos referentes a
seguridad en general.

A.6.1.4 Cuenta con grupos TI

colaborativos con otras
organizaciones para
ayuda y colaboración
 Corporación Universitaria Comfacauca 5
INFORME DE AUDITORIA INTERNA

mutua.
A.6.1.5 Se Encontró que cada TI
proyecto que se quiere
implementar dentro de la
organización y que este
pueda tener acceso a
información propiedad de
la organización, debe
cumplir con todos los
requisitos que aseguran
la información que esta
posee.

A.6.2.1 Se evidenció que existen TI

medidas y políticas
referentes a dispositivos
móviles y más que todo
al uso de ellos dentro de
la organización.
A.6.2.2 La organización no aplica TI
el control de teletrabajo
por el tipo de actividad
que ejerce la institución.

Conformidades Área Talento Humano(TH) y Gestión de Calidad(GC)

CONTROL DESCRIPCION AREA

Estándar ISO 27001:2013
A.7.1.1 La organización realiza TH y GC
todo el proceso de
verificación de datos y
antecedentes,
apoyándose con la bolsa
de empleo de la
organización.
A.7.1.2 Se evidencio que en la TH y GC
firma de contratos,
siempre están definidas
las obligaciones, deberes
 Corporación Universitaria Comfacauca 6
INFORME DE AUDITORIA INTERNA

y derechos entre ambas

partes (contratista y
contratado).
A.7.2.1 Se comprobó que cada TH y GC
área de la organización,
exige a todos sus
empleados
conocimientos básicos y
la aplicación de estos en
la seguridad de la
información.
A.7.2.2 Se encontró que TH y GC
cuentan con espacios
dedicados a la
capacitación para los
empleados de acuerdo al
área de desempeño,
donde enseñan temas de
seguridad de la
información.
A.7.2.3 Se identificó que se TH y GC
utiliza un debido
procedimiento, para
emprender acciones
disciplinarias contra
empleados que hayan
cometido infracciones
que violan la seguridad
de la información.

A.7.3.1 Se encontró que en el TH y GC

contrato, existe
cláusulas de
confidencialidad que el
empleado acepta para
poder trabajar dentro de
alguna área de la
organización.
 Corporación Universitaria Comfacauca 7
INFORME DE AUDITORIA INTERNA

NO CONFORMIDADES

No Conformidades Área Tecnologías De Información.

CONTROL DESCRIPCION AREA

Estándar ISO 27001:2013
A.5.1.2 No se encontró un TI
planeador que
evidenciara las
revisiones periódicas en
las políticas de seguridad
de la información, se
preguntó del porqué de
esto y se obtuvo como
respuesta que estas
políticas se modificaban
o alteraban de acuerdo a
la implantación de
nuevos recursos o
técnicas en la
organización.
 Corporación Universitaria Comfacauca 8
INFORME DE AUDITORIA INTERNA

CONCLUSIONES Y OBSERVACIONES

OBSERVACIONES GENERALES
A.6.1.1 Recomendaría la contratación de un especialista en seguridad de la
información para el área de Tecnologías de información.

A.6.1.2 Al contratar un especialista en seguridad de la información los

deberes y roles de los encargados de esta área estarían más
definidos.

A.5.1.2 Se debe obligatoriamente definir un planeador para la revisión y

actualización de las políticas referentes a la seguridad de la
información.
 Corporación Universitaria Comfacauca 9
INFORME DE AUDITORIA INTERNA

ANEXOS

Control Área Evidencia Fotográfica

A. 5.1.1 Tecnologías
POLITICAS de
PARA LA información
SEGURIDAD
DE LA
INFORMACIÓN
 Corporación Universitaria Comfacauca 10
INFORME DE AUDITORIA INTERNA

A. 6.1.2 Tecnologías
SEPARACIÓN de
DE DEBERES Información,
Talento
Humano y
Gestión de
Calidad

Área logística y ayudas audiovisuales

 Corporación Universitaria Comfacauca 11
INFORME DE AUDITORIA INTERNA

Área Tecnologías de Información

Área Talento Humano

 Corporación Universitaria Comfacauca 12
INFORME DE AUDITORIA INTERNA

Área Gestión de Calidad

FIRMAS DE RECEPCIÓN DE ESTE INFORME

AUDITOR LIDER REPRESENTANTE DE FECHA

LA ORGANIZACIÓN

Diego Alejandro Murcia Katherine Márceles 25 de Abril 2016

Silva