Documente Academic
Documente Profesional
Documente Cultură
Informe final.
San José, 13 de julio del 2017
Estimada señora:
Según nuestro contrato de servicios, efectuamos la visita de auditoría externa del período 2016
al Instituto Nacional de las Mujeres y con base en el examen efectuado, observamos ciertos
aspectos referentes al sistema de control interno y procedimientos de Tecnología de
Información, basados en el manual de “Normas Técnicas para la Gestión y el Control de las
Tecnologías de Información (N-2-2007-CO-DFOE)” emitido por la Contraloría General de la
República y los estándares establecidos según los Objetivos de Control para Información y
Tecnología Relacionada – CobiT®, los cuales sometemos a consideración de ustedes en esta
carta de gerencia CG-1-2016.
Considerando el carácter de pruebas selectivas en que se basa nuestro examen, usted puede
apreciar que se debe confiar en métodos adecuados de comprobación y de control interno, como
principal protección contra posibles irregularidades que un examen basado en pruebas selectivas
puede no revelar, si es que existiesen. Las observaciones no van dirigidas a personas o
colaboradoras en particular, sino únicamente tienden a fortalecer el sistema de control interno y
los procedimientos relacionados con las Tecnologías de Información.
La auditoría no está diseñada para detectar todas las deficiencias en los procesos y objetivos
de control evaluados, ya que no se lleva a cabo de forma continua durante el período de
revisión; las evaluaciones realizadas consisten en un estudio sustentado en muestras y
pruebas selectivas de la evidencia que respalda el cumplimiento de los procesos y objetivos
de control evaluados, los cuales, producto de sus limitaciones inherentes, pueden presentar
resultados fallidos debido a errores o debilidades propias del control interno que ocurran y
no sean detectadas. Lo anterior deja manifiesto que los eventos subsecuentes a este informe
están sujetos al riesgo de que los controles establecidos se tornen inadecuados, producto de
cambios en las condiciones del Instituto.
“Exento del timbre de Ley 6663 del Colegio de Contadores Públicos de Costa Rica, por
disposición de su artículo número 8”.
Como parte de la evaluación de los estados financieros del Instituto Nacional de las Mujeres,
realizamos la evaluación de los controles generales de la gestión de tecnología de
información, con el objetivo de medir el grado de riesgo de la información en lo que respecta
a seguridad, integridad, efectividad, eficiencia, confidencialidad, confiabilidad,
disponibilidad y continuidad de la plataforma tecnológica.
ALCANCE
PERIODO DE LA AUDITORÍA.
El estudio se realizó durante el mes de junio del año 2017 y corresponde a la auditoría del
periodo del 2016.
METODOLOGÍA
Para llevar a cabo este trabajo utilizamos una modalidad de análisis de la información
suministrada por la Unidad de Informática, aplicamos cuestionarios de control interno
relacionados con la administración del área, seguridad física y lógica de los sistemas de
información, continuidad de las operaciones, planes de capacitación, bitácoras de los
sistemas, plan operativo anual y sistemas de información que posee el Instituto.
CONDICIÓN:
Se determinó que el INAMU cuenta con un documento de políticas para la gestión operativa
de la Unidad de Informática elaborado en agosto del año 2011, actualizado más
recientemente en julio del año 2014 y revisado en el año 2015 y 2016. En dicho documento
se incluyen políticas relacionadas con la confidencialidad, integridad y disponibilidad datos,
uso de la plataforma tecnológica, seguridad física y lógica, implementación de software,
implementación de infraestructura tecnológica, contratación de terceros, acuerdos de
servicios, administración y operación de la plataforma tecnológica, entre otros.
Para ello debe documentar e implementar una política de seguridad de la información y los
procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de
seguridad requeridos y considerar lo que establece la presente normativa en relación con
los siguientes aspectos:
✓ La implementación de un marco de seguridad de la información.
✓ El compromiso del personal con la seguridad de la información.
✓ La seguridad física y ambiental.
Una Firma, un respaldo www.carvajalcr.com 8
✓ La seguridad en las operaciones y comunicaciones.
✓ El control de acceso.
✓ La seguridad en la implementación y mantenimiento de software e infraestructura
tecnológica.
✓ La continuidad de los servicios de TI.
Además, debe establecer las medidas de seguridad relacionadas con:
✓ El acceso a la información por parte de terceros y la contratación de servicios
prestados por éstos.
✓ El manejo de la documentación.
✓ La terminación normal de contratos, su rescisión o resolución.
✓ La salud y seguridad del personal.
✓ Las medidas o mecanismos de protección que se establezcan deben mantener una
proporción razonable entre su costo y los riesgos asociados.”.
RECOMENDACIONES:
A la Unidad de Informática
1. Establecer lineamientos formales como parte de las políticas para la gestión operativa,
con el fin de verificar su cumplimiento, los cuales deben contemplar como mínimo
lo siguiente:
a. El área responsable de efectuar la valoración de cumplimiento de la política.
b. Los mecanismos empleados para verificar el cumplimiento de la política.
c. La periodicidad en la que se va a evaluar el cumplimiento de la política.
d. Establecimiento de planes de acción y medidas correctivas en caso de
incumplimiento.
e. Seguimiento a los planes de acción establecidos ante incumplimientos de la
política de seguridad de la información.
COMENTARIOS DE LA ADMINISTRACIÓN:
CONDICIÓN:
Magdalena Yamileth
Cese por renuncia 30/08/2016
Bermúdez Chaves
SIPAMU 2.0 Manuela Rodriguez Vargas Cese por reintegro de la titular 09/10/2016
Active
Directory
RECOMENDACIONES:
A la Unidad Informática
COMENTARIOS DE LA ADMINISTRACIÓN:
CONDICIÓN:
CRITERIO:
RECOMENDACIONES:
a. Proceso
i. Nombre de la persona encargada o equipo de trabajo y rol asignado en
la prueba.
ii. Tipo de prueba (por ejemplo, completa, parcial, escenario)
iii. Fecha/hora de inicio y final.
iv. Listado de servicios a probar.
v. Listado de equipos a utilizar.
vi. Descripción detallada del proceso a efectuar.
COMENTARIOS DE LA ADMINISTRACIÓN:
El INAMU debe actualizar, aprobar y divulgar el plan de continuidad, pero está hecho
solamente para TI.
El tema del Plan de Continuidad debe ser un tema institucional, donde participen todas las
áreas del INAMU, no puede ser únicamente de la Unidad de Informática.
CONDICIÓN:
Como parte de los esfuerzos efectuados por la Unidad Informática para mejorar la calidad de
la información y los sistemas del INAMU, se determinó que se han realizado gestiones que
se han propuesto en el PETI 2015-2017, sin embargo, no fueron aprobados por la Junta
Directiva, estos se detallan a continuación:
Por otra parte, como parte del proceso de auditoría se determinaron las siguientes debilidades
en el proceso de gestión de calidad de los productos y servicios de TI:
Si bien es cierto, existe una Guía de Calidad que consiste en una plantilla que apoya a la
documentación de las actividades del proceso de aseguramiento de la calidad de los proyectos
desarrollados en la Unidad Informática, se determinó que dicha guía no define de forma
detallada los lineamientos establecidos en las políticas para la gestión operativa. Es decir, no
se ha implementado un procedimiento o metodología que defina todas las fases, actividades,
responsabilidades y lineamientos para normar el proceso de gestión de calidad para los
productos y servicios ofrecidos por la Unidad.
Cabe mencionar que la jefatura de la Unidad de Informática indicó que esta guía de calidad
corresponde al citado manual de calidad en TI, establecido en las políticas para la gestión
operativa, sin embargo, este no ha sido oficializado.
CRITERIO:
A la Unidad Informática:
CONDICIÓN:
Se determinó que el INAMU no cuenta con un reglamento que norme el accionar del Comité
de TI, sin embargo, bajo la Circular PE-005-2012 del 3 de diciembre de 2012 y dirigido a las
Directoras Generales, Coordinadoras de Áreas, Jefas de Unidad y personal general por parte
de la Presidenta Ejecutiva en turno, se constituye la Comisión de Tecnologías de
Información, con el objetivo de asesorar a la Presidencia Ejecutiva en la toma de decisiones
estratégicas en materia de T.I.
CRITERIO:
RECOMENDACIÓN:
3. Definir la agenda de las sesiones con base en las funciones del Comité, la cartera de
proyectos, las necesidades de inversión y los planes operativos y estratégicos en
materia informática como temas prioritarios.
A la Unidad de Informática:
CONDICIÓN:
Cabe señalar que el POI 2016 contempla todo lo indicado en el PETI para el periodo 2016 y,
además, se ha cumplido a satisfacción con las metas establecidas en el POI para los proyectos
establecidos y aprobados del PETI, no obstante, se da un incumplimiento parcial del
seguimiento establecido en el documento de planeación estratégica de TI.
Al no actualizar el PETI con los proyectos que fueron aprobados por la Junta Directiva,
podría dificultarse la comprensión y seguimiento de los productos y beneficios obtenidos
para las diferentes áreas o personas de interés.
Este informe debe cubrir los siguientes puntos: periodo del informe, acciones ejecutadas,
cambios generados al plan, análisis de la situación actual y proyección de acciones para el
próximo periodo”.
RECOMENDACIÓN:
A la Unidad de Informática:
2. Mantener actualizado el próximo PETI 2018-2020 con los proyectos que fueron
aprobados, de tal manera que estén acorde con la realidad de la Unidad y de la
institución.
3. Considerar para el próximo PETI 2018-2020, la necesidad de realizar los informes
anuales de seguimiento al cumplimiento del PETI, caso contrario, definir la sección
de “Informes de seguimiento” conforme a las necesidades y recursos de la Unidad
de Informática, garantizando los controles necesarios para que el POI contemple
todos los proyectos del PETI en un determinado periodo y que se dé un seguimiento
de los proyectos en la Comisión de TI, así como la rendición de cuentas ante la
Presidencia.
CONDICIÓN:
Cabe mencionar que, según lo indicado por la jefatura de TI mediante un correo electrónico,
para el año 2017 se espera finalizar la configuración de la herramienta System Center
Configuration Manager (SCCM) para gestionar el proceso de configuración de los activos
del INAMU, y de esta manera identificar el software instalado por cada equipo de la
Institución. Por otra parte, la Unidad de Informática espera efectuar una capacitación este
año sobre el manejo de SCCM, por tal razón, no se logró generar un reporte detallado del
inventario de software instalado por equipos.
Al no contar con un inventario del Software instalado en cada equipo, no es posible garantizar
que no existe Software no licenciado. Además, existe el riesgo de que se supere el número
de licencias instaladas, respecto a las adquiridas (considerando el tipo de licenciamiento y la
cantidad de usuarios o estaciones permitidas). Dado lo anterior, podrían existir violaciones
de seguridad en los sistemas, ataque por virus, acceso indebido o alteraciones por terceros en
la información de la Institución.
CRITERIO:
RECOMENDACIONES:
A la Unidad de Informática
CONDICIÓN:
Sin embargo, este procedimiento no diferencia las actividades que se deben realizar para un
tiquete de tipo incidente, solicitud o problema, por lo que únicamente se reciben tiquetes y
se les da un tratamiento igual para todos los casos. El procedimiento tampoco establece los
criterios para establecer el nivel de urgencia de un tiquete ni la supervisión de los tiempos de
resolución.
CRITERIO:
RECOMENDACIÓN:
A la Unidad de Informática:
2. En caso de que la mesa de servicios lo permita, configurarla de tal manera que se ajuste a
la recomendación 1 del presente hallazgo.
CONDICIÓN:
A partir de la revisión de los datos almacenados en la base de datos de activos del INAMU,
se determinaron las siguientes posibles inconsistencias:
CRITERIO:
Al Área de Proveeduría:
CONDICIÓN:
Como parte de las actividades de administración que realiza la Unidad Informática, se han
efectuado los siguientes esfuerzos para la gestión de los respaldos y restauraciones:
CRITERIO:
A la Unidad Informática
Finalmente, se debe considerar que las bitácoras deben ser desarrolladas con base en los
requerimientos de cada área usuaria, y actualizarlas periódicamente según los cambios en las
necesidades que van surgiendo, además deben ser validadas por al menos un usuario del área,
con el fin de comprobar la calidad de la información.
Al no contar con lineamientos formales sobre las revisiones los roles y perfiles ni con el
seguimiento de las pistas de auditoría, así como realizar revisiones formales de las mismas,
no se garantiza que la calidad de la información es la adecuada, así como los perfiles y
permisos otorgados a cada usuario correspondan a los necesarios para sus funciones.
CRITERIO:
RECOMENDACIONES:
A la Unidad de Informática:
2. Las jefaturas de las áreas usuarias de los sistemas deberán designar al menos una
persona encargada de realizar las revisiones de los perfiles y permisos, y el
seguimiento de las pistas de auditoría, además, el responsable deberá notificar a la
Unidad de Informática los resultados de las revisiones efectuadas, con el propósito de
reportar las posibles inconsistencias presentadas en los datos o en los permisos
asignados. Por otro lado, si algún sistema no requiere la revisión de estas bitácoras
deberá la jefatura notificar y justificar formalmente dicha situación a la Unidad de
Informática.
3. Analizar las pistas de auditoría que maneja BOS HT con el fin de identificar si esta
herramienta cuenta con bitácoras necesarias, suficientes y completas para poder
realizar las revisiones periódicamente.
CONDICIÓN:
Producto de la revisión efectuada a los sistemas del INAMU por medio de entrevistas con las
personas usuarias de los mismos, se determinaron deficiencias en la herramienta BOS HT.
Se detallan a continuación algunos casos que fueron revisados y comentados con los usuarios:
• Contabilidad
BOS HT SARI
o El módulo presupuesto no está integrado con otros módulos del sistema BOS
HT, es totalmente independiente.
o Los datos que maneja el módulo presupuesto son ingresados manualmente por
el usuario, donde el presupuesto determinado para cierto año es cargado
mediante un archivo.
CRITERIO:
RECOMENDACIONES:
1. Designar los recursos tanto humanos como técnicos necesarios para poder conformar
un equipo multidisciplinario liderado por la Unidad de Informática, las jefaturas y
otras personas usuarias finales que utilizan la herramienta BOS HT, con el fin de
lograr:
CONDICIÓN:
Se determinó que, como parte de las acciones para mejorar el procesamiento de las planillas
del INAMU de manera automatizada, se realizó una contratación para un nuevo sistema
llamado SARI. El proyecto finalizó en junio del año 2014 y se evidencio mediante el
formulario de aprobación del 30 de mayo de ese mismo año, la aprobación por parte de la
Jefa de la Unidad de Informática, la Coordinadora de Financiero Contable y la Coordinadora
de Recursos Humanos del 4° y 5° entregable sobre el funcionamiento paralelo y la liberación
del Software a producción.
Durante el año 2014 se realizó una contratación con la empresa TECAPRO, el cual
implementó una interfaz entre el sistema SARI y BOS HT, además, según se indica por parte
de la Jefatura de la Unidad de Informática se han iniciado diferentes paralelos entre ambos
sistemas de planillas, sin embargo, no se ha logrado finalizar completamente las pruebas, a
pesar de que este sistema SARI se encuentra en un ambiente de producción, no es el sistema
oficial que se utiliza para el procesamiento de las planillas y se continúa utilizando el sistema
BOS HT.
Se evidencio, además, que se han realizado gestiones para organizar y lograr la finalización
de las pruebas desde el año 2014, así como la atención de nuevos requerimientos y mejoras,
se detallan algunos ejemplos:
• Mediante el oficio UIN-0136-2014 de diciembre de 2016 se remite a la encargada del
Área de Recursos Humanos un informe de cumplimiento sobre los casos reportados
por parte de dicha área, de los cuales un 87% correspondían a errores de digitación y
el 13% restante fueron mejoras.
• Mediante el oficio UIN-0099-09-2015 de setiembre de 2015 se remite un informe al
Director Administrativo para informar el seguimiento del paralelo del sistema SARI,
mencionando que la mayoría de casos reportados como errores se deben a una falta
de configuración de parámetros o de digitación/corrección de datos y errores en BOS
HT.
• Mediante el oficio UIN-0018-04-2016 de abril de 2016 se remite a la Directora
Técnica un informe sobre el paralelo del SARI y se comunica el retraso en el
cronograma.
• Mediante el oficio UIN-0041-05-2016 de mayo de 2016 se remite a la Directora
Técnicas y la Directora Administrativa una propuesta de trabajo para iniciar un nuevo
paralelo.
• Mediante el oficio UIN-0133-11-2016 de noviembre de 2016 se remite a la Directora
Administrativa un informe de la situación actual del tercer paralelo de SARI.
• Mediante el oficio UIN-0003-01-2017 de enero de 2017 se remite a la Directora
Administrativa algunas recomendaciones antes de implantar en producción el sistema
Dado lo anterior, no se identifica que el sistema SARI genere grandes problemas o errores,
más bien, la Coordinadora del Área de Recursos Humanos indica que según las pruebas que
se han realizado, para los casos en que se generan diferencias entre SARI y BOS, este último
es el que realiza los cálculos de manera errónea. Por otra parte, se identifica ha existido
problemas en el cumplimiento del cronograma.
Al no finalizar con las pruebas correctamente según el cronograma, no se garantiza que todos
los procesos del sistema funcionen de manera correcta, por lo que no se logra utilizar el SARI
como sistema oficial de planillas, lo que provoca que el uso de los recursos tanto humanos
como económicos no sean eficientes en el tiempo; además, que continúa un retrabajo y
reproceso de las funciones de distintas áreas del INAMU, en especial las de Recursos
Humanos.
CRITERIO:
RECOMENDACIONES:
CONDICIÓN:
Mediante una entrevista con la persona usuaria experta del sistema SIPAMU se realizó una
revisión funcional del sistema, del cual se identificaron los siguientes aspectos:
Se indica por parte de la persona usuaria que se han efectuado capacitaciones al personal del
Área de Desarrollo Regional en el ambiente de producción y no en un ambiente de pruebas.
Además, se agrega por parte de la jefatura de la Unidad de Informática que a la fecha no se
cuenta con ambiente de desarrollo dado que el sistema fue recibido hace más de 4 años y se
encuentra en producción.
Se indica por parte de la persona usuaria experta del sistema, que existen algunos usuarios
en el sistema SIPAMU con un rol de tipo administrador donde estos no deberían tener dicha
asignación, sino un rol de tipo facilitador que tiene permisos limitados.
El sistema permite el registro de datos de tipo texto en campos que deberían ser de tipo
numérico, como se muestra en el campo llamado “Teléfono2” de la siguiente imagen:
RECOMENDACIONES:
1. Designar los recursos tanto humanos como técnicos necesarios para desarrollar e
implementar las oportunidades de mejora indicadas en la condición del presente
hallazgo, además considerar los requerimientos pendientes de implementar del
sistema SIPAMU, según oficio ADR-144-2017 emitido por el Área de Desarrollo
Regional el cual fue dirigido a la Unidad Informática.
2. Verificar que los controles de entrada de datos de los campos de tipo numérico no
permitan el ingreso de datos de tipo texto, en caso de que se presente una condición
de este tipo implementar las debidas validaciones en el sistema.
3. Garantizar que las pruebas que se realicen en el sistema, una vez que se implementen
cambios o mejoras, se realicen en un ambiente de pruebas.
4. Realizar las gestiones necesarias para mantener actualizados los manuales de usuario.
5. Realizar un análisis de los roles asignados a las diferentes personas usuariass del
sistema SIPAMU con el fin de verificar que estos cuentan con los permisos necesarios
y suficientes para desempeñar sus funciones. En caso de que se identifiquen cuentas
de usuario que requieren ser ajustados a nivel de roles y permisos, se debe tramitar
con la Unidad de Informática una solicitud para modificar dichos permisos, haciendo
uso de lo indicado en las políticas para la seguridad lógica de la plataforma
tecnológica del documento política para la Gestión Operativa.
HALLAZGO 15: DEBILIDADES EN LA SEGURIDAD FÍSICA DEL CUARTO DE
SERVIDORES. RIESGO BAJO.
CONDICIÓN:
Se identificaron las siguientes debilidades en la seguridad física del cuarto de servidores del
INAMU:
1. No existe un medidor de humedad.
2. Existen paredes con ventanas de vidrio, así como la puerta, por lo que es visible
desde el exterior.
3. No existe una cámara de vigilancia para el monitoreo de la entrada del cuarto de
servidores.
4. Se encuentra en un pasillo público
Cabe mencionar que por medio del oficio UIN-0088-08-2016 de agosto del año 2016 se
remite a la Directora Administrativa la solicitud para cumplir con las recomendaciones de
dicho hallazgo, sin embargo, se obtiene como respuesta en el oficio DAF-230-08-2016, que
dichos cambios representan rubros económicos significativos para la Institución, los cuales
no pueden ser atendidos en este momento.
CRITERIO:
A la Unidad Informática:
1. Realizar las gestiones para atender las debilidades indicadas en la condición del
hallazgo, donde se instale un dispositivo deshumedecedor que controle la humedad.
Además, considerar como mínimo el polarizado total de las paredes y puerta de
vidrio, o alguna otra técnica que evite la visibilidad hacia el interior, y la instalación
de una cámara de seguridad para monitorear la entrada del cuarto de servidores.
A la Presidencia Ejecutiva:
Como parte de las acciones realizadas de manera interna y extraoficial en la Unidad de Informática, se desarrolló una
estructura funcional (no organizativa) para organizar las funciones y tareas que se realizan, incluyendo: sistemas de
información (no se ha contratado ninguna persona), plataforma tecnológica, administración de proyecto y apoyo
administrativa, todo liderado por la jefatura TI.
Por otra parte, como parte de las acciones a nivel institucional, se aprobó la contratación temporal de tres plazas de
ESTADO
profesional Operativo, de las cuales se contrató a 2 personas para apoyar las labores relacionadas con la Unidad de
Informática. Además, se aprobó dos plazas en propiedad para la Unidad de Informática, una de Profesional Operativo
y un Profesional Especialista, para esta última, se trasladó la plaza N°257 destacada en la Contraloría de Servicios a
la Unidad de Informática, cabe mencionar que no ha sido posible realizar la contratación de una persona a la fecha.
Sin embargo, a pesar de que se identifica que se han realizado esfuerzos para dotar a la Unidad de Informática de
personal para cumplir con sus laboras, algunas de las plazas son temporales, además, no se identifica que se haya
realizado un análisis y actualización del manual de puestos, antes de considerar la contratación del personal,
Se evidencia que por medio del oficio UIN-0088-08-2016 de agosto del año 2016 se remite a la Directora
ESTADO Administrativa la solicitud para cumplir con las recomendaciones de dicho hallazgo, sin embargo, se obtiene como
respuesta en el oficio DAF-230-08-2016, que dichos cambios representan rubros económicos significativos para la
Institución, los cuales no pueden ser atendidos en este momento. Sin embargo, se indica como no aplica y se redacta
un nuevo hallazgo actualizado al periodo.
HALLAZGO 03: VULNEABILIDADES EN EL SISTEMA BOS
1. Implementar un modelo de almacenamiento y gestión de la información mediante el cual se resguarde la
integridad de los datos procesados en el sistema BOS, este modelo debe garantizar:
RECOMENDACIÓN o La gestión efectiva contra la duplicidad de registros.
o Que las personas usuarias solamente tengan acceso a la información mediante el perfil formalmente
establecido para ellos en el sistema.
La Administración solicita para el POI 2018-2019 la integración de la adquisición del Sistema de Gestión Financiero
COMETARIOS DE LA Administrativa SIGA, sin embargo, ya se ha integrado el presupuesto anteriormente.
ADMINSITRACIÓN
Ver archivos del SIGA.
Por otra parte, se evidencia que los respaldos son enviados al Banco Nacional para su debido resguardo, la
periodicidad del envío está definido en el plan de continuidad de la plataforma tecnológica y la Dirección
Administrativa en conjunto con Archivo es la encargada del traslado al Banco.
HALLAZGO 06: CARENCIA DE UN PLAN INTEGRAL DE CONTINUIDAD
1. Desarrollar y formalizar un plan integral de continuidad, que considere:
o Procedimientos para estar preparados antes de un desastre.
o Análisis del impacto sobre el negocio (BIA).
o Estrategia de recuperación.
o Declaración de desastre.
o Recursos de TI a recuperar.
RECOMENDACIÓN
o Equipos responsables con sus roles.
o Procedimientos para trabajo en contingencia.
o Procedimientos para trabajo de recuperación.
El desarrollo de este plan deberá considerar y valorar los esfuerzos que la unidad de informática ha gestionado
en materia de continuidad. El plan deberá ser probado periódicamente, y actualizado siempre que ocurra algún
cambio que afecte la continuidad de las operaciones.
COMETARIOS DE LA Debe desarrollarse este proyecto a nivel Institucional liderado por la administración superior.
ADMINSITRACIÓN
N/A
Se evidencia la existencia de un plan de continuidad de TI de la plataforma tecnológica del INAMU, sin embargo,
este plan carece de algunos elementos necesarios para garantizar la continuidad de TI respecto a los servicios críticos
ESTADO que ofrece a la Institución, por lo que se indica como no aplica y se redacta un nuevo hallazgo actualizado al periodo.
N/A
Se indica como no aplica y se redacta un hallazgo actualizado al periodo sobre debilidades funcionales y de
integración del sistema BOS.
ANEXO I
El detalle de la evaluación de la calidad funcional según las personas usuarias a los sistemas
del INAMU detallados en el cuadro anterior, se muestran en el gráfico siguiente:
14%
Calidad de la Información 43%
43%
43%
29%
29%
Trabajos entregados con puntualidad
Respuesta en blanco
Siempre
43% Generalmente
14%
Disponibilidad para atender 43%
Ocasionalmente
requerimientos
Rara vez
Nunca
Excelente
Satisfactorio
Servicio Proporcionado Aceptable
14%
43% Deficiente
43%
No
Si
71%
29%
43%
29%
Cubre las necesidades Respuesta en blanco
29%
adecuadamente el sistema
Todas
La mayor parte
Parcialmente
No las cubre
Excelente
Satisfactoria
Insuficiente
Capacitaciones recibidas
en materia informática No se proporciona
29%
14%
57%
• Desde hace muchos años urge un Sistema de registro único e impacto múltiples.
Sistemas que se desea incluir
• Cambiar todos los módulos.
• Requerimos de un sistema ágil, robusto y seguro que integre toda la información
administrativa financiera de registro único con impactos múltiples, mediante el cual
se alimente todos los procesos relacionados de forma automática.
Mejoras al sistema
• No se considera conveniente seguir haciendo mejoras a un sistema tan viejo.
• Se requiere de un sistema completamente nuevo con la mejor plataforma o tecnología
actualizada que garantice realizar las tareas de forma automatizada para contar con
información ágil, confiable y oportuna que pueda ser brindada o consultada por las
personas funcionarias en tiempo real, que suministre toda la información con los
formatos requeridos a nivel interno y de las instituciones rectoras y fiscalizadoras,
• Lo que se requiere es la adquisición de un sistema de información financiera
integrado, por cuanto el actual sistema no cumple con este requisito indispensable.
• Integración de módulos, generación de expedientes más expeditos.
• Se requiere de un Sistema Administrativo Financiero, de registro único con impactos
múltiples que genere la información desde la persona que solicita un trámite.
RECOMENDACIÓN
Tipos de Riesgo
ALTO
MEDIO
BAJO
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
El ingreso al edificio, a cada piso y al cuarto
A.1 Proceso de autorización de ingreso ✓ de servidores se efectúa mediante tarjeta de
proximidad.
✓
Personal interno y externo debidamente El personal interno usa gafete de
A.2
identificado (gafete) identificación.
Cada unidad o área del INAMU es
responsable de gestionar el uso del equipo.
A.3 Revisión de equipos de ingreso y salida ✓ Las actividades de traslado o préstamo de
equipo cómputo son registras mediante una
boleta.
Cualquier persona que debe ingresar al
✓
Bitácoras de acceso al edificio y centro cuarto de servidores debe ser registrarse en
A.4
de cómputo una bitácora indicando la fecha, nombre,
motivo de ingreso y firma.
El acceso se realiza con tarjeta de
✓
Acceso restringido a personal de proximidad y llave. Solo la Jefatura de TI y
A.5
informática definido el Profesional Especialista del Unidad
Informática tienen autorizado el ingreso.
✓
Se cumple con esta condición. Existe una
A.6 Una sola vía de acceso
sola vía de acceso al cuarto de servidores.
Las personas externas solo pueden ingresar
✓
al cuarto de servidores acompañado con un
A.7 Externos son acompañados por internos
personal autorizado de la Unidad
Informática.
La puerta posee dos controles de acceso,
mediante tarjeta de acceso y llave, además
✘
las bisagras se encuentran por dentro del
A.8 Puerta de acceso segura
cuarto de servidores. No obstante, la puerta
para acceder al cuarto de servidores es de
vidrio.
✘
sin embargo, para acceder al cuarto de
A.10 Alarmas de detección de intrusos
servidores se requiere una tarjeta de acceso
con el debido permiso asignado y la llave.
✘
Monitoreo de la entrada por cámara de
A.11 No existe cámara de vigilancia.
seguridad
✓
Ubicación en un sitio seguro (lugares
A.12 Se cumple con esta condición.
colindantes)
A.13 Lugar completamente cerrado ✓ Se cumple con esta condición.
✘
Existen paredes de material de cristal y
A.14 Paredes de concreto
paredes de gypsum.
✓
El cielo raso o techo falso se encuentra
A.15 Cielo raso sellado
debidamente sellado.
✓
Los equipos de comunicación y servidores se
A.16 Equipos ubicados en rack
encuentran en un rack
✓
Todos los racks se encuentran asegurados y
A.17 Los racks están asegurados
se requiere una llave para acceder.
✓
Cableado de datos independiente del
A.18 Se cumple con esta condición.
eléctrico
A.19 Cableado entubado y canaleteado ✓ Se cumple con esta condición.
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
B.1 Hay pararrayos ✓ El edificio posee un pararrayos.
✓
Interruptor de emergencia en la sala de Existe un interruptor o alarma de emergencia
B.3
cómputo (palanca) dentro del cuarto de servidores.
✓
Cableado eléctrico debidamente
B.4 Se cumple esta condición.
entubado o cubierta contra incendios
✓
Los equipos del cuarto de servidores se
B.5 Conexión de los equipos a UPS
encuentran conectados.
✓
Se encuentra ubicada dentro del cuarto de
B.6 UPS ubicada en un sitio seguro
servidores.
✓
Se cumple esta condición. Se realizan
B.7 Pruebas periódicas de la UPS (bitácora)
revisiones de la UPS mensualmente.
✓
UPS en contrato de mantenimiento
B.8 Se cumple esta condición.
preventivo y correctivo
B.9 Conexión a Planta eléctrica ✓ El edificio posee dos plantas eléctricas.
✓
Planta eléctrica ubicada en un sitio Las plantas eléctricas se encuentran en el
B.10
seguro sótano, y soportan todo el edificio.
Se cumple esta condición, estas pruebas las
✓
Pruebas periódicas de la planta
B.11 realiza la Administración del edificio como
eléctrica
parte del mantenimiento incluid.
✓
Planta eléctrica en contrato de Esta incluido dentro del servicios que brinda
B.12
mantenimiento preventivo y correctivo la Administración del edificio.
Según lo indicado por el personal de la
Unidad Informática no existen luces de
✘
Luces de emergencia en el centro de
B.13 emergencia, no obstante, el edificio posee
cómputo o cercanías
dos plantas eléctricas como medida de
contingencia del fluido eléctrico.
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
✓
Equipo de aire acondicionado Existe un equipo de aire acondicionado para
C.1
independiente para el centro de datos el cuarto de servidores.
✘
Equipo de respaldo para el aire Existe un único equipo de aire
C.2
acondicionado acondicionado en el cuarto de servidores.
✓
Contrato de mantenimiento preventivo El mantenimiento lo realiza los encargados
C.3
y correctivo del edificio.
✘ ✓
Control y monitoreo de humedad y Monitorio de temperatura, pero no de
C.4
temperatura humedad
D. DESASTRES NATURALES
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
D.1 Brigada de emergencias ✓ Existe una brigada de emergencias.
✓
Se realizan capacitaciones al personal de TI
D.2 Capacitación del personal
cada año.
✓
Rutas de evacuación y salidas de
D.3 Se cumple con esta condición.
emergencia
D.4 Señalización ✓ Se cumple con esta condición.
✓
Fácil acceso por Unidades de
D.6 Se cumple con esta condición.
Bomberos
Se cumple con esta condición, existe un
✓
Sistemas de detección de
D.7 detector de humo dentro del cuarto de
humo/calor/fuego
servidores.
✓
Sistemas automáticos y manuales de
D.8 Se cumple con esta condición.
alarma
✓
Extinguidores cercanos portátiles Se identificaron 5 equipos de extinción
D.9
(revisados al día) contra incendios de tipo B y C
No existen aspersores o un sistema de
✓
supresión de oxígeno dentro del cuarto de
D.12 Uso de aspersores
servidores, no obstante, se cuenta con
extintores de clase B y C.
No existe piso falso en el cuarto de
✓
servidores, no obstante, existe un cielo falso
D.11 Pisos falsos
y los racks cuentan con canaletas para
administrar el cableado.
El cuarto de servidores no cuenta con un
D.12 Desnivel en el piso ✓ desnivel en el piso, sin embargo, se ubica en
el tercer piso del edificio.
E. FALLAS HARDWARE
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
Se cuenta redundancia de los servicios
críticos, por ejemplo, redundancia de las
✓
bases de datos SQL, aplicaciones críticas de
E.1 Redundancia de servidores críticos
la institución, redundancia en el
almacenamiento (SAN) y clúster de Hyper
V.
F. FALLAS SOFTWARE
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
Actualmente se está realizando una encuesta
para medir el impacto de los servicios,
importancia de la continuidad, medir la
✘
Política de uso de recursos utilización de los servicios y determinar
F.1
(prioridades en procesos) cuánto tiempo pueden estar fuera de servicio.
Sin embargo, esto se encuentra en proceso y
la definición de SLAs es un proyecto que no
ha sido aprobado.
Se utiliza la herramienta de Microsoft Team
F.2 Control de cambios ✓ Foundation para llevar un control y gestión
de los cambios de software.
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
Existe redundancia de los enlaces de
comunicación y los equipos de red. Por otro
✓
lado, en las sedes donde no existe
G.1 Redundancia de equipos y enlaces
redundancia se cuentan con equipos de
comunicación de respaldo “MiFi” en caso de
perder la conexión a Internet.
Se tiene un contrato con la empresa Systenet
la cual realiza el mantenimiento de los
G.2 Mantenimiento preventivo ✓ enlaces de comunicación una vez al año, en
conjunto con el equipo de cómputo de la
institución.
Se tiene un contrato con la empresa Systenet
la cual realiza el mantenimiento de los
G.3 Mantenimiento correctivo ✓ enlaces de comunicación una vez al año, en
conjunto con el equipo de cómputo de la
institución.
H. RESPALDOS Y RECUPERACIÓN
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
H.1 Política de respaldos ✓ Se cumple con esta condición.
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
I.1 Política de antivirus ✓ Se ha definido una política de antivirus.
✓
El programa antivirus se actualiza
I.3 Actualización del antivirus
diariamente.
✓
Administración de incidentes y
I.4 Se cumple con esta condición.
problemas
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
Existe una política para el control de acceso
✓
lógico, donde se establecen aspectos como
J.1 Política de acceso lógico
los tipos de usuario que tienen acceso a la
información de los sistemas.
Se cumple con esta condición. Se ha
✓
establecido un control de acceso a las
J.2 Control de acceso a aplicaciones
aplicaciones y se realiza un registro de las
pistas de auditoría
Los jefes de unidades son los responsables
de solicitar el acceso o modificación de los
✘
permisos, llevan un seguimiento desde la
J.3 Monitoreo de usuarios y accesos
herramienta de mesa de servicio, sin
embargo, no se evidencia un lineamiento que
norme este proceso de monitoreo.
K. ADMINISTRACIÓN DE OPERACIONES
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
Se han efectuado capacitaciones tanto al
personal técnico como al personal de la
✓
institución, entre ellas:
K.1 Capacitación personal técnico
Capacitaciones sobre el sitio colaborativo,
Office 365, System Center e implementación
del antivirus McAffe.
L. RIESGOS DE LA GESTIÓN DE TI
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
¿Se tienen definido un plan estratégico
✘
Se cuenta con un PETI, sin embargo, se
L.1 para TI alineado con el de la
encuentra desactualizado.
organización?
✓
¿El Plan estratégico ha sido divulgado
L.2 Se cumple con esta condición.
a los niveles que corresponde?
Se han definido políticas, sin embargo, no se
cuenta con algunos procedimientos como la
✘
¿Se tienen definidas las políticas y
L.3 gestión de respaldos y restauraciones o de
procedimientos para TI?
gestión de calidad de los procesos y servicios
de TI.
¿Se tiene definido el apetito de riesgos
✓
Se ha definido un apetito de riesgos a nivel
L.4 para TI? (Nivel de riesgo que la
institucional y a nivel de TI.
institución quiere aceptar)
¿Los riesgos que la organización se
encuentra dispuesta a aceptar se Los riesgos de TI son enviados a la
L.5 encuentran aprobados formalmente por ✓ presidencia con copia a la administración y a
la Administración y el Comité de la auditoría.
Auditoría?
✓
¿El mapa de riesgos es revisado y
L.6 Es revisado anualmente.
actualizado periódicamente?
Se cumple con esta condición. Se
✓
¿La evaluación de riesgos considera
L.7 contemplan aspectos como el impacto
elementos cualitativos y cuantitativos?
económico en la institución.
✓
¿Los riesgos de TI son revisados con Son enviados y revisados por la presidencia,
L.8
los usuarios del sistema? planificación y auditoría.
✘
¿Se han establecido los protocolos para configuraciones no formalizado, pero no se
L.10
la realización de copias de seguridad? cuenta con un procedimiento formalmente
establecido.
Se han establecido políticas en el tema de
seguridad de la información. Por otro lado,
¿La seguridad de la información es un
se está realizando una encuesta para medir el
✓
tema de seguimiento para la alta
L.11 impacto de los sistemas, los niveles de
gerencia como para el Comité de
sensibilidad, medir la utilización de los
Auditoría?
servicios y determinar los niveles de
prioridad.
¿Las políticas y procedimientos Las políticas y procedimientos de TI se
relacionados con TI son revisados y actualizan periódicamente. Se realizó un
L.12 actualizados periódicamente, ✓ curso para el estudio de las normas técnicas
considerando los cambios en la y las políticas para la gestión operativa de la
industria y la regulación externa? Unidad Informática del INAMU.
¿Se tiene definido el perfil para cada
L.13 cargo de TI y los colaboradores ✓ Se cumple con esta condición.
vinculados cumplen con el mismo?
¿Se tienen definidas y divulgadas las Las funciones y responsabilidades se han
L.14 funciones y responsabilidades de cada ✓ definido y publicado en un portal web de la
colaborador del área? institución.
¿Las responsabilidades de cada nivel y
L.15 colaborador, parten del principio de ✓ Se cumple con esta condición.
segregación de funciones?
¿La creación de usuarios y la
✓
asignación de los permisos y/o perfil en
L.16 Se cumple con esta condición.
los aplicativos es solicitada y aprobada
formalmente por cada líder de área?
¿Los usuarios de las herramientas
✓
conocen formalmente sus
L.17 Se cumple con esta condición.
responsabilidades con el uso de las
mismas?
✓
¿Se monitorea el estado de los equipos
L.19 Se cumple con esta condición.
(Hardware)?
¿La seguridad física de las
instalaciones donde operan los equipos
L.20 y personas de TI, es evaluada y revisada ✓ Se cumple con esta condición.
periódicamente, cumplimiento con los
protocolos establecidos?
¿La organización desarrolla un plan de Se ha desarrollado un plan de formación en
formación integral tanto para los temas de uso y seguridad de las herramientas
✓
miembros de TI como para los usuarios o sistemas para el personal de TI y las áreas
L.21
de la herramienta, orientado al uso, usuarias.
seguridad y ética en la utilización de las Por ejemplo, se han realizado capacitaciones
mismas? sobre el sitio colaborativo y Office 365.
Actualmente, se está efectuando el primer
paso, mediante la realización de una
¿Se han establecido indicadores de encuesta para medir el impacto de los
✘
gestión que permitan medir el sistemas, los niveles de sensibilidad, medir
L.22
desempeño de las herramientas como la utilización de los servicios y determinar
de los colaboradores del área? los niveles de prioridad. Sin embargo, no se
han establecido indicadores para medir el
desempeño de las herramientas.
¿Se han implementado planes de acción
✘
correctivos, para aquellos casos en que Según lo anterior, no se cumple con esta
L.23
los indicadores presentar resultados condición.
inferiores a los esperados?
¿Se han adquirido pólizas de seguro
L.24 para eventos de riesgos en el área de ✓ Se cumple con esta condición.
TI?
¿Cada proyecto de TI tienen definidos
Se cumple con esta condición. Además, se
y documentos los riesgos tanto de su
✓
definen aspectos como el alcance,
L.25 desarrollo como de la puesta en
especificaciones técnicas, grupos de trabajo,
marcha, así como tiene la proyección
responsabilidades, entre otros.
de recursos financieros a invertir?
M. SISTEMAS DE INFORMACIÓN
Vulnerabilidad
✘-✓
Centro de Tipo de
Condición Comentarios Observaciones
Cómputo riesgo
SÍ NO
Los accesos son autorizados por la jefatura
de cada unidad. La solicitud se efectúa
✓
Los accesos son autorizados por un mediante un formulario de servicio técnico
M.1
nivel superior. (por medio de tiquetes) y se realiza la
notificación de los accesos mediante correo
electrónico.
La jefatura de cada unidad envía la
notificación para desactivar los usuarios no
autorizados, además, recursos humanos de
✘
Los accesos otorgados son revisados forma constante envía un listado del personal
M.2
periódicamente. que debe ser revocado de sus permisos. Sin
embargo, no se establece un lineamiento
formal para la revisión periódica de los
accesos.
✘
Se pueden rastrear las operaciones usuarios, sin embargo, no se realizan
M.5
realizadas por los usuarios por medio revisiones periódicas de las pistas de
de los logs auditoría.
✓
Se cuenta con una política de copias de
M.6 Se cumple con esta condición.
seguridad y de restauración.
La información sensible se encuentra La información gestionada mediante la
M.7 protegida de modificaciones no ✘ herramienta BOS no se encuentra
autorizadas. debidamente protegida ante modificaciones.
✓
Se cumplen con los niveles de
M.8 Se cumple con esta condición.
seguridad físicos para los servidores.
✓
Asignación de usuarios y claves
M.9 Se cumple con esta condición.
personalizada
Segregación de funciones entre los
M.10 niveles que solicitan, realizan, ✓ Se cumple con esta condición.
aprueban y monitorean los cambios.
Alertas para los niveles que autorizan
M.11 los cambios cuando los mismos se ✓ Se cumple con esta condición.
realizan.
Las modificaciones en las bases de
✓
datos son realizadas por un área
M.12 Se cumple con esta condición.
independiente a la que utiliza la
información.
Las operaciones realizadas por los usuarios
✓
Los cambios en la base de datos en las bases de datos pueden rastrearse o se
M.13
permiten tener la trazabilidad de quien puede tener una trazabilidad de los cambios
los realiza por medio de los logs. efectuados.
✓
Se tiene un número reducido de
M.14 Se cumple con esta condición.
administradores.
✓
Definición y documentación de la
M.16 Se cumple con esta condición.
Política de Cambios
Segregación de funciones entre el
M.17 desarrollador, aprobador y responsable ✓ Se cumple con esta condición.
de administrar en producción
✓
Aprobación del usuario final de los
M.18 Se cumple con esta condición.
cambios.
Asignación usuarios y permisos, previo
✓
requerimiento y aprobación del
M.19 Se cumple con esta condición.
Director y/o Responsable del área que
utiliza la aplicación.
Reportes periódicos de los cambios que
se consideran críticos en las Se envía la notificación por medio de correo
M.20 aplicaciones, para validar su ✓ electrónico a través de la herramienta Team
autorización por parte del nivel Foundation.
aprobador de los cambios.
Validación periódica de los cambios en
M.21 permisos y asignación de usuarios por ✓ Se cumple con esta condición.
parte del nivel autorizador.
✘
Bloqueo de usuarios retirados, previa Se identificaron algunos casos que no fueron
M.22
comunicación de Gestión Humana. bloqueados
Revisión periódica de la compatibilidad
Periódicamente se solicita un listado de
de los accesos otorgados de acuerdo
✓
usuarios a recursos humanos para desactivar
M.23 con el reporte de funciones de Gestión
usuarios no autorizados en el active
Humana y el principio de segregación
directory.
de funciones.
No se realiza un bloqueo de personas
funcionarias, debido a que los servicios se
✓
mantienen activos durante todo el año. Por
M.24 Bloqueo de usuarios en vacaciones
ejemplo, los Centros Especializados de
Atención y de Albergue Temporal se
mantienen en operación durante todo el año.
✓
Certificaciones externas sobre la
M.26 Se cumple con esta condición.
calidad del servicio prestado.
Se definen aspectos de privacidad con el
proveedor. Por ejemplo, se establecen
✓
Suscripción de un acuerdo sobre
M.27 cláusulas de confidencialidad en el
privacidad con el proveedor.
documento de términos de referencia, cartel
y contrato con el proveedor.
✓
Plan de contingencia para migrar a otro
M.28 Se cumple esta condición.
servidor
Se cumple con esta condición. Por ejemplo,
✓
Plan de capacitaciones en seguridad, en el curso de inducción al nuevo personal se
M.29
para los usuarios con accesos más brinda información sobre seguridad de la
vulnerables. información.
✓
Cifrar las bases de datos más sensibles,
M.30 Se cumple con esta condición.
junto con controles de monitoreo.
Limitar el acceso a los datos y/o
✓
solicitar mayores autenticaciones, de Existen datos que solo se pueden acceder
M.31
acuerdo al dispositivo y al lugar desde desde la red interna del INAMU.
donde se ingresa.
Para acceder a los datos privados de la
institución por medio de dispositivos
móviles solo se puede efectuar mediante una
red inalámbrica privada del INAMU, para el
Instalar en los dispositivos móviles
✓
cual se requiere la debida autorización y las
M.32 parches que permitan aislar los datos de
credenciales necesarias para acceder a la
la compañía de los personales.
información. Por otro lado, se encuentran las
redes públicas del INAMU, donde estas
están restringidas para acceder a la
información sensible.
La solicitud de restauración de datos es
✘
Se realizan pruebas periódicas sobre la realizada a petición de alguna área usuaria,
M.33
recuperación de datos. sin embargo, no se evidencia pruebas
periódicas ni un protocolo que lo norme.