Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Resguardo de los Respaldos Electrónicos

Anuncio 
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
RESGUARDO DE LOS RESPALDOS ELECTRÓNICOS DE LA
BASE DE DATOS DEL CONSEJO DE SEGURIDAD VIAL
1. INTRODUCCIÓN
1.1.Origen
El presente estudio se originó en atención al oficio DE-2014-1027(2) con el fin de
dar curso a la solicitud de la Junta Directiva según acuerdo de la sesión ordinaria
2762-2014, artículo V; relacionado con los respaldos que realizan en el Área de
Servidores y Base de Datos del Consejo de Seguridad Vial.
1.2.Objetivo
Evaluar la efectividad de los procedimientos que se ejecutan para el resguardo de
los respaldos que se realizan en el Área de Servidores y Base de Datos del
Consejo de Seguridad Vial.
1.3.Alcance del estudio
Procedimientos que se realizan en el Área de Servidores y Base de Datos de la
Asesoría en Tecnologías de Información para el resguardo de los respaldos de la
información. También se incluyeron los Departamentos de Tesorería y el de
Gestión y Desarrollo Humano (proceso de planilla y de las acciones de personal).
1
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
1.4. Disposiciones de la Ley General de Control Interno
Sobre la implantación de recomendaciones
“Artículo 36. —Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan
recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera:
a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de
recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de
dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las
razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los
hallazgos detectados.
b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la
fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la
implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular
subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de
ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las
objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean
distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los
artículos siguientes.
c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el
trámite que proceda.
Artículo 37. —Informes dirigidos al jerarca.
Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que
corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el
informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo
indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que
comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente.
Artículo 38. —Planteamiento de conflictos ante la Contraloría General de la República.
Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoría interna,
esta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito
los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a la
Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane
a las razones de inconformidad indicadas.
2
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
La Contraloría General de la República dirimirá el conflicto en última instancia, a solicitud del jerarca, de la
auditoría interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se
formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor, dará
lugar a la aplicación de las sanciones previstas en el capítulo V de la Ley Orgánica de la Contraloría
General de la República, N° 7428, de 7 de setiembre de 1994.”
Sobre responsabilidad
“Artículo 39. —Causales de responsabilidad administrativa.
El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda,
si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas
en el régimen aplicable a la respectiva relación de servicios.
El jerarca, los titulares subordinados y los demás funcionarios públicos incurrirán en responsabilidad
administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones
necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable.
Asimismo, cabrá responsabilidad administrativa contra el jerarca que injustificadamente no asigne los recursos
a la auditoría interna en los términos del artículo 27 de esta Ley.
Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente
incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular
subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin
perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente.
El jerarca, los titulares subordinados y los demás funcionarios públicos también incurrirán en responsabilidad
administrativa y civil, cuando corresponda, por obstaculizar o retrasar el cumplimiento de las potestades del
auditor, el subauditor y los demás funcionarios de la auditoría interna, establecidas en esta Ley.
Cuando se trate de actos u omisiones de órganos colegiados, la responsabilidad será atribuida a todos sus
integrantes, salvo que conste, de manera expresa, el voto negativo.”
3
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
2. RESULTADOS
2.1 Verificación de los medios utilizados por el Área de Servidores y Base de
Datos de la Asesoría en Tecnologías de Información para el resguardo
de los respaldos de la información.
Como parte de la información aportada en la solicitud para el desarrollo del
presente estudio, la Asesoría en Tecnologías de Información (en adelante ATI)
mediante el oficio ATI-2014-0603 del 4 de marzo 2014, remite a la Dirección
Ejecutiva un informe sobre los respaldos que realiza el Área de Servidores y Base
de Datos en cual se señala que actualmente se cuenta para el resguardo de los
respaldos de la información con dos servidores de respaldo (ubicados en el
edificio de la ATI), un servidor adicional (ubicado en el 3er piso del edificio central
del Cosevi), dos discos duros externos y el servicio de resguardo de medios
magnéticos en el Banco Nacional (oficinas centrales San José).
Se constató que efectivamente se cuenta con dos servidores de respaldo
conformado por dos nodos ubicados en el edificio principal de la ATI.
Imagen n° 1
NODO 2
NODO 1
4
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
Así mismo se verificó que se cuenta con un servidor con función de réplica de los
respaldos, esta computadora se encuentra en el 3er piso, y también existe allí un
dispositivo para el almacenamiento de información en cintas (imágenes 2 y 3
respectivamente).
Imagen n° 2
Imagen n°3
Tal y como lo señaló el informe de la ATI enviado a la Dirección Ejecutiva
mediante el oficio ATI-2014-0603, adicionalmente se cuentan con dos unidades o
discos duros externos y que son utilizados también para el almacenamiento y
traslado de información al Banco Nacional para su resguardo debido, esto como
parte del servicio que presta esa institución al Cosevi según el “Contrato de
Resguardo de Medios Magnéticos” suscrito desde marzo del 2010 y según la
cuarta clausula su vigencia es por un año, prorrogable por plazos iguales de
manera automática si ninguna de las pastes manifiesta lo contrario.
Imagen n° 4
Imagen n°5
5
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
2.2 Verificación de los procedimientos utilizados por el Área de Servidores y
Base de Datos de la Asesoría en Tecnologías de Información para el
resguardo de los respaldos de la información.
En este momento el Área de Servidores y Base de Datos realizan los respaldos de
la información con una solución informática llamada “AVAMAR”. Esta solución
permite hacer respaldos de todos los servidores ubicados en dicha área y consiste
en un respaldo full de las bases de datos o instancias del Cosevi, y que se
denominan: CSV PRODUCCION y CSV INTEGRA. Estos respaldos se realizan todos
los días a partir de la media noche.
Adicionalmente existen otras rutinas diarias que se realizan para el respaldo de la
información, a saber:
a. Respaldos Día CSVINTEGRA:
Tarea de respaldos de las bases de datos que están en la instancia
CSVINTEGRA, se realizan a las 10 a.m.
b. Respaldos Día CSVPRODUCCION:
Tarea de respaldos de las bases de datos que están en la instancia
CSVPRODUCCION, se realizan a las 11 a.m.
c. Respaldos Tarde CSVINTEGRA:
Tarea de respaldos de las bases de datos que están en la instancia
CSVINTEGRA, los respaldos se realizan a las 2:30 a.m. y 2:30 p.m.
d. Respaldos Tarde CSVPRODUCCION:
Tarea de respaldos de las bases de datos que están en la instancia
CSVPRODUCCION, los respaldos se realizan a las 2:00 a.m. y 2:00 p.m.
e. Respaldos SQL 0587-011463
Respaldos de las bases de datos que están en la instancia CSVPRODUCCION
y CSVINTEGRA, en este disco duro se almacenan los últimos 5 respaldos.
f. Respaldos Oracle 0587-011463
Respaldos de las bases de datos de Oracle, en este disco duro se
almacenan los últimos 3 respaldos y los mismos se realizan los lunes.
6
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
g. Resguardo de medios magnéticos en el Banco Nacional
Semanalmente se hace un respaldo full de toda la información de las bases
de datos institucional y se graba en un disco duro externo en forma
encriptada, el cual es depositado para su custodia en una bóveda en
oficinas centrales del Banco Nacional. El respaldo se realiza el jueves y se
lleva a depositar al día siguiente, o sea viernes de cada semana. En la
semana siguiente se lleva otro disco duro externo con el respaldo
actualizado y se retira el que quedo la semana anterior y así sucesivamente
todos los viernes.
Pese a que se cuentan con las diferentes rutinas antes descritas no existe
actualmente un manual de procedimientos para el resguardo de los respaldos de
la información. En este sentido el Manual de Normas de Control Interno para el
Sector Público, en cuanto a la necesidad de contar con dicho instrumento, en lo
que respecta, señala:
4.4.1 Documentación y registro de la gestión institucional
“El jerarca y los titulares subordinados, según sus competencias, deben establecer
las medidas pertinentes para que los actos de la gestión institucional, sus
resultados y otros eventos relevantes, se registren y documenten en el lapso
adecuado y conveniente…” (El subrayado no es del original).
Así mismo el contar con los manuales respectivos es parte de la calidad del
desempeño en la gestión que se debe realizar, tal y como lo menciona la norma
1.2 del Manual Normas técnicas para la gestión y el control de las Tecnologías de
Información (N-2-2007-CO-DFOE):
“La organización debe generar los productos y servicios de TI de conformidad con
los requerimientos de sus usuarios con base en un enfoque de eficiencia y
mejoramiento continuo.”
7
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
2.3 Verificación de los procedimientos utilizados por otros departamentos
para el resguardo de los respaldos de la información.
Como parte de este estudio se procedió a la revisión de los procedimientos de
almacenamiento de la información de los departamentos de Tesorería y de
Gestión y Desarrollo Humano.
En el departamento de Tesorería la práctica que se sigue es el de que cada
funcionario realice respaldos de la información en un disco duro externo destinado
para ese fin. Este disco duro se encuentra custodiado por la jefe de dicho
departamento.
Imagen n°5
Según nos manifestaron los funcionarios de este departamento, anteriormente lo
que se realizaba era un respaldo directamente en un servidor ubicado en ATI,
destinado para tal efecto pero que, por problemas de espacio se viene haciendo el
respaldo de ese modo y adicionalmente también en dispositivos usb (llaves malla)
de cada uno de ellos.
En este sentido nos comentó la encargada de Tesorería que la verificación de los
respaldos (semanales) la realiza por lo general el día hábil siguiente al que fueron
realizados, pero que de dicha verificación y supervisión no se confecciona ningún
documento o registro, solamente aportó un ejemplo de correo electrónico
mediante el cual les recuerda a los funcionarios de este departamento realizar
dichos respaldos.
8
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
De igual modo el Manual de Normas de Control Interno para el Sector Público,
señala la importancia de documentar los procesos de supervisión o verificación, a
saber:
4.4.1 Documentación y registro de la gestión institucional
“El jerarca y los titulares subordinados, según sus competencias, deben establecer
las medidas pertinentes para que los actos de la gestión institucional, sus
resultados y otros eventos relevantes, se registren y documenten en el lapso
adecuado y conveniente…” (El subrayado no es del original).
No se evindenció que el departamento
de Tesorería tenga formalmente
establecidas o haya adoptado políticas específicas para la realización de estas
prácticas para los respaldos de la información, en donde se establezca
claramente, el tipo de información a resguardar, la periodicidad, los responsables,
etc; ni que cuenten con un manual de procedimientos en este sentido.
En lo que respecta al Departamento de Gestión y Desarrollo Humano, se verificó
lo correspondiente al resguardo de respaldos del proceso de planilla y de las
acciones de personal. En el caso del proceso de planillas, realizado por la Unidad
de Sostenimiento, este se realiza con una aplicación web que registra
directamente en un servidor en el Área de Servidores y Base de Datos, la
información respectiva y sus cambios, modificaciones y actualizaciones, así como
los respectivos respaldos. En lo concerniente a las acciones de personal, que se
confeccionan en la Unidad de Control de este departamento; estas se realizan con
un programa o pequeño sistema que respalda la información en la computadora
donde se encuentra, y cuyo respaldo es realizado por un funcionario de ATI, quien
graba en un CD o DVD la información, del cual él no se deja copia y únicamente
entrega a la encargada de la Unidad Control el CD o DVD grabado con la
información de respaldo para su custodia. En el momento de la verificación de
dichos respaldos la encargada se encontraba de vacaciones y no fue posible
visualizar los discos respectivos, ya que no se tenía la llave del mueble en donde
se encontraban almacenados.
9
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
Esta situación contraviene lo establecido por la norma 4.4.1 del Manual de Normas
de Control Interno para el Sector Público, en lo que respecta a la oportunidad de la
información, y que establece:
“El jerarca y los titulares subordinados, según sus competencias, deben establecer
las medidas pertinentes para que los actos de la gestión institucional, sus
resultados y otros eventos relevantes, se registren y documenten en el lapso
adecuado y conveniente, y se garanticen razonablemente la confidencialidad y
el acceso a la información…” (El subrayado no es del original).
En este caso no hubo accesibilidad de la información tanto para nosotros y para la
labor de fiscalización que nos correspondía realizar, así como para la misma
administración.
2.4 Establecimiento de un sitio alterno para el resguardo de los respaldos de
la información del Cosevi.
Actualmente, pese a la necesidad e importancia, y el haberse señalado en otras
oportunidades por esta Auditoría Interna, contar con una solución que coadyuve a
garantizar la continuidad de las operaciones en caso de una eventualidad o
desastre significativo en nuestras instalaciones; prevalece la carencia de un sitio
alterno para tal efecto.
Según señala el informe sobre los respaldos que realiza el Área de Servidores y
Base de Datos remitido a la Dirección Ejecutiva mediante el oficio ATI-2014-0603
del 4 de marzo 2014, y como consta mediante oficio DP-56-2014, con fecha
15/1/2014 del Departamento de Presupuesto; está aprobado y presupuestado un
monto de ¢50.000.000.00 para la contratación del sitio alterno respectivo.
En este sentido se le consultó al encargado del Área de Servidores y Base de
Datos, señor Johnny Wong Ma, en que condición se encuentra esta contratación,
y señaló lo siguiente:
10
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
“Actualmente se encuentra en estudio y búsqueda de información para ver cuál es
la alternativa que sea más conveniente para la institución y que sea viable
económicamente. Hasta ahora se tienen cuatro posibles alternativas de sitios
alternos. Estas son CODISA, GBM, AMERICAN DATA y el ICE, además se
visitaron otras alternativas que no consideramos convenientes porque no
satisfacen lo que se necesita para el servicio requerido.
La contratación de dicho servicio requiere de que se analicen una serie de
aspectos que son complejos porque hay que analizar por ejemplo aspectos como
la compatibilidad de equipos, licenciamientos, aplicaciones, comunicaciones,
servicios de infraestructura, de mantenimiento, entre otros.”
Es basto conocido que se deben realizar las acciones preventivas necesarias para
garantizar razonablemente de los servicios y la continuidad de las operaciones, así
como que la atención de los usuarios no se vea afectada, por lo que es necesario
que se cuente con este dispositivo (sitio alterno). A manera de recordatorio
solamente mencionamos lo que este sentido establece la norma 1.4.7 del Manual
Normas técnicas para la gestión y el control de las Tecnologías de Información (N2-2007-CO-DFOE):
“La organización debe mantener una continuidad razonable de sus procesos y su
interrupción no debe afectar significativamente a sus usuarios.”
CONCLUSIONES
3.1 De acuerdo a lo señalado en el informe sobre los respaldos que realiza el Área
de Servidores y Base de Datos remitido a la Dirección Ejecutiva mediante el
oficio ATI-2014-0603 del 4 de marzo 2014, efectivamente se cuenta con los
dispositivos allí mencionados para el resguardo de los respaldos de la
información. (Ver resultado 2.1)
3.2 El Área de Servidores y Base de Datos realiza respaldos full diarios de las
bases de datos del Cosevi mediante la solución informática “AVAMAR”.
Además se cuenta con una serie de rutinas de respaldos diarios y semanales
en diferentes horarios. (Ver resultado 2.2)
11
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
3.3 El Área de Servidores y Base de Datos actualmente no cuenta con un Manual
de Procedimientos para el resguardo de los respaldos de la información. (Ver
resultado 2.2)
3.4 El Departamento de Tesorería carece de una definición clara de políticas y
manuales de procedimientos para la realización de los respaldos de la
información, ni tampoco cuenta con documentos que registren la verificación y
supervisión de los respaldos de la información realizados por sus funcionarios.
(Ver resultado 2.3)
3.5 En la verificación efectuada a la Unidad de Control del Departamento de
Gestión en cuanto al resguardo de los respaldos de la información
correspondiente a las acciones de personal, existe falta de accesibilidad. (Ver
resultado 2.3)
3.6 Prevalece la carencia de un sitio alterno que coadyuve a garantizar la
continuidad de las operaciones en caso de una eventualidad o desastre
significativo en nuestras instalaciones. (Ver resultado 2.4)
RECOMENDACIONES
A la Asesoría en Tecnologías de Información:
4.1 Realizar un manual de procedimientos que contenga los aspectos necesarios
que deben considerar las diferentes unidades o departamentos del Cosevi
para el resguardo y el respaldo de la información.
4.2 Realizar la correspondiente divulgación de manual de procedimientos indicado
en el punto anterior, a las diferentes unidades o departamentos del Cosevi.
4.3 Agilizar las acciones correspondientes con el fin de que se implemente lo antes
posible el sitio alterno para el resguardo de los respaldos de la información del
Cosevi.
12
Teléfonos: 2522-0915 / 2522-0912 / Fax : 2522-0869
Dirección: San José - La Uruca
Contiguo al Banco Nacional de C.R.
INFORME
AI.-ATI.-14-11
Al Departamento de Tesorería.
4.4 Establecer un medio de registro de la verificación y supervisión de los
respaldos de la información realizados por sus funcionarios.
Al Departamento de Gestión y Desarrollo Humano.
4.5 Corregir la deficiencia de accesibilidad de los respaldos de la información
identificada en la Unidad de Control (proceso de acciones de personal).
13
Documentos relacionados
Normativa de Respaldos y documentación contable
Normativa de Respaldos y documentación contable
Administrador de base de datos
Administrador de base de datos
Manual de Procedimiento Administración de Datos
Manual de Procedimiento Administración de Datos
Cajitas de Seguridad - Banco de Costa Rica
Cajitas de Seguridad - Banco de Costa Rica
Seguridad en el laboratorio.pptx
Seguridad en el laboratorio.pptx
respaldo de información
respaldo de información
04-req-distancia - Asignaturas DIICC, UdeC
04-req-distancia - Asignaturas DIICC, UdeC
formulario de Gastos Efectivos - DRI – Dirección de Relaciones
formulario de Gastos Efectivos - DRI – Dirección de Relaciones
GRUPO 8 El administrador de base de datos
GRUPO 8 El administrador de base de datos
UNIVERSIDAD DOMINICANA O & M
UNIVERSIDAD DOMINICANA O & M
Descargar
Anuncio
Anuncio