Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

DAG-I-007-2016 Primer informe parcial

Anuncio 
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
INFORME DE CONTROL INTERNO
Nº DAG-I-007-2016
PRIMER INFORME PARCIAL: “ANÁLISIS DE LAS MEJORAS
TECNOLÓGICAS IMPLEMENTADAS POR EL MINISTERIO
DE OBRAS PÚBLICAS Y TRANSPORTES”.
MARZO, 2016
 2523-2639 // 2222-0464
Fax:2222-8310 E-mail [email protected]
10176-1000 San José
1
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
CONTENIDO
RESUMEN EJECUTIVO .............................................................................................. i
1. INTRODUCCIÓN ................................................................................................ 1
1.1
Origen del Estudio ............................................................................. 1
1.2
Antecedentes del Estudio ............................................................... 1
1.3
Objetivos del Estudio ........................................................................ 1
1.3.1 Objetivo General ............................................................................ 1
1.3.2 Objetivos Específicos ...................................................................... 1
1.4
Alcance .............................................................................................. 2
1.5
Declaración de Cumplimiento de Normas .................................. 2
1.6
Limitaciones del Estudio ................................................................... 2
1.7
Normativa Aplicable ........................................................................ 2
1.8
Comunicación de los Resultados ................................................... 3
1.9
Valoración Del Riesgo ...................................................................... 4
2. RESULTADOS ...................................................................................................... 5
2.1. Antecedentes del Sitio Web del Ministerio ....................................... 5
2.2. Funcionalidad del Sitio Web ............................................................... 7
2.3. Atención de la Mesa de Servicios ..................................................... 9
2.4. Controles de Seguridad de la Información ................................... 10
3. CONCLUSIONES.............................................................................................. 13
4. RECOMENDACIONES ..................................................................................... 15
ANEXOS ................................................................................................................ 16
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
RESUMEN EJECUTIVO
Los continuos avances tecnológicos, producto del uso del internet han
llevado a las organizaciones a responder de forma creativa a las nuevas
necesidades del mercado y de una sociedad cada vez más digitalizada.
Es aquí donde la Informática1, toma un papel cada vez más relevante, al
suministrar herramientas colaborativas, que apoyan la toma de decisiones
de la gestión, generando en el proceso una dependencia del avance
computacional, que demanda en consecuencia una considerable
inversión en su mantenimiento, soporte y mejora continua.
Es en este contexto del costo que representa para la Institución el
mantenimiento de estos adelantos, así como la dependencia que
producen, que se enmarca la importancia de conocer y analizar las
mejoras tecnológicas adoptadas por el Ministerio en pro de los servicios
que presta. El periodo va del 01 de enero de 2014, al 03 de febrero de
2016, pero podrá ampliarse si durante el desarrollo de la auditoría,
surgieran aspectos relevantes que ameriten su extensión, con el propósito
de evaluar y proponer oportunidades de mejora que la Administración
pueda incorporar.
Cabe mencionar que al igual que cualquier área de la organización, los
Sistemas de TI deben estar sometidos a controles que permitan establecer
la suficiencia en el servicio que prestan, para lograr un mejor
entendimiento de los avances tecnológicos adoptadas por el Ministerio, se
establecieron los siguientes objetivos específicos:
1.- Determinar la funcionalidad que brindan los servicios
proporcionados por la Página Web del MOPT.
2.- Identificar la automatización y atención relacionada con la
Mesa de Servicio de Soporte Técnico.
3.- Examinar los controles que han sido implementados para
garantizar la eficiencia, eficacia, confiabilidad y
oportunidad de la información.
Entre los hallazgos realizados en el desarrollo de los objetivos de cita
tenemos:
1La
Real Academia Española define como Informática al conjunto de conocimientos científicos y técnicas que
hacen posible el tratamiento automatizado de la información por medio de computadoras.
(http://www.rae.es/).
i
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
a) Inexistencia del Departamento Web y Gobierno Digital. No
ha sido formalizado.
b) Los procedimientos analizados
encuentran desactualizados.
de
Informática,
se
c) Dependencia operativa de áreas usuarias, para subir
información en la Web.
d) Información del Sitio Web se encuentra pendiente de
actualización.
e) No fue posible validar el uso, funcionamiento, controles e
indicadores utilizados en la Mesa de Servicios.
f)
No se tienen incorporada la Imagen Visual Institucional en
el Portal Externo.
g) Falta de implementación de mejores controles en el Portal
Externo.
En virtud de los hallazgos determinados como parte del informe, se emiten
recomendaciones, encaminadas a subsanar las situaciones encontradas y
fortalecer o implementar controles adecuados para garantizar el uso
eficiente de las herramientas informáticas, así como de la salvaguarda y
difusión de la información institucional, como parte de la prestación de
servicios de calidad.
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
INFORME DE CONTROL INTERNO
Nº DAG-I-007-2016
INFORME PARCIAL: “ANÁLISIS DE LAS MEJORAS TECNOLÓGICAS
IMPLEMENTADAS POR EL MINISTERIO DE OBRAS PÚBLICAS Y
TRANSPORTES”
1. INTRODUCCIÓN
1.1
ORIGEN DEL ESTUDIO
El estudio se efectuó con fundamento en los puntos No. 16 y 26 del Plan
Anual de Labores 2016, y con base en el Artículo 22, inciso b), denominado
Competencias, de la Ley General de Control Interno.
1.2
ANTECEDENTES DEL ESTUDIO
El estudio no cuenta con antecedentes realizados para la evaluación de
mejoras tecnológicas implementadas por el Ministerio, con base en la
gestión de la calidad de los servicios brindados por Informática.
1.3
OBJETIVOS DEL ESTUDIO
1.3.1 OBJETIVO GENERAL
Analizar las mejoras tecnológicas implementadas por el Ministerio de Obras
Públicas y Transportes, con base en la gestión de la calidad de los servicios
brindados por Informática.
1.3.2 OBJETIVOS ESPECÍFICOS
1.3.2.1.
Determinar la funcionalidad que brindan
proporcionados por la Página Web del MOPT.
los
servicios
1.3.2.2.
Identificar la automatización y atención relacionada con la
Mesa de Servicio de Soporte Técnico.
1.3.2.3.
Examinar los controles que han sido implementados para
garantizar la eficiencia, eficacia, confiabilidad y oportunidad de
la información.
P á g i n a 1 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
1.4
Informe de Control Interno
N° DAG-I-007-2016
ALCANCE
El estudio comprende el periodo que va del 01 de enero de 2014, al 03 de
febrero de 2016, pero podrá ampliarse si durante el desarrollo de la
auditoría, surgieran aspectos relevantes que ameriten su extensión.
1.5
DECLARACIÓN DE CUMPLIMIENTO DE NORMAS
De conformidad con lo establecido en la Norma 1.3.3 de las Normas para
el Ejercicio de la Auditoría Interna en el Sector Público, se declara que las
actividades del presente estudio fueron realizadas de acuerdo con la
normativa aplicable al ejercicio de la auditoría interna, entre otra
normativa legal y técnica atinente a la materia.
1.6
LIMITACIONES DEL ESTUDIO
Durante el desarrollo del estudio se encontró como limitación, que el
encargado del Soporte de la Mesa de Servicios, se encontraba en una
capacitación que duraba hasta el 14 de marzo, razón por la cual se tuvo
que recurrir a una fuente secundaria para suministrar información sobre la
forma en que se realizan las funciones operativas de la herramienta.
1.7
NORMATIVA APLICABLE
Normas técnicas para la gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE), del 31 de
julio de 2007.
Artículo
Aplicación
1.2
Gestión
de “…generar productos y servicios de TI… enfoque de eficiencia y mejoramiento
calidad
continuo.”
1.4
Gestión
de “…garantizar… la confidencialidad, integridad y disponibilidad de la información…
seguridad
de
la documentar… los procedimientos correspondientes…”
información
1.4.4 Seguridad en “…implementar… medidas de seguridad relacionadas con la operación de los
las operaciones y recursos de TI y las comunicaciones, minimizar su riesgo… y proteger la integridad de la
comunicaciones
información”
1.4.5
Control
de “…proteger la información de accesos no autorizados… j. Establecer los
acceso
mecanismos… que permitan un adecuado y periódico seguimiento al acceso a las
TI.”
1.4.7
Continuidad “…mantener una continuidad razonable de sus procesos y su interrupción no debe
de servicios de TI
afectar significativamente a sus usuarios… documentar y poner en práctica, en forma
efectiva y oportuna… acciones preventivas y correctivas necesarias…”
4.5
Manejo
de “…identificar, analizar y resolver de manera oportuna los problemas, errores e
incidentes
incidentes significativos que se susciten con las TI.”
Objetivos de Control para Información y Tecnologías Relacionadas (COBIT 4.1), disponible desde mayo de
2007.
Artículo
Aplicación
PO8. Administrar la “la mejora continua se logra por el constante monitoreo…es esencial para garantizar
Calidad
que TI está dando valor al negocio...”
AI4.
Facilitar
la “…este proceso requiere la generación de documentación y manuales para usuarios
operación y el uso
y para TI… proporciona entrenamiento para garantizar el uso y la operación correctos
de aplicaciones… infraestructura.”
AI6.
Administrar “…los cambios se deben registrar, evaluar y autorizar previo a la implantación,…y
cambios
revisar después de la implantación.”
Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), publicada en La Gaceta N°26 del 6 de
febrero del 2009.
P á g i n a 2 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Artículo
5.1 Flexibilidad de
sistemas
de
información
5.4
Gestión
documental
Informe de Control Interno
N° DAG-I-007-2016
Aplicación
“…de modo que sean susceptibles de modificaciones que permitan dar respuesta
oportuna a necesidades cambiantes de la institución”
“…que los sistemas de información propicien una debida gestión documental
institucional… que se ejerza control, se almacene y se recupere la información en la
organización, de manera oportuna y eficiente…”
5.6 Calidad de la “…que los sistemas de información contemplen los procesos requeridos para recopilar,
información
procesar y generar información que corresponda a las necesidades de los distintos
usuarios… procesos… basados en un enfoque de efectividad y de mejoramiento
continuo…”
5.7 Calidad de la “…establecer los procesos necesarios para asegurar razonablemente que la
comunicación
comunicación de la información se da a las instancias pertinentes y en el tiempo
propicio, de acuerdo con las necesidades de los usuarios… basados en un enfoque
de efectividad y mejoramiento continuo”
5.7.1
Canales
y “Deben establecerse y funcionar adecuados canales y medios de comunicación, que
medios
de permitan trasladar la información de manera transparente, ágil, segura, correcta y
comunicación
oportuna, a los destinatarios idóneos dentro y fuera de la institución”
5.9 Tecnologías de “…propiciar el aprovechamiento de tecnologías de información que apoyen la
información
gestión institucional mediante el manejo apropiado de la información y la
implementación de soluciones ágiles y de amplio alcance…”
Fuente: De elaboración propia con base en la valoración de la normativa.
Como parte del análisis de la normativa aplicable, se procedieron a
identificar las funciones de la Dirección de Informática relacionadas con el
mejoramiento tecnológico, que servirán de insumo para el desarrollo del
estudio, y se citan a continuación:
N°
5
Función
Desarrollar y actualizar servicios y medios de comunicación electrónicos para apoyar la gestión de las
dependencias del MOPT; así como desarrollar y mantener una Intranet/Extranet para uso interno y
externo de la Institución.
6
Desarrollar y actualizar la página Web del Ministerio de Obras Públicas y Transportes.
15
Diseñar controles para mantener actualizada la información de los servicios informáticos, utilización
racional de equipos y reglas básicas de seguridad.
21
Brindar asesoría técnica, en materia de su competencia, a todas las dependencias del MOPT, al Sector
Infraestructura y Transporte, así como a otras instituciones, cuando así lo soliciten.
Fuente: De elaboración propia con base en la información de funciones del SIOR.
Complementariamente se examinaron los Procedimientos de la Dirección
de Informática afines al tema de estudio, para conocer su vigencia:
Procedimiento
De Asesoría
Situación encontrada
El procedimiento hace referencia a la figura
Informática, situación que no corresponde
actual de la Dirección.
De
Proyección 08/08/2005
El procedimiento hace referencia a la figura
Informática
11:13:33 a.m.
Informática, situación que no corresponde
actual de la Dirección
Fuente: De elaboración propia con base en datos extraídos del SIOR el 12/02/2015.
1.8
Fecha de Posteo
08/08/2005
11:12:49 a.m.
de la Directora de
con la estructura
de la Directora de
con la estructura
COMUNICACIÓN DE LOS RESULTADOS
En atención a lo señalado en el apartado 205. Comunicación de
Resultados, del manual de Normas Generales de Auditoría para el Sector
Público, el 04 de marzo del año en curso, se remitió borrador del informe en
formato digital, a la Dirección de Informática, con el propósito de su
P á g i n a 3 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
lectura previa a la conferencia final que se realizó el día 10 de marzo de
2016 a las once horas en esta Oficina, cuyas observaciones fueron
valoradas e incluidas en este Informe.
1.9
VALORACIÓN DEL RIESGO
De acuerdo con lo establecido en las Normas Generales de Auditoría para
el Sector Público, en el apartado 305 Evaluación del riesgo de auditoría,
para efectos del estudio, “el auditor debe determinar el riesgo…”. Para lo
cual se utiliza la Matriz de Valoración del Riesgo 2016, relacionada con los
procedimientos que forman parte del tema de estudio.
Debido a la evaluación del procedimiento, utilizando la metodología y
matriz de riesgos establecida por la Auditoría, donde se indican los factores
de riesgo considerados hacen que el riesgo se determine como Alto, por
cuanto: el recurso económico destinado para la Dirección de Informática
es considerable, no se ha realizado una evaluación previa a este
procedimiento por parte de esta Auditoría, en el SEVRI y ASCII no se valora
este procedimiento, por lo que el porcentaje de significancia arrojado es
de 12, que conforme los rangos establecidos indican que el riesgo es Alto.
Significancia del Riesgo del Procedimiento
PONDERACIÓN
ALTO
MEDIO
BAJO
RANGO INFERIOR
12
8
6
RANGO SUPERIOR
15
11
7
P á g i n a 4 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
2. RESULTADOS
Como apoyo a la gestión del mismo Ministerio, las tecnologías de
información, suministran un instrumento valioso para la toma de decisiones,
mediante respuestas novedosas e innovadoras a las necesidades
cambiantes, en la generación de productos y servicios enfocados en la
eficiencia y mejoramiento continuo. En este primer informe parcial se
analizarán el Sitio Web y la Mesa del Servicios Institucionales.
2.1. Antecedentes del Sitio Web del Ministerio
El Ministerio de Obras Públicas y Transportes ha tenido presencia en la Web
desde 1997. Durante este tiempo ha contado con cinco distintos Sitios
Web, que han cambiado debido a mejoras tecnológicas.
El Sitio está compuesto por dos Portales Web (Interno y Externo),
desarrollados por la empresa Swatt Consulting Services Latin América S.A.,
mediante la herramienta WebSphere Portal2, con un motor de base de
datos DB23, que es comercializado en el mercado como un Sistema de
Gestión de Base de Datos4, que permite un almacenamiento de datos
ligero.
Los Portales Web que conforman la Página son:

Un Portal Externo, es el sitio donde el
ciudadano
puede
acceder
información de interés, referente a la
Institución, y servicios. Estos se pueden
clasificar como:
Imagen N°1. Portal Web Externo
.
 Servicios En línea: son los que se
tramitan directamente en el Portal.
 Servicios Semi en línea: son los que
una parte se tramita en línea, pero
deben ser retirados físicamente, por
ejemplo una certificación.
 Servicios Presenciales: son los que se
le indica al usuario la información
que debe presentar, para realizar el
trámite que requiere de su
presencia para el trámite.
Fuente: Tomado Sitio Web del MOPT.
Su diseñador es IBM, y es un conjunto de herramientas de software, que permiten la construcción y gestión de
Portales Web.
3 Su diseñador es IBM.
4Es un conjunto de programas que permite el almacenamiento, modificación y extracción de la información en
una base de datos. Estos Sistemas cuentan con métodos para resguardar la integridad de los datos (acceso y
recuperación de información, si base de datos se corrompe).
2
P á g i n a 5 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Imagen N°2. Portal Web Interno
Informe de Control Interno
N° DAG-I-007-2016
 Un Portal Interno, es el sitio donde se
brindan diferentes servicios a los
funcionarios, como el acceso al
Sistema de Vacaciones, Consulta del
Correo Oficial, Consulta al Sistema
de Recursos Humanos, expedientes,
SIOR, etc.
Fuente: Tomado Sitio Web del MOPT.
En la actualidad la Dirección de Informática no tiene considerado en su
estructura organizativa un Departamento o Unidad, encargado de realizar
desarrollos y/o mantenimientos al Sitio Web del Ministerio, tal como se
muestra en el organigrama actualizado (Imagen N°3). Sin embargo en la
práctica, se cuenta con un grupo compuesto por 4 funcionarios,
responsables de brindar soporte técnico al Portal Institucional. Además se
hace referencia en varios documentos a una instancia denominada
“Departamento Web y Gobierno Digital”, pero no se encuentran
procedimientos, ni metodologías, para la atención de incidentes o
desarrollos informáticos.
Imagen N°3. Organigrama de la Dirección de Informática
Fuente: Información tomada del Sitio Web del MOPT.
Como parte de los deberes y responsabilidades de la Dirección de
Informática, la función número 6 señala que debe, desarrollar y actualizar
la página Web del Ministerio de Obras Públicas y Transportes, por lo que se
consulta a los responsables sobre la forma en que las Dependencias
actualizan la información del Sitio Web, a lo que indican que los usuarios
envían una solicitud por medio del correo electrónico, donde adjuntan la
información que desean publicar, ya que de momento únicamente un
usuario de Prensa puede dar mantenimiento a algunas noticias.
Esto representa una limitación de conformidad con un enfoque de
eficiencia y mejoramiento continuo, en los productos y servicios de TI,
como parte de la gestión de la calidad de las Normas de TI de la
P á g i n a 6 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
Contraloría General. Las buenas prácticas del COBIT, señalan que la
calidad y la mejora continua se consiguen mediante el monitoreo
constante.
La razón aludida para dar acceso a otros usuarios, para la gestión de su
información es que la herramienta presenta limitaciones, que no
posibilitaban que los dueños de la información dieran un soporte
personalizado a sus datos.
2.2. Funcionalidad del Sitio Web
Como parte de la revisión al Sitio Web, se analizaron aleatoriamente
algunos apartados para valorar su funcionamiento y disponibilidad de la
información que se puede consultar el usuario externo. Estos fueron los
resultados:
- La opción del Menú Superior denominada Acerca del Ministerio, de la
estructura organizacional compuesta de 158 Dependencias, únicamente
una Dirección tienen la información completa.
Cuadro N°1. Actualización de la información de la Estructura
Organizacional
Cantidad
de
dependencias
158
Información ingresada
100%
75%
50%
1
7
4
Fuente: Elaboración propia de acuerdo con información tomada
del Sitio Web del MOPT.
- El Sitio Web hace referencia a departamentos que ya no se encuentran
en funcionamiento, tal como se muestra en la Imagen N°3, donde el
organigrama actualizado de la derecha no hace referencia al
Departamento de Informática en la División de Obras Públicas, mientras
que la estructura organizacional de la izquierda, lo considera.
Imagen N°4. Departamento de Informática de la División de Obras Públicas
Estructura Organizacional
>MOPT>>División de Obras Públicas
>>Dirección de Planeamiento y
Programación>>Departamento
de
Informática
Área: Departamento de Informática
Responsable: Yorlenny Mora Carrillo
Teléfonos: ----Fax:
-----
Fuente: Información tomada del Sitio Web del MOPT.
P á g i n a 7 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
- Se encuentra información consignada con faltas o errores ortográficos,
que el usuario externo puede consultar.
Imagen N°5. Información consignada con errores ortográficos
Fuente: Información tomada del Sitio Web del MOPT.
- Existen enlaces o links que no se encuentran bien direccionados, por esta
razón no funcionan correctamente.
Imagen N°6. Vínculos del Sitio Web que no funcionan
Servicios
En Línea - Puertos
- http://www.japdeva.go.cr/adm_portuaria/Tarifas.html
Fuente: Información tomada del Sitio Web del MOPT, menú de Servicios En Línea.
Esto representa una deficiencia de conformidad con la gestión de la
seguridad de la información de las Normas de TI de la Contraloría General,
que procura garantizar… la confidencialidad, integridad y disponibilidad
de la información.
Las situaciones expuestas son producto de una falta de monitoreo de la
información que se publica, que permitiera detectar y corregir
oportunamente deficiencias relacionadas con la validación y vigencia de
la información del Sitio Web.
P á g i n a 8 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
2.3. Atención de la Mesa de Servicios
El Servicio de asistencia basado en el
explorador (NetSupport ServiceDesk).
Es una herramienta que ayuda a supervisar,
organizar, gestionar y responder, las solicitudes de
Soporte Técnico del usuario.
Integra los procesos fundamentales de ITIL
(gestión de incidentes, problemas, cambios y
nivel de servicio); lo que permite garantizar una
gestionar eficaz de las expectativas de sus
clientes, minimizando el tiempo de inactividad
del Sistema.
Imagen N°7. Mesa de Servicios
Fuente: Información tomada del
Portal Interno del MOPT.
Esta facilidad tecnológica se constituye en un Sistema Centralizado, que
recibe solicitudes de servicio, y permite la asignación de recursos
(personal), para su atención.
Entre las ventajas que brinda la Mesa de Servicios, para el establecimiento
de Controles encontramos:
-
La formulación de estadísticas de incidentes reportados.
Imagen N°8. Incidentes reportados
Fuente: Información proporcionada por Informática.
-
Aplicación de filtros.
Imagen N°9. Incidentes reportados
Fuente: Información proporcionada por Informática.
Como parte de la limitación mencionada de previo (apartado de 1.6), en
la realización del estudio, el encargado de llevar la Mesa de Servicios, se
encontraba fuera de la Institución y regresaba hasta el 14 de marzo.
Las Normas de Tecnologías de Información, en relación con el manejo de
incidentes, refieren la necesidad de identificar, analizar y resolver de
manera oportuna problemas, errores e incidentes significativos que se
susciten con las TI.
No fue posible verificar ni validar con el responsable el uso y
funcionamiento de la herramienta, para determinar la eficiencia y eficacia
de los controles que tiene implementados.
P á g i n a 9 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
2.4. Controles de Seguridad de la Información
La Seguridad que tiene implementada el Sitio Web del Ministerio, cuenta
con las siguientes medidas:

Autenticación, el Portal Interno del
Sitio Web, permite el acceso a
usuarios que tienen cuenta de
correo electrónico institucional,
donde ingresan utilizando el
usuario asignado, seguido de la
respectiva contraseña.
Imagen N°10. Control de acceso
Fuente: Imagen de ingreso al Portal Interno.
Imagen N°11. Antivirus institutional
 Kaspersky, el Ministerio cuenta con
Fuente: Imagen con fines ilustrativos.
software antivirus utilizado para el
control de amenazas informáticas o
programas maliciosos como spywares,
adwares, entre otros.
Imagen N°12. Web Sense

Web Sense, para prevenir y proteger
algunos
tipos
de
comunicaciones
prohibidas o peligrosas para la red a lo
interno.
Fuente: Imagen con fines ilustrativos.
Imagen N°13. Firewall – Cisco Asa 5520

Fuente: Imagen con fines ilustrativos.

Firewall – Cisco Asa 5520, para
prevenir y proteger algunos tipos
de comunicaciones prohibidas o
peligrosas para la red a lo externo.
conjunto
de Imagen N°14. WebSphere Portal
herramientas de software que permite a
las empresas diseñar y administrar
portales
web.
Algunas
de
sus
características son:
WebSphere
o
o
o
o
o
o
o
o
Portal,
Presentación de las páginas.
Contenido del portal.
Gestión de porlets.
Administración de búsquedas.
Acceso al sitio.
Análisis del portal.
Gestión de valores.
Portales virtuales.
Fuente: Imagen con fines ilustrativos.
P á g i n a 10 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
Como parte de la información remitida a la Auditoría sobre el Sitio Web, la
Dirección de Informática indica en el Oficio DI-0152-2016 del 22 de febrero
de 2016, que en conjunto con la Comisión de Imagen Visual Institucional,
se están llevando a cabo mejoras en la imagen gráfica y la organización
de la información publicada en el Portal Externo. Lo que forman parte del
mantenimiento que brinda Informática al Portal Web, y no como parte de
ninguna Contratación.
Cuando entró en funcionamiento el Sitio Web, el Director de Relaciones
Públicas – Prensa externó su insatisfacción debido a que el cambio había
generado vacíos importantes en la información que estaba publicada, lo
que confundió al usuario acostumbrado a un formato muy diferente al que
se le estaba presentando.
Esta situación dio origen a la Advertencia AG-Adv.-2148-2015 del 23 de
junio de 2015. Donde como parte de las consultas planteadas, a varios
departamentos, la entonces Dirección de Planeamiento Administrativo,
señala que la Dirección de Relaciones Públicas tiene competencia técnica
de indicar a la Dirección de Informática cómo establecer la posición y
proporción de las imágenes en el sitio, los colores institucionales, tipo de
letra, y demás criterios correspondientes a la imagen institucional.
En relación con el seguimiento de la Advertencia, en el apartado del Portal
Web, la Dirección de Informática en el Oficio DI-0054-2016 del 26 de enero
de 2016, indica que se encuentran en la etapa final de la actualización y
desarrollo de la nueva versión del Portal Web, y que se están diseñando
formatos para las páginas internas de cada sitio, de conformidad con lo
establecido por la Comisión.
De la revisión física de la Seguridad implementada en el Sitio Web,
realizada en compañía de los funcionarios responsables del día 15 de
febrero del año en curso, se encontró lo siguiente:
-
La información que se pone a disposición del público en el Portal, no
permite la generación de históricos.
Según señala el encargado que se está trabajando en una nueva
versión del Portal Externo, que permite establecer mejores controles.
-
El diseño actual del Sitio Web, trabaja integrando el WebSphere con el
Lotus Notes5. Lo que provoca tiempos de espera mayores, por la
utilización ambas herramientas para la visualización de información.
Es un sistema software que trabaja bajo una estructura de colaboración cliente/servidor, incorporando el
correo electrónico. El servidor se denomina Lotus Domino y el cliente Lotes Notes.
5
P á g i n a 11 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
La nueva versión utilizaría únicamente el WebSphere para su
despliegue, lo que contribuye a la optimización en los tiempos de
respuesta facilitando la visualización de la información.
-
La utilización de Lotus Notes junto con el WebSphere, generó que se
dejara de utilizar el gestor de contenido. Situación que se corrige en el
nuevo diseño del Sitio Web.
Las Normas de TI de la Contraloría, sobre el control de accesos no
autorizados, se refieren a la importancia de un adecuado y periódico
seguimiento al acceso a las TI (mediante pistas de auditoría). El COBIT
señala la importancia de registrar, evaluar y autorizar, los cambios antes de
la implementación.
El motivo por el cual se presentan estas situaciones (falta de generación de
históricos, demora en tiempos de respuesta, utilización de un gestor de
contenido), se debe al comportamiento de ambos Sistemas, y el
conocimiento que se tenía para ponerlos en funcionamiento.
P á g i n a 12 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
3. CONCLUSIONES
3.1.- El organigrama de la Dirección de Informática no considera la
existencia del Departamento Web y Gobierno Digital, ni se cuenta
con procedimientos ni una metodología específica para atender las
necesidades y dar servicios de mantenimiento y soporte al Sitio Web.
Los procedimientos de la Dirección de Informática se encuentran
desactualizados.
Lo que evidencia una situación irregular por cuanto se da por
oficializado la existencia de un Departamento en la estructura
organizacional de la Dirección de Informática, que a la fecha no ha
sido confirmado. (ref. 2.1)
3.2.- Existe una subordinación operativa de los funcionarios de las áreas
usuarias del Ministerio, en relación con los responsables del Sitio Web,
para la publicación de información de interés público.
Lo que genera una dependencia operativa de las Dependencias del
Ministerio en relación con el personal de la Dirección que atiende el
Sitio Web, para proceder a realizar cambios que debería efectuar
cada área, responsabilizarse por la información que se comparte,
asumiendo de esta forma un empoderamiento, para el dueño de la
información de velar porque cumpla con las expectativas del usuario,
y estándares que deben buscar la excelencia por la publicación de
información de conocimiento público. (ref. 2.1)
3.3.- De acuerdo con la revisión realizada al Sitio Web, hay
desactualización en alguna información que se encuentra publicada
(información pendiente de ser ingresada, referencia a departamentos
que no existen, faltas ortográficos, enlaces que no funcionan). Esta
responsabilidad no sólo corresponde a la Dirección de Informática,
sino que el dueño de la información debe velar porque la misma sea
remitida, en las condiciones estipuladas en la Nota Técnica de la
Dirección de Informática MOPT-01-11-06-001-2015. (Anexo #3).
Esto genera de parte del usuario en general, la reducción en la
credibilidad de la información que contiene la herramienta, ya que
como se evidenció en algunos de sus apartados seleccionados
aleatoriamente, la información no es congruente con la realidad, y
perjudica emitir criterios que colaboran en la toma de decisiones. Lo
que pone en entredicho la imagen institucional, por la utilización de
un instrumento de comunicación masiva. (ref. 2.2)
P á g i n a 13 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
3.4.- No fue posible validar con el encargado de la Mesa de Servicios el
uso, funcionamiento y controles que tiene implementada la
herramienta.
Esto genera un desconocimiento sobre el valor que aporta a la
administración, el uso de la Mesa de Servicios, como un indicador o
parámetro de referencia sobre el funcionamiento de los equipos de
cómputo del Ministerio y el uso que se hace de ellos. (ref. 2.3)
3.5.- La incorporación de la Imagen Visual Institucional al Portal Externo,
busca proyectar el carácter particular de la Institución, dando
uniformidad y organizando a su contenido, para evitar confusiones al
usuario externo que consulta el Portal, incorporando de esta forma las
disposiciones técnicas de la Dirección de Relaciones Públicas.
De lo contrario, la información se manejará sin un orden que permita
salvaguardar la identidad Institucional en la herramienta diseñada
para difusión de información al público, por medio de internet. (ref.
2.4)
3.6.- Como parte de la revisión física a la Seguridad implementada en el
Sitio Web, fue posible valorar que el Portal actual presenta limitaciones
en la gestión de contenidos, generación de bitácoras para establecer
un registro de la información que postea un usuario, así como la
limitación en la generación de históricos.
La ausencia de pistas de auditoría y el establecimiento de mejores
controles dificulta el establecimiento de datos relevantes, que
permitan determinar la trazabilidad de la información. (ref. 2.4)
P á g i n a 14 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
4. RECOMENDACIONES
De conformidad con los resultados y las conclusiones se emiten las
siguientes recomendaciones:
AL DIRECTOR DE INFORMÁTICA
4.1.- Realizar las gestiones necesarias para definir claramente la integración
y/o definición del Departamento Web y Gobierno Digital, a la
estructura organizativa de Informática. A partir de haber sido
aceptado el presente informe, se considera un plazo de un mes para
su cumplimiento. (ref. 3.1)
4.2.- Realizar las gestiones necesarias con la Unidad de Planificación
Institucional, para revisar y actualizar los procedimientos de la
Dirección de Informática que se encuentren desactualizados. Para el
cumplimiento de lo anterior se considera el plazo de Ley, artículo 36
Ley General de Control Interno de diez días. (ref. 3.1)
4.3.- Analizar la implementación de alternativas que permitan a las áreas
usuarias (dueños de la información), poder dar un mantenimiento
adecuado a las publicaciones de carácter público, que tengan a su
cargo. Tomar en consideración el establecimiento de pautas que
debe seguir el dueño de la información para realizar sus
publicaciones. A partir de haber sido aceptado el presente informe, se
considera un plazo de un mes para su cumplimiento. (ref. 3.2)
4.4.- Realizar una revisión general del Sitio Web, que brinde el insumo
necesario para generar un cronograma de atención a la información
que esté pendiente de actualización. A partir de haber sido aceptado
el presente informe, se considera un plazo de un mes para su
cumplimiento. (ref. 3.3)
4.5.- Valorar el aporte para la Administración del uso de la Mesa de
Servicios, como un indicador para determinar la adecuada atención
de los incidentes reportados, y el adecuado uso y funcionamiento de
los equipos de cómputo. A partir de haber sido aceptado el presente
informe, se considera un plazo de un mes para su cumplimiento. (ref.
3.4)
4.6.- Se recomienda el establecimiento de un tiempo razonable para la
incorporación de la Imagen Visual Institucional en el Sitio Web. A partir
de haber sido aceptado el presente informe, se considera un plazo de
un mes para su cumplimiento. (ref. 3.5)
4.7.- Valorar la mejora que proveerá la nueva versión del Sitio Web al
fortalecimiento y mejora en los controles de Seguridad, gestión de
contenido, generación de históricos, establecimiento de indicadores,
entre otros. A partir de haber sido aceptado el presente informe, se
considera un plazo de un mes para su cumplimiento. (ref. 3.6)
P á g i n a 15 | 20
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
Informe de Control Interno
N° DAG-I-007-2016
ANEXOS
Anexo#1. GLOSARIO
Concepto
Significado
Página Web
Hace referencia a un documento que compone un Sitio Web.
Puede contener distintos elementos multimedia como textos,
imágenes, sonidos, animaciones, etc.
También conocido como Portal de Internet, es un Sitio Web que
permite al usuario que lo acceda tener información común al
tema que se busca.
Conocido por sus siglas en inglés como Web Site, y es el conjunto
de páginas web relacionadas entre sí.
Portal Web
Sitio Web
Anexo#2. LEY DE PRESUPUESTO NACIONAL – DIRECCIÓN DE INFORMÁTICA
Cuadro N°2: Ley de Presupuesto Nacional
Resumen de Gastos por la actividad: 6. Dirección de Informática
Unidad Ejecutora: Unidad de Administración Superior
Año
Costo
2013 ¢3,469,506.150
2014 ¢4,004,318.780
2015 ¢4,468,493.349
Total ¢11,942,318,279
Nota: El monto no detalla el valor destinado por actividad, proceso o procedimiento.
Fuente: Información consultada del Sitio Web del Ministerio de Hacienda.
Anexo#3. NOTA TÉCNICA – DIRECCIÓN DE INFORMÁTICA
Fuente: Publicaciones en el PORTAL WEB.
P á g i n a 16 | 20
Documentos relacionados
Cuentas anuales e Informe de Gestión 2010
Cuentas anuales e Informe de Gestión 2010
informe sobre la gestión del Registro Civil
informe sobre la gestión del Registro Civil
Ejercicio 05. LA EVIDENCIA Aplicar los contenidos aprendidos
Ejercicio 05. LA EVIDENCIA Aplicar los contenidos aprendidos
05 ENS SEBS
05 ENS SEBS
empresa responsable, ac sistema de gestión de calidad humana y
empresa responsable, ac sistema de gestión de calidad humana y
SERVICIOS INTERNACIONALES Servicios internacionales que
SERVICIOS INTERNACIONALES Servicios internacionales que
09 ENS SEBS
09 ENS SEBS
Informe de Auditoria AI-03-10 (SD11-1)
Informe de Auditoria AI-03-10 (SD11-1)
Propuesta acciones formativas formaziona
Propuesta acciones formativas formaziona
Descargar
Anuncio
Anuncio