CONTRALORA GENERAL DE LA REPBLICA

CONTRALORA REGIONAL DE COQUIMBO

CONTROL EXTERNO
Informe Final
Universidad de La Serena
Fecha 28 de Junio de 2011
NInforme: 31/2011
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
SED REMITE INFORME FINAL QUE INDICA.
CE 280
2603 /
OFICIO N
LA SERENA, 2 8 JUN. 2011
Adjunto, para su conocimiento y fines
pertinentes, un ejemplar del Informe Final N 31, de 2011, elaborado por personal de
esta Contralora Regional, relacionado con una auditora sobre el ambiente informtico
en la Universidad de La Serena.
Saluda atentamente a Ud.,
ir
\ :(Y\ ~ ~ 0 ,
GUSTAV JORDAN ASTABURUAGA
Conlralor Regional de Coquimbo
C:Jnlralora General de la Repblica
AL SEOR
CONTRALORINTERNO
'\ UNIVERSIDAD DE LA SERENA
(
GPRESENTE
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
SED
REMITE INFORME FINAL QUE INDICA.
CE 279
2602
OFICION_ --'--___,
LA SERENA, 28 JUN. 2011
Adjunto, para su conocimiento y fines
pertinentes, un ejemplar del Informe Final N 31, de 2011, elaborado por personal de
esta Contralora Regional, relacionado con una auditora sobre el ambiente informtico
en la Universidad de La Serena.
Sobre el particular, conforme con las
conclusiones del citado informe, corresponde que esa universidad, instruya un proceso
sumarial con la finalidad de establecer las responsabilidades administrativas por los
incumplimientos a la ley N 19.886, de Bases de Contratos Administrativos de
Suministro y de Prestacin de Servicios y su reglamento, contenido en el decreto N
250, de 2004, del Ministerio de Hacienda, como asimismo, la contravencin a la ley
N 18.575, Orgnica Constitucional de Bases Generales de la Administracin del
Estado. Asimismo, deber adoptar las medidas tendientes a subsanar situaciones
observadas, cuya efectividad se constatar en una prxima visita a esa entidad.
Saluda atentamente a Ud.,
n ~
! I I h ~ r
GUSTAVO JORDAN ASTABURUAGA
Contralor Regional de Coquimbo
Contralora General da la Repblica
AL SEOR
RECTOR
UNIVERSIDAD DE LA SERENA
PRESENTE
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
PREG 4006 INFORME FINAL N 31, DE 2011, SOBRE
FISCALIZACiN DEL AMBIENTE
INFORMTICO EN LA UNIVERSIDAD DE
LA SERENA.
LA SERENA,
12 8JUN. 2011
En cumplimiento del Plan Anual de
Fiscalizacin de esta Contralora Regional para el ao 2011, se efectu una auditora
sobre el ambiente informtico en la Universidad de La Serena.
OBJETIVO.
Realizar una revisin del ambiente informtico
en la Universidad de La Serena, para verificar la seguridad de la informacin utilizada
por la entidad en trminos de confidencialidad y disponibilidad de la informacin,
conforme a la Norma Chilena de Seguridad N 2.777, la que fue declarada norma
oficial de la Repblica de Chile por resolucin exenta N 92, de 7 de marzo de 2003,
del Ministerio de Economa, Fomento y Reconstruccin, reemplazada por la norma
NCh ISO 27.002, mediante la resolucin exenta N 1.535, de 27 de agosto de 2009,
de la citada cartera ministerial.
METODOLOGA.
El examen se realiz de acuerdo con la
metodologa de auditora de este Organismo Superior de Control, el cual incluy el
anlisis de procesos, pruebas selectivas de los registros y documentos, como
asimismo, la aplicacin de otros medios tcnicos en la medida que se estimaron
necesarios.
AL SEOR
GUSTAVO JORDN ASTABURUAGA
(\ CONTRALOR REGIONAL DE COQUIMBO
(\ PRESENTE
l./ NANLWC
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
Esta auditora utiliza algunos de los artculos
de la normativa aplicable a las Tecnologas de Informacin y Comunicaciones, "TIC",
de conformidad con lo dispuesto en los decretos supremos del Ministerio Secretara
General de la Presidencia, MINSEGPRES, que a continuacin se indican:
N83/2004: Norma Tcnica para los rganos de la Administracin del Estado,
la cual lista las condiciones mnimas para tener seguridad y confidencialidad
en los documentos electrnicos.
N93/2006: Norma Tcnica, la cual seala los requisitos mnimos para reducir
la recepcin de mensajes electrnicos masivos no deseados, en las casillas
electrnicas de los rganos de la Administracin del Estado y de sus
fu nciona rios.
COBERTURA.
La revisin incluy a las siguientes reas:
Controles generales de tecnologas de la informacin, TI.
o Controles de bienes de TI.
o Incidentes de seguridad.
o Plan de contingencia.
o Poltica de seguridad.
o Seguridad del personal.
o Seguridad fsica.
o Seguridad organizacional.
o Recepcin de mensajes no deseados.
o Transporte de la informacin.
o Licenciamiento de software.
Contratos vigentes.
ANTECEDENTES GENERALES.
Producto de la fusin de las ex sedes
regionales de la Universidad Tcnica del Estado y Universidad de Chile, por decreto
con fuerza de ley N 12, de 1981, se crea la Universidad de La Serena, corporacin de
derecho pblico, autnoma, con patrimonio propio, dedicada a la enseanza y al
cultivo superior de las artes, las letras y las ciencias.
Los estatutos de la universidad fueron
aprobados a travs del decreto con fuerza de ley N 158, de 1981, Y sus
modificaciones, en los que se establecen que la autoridad mxima est representada
por la Junta Directiva, en tanto el gobierno y la administracin es ejercido por el Rector
de dicha casa de estudios superiores.
Por otra parte, se define a lo que se entiende
por objetivos de confidencialidad y disponibilidad de la informacin, sujetos de esta
revisin, a lo siguiente:
2
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
Confidencialidad: medidas de proteccin de
la informacin, para asegurar que sta sea conocida slo por quienes estn
autorizados para ello, es decir, quienes poseen los permisos y responsabilidades
correspond ientes.
Disponibilidad: infraestructura tecnolgica
que asegure que los usuarios tengan un acceso adecuado de los sistemas y
oportunidad en la entrega de informacin, esto es un tiempo de desfase apropiado en
la entrega de informacin con respecto a las reglas de negocio.
Mediante oficio N 1.939, de 2011, esta
Contralora Regional remiti al Rector de la Universidad de La Serena el preinforme
de observaciones N 31, de 2011, con el objeto de que tomara conocimiento e
informara sobre los alcances formulados.
Seguidamente, de acuerdo a sendas
solicitudes de ampliacin de plazo requeridas por esa Casa de Estudios Superiores
para dar respuesta al citado preinforme de auditora, se concedieron prrrogas hasta
el 10 Y 17 de junio, segn oficios N2.024, de mayo y N 2.396, de junio del presente
ao, respectivamente.
Sin embargo, a la fecha de la emisin del
presente informe final, esa entidad no ha dado respuesta al preinforme de
observaciones.
1.- Descripcin del rea de Informtica.
La Universidad de La Serena crea mediante
decreto N 377, del 8 de agosto de 1989, el Centro de Informtica y Computacin de
la Universidad de La Serena, CICULS, unidad que depende orgnicamente de la
Rectora.
La organizacin interna del CICULS es
dirigida por su director, bajo este cargo se han definido informalmente las reas de
operaciones/auditora y seguridad, desarrollo e ingeniera de software, conectividad y
redes, gestin de base de datos, arquitectura de software e infraestructura. En
conjunto estas reas permiten ejecutar el plan de trabajo y servicios que el CICULS
proporciona a la casa de estudios y a la comunidad estudiantil.
En el citado decreto, tambin se aprueban las
polticas para el desarrollo informtico en la Universidad de La Serena, PDIULS, como
tambin la creacin del Comit de Conduccin Informtica, CCI, cuyas funciones son
las de planificar y controlar el plan de desarrollo informtico institucional, velar por el
cumplimiento y reformulacin de las polticas informticas, canalizar los
l'\f.. equerimientos de los usuarios, coordinar el desarrollo informtico en toda la
corporacin y definir estndares de hardware y software.
(
V
l
3
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
El CICULS cuenta con una dotacin de cinco
funcionarios de planta, nueve a contrata y trece honorarios, totalizando un equipo de
27 personas para asumir las labores mencionas.
De acuerdo a la informacin proporcionada
por el centro y lo detectado en el recorrido efectuado a la facultad de ingeniera,
Departamento de Personal, CICULS y Biblioteca Irma Salas, esa casa de estudios
superiores, mantiene los siguientes sistemas de informacin en explotacin:
PTFI
Soporte Phoenix
Moodle.ULS
Administrativos
Sistema de informacin para apoyar
administrativa.
Sistema de informacin financiero, fue comprado con Global Serviee
de fuentes incluidos.
Entregar servicios de soporte y gestin de requerimientos a la
comunidad universitaria de la Universidad de La Serena,
sistema basado en o abierto Ticket 1.9.
Sistema de informacin para el apoyo a la Labor Docente,
mediante modalidad semi-presencial, basado en el proyecto
abierto e-Iearni Moodle.
Sistema de Gestin del Plan Estratgico de Desarrollo de la CICULS
Universidad, est basado en el sistema Soporte Phoenix.
de Bib Dynix
Serena, software sin
Sistema de Apoyo a la Gestin Institucional.
Registro y Control de Permisos Administrativos CICULS
Registro de Licencias Mdicas
11.- Controles Generales de Tecnologa de la Informacin (TI).
2.1.- Control de Bienes de Tecnologa de la Informacin.
La entidad fiscalizada no ha dado
cumplimiento a lo establecido en los artculos 13 y 37 letra c), del decreto supremo
N 83, de 2004, del Ministerio Secretara General de la Presidencia, en relacin a lo
siguiente:
No existe un registro consolidado a
nivel institucional de los bienes TI, no siendo posible adems, determinar la cantidad
total de computadores y perifricos que la casa de estudios posee. Cabe mencionar
que los registros contenidos en el mdulo de activo fijo perteneciente al sistema PTFI,
no se encuentran actualizados.
De la revisin en terreno efectuada al
CICULS, facultad de ingeniera, biblioteca y Departamento de Personal, se detectaron
computadores sin identificacin de placa o nmero de inventario. En este mismo
\ contexto, los catastros de equipos TI proporcionados por las mencionadas
, \reparticiones, se encontraban desactualizados e incompletos o no posean registros
(
(J}de su inventario local.
4
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORiA REGIONAL DE COQUIMBO
CONTROL EXTERNO
Al respecto esa Corporacin Estudiantil
deber adoptar las medidas correctivas que subsanen las observaciones
precedentemente establecidas, debiendo levantar un catastro de todos los bienes TI,
debidamente identificado por reparticin y en forma individual, como asimismo, adherir
las placas identificatorias con el correspondiente nLlmero de inventario.
2.2.- Incidentes de Seguridad.
En relacin a los incidentes de seguridad de la
informacin, que dice relacin sobre todo acto que atente contra la confidencialidad y
disponibilidad de la informacin, se determin que la corporacin estudiantil, no da
cumplimiento a lo establecido en el artculo 37, letra d), del citado decreto supremo
N 83, de 2004, respecto de los siguientes aspectos:
Carece de un procedimiento formal
para informar incidentes de seguridad yen el cual se establezca, explcitamente, que
el informe debe ser elaborado a la brevedad.
No existen instrucciones formales
sobre la obligacin de informar incidentes de seguridad.
El Comit de Conduccin Informtica
no ha impartido instrucciones formales para la realizacin de monitoreo y
almacenamiento estadstico de los incidentes ocurridas, sus caractersticas,
frecuencia, tipo, costos asociados y procedimientos de contingencia efectuados.
Los docentes, personal administrativo u
otros usuarios que acceden a los sistemas, no han sido informados de que no deben
intentar efectuar pruebas sobre cualquier deficiencia sospechosa en los sistemas.
Sobre el particular, la Universidad de La
Serena, con el objeto de regularizar las observaciones indicadas deber elaborar
procedimientos que permiten registrar, controlar e informar los incidentes de
seguridad, como asimismo, sobre el uso de los sistemas.
2.3.- Plan de Contingencia.
La Universidad de La Serena no ha dado
cumplimiento a los artculos 24, 35 Y 37, del decreto supremo N 83, de 2004, del
Ministerio Secretara General de la Presidencia en lo que dice relacin con lo
siguiente:
No existen instrucciones formales a
nivel institucional, que disponga el respaldo de la informacin de los computadores
personales asignados a usuarios, por lo menos una vez al ao.
Sin perjuicio de lo anterior el CICULS tiene
'implementada procedimientos internos para la realizacin de respaldos semanales de
LJIOS equipos de sus funcionarios.
(
5
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
La corporacin universitaria no ha
formulado un plan de contingencia para asegurar la continuidad de las operaciones
crticas de todos los sistemas de informacin de la Institucin. Cabe mencionar que tal
documento debe ser oficial y debe incluir la coordinacin con la polica, bomberos,
autoridades directivas, etc., debiendo ser elaborado por el encargado de seguridad,
cargo inexistente al momento de la visita.
Se detect que los respaldos realizados
a los sistemas de informacin SAGI, biblioteca y sitio web institucional "userena.cl", no
tienen la misma periodicidad y criterios de respaldo, que los utilizados para el
resguardo de los sistemas vinculados al motor de datos Oracle.
Cabe mencionar que el ltimo respaldo
completo del sitio web institucional se realiz el 31 de enero de 2011; seguidamente,
existe un respaldo de similares caractersticas, ejecutado el 10 de mayo del presente,
inmediatamente posterior a las indagaciones realizadas por el equipo fiscalizador de
esta Contralora Regional.
Sobre los respaldo de la aplicacin SAGI,
stos fueron realizados el 1 de abril de 2011 a solicitud del encargado tcnico del
mismo, segn registro ingresados en el sistema de soporte Phoenix.
Sobre el particular llama la atencin que al ser
consultado el mencionado encargado, sobre dnde y quien realizaba los respaldos del
sistema SAGI, declar no tener claridad sobre quin era el responsable de realizar
esa tarea.
En relacin al proceso de respaldo del
SIBULS, stos se mantienen en un disco duro externo, que al momento de la
fiscalizacin presentaba fallas en su funcionamiento. A su vez, el encargo del sistema
indic que posee copias de respaldo en su residencia particular.
No se almacenan los respaldos de la
informacin critica junto con los procedimientos para su restablecimiento en una
instalacin emplazada fuera de edificio donde se encuentra la sala de servidores.
En cuanto a las observaciones establecidas
en este punto, esa casa de estudios deber elaborar instrucciones formales a nivel
institucional para el respaldo de la informacin, tanto en servidores como
computadores personales y, de sus procedimientos de restablecimiento. Igualmente
deber implementar un plan de contingencia corporativo, el que debe incluir la
coordinacin con las autoridades y organismo de seguridad y de emergencia.
Esa entidad deber considerar, para efectos
de una adecuada seguridad de los respaldos, ubicarlos en dependencias distintas a
aquellas donde se encuentren los servidores.
2.4.- Poltica de Seguridad.
Se verific que la entidad auditada ha incurrido
en incumplimientos a lo contemplado en los artculos 11, 25, 28, 31, 32, 33 Y 37 a) del
n
decreto supremo N 83, de 2004, del Ministerio Secretara General de la Presidencia
en cuanto a lo siguiente:
{J
6
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
No existe una poltica de seguridad
oficial, que documente la seguridad del documento electrnico, mecanismos de
difusin de contenidos al interior del organismo, que considere reevaluaciones
peridicas, incluya consecuencias en caso de no cumplirla, que defina responsables
de la generacin de informes ante incidentes de seguridad y que sea aprobada por el
Rector de la corporacin.
No todos los computadores de la
corporacin se encuentran protegidos mediante antivirus con licencia vigentes, cabe
mencionar que la casa estudiantil adquiri un total de 150 licencias de antivirus Trend
Micro, para ser instaladas en equipos donde operen los sistemas PTFI y PTDI, sin
embargo esa cantidad no cubre la demanda total de la Institucin.
En visita a terreno a computadores
pertenecientes a la universidad, se constat la utilizacin de antivirus libre o de
evaluacin, donde es importante indicar, que analizados los acuerdos de licencias de
software, exclusivamente permiten su uso con fines domsticos o privados. En el
siguiente cuadro se muestra con mayor detalle:
Contabilidad, Personal
Personal, Ingenierla en Minas.
Avast! Free Permitido su uso personal y privado.
AVG Free
Nod32
Permitido su uso personal y no comercial.
No se puede utilizar con intencin de evitar el
pago de la tasa de licencia. Se puede utilizar la
versin de prueba exclusivamente para verificar
y probar las funciones o para fines
demostrativos.
No existen instrucciones sobre la
conveniencia de que los usuarios tengan cuentas de correo electrnico distintas para
efectos de su uso personal. De igual forma, no existe normativa oficial sobre el uso de
casillas de correo institucional.
La autoridad no ha impartido instruccin
sobre la prohibicin de instalacin de software no autorizados; al respecto, cabe
mencionar que el documento PDIULS en el prrafo de polticas especficas hace
mencin, que la universidad adquirir exclusivamente software original con su
respectiva licencia, pero no incluye ningn prrafo que prohba expresamente el uso
de software no licenciado. Asimismo, cabe agregar, que el captulo de
comunicaciones, por tratarse de un documento confeccionado hace 2 dcadas, no
incluye instrucciones de seguridad en el uso de la red interna, internet, correo
electrnico y servicios de mensajera.
No existen preceptos que precisen las
responsabilidades que les corresponden a los usuarios en caso de comprometer a la
enviando correos electrnicos difamatorios, uso para hostigamiento y
d)coso, compras no autorizadas, etc.

7
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
No se promueven buenas prcticas
para reducir el riesgo de acceso no autorizado a documentos electrnicos o sistemas
informticos, como por ejemplo las de pantalla limpia.
La Universidad de La Serena deber elaborar
una poltica de seguridad integral de acuerdo a lo dispuesto por la normativa vigente.
De igual manera, deber arbitrar las acciones necesarias para suplir las actuales
carencias de licencias de antivirus y evitar el uso de software de proteccin de
versiones libres y de software no autorizados, e instruir sobre el correcto uso de las
casillas de correo institucionales.
2.5.- Seguridad del Personal.
La Universidad de La Serena, respecto a
materias de seguridad del personal, no ha dado cumplimiento a lo sealado en los
artculos 21, 37 letra d) y 37 letra g), del decreto supremo N 83, de 2004, del
Ministerio Secretara General de la Presidencia, en relacin a lo siguiente:
Los actos administrativos de
nombramiento de recursos humanos y sus respectivos contratos, tanto en calidad de
planta y contrata, no incluyen clusulas que expliciten responsabilidades de seguridad
sobre la informacin, uso de los sistemas informticos, proteccin de los datos e
informacin.
Al personal que cumple funciones de
jefatura y que tiene acceso a informacin sensible, no se les realizan chequeos
peridicos de sus antecedentes financieros.
Las responsabilidades de seguridad
electrnica del personal no se incluye expresamente en los nombramientos o
contrataciones.
Los contratos del personal no
consideran clusulas que especifiquen sanciones si un funcionario intenta un acceso
no autorizado en los sistemas informticos.
La totalidad del personal de planta,
contrata, temporal y externo no ha firmado acuerdos de confidencialidad o de no
divulgacin, excepto el personal que cumple funciones en el CICULS, que si tienen
firmado un acuerdo de confidencialidad.
Sobre los hallazgos incluidos en la seccin
seguridad del personal, ese servicio deber impartir instrucciones tendientes a incluir
en los actos administrativos de nombramientos o contratacin de personal, clausulas
relativas a la seguridad y confiabilidad de la informacin.
2.6.- Seguridad Fsica.
En la entidad fiscalizada, se detect el
l' incumplimiento de lo sealado en los artculos 17, 18 Y37 letra e) del decreto supremo
r \ N 83, de 2004, del Ministerio Secretara General de la Presidencia, en lo que dice
tY relacin con los siguientes aspectos:
8
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
El servidor ubicado en el Centro
Tecnolgico de la Facultad de Ingeniera, CETECFI, no se encuentra conectado a un
suministro ininterrumpido de energa elctrica, UPS, dispositivo que presenta
problemas tcnicos en su funcionamiento.
Adems la sala de servidores donde se
encuentra alojado el mencionado servidor, no cuenta con un sistema de aire
acondicionado que permita regular la temperatura y humedad de los equipos.
Similar situacin ocurre en la oficina empleada
para albergar a los servidores en la biblioteca, la que no tiene un sistema de aire
acondicionado.
La sala de servidores del CICULS, no
tiene un interruptor de emergencia de energa elctrica cerca de su puerta de acceso,
similar situacin sucede en el CETECFI y Biblioteca Irma Salas.
No se han publicado instrucciones
relativas al no consumo de alimentos, bebidas y tabaco en las cercanas de los
sistemas informticos.
El permetro de seguridad fsico de la
sala de servidores de la biblioteca no se encuentra claramente definido, ni restringido
en forma adecuada para el acceso de personal no autorizado.
El CETECFI y biblioteca no tienen
implementado controles fsicos de entrada al permetro de la sala de servidores
mediante el cual, soliciten la cdula de identidad como identificacin vlida en el caso
de los chilenos yel pasaporte en el caso de los extranjeros.
Ninguna de las salas de servidores,
CETECFI, CICULS y biblioteca, inspeccionadas, tienen puerta cortafuego con alarma.
Las salas de servidores del CICULS,
CETECFI y biblioteca, no tiene instalado sistemas de deteccin de intrusos que
cubran todas las puertas y ventanas.
La sala de servidores del CICULS no dispone
de un UPS que permita soportar la carga total de los equipos cuando suceda un corte
prolongado del suministro elctrico.
El generador de energa de respaldo,
no se encuentra operando en lnea y es de una capacidad inferior a las necesidades
de consumo de la sala de servidores del CICULS, por otra parte, las salas de
servidores del CETECFI y biblioteca, no poseen generador de energa de respaldo.
No se aportaron antecedentes que
permitan acreditar la ejecucin peridica de pruebas en el funcionamiento de UPS que
se encuentran destinadas a proveer de energa a los servidores institucionales, similar
situacin ocurre con el generador de respaldo.
Se detect que ninguna de las salas de
servidores visitadas cuenta con luces de emergencia.
9
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
El edificio donde se encuentra ubicada
la sala de servidores del CICULS no tiene proteccin contra rayos.
No mantienen una bitcora donde se
registren las reparaciones correctivas y preventivas realizadas a los equipos de la sala
de servidores del CICULS.
Sobre las observaciones determinadas en la
visita efectuada, esa corporacin deber implementar en todas las salas de servidores
la infraestructura que permita proteger y/o alertar la amenaza de humo, fuego, agua,
polvo, suministro elctrico, amenazas de la naturaleza, acceso no autorizado, actos
vandlicos o de sabotaje, en concordancia con la normativa que regula este tpico.
2.7.- Seguridad Organizacional.
Sobre el acpite de la seguridad
organizacional en la corporacin universitaria, se debe mencionar que no se ha dado
cumplimiento a lo estipulado por los artculos 12 y 37 letra b) del decreto supremo
N 83, de 2004, del Ministerio Secretara General de la Presidencia, en relacin a los
siguientes aspectos:
No se ha designado un encargado de
seguridad mediante un acto administrativo, en el que se consignen las siguientes
responsabilidades:
a) Desarrollo inicial de las polticas de seguridad al interior de la
organizacin, del control de su implementacin y la supervisin de su
correcta aplicacin.
b) Coordinar respuestas a incidentes computacionales.
c) Establecer puntos de enlace con los encargados de seguridad de otros
organismos pblicos y especialistas externos para estar en conocimiento
de las tendencias, normas y mtodos de seguridad pertinentes.
d) No existe un comit de gestin de seguridad de la informacin que revise
y monitoree los incidentes de seguridad de la informacin.
Sobre el particular, esa institucin le
corresponder designar a un encargado de seguridad, tal como lo establece el artculo
12 del decreto supremo N 83 ya citado, quin deber dar cumplimiento a las tareas
que le asigna el artculo 37 letra b, del sealado decreto supremo.
2.8.- Recepcin de Mensajes Masivos no Solicitados.
En cuanto a las acciones que la Universidad
de La Serena ha realizado tendientes a controlar la recepcin de mensajes
electrnicos no solicitados, es atingente mencionar que la plataforma de correos
electrnicos utilizada para estos fines es suministrado por el producto Google Apps for
Education, de la empresa transnacional Google Inc., sin perjuicio de lo anterior, se
aprecia el incumplimiento de los artculos 2, 9 Y tercero del decreto supremo N93, de
\ 2006, del Ministerio Secretara General de la Presidencia y que se individualizan a
(lJ continuacin:
\
10
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
No se han desarrollado, documentado
ni difundido polticas de uso, almacenamiento, acceso y distribucin de mensajes
electrnicos.
No est implementada y adoptada una
gura de proteccin de casillas de correos electrnicos.
No se han individualizado pblicamente
a los responsables de la implementacin, aplicacin y control de la gua de proteccin
de casillas electrnicas.
No existe una orden de servicio y un
procedimiento oficial para dar de baja de manera inmediata las casillas de correos
electrnicos de funcionarios desvinculados de la Institucin.
Sobre el particular, se detectaron un total de 8
casillas de correos vigentes de funcionarios desvinculados, de acuerdo a lo verificado
en la consola de administracin de correos del CICULS; a saber:

No existe implementacin de
procedimientos de rechazo de correos entrantes en la casilla de correo electrnico de
un funcionario desvinculado y, que en respuesta al rechazo, el servidor de correo
ponga a disposicin de quienes hayan enviado dichos mensajes, una o ms casillas
electrnicas alternativas a las cuales redirigirse.
Sobre la plataforma Google Apps for
Education, es pertinente mencionar que se encuentra en produccin desde el ao
2007, los principales servicios entregados son de mensajera electrnica, agenda,
mensajera instantnea y edicin en lnea de documentos y planillas electrnicas, para
un total de 1.626 cuentas de correo institucional vigentes, cuya capacidad mxima por
cada cuenta es de 8 gigabyte, totalizan un mximo de 13 terabyte de almacenamiento
que eventualmente mantendra el proveedor en sus servidores.
En situaciones, donde los usuarios completan
su cuota mxima de almacenamiento, el administrador de correos procede a
desactivar dicha cuenta de correos y realiza un proceso de respaldo a otra cuenta
identificndola con el mismo nombre pero agregando el identificador u_bk01", este
traspaso demora entre 2 a 3 das. Luego de este lapso de tiempo, el usuario puede
tener acceso a su correo con los ltimos mensajes recibidos durante la migracin y
tambin puede acceder a los histricos en la cuenta con nombre terminado en "01", si
se tratase de sus primeros 8 gigabyte.
11
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
Analizado el acuerdo de licencia de este
servicio, es pertinente indicar que la clusula N 15 estipula un perodo de vigencia
inicial de 1 ao, con renovacin automtica por 3 perodos adicionales, es decir,
caduca al cumplir el cuarto ao desde que se inicia el servicio, que para el caso en
estudio, corresponde el ao 2011, sin embargo, no se aportaron antecedentes
precisos sobre la fecha exacta de su inicio.
Asimismo, cabe agregar que durante el
perodo de vigencia, este servicio no tiene costo para el cliente, no obstante en la
clusula N16 indica que: " ... Google ofrece el presente Servicio sin cargo alguno
durante el perodo de vigencia; sin embargo, se reserva el derecho de aplicar una
tarifa por dicho servicio una vez 'finalizado este perodo".
En atencin al punto anterior y los
antecedentes a disposicin, no son del todo claro los siguientes aspectos:
a) La tarifa que el proveedor aplicar una vez terminado el perodo de
vigencia de la gratuidad.
b) Los funcionarios que participaron en la aprobacin y autorizacin de este
acuerdo, entre la corporacin fiscalizada y Google Inc.
c) Los procedimientos, plazos y tiempos involucrados en la migracin de la
informacin contenida en el universo de cuentas de correo contenida en
los servidores del proveedor una vez caducada la gratuidad.
d) El plazo que el proveedor concede a la universidad para desalojar el
espacio utilizado.
e) No se evidencia que se estn arbitrando medidas que permitan contar con
otro servicio a partir del trmino del acuerdo con Google Inc.
Sobre las observaciones constatadas se debe
indicar que la organizacin deber implementar polticas e instructivos sobre el
correcto uso de la mensajera electrnica.
Asimismo, deber elaborar y ejecutar
procedimientos que permitan una formal y oportuna coordinacin entre la Direccin de
Recursos Humanos y el CICULS, para efectuar las modificaciones correspondientes
por los cambios del personal.
En relacin al acuerdo suscrito por esa casa
de estudios y la empresa Google Inc. es preciso sealar que deber efectuar un
estudio sobre las condiciones financieras y de operatividad, habida consideracin que
{\ el plazo de vigencia de este servicio gratuito, termina en el presente ao, por lo que
ocorrespondera evaluar alternativas para la citada plataforma.
12
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
2.9.- Transporte de Informacin.
En la entidad visitada no se advierte una
formalizacin de procedimientos y nombramiento de una persona responsable en la
transmisin, despacho y recepcin de informacin y software, tales como
procedimientos para notificar el envo, transmisin, despacho y recepcin, normas
tcnicas mnimas para empaquetar y transmitir, responsabilidades en el evento de
prdidas de datos, entre otras; en concordancia a lo especificado en el artculo 37
letra f) del decreto supremo N83, del Ministerio Secretara General de la Presidencia.
Sobre el particular se debern arbitrar las
medidas necesarias para nombrar a un responsable del transporte de la informacin,
segn lo indicado en el artculo 37, letra f)
2.10.- Licenciamiento de Software.
En cuanto al software o aplicaciones
informticas que se encuentran en operacin dentro de la universidad, se detectaron
las siguientes situaciones:
No existe claridad sobre la cantidad de
licencias de software que la corporacin posee y la cantidad de software no licenciado
que se encuentra en uso, escenario que vulnera el artculo 19 de la ley N 17.336.
No se advierte una poltica de
adquisicin de software original, que se encuentre en concordancia a lo sealado en
el documento de polticas para el desarrollo informtico en la Universidad de La
Serena y que se puede apreciar en el siguiente cuadro resumen:
CICULS
Personal, Contabilidad
Microsoft Windows Sin Licencia, equipos
Filemaker Pro 11 Sin Licencia, utilizado para registrar permisos
administrativos, licencias mdicas y activo fijo.
La Universidad adquiri en su momento
versiones 3 5 de este roducto.
Microsoft Windows
Biblioteca, Mecnica XP
CE"rECFI, CICULS, Microsoft Office
Personal, Contabilidad,
Biblioteca
CETECFI Cafesuite Sin
7 original Microsoft Windows Vista.
13
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
Se observa la violacin de los acuerdos
de licencia de software en versiones gratuitas, evaluativas o demostrativas que se
encuentran en uso en los computadores propiedad de la corporacin, en los
siguientes casos:
Solo permitido su uso en labores no productivas ..
Evaluation
CICULS, Personal Toad for Oracle
En el caso de la versin libre permite instalar en un
mximo 5 mquinas, caso contrario se debe
adquirir el producto. En la ULS se encuentra
instalado al menos en 9 computadores.
www.guest.comllegalldocuments/Product
Guide.pdf
clusula nmero 1 del acuerdo de licencia
permite el uso exclusivo para fines de evaluacin y
las pruebas en un solo sistema informtico. No se
puede usar el programa para cualquier propsito
de desarrollo, comerciales o de produccin.
CIC Powerdesigner
En relacin a la carencia de licencias de
software, la universidad deber regularizar esta situacin y adoptar las medidas
necesarias para dar cumplimiento a la normativa que regula esta materia.
Asimismo, deber mantener un catastro
actualizado de los software's adquiridos por la universidad y disponer de medidas que
propendan al uso de aplicaciones que incluya dentro de sus trminos y condiciones su
uso en esa universidad.
111.- Contratos Vigentes.
En cuanto a contratos relacionados con las
tecnologas de la informacin, suscritos entre la corporacin auditada con los
proveedores, se puede identificar y observar lo siguiente:
La Universidad de La Serena suscribi
un contrato con el consorcio universitario REUNA, el 23 de Agosto de 2005, para
acceso a la red universitaria nacional e internet.
El citado convenio establece que las tarifas y
anexos tcnicos, previamente determinados, sern modificables a facultad de
REUNA, de conformidad a las polticas y acuerdos adoptados por la asamblea de la
corporacin. Al respecto, es preciso sealar que tales modificaciones no pueden estar
sujetas a la sola voluntad yen forma unilateral del prestador del servicio, toda vez que
dichos actos podran originar un dao financiero a la Universidad.
Asimismo, se advierte la ausencia de un
decreto o resolucin aprobatoria del convenio, por parte de la universidad.
Mediante decreto exento N 747 de 13
de Julio de 2006 se aprueba contrato con la empresa Adexus S.A., por concepto de
i\ mantencin y soporte de equipos de interconexin de redes de datos, sin que al efecto
6J se hubiese efectuado un proceso licitatorio pblico.
14
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
Al respecto, es preciso sefialar que esa
entidad no se rigi por las disposiciones de la ley N 19.886, de Bases de Contratos
Administrativos de Suministro y de Prestacin de Servicios ni por su reglamento,
contenido en el decreto N250, de 2004, del Ministerio de Hacienda, normas a las que
debe atenerse, por cuanto el servicio requerido se encuentra entre las materias
consideradas en la citada ley, incumpliendo, en trminos generales, con lo estipulado
en el artculo 18 de la ley, que la obliga, en lo que interesa, a cotizar, licitar, contratar y
adjudicar, y en general, a desarrollar todos sus procesos de adquisicin y
contratacin, utilizando slo los sistemas electrnicos o digitales que establezca la
Direccin de Compras y Contratacin Pblica. En tal contexto, corresponde indicar
que la seleccin del servicio debe ser a travs de un mecanismo concursal de
licitacin pblica, en la cual los interesados presenten la propuesta ms conveniente a
los intereses del servicio, en condiciones de igualdad de trato y pLlblica difusin del
llamado a participar, de acuerdo a los principios de transparencia, libre concurrencia y
competencia de los oferentes y de estricta sujecin a las bases establecidas para
cada procedimiento.
Finalmente, es preciso recordar, que las
universidades estatales se encuentran afectas al cumplimiento de la ley N 19.886,
toda vez que se entiende obligatoria a todos los sectores de la administracin pblica
a que se refiere, entre las que se encuentra, por su naturaleza, la citada casa de
estudios.
Por otra parte, el convenio en anlisis, estipula
en su clusula dcimo primera, que su duracin ser de cuatro afios y su renovacin
automtica por perodos sucesivos de un afio.
Sobre el particular, el carcter de la citada
clusula contraviene el principio de libre concurrencia consagrado en el artculo 9 de
la ley N 18.575, Orgnica Constitucional de Bases Generales de la Administracin del
Estado, lo que asimismo no parece conciliable con el sistema de licitacin pblica
establecido en la ley N 19.886, ya mencionado, cuya finalidad es asegurar la libre
concurrencia de una pluralidad de proponentes con el objeto de seleccionar la oferta
ms conveniente al inters del servicio licitante.
En otro orden de consideraciones, tambin en
la clusula dcimo primera, se establece que si por acto de autoridad, fuerza mayor o
caso fortuito, ADEXUS, se ve imposibilitada de prestar servicios, queda liberada de
todas sus obligaciones, mientras dure el impedimento. Igualmente, indica que el
cliente podr poner trmino al contrato en caso de incumplimiento grave de la citada
empresa, sin que en ninguna de ellas se especificaran las situaciones constitutivas de
dichas inobservancias, lo que no es admisible en consideracin al principio de certeza
y seguridad jurdica, tal como lo ha manifestado la Contralora General en sus
dictmenes 60.581, de 2009 y 55.721, de 2008, entre otros.
Finalmente, es preciso sefialar que el contrato
no considera el monitoreo de estos equipos ni la proteccin contra Software Malicioso,
vulnerando lo indicado en el artculo 37 letra b) del decreto supremo N83 de 2004 del
Ministerio Secretaria General de la Presidencia.
15
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
A travs de contrato de fecha 1 de
Enero de 2008 con la empresa Telefnica Empresas Chile S.A en el cual se suscriben
servicios de conectividad entre la Universidad de La Serena y la red REUNA, en el
cual no se explicita en el contrato el derecho de la Universidad a monitorear y revocar
la actividad de los usuarios del proveedor lo cual vulnera lo indicado en el artculo 37
letra b) del decreto supremo N 83 de 2004 del Ministerio Secretaria General de la
Presidencia.
Se advierte adicionalmente la ausencia de un
proceso de licitacin por mercado pblico, en conformidad con la ley N 19.886, Art. 5.
Este convenio tiene una duracin de 12 meses, sin renovacin automtica, a menos
que el cliente la solicite por escrito.
La figura sealada. tal como se ha analizado
precedentemente, contraviene lo dispuesto en las leyes N 18.575 Y N 19.886, en lo
que a la materia se refiere.
Con fecha de adjudicacin 21 de
Noviembre de 2008 y de acuerdo a la licitacin pblica ID 5416-11030-LP08, la
Universidad de la Serena y la empresa Telmex Servicios Empresariales S.A.,
suscriben con fecha 30 de Mayo de 2009, un contrato para acceso a internet
dedicado, en el que no se especifica el derecho de la Institucin para monitorear y
revocar la actividad de los usuarios del proveedor, vulnerando lo indicado en el
artculo 37 letra b) del decreto supremo N83, de 2004 del Ministerio Secretaria
General de la Presidencia.
De igual modo que en el anlisis de los
contratos anteriores, no procede que esa autoridad acuerde la renovacin automtica
de la vigencia y duracin de la prestacin de los servicios.
Con fecha 21 de noviembre de 2008 la
empresa Telmex Servicios Empresariales se adjudica la licitacin pblica ID 5416
11031-LP08 contrato para el servicio red de datos-intercampus, del cual se puede
observar que no explicita el derecho de la Institucin para monitorear y revocar la
actividad de los usuarios del proveedor lo cual vulnera lo indicado en el artculo 37
letra b) del ya citado decreto supremo N83.
Adicionalmente se advierte la ausencia de
especificacin de restricciones en el copiado y divulgacin de la informacin, lo cual
infringe lo dispuesto en el artculo 37 letra b) del mismo decreto supremo.
16
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
CONCLUSIONES.
La Universidad de La Serena deber adoptar
las medidas necesarias con el objeto de regularizar las observaciones que se
presentan en este informe final, para lo cual deber generar iniciativas que incluyan, a
lo menos, las siguientes acciones:
1.- Dar estricto cumplimiento a lo dispuesto en
los decretos supremos N 83, de 2004, y N 93, de 2006, ambos del Ministerio
Secretara General de la Presidencia, de la ley N 17.336, sobre propiedad intelectual,
y de la norma chilena de seguridad NCh ISO 27.002, dando solucin y arbitrando las
medidas necesarias a las irregularidades sealadas en el cuerpo del presente informe,
las que consideran entre otras acciones las siguientes:
a.- Respecto del control de bienes TI y
software, efectuar un catastro de los bienes e identificarlos debidamente, de igual
forma que para las licencias y software en uso. Sobre los incidentes de seguridad,
elaborar procedimientos e instrucciones formales que incluyan aspectos de control y
de uso de los sistemas. En cuanto al plan de contingencia, emitir instrucciones a nivel
corporativo para el respaldo de la informacin y de sus procedimientos de
restablecimiento, entre otros.
b.- En cuanto a materias de la seguridad, la
universidad deber nombrar un encargado de seguridad y un responsable del
transporte de la informacin; elaborar polticas de seguridad integral que incluyan
aspectos de la organizacin, de los bienes, del personal y de mensajera electrnica.
Adicionalmente, deber arbitrar las medidas que propendan a la seguridad fsica de
los bienes, tales como elementos de proteccin y/o alerta de humo, fuego, agua, etc.
Igualmente debe, sin ms trmite regularizar el uso de software no autorizados.
c.- En cuanto a los contratos del personal,
deber incluir en los actos administrativos de nombramiento de personal, clusulas
relativas a la seguridad y confiabilidad de la informacin y, propender a la mejor
coordinacin entre la Direccin de Recursos Humanos y el CICULS, para efectuar las
modificaciones correspondientes derivados de los cambios del personal.
2.- Deber incluir en futuros contratos TI
clusulas sobre la seguridad de la informacin en concordancia al artculo 37, letra b),
que le permita a esa casa de estudios monitorear y revocar la actividad de los
usuarios del proveedor.
17
CONTRALORA GENERAL DE LA REPBLICA
CONTRALORA REGIONAL DE COQUIMBO
CONTROL EXTERNO
3.- Esa universidad deber adoptar las
medidas necesarias para cautelar su patrimonio, evitando la suscripcin de clusulas
que involucren decisiones unilaterales que afecten el pago de los servicios
contratados.
4.- La Universidad de La Serena deber dar
estricto cumplimiento a la ley de compras pblicas, Ley 19.886, y su reglamento
asociado, en todas las compras de software y hardware. En ese sentido, la
contratacin de servicios con las empresas Adexus y Telefnica Empresas Chile S.A,
se efectuaron fuera de dicho marco regulatorio, ya que la suscripcin de estos
convenios se efectu sin que se realizase un proceso licitatorio de carcter pblico
que cautelara los principios de transparencia, de libre concurrencia y competencia de
los oferentes y de estricta sujecin a las bases establecidas para cada procedimiento.
Asimismo, no procede que en estas
contrataciones se incluyan clusulas de renovacin automtica ni clusulas genricas
de trmino de los contratos, situacin que ocurri con las citadas empresas y con
T elmex Servicios Empresariales S.A.
De acuerdo a lo anterior corresponde que ese
servicio ordene la instruccin de un proceso sumarial, con el objeto de investigar los
hechos sealados en este punto y determinar las eventuales responsabilidades de los
funcionarios involucrados.
Saluda atentamente a Ud.,
18
www.contraloria.cl