MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL INFORME DE CONTROL INTERNO Nº DAG-I-007-2016 PRIMER INFORME PARCIAL: “ANÁLISIS DE LAS MEJORAS TECNOLÓGICAS IMPLEMENTADAS POR EL MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES”. MARZO, 2016 2523-2639 // 2222-0464 Fax:2222-8310 E-mail [email protected] 10176-1000 San José 1 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 CONTENIDO RESUMEN EJECUTIVO .............................................................................................. i 1. INTRODUCCIÓN ................................................................................................ 1 1.1 Origen del Estudio ............................................................................. 1 1.2 Antecedentes del Estudio ............................................................... 1 1.3 Objetivos del Estudio ........................................................................ 1 1.3.1 Objetivo General ............................................................................ 1 1.3.2 Objetivos Específicos ...................................................................... 1 1.4 Alcance .............................................................................................. 2 1.5 Declaración de Cumplimiento de Normas .................................. 2 1.6 Limitaciones del Estudio ................................................................... 2 1.7 Normativa Aplicable ........................................................................ 2 1.8 Comunicación de los Resultados ................................................... 3 1.9 Valoración Del Riesgo ...................................................................... 4 2. RESULTADOS ...................................................................................................... 5 2.1. Antecedentes del Sitio Web del Ministerio ....................................... 5 2.2. Funcionalidad del Sitio Web ............................................................... 7 2.3. Atención de la Mesa de Servicios ..................................................... 9 2.4. Controles de Seguridad de la Información ................................... 10 3. CONCLUSIONES.............................................................................................. 13 4. RECOMENDACIONES ..................................................................................... 15 ANEXOS ................................................................................................................ 16 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 RESUMEN EJECUTIVO Los continuos avances tecnológicos, producto del uso del internet han llevado a las organizaciones a responder de forma creativa a las nuevas necesidades del mercado y de una sociedad cada vez más digitalizada. Es aquí donde la Informática1, toma un papel cada vez más relevante, al suministrar herramientas colaborativas, que apoyan la toma de decisiones de la gestión, generando en el proceso una dependencia del avance computacional, que demanda en consecuencia una considerable inversión en su mantenimiento, soporte y mejora continua. Es en este contexto del costo que representa para la Institución el mantenimiento de estos adelantos, así como la dependencia que producen, que se enmarca la importancia de conocer y analizar las mejoras tecnológicas adoptadas por el Ministerio en pro de los servicios que presta. El periodo va del 01 de enero de 2014, al 03 de febrero de 2016, pero podrá ampliarse si durante el desarrollo de la auditoría, surgieran aspectos relevantes que ameriten su extensión, con el propósito de evaluar y proponer oportunidades de mejora que la Administración pueda incorporar. Cabe mencionar que al igual que cualquier área de la organización, los Sistemas de TI deben estar sometidos a controles que permitan establecer la suficiencia en el servicio que prestan, para lograr un mejor entendimiento de los avances tecnológicos adoptadas por el Ministerio, se establecieron los siguientes objetivos específicos: 1.- Determinar la funcionalidad que brindan los servicios proporcionados por la Página Web del MOPT. 2.- Identificar la automatización y atención relacionada con la Mesa de Servicio de Soporte Técnico. 3.- Examinar los controles que han sido implementados para garantizar la eficiencia, eficacia, confiabilidad y oportunidad de la información. Entre los hallazgos realizados en el desarrollo de los objetivos de cita tenemos: 1La Real Academia Española define como Informática al conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automatizado de la información por medio de computadoras. (http://www.rae.es/). i MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 a) Inexistencia del Departamento Web y Gobierno Digital. No ha sido formalizado. b) Los procedimientos analizados encuentran desactualizados. de Informática, se c) Dependencia operativa de áreas usuarias, para subir información en la Web. d) Información del Sitio Web se encuentra pendiente de actualización. e) No fue posible validar el uso, funcionamiento, controles e indicadores utilizados en la Mesa de Servicios. f) No se tienen incorporada la Imagen Visual Institucional en el Portal Externo. g) Falta de implementación de mejores controles en el Portal Externo. En virtud de los hallazgos determinados como parte del informe, se emiten recomendaciones, encaminadas a subsanar las situaciones encontradas y fortalecer o implementar controles adecuados para garantizar el uso eficiente de las herramientas informáticas, así como de la salvaguarda y difusión de la información institucional, como parte de la prestación de servicios de calidad. MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL INFORME DE CONTROL INTERNO Nº DAG-I-007-2016 INFORME PARCIAL: “ANÁLISIS DE LAS MEJORAS TECNOLÓGICAS IMPLEMENTADAS POR EL MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES” 1. INTRODUCCIÓN 1.1 ORIGEN DEL ESTUDIO El estudio se efectuó con fundamento en los puntos No. 16 y 26 del Plan Anual de Labores 2016, y con base en el Artículo 22, inciso b), denominado Competencias, de la Ley General de Control Interno. 1.2 ANTECEDENTES DEL ESTUDIO El estudio no cuenta con antecedentes realizados para la evaluación de mejoras tecnológicas implementadas por el Ministerio, con base en la gestión de la calidad de los servicios brindados por Informática. 1.3 OBJETIVOS DEL ESTUDIO 1.3.1 OBJETIVO GENERAL Analizar las mejoras tecnológicas implementadas por el Ministerio de Obras Públicas y Transportes, con base en la gestión de la calidad de los servicios brindados por Informática. 1.3.2 OBJETIVOS ESPECÍFICOS 1.3.2.1. Determinar la funcionalidad que brindan proporcionados por la Página Web del MOPT. los servicios 1.3.2.2. Identificar la automatización y atención relacionada con la Mesa de Servicio de Soporte Técnico. 1.3.2.3. Examinar los controles que han sido implementados para garantizar la eficiencia, eficacia, confiabilidad y oportunidad de la información. P á g i n a 1 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL 1.4 Informe de Control Interno N° DAG-I-007-2016 ALCANCE El estudio comprende el periodo que va del 01 de enero de 2014, al 03 de febrero de 2016, pero podrá ampliarse si durante el desarrollo de la auditoría, surgieran aspectos relevantes que ameriten su extensión. 1.5 DECLARACIÓN DE CUMPLIMIENTO DE NORMAS De conformidad con lo establecido en la Norma 1.3.3 de las Normas para el Ejercicio de la Auditoría Interna en el Sector Público, se declara que las actividades del presente estudio fueron realizadas de acuerdo con la normativa aplicable al ejercicio de la auditoría interna, entre otra normativa legal y técnica atinente a la materia. 1.6 LIMITACIONES DEL ESTUDIO Durante el desarrollo del estudio se encontró como limitación, que el encargado del Soporte de la Mesa de Servicios, se encontraba en una capacitación que duraba hasta el 14 de marzo, razón por la cual se tuvo que recurrir a una fuente secundaria para suministrar información sobre la forma en que se realizan las funciones operativas de la herramienta. 1.7 NORMATIVA APLICABLE Normas técnicas para la gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE), del 31 de julio de 2007. Artículo Aplicación 1.2 Gestión de “…generar productos y servicios de TI… enfoque de eficiencia y mejoramiento calidad continuo.” 1.4 Gestión de “…garantizar… la confidencialidad, integridad y disponibilidad de la información… seguridad de la documentar… los procedimientos correspondientes…” información 1.4.4 Seguridad en “…implementar… medidas de seguridad relacionadas con la operación de los las operaciones y recursos de TI y las comunicaciones, minimizar su riesgo… y proteger la integridad de la comunicaciones información” 1.4.5 Control de “…proteger la información de accesos no autorizados… j. Establecer los acceso mecanismos… que permitan un adecuado y periódico seguimiento al acceso a las TI.” 1.4.7 Continuidad “…mantener una continuidad razonable de sus procesos y su interrupción no debe de servicios de TI afectar significativamente a sus usuarios… documentar y poner en práctica, en forma efectiva y oportuna… acciones preventivas y correctivas necesarias…” 4.5 Manejo de “…identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes incidentes significativos que se susciten con las TI.” Objetivos de Control para Información y Tecnologías Relacionadas (COBIT 4.1), disponible desde mayo de 2007. Artículo Aplicación PO8. Administrar la “la mejora continua se logra por el constante monitoreo…es esencial para garantizar Calidad que TI está dando valor al negocio...” AI4. Facilitar la “…este proceso requiere la generación de documentación y manuales para usuarios operación y el uso y para TI… proporciona entrenamiento para garantizar el uso y la operación correctos de aplicaciones… infraestructura.” AI6. Administrar “…los cambios se deben registrar, evaluar y autorizar previo a la implantación,…y cambios revisar después de la implantación.” Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), publicada en La Gaceta N°26 del 6 de febrero del 2009. P á g i n a 2 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Artículo 5.1 Flexibilidad de sistemas de información 5.4 Gestión documental Informe de Control Interno N° DAG-I-007-2016 Aplicación “…de modo que sean susceptibles de modificaciones que permitan dar respuesta oportuna a necesidades cambiantes de la institución” “…que los sistemas de información propicien una debida gestión documental institucional… que se ejerza control, se almacene y se recupere la información en la organización, de manera oportuna y eficiente…” 5.6 Calidad de la “…que los sistemas de información contemplen los procesos requeridos para recopilar, información procesar y generar información que corresponda a las necesidades de los distintos usuarios… procesos… basados en un enfoque de efectividad y de mejoramiento continuo…” 5.7 Calidad de la “…establecer los procesos necesarios para asegurar razonablemente que la comunicación comunicación de la información se da a las instancias pertinentes y en el tiempo propicio, de acuerdo con las necesidades de los usuarios… basados en un enfoque de efectividad y mejoramiento continuo” 5.7.1 Canales y “Deben establecerse y funcionar adecuados canales y medios de comunicación, que medios de permitan trasladar la información de manera transparente, ágil, segura, correcta y comunicación oportuna, a los destinatarios idóneos dentro y fuera de la institución” 5.9 Tecnologías de “…propiciar el aprovechamiento de tecnologías de información que apoyen la información gestión institucional mediante el manejo apropiado de la información y la implementación de soluciones ágiles y de amplio alcance…” Fuente: De elaboración propia con base en la valoración de la normativa. Como parte del análisis de la normativa aplicable, se procedieron a identificar las funciones de la Dirección de Informática relacionadas con el mejoramiento tecnológico, que servirán de insumo para el desarrollo del estudio, y se citan a continuación: N° 5 Función Desarrollar y actualizar servicios y medios de comunicación electrónicos para apoyar la gestión de las dependencias del MOPT; así como desarrollar y mantener una Intranet/Extranet para uso interno y externo de la Institución. 6 Desarrollar y actualizar la página Web del Ministerio de Obras Públicas y Transportes. 15 Diseñar controles para mantener actualizada la información de los servicios informáticos, utilización racional de equipos y reglas básicas de seguridad. 21 Brindar asesoría técnica, en materia de su competencia, a todas las dependencias del MOPT, al Sector Infraestructura y Transporte, así como a otras instituciones, cuando así lo soliciten. Fuente: De elaboración propia con base en la información de funciones del SIOR. Complementariamente se examinaron los Procedimientos de la Dirección de Informática afines al tema de estudio, para conocer su vigencia: Procedimiento De Asesoría Situación encontrada El procedimiento hace referencia a la figura Informática, situación que no corresponde actual de la Dirección. De Proyección 08/08/2005 El procedimiento hace referencia a la figura Informática 11:13:33 a.m. Informática, situación que no corresponde actual de la Dirección Fuente: De elaboración propia con base en datos extraídos del SIOR el 12/02/2015. 1.8 Fecha de Posteo 08/08/2005 11:12:49 a.m. de la Directora de con la estructura de la Directora de con la estructura COMUNICACIÓN DE LOS RESULTADOS En atención a lo señalado en el apartado 205. Comunicación de Resultados, del manual de Normas Generales de Auditoría para el Sector Público, el 04 de marzo del año en curso, se remitió borrador del informe en formato digital, a la Dirección de Informática, con el propósito de su P á g i n a 3 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 lectura previa a la conferencia final que se realizó el día 10 de marzo de 2016 a las once horas en esta Oficina, cuyas observaciones fueron valoradas e incluidas en este Informe. 1.9 VALORACIÓN DEL RIESGO De acuerdo con lo establecido en las Normas Generales de Auditoría para el Sector Público, en el apartado 305 Evaluación del riesgo de auditoría, para efectos del estudio, “el auditor debe determinar el riesgo…”. Para lo cual se utiliza la Matriz de Valoración del Riesgo 2016, relacionada con los procedimientos que forman parte del tema de estudio. Debido a la evaluación del procedimiento, utilizando la metodología y matriz de riesgos establecida por la Auditoría, donde se indican los factores de riesgo considerados hacen que el riesgo se determine como Alto, por cuanto: el recurso económico destinado para la Dirección de Informática es considerable, no se ha realizado una evaluación previa a este procedimiento por parte de esta Auditoría, en el SEVRI y ASCII no se valora este procedimiento, por lo que el porcentaje de significancia arrojado es de 12, que conforme los rangos establecidos indican que el riesgo es Alto. Significancia del Riesgo del Procedimiento PONDERACIÓN ALTO MEDIO BAJO RANGO INFERIOR 12 8 6 RANGO SUPERIOR 15 11 7 P á g i n a 4 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 2. RESULTADOS Como apoyo a la gestión del mismo Ministerio, las tecnologías de información, suministran un instrumento valioso para la toma de decisiones, mediante respuestas novedosas e innovadoras a las necesidades cambiantes, en la generación de productos y servicios enfocados en la eficiencia y mejoramiento continuo. En este primer informe parcial se analizarán el Sitio Web y la Mesa del Servicios Institucionales. 2.1. Antecedentes del Sitio Web del Ministerio El Ministerio de Obras Públicas y Transportes ha tenido presencia en la Web desde 1997. Durante este tiempo ha contado con cinco distintos Sitios Web, que han cambiado debido a mejoras tecnológicas. El Sitio está compuesto por dos Portales Web (Interno y Externo), desarrollados por la empresa Swatt Consulting Services Latin América S.A., mediante la herramienta WebSphere Portal2, con un motor de base de datos DB23, que es comercializado en el mercado como un Sistema de Gestión de Base de Datos4, que permite un almacenamiento de datos ligero. Los Portales Web que conforman la Página son: Un Portal Externo, es el sitio donde el ciudadano puede acceder información de interés, referente a la Institución, y servicios. Estos se pueden clasificar como: Imagen N°1. Portal Web Externo . Servicios En línea: son los que se tramitan directamente en el Portal. Servicios Semi en línea: son los que una parte se tramita en línea, pero deben ser retirados físicamente, por ejemplo una certificación. Servicios Presenciales: son los que se le indica al usuario la información que debe presentar, para realizar el trámite que requiere de su presencia para el trámite. Fuente: Tomado Sitio Web del MOPT. Su diseñador es IBM, y es un conjunto de herramientas de software, que permiten la construcción y gestión de Portales Web. 3 Su diseñador es IBM. 4Es un conjunto de programas que permite el almacenamiento, modificación y extracción de la información en una base de datos. Estos Sistemas cuentan con métodos para resguardar la integridad de los datos (acceso y recuperación de información, si base de datos se corrompe). 2 P á g i n a 5 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Imagen N°2. Portal Web Interno Informe de Control Interno N° DAG-I-007-2016 Un Portal Interno, es el sitio donde se brindan diferentes servicios a los funcionarios, como el acceso al Sistema de Vacaciones, Consulta del Correo Oficial, Consulta al Sistema de Recursos Humanos, expedientes, SIOR, etc. Fuente: Tomado Sitio Web del MOPT. En la actualidad la Dirección de Informática no tiene considerado en su estructura organizativa un Departamento o Unidad, encargado de realizar desarrollos y/o mantenimientos al Sitio Web del Ministerio, tal como se muestra en el organigrama actualizado (Imagen N°3). Sin embargo en la práctica, se cuenta con un grupo compuesto por 4 funcionarios, responsables de brindar soporte técnico al Portal Institucional. Además se hace referencia en varios documentos a una instancia denominada “Departamento Web y Gobierno Digital”, pero no se encuentran procedimientos, ni metodologías, para la atención de incidentes o desarrollos informáticos. Imagen N°3. Organigrama de la Dirección de Informática Fuente: Información tomada del Sitio Web del MOPT. Como parte de los deberes y responsabilidades de la Dirección de Informática, la función número 6 señala que debe, desarrollar y actualizar la página Web del Ministerio de Obras Públicas y Transportes, por lo que se consulta a los responsables sobre la forma en que las Dependencias actualizan la información del Sitio Web, a lo que indican que los usuarios envían una solicitud por medio del correo electrónico, donde adjuntan la información que desean publicar, ya que de momento únicamente un usuario de Prensa puede dar mantenimiento a algunas noticias. Esto representa una limitación de conformidad con un enfoque de eficiencia y mejoramiento continuo, en los productos y servicios de TI, como parte de la gestión de la calidad de las Normas de TI de la P á g i n a 6 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 Contraloría General. Las buenas prácticas del COBIT, señalan que la calidad y la mejora continua se consiguen mediante el monitoreo constante. La razón aludida para dar acceso a otros usuarios, para la gestión de su información es que la herramienta presenta limitaciones, que no posibilitaban que los dueños de la información dieran un soporte personalizado a sus datos. 2.2. Funcionalidad del Sitio Web Como parte de la revisión al Sitio Web, se analizaron aleatoriamente algunos apartados para valorar su funcionamiento y disponibilidad de la información que se puede consultar el usuario externo. Estos fueron los resultados: - La opción del Menú Superior denominada Acerca del Ministerio, de la estructura organizacional compuesta de 158 Dependencias, únicamente una Dirección tienen la información completa. Cuadro N°1. Actualización de la información de la Estructura Organizacional Cantidad de dependencias 158 Información ingresada 100% 75% 50% 1 7 4 Fuente: Elaboración propia de acuerdo con información tomada del Sitio Web del MOPT. - El Sitio Web hace referencia a departamentos que ya no se encuentran en funcionamiento, tal como se muestra en la Imagen N°3, donde el organigrama actualizado de la derecha no hace referencia al Departamento de Informática en la División de Obras Públicas, mientras que la estructura organizacional de la izquierda, lo considera. Imagen N°4. Departamento de Informática de la División de Obras Públicas Estructura Organizacional >MOPT>>División de Obras Públicas >>Dirección de Planeamiento y Programación>>Departamento de Informática Área: Departamento de Informática Responsable: Yorlenny Mora Carrillo Teléfonos: ----Fax: ----- Fuente: Información tomada del Sitio Web del MOPT. P á g i n a 7 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 - Se encuentra información consignada con faltas o errores ortográficos, que el usuario externo puede consultar. Imagen N°5. Información consignada con errores ortográficos Fuente: Información tomada del Sitio Web del MOPT. - Existen enlaces o links que no se encuentran bien direccionados, por esta razón no funcionan correctamente. Imagen N°6. Vínculos del Sitio Web que no funcionan Servicios En Línea - Puertos - http://www.japdeva.go.cr/adm_portuaria/Tarifas.html Fuente: Información tomada del Sitio Web del MOPT, menú de Servicios En Línea. Esto representa una deficiencia de conformidad con la gestión de la seguridad de la información de las Normas de TI de la Contraloría General, que procura garantizar… la confidencialidad, integridad y disponibilidad de la información. Las situaciones expuestas son producto de una falta de monitoreo de la información que se publica, que permitiera detectar y corregir oportunamente deficiencias relacionadas con la validación y vigencia de la información del Sitio Web. P á g i n a 8 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 2.3. Atención de la Mesa de Servicios El Servicio de asistencia basado en el explorador (NetSupport ServiceDesk). Es una herramienta que ayuda a supervisar, organizar, gestionar y responder, las solicitudes de Soporte Técnico del usuario. Integra los procesos fundamentales de ITIL (gestión de incidentes, problemas, cambios y nivel de servicio); lo que permite garantizar una gestionar eficaz de las expectativas de sus clientes, minimizando el tiempo de inactividad del Sistema. Imagen N°7. Mesa de Servicios Fuente: Información tomada del Portal Interno del MOPT. Esta facilidad tecnológica se constituye en un Sistema Centralizado, que recibe solicitudes de servicio, y permite la asignación de recursos (personal), para su atención. Entre las ventajas que brinda la Mesa de Servicios, para el establecimiento de Controles encontramos: - La formulación de estadísticas de incidentes reportados. Imagen N°8. Incidentes reportados Fuente: Información proporcionada por Informática. - Aplicación de filtros. Imagen N°9. Incidentes reportados Fuente: Información proporcionada por Informática. Como parte de la limitación mencionada de previo (apartado de 1.6), en la realización del estudio, el encargado de llevar la Mesa de Servicios, se encontraba fuera de la Institución y regresaba hasta el 14 de marzo. Las Normas de Tecnologías de Información, en relación con el manejo de incidentes, refieren la necesidad de identificar, analizar y resolver de manera oportuna problemas, errores e incidentes significativos que se susciten con las TI. No fue posible verificar ni validar con el responsable el uso y funcionamiento de la herramienta, para determinar la eficiencia y eficacia de los controles que tiene implementados. P á g i n a 9 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 2.4. Controles de Seguridad de la Información La Seguridad que tiene implementada el Sitio Web del Ministerio, cuenta con las siguientes medidas: Autenticación, el Portal Interno del Sitio Web, permite el acceso a usuarios que tienen cuenta de correo electrónico institucional, donde ingresan utilizando el usuario asignado, seguido de la respectiva contraseña. Imagen N°10. Control de acceso Fuente: Imagen de ingreso al Portal Interno. Imagen N°11. Antivirus institutional Kaspersky, el Ministerio cuenta con Fuente: Imagen con fines ilustrativos. software antivirus utilizado para el control de amenazas informáticas o programas maliciosos como spywares, adwares, entre otros. Imagen N°12. Web Sense Web Sense, para prevenir y proteger algunos tipos de comunicaciones prohibidas o peligrosas para la red a lo interno. Fuente: Imagen con fines ilustrativos. Imagen N°13. Firewall – Cisco Asa 5520 Fuente: Imagen con fines ilustrativos. Firewall – Cisco Asa 5520, para prevenir y proteger algunos tipos de comunicaciones prohibidas o peligrosas para la red a lo externo. conjunto de Imagen N°14. WebSphere Portal herramientas de software que permite a las empresas diseñar y administrar portales web. Algunas de sus características son: WebSphere o o o o o o o o Portal, Presentación de las páginas. Contenido del portal. Gestión de porlets. Administración de búsquedas. Acceso al sitio. Análisis del portal. Gestión de valores. Portales virtuales. Fuente: Imagen con fines ilustrativos. P á g i n a 10 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 Como parte de la información remitida a la Auditoría sobre el Sitio Web, la Dirección de Informática indica en el Oficio DI-0152-2016 del 22 de febrero de 2016, que en conjunto con la Comisión de Imagen Visual Institucional, se están llevando a cabo mejoras en la imagen gráfica y la organización de la información publicada en el Portal Externo. Lo que forman parte del mantenimiento que brinda Informática al Portal Web, y no como parte de ninguna Contratación. Cuando entró en funcionamiento el Sitio Web, el Director de Relaciones Públicas – Prensa externó su insatisfacción debido a que el cambio había generado vacíos importantes en la información que estaba publicada, lo que confundió al usuario acostumbrado a un formato muy diferente al que se le estaba presentando. Esta situación dio origen a la Advertencia AG-Adv.-2148-2015 del 23 de junio de 2015. Donde como parte de las consultas planteadas, a varios departamentos, la entonces Dirección de Planeamiento Administrativo, señala que la Dirección de Relaciones Públicas tiene competencia técnica de indicar a la Dirección de Informática cómo establecer la posición y proporción de las imágenes en el sitio, los colores institucionales, tipo de letra, y demás criterios correspondientes a la imagen institucional. En relación con el seguimiento de la Advertencia, en el apartado del Portal Web, la Dirección de Informática en el Oficio DI-0054-2016 del 26 de enero de 2016, indica que se encuentran en la etapa final de la actualización y desarrollo de la nueva versión del Portal Web, y que se están diseñando formatos para las páginas internas de cada sitio, de conformidad con lo establecido por la Comisión. De la revisión física de la Seguridad implementada en el Sitio Web, realizada en compañía de los funcionarios responsables del día 15 de febrero del año en curso, se encontró lo siguiente: - La información que se pone a disposición del público en el Portal, no permite la generación de históricos. Según señala el encargado que se está trabajando en una nueva versión del Portal Externo, que permite establecer mejores controles. - El diseño actual del Sitio Web, trabaja integrando el WebSphere con el Lotus Notes5. Lo que provoca tiempos de espera mayores, por la utilización ambas herramientas para la visualización de información. Es un sistema software que trabaja bajo una estructura de colaboración cliente/servidor, incorporando el correo electrónico. El servidor se denomina Lotus Domino y el cliente Lotes Notes. 5 P á g i n a 11 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 La nueva versión utilizaría únicamente el WebSphere para su despliegue, lo que contribuye a la optimización en los tiempos de respuesta facilitando la visualización de la información. - La utilización de Lotus Notes junto con el WebSphere, generó que se dejara de utilizar el gestor de contenido. Situación que se corrige en el nuevo diseño del Sitio Web. Las Normas de TI de la Contraloría, sobre el control de accesos no autorizados, se refieren a la importancia de un adecuado y periódico seguimiento al acceso a las TI (mediante pistas de auditoría). El COBIT señala la importancia de registrar, evaluar y autorizar, los cambios antes de la implementación. El motivo por el cual se presentan estas situaciones (falta de generación de históricos, demora en tiempos de respuesta, utilización de un gestor de contenido), se debe al comportamiento de ambos Sistemas, y el conocimiento que se tenía para ponerlos en funcionamiento. P á g i n a 12 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 3. CONCLUSIONES 3.1.- El organigrama de la Dirección de Informática no considera la existencia del Departamento Web y Gobierno Digital, ni se cuenta con procedimientos ni una metodología específica para atender las necesidades y dar servicios de mantenimiento y soporte al Sitio Web. Los procedimientos de la Dirección de Informática se encuentran desactualizados. Lo que evidencia una situación irregular por cuanto se da por oficializado la existencia de un Departamento en la estructura organizacional de la Dirección de Informática, que a la fecha no ha sido confirmado. (ref. 2.1) 3.2.- Existe una subordinación operativa de los funcionarios de las áreas usuarias del Ministerio, en relación con los responsables del Sitio Web, para la publicación de información de interés público. Lo que genera una dependencia operativa de las Dependencias del Ministerio en relación con el personal de la Dirección que atiende el Sitio Web, para proceder a realizar cambios que debería efectuar cada área, responsabilizarse por la información que se comparte, asumiendo de esta forma un empoderamiento, para el dueño de la información de velar porque cumpla con las expectativas del usuario, y estándares que deben buscar la excelencia por la publicación de información de conocimiento público. (ref. 2.1) 3.3.- De acuerdo con la revisión realizada al Sitio Web, hay desactualización en alguna información que se encuentra publicada (información pendiente de ser ingresada, referencia a departamentos que no existen, faltas ortográficos, enlaces que no funcionan). Esta responsabilidad no sólo corresponde a la Dirección de Informática, sino que el dueño de la información debe velar porque la misma sea remitida, en las condiciones estipuladas en la Nota Técnica de la Dirección de Informática MOPT-01-11-06-001-2015. (Anexo #3). Esto genera de parte del usuario en general, la reducción en la credibilidad de la información que contiene la herramienta, ya que como se evidenció en algunos de sus apartados seleccionados aleatoriamente, la información no es congruente con la realidad, y perjudica emitir criterios que colaboran en la toma de decisiones. Lo que pone en entredicho la imagen institucional, por la utilización de un instrumento de comunicación masiva. (ref. 2.2) P á g i n a 13 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 3.4.- No fue posible validar con el encargado de la Mesa de Servicios el uso, funcionamiento y controles que tiene implementada la herramienta. Esto genera un desconocimiento sobre el valor que aporta a la administración, el uso de la Mesa de Servicios, como un indicador o parámetro de referencia sobre el funcionamiento de los equipos de cómputo del Ministerio y el uso que se hace de ellos. (ref. 2.3) 3.5.- La incorporación de la Imagen Visual Institucional al Portal Externo, busca proyectar el carácter particular de la Institución, dando uniformidad y organizando a su contenido, para evitar confusiones al usuario externo que consulta el Portal, incorporando de esta forma las disposiciones técnicas de la Dirección de Relaciones Públicas. De lo contrario, la información se manejará sin un orden que permita salvaguardar la identidad Institucional en la herramienta diseñada para difusión de información al público, por medio de internet. (ref. 2.4) 3.6.- Como parte de la revisión física a la Seguridad implementada en el Sitio Web, fue posible valorar que el Portal actual presenta limitaciones en la gestión de contenidos, generación de bitácoras para establecer un registro de la información que postea un usuario, así como la limitación en la generación de históricos. La ausencia de pistas de auditoría y el establecimiento de mejores controles dificulta el establecimiento de datos relevantes, que permitan determinar la trazabilidad de la información. (ref. 2.4) P á g i n a 14 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 4. RECOMENDACIONES De conformidad con los resultados y las conclusiones se emiten las siguientes recomendaciones: AL DIRECTOR DE INFORMÁTICA 4.1.- Realizar las gestiones necesarias para definir claramente la integración y/o definición del Departamento Web y Gobierno Digital, a la estructura organizativa de Informática. A partir de haber sido aceptado el presente informe, se considera un plazo de un mes para su cumplimiento. (ref. 3.1) 4.2.- Realizar las gestiones necesarias con la Unidad de Planificación Institucional, para revisar y actualizar los procedimientos de la Dirección de Informática que se encuentren desactualizados. Para el cumplimiento de lo anterior se considera el plazo de Ley, artículo 36 Ley General de Control Interno de diez días. (ref. 3.1) 4.3.- Analizar la implementación de alternativas que permitan a las áreas usuarias (dueños de la información), poder dar un mantenimiento adecuado a las publicaciones de carácter público, que tengan a su cargo. Tomar en consideración el establecimiento de pautas que debe seguir el dueño de la información para realizar sus publicaciones. A partir de haber sido aceptado el presente informe, se considera un plazo de un mes para su cumplimiento. (ref. 3.2) 4.4.- Realizar una revisión general del Sitio Web, que brinde el insumo necesario para generar un cronograma de atención a la información que esté pendiente de actualización. A partir de haber sido aceptado el presente informe, se considera un plazo de un mes para su cumplimiento. (ref. 3.3) 4.5.- Valorar el aporte para la Administración del uso de la Mesa de Servicios, como un indicador para determinar la adecuada atención de los incidentes reportados, y el adecuado uso y funcionamiento de los equipos de cómputo. A partir de haber sido aceptado el presente informe, se considera un plazo de un mes para su cumplimiento. (ref. 3.4) 4.6.- Se recomienda el establecimiento de un tiempo razonable para la incorporación de la Imagen Visual Institucional en el Sitio Web. A partir de haber sido aceptado el presente informe, se considera un plazo de un mes para su cumplimiento. (ref. 3.5) 4.7.- Valorar la mejora que proveerá la nueva versión del Sitio Web al fortalecimiento y mejora en los controles de Seguridad, gestión de contenido, generación de históricos, establecimiento de indicadores, entre otros. A partir de haber sido aceptado el presente informe, se considera un plazo de un mes para su cumplimiento. (ref. 3.6) P á g i n a 15 | 20 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL Informe de Control Interno N° DAG-I-007-2016 ANEXOS Anexo#1. GLOSARIO Concepto Significado Página Web Hace referencia a un documento que compone un Sitio Web. Puede contener distintos elementos multimedia como textos, imágenes, sonidos, animaciones, etc. También conocido como Portal de Internet, es un Sitio Web que permite al usuario que lo acceda tener información común al tema que se busca. Conocido por sus siglas en inglés como Web Site, y es el conjunto de páginas web relacionadas entre sí. Portal Web Sitio Web Anexo#2. LEY DE PRESUPUESTO NACIONAL – DIRECCIÓN DE INFORMÁTICA Cuadro N°2: Ley de Presupuesto Nacional Resumen de Gastos por la actividad: 6. Dirección de Informática Unidad Ejecutora: Unidad de Administración Superior Año Costo 2013 ¢3,469,506.150 2014 ¢4,004,318.780 2015 ¢4,468,493.349 Total ¢11,942,318,279 Nota: El monto no detalla el valor destinado por actividad, proceso o procedimiento. Fuente: Información consultada del Sitio Web del Ministerio de Hacienda. Anexo#3. NOTA TÉCNICA – DIRECCIÓN DE INFORMÁTICA Fuente: Publicaciones en el PORTAL WEB. P á g i n a 16 | 20