Escolar Documentos
Profissional Documentos
Cultura Documentos
CRITERIO DESCRIP
7. Anlisis de vulnerabilidades y
La Fundacin no ha llevado a cabo pruebas de vulnerabilidade
hacking tico a la red de cmputo e
(incluida Internet) la cual permitira implementar en forma opor
internet.
Al momento de nuestra revisin, la Fundacin no contaba con
documentado y probado que defina las lneas de accin a seg
8. Plan para la atencin de materializacin de un riesgo que llegue a afectar severamente
contingencias informticas. instalaciones que las soportan; as las cosas, en caso de prese
administrativamente preparada para restaurar a condiciones d
tipo de planes es reducir a niveles razonables el riesgo derivad
AL BDO AUDITADO
fin de asegurar la independencia del rea, as como la oportunidad en la presentacin de los servicios de sistemas
ienda evaluar la posibilidad de ajustar la estructura organizacional, de forma tal, que el rea de tecnologa, dependa
o en cuenta que adems de las labores tcnicas, el rea de sistemas debe realizar funciones estratgicas y de ases
mentar, someter a aprobacin institucional, implementar y supervisar peridicamente la ejecucin de un plan estratg
ealizadas por ellos en el proceso de auditora realizado.
poyo de un mapa de riesgos y controles:
ridica en funcin de los resultados de la gestin de riesgos que realice el rea de TI.
nlisis de riesgo la presencia de diferentes escenarios de falla, as como un plan detallado y documentado para su a
onsiderarse son: fallas en el equipo de telecomunicaciones, en los procesos de restauracin de datos, en los servicio
os de red existentes.
medidas de control la ejecucin de procedimientos administrativos y tcnicos definidos y documentados.
guren el cumplimiento de las acciones de mejoramiento establecidas, por parte del personal responsable de las mism
ue permitan la deteccin oportuna de los riesgos en caso de que stos lleguen a materializarse.
ientes aspectos de gestin de riesgos:
nto
ermina
to
s peridicas de la documentacin del mapa de riesgos y controles (al menos una vez al ao, o cuando se presenten
3.7.1cambios en la legislacin, en los recursos tecnolgicos, en los procesos y p
Los cambios en el mapa de riesgos y controles de los factores mencionados pueden implicar entre otros:
cin y priorizacin de nuevos riesgos o escenarios de riesgo.
ilidad de ocurrencia o en el impacto del riesgo.
cin de la efectividad de los controles establecidos para mitigar los riesgos.
n gerencial respecto del riesgo residual (ceder el riesgo, gestionarlo, aceptarlo o eliminarlo)
la auditora, la fundacin se encontraba en la revisin y aprobacin de los siguientes procedimientos, elaborados po
mantenimiento de computadores.
n de recursos de cmputo y comunicaciones.
ol, instalacin y configuracin de software.
de usuarios.
os fueron aprobados por la Fundacin en el ao 2015, y a la fecha de ejecucin de la auditora tambin se encontrab
aldo de informacin
cenamiento de documentos en la red.
la existencia de polticas y procedimientos informticos debidamente documentados relacionados con los siguient
cesarios como parte del sistema de control interno de tecnologa:
nformtica (fsica y lgica)
os servidores
a informacin electrnica institucional (internet, correo electrnico, documentos, archivos electrnicos de trabajo, etc
os ambientes computacionales (desarrollo, pruebas y produccin) si los hubiere
tecnolgica
es de datos
istemas
auracin de datos
y de derechos de autor en material de software
ey de proteccin de datos.
a, la definicin y formalizacin de este tipo de instrumentos gerenciales constituyen una herramienta de control que
titucionales y la adecuada prestacin de servicios informticos de la Fundacin.
la seguridad fsica del cuarto de cmputo, tomando como punto de partida las observaciones presentadas por esta
, adelantar acciones tendientes a fortalecer los controles del mismo.
realizada al inventario de equipos de cmputo suministrado por la Fundacin, se identificaron las siguientes debilida
tecnolgicos (Hardware y Software) es gestionado por el rea de sistemas con el apoyo de una hoja en MS-Excel, la
psito general que no ofrece suficientes medidas de manejo y control, como lo podra proporcionar una herramienta
rsos tecnolgicos, algunos equipos no tienen asignado responsable, tal como lo recomiendan las buenas prcticas y
en el Control A7.1.2 Toda la informacin y los activos asociados con los servicios de procesamiento de informacin
a de la organizacin.
egistra informacin para la fecha de compra y fecha de vencimientos de la garanta, la cual consideramos important
garantas.
in placa asignada y 10 equipos con serial 0.
tres versiones del aplicativo Hosvital, para lo cual el ingeniero de sistemas seal a la revisora fiscal que dicha info
entificados bajo el mismo nombre (el nombre genrico Poeta). 6 de estos equipos tienen instalado el software Hos
ero de Sistemas, esta informacin se encuentra desactualizada.
r la Fundacin no se incluyeron los servidores.
bo pruebas de vulnerabilidades ni de hacking tico, por lo que no se cuenta con un diagnstico en tal sentido para la
a implementar en forma oportuna acciones de mitigacin en forma de plan de accin.
la Fundacin no contaba con un plan para la atencin de contingencias informticas (dentro y fuera de sitio), debida
na las lneas de accin a seguir por parte del personal de la Fundacin para atender oportuna y adecuadamente la
llegue a afectar severamente la plataforma central de cmputo, los sistemas de informacin en operacin, los datos
s las cosas, en caso de presentarse un hecho como el mencionado, se desconoce si la Fundacin se encuentra tc
ara restaurar a condiciones de normalidad y en el tiempo esperado, sus sistemas de informacin. Como se sabe, el
s razonables el riesgo derivado de cualquier contingencia prevista.
mo Hosvital, Helisa, Gestor documental, pagina web y weefim en el rea de sistemas no deberan manejarse (Entin
como facturar, cargar documentos, disear, diagnosticar usuarios, etc.), se debe asignar lderes de procesos para e
Ejemplo agentamiento clnico, debe ser manejado por la persona que ms maneje el tema para capacitar el persona
n nuevas funcionalidades. El rea de sistema se debe encargar de la conexin a la base de datos, de la aplicacin d
Dice la auditora que esta operacin liberara espacios para sistemas que podran mejorar los controles solicitados.
PLAN DE TRABAJO PARA RESPONDER A LAS S
dacin Teletn.
LA REVISORIA FISCAL
<
REQUIERE ACCIN
CORRECTIVA ?
NO
NO
NO
NO
NO
NO
NO
NO
NO
A LAS SUGERENCIAS DE MEJORA DE LA AUDITORIA REALIZADA A SISTEMAS
<
La observacin que realiza BDO segn la experiencia es acertada para tener un mejor manejo ya que som
y en ocasiones nos vemos limitados en operaciones como los mantenimientos, compra de equipos o man
con Laura Ruiz Directora de Talento Humano por medio de correo y nos informa que el tema ya se trat co
presenta la Fundacin, debemos esperar las nuevas directrices de la junta directiva.
Se est diseando un plan de trabajo para atender uno a uno los puntos a mejorar dados por BDO y se en
mejora expuestos por los mismo. En el desarrollo del documento se irn mostrando los avances obtenidos
Con ayuda del analista de calidad Edgar Guevara se realiz el mapa de riesgos contemplando los puntos
informe el anexo1 y se enva a el Director Administrativo y Financiero para su verificacin y poderlo adjunt
Los procedimientos que se encontraban en revisin o pendientes por aprobacin, se encuentran ya public
respecto al cumplimiento de las Leyes sugeridas por BDO, se est trabajando en esto para documentar y
1. Poltica de seguridad informtica (fsica y lgica)
En el procedimiento para el almacenamiento de documentos en red se desglosa las polticas que se lleva
2. La administracin de los servidores
Dentro de los distintos procedimientos se evidencia la informacin sobre GPO o polticas de administraci
informa como es el acceso a las distintas unidades de almacenamiento entregado a los usuarios.
3. La administracin de la informacin electrnica institucional (internet, correo electrnico, documentos, a
En el procedimiento de respaldo de sistemas de informacin, se encuentran algunas disposiciones genera
informacin en los distintos ambientes.
4. La administracin de los ambientes computacionales (desarrollo, pruebas y produccin) si los hubiere
En la Fundacin Teletn contamos con un servidor de produccin y un servidor de pruebas, an no contam
de dichos ambientes, pero trabajaremos en ello.
5. Renovacin y vigencia tecnolgica
Hasta la fecha este punto no lo hemos podido realizar, teniendo en cuenta, que por temas presupuestales
tecnolgica y planear una vigencia.
9. Administracin de bases de datos
Las polticas que tenemos en los servidores de bases de datos estn restringidas al personal de sistemas
explique e informe a las personas que necesiten consultar dicha informacin.
10. Administracin de los sistemas
En los distintos procedimientos del rea de sistemas se encuentran las reglas y polticas administrativas d
11. Administracin de restauracin de datos
En el procedimiento de almacenamiento de documentos en red y el procedimiento de respaldo de sistema
administracin de los distintos servicios de almacenamiento y de informacin de la Fundacin.
12. Cumplimiento de la Ley de derechos de autor en material de software
En este tema mantenemos las distintas licencias, contratos y certificados del software que maneja la Fund
procedimiento de instalacin, confirmacin y control de sistemas operativos y software, se explica y aclara
13. Cumplimiento de la Ley de proteccin de datos.
Este tema se esta tratando para contratarlo con un tercero.
Con respecto a este punto, gracias a la ayuda de Presidencia, se realiz la compra de EXTINTOR GAS C
DETECTOR HUMO IONICO 4" CON BATERIA 9V KIDDE 0914E para cumplir con la norma. Adicionalmen
potencialmente peligroso. Con respecto al marco de referencia Cobit 5.0 respecto a DSS01.04 Gestin de
que esto implica cambios como pisos falsos, techo rgido, etc. Adicionalmente se proceder a replicar este
datacenter de cada una de las sedes.
tecnolgicos. Por lo anterior se realizaron las siguientes actividades:
El inventario de los recursos tecnolgicos (Hardware y Software) es gestionado por el rea de siste
software especializada como lo es OCS. Por recomendacin de BDO se investig sobre un software que p
equipos. Se encontr la herramienta OCS Inventory, es una herramienta gratuita que permite la administra
control del software instalado. Fue la mejor opcin para cumplir con lo necesario para la operacin y no in
Dentro del inventario de recursos tecnolgicos, algunos equipos no tienen asignado responsable, tal como
particular la norma ISO 27001, la cual seala en el Control A7.1.2 .
Este punto se solucion con el procedimiento de asignacin y retiro de recursos de cmputo y com
equipos de telecomunicaciones a los colaboradores con la carta de responsabilidad y entrega del equipo.
En el inventario tampoco se registra informacin para la fecha de compra y fecha de vencimientos de la g
ejercer control sobre el cumplimiento de garantas.
Esta informacin la entrega cada sede y se consigna en la hoja de vida del equipo, en la actualidad
Se identificaron 17 equipos sin placa asignada y 10 equipos con serial 0.
Esta informacin fue corregida en el momento de realizar el inventario 2016 por parte del rea de Te
En el registro se identificaron tres versiones del aplicativo Hosvital, para lo cual el ingeniero de sistemas s
informacin se encuentra desactualizada.
Las versiones que se evidenciaron fueron produccin, pruebas y una versin que no se haba cambi
de esa rea
Se observaron 17 equipos identificados bajo el mismo nombre (el nombre genrico Poeta). 6 de estos eq
Asistencial. Segn lo informado por el Ingeniero de Sistemas, esta informacin se encuentra desactualiza
Se realiz verificacin y a los equipos que se encuentran para el uso interno de los colaboradores as
ajusta y los equipos que no son de uso interno si no del programa POETA se dejaron fuera del dominio y s
HOSVITAL.
El inventario suministrado por la Fundacin no se incluyeron los servidores.
En la herramienta GLPI se est montando la informacin de los servidores ya que la herramienta OC
dispositivos.
Segn conversacin con la auditora se lleg a la conclusin que para cumplir con este tema es necesario
los anlisis y el hacking tico. Estos estudios son gran valor y existen empresas especializadas en el tema
encuentra en espera.
En este momento se tiene un equipo en el rea de sistemas que nos est funcionando para realizar prueb
formatos, evidencias y control que permita realizar test de los distintos Backus que se toman de los servid
un disco duro externo que almacena toda la informacin de los backup con conexin a red para enviarlos
telecomunicaciones Claro se cotiz el valor de tener nuestro respaldo en la nube, pero la solucin es dem
buscando la forma de trabajar con el espacio que tenemos con la alianza que establecimos con Google, p
ha impedido comenzar con el tema.
En la Fundacin se maneja las distintas aplicaciones con soporte nivel 1 y 2 por medio del rea de sistem
deber desarrollo del proveedor se escala. Siempre se ha contado con un lder tcnico de las herramientas
Guio), Gestor Documental (Edgar Guevara), Pagina WEB (Camila Castro). Aunque con la herramienta H
lder sino con el rea de sistemas. Por lo anterior el equipo de sistemas siempre se encuentra en const
debe realizar una reunin con cada lder tcnico donde se informe el cambio solicitado por la auditora
FECHA DE AUDITORIA
INGENIERO DE SISTEMAS,
VIABLE PROFESIONAL DE SEGURIDAD EN EL
TRABAJO
INGENIERO DE SISTEMAS, TECNICO
VIABLE DE SISTEMAS Y AUXILIAR DE
SISTEMAS
COORDINADOR DE ATENCIN AL
USUARIO, CONTADORA, ANALISTA DE
VIABLE
CALIDAD, COMUNICADOR DIGITAL E
INGENIERO DE SISTEMAS
3/16/2017
3/28/2017 4/17/2017
3/20/2017 4/20/2017
3/2/2017 3/22/2017
3/23/2017 4/19/2017
3/28/2017
3/6/2017 4/10/2017
PENDIENTE PENDIENTE
3/10/2017 4/20/2017
3/28/2017 4/12/2017
RESPONSABLE DEL SEGUIMIENTO RESULTADO DEL SEGUIMIENTO
80%
60%
25%
40%
40%
OBSERVACIONES DE AVANCES
Se revisa tema con Directora de Recursos Humanos Laura Ruiz dejando como
conclusin que el tema ser revisado una vez este definida la nueva estructura
organizacional.
0%
0%
40%
20%
10%
30%
0%
0%
0%
OBSERVACIONES
De acuerdo a lo conversado con la Sra. Erika Oviedo. Se afirma que en la reunin de consejo directivo, no
etapa. NO VIABLE
Para el plan estratgico, esta pendiente por implementar el cronograma de trabajo y fechas de entrega pa
adicionales a las ya contempladas, entre las cuales se mencionan las siguientes: Ejecucin de cronogram
gestor, priorizando el de control de back ups, validacin y eleccin de lideres tcnicos por sede para profu
revisin para la llegada de vacaciones de Nelson Prez.
La matriz se realiz en conjunto y con la colaboracin de Edgar Guevara y se notific en su momento al d
elaborada en el formato FO-01-21 Matriz de riesgos corporativos, se requiere revalidacin.
Para el 16 de Mayo se entregan las polticas revisadas, donde se hacen ajustes por parte de la Sra. Erika
para la proteccin de datos. No hay fecha definida para la visita e inicio de labores conjuntas. Pendiente d
Se genero la respectiva elaboracin de formato de calidad, con la colaboracin de Angelica Sastoque, don
cambio de formato el cual ya se realiz. Pendiente el envo para validacin de la Sra. Erika.
Se ha venido ejecutando la validacin y actualizacin de inventario de todas las sedes por parte del rea d
tiene pendientes actividades de inspeccin de software y adicin de equipos al software OCS de las salas
sala de Manizales un 20%, adems se esta generando la actualizacin de registros de los equipos Thin C
No hay aun fechas definidas para el inicio de labores conjuntas con la compaa Cloud seguro.
Actualmente se estn generando back ups incrementales en la unidad dedicada, de acuerdo a las tareas
de la noche. Se deben contemplar actividades como: Revisin de procedimiento de calidad de Backups, d
contingencia de acuerdo a la matriz de riesgos.
Se debe definir los lideres tcnicos de las sedes, quienes entrara a ser el primer filtro de las aplicaciones d
manuales de acuerdo a la aplicacin con el animo de dar ayuda y colaboracin a estos mismos lideres. Po
dichos manuales y para la capacitacin respectiva a lideres. Adicional se plantean generar videos ilustrati
actividades aqu mencionadas en el plan estratgico. EL avance a la fecha continua igual debido a que se
Actividades de Prioridad
No se contempla