INFORME DE LOS RESULTADOS DEL DIAGNOSTICO

Anuncio
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
ESTUDIO DEL AMBIENTE INFORMÁTICO DE LA
DIRECCIÓN NACIONAL DE DESARROLLO DE LA COMUNIDAD
1.
INTRODUCCIÓN
1.1.
Origen
El estudio se realizó como parte del Plan de Trabajo de esta Auditoría, para la Dirección
Nacional de Desarrollo de la Comunidad, dentro del tiempo destinado para el Área de auditoría
de sistemas.
1.2.
Objetivos


1.3.
Verificar el establecimiento, suficiencia, validez y cumplimiento de los controles para
proteger los equipos y sistemas.
Comprobar el cumplimiento de la normativa legal y técnica.
Alcance y Naturaleza
El estudio se centró en el análisis de los recursos informáticos disponibles al mes de Agosto del
2004, se amplió en los casos en que se consideró necesario, con fecha de corte del 20 de Mayo
del 2005 y se actualizó en cuanto a hechos subsecuentes.
Se evaluó el estado de los sistemas, el control interno existente en la seguridad, resguardo y
acceso físico al hardware, software, comunicaciones y electricidad de los equipos; se analizaron
los controles y estándares para la adquisición y desarrollo del hardware y software; se revisó el
inventario de activos tecnológico con que cuenta la Institución y su control; se comprobó el
software disponible en los equipos de cómputo y la existencia de sus respectivas licencias,
además los programas que se manejan.
Como parte del proceso citado, se revisó el cumplimiento de la normativa que regula el uso del
equipo, el desarrollo de tecnología informática y la eficiencia en el uso de los recursos, se visitó
oficinas centrales y regionales que cuentan con equipo de cómputo, se realizaron chequeos del
sistema operativo utilizando una herramienta denominada ADVISOR (software libre, para
determinar el sistema operativo con el que trabaja la máquina, entre otros) y se solicitó los
manuales de mantenimiento, seguridad y desarrollo de sistemas.
El área de estudio está normada en cuanto al tema de control interno, por la Ley General de
Control Interno, Manual de Normas Generales de Control Interno (Manual de normas CI) y el
Manual sobre normas técnicas de control interno relativas a los sistemas de información
computadorizados (Manual sobre normas SIC); los dos últimos, emitidos por la Contraloría
General de la República.
A nivel general, es regulada por la Ley de Derechos de Autor (No. 6683), en cuanto al
cumplimiento de directrices internacionales para la protección de la Propiedad Intelectual, los
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
Derechos de Autor y Derechos Conexos, asimismo, por la “Directriz No. 30 Prohibición para
accesar a material pornográfico”.
1.4.
Antecedentes
La Dirección Nacional de Desarrollo de la Comunidad, es un órgano del Poder Ejecutivo,
adscrito al Ministerio de Gobernación y Policía, creada por Ley No.3859, del 07 de abril de 1976
y reglamentado en el Decreto Ejecutivo No.26935-G; Gaceta No.97, del 21 de mayo de 1998 y
sus reformas, cubriendo sus gastos de operación mediante el Programa 049, establecido en el
Presupuesto Nacional. Dentro de sus funciones están el fomentar, orientar, coordinar y evaluar la
organización de las comunidades del país como parte del Plan Nacional de Desarrollo
Económico, atendiendo las necesidades de apoyo técnico a Asociaciones de Desarrollo Comunal.
1.5.
Limitaciones
Una de las limitaciones que se presentó en la ejecución de este estudio, fue el no poder analizar
el sistema de control de asociaciones, comprado al señor Gustavo Flores Richmond, por la falta
de datos reales en el sistema e inventarios actualizados.
1.6.
Presentación resultados
De acuerdo con el artículo 36, de la Ley General de Control Interno Nº. 8232, del 04 de
setiembre del 2002, el titular subordinado, en un plazo improrrogable de diez días hábiles
después de recibido el informe, ordenará la implantación de las recomendaciones, si discrepa de
ellas, en el mismo plazo, elevará el informe al jerarca, con copia a la auditoria interna, expondrá
por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá
soluciones alternas para los hallazgos detectados.
El contenido del presente informe, se presentó a la Bachiller Anabelle Lang Ortiz, Directora
Nacional de DINADECO; el Msc. Alejandro Elizondo Castillo, Director Administrativo; al Ing.
Irving Rodríguez Vargas, Jefe de Unidad Informática y al señor Fernando Ruíz Villalobos,
funcionario de la Unidad Informática el día 11 de Agosto del 2005, quienes manifestaron que
aceptan los resultados expuestos en este informe, de igual forma se exteriorizó que la Institución
no cuenta con los recursos necesarios para solventar algunas debilidades, sin embargo, se
plantearán alternativas para encontrar la mejor solución en el menor tiempo posible
2.
RESULTADOS
2.1
Sin oficializar la ubicación de la Unidad de Informática.
La Unidad Informática no esta formalmente aprobada dentro de la estructura orgánica
institucional, la cual está vigente desde el año 1996 y autorizada por MIDEPLAN.
Con oficio PI-031-05, del 20 de Mayo del 2005; la encargada de la Unidad de Planificación
Susana Páez Vásquez reafirma esta condición, indicando que el proyecto de Reordenamiento
Institucional no ha sido aprobado.
2
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
La norma “302.06 Ubicación de la Unidad Informática” señala que la Unidad deberá estar
ubicada en un nivel jerárquico adecuado dentro de la organización, que le permita realizar de
manera independiente y objetiva, la función de servicio que le corresponde.
Según el exjefe Administrativo, Lic. Rahudy Esquivel Irsen en oficio DA-310-04, del 31 de
agosto del 2004, se presentó una propuesta a MIDEPLAN en donde aparece la Unidad
Informática; sin embargo, esta fue devuelta con observaciones de fondo y forma, ya que uno de
los requerimiento de ese Ministerio, es el análisis detallado de los componentes del Área
Administrativa, para que estos sean eficientes y evitar que se convierta en cuellos de botella para
la modernización institucional, asegurando así la coherencia entre los niveles administrativos y
los sustantivos. Las modificaciones sugeridas fueron realizadas, sin embargo aún no se aprueba
esta propuesta.
La condición descrita afecta la independencia y objetividad de operación, de las funciones que
ejerce la unidad, como son: Centralización de los recursos informáticos, elaboración y
mantenimiento de manuales de adquisición de hardware y software, definición de la plataforma
de trabajo, de equipos, base de datos y software informático (procesador de texto, Office, entre
otros); protección de información confidencial, mediante políticas de seguridad para acceso a los
datos y los equipos; plan de contingencia, que establezca las acciones a seguir en desastres
naturales (inundaciones, tormentas eléctricas, terremotos, ente otros); procesos sin los cuales se
incrementa el riesgo de adquirir tecnologías incompatibles, enfrentar pérdidas económicas y de
información, desuso o subutilización de equipos y sistemas; lo cual indica el uso ineficiente de
recursos estatales, que afectan negativamente el cumplimiento de los objetivos institucionales.
2.2
Falta de asignación formal de funciones y responsabilidades del personal de la Unidad
Informática.
La Unidad de Informática oficialmente cuenta con cuatro funcionarios, el señor Fernando Ruíz
Villalobos, la señora Giselle Vindas, el señor Junior Aguilar y recientemente se incorporó como
Jefe, el Ing. Irving Rodríguez, según oficio UI-2005-050 del 8 de Julio del 2005; cabe indicar
que no se encontró evidencia escrita de la asignación y periodicidad de las actividades que
ejecuta dicho personal a nivel general o individual, conforme el cargo que desempeña.
La norma “4.5.-Instrucciones por escrito”, del Manual de Normas Generales de Control Interno,
indica que: “Es necesario que las instrucciones sean emitidas de manera clara, concisa y por
escrito, independientemente de que se encuentren impresas o disponibles en medios magnéticos,
estas deben ordenarse en un compendio de operaciones o manual y deben ser actualizados
periódicamente para ajustarlo a los cambios en las necesidades y procesos organizacionales”.
La falta de definición y formalización de funciones, limita su interpretación y adecuado
entendimiento; además dificulta la inducción del personal nuevo y la determinación de
responsabilidades cuando sea requerido.
Esto aumenta los riesgos directos de olvido de asignaciones, omisión de prácticas importantes,
control de actividades, ejecución de tareas erróneas, entre otros. Situaciones que pueden producir
resultados insatisfactorios o adversos, con respecto al logro de los objetivos institucionales.
3
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
2.3
AI-750-2005
Falta de un marco regulador de la función Informática.
No se ha desarrollado, documentado ni promulgado políticas internas sobre tecnologías de
información (TI), control interno, minimización de riesgos, derechos de propiedad intelectual en
el desarrollo de software, restricciones para el acceso a Internet (ingreso a páginas
pornográficas), mantenimiento de equipos y sistemas propios de la Institución.
Si bien se han emitido algunas directrices por parte de la Dirección Administrativa y la Unidad
de Informática, no han sido oficializadas por la Dirección General, no cubren todo el ambiente
informático, ni están recopiladas en un sólo documento, a saber:

Circular UI-12-03, del 25 de Junio del 2003, de la Unidad Informática, en la que trata las
obligaciones de los usuarios de equipo de cómputo; basándose en la publicación de La
Gaceta 181, del 21 de setiembre del 2000; las cuales son de acatamiento para el Ministerio
de Seguridad Pública.

Circular-DA-116-03 del 28 de julio del 2003, de la Dirección Administración referida a
“compartir el uso de Internet en algunos departamentos de DINADECO y el manejo de las
claves de acceso para ello.

Circular DA-133-03, del 06 de Agosto del 2003, de la Dirección Administrativa, referente a
la Directriz Presidencial No. 30, publicada en La Gaceta 160, del 22 de agosto del 2001 y el
Decreto Ejecutivo DC-3051-J, de febrero del 2002, relativa a la prohibición del uso de
INTERNET para asuntos personales.

Oficio DA-289-04 del 17 de Agosto del 2004, de la Dirección administrativa, sobre la
conveniencia de que la Unidad Informática tenga la descripción de los activos, que
conforman cada estación de trabajo.
Con respecto a las políticas del ambiente informático, emitidas por el Ministerio de Seguridad
Pública; según entrevista del 20 de Abril del 2005, el Ing. Manuel E. Bolaños Mata, jefe en ese
entonces del Departamento de Cómputo de este Ministerio, afirmó que, no existe convenio que
señale la responsabilidad de esa Dirección con las dependencias de Gobernación, en relación con
el equipo de cómputo y su entorno. Por lo tanto, los lineamientos emitidos por la citada instancia,
no serían de acatamiento para Gobernación; excepto que expresamente sean adoptados y
oficializados por los Jerarcas de las dependencias que correspondan.
La norma 302.04 Políticas relativas al SIA (SIG o SIC), del Manual Sobre Normas Técnicas
Relativas a los sistemas de información computadorizados, indica que las políticas y
lineamientos o criterios generales dictados por la autoridad superior, tienen como propósito
orientar la acción, en este caso, de los sistemas de información. Las mismas deben ser
documentadas y divulgadas en todos los niveles de la organización y deben ser actualizadas
permanentemente.
4
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
La omisión de disposiciones internas completas, claras y formales, genera la inexistencia de
acciones para salvaguardar las tecnologías de información; incrementa la posibilidad de que se
les dé un mal uso, se pierdan o se dañen por el desconocimiento de lo que se debe o no hacer;
ocasiona desperdicio de recursos en desarrollo de aplicaciones, por no tenerse guías o
metodologías; de igual forma adquirir hardware y software, sin las especificaciones necesarias o
requeridas por la organización.
2.4.
Carencia de un Comité Gerencial de Informática.
No se cuenta con un Comité de Informática en DINADECO y aunque la actividad del área de
cómputo es relativamente incipiente, dentro de ese panorama, es conveniente considerar la
creación de dicho órgano.
El Exdirector Administrativo, Lic. Rahudy Esquivel Irsen, indicó que la Institución es pequeña
para tener dicho comité y que se buscaría asesoría de la Comisión Informática de Seguridad
Pública, por lo que presentó a ese órgano para su aprobación, el Proyecto Informático de
DINADECO. Sin embargo, el 20 de Abril del 2005, el señor Luis Guerrero Fowlg, Presidente de
esa Comisión, haciendo referencia al Decreto Nº 26683-SP-Reglamento Interno de la Comisión
de informática del Ministerio de Seguridad Pública y al Reglamento de Normas y Políticas de
Informática del Ministerio de Seguridad Pública; informó que no se tiene ingerencia sobre
DINADECO y que el proyecto no se llevó a discusión; manifestando que siempre se ha brindado
colaboración a Gobernación en materia Informática, pero que no existe un convenio entre ambos
ministerios, para afianzar ese apoyo.
La norma 302.09-Comité Gerencial de Informática, del Manual sobre normas SIC, establece la
obligación de constituir dicho comité como una instancia técnica ente el máximo jerarca y la
unidad de informática, que brinde asesoría al primero en la administración del sistema de
información gerencial y de los recursos humanos, materiales y financieros que se destinen para
su desarrollo; dentro de sus funciones están: dictar las especificaciones necesarias para los
estudios preliminares y de factibilidad de los proyectos de TI (Tecnología de Información);
asesorar al nivel jerárquico superior en la aprobación de los resultados de los estudios de
factibilidad, de los planes estratégicos y operativos de la función informática y la emisión de
políticas relativas a la tecnología de información; controlar y evaluar la ejecución de los planes
aprobados; evaluar la necesidad de disponer de hardware y software adicional y establecer las
prioridades documentadas para cada desarrollo o proyecto de sistemas de información.
El hecho de que la Administración no considerara necesario la creación del Comité Gerencial de
Informática, esperando asesoría del existente en Seguridad Pública; incrementa los riesgos de
que se den adquisiciones en tecnología de información, sin criterios de oportunidad y con una
relación inadecuada de beneficio-costo, dándose gastos injustificados, innecesarios o superfluos
en las inversiones en T.I.
2.5
Carencia de una metodología para el desarrollo y compra de los Sistemas de Información.
No se cuenta con una metodología para el desarrollo de los sistemas (ciclo de vida de desarrollo
de los sistemas–CVDS); que defina un modelo de lenguaje de programación a seguir, regule y
5
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
oriente los procesos de desarrollo, adquisición, implementación y mantenimiento, tanto de
sistemas de información computadorizados como de tecnologías afines.
De los cuatro sistemas de información de la Institución, sólo dos están funcionando, siendo que:
A) El Sistema para el control de las organizaciones comunales, es utilizado para consultar los
datos de las organizaciones creadas por la Ley sobre Desarrollo de la Comunidad
(No.3859), fue programado en el lenguaje de Visual Fox, por el funcionario Fernando Ruiz
Villalobos y está instalado en el equipo ubicado en el Área Legal y de Registro.
Dicho programa no cuenta con documentación que indique las actividades seguidas en su
desarrollo, carece de Manual del Usuario, estudios preliminares, controles de seguridad en
el acceso a la información, además muchos de los listados que genera este sistema no son
utilizados y algunos son poco conocidos por la Licda. Yamileth Camacho Marín,
funcionaria del Departamento de Legal y Registro, que maneja la aplicación.
B)
EL Sistema de Control de Asistencia (TIME LOG), actualmente esta fuera de servicio; fue
adquirido junto con el reloj marcador electrónico comprado a la empresa INTRADE ABC
S.A.; sin obtenerse un manual de usuario, ni documentos de cómo se opera el sistema o
cuales son los requerimientos que éste debía tener, para que fuera usado en DINADECO.
El Jefe de la Unida Informática en ese entonces, Sr. Jonathan Gómez Benavides, en
memorando Nº 2005-029, del 18 de Abril del 2005, indica que ese Departamento no
participó en la formulación de requerimientos para adquisición del reloj marcador, no se
tienen los archivos fuentes del programa y se desconocen los requerimientos técnicos de
este equipo, no pudiendo emitir un criterio acerca de la posibilidad de habilitarlo.
C) El Sistema de Control de Asociaciones Inscritas, comprado y desarrollado en el lenguaje de
programación Oracle, no está funcionando y tuvo un costo de ¢1.380.000,00; está ubicado
en un servidor de la Unidad de Informática y nunca fue utilizado por falta del software que
administrara la base de datos, conforme al lenguaje de programación empleado.
Ese sistema presenta debilidades, como el no poseer bitácora de acceso; no hay evidencia
del Manual de Usuario; carece de documentación de desarrollo; la capacitación no fue
impartida a los usuarios del sistema, únicamente se le dio al Jefe de la Unidad Informática
de ese entonces; no existen actas en las que se haga constar la participación de los usuarios
y fue realizado fuera de las instalaciones de DINADECO.
Sobre este caso en particular, se determinó que la Administración nombró el Órgano
Director para llevar a cabo el procedimiento administrativo respectivo; no obstante, el
mismo no ha tenido avances positivos, razón por la que se envió una advertencia a la
Directora Nacional, para que atendiera oportunamente tal situación.
D) El Sistema de Control de cupones de Combustible, es manejado con una base de datos en
Access; no cuenta con toda la documentación del desarrollo del sistema (CVDS). Según
oficio UI-2005-033, del 28 de Abril del 2005, remitido por el Exjefe de la Unidad
Informática, Sr. Jonathan Gómez Benavides, la solicitud de su desarrollo se hizo
6
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
verbalmente, por la necesidad reflejada en un estudio que la Dirección Administrativa
realizó al Departamento Financiero-Contable.
Los aspectos que se controlan con este sistema son: determinar quienes tienen asignado
cupones de combustible; controlar los cupones liquidados con la presentación de la
respectiva factura comercial y vigilar los cupones con que cuenta la Administración, para
ser utilizados por los funcionarios.
En el manejo de este sistema, se encontraron los oficios UC-768-2004, UC-717-2004; UC695-2004; UC-619-2004; UC-565-2004, suscritos por el Jefe de la Unidad FinancieroContable, en los cuales solicita a Informática; registrar varios funcionarios en el sistema,
para que puedan retirar cupones. Según lo dispuesto en el documento titulado Manual de
Mantenimiento del sistema de Control de Cupones, esa inclusión solo procede con la
autorización de la Dirección Administrativa; no obstante, en los mencionados trámites, no
se evidencia la obtención de esa aprobación.
Con oficios UC-239-2005, del 21 de Abril del 2005, DF-223-2005, del 13 de Abril del
2005, DF-219-2005, del 08 de Abril del 2005 y DF-207-2005, del 05 de Abril del 2005, el
Jefe del Departamento Financiero Contable, Lic. Adrián Arias Marín; solicitó
modificaciones; sin embargo, no se conoce si se realizaron por falta de notas de aceptación
de los cambios requeridos o de cualquier otra documentación que lo evidenciara.
Al respecto, las normas 304.02-Documentación del sistema; 304.03-Documentación del
programa; 304.04-Documentación del usuario; 303.05.02-Estudio de Factibilidad Técnico;
303.05.03-Análisis y determinación de los requerimientos de información; 303.10
Modificaciones a los SIC y 303.05-Ciclo de Vida de Desarrollo de Sistemas (CVDS), del Manual
Sobre Normas del SIC, indican que los documentos del usuario, del programa, del diseño físico y
las pruebas del SIC, deben fundamentar y explicar en forma detallada el servicio que brinda el
programa a la institución; estos deben ser elaborados en forma adecuada, suficiente y
mantenerlos actualizados; los estudios de factibilidad se confeccionarán con las especificaciones
determinadas, en donde se establecerán los requerimientos de información del sistema en
desarrollo. Con respecto a las modificaciones a los SIC en operación, deberán ser justificadas,
autorizadas, controladas, aprobadas y documentadas adecuadamente.
El desconocimiento de la Unidad Informática sobre las políticas para el buen desarrollo de
Sistemas de Información, ha producido debilidades que pueden incrementan el riesgo de que el
proceso o adquisición de sistemas, sean proyectos fallidos o de baja calidad, que generen
pérdidas económicas, retrasos en el procesamiento de datos, inoportunidad en la puesta en
marcha de los sistemas, ineficiencia o falta de información institucional, entre otros.
2.6.
Falta de políticas y controles de Seguridad Informática.
No existen políticas que regulen la seguridad informática para controlar, salvaguardar y verificar
el uso adecuado del equipo y programas de las oficinas centrales y regionales, ya que no hay
designación formal de funciones en la Unidad Informática, procedimientos por escrito para la
actualización de los respaldos de información, mantenimiento preventivo de los equipos de
cómputo, como planes para instalación y actualización de antivirus, medios preventivos contra
7
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
contingencias; seguros actualizados de los equipos; mecanismos de seguridad para el acceso a los
activos, baterías (UPS) en todos los equipos; cableado estructurado; tomas polarizados y
bitácoras de las caídas del sistema eléctrico; todo esto en oficinas centrales de la Institución.
En cuanto a los equipos de las oficinas regionales, se refleja la falta de controles de seguridad de
acceso al equipo de cómputo, no se respalda la información, las instalaciones eléctricas no son
las adecuadas, no existe un ágil servicio de mantenimiento correctivo y el preventivo no existe.
Las normas 305.02.-Seguridad física; 305.09-Mantenimiento del equipo de cómputo; 305.06Respaldo de archivos magnéticos y 305.03 Seguridad lógica, del Manual Sobre Normas del SIC,
incorporan los métodos y procedimientos que deben ponerse en práctica para la operación del
equipo de los SIC, orientados a crear un ambiente que procure la efectividad y el control en la
producción de la unidad de operaciones, así como proporcionar seguridad física sobre los
archivos magnéticos de manera que sea factible mantener la operación continua del equipo y de
los sistemas de información computadorizados.
Según el Exjefe del Departamento de Informática, Jonathan Gómez Benavides, indicó en fecha
del 28 de Abril 2005, que se estaban estableciendo las políticas para la seguridad de TI y que los
retrasos se debían a la falta de personal para desarrollar el Manual; siendo a que esa fecha, se
tenían solo dos funcionarios en esa unidad.
La función de seguridad de los equipos y del software, es vital para garantizar el adecuado
resguardo y uso de los recursos, la continuidad de las actividades y el cumplimiento de los
objetivos institucionales; existiendo el riesgo de que ante eventos como el fuego, inundaciones,
terremotos, robos, desperfectos del equipo, entre otros, no existan acciones planificadas para
lograr la recuperación de la información; que personas no autorizadas tengan acceso a los
archivos de datos y a los programas de los sistemas de información computadorizados (SIC),
obteniendo información confidencial sobre proyectos, oficios, datos de asociaciones y sus
integrantes.
2.7.
Carencia de licencia de programas en algunos equipos de cómputo.
En el mes de marzo del 2005, se revisó aleatoriamente el equipo de cómputo de la Institución y
todas las licencias del software existente; determinándose que en 56 computadoras de oficinas
centrales se utiliza Windows y MS-Office; pero la Institución sólo cuenta con 26 licencias del
primero y 25 de la segunda; también se localizaron 4 programas sin licencia, para creaciones de
dibujo y animaciones (Photoshop, Ilustrador, Print Artis 4.5 y Core Draw 8). En cuanto a
software preventivo, en 9 máquinas se encontró el Norton Antivirus, con su respectiva licencia;
quedando los demás desprotegidos contra virus (Ver anexo 1).
El anterior Jefe de Informática, Jonathan Gómez Benavides, informó que muchas de las
máquinas fueron donadas por el Triángulo de la Solidaridad y no traían licencia.
El Decreto No.30151-J, del 21-024-02, a nivel de Gobierno Central, señala en el artículo 1, que
se debe prevenir y combatir el uso ilegal de programas de cómputo, con el fin de cumplir con las
disposiciones que establece la Ley N° 6683, sus reformas y la Ley Nº 8039; requiriendo en los
artículos del 2 al 9; realizar los inventarios iniciales de los equipos y programas, establecer
8
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
controles para garantizar la utilización de sus computadoras con software legal; desarrollar y
mantener un sistema de información que registre los resultados del inventario inicial de equipos y
programas. El licenciamiento del software, está regulado en el artículo N° 1 de la Ley sobre
Derechos de Autor y Derechos Conexos (No.6683), indica que los autores tienen todos los
derechos patrimoniales y morales. La violación de estos dará lugar al ejercicio de las acciones
administrativas ante el registro de la propiedad o el Registro Nacional de Derechos de Autor.
Lo anterior se dió por la falta de recursos para la compra de licencias de todos los equipos de
cómputo y la carencia de políticas para la aceptación de donaciones de equipo de cómputo, sin
las respectivas licencias de software (ofimática). Situación que expone a la Institución a posibles
demandas y sanciones en el campo administrativo, civil o penal. Además el riesgo de la
interrupción de los servicios, por pérdida de datos en los sistemas de información, inhabilitación
de los medios de procesamiento requeridos y carencia de medidas correctivas oportunas, por la
falta de antivirus, lo cual eventualmente generaría mayores gastos.
2.8.
Omisión de estudios para evaluar la factibilidad tecnológica y económica para la adquisición de
equipo y software.
Se carece de un plan formulado y aprobado, relacionado con la adquisición de infraestructura
tecnológica en materia de equipo, sistemas y telecomunicaciones, esto de conformidad con los
objetivos que haya establecido la Dirección Nacional de la Institución, basado en el análisis de
costo beneficio.
La Institución acostumbra que el Jefe del Departamento de Cómputo, haga sugerencias verbales
sobre la compra de equipos de TI, sin que se evidencie la realización de un análisis de
necesidades de los usuarios, compatibilidad entre programas, entre otros..
En el Manual Sobre Normas Técnicas de Control Interno Relativas a los Sistemas de
Información Computadorizados, específicamente en las normas 301.01 y 301.02, se trata de la
necesidad de elaborar un estudio preliminar para la adquisición de hardware y software y para el
desarrollo de nuevos SIC, con la finalidad de determinar su viabilidad técnica y económica; así
como definir los alcances del proyecto, las áreas de aplicación, las alternativas de solución a los
problemas existentes y realizar el análisis de costo/beneficio para su implantación.
La omisión de un Plan estratégico de infraestructura tecnológica, incrementa el riesgo de aplicar
recursos en equipos y programas que no son los más adecuados para las necesidades de la
Institución, con su consecuente subutilización o falta de rendimiento; como en el caso de la
compra de las licencias de software para red “Windows NT Server” y “Windows NT 4.0”, por un
valor de ¢339.827,00 cada una; las cuales actualmente no están siendo utilizadas, fueron
almacenadas en la Unidad de Informática y tienen la agravante de que con el vertiginoso cambio
tecnológico, están obsoletas.
2.9
Falta de un inventario tecnológico e institucional completo y actualizado.
No se cuenta con un inventario completo, actualizado y oficializado del equipo de cómputo, el
cual contenga datos confiables que permitan mantener un adecuado control de los activos.
9
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
En la revisión del documento proporcionado por el Jefe del Departamento de Bienes y
Suministros, con oficio B.S. 042-2005, del 3 febrero del 2005, correspondiente a la verificación
realizada en el mes de enero del 2005; existen inexactitudes sobre la ubicación de equipo de
cómputo, causado en parte, porque no todos los traslados de bienes están respaldados con notas y
en consecuencia dichas cambios no son incorporados en el inventario del Departamento de
Bienes y Suministros. El Inventario refleja la existencia de 80 componentes de cómputo, entre
ellos: UPS, teclados, monitores, CPU, mouse e impresoras, que no poseen número de patrimonio,
los que lo poseían estaban pegados con una calcomanía la cual no es muy segura, estando
algunas casi despegadas.
Asimismo, existen diferencias entre el inventario que maneja la Institución y el que fue
entregado por la Sección de Activos del Ministerio de Seguridad Pública, ya que mediante oficio
0243-206SCFA, del 15 de Febrero del 2005, el Lic. Marvin Rodríguez Li, Jefe de esta Unidad,
indica que el inventario correspondiente a DINADECO del período 2004, no se envió a Bienes
Nacionales, ya que carecía de datos correctos preestablecidos por el Ministerio de Hacienda para
la migración de datos al SIBINET.
En las visitas efectuadas entre los meses de junio y septiembre del 2003 a oficinas Regionales
que en ese entonces contaban con equipo informático, se evidenció que las sedes de Alajuela,
Puntarenas, Guápiles y Cañas, no cuentan con documentación que indique la asignación,
procedimientos sobre la utilización del equipo de cómputo, procedimientos de respaldos y
recuperación de información en caso de desastres.
Específicamente, se encontraron las siguientes condiciones:
Regional de Cartago. Según la encargada de la oficina, Sra. Marta Avendaño Mata, los dos
equipos disponibles, estaban en calidad de préstamo por la Federación de Uniones Cantonales de
Cartago, sin embargo, no se evidencio la suscripción de un convenio, en donde se establezcan las
responsabilidades y deberes de las partes involucradas, ya que la información que se maneja en
los equipos es de la Dirección Nacional de Desarrollo de la Comunidad.
Regional de Guápiles: Cuenta con una computadora, impresora y fueron asignados
apróximadamente en abril del 2003, de acuerdo al Director Regional, Lic. Ricardo Ching Calvo.
En el momento de la verificación apenas tenía tres meses de la entrega de ese equipo y no estaba
registrado en el inventario de la Institución, ni contaba con números de patrimonio, o marcas de
seguridad.
Regional de Cañas: Se tiene una computadora sin número de activo y no se tienen boletas de
asignación del mismo; el sitio es inseguro; los tomas no son polarizados; no se efectúan
respaldos de información, mantenimiento preventivo y no se cuenta con las licencias de los
programas.
Regional de Puntarenas: Tiene una computadora, que no cuenta con número de patrimonio y
no coinciden sus características con las especificadas en nota No D.P223-2003, del 05-08-03
suscrita por el señor Randall Granados Cáseres, encargado de la Unidad de Suministros en ese
entonces y dirigida a esta Auditoria.
10
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
Regional de Alajuela: Tiene una computadora que no cuenta con número de patrimonio, sólo
tiene una calcamonía que dice “Triángulo de la Solidaridad”.
El artículo No.1 Identificación de Bienes y Nº 6 inciso d) del Decreto 30720-H, así como las
normas “4.15-Inventarios periódicos”, del Manual de Normas de CI y las normas “305.02.Seguridad física”; “305.09-Mantenimiento del equipo de cómputo”; “305.06-Respaldo de
archivos magnéticos” y “305.03 Seguridad lógica”, del Manual de Normas del SIC; desarrollan
que los inventarios deben contener tipo o nombre del bien; número de patrimonio; características
específicas y estado; que todo bien que ingrese a la Administración deberá ser identificado por
un sistema de rotulado (placa de metal o plástica o cualquier otro sistema de seguridad), en el que
se indique el número de patrimonio asignado por la Dirección General de Administración de
Bienes y Contratación Administrativa; esto tomando en cuenta que cada Ministerio deberá
realizar un inventario inicial de los equipos existentes y de los programas que tengan las
computadoras. En cuanto a la seguridad se deben mantener los dispositivos suficientes para
resguardar la información y los activos, para ello además se debe dar mantenimiento preventivo
y correctivo para asegurar la continuidad de los procesos.
El jefe del Departamento de Bienes y Suministros, Lic. Alex Arias Arguello, en su oficio B.S.
042-2005, indica que: muchos activos no cuentan con placa porque son donados por el
Triángulo de la Solidaridad; por lo que se realizaron gestiones para conseguir placas con las que
se identificaría el equipo informático.
La falta de recursos para completar las visitas a oficinas regionales con el fin de contabilizar el
total de los activos dificulta ejercer control y protección del patrimonio institucional contra el uso
ineficiente o irregular, responsabilidad que le corresponde a la administración y cuya
inobservancia podría traer consecuencias de índole administrativa, civil y hasta penal;
indiscutiblemente, expone a la Administración a mayores riesgos de pérdida y sustracción; sin
que sean detectadas oportunamente, dificultando la toma de medidas correctivas, la definición de
responsables y el resarcimiento económico si corresponde.
3.
CONCLUSIONES
La Dirección Nacional de Desarrollo de la Comunidad, carece de una adecuada y suficiente
estructura de control interno, que garantice la existencia y operación de un sistema de
información institucional eficaz y eficiente, siendo requerido una unidad informática organizada,
con recursos suficientes e idóneos, con un marco técnico definido, infraestructura tecnológica,
con metodología y estándares de desarrollo o adquisición de sistemas y equipos establecida,
políticas de gestión, seguridad y contingencia en TI adecuadas; con medidas regulatorias para
integrar los esfuerzos administrativos e informáticos para alcanzar los objetivos institucionales
de forma eficiente; implementando controles como registros completos, instrucciones escritas,
asignación de equipos, inventarios periódicos, mantenimientos oportunos, entre otros;
cumpliendo con las disposiciones técnico-legales que correspondan.
11
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
4.
AI-750-2005
RECOMENDACIONES.
A la Directora Nacional
4.1
En un plazo que no exceda los 10 días hábiles, girar las instrucciones para que se apliquen las
recomendaciones introducidas en este informe o las soluciones alternas que eventualmente
propongan, en caso de que se discrepara de las emitidas por esta Auditoría; conforme lo define el
artículo 36 de la Ley General de Control Interno.
4.2
Preparar y remitir a esta Auditoría, en un plazo no mayor a 10 días hábiles, un cronograma que
incorpore las actividades, responsables y fechas en las que se espera cumplir las
recomendaciones giradas o propuestas, de manera que se programe el proceso de seguimiento
institucional.
4.3
Continuar ante MIDEPLAN con el trámite de aprobación, de la estructura organizativa de la
institución, a la Unidad Informática, como una unidad orgánica y funcional existente y en
ejercicio; con funciones claramente definidas en los documentos institucionales respectivos y
oficialmente comunicadas y respaldadas, por esa Dirección General. (Resultado 2.1).
4.4
Definir y oficializar las funciones que le corresponden a la Unidad de informática en general y a
cada uno de sus integrantes, lo que se debe hacer con base en un plan de trabajo a corto, mediano
y largo plazo, adaptado a los requerimientos y recursos de la institución; con la que se asegure
llegar a cubrir las necesidades básicas en las áreas de tecnologías de información, considerando:
a)
Ubicación de la función de TI, en niveles de autoridad e independencia diferentes a las
demás unidades de la organización.
b)
Segregar funciones y responsabilidades, de manera que evite que un sólo funcionario
resuelva un proceso de forma completa.
d)
Evaluar y gestionar si corresponde, lo idóneo y la suficiencia del Recurso Humano
disponible y del requerido. (Resultado 2.2)
4.5
Establecer, promulgar y mantener actualizadas políticas internas sobre tecnologías de
información, relacionadas con control interno, minimización de riesgos, derechos de propiedad
intelectual en el desarrollo de software, directrices tecnológicas en general y para el desarrollo
de programas, mantenimientos propios de la Institución, entre otros. (Resultado 2.3)
4.6
Constituir y garantizar la operación del Comité Gerencial de Informática de DINADECO,
apoyándolo con los recursos humanos, materiales y financieros necesarios para su organización
y el cumplimiento de las funciones establecidas en el Manual sobre normas de los SIC, siendo
recomendable que esté integrado por un representante tanto del máximo jerarca, Planificación
Institucional, Unidad Financiera y Unidad Informática, este último como secretaría técnica.
(Resultado 2.4)
4.7
Solicitar al Comité de Informática de DINADECO, que defina las políticas que correspondan
12
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
para que la Unidad Informática prepare, presente a su aprobación y mantenga actualizado, el
Plan estratégico institucional del área de Tecnología de Información, que sirva de eje para el
desarrollo tecnológico de DINADECO, durante los siguientes 5 años.( Resultado 2.4)
4.8
Definir y mantener actualizada por parte del Comité de Informática, una metodología para el
desarrollo de sistemas de información de la institución, oficializada por esa dirección y que
incluya la normativa interna que se requiera en concordancia con el Manual sobre Normas del
SIC y el Manual de CI, para que se puedan cumplir las funciones técnicas propias de dicha
unidad y las de asesoría en materia informática cuando se requiera. (Resultado 2.5 )
4.9
Definir un cronograma de trabajo para el plan de desarrollo tecnológico de TI, que señalen las
personas y/o dependencias responsables, así como los tiempos estimados, de acuerdo con las
capacidades institucionales de la administración; para la generación, aprobación, divulgación e
implementación de los siguientes componentes: Plan estratégico de TI, Modelo de la
Arquitectura de los SIC, Sistemas de Información Gerencial, Planes de adquisición de
infraestructura tecnológica, Políticas de tecnología de información, Marco de referencia de
administración de proyectos, Plan gerencial de calidad, Plan de aseguramiento de la continuidad
del servicio, Plan de capacitación del personal de TI y Marco de referencia de evaluación de
sistemas en riesgo. (Resultado 2.6)
4.10
Solicitar al Comité de informática conformar un manual de seguridad para el acceso físico y
lógico de los equipos informáticos basados en estándares internacionales de seguridad como son
Cobit, BS-7799; ISO 14001 entre otros; en el cual se indiquen las condiciones mínimas para
uso de los equipos y software, con el fin de controlar y normar la seguridad informática
(Resultado 2.6).
4.11
Buscar soluciones alternas como software gratuito, desinstalación de programas no
imprescindibles y/o planificar y presupuestar a corto, mediano y largo plazo, los recursos para
adquirir las licencias de los programas, que de acuerdo con un estudio realizado por el
Departamento Informático, sean los efectivamente requeridos por DINADECO para el
cumplimiento de sus objetivos, la protección de su información y el cumplimiento de las leyes
que tutelan los derechos de propiedad intelectual, derechos de autor y conexos y el Decreto
30151-J del 21-02-2002 (Resultado 2.7).
4.12
Requerir que en toda solicitud de adquisición de equipo o software, que se le presente para
autorización, contenga el estudio de factibilidad tecnológica y económica, que debe estar
fundamentado y referenciado en el Plan de infraestructura tecnológica que debe elaborar y
fundamentar la Unidad Informática, de acuerdo con los lineamientos técnicos del Manual de
normas del SIC y los dictados al respecto, por la Contraloría General de la República.
(Resultado 2.8).
Al Director Administrativo
4.13 Coordinar con las unidades solicitantes y las del Ministerio de Gobernación encargadas de las
compras de DINADECO, para que verifiquen y evalúen los estudios de factibilidad que se les
presenten para los trámites de compras de Software y Hardware y que los carteles de
13
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
contratación que se generen al respecto; se analicen por un experto en la materia, sea el equipo de
la unidad especializada o el Comité Informático de DINADECO o sus homólogos en el
Ministerio de Seguridad Pública; instancia que entre otros aspectos revise que lo que se desea
adquirir corresponde a la plataforma informática definida, las necesidades institucionales, la
factibilidad y oportunidad del proyecto, que se haya efectuado la debida planificación, que lo
requerido sea compatible con las características de las aplicaciones y/o equipos existentes, etc.;
con lo que se asegure que se aprovechen eficientemente los recursos invertidos, el cumplimiento
de la normativa que rige la materia y sobre todo el adecuado cumplimiento de los objetivos de
DINADECO.(Resultado 2.8)
4.14 Girar las instrucciones pertinentes para que el Departamento de Bienes y Suministros, complete y
mantenga actualizado el inventario institucional, para que ejecute un control efectivo sobre los
mismos; con ello logren la asignación y ubicación de los bienes de manera efectiva. (Resultado
2.9)
4.15 Girar las instrucciones al Departamento de Bienes y Suministros, para que documenten todos los
movimientos de equipo de cómputo que se den en la Institución, tanto de oficinas Centrales
como Regionales, usando formularios preestablecidos y numerados, en los que se describan las
características del activo, el movimiento ocurrido y consten las firmas, y nombres de los
funcionarios que reciben o entregan. (Resultado 2.9).
14
MINISTERIO DE GOBERNACIÓN Y POLICIA
AUDITORIA INTERNA
[email protected] - Telefax 222-35-97
AI-750-2005
ANEXO NO.1
DIRECCIÓN NACIONAL DE DESARROLLO DE LA COMUNIDAD
DETALLE DE LA CANTIDAD DE PROGRAMAS EN USO Y LA EXISTENCIA
DE LAS RESPECTIVAS LICENCIAS AL 30 DE MARZO DEL 2005
Programa
Licencias
Sin licencia
WINDOWS 95
WINDOWS 98
WINDOWS ME
WINDOWS XP
Windows 2000
Total
Instalado en Número
de computadoras
5
8
7
31
5
56
0
2
2
22
0
26
5
6
5
9
5
30
OFFICE 2000
OFFICE XP
Office 97
Total
Norton 2000
Norton 2001
Norton 2003
Total
10
34
12
56
4
1
4
9
5
19
1
25
4
1
4
9
5
15
11
31
0
0
0
47
Licencias de
Windows para redes
Windows NT 4.0
Windows NT Server
Total
1
1
2
1
1
2
0
0
0
Otros software
encontrados
Photoshop
Ilustrador
Print Artist 4.5
Core Draw 8
Total
1
1
1
1
4
0
0
0
0
0
1
1
1
1
4
Software
administrador de
base de datos
Oracle
Total
1
1
0
0
1
1
Fuente: Control de Licencias Oficinas Centrales de DINADECO y cédula de verificación
efectuada por la Auditoria interna.
15
Descargar