MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 ESTUDIO DEL AMBIENTE INFORMÁTICO DE LA DIRECCIÓN NACIONAL DE DESARROLLO DE LA COMUNIDAD 1. INTRODUCCIÓN 1.1. Origen El estudio se realizó como parte del Plan de Trabajo de esta Auditoría, para la Dirección Nacional de Desarrollo de la Comunidad, dentro del tiempo destinado para el Área de auditoría de sistemas. 1.2. Objetivos 1.3. Verificar el establecimiento, suficiencia, validez y cumplimiento de los controles para proteger los equipos y sistemas. Comprobar el cumplimiento de la normativa legal y técnica. Alcance y Naturaleza El estudio se centró en el análisis de los recursos informáticos disponibles al mes de Agosto del 2004, se amplió en los casos en que se consideró necesario, con fecha de corte del 20 de Mayo del 2005 y se actualizó en cuanto a hechos subsecuentes. Se evaluó el estado de los sistemas, el control interno existente en la seguridad, resguardo y acceso físico al hardware, software, comunicaciones y electricidad de los equipos; se analizaron los controles y estándares para la adquisición y desarrollo del hardware y software; se revisó el inventario de activos tecnológico con que cuenta la Institución y su control; se comprobó el software disponible en los equipos de cómputo y la existencia de sus respectivas licencias, además los programas que se manejan. Como parte del proceso citado, se revisó el cumplimiento de la normativa que regula el uso del equipo, el desarrollo de tecnología informática y la eficiencia en el uso de los recursos, se visitó oficinas centrales y regionales que cuentan con equipo de cómputo, se realizaron chequeos del sistema operativo utilizando una herramienta denominada ADVISOR (software libre, para determinar el sistema operativo con el que trabaja la máquina, entre otros) y se solicitó los manuales de mantenimiento, seguridad y desarrollo de sistemas. El área de estudio está normada en cuanto al tema de control interno, por la Ley General de Control Interno, Manual de Normas Generales de Control Interno (Manual de normas CI) y el Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados (Manual sobre normas SIC); los dos últimos, emitidos por la Contraloría General de la República. A nivel general, es regulada por la Ley de Derechos de Autor (No. 6683), en cuanto al cumplimiento de directrices internacionales para la protección de la Propiedad Intelectual, los MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 Derechos de Autor y Derechos Conexos, asimismo, por la “Directriz No. 30 Prohibición para accesar a material pornográfico”. 1.4. Antecedentes La Dirección Nacional de Desarrollo de la Comunidad, es un órgano del Poder Ejecutivo, adscrito al Ministerio de Gobernación y Policía, creada por Ley No.3859, del 07 de abril de 1976 y reglamentado en el Decreto Ejecutivo No.26935-G; Gaceta No.97, del 21 de mayo de 1998 y sus reformas, cubriendo sus gastos de operación mediante el Programa 049, establecido en el Presupuesto Nacional. Dentro de sus funciones están el fomentar, orientar, coordinar y evaluar la organización de las comunidades del país como parte del Plan Nacional de Desarrollo Económico, atendiendo las necesidades de apoyo técnico a Asociaciones de Desarrollo Comunal. 1.5. Limitaciones Una de las limitaciones que se presentó en la ejecución de este estudio, fue el no poder analizar el sistema de control de asociaciones, comprado al señor Gustavo Flores Richmond, por la falta de datos reales en el sistema e inventarios actualizados. 1.6. Presentación resultados De acuerdo con el artículo 36, de la Ley General de Control Interno Nº. 8232, del 04 de setiembre del 2002, el titular subordinado, en un plazo improrrogable de diez días hábiles después de recibido el informe, ordenará la implantación de las recomendaciones, si discrepa de ellas, en el mismo plazo, elevará el informe al jerarca, con copia a la auditoria interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados. El contenido del presente informe, se presentó a la Bachiller Anabelle Lang Ortiz, Directora Nacional de DINADECO; el Msc. Alejandro Elizondo Castillo, Director Administrativo; al Ing. Irving Rodríguez Vargas, Jefe de Unidad Informática y al señor Fernando Ruíz Villalobos, funcionario de la Unidad Informática el día 11 de Agosto del 2005, quienes manifestaron que aceptan los resultados expuestos en este informe, de igual forma se exteriorizó que la Institución no cuenta con los recursos necesarios para solventar algunas debilidades, sin embargo, se plantearán alternativas para encontrar la mejor solución en el menor tiempo posible 2. RESULTADOS 2.1 Sin oficializar la ubicación de la Unidad de Informática. La Unidad Informática no esta formalmente aprobada dentro de la estructura orgánica institucional, la cual está vigente desde el año 1996 y autorizada por MIDEPLAN. Con oficio PI-031-05, del 20 de Mayo del 2005; la encargada de la Unidad de Planificación Susana Páez Vásquez reafirma esta condición, indicando que el proyecto de Reordenamiento Institucional no ha sido aprobado. 2 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 La norma “302.06 Ubicación de la Unidad Informática” señala que la Unidad deberá estar ubicada en un nivel jerárquico adecuado dentro de la organización, que le permita realizar de manera independiente y objetiva, la función de servicio que le corresponde. Según el exjefe Administrativo, Lic. Rahudy Esquivel Irsen en oficio DA-310-04, del 31 de agosto del 2004, se presentó una propuesta a MIDEPLAN en donde aparece la Unidad Informática; sin embargo, esta fue devuelta con observaciones de fondo y forma, ya que uno de los requerimiento de ese Ministerio, es el análisis detallado de los componentes del Área Administrativa, para que estos sean eficientes y evitar que se convierta en cuellos de botella para la modernización institucional, asegurando así la coherencia entre los niveles administrativos y los sustantivos. Las modificaciones sugeridas fueron realizadas, sin embargo aún no se aprueba esta propuesta. La condición descrita afecta la independencia y objetividad de operación, de las funciones que ejerce la unidad, como son: Centralización de los recursos informáticos, elaboración y mantenimiento de manuales de adquisición de hardware y software, definición de la plataforma de trabajo, de equipos, base de datos y software informático (procesador de texto, Office, entre otros); protección de información confidencial, mediante políticas de seguridad para acceso a los datos y los equipos; plan de contingencia, que establezca las acciones a seguir en desastres naturales (inundaciones, tormentas eléctricas, terremotos, ente otros); procesos sin los cuales se incrementa el riesgo de adquirir tecnologías incompatibles, enfrentar pérdidas económicas y de información, desuso o subutilización de equipos y sistemas; lo cual indica el uso ineficiente de recursos estatales, que afectan negativamente el cumplimiento de los objetivos institucionales. 2.2 Falta de asignación formal de funciones y responsabilidades del personal de la Unidad Informática. La Unidad de Informática oficialmente cuenta con cuatro funcionarios, el señor Fernando Ruíz Villalobos, la señora Giselle Vindas, el señor Junior Aguilar y recientemente se incorporó como Jefe, el Ing. Irving Rodríguez, según oficio UI-2005-050 del 8 de Julio del 2005; cabe indicar que no se encontró evidencia escrita de la asignación y periodicidad de las actividades que ejecuta dicho personal a nivel general o individual, conforme el cargo que desempeña. La norma “4.5.-Instrucciones por escrito”, del Manual de Normas Generales de Control Interno, indica que: “Es necesario que las instrucciones sean emitidas de manera clara, concisa y por escrito, independientemente de que se encuentren impresas o disponibles en medios magnéticos, estas deben ordenarse en un compendio de operaciones o manual y deben ser actualizados periódicamente para ajustarlo a los cambios en las necesidades y procesos organizacionales”. La falta de definición y formalización de funciones, limita su interpretación y adecuado entendimiento; además dificulta la inducción del personal nuevo y la determinación de responsabilidades cuando sea requerido. Esto aumenta los riesgos directos de olvido de asignaciones, omisión de prácticas importantes, control de actividades, ejecución de tareas erróneas, entre otros. Situaciones que pueden producir resultados insatisfactorios o adversos, con respecto al logro de los objetivos institucionales. 3 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 2.3 AI-750-2005 Falta de un marco regulador de la función Informática. No se ha desarrollado, documentado ni promulgado políticas internas sobre tecnologías de información (TI), control interno, minimización de riesgos, derechos de propiedad intelectual en el desarrollo de software, restricciones para el acceso a Internet (ingreso a páginas pornográficas), mantenimiento de equipos y sistemas propios de la Institución. Si bien se han emitido algunas directrices por parte de la Dirección Administrativa y la Unidad de Informática, no han sido oficializadas por la Dirección General, no cubren todo el ambiente informático, ni están recopiladas en un sólo documento, a saber: Circular UI-12-03, del 25 de Junio del 2003, de la Unidad Informática, en la que trata las obligaciones de los usuarios de equipo de cómputo; basándose en la publicación de La Gaceta 181, del 21 de setiembre del 2000; las cuales son de acatamiento para el Ministerio de Seguridad Pública. Circular-DA-116-03 del 28 de julio del 2003, de la Dirección Administración referida a “compartir el uso de Internet en algunos departamentos de DINADECO y el manejo de las claves de acceso para ello. Circular DA-133-03, del 06 de Agosto del 2003, de la Dirección Administrativa, referente a la Directriz Presidencial No. 30, publicada en La Gaceta 160, del 22 de agosto del 2001 y el Decreto Ejecutivo DC-3051-J, de febrero del 2002, relativa a la prohibición del uso de INTERNET para asuntos personales. Oficio DA-289-04 del 17 de Agosto del 2004, de la Dirección administrativa, sobre la conveniencia de que la Unidad Informática tenga la descripción de los activos, que conforman cada estación de trabajo. Con respecto a las políticas del ambiente informático, emitidas por el Ministerio de Seguridad Pública; según entrevista del 20 de Abril del 2005, el Ing. Manuel E. Bolaños Mata, jefe en ese entonces del Departamento de Cómputo de este Ministerio, afirmó que, no existe convenio que señale la responsabilidad de esa Dirección con las dependencias de Gobernación, en relación con el equipo de cómputo y su entorno. Por lo tanto, los lineamientos emitidos por la citada instancia, no serían de acatamiento para Gobernación; excepto que expresamente sean adoptados y oficializados por los Jerarcas de las dependencias que correspondan. La norma 302.04 Políticas relativas al SIA (SIG o SIC), del Manual Sobre Normas Técnicas Relativas a los sistemas de información computadorizados, indica que las políticas y lineamientos o criterios generales dictados por la autoridad superior, tienen como propósito orientar la acción, en este caso, de los sistemas de información. Las mismas deben ser documentadas y divulgadas en todos los niveles de la organización y deben ser actualizadas permanentemente. 4 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 La omisión de disposiciones internas completas, claras y formales, genera la inexistencia de acciones para salvaguardar las tecnologías de información; incrementa la posibilidad de que se les dé un mal uso, se pierdan o se dañen por el desconocimiento de lo que se debe o no hacer; ocasiona desperdicio de recursos en desarrollo de aplicaciones, por no tenerse guías o metodologías; de igual forma adquirir hardware y software, sin las especificaciones necesarias o requeridas por la organización. 2.4. Carencia de un Comité Gerencial de Informática. No se cuenta con un Comité de Informática en DINADECO y aunque la actividad del área de cómputo es relativamente incipiente, dentro de ese panorama, es conveniente considerar la creación de dicho órgano. El Exdirector Administrativo, Lic. Rahudy Esquivel Irsen, indicó que la Institución es pequeña para tener dicho comité y que se buscaría asesoría de la Comisión Informática de Seguridad Pública, por lo que presentó a ese órgano para su aprobación, el Proyecto Informático de DINADECO. Sin embargo, el 20 de Abril del 2005, el señor Luis Guerrero Fowlg, Presidente de esa Comisión, haciendo referencia al Decreto Nº 26683-SP-Reglamento Interno de la Comisión de informática del Ministerio de Seguridad Pública y al Reglamento de Normas y Políticas de Informática del Ministerio de Seguridad Pública; informó que no se tiene ingerencia sobre DINADECO y que el proyecto no se llevó a discusión; manifestando que siempre se ha brindado colaboración a Gobernación en materia Informática, pero que no existe un convenio entre ambos ministerios, para afianzar ese apoyo. La norma 302.09-Comité Gerencial de Informática, del Manual sobre normas SIC, establece la obligación de constituir dicho comité como una instancia técnica ente el máximo jerarca y la unidad de informática, que brinde asesoría al primero en la administración del sistema de información gerencial y de los recursos humanos, materiales y financieros que se destinen para su desarrollo; dentro de sus funciones están: dictar las especificaciones necesarias para los estudios preliminares y de factibilidad de los proyectos de TI (Tecnología de Información); asesorar al nivel jerárquico superior en la aprobación de los resultados de los estudios de factibilidad, de los planes estratégicos y operativos de la función informática y la emisión de políticas relativas a la tecnología de información; controlar y evaluar la ejecución de los planes aprobados; evaluar la necesidad de disponer de hardware y software adicional y establecer las prioridades documentadas para cada desarrollo o proyecto de sistemas de información. El hecho de que la Administración no considerara necesario la creación del Comité Gerencial de Informática, esperando asesoría del existente en Seguridad Pública; incrementa los riesgos de que se den adquisiciones en tecnología de información, sin criterios de oportunidad y con una relación inadecuada de beneficio-costo, dándose gastos injustificados, innecesarios o superfluos en las inversiones en T.I. 2.5 Carencia de una metodología para el desarrollo y compra de los Sistemas de Información. No se cuenta con una metodología para el desarrollo de los sistemas (ciclo de vida de desarrollo de los sistemas–CVDS); que defina un modelo de lenguaje de programación a seguir, regule y 5 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 oriente los procesos de desarrollo, adquisición, implementación y mantenimiento, tanto de sistemas de información computadorizados como de tecnologías afines. De los cuatro sistemas de información de la Institución, sólo dos están funcionando, siendo que: A) El Sistema para el control de las organizaciones comunales, es utilizado para consultar los datos de las organizaciones creadas por la Ley sobre Desarrollo de la Comunidad (No.3859), fue programado en el lenguaje de Visual Fox, por el funcionario Fernando Ruiz Villalobos y está instalado en el equipo ubicado en el Área Legal y de Registro. Dicho programa no cuenta con documentación que indique las actividades seguidas en su desarrollo, carece de Manual del Usuario, estudios preliminares, controles de seguridad en el acceso a la información, además muchos de los listados que genera este sistema no son utilizados y algunos son poco conocidos por la Licda. Yamileth Camacho Marín, funcionaria del Departamento de Legal y Registro, que maneja la aplicación. B) EL Sistema de Control de Asistencia (TIME LOG), actualmente esta fuera de servicio; fue adquirido junto con el reloj marcador electrónico comprado a la empresa INTRADE ABC S.A.; sin obtenerse un manual de usuario, ni documentos de cómo se opera el sistema o cuales son los requerimientos que éste debía tener, para que fuera usado en DINADECO. El Jefe de la Unida Informática en ese entonces, Sr. Jonathan Gómez Benavides, en memorando Nº 2005-029, del 18 de Abril del 2005, indica que ese Departamento no participó en la formulación de requerimientos para adquisición del reloj marcador, no se tienen los archivos fuentes del programa y se desconocen los requerimientos técnicos de este equipo, no pudiendo emitir un criterio acerca de la posibilidad de habilitarlo. C) El Sistema de Control de Asociaciones Inscritas, comprado y desarrollado en el lenguaje de programación Oracle, no está funcionando y tuvo un costo de ¢1.380.000,00; está ubicado en un servidor de la Unidad de Informática y nunca fue utilizado por falta del software que administrara la base de datos, conforme al lenguaje de programación empleado. Ese sistema presenta debilidades, como el no poseer bitácora de acceso; no hay evidencia del Manual de Usuario; carece de documentación de desarrollo; la capacitación no fue impartida a los usuarios del sistema, únicamente se le dio al Jefe de la Unidad Informática de ese entonces; no existen actas en las que se haga constar la participación de los usuarios y fue realizado fuera de las instalaciones de DINADECO. Sobre este caso en particular, se determinó que la Administración nombró el Órgano Director para llevar a cabo el procedimiento administrativo respectivo; no obstante, el mismo no ha tenido avances positivos, razón por la que se envió una advertencia a la Directora Nacional, para que atendiera oportunamente tal situación. D) El Sistema de Control de cupones de Combustible, es manejado con una base de datos en Access; no cuenta con toda la documentación del desarrollo del sistema (CVDS). Según oficio UI-2005-033, del 28 de Abril del 2005, remitido por el Exjefe de la Unidad Informática, Sr. Jonathan Gómez Benavides, la solicitud de su desarrollo se hizo 6 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 verbalmente, por la necesidad reflejada en un estudio que la Dirección Administrativa realizó al Departamento Financiero-Contable. Los aspectos que se controlan con este sistema son: determinar quienes tienen asignado cupones de combustible; controlar los cupones liquidados con la presentación de la respectiva factura comercial y vigilar los cupones con que cuenta la Administración, para ser utilizados por los funcionarios. En el manejo de este sistema, se encontraron los oficios UC-768-2004, UC-717-2004; UC695-2004; UC-619-2004; UC-565-2004, suscritos por el Jefe de la Unidad FinancieroContable, en los cuales solicita a Informática; registrar varios funcionarios en el sistema, para que puedan retirar cupones. Según lo dispuesto en el documento titulado Manual de Mantenimiento del sistema de Control de Cupones, esa inclusión solo procede con la autorización de la Dirección Administrativa; no obstante, en los mencionados trámites, no se evidencia la obtención de esa aprobación. Con oficios UC-239-2005, del 21 de Abril del 2005, DF-223-2005, del 13 de Abril del 2005, DF-219-2005, del 08 de Abril del 2005 y DF-207-2005, del 05 de Abril del 2005, el Jefe del Departamento Financiero Contable, Lic. Adrián Arias Marín; solicitó modificaciones; sin embargo, no se conoce si se realizaron por falta de notas de aceptación de los cambios requeridos o de cualquier otra documentación que lo evidenciara. Al respecto, las normas 304.02-Documentación del sistema; 304.03-Documentación del programa; 304.04-Documentación del usuario; 303.05.02-Estudio de Factibilidad Técnico; 303.05.03-Análisis y determinación de los requerimientos de información; 303.10 Modificaciones a los SIC y 303.05-Ciclo de Vida de Desarrollo de Sistemas (CVDS), del Manual Sobre Normas del SIC, indican que los documentos del usuario, del programa, del diseño físico y las pruebas del SIC, deben fundamentar y explicar en forma detallada el servicio que brinda el programa a la institución; estos deben ser elaborados en forma adecuada, suficiente y mantenerlos actualizados; los estudios de factibilidad se confeccionarán con las especificaciones determinadas, en donde se establecerán los requerimientos de información del sistema en desarrollo. Con respecto a las modificaciones a los SIC en operación, deberán ser justificadas, autorizadas, controladas, aprobadas y documentadas adecuadamente. El desconocimiento de la Unidad Informática sobre las políticas para el buen desarrollo de Sistemas de Información, ha producido debilidades que pueden incrementan el riesgo de que el proceso o adquisición de sistemas, sean proyectos fallidos o de baja calidad, que generen pérdidas económicas, retrasos en el procesamiento de datos, inoportunidad en la puesta en marcha de los sistemas, ineficiencia o falta de información institucional, entre otros. 2.6. Falta de políticas y controles de Seguridad Informática. No existen políticas que regulen la seguridad informática para controlar, salvaguardar y verificar el uso adecuado del equipo y programas de las oficinas centrales y regionales, ya que no hay designación formal de funciones en la Unidad Informática, procedimientos por escrito para la actualización de los respaldos de información, mantenimiento preventivo de los equipos de cómputo, como planes para instalación y actualización de antivirus, medios preventivos contra 7 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 contingencias; seguros actualizados de los equipos; mecanismos de seguridad para el acceso a los activos, baterías (UPS) en todos los equipos; cableado estructurado; tomas polarizados y bitácoras de las caídas del sistema eléctrico; todo esto en oficinas centrales de la Institución. En cuanto a los equipos de las oficinas regionales, se refleja la falta de controles de seguridad de acceso al equipo de cómputo, no se respalda la información, las instalaciones eléctricas no son las adecuadas, no existe un ágil servicio de mantenimiento correctivo y el preventivo no existe. Las normas 305.02.-Seguridad física; 305.09-Mantenimiento del equipo de cómputo; 305.06Respaldo de archivos magnéticos y 305.03 Seguridad lógica, del Manual Sobre Normas del SIC, incorporan los métodos y procedimientos que deben ponerse en práctica para la operación del equipo de los SIC, orientados a crear un ambiente que procure la efectividad y el control en la producción de la unidad de operaciones, así como proporcionar seguridad física sobre los archivos magnéticos de manera que sea factible mantener la operación continua del equipo y de los sistemas de información computadorizados. Según el Exjefe del Departamento de Informática, Jonathan Gómez Benavides, indicó en fecha del 28 de Abril 2005, que se estaban estableciendo las políticas para la seguridad de TI y que los retrasos se debían a la falta de personal para desarrollar el Manual; siendo a que esa fecha, se tenían solo dos funcionarios en esa unidad. La función de seguridad de los equipos y del software, es vital para garantizar el adecuado resguardo y uso de los recursos, la continuidad de las actividades y el cumplimiento de los objetivos institucionales; existiendo el riesgo de que ante eventos como el fuego, inundaciones, terremotos, robos, desperfectos del equipo, entre otros, no existan acciones planificadas para lograr la recuperación de la información; que personas no autorizadas tengan acceso a los archivos de datos y a los programas de los sistemas de información computadorizados (SIC), obteniendo información confidencial sobre proyectos, oficios, datos de asociaciones y sus integrantes. 2.7. Carencia de licencia de programas en algunos equipos de cómputo. En el mes de marzo del 2005, se revisó aleatoriamente el equipo de cómputo de la Institución y todas las licencias del software existente; determinándose que en 56 computadoras de oficinas centrales se utiliza Windows y MS-Office; pero la Institución sólo cuenta con 26 licencias del primero y 25 de la segunda; también se localizaron 4 programas sin licencia, para creaciones de dibujo y animaciones (Photoshop, Ilustrador, Print Artis 4.5 y Core Draw 8). En cuanto a software preventivo, en 9 máquinas se encontró el Norton Antivirus, con su respectiva licencia; quedando los demás desprotegidos contra virus (Ver anexo 1). El anterior Jefe de Informática, Jonathan Gómez Benavides, informó que muchas de las máquinas fueron donadas por el Triángulo de la Solidaridad y no traían licencia. El Decreto No.30151-J, del 21-024-02, a nivel de Gobierno Central, señala en el artículo 1, que se debe prevenir y combatir el uso ilegal de programas de cómputo, con el fin de cumplir con las disposiciones que establece la Ley N° 6683, sus reformas y la Ley Nº 8039; requiriendo en los artículos del 2 al 9; realizar los inventarios iniciales de los equipos y programas, establecer 8 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 controles para garantizar la utilización de sus computadoras con software legal; desarrollar y mantener un sistema de información que registre los resultados del inventario inicial de equipos y programas. El licenciamiento del software, está regulado en el artículo N° 1 de la Ley sobre Derechos de Autor y Derechos Conexos (No.6683), indica que los autores tienen todos los derechos patrimoniales y morales. La violación de estos dará lugar al ejercicio de las acciones administrativas ante el registro de la propiedad o el Registro Nacional de Derechos de Autor. Lo anterior se dió por la falta de recursos para la compra de licencias de todos los equipos de cómputo y la carencia de políticas para la aceptación de donaciones de equipo de cómputo, sin las respectivas licencias de software (ofimática). Situación que expone a la Institución a posibles demandas y sanciones en el campo administrativo, civil o penal. Además el riesgo de la interrupción de los servicios, por pérdida de datos en los sistemas de información, inhabilitación de los medios de procesamiento requeridos y carencia de medidas correctivas oportunas, por la falta de antivirus, lo cual eventualmente generaría mayores gastos. 2.8. Omisión de estudios para evaluar la factibilidad tecnológica y económica para la adquisición de equipo y software. Se carece de un plan formulado y aprobado, relacionado con la adquisición de infraestructura tecnológica en materia de equipo, sistemas y telecomunicaciones, esto de conformidad con los objetivos que haya establecido la Dirección Nacional de la Institución, basado en el análisis de costo beneficio. La Institución acostumbra que el Jefe del Departamento de Cómputo, haga sugerencias verbales sobre la compra de equipos de TI, sin que se evidencie la realización de un análisis de necesidades de los usuarios, compatibilidad entre programas, entre otros.. En el Manual Sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información Computadorizados, específicamente en las normas 301.01 y 301.02, se trata de la necesidad de elaborar un estudio preliminar para la adquisición de hardware y software y para el desarrollo de nuevos SIC, con la finalidad de determinar su viabilidad técnica y económica; así como definir los alcances del proyecto, las áreas de aplicación, las alternativas de solución a los problemas existentes y realizar el análisis de costo/beneficio para su implantación. La omisión de un Plan estratégico de infraestructura tecnológica, incrementa el riesgo de aplicar recursos en equipos y programas que no son los más adecuados para las necesidades de la Institución, con su consecuente subutilización o falta de rendimiento; como en el caso de la compra de las licencias de software para red “Windows NT Server” y “Windows NT 4.0”, por un valor de ¢339.827,00 cada una; las cuales actualmente no están siendo utilizadas, fueron almacenadas en la Unidad de Informática y tienen la agravante de que con el vertiginoso cambio tecnológico, están obsoletas. 2.9 Falta de un inventario tecnológico e institucional completo y actualizado. No se cuenta con un inventario completo, actualizado y oficializado del equipo de cómputo, el cual contenga datos confiables que permitan mantener un adecuado control de los activos. 9 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 En la revisión del documento proporcionado por el Jefe del Departamento de Bienes y Suministros, con oficio B.S. 042-2005, del 3 febrero del 2005, correspondiente a la verificación realizada en el mes de enero del 2005; existen inexactitudes sobre la ubicación de equipo de cómputo, causado en parte, porque no todos los traslados de bienes están respaldados con notas y en consecuencia dichas cambios no son incorporados en el inventario del Departamento de Bienes y Suministros. El Inventario refleja la existencia de 80 componentes de cómputo, entre ellos: UPS, teclados, monitores, CPU, mouse e impresoras, que no poseen número de patrimonio, los que lo poseían estaban pegados con una calcomanía la cual no es muy segura, estando algunas casi despegadas. Asimismo, existen diferencias entre el inventario que maneja la Institución y el que fue entregado por la Sección de Activos del Ministerio de Seguridad Pública, ya que mediante oficio 0243-206SCFA, del 15 de Febrero del 2005, el Lic. Marvin Rodríguez Li, Jefe de esta Unidad, indica que el inventario correspondiente a DINADECO del período 2004, no se envió a Bienes Nacionales, ya que carecía de datos correctos preestablecidos por el Ministerio de Hacienda para la migración de datos al SIBINET. En las visitas efectuadas entre los meses de junio y septiembre del 2003 a oficinas Regionales que en ese entonces contaban con equipo informático, se evidenció que las sedes de Alajuela, Puntarenas, Guápiles y Cañas, no cuentan con documentación que indique la asignación, procedimientos sobre la utilización del equipo de cómputo, procedimientos de respaldos y recuperación de información en caso de desastres. Específicamente, se encontraron las siguientes condiciones: Regional de Cartago. Según la encargada de la oficina, Sra. Marta Avendaño Mata, los dos equipos disponibles, estaban en calidad de préstamo por la Federación de Uniones Cantonales de Cartago, sin embargo, no se evidencio la suscripción de un convenio, en donde se establezcan las responsabilidades y deberes de las partes involucradas, ya que la información que se maneja en los equipos es de la Dirección Nacional de Desarrollo de la Comunidad. Regional de Guápiles: Cuenta con una computadora, impresora y fueron asignados apróximadamente en abril del 2003, de acuerdo al Director Regional, Lic. Ricardo Ching Calvo. En el momento de la verificación apenas tenía tres meses de la entrega de ese equipo y no estaba registrado en el inventario de la Institución, ni contaba con números de patrimonio, o marcas de seguridad. Regional de Cañas: Se tiene una computadora sin número de activo y no se tienen boletas de asignación del mismo; el sitio es inseguro; los tomas no son polarizados; no se efectúan respaldos de información, mantenimiento preventivo y no se cuenta con las licencias de los programas. Regional de Puntarenas: Tiene una computadora, que no cuenta con número de patrimonio y no coinciden sus características con las especificadas en nota No D.P223-2003, del 05-08-03 suscrita por el señor Randall Granados Cáseres, encargado de la Unidad de Suministros en ese entonces y dirigida a esta Auditoria. 10 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 Regional de Alajuela: Tiene una computadora que no cuenta con número de patrimonio, sólo tiene una calcamonía que dice “Triángulo de la Solidaridad”. El artículo No.1 Identificación de Bienes y Nº 6 inciso d) del Decreto 30720-H, así como las normas “4.15-Inventarios periódicos”, del Manual de Normas de CI y las normas “305.02.Seguridad física”; “305.09-Mantenimiento del equipo de cómputo”; “305.06-Respaldo de archivos magnéticos” y “305.03 Seguridad lógica”, del Manual de Normas del SIC; desarrollan que los inventarios deben contener tipo o nombre del bien; número de patrimonio; características específicas y estado; que todo bien que ingrese a la Administración deberá ser identificado por un sistema de rotulado (placa de metal o plástica o cualquier otro sistema de seguridad), en el que se indique el número de patrimonio asignado por la Dirección General de Administración de Bienes y Contratación Administrativa; esto tomando en cuenta que cada Ministerio deberá realizar un inventario inicial de los equipos existentes y de los programas que tengan las computadoras. En cuanto a la seguridad se deben mantener los dispositivos suficientes para resguardar la información y los activos, para ello además se debe dar mantenimiento preventivo y correctivo para asegurar la continuidad de los procesos. El jefe del Departamento de Bienes y Suministros, Lic. Alex Arias Arguello, en su oficio B.S. 042-2005, indica que: muchos activos no cuentan con placa porque son donados por el Triángulo de la Solidaridad; por lo que se realizaron gestiones para conseguir placas con las que se identificaría el equipo informático. La falta de recursos para completar las visitas a oficinas regionales con el fin de contabilizar el total de los activos dificulta ejercer control y protección del patrimonio institucional contra el uso ineficiente o irregular, responsabilidad que le corresponde a la administración y cuya inobservancia podría traer consecuencias de índole administrativa, civil y hasta penal; indiscutiblemente, expone a la Administración a mayores riesgos de pérdida y sustracción; sin que sean detectadas oportunamente, dificultando la toma de medidas correctivas, la definición de responsables y el resarcimiento económico si corresponde. 3. CONCLUSIONES La Dirección Nacional de Desarrollo de la Comunidad, carece de una adecuada y suficiente estructura de control interno, que garantice la existencia y operación de un sistema de información institucional eficaz y eficiente, siendo requerido una unidad informática organizada, con recursos suficientes e idóneos, con un marco técnico definido, infraestructura tecnológica, con metodología y estándares de desarrollo o adquisición de sistemas y equipos establecida, políticas de gestión, seguridad y contingencia en TI adecuadas; con medidas regulatorias para integrar los esfuerzos administrativos e informáticos para alcanzar los objetivos institucionales de forma eficiente; implementando controles como registros completos, instrucciones escritas, asignación de equipos, inventarios periódicos, mantenimientos oportunos, entre otros; cumpliendo con las disposiciones técnico-legales que correspondan. 11 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 4. AI-750-2005 RECOMENDACIONES. A la Directora Nacional 4.1 En un plazo que no exceda los 10 días hábiles, girar las instrucciones para que se apliquen las recomendaciones introducidas en este informe o las soluciones alternas que eventualmente propongan, en caso de que se discrepara de las emitidas por esta Auditoría; conforme lo define el artículo 36 de la Ley General de Control Interno. 4.2 Preparar y remitir a esta Auditoría, en un plazo no mayor a 10 días hábiles, un cronograma que incorpore las actividades, responsables y fechas en las que se espera cumplir las recomendaciones giradas o propuestas, de manera que se programe el proceso de seguimiento institucional. 4.3 Continuar ante MIDEPLAN con el trámite de aprobación, de la estructura organizativa de la institución, a la Unidad Informática, como una unidad orgánica y funcional existente y en ejercicio; con funciones claramente definidas en los documentos institucionales respectivos y oficialmente comunicadas y respaldadas, por esa Dirección General. (Resultado 2.1). 4.4 Definir y oficializar las funciones que le corresponden a la Unidad de informática en general y a cada uno de sus integrantes, lo que se debe hacer con base en un plan de trabajo a corto, mediano y largo plazo, adaptado a los requerimientos y recursos de la institución; con la que se asegure llegar a cubrir las necesidades básicas en las áreas de tecnologías de información, considerando: a) Ubicación de la función de TI, en niveles de autoridad e independencia diferentes a las demás unidades de la organización. b) Segregar funciones y responsabilidades, de manera que evite que un sólo funcionario resuelva un proceso de forma completa. d) Evaluar y gestionar si corresponde, lo idóneo y la suficiencia del Recurso Humano disponible y del requerido. (Resultado 2.2) 4.5 Establecer, promulgar y mantener actualizadas políticas internas sobre tecnologías de información, relacionadas con control interno, minimización de riesgos, derechos de propiedad intelectual en el desarrollo de software, directrices tecnológicas en general y para el desarrollo de programas, mantenimientos propios de la Institución, entre otros. (Resultado 2.3) 4.6 Constituir y garantizar la operación del Comité Gerencial de Informática de DINADECO, apoyándolo con los recursos humanos, materiales y financieros necesarios para su organización y el cumplimiento de las funciones establecidas en el Manual sobre normas de los SIC, siendo recomendable que esté integrado por un representante tanto del máximo jerarca, Planificación Institucional, Unidad Financiera y Unidad Informática, este último como secretaría técnica. (Resultado 2.4) 4.7 Solicitar al Comité de Informática de DINADECO, que defina las políticas que correspondan 12 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 para que la Unidad Informática prepare, presente a su aprobación y mantenga actualizado, el Plan estratégico institucional del área de Tecnología de Información, que sirva de eje para el desarrollo tecnológico de DINADECO, durante los siguientes 5 años.( Resultado 2.4) 4.8 Definir y mantener actualizada por parte del Comité de Informática, una metodología para el desarrollo de sistemas de información de la institución, oficializada por esa dirección y que incluya la normativa interna que se requiera en concordancia con el Manual sobre Normas del SIC y el Manual de CI, para que se puedan cumplir las funciones técnicas propias de dicha unidad y las de asesoría en materia informática cuando se requiera. (Resultado 2.5 ) 4.9 Definir un cronograma de trabajo para el plan de desarrollo tecnológico de TI, que señalen las personas y/o dependencias responsables, así como los tiempos estimados, de acuerdo con las capacidades institucionales de la administración; para la generación, aprobación, divulgación e implementación de los siguientes componentes: Plan estratégico de TI, Modelo de la Arquitectura de los SIC, Sistemas de Información Gerencial, Planes de adquisición de infraestructura tecnológica, Políticas de tecnología de información, Marco de referencia de administración de proyectos, Plan gerencial de calidad, Plan de aseguramiento de la continuidad del servicio, Plan de capacitación del personal de TI y Marco de referencia de evaluación de sistemas en riesgo. (Resultado 2.6) 4.10 Solicitar al Comité de informática conformar un manual de seguridad para el acceso físico y lógico de los equipos informáticos basados en estándares internacionales de seguridad como son Cobit, BS-7799; ISO 14001 entre otros; en el cual se indiquen las condiciones mínimas para uso de los equipos y software, con el fin de controlar y normar la seguridad informática (Resultado 2.6). 4.11 Buscar soluciones alternas como software gratuito, desinstalación de programas no imprescindibles y/o planificar y presupuestar a corto, mediano y largo plazo, los recursos para adquirir las licencias de los programas, que de acuerdo con un estudio realizado por el Departamento Informático, sean los efectivamente requeridos por DINADECO para el cumplimiento de sus objetivos, la protección de su información y el cumplimiento de las leyes que tutelan los derechos de propiedad intelectual, derechos de autor y conexos y el Decreto 30151-J del 21-02-2002 (Resultado 2.7). 4.12 Requerir que en toda solicitud de adquisición de equipo o software, que se le presente para autorización, contenga el estudio de factibilidad tecnológica y económica, que debe estar fundamentado y referenciado en el Plan de infraestructura tecnológica que debe elaborar y fundamentar la Unidad Informática, de acuerdo con los lineamientos técnicos del Manual de normas del SIC y los dictados al respecto, por la Contraloría General de la República. (Resultado 2.8). Al Director Administrativo 4.13 Coordinar con las unidades solicitantes y las del Ministerio de Gobernación encargadas de las compras de DINADECO, para que verifiquen y evalúen los estudios de factibilidad que se les presenten para los trámites de compras de Software y Hardware y que los carteles de 13 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 contratación que se generen al respecto; se analicen por un experto en la materia, sea el equipo de la unidad especializada o el Comité Informático de DINADECO o sus homólogos en el Ministerio de Seguridad Pública; instancia que entre otros aspectos revise que lo que se desea adquirir corresponde a la plataforma informática definida, las necesidades institucionales, la factibilidad y oportunidad del proyecto, que se haya efectuado la debida planificación, que lo requerido sea compatible con las características de las aplicaciones y/o equipos existentes, etc.; con lo que se asegure que se aprovechen eficientemente los recursos invertidos, el cumplimiento de la normativa que rige la materia y sobre todo el adecuado cumplimiento de los objetivos de DINADECO.(Resultado 2.8) 4.14 Girar las instrucciones pertinentes para que el Departamento de Bienes y Suministros, complete y mantenga actualizado el inventario institucional, para que ejecute un control efectivo sobre los mismos; con ello logren la asignación y ubicación de los bienes de manera efectiva. (Resultado 2.9) 4.15 Girar las instrucciones al Departamento de Bienes y Suministros, para que documenten todos los movimientos de equipo de cómputo que se den en la Institución, tanto de oficinas Centrales como Regionales, usando formularios preestablecidos y numerados, en los que se describan las características del activo, el movimiento ocurrido y consten las firmas, y nombres de los funcionarios que reciben o entregan. (Resultado 2.9). 14 MINISTERIO DE GOBERNACIÓN Y POLICIA AUDITORIA INTERNA [email protected] - Telefax 222-35-97 AI-750-2005 ANEXO NO.1 DIRECCIÓN NACIONAL DE DESARROLLO DE LA COMUNIDAD DETALLE DE LA CANTIDAD DE PROGRAMAS EN USO Y LA EXISTENCIA DE LAS RESPECTIVAS LICENCIAS AL 30 DE MARZO DEL 2005 Programa Licencias Sin licencia WINDOWS 95 WINDOWS 98 WINDOWS ME WINDOWS XP Windows 2000 Total Instalado en Número de computadoras 5 8 7 31 5 56 0 2 2 22 0 26 5 6 5 9 5 30 OFFICE 2000 OFFICE XP Office 97 Total Norton 2000 Norton 2001 Norton 2003 Total 10 34 12 56 4 1 4 9 5 19 1 25 4 1 4 9 5 15 11 31 0 0 0 47 Licencias de Windows para redes Windows NT 4.0 Windows NT Server Total 1 1 2 1 1 2 0 0 0 Otros software encontrados Photoshop Ilustrador Print Artist 4.5 Core Draw 8 Total 1 1 1 1 4 0 0 0 0 0 1 1 1 1 4 Software administrador de base de datos Oracle Total 1 1 0 0 1 1 Fuente: Control de Licencias Oficinas Centrales de DINADECO y cédula de verificación efectuada por la Auditoria interna. 15