PROCESO: AUDITORIA

FORMATO

INICIO DE AUDITORIA

PROCESO A AUDITAR: N° AUDITORIA

Auditoria Plan de Mejoramiento
RESPONSABLE: FECHA DE ACTA
Carlos Arturo Pantoja
CARGO DEL RESPONSABLE: FECHA INICIO AUDITORÍA
DIRECTOR TIC
NOMBRE AUDITOR: FECHA DE SOCIALIZACIÓN
GISELA GARZON SERRANO EMPRESA
REVISADO POR:
JEFE AUDITORIA DIRECTOR AUDITOR
ELSIRA BERMEO CALDERON MAGDA KATHERINE SARMIENT

OBJETIVO DE LA AUDITORÍA
Identificar los riesgos de los dispositivos equipo de computo, impresora y router wifi
Proponer un plan de mejoramiento sobre los activos tecnológicos de la empresa.
Verificar la existencia, completitud y aplicación de políticas y procedimientos del proceso de activos fijos

ALCANCE DE LA AUDITORÍA
Verificar el estado actual de los dispositivos a auditar

Relacionamos a continuación la información requerida para iniciar el proceso de auditoría:

* Analizar mediante la matriz de riesgos los activos de una empresa.
* Generar un plan de acción que optimice los procesos y riesgos en cada dispositivo
* Presentar un informe que evidencie la actividad

Una vez recibida y analizada la información anteriormente relacionada, estaremos realizando requerimientos adicionales de in

Agradecemos su colaboración y gestión realizada para la entrega de la información de acuerdo a los tiempos establecidos,
así como la disposición de su equipo durante nuestra visita.

Quedamos atentos a cualquier inquietud,

FIRMAS

Auditado Auditor
 Código FO-AU-05
Versión 1
Fecha 01/04/2017
Clasificación Restringido

AUD-2021
DD MM AAAA
16 2 2021
DD MM AAAA
22 2 2021
DD MM AAAA
20 2 2021

POR:
DIRECTOR AUDITORIA
MAGDA KATHERINE SARMIENTO ACOSTA

AUDITORÍA

o de activos fijos

AUDITORÍA

ando requerimientos adicionales de información si son necesarios.

acuerdo a los tiempos establecidos,

Auditor
 PROCESO: AUDITORIA
FORMATO

DETALLE DE AUDITORIA

Es necesario diligenciar la totalidad de la información requerida en el presente formato para consolidar el informe de a

Nombre de la
No. de Informe Título del Hallazgo Hallazgo
Auditoría

El backup de la información esta

desactualizado.

Backups de
información
Una empleada borro toda la
información al renunciar a la
empresa.

El gasto de papeleria aumento, se

encuentra en el área de impresión
No hay control, ni alto desperdicio de papel.
restriciones en las
impresiones.
El indicador de páginas de impresión
aumento considerablemente
No se evidencia un programa de
mantenimientos preventivos los
equipos tecnológicos, se realiza son
mantenimientos correctivos.

Malas condiciones Se evidenciaron dos equipos

físicas de los obsoletos los cuales trabajan con
equipos una productivida muy baja, el
ingeniero de sistemas dice que ya
estan de cambio.
Las condiciones físicas del cuarto de
redes, se evidenció humedad y
Auditoria Plan de agrietamiento de paredes.
AUD-2021-001
Mejoramiento
Se evidencia que está vencida la
actualización del software antivirus
en equipo donde se realizan ingresos
Desactualizadas
a plataformas de bancos.
licencias de software
El contrato de mantenimiento del
software word office se venció hace
dos meses.

No existe control con

la información de la La empresa cuenta con dropbox y
empresa. todos los empleados tienen acceso a
modificar y crear documentos.

Se encuentra que no todos los

Antivirus sin licencia equipos de la organización cuentan
con softwares legales de antivirus.
 Se evidencia que los empleados la
Funcionamiento
mayoria conocen las claves de wifi y
tecnológico lento en
esto hace lento el servicio de
administración.
internet.

Personal externo, como el Asesor

Falta de controles en
HSE, tiene acceso a información sin
accesos informáticos
contraseña alguna.

Se encuentra que la red interna esta

Inadecuada cableada por canaleta y para
ubicación del router equipos de dificil acceso estan por
conexión wifi.
 Código FO-AU-06
Versión 1
Fecha 01/04/2017
Clasificación Restringido

rmato para consolidar el informe de auditoría

Riesgo Recomendación

Establecer procedimiento para cada área

realice en cierto periodo de tiempo backup
de la información y este se encuentre en la
Pérdida o robo de salvaguarda de un supervisor.
información del
dispositivo Incluir en el proceso de paz y salvo y retiro
del trabajador, el instructivo de entregar la
información de la empresa. Incluir clausula
adicional en el contrato laboral sobre
confidencialidad y reserva de la
información.

Se debe establecer contraseñas y permisos

para limitar el servicio de la impresora
Limitar los accesos, no todos los
computadores la deben tener para poder
controlar.

Indisponibilidad del
Incluir en el programa de mantenimento
dispositivo y pérdida de
todos los equipos de informática.
información

Incluir en el presupuesto la compra de

equipos obsoletos. Realizar backup diaria
por daño del equipo.
Realizar mantenimiento y reparaciones a
cuarto de redes, para mejorar ambiente y
condiciones de redes.

Pérdida y divulgación de Incluir en el programa de mantenimiento

datos por software fechas de caducidad de softwares.
malintencionado
Contactar al proveedor y actualizar el
contrato de mantenimiento.

Pérdida y divulgación de
Controlar acceso, restringuir a acceso a
datos por accesos no
carpetas de dropbox.
autorizados

Indisponibilidad de
servicios y pérdida de Incluir en el presupuesto la compra o
datos por malware adquicisión de software legales para todos
los equipos de la Organización.
Fallas en el
funcionamiento y Establecer políticas de seguridad de
seguridad del dispositivo información de personal externo con
acceso a información de la Organización.

Pérdida y divulgación de Establecer procedimientos para asignación

datos en transmisión por de usuarios temporales para usuarios
conexión de red externos a la información de la
Organización.

Falsos puntos de acceso

se presentan como Evaluación del técnico del área de
redes sin clave sistemas, de seguridad en infraestructura,
Router vulnerado. estado de equipos y reubicación o de áreas
de trabajo o de equipos de conexión.
 MATRIZ

Componente Descripcion del Riesgo Causa Probabilidad

Pérdida o robo de Robo o

Equipo de cómputo 4
información del dispositivo Perdida
Pérdida y divulgación de
Acceso no
Equipo de cómputo datos por acceso no 2
autorizado
autorizado

Pérdida y divulgación de Instalación de

Equipo de cómputo datos por software App de origen 3
malintencionado desconocido

Indisponibilidad de servicios Infección por

Equipo de cómputo y pérdida de datos por malware en 3
malware dispositivo
Desactualizaci
Fallas en el funcionamiento y
Impresora on del 4
seguridad del dispositivo
dispositivo
Indisponibilidad de
Daño fisico de
Impresora dispositivo y perdida de 4
la impresora
información
Pérdida y divulgación de Conexión a
Router wifi datos en transmisión por redes wifi 4
conexión de red públicas
Falsos puntos de acceso se
presentan como redes sin Redes sin
Router wifi 4
clave clave
Router vulnerado.

IMPACTO
Matriz de riesgos Bajo Medio
Baja MEDIO ALTO
PROBABILIDAD DE
Media BAJO MEDIO
OCURRENCIA
Alta BAJO BAJO
MATRIZ

Calificacion de Aceptabilidad del Riesgo

V. Riesgo Temporalidad
Impacto Riesgo Asociado

3 12 CRITICO Probable Legal

3 6 CRITICO Probable Reputacional

3 9 ALTO Eventual Reputacional

3 8 CRITICO Probable Operacional

2 5 CRITICO Probable Operacional

2 8 ALTO Eventual Reputacional

2 9 CRITICO Probable Reputacional

2 9 CRITICO Probable Reputacional

Alto
CRITICO
ALTO
MEDIO
 No. de Fecha del Nombre de la Nombre del
Informe informe Auditoría Hallazgo Hallazgo Riesgo

El backup de la información esta

desactualizado.

Pérdida o robo de
Backups de información del
información
dispositivo
Una empleada borro toda la
información al renunciar a la empresa.

El gasto de papeleria aumento, se

encuentra en el área de impresión alto
desperdicio de papel.
No hay control, ni
restriciones en las
impresiones.
El indicador de páginas de impresión
aumento considerablemente

No se evidencia un programa de
mantenimientos preventivos los
equipos tecnológicos, se realiza son Indisponibilidad del
mantenimientos correctivos. dispositivo y pérdida de
información

Malas condiciones
físicas de los Se evidenciaron dos equipos obsoletos
equipos los cuales trabajan con una
productivida muy baja, el ingeniero de
sistemas dice que ya estan de cambio.

Las condiciones físicas del cuarto de

Auditoria Plan de redes, se evidenció humedad y
AUD-2021-00101/30/2021 Mejoramiento agrietamiento de paredes.

Se evidencia que está vencida la

actualización del software antivirus en
equipo donde se realizan ingresos a
Desactualizadas plataformas de bancos. Pérdida y divulgación de
licencias de datos por software
software malintencionado
El contrato de mantenimiento del
software word office se venció hace
dos meses.

No existe control La empresa cuenta con dropbox y Pérdida y divulgación de

con la información todos los empleados tienen acceso a datos por accesos no
de la empresa. modificar y crear documentos. autorizados
 No existe control La empresa cuenta con dropbox y Pérdida y divulgación de
con la información todos los empleados tienen acceso a datos por accesos no
de la empresa. modificar y crear documentos. autorizados

Antivirus sin Se encuentra que no todos los equipos Indisponibilidad de

de la organización cuentan con servicios y pérdida de
licencia
softwares legales de antivirus. datos por malware

Funcionamiento Se evidencia que los empleados la Fallas en el

tecnológico lento mayoria conocen las claves de wifi y funcionamiento y
en administración. esto hace lento el servicio de internet. seguridad del dispositivo

Falta de controles Personal externo, como el Asesor HSE, Pérdida y divulgación de

en accesos tiene acceso a información sin datos en transmisión por
informáticos contraseña alguna. conexión de red

Se encuentra que la red interna esta Falsos puntos de acceso

Inadecuada
cableada por canaleta y para equipos se presentan como
ubicación del
de dificil acceso estan por conexión redes sin clave
router
wifi. Router vulnerado.
 PLAN DE ACCION

Recomendación Acción Planteada Responsable Area Responsable

Se realizara un cronograma de
Establecer procedimiento para cada área realice en backup periodico, Wilber Garcia-Director de
cierto periodo de tiempo backup de la información y Tecnologia
este se encuentre en la salvaguarda de un supervisor. estableciendo fechas y Tecnologia
alcances.

Wilber Garcia-Director de
Tecnologia
Incluir en el proceso de paz y salvo y retiro del Tecnologia
trabajador, el instructivo de entregar la información Se creara un formato de Angela Garcia-Abogada
de la empresa. Incluir clausula adicional en el confidencialidad para firma de de asuntos laborales Juridica
contrato laboral sobre confidencialidad y reserva de todos los empleados.
la información. Gabriela Sanchez- Gestion Humana
Directora de Gestion
humana

Se debe establecer contraseñas y permisos para Se establecerá un presupuesto AdelisPerez-Planeacion Tecnologia

limitar el servicio de la impresora para cada área donde se limite Wilber Garcia-Director de Planeacion
por el uso de estos medios. Tecnologia

Se ralizará un seguimiento al
Limitar los accesos, no todos los computadores la indicador mensualmente a Wilber Garcia-Director de
deben tener para poder controlar. travez de reuniones con el Tecnologia Tecnologia
área.

Wilber Garcia-Director de
Se establecerá un cronograma Tecnologia Tecnologia
Incluir en el programa de mantenimento todos los de mantenimientos
equipos de informática. preventivos,detallando equipo, Angelica Olaya-Abogada Juridica
periodicidad y la persona que coorporativa
los realizara.

Establecer dentro de los

Incluir en el presupuesto la compra de equipos contratos de compra de
Wilber Garcia-Director de
obsoletos. Realizar backup diaria por daño del equipos opciones de cambio Tecnologia
Tecnologia
equipo. por equipos nuevos que bajen
los costos.

Realizar mantenimiento y reparaciones a cuarto de Realizar un mantenimiento y el Samuel Baes Director de

Infrastuctura Administrativa
redes, para mejorar ambiente y condiciones de reacondicionamiento de estas
redes. instalaciones. Wilber Garcia-Director de Tecnologia
Tecnologia

Se negociara con el proveedor

Incluir en el programa de mantenimiento fechas de TIL- S.A la compra de licencias y Wilber Garcia-Director de
Tecnologia
caducidad de softwares. actualizaciones de las mismas Tecnologia
apara reducir costos.

Contactar al proveedor y actualizar el contrato de se realizará la contratación Wilber Garcia-Director de

mantenimiento. para el mantenimiento del Tecnologia Tecnologia
sofware por cada equipo.

Wilber Garcia-Director de Tecnologia

Tecnologia
Se creará la politica para el
Controlar acceso, restringuir a acceso a carpetas de manejo y control de equipos
dropbox. sofware y hardware.
 Se creará la politica para el
Controlar acceso, restringuir a acceso a carpetas de manejo y control de equipos
dropbox. sofware y hardware. Wilber Garcia-Director de
Tecnologia
Tecnologia

Se negociara con el proveedor

Incluir en el presupuesto la compra o adquicisión de TIL- S.A la compra de licencias y Wilber Garcia-Director de
software legales para todos los equipos de la Tecnologia
actualizaciones de las mismas Tecnologia
Organización.
apara reducir costos.

Establecer políticas de seguridad de información de Se creara la politica para el

Wilber Garcia-Director de
personal externo con acceso a información de la manejo y control de equipos Tecnologia Tecnologia
Organización. sofware y hardware.

Establecer procedimientos para asignación de Se creara la politica para el Wilber Garcia-Director de

usuarios temporales para usuarios externos a la manejo y control de equipos Tecnologia
información de la Organización. sofware y hardware. Tecnologia

Evaluación del técnico del área de sistemas, de

Se realziará la adecuación del
seguridad en infraestructura, estado de equipos y Wilber Garcia-Director de
cableado en la ubicación que Tecnologia
reubicación o de áreas de trabajo o de equipos de Tecnologia
se necesita.
conexión.
Fecha de Inicio Fecha Final Meta

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 98%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 95%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%

2/1/2021 3/15/2021 100%