INFORME N°. DFOE-BIS-IF-00017-2021 10 de diciembre, 2021

Contraloría General de la República, Costa Rica División de Fiscalización Operativa y Evaluativa

Área de Fiscalización para el Desarrollo del Bienestar Social

INFORME N°. DFOE-BIS-IF-00017-2021

10 de diciembre, 2021

INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA

SEGURIDAD DE LA INFORMACIÓN CONTENIDA EN LOS

SISTEMAS SUSTANTIVOS DEL PATRONATO

NACIONAL DE LA INFANCIA (PANI)

2021

- 2 - Contraloría General de la República

T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]

http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica

CONTENIDO 1. Introducción .......................................................................................................................... 5

ORIGEN DE LA AUDITORÍA............................................................................................................. 5 OBJETIVOS ................................................................................................................................ 5 ALCANCE .................................................................................................................................. 5 CRITERIOS DE AUDITORÍA ............................................................................................................. 6 METODOLOGÍA APLICADA ............................................................................................................. 6 GENERALIDADES ACERCA DEL OBJETO AUDITADO ............................................................................... 6 COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA ...................................................... 7 MEJORAS IMPLEMENTADAS POR LA ADMINISTRACIÓN DURANTE LA AUDITORÍA ........................................ 7 SIGLAS ..................................................................................................................................... 7

2. Resultados ............................................................................................................................. 9

DEBILIDADES EN EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ........................... 9 Políticas para la gestión de la seguridad de información……………………………………………….. 9 Gestión de Identidades………………………………………………………………………………………………… 11 Relaciones con terceros……………………………………………………………………………………………… 13 Seguridad Técnica………………………………………………………………………………………………………… 15 Continuidad de negocio……………………………………………………………………………………………….. 17 Respaldo y Recuperación de Información…………………………………………………………………… 19 Sensibilización en seguridad de la información……………………………………………………………..20

OBSOLESCENCIA TECNOLÓGICA .................................................................................................... 21

Caducidad del Internet Explorer y de los Motores de Base de Datos……………………………. 21 Controles de autenticación y entrada de datos en sistemas críticos…………………………….. 23

DEBILIDADES EN LA GESTIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN .................................................. 25

Gestión de incidentes y problemas………………………………………………………………………………. 25 Proceso de gestión de cambios……………………………………………………………………………………. 26 Mantenimiento preventivo y correctivo de hardware y software………………………………… 27 Gestión de configuraciones, versiones y de licenciamiento de software………………………. 28

3. Conclusiones........................................................................................................................ 31 4. Disposiciones ....................................................................................................................... 31

A LA JUNTA DIRECTIVA DEL PATRONATO NACIONAL DE LA INFANCIA .................................... 32 A LA SRA. GLADYS JIMÉNEZ ARIAS EN SU CALIDAD DE PRESIDENTA

EJECUTIVA DEL PATRONATO NACIONAL DE LA INFANCIA O A QUIEN

EN SU LUGAR OCUPE EL CARGO ............................................................................................ 32

BORRADOR DEL INFORME DE AUDITORÍA (TIPO DE AUDITORÍA)

SOBRE LA SEGURIDAD DE LA INFORMACION CONTENIDA EN LOS

SISTEMAS SUSTANTIVOS DEL PANI

INFORME Nro. DFOE-XX-IF-00000-201_

xx de xxx, 201_

http://www.cgr.go.cr/




Resumen Ejecutivo

¿QUÉ EXAMINAMOS?

La presente auditoría tuvo como objetivo determinar si la seguridad física y lógica de los sistemas de información sustantivos del Patronato Nacional de la Infancia aseguran la confidencialidad y disponibilidad de la información contenida en estos sistemas. En cuyo caso, se valoró específicamente el Sistema de Gestión de la Seguridad de la Información, la Obsolescencia tecnológica y la Gestión de las Tecnologías de Información, para lo cual se analizaron los sistemas Infopani, Docushare, SIAP, SIGAF (ERP) y Active Directory.

¿POR QUÉ ES IMPORTANTE?

El Patronato Nacional de la Infancia es la entidad rectora en materia de infancia, adolescencia y familia, su interés superior es la persona menor de edad y la protección de la familia como elemento sustentante de la sociedad. En ese sentido, resulta necesario garantizar la seguridad de la información contenida en los sistemas sustantivos, pues contienen datos que por su naturaleza son de carácter confidencial, y por lo tanto requieren ser protegidos de ataques, daños o accesos no autorizados.

Por lo anterior, es relevante determinar si la seguridad física y lógica de los sistemas de información sustantivos del Patronato Nacional de la Infancia aseguran la confidencialidad y disponibilidad de la información contenida en estos sistemas.

¿QUÉ ENCONTRAMOS?

Una vez concluida la presente auditoría esta Contraloría General encontró debilidades en tres ejes, a saber, el Sistema de Gestión de la Seguridad de la Información, la Gestión de las Tecnologías de Información y Obsolescencia tecnológica, aspectos que impactan negativamente en la confidencialidad y disponibilidad de la información contenida en los sistemas sustantivos del PANI.

Así las cosas, se determinó que el PANI en lo que respecta al eje de Sistema para la Gestión de la Seguridad de la Información presenta debilidades en aspectos tales como: políticas para la gestión de la seguridad de información, gestión de identidades, relaciones con terceros, seguridad técnica, continuidad del negocio, respaldo y recuperación de información y sensibilización en seguridad de la información.

En este sentido, cabe mencionar, a manera de ejemplo, que en cuanto a políticas para la gestión de la seguridad de información, se encontró que el PANI no ha elaborado, comunicado e implementado una política para la clasificación de información (que incluye activos de información). A su vez, respecto a la gestión de identidades, se encontró que, si bien el PANI cuenta con lineamientos para gestionar usuarios desde su reglamento para la gestión de TI, se carece de una matriz de autorización que defina las líneas de autoridad, es decir, las personas que aprueban una solicitud o un cambio en roles y perfiles en función de su cargo o nivel de responsabilidad.

Por su parte, en cuanto a la seguridad técnica, se evidenció que, no se han implementado controles de cifrado de datos a nivel de servidores (Base de Datos) o a





nivel de equipo de usuario final para prevenir el acceso no autorizado. Además, en lo que respecta al respaldo y recuperación de la información, entre otras cosas, no se evidenció un procedimiento para la realización de dichos respaldos y recuperación de información.

Por otro lado, se enfrenta un fenómeno de Obsolescencia Tecnológica, dada la salida de producción del explorador web que sostiene los sistemas críticos y la ausencia de soporte en motores de base de datos con versiones antiguas. Debe sumarse a esto la implementación insuficiente de la política de gestión de contraseñas y las debilidades en controles de entrada de los sistemas principales.

Por su parte, en lo que respecta al eje de Gestión de las Tecnologías de Información, se encontraron debilidades en aspectos tales como: gestión de incidentes y problemas, proceso de gestión de cambios, mantenimiento preventivo y correctivo de hardware y software, y gestión de configuraciones, versiones y de licenciamiento de software.

Dentro de este contexto, en cuanto a gestión de incidentes y problemas, se encontró entre otras cosas que, no existe una clasificación de los incidentes que considere su categorización, impacto, urgencia y prioridad; y la normativa se encuentra desactualizada dado que no ha sido revisada desde su creación en el 2010. Respecto, del proceso de gestión de cambios, se evidenció que la institución carece de procedimientos para la administración de los cambios en la infraestructura de TI.

A su vez, con respecto al mantenimiento preventivo y correctivo de hardware y software, se determinaron una serie de debilidades en aspecto puntuales, por ejemplo, el procedimiento para el mantenimiento y reparación de equipo informático carece de control de versiones, no hay evidencia de su aprobación y oficialización, y se carece de un calendario para aplicación de los mantenimientos.

Finalmente, en cuanto a la gestión de configuraciones, versiones y de licenciamiento de software, se determinó que no existen procedimientos formalmente establecidos para la identificación, control, mantenimiento y verificación de los elementos de configuración de la infraestructura de tecnologías de información,

¿QUÉ SIGUE?

Con fundamento en los resultados obtenidos y con el propósito de fortalecer la gestión que realiza el PANI se emiten una serie de disposiciones a la Presidencia Ejecutiva con el propósito de impulsar el desarrollo de una estrategia de seguridad de información que guíe la implementación de soluciones y proyectos que tiendan a fortalecer el estado de la seguridad. También se dispone establecer las bases para la implementación de un marco de gobierno y gestión de TI que permita cerrar las brechas identificadas a nivel de procesos. Las definiciones técnicas y la integración de actividades quedarán en manos del Departamento de TI a quien también se le dispone atender algunos procesos de manera inmediata como la gestión de cuentas de usuario.

.





INFORME N.O DFOE-BIS-IF-00017-2021

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS PARA EL BIENESTAR

SOCIAL

INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA SEGURIDAD DE LA INFORMACIÓN CONTENIDA EN LOS SISTEMAS

SUSTANTIVOS DEL PATRONATO NACIONAL DE LA INFANCIA (PANI)

1. Introducción

ORIGEN DE LA AUDITORÍA

1.1. El Patronato Nacional de la Infancia es la entidad rectora en materia de infancia, adolescencia y familia, su interés superior es la persona menor de edad y la protección de la familia como elemento sustentante de la sociedad. En ese sentido, resulta necesario garantizar la seguridad de la información contenida en los sistemas sustantivos, pues contienen datos que por su naturaleza son de carácter confidencial, y por lo tanto requieren ser protegidos de ataques, daños o accesos no autorizados.

1.2. Por lo anterior, es relevante determinar si la seguridad física y lógica de los sistemas de información sustantivos del Patronato Nacional de la Infancia aseguran la confidencialidad y disponibilidad de la información contenida en estos sistemas.

1.3. Así las cosas, la auditoría se ejecutó en cumplimiento del Plan Anual Operativo de la DFOE, con fundamento en las competencias que le son conferidas a la Contraloría General de la República en los artículos 183 y 184 de la Constitución Política y los artículos 12, 17 y 21 de su Ley Orgánica, N.° 7428.

OBJETIVO

1.4. Determinar si la seguridad física y lógica de los sistemas de información sustantivos del Patronato Nacional de la Infancia aseguran la confidencialidad y disponibilidad de la información contenida en estos sistemas. Valorándose específicamente el Sistema de Gestión de la Seguridad de la Información, la Obsolescencia tecnológica y la Gestión de las Tecnologías de Información.

ALCANCE

1.5. La auditoría comprendió el análisis de la seguridad física y lógica de los sistemas de información sustantivos del Patronato Nacional de la Infancia que aseguran la confidencialidad y disponibilidad de la información contenida en estos sistemas. El





periodo de análisis comprendió del 01 de enero de 2019 al 31 de diciembre de 2020, el cual se amplió cuando se consideró necesario.

CRITERIOS DE AUDITORÍA

1.6. Los criterios de auditoría se comunicaron mediante oficio N.o 15627 (DFOE-BIS-0375), del 13 de octubre del 2021, y se expusieron a la Administración en una sesión virtual celebrada el 11 de octubre de 2021.

METODOLOGÍA APLICADA

1.7. La auditoría se realizó de conformidad con las Normas Generales de Auditoría para el Sector Público, con el Manual General de Fiscalización Integral de la CGR y el Procedimiento de Auditoría vigente, establecido por la DFOE. Los procedimientos de auditoría ejecutados consideraron el análisis de la información suministrada en entrevistas y consultas escritas por funcionarios del BCCR.

1.8. La metodología utilizada se enfocó en la aplicación de técnicas y prácticas de auditoría generalmente aceptadas, tales como entrevistas, solicitudes de información, visita de campo y el análisis de la documentación.

1.9. Los resultados preliminares se analizaron con la Administración, con el objetivo de identificar posibles soluciones a los hallazgos determinados por esta Contraloría General, en sesión virtual realizada el 01 de diciembre de 2021.

GENERALIDADES ACERCA DEL OBJETO AUDITADO

1.10. El Patronato Nacional de la Infancia, PANI, se crea mediante Ley N.o 7648 de diciembre de 1996 (que deroga la ley de creación original que data de 1964, N.o 3286). Se le confieren una serie de tareas en lo que respecta a la promoción de derechos de poblaciones vulnerables, entre las que destacan niños, adolescentes y madres. Es un ente autónomo con presupuesto propio.

1.11. Es la entidad rectora en materia de infancia, adolescencia y familia, su interés superior es la persona menor de edad y la protección de la familia como elemento sustentante de la sociedad. Se apoya en un marco normativo amplio que parte de la Constitución Política y se desglosa en un conjunto de leyes, reglamentos, convenios internacionales, que tratan temas conexos.

1.12. A nivel de Organización, y en aras de cumplir sus fines, se distribuyen las tareas en dos grandes áreas temáticas o gerencias la denominada gerencia técnica y la gerencia administrativa. La primera encargada de las tareas sustantivas, entendido como la atención de denuncias, el manejo de los casos o expedientes, los cuales se atienden desde las más de 50 oficinas locales que reportan a 10 direcciones regionales. Los profesionales en trabajo social, derecho, y sicología se encargan de resolver los casos que se plantean ante sus oficinas y se valen de un conjunto de sistemas de misión crítica que sustentan los procesos materiales (investigación, protección, adopción, entre otros). Estos sistemas concentran información de naturaleza sensible en su mayoría, la cual debe ser salvaguardada adecuadamente para prevenir acceso, modificación no autorizada o pérdida de disponibilidad.





1.13. Es de igual manera relevante la protección de los legajos físicos, los cuales tienen un valor para efectos procesales y judiciales, dado que en ellos se estampa la firma de las partes interesadas en el proceso de defensa de derechos del menor o su familia.

1.14. Por su parte, el área administrativa se ocupa de procesos asistenciales que también soportan a la institución y le permiten desarrollar las actividades sustantivas, entre los que destacan contabilidad, presupuesto, gestión del recurso humano, tesorería, proveeduría etc. Estos procesos también dependen de sistemas de información cuya disponibilidad, confidencialidad e integridad es importante para el correcto desempeño del departamento.

1.15. El Departamento de TI es dependiente de la Presidencia Ejecutiva y brinda servicios de soporte y gestión a las gerencias antes mencionadas. Esta dependencia es responsable por los procesos de desarrollo de software (adquisiciones), soporte técnico, gestión de redes, gestión de seguridad de TI, y, en general, la administración de sistemas que son propiedad de los líderes de negocio.

1.16. Para efectos del presente estudio, los siguientes son los sistemas identificados como críticos por las gerencias del Patronato: Infopani, Docushare, SIAP, SIGAF (ERP)

1.17. Estos sistemas dependen de una arquitectura de información híbrida, en la que participan proveedores externos y los funcionarios del área de TI, además la mayoría de estos están publicados en la web.

COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA

1.18. El borrador del informe fue remitido a la Presidenta Ejecutiva del Patronato Nacional de la Infancia mediante el memorial N.o 21882 (DFOE-BIS-0573) del 03 de diciembre de 2021, con el propósito de que se formularan y remitieran a la Gerencia del Área de Fiscalización para el Desarrollo del Bienestar Social, las observaciones que se estimaran pertinentes sobre el contenido del documento. Sobre el particular, la Administración remitió el oficio N.° PANI-PE-OF-3802-2021, en el cual señaló no tener observaciones con respecto a dicho borrador.

MEJORAS IMPLEMENTADAS POR LA ADMINISTRACIÓN DURANTE LA AUDITORÍA

1.19. Como parte de los procedimientos de auditoría se realizó una visita al Centro de Procesamiento de Datos en oficinas centrales. Como resultado de esta visita se realizaron mejoras en la rotulación y en el señalamiento de la ruta de evacuación.

SIGLAS

1.20. A continuación, se indica el detalle de las siglas utilizadas en el informe:

SIGLAS





SIGLA SIGNIFICADO

APO Alinear Planear Organizar (por sus siglas en inglés)

BAI Construir, Adquirir, Implementar (por sus siglas en inglés)

CGR Contraloría General de la República

CMDB Base de Datos de Gestión de Configuraciones (por sus siglas en inglés)

COBIT Objetivos de Control para la Información y Tecnologías Relacionadas (por sus siglas en inglés)

DFOE División de Fiscalización Operativa y Evaluativa de la CGR

DSS Entrega Servicio y Soporte (por sus siglas en inglés)

DTI Departamento de Tecnología de Información

EDNA Expediente Digital de la Niñez y Adolescencia

ISACA Asociación para la Auditoría y Control de Sistemas de Información (por sus siglas en inglés)

ISO(/IEC) Organización Internacional para la Estandarización (por sus siglas en inglés)

MTD Tiempo Máximo de Inactividad (por sus siglas en inglés)

NCISP Normas de Control Interno para el Sector Público

NIST Instituto Nacional de Estándares y Tecnología (por sus siglas en inglés)

ONG Organización No Gubernamental

PANI Patronato Nacional de la Infancia

RPO Objetivo de Punto de Recuperación (por sus siglas en inglés)

RTO Objetivo de Tiempo de Recuperación (por sus siglas en inglés)

SGSI Sistema de Gestión de Seguridad de Información

SIAP Sistema de Información de Alternativas de Protección

SIGAF Sistema Integrado de Gestión Financiera del PANI

SQL Lenguaje de Consulta Estructurado (por sus siglas en inglés)

UPS Sistema de Alimentación Ininterrumpida (por sus siglas en inglés)

USB Bus Universal en Serie (Universal Serial Bus) Fuente: Elaboración CGR.





2. Resultados

El estudio considera las tres variables clave de la seguridad, a saber: confidencialidad, disponibilidad e integridad, las cuales se analizaron en el contexto de los controles implementados por la administración para asegurar la salvaguarda de los activos de información. Seguidamente, se detallan las oportunidades de mejora más relevantes que se identifican como resultado del examen de los principales controles relacionados con la seguridad de la información.

DEBILIDADES EN EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)

2.1. El sistema de gestión de seguridad de la información es un conjunto de políticas, procedimientos, estándares, directrices, prácticas, y demás lineamientos que tienen por objeto garantizar la protección de los activos de información en línea con los requerimientos y la estrategia del negocio.

Políticas para la gestión de la seguridad de información

2.2. Según el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST por sus siglas en inglés), el gobierno de seguridad de la información puede definirse como el proceso de establecer y mantener un marco y respaldar los procesos y la estructura de gestión para garantizar que las estrategias de seguridad de la información están alineadas con los objetivos del negocio y los respaldan, sean congruentes con las normas y las leyes aplicables mediante el cumplimiento de políticas y controles internos, y provean la asignación de responsabilidades, todo con el fin de gestionar los riesgos.

2.3. En esa línea, el primer elemento que se desarrolla es la Política de Seguridad de información, la cual es base para el desarrollo de otras políticas que, en conjunto, guían los esfuerzos en materia de seguridad. Se dice que el primer paso en la protección de activos de información, es la identificación y clasificación de tales activos, toda vez que se conoce y se entiende aquellos activos a proteger y cuáles son más críticos, a efecto de tomar decisiones con respecto a los controles que deben ser aplicados, es decir, las medidas que se despliegan van a depender de la criticidad de los sistemas, procesos, información y equipos disponibles.

2.4. En ese sentido, se determinó que el PANI no ha elaborado, comunicado e implementado una política para la clasificación de información (que incluye activos de información), desde un nivel gerencial, que abarque la institución como un todo y permita identificar por criticidad cada uno de los activos. Esa política se empareja con la definición del tiempo de conservación de información, que solamente se ha abordado para los expedientes de menores y está pendiente para otros tipos de información institucional, la cual también debe ser conservada atendiendo plazos legales o definidos por el negocio en función de su necesidad.

2.5. Aunado a lo expuesto, se evidenció que se carece de la definición de una política y el procedimiento para la destrucción segura de información, que abarque no solo los medios impresos, sino también los medios de conservación de información digital, tales





como discos duros, unidades extraíbles (CD, discos externos, unidades de memoria USB, impresoras, etc.), de manera que se garantice un debido procesamiento, previo a la destrucción o reciclaje del dispositivo, para evitar que información sensible pueda ser accesada por personas no autorizadas.

2.6. En un nivel más operativo, se encuentran ausentes otras definiciones que hacen parte de las políticas generales, referidas a la regulación sobre las unidades extraíbles (discos duros, unidades de memoria USB), la definición de una política de escritorio limpio y el uso apropiado de los medios de impresión.

2.7. Estas situaciones se presentan a pesar de que las Normas Técnicas para la gestión y el control de las Tecnologías de Información emitidas por la CGR, N.o R CO 26 2007 del 7 de junio de 2007, publicadas en la Gaceta N.o 119 del 21 de junio de 2007, en el aparte 1.4.1, inciso a), dispone que se debe “Establecer un marco metodológico que incluya la clasificación de los recursos de TI, según su criticidad, la identificación y evaluación de riesgos, la elaboración e implementación de un plan para el establecimiento de medidas de seguridad”.

2.8. Por su parte, Cobit 5 (ISACA 2012), establece en la práctica de gestión APO01.06 sobre definición de la propiedad de la información (datos) y del sistema que se deberá “Proveer políticas y directrices para asegurar la adecuación y consistencia de la clasificación de la información (datos) en toda la empresa”, además de “Definir, mantener y proporcionar herramientas adecuadas, técnicas y directrices para garantizar la seguridad y control efectivo sobre la información y los sistemas en colaboración con el propietario.” esto se logra por medio de una tercera actividad que implica “Crear y mantener un inventario de la información (sistemas y datos) que incluya un listado de los propietarios, custodios y clasificaciones. Incluir los sistemas subcontratados y aquellos cuya propiedad debe permanecer dentro de la empresa”.

2.9. En lo que respecta a la conservación y la destrucción segura de información, la práctica BAI09.03 de Cobit señala la necesidad de “Gestionar los activos desde su adquisición hasta su eliminación para asegurar que se utilizan tan eficaz y eficientemente como sea posible y son contabilizados y protegidos físicamente” esto se alcanza por medio de controles particulares como “Asignar activos a los usuarios, con aceptación y firma de responsabilidades, según corresponda” y “Eliminar los activos cuando no sirvan a ningún propósito útil debido a la finalización de todos los servicios relacionados, tecnología obsoleta o falta de usuarios”, en ese sentido se recomienda puntualmente “Eliminar los activos de forma segura, teniendo en cuenta, por ejemplo, la eliminación permanente de los datos registrados en dispositivos y posibles daños al medio ambiente”.

2.10. Por su parte, la norma ISO 27002:2009 estipula, con respecto a la clasificación de información, la necesidad de implementar ciertos controles previos. A manera de ejemplo, “Todos los activos deberían ser claramente identificados y debería realizarse y mantenerse un inventario de los activos importantes” además “Toda la información y





los activos asociados con las instalaciones de procesamiento de la información deberían pertenecer a un propietario designado por la organización”1

2.11. Una vez establecido ese contexto, según la citada norma “La información debería clasificarse en términos de su valor, requisitos legales, sensibilidad y criticidad para la organización”. Así las cosas, “La clasificación de información y otros controles de protección asociados deberían tener en cuenta que el negocio necesita compartir o restringir la información, así como los impactos en el negocio asociados a esas necesidades”; siendo responsabilidad del propietario del activo, definir la clasificación del activo, revisar periódicamente y asegurarse de que esté actualizada y en el nivel apropiado.

2.12. El aparte 9.2.6 trata la seguridad en la reutilización o eliminación de equipos y detalla como control que “Todo aquel equipo que contenga medios de almacenamiento se debería revisar para asegurarse de que todos los datos sensibles y software licenciado se hayan removido o se haya sobrescrito con seguridad antes de su disposición” de tal manera que “Los dispositivos de almacenamiento con información sensible se debería destruir físicamente o la información debería ser destruida, suprimida o sobrescrita usando técnicas para hacer la información original no recuperable, en lugar de utilizar las funciones de borrado o formateado estándar” por otra parte “Los dispositivos de almacenamiento dañados que contengan datos sensibles pueden requerir una evaluación de riesgo para determinar si conviene que estos se destruyan físicamente, antes que ser enviados para su reparación o desecho”.

2.13. Las debilidades anteriormente citadas se explican por la ausencia de un Sistema de Gestión de la Seguridad de la Información.

2.14. La ausencia de una clasificación, y por ende, de una protección adecuada y en función de la sensibilidad de la información, el PANI se expone a una pérdida en los tres principios clave de la seguridad, como lo son la confidencialidad, disponibilidad e integridad de la información. Asimismo, la falta de claridad en cuanto a la disposición final de los medios de almacenamiento, expone a la información de ese Patronato, a un riesgo de pérdida de confidencialidad, con el consiguiente riesgo a la privacidad de personas atendidas por el PANI.

Gestión de Identidades

2.15. El proceso de gestión de identidades es aquel que facilita la creación, modificación o eliminación de cuentas de usuario tanto a nivel de plataforma (redes, correo electrónico, equipo especializado) como a nivel de sistemas (en este caso Infopani, Docushare, SIAP, SIGAF, etc.) y generalmente cuenta con la participación de varias partes interesadas como lo son el usuario, su superior inmediato, el dueño del sistema (datos), la DTI, y el departamento de Recursos Humanos. Por medio de la política y el procedimiento se establecen los mecanismos formales para comunicar las necesidades de los diferentes departamentos y la forma como se afectan y documentan los roles, perfiles y privilegios de los usuarios finales.

1 El término propietario identifica un individuo o entidad que ha probado habilidades de gestión para controlar la producción, desarrollo, mantenimiento, uso y seguridad de un activo. El término propietario no significa que la persona tiene efectivamente derechos de propiedad sobre el activo.





2.16. Se encuentra que, si bien el PANI cuenta con lineamientos para gestionar usuarios, desde su reglamento para la gestión de TI, se carece de una matriz de autorización que defina las líneas de autoridad, es decir, las personas que aprueban una solicitud o un cambio en roles y perfiles en función de su cargo o nivel de responsabilidad. En ese sentido, se evidencia que los colaboradores que se señalan como dueños o administradores de los sistemas críticos no disponen de los elementos básicos para administrar, reportar, y monitorear a los usuarios de los sistemas a su cargo.

2.17. En ese sentido, el proceso de gestión de identidades presenta debilidades en su diseño, además, que consultar los listados de usuarios activos/inactivos en los diferentes sistemas, así como dar trazabilidad a los cambios realizados a perfiles existentes, incluyendo las terminaciones, no resulta una tarea sencilla para los administradores de sistemas, por lo cual se recurre a la DTI para obtener esta información, la cual debe estar en manos del dueño del sistema.

2.18. Al respecto, se conoce que la comunicación entre Recursos Humanos y la mesa de ayuda para realizar modificaciones es efectiva, sin embargo, no se puede decir lo mismo cuando se trata de la comunicación de las jefaturas con los dueños de los sistemas a nivel individual. Esto aplica tanto para la creación. modificación y baja de identidades, tanto ante el Active Directory (en adelante AD) como ante los diferentes sistemas a nivel individual como Infopani. Los dueños de los sistemas, como se indicó previamente, no demuestran propiedad y control sobre las identidades a su cargo y no se aplican controles para garantizar que todo cambio que se requiere a nivel de negocio se ejecute en los sistemas.

2.19. Dada esa debilidad en la comunicación entre partes y en ausencia de controles para conciliar la existencia y estado de los usuarios; se identificaron 21 identidades que debieron ser creadas como nuevas, pero que no se generan en el AD. Además, se determinaron cuentas que debieron darse de baja por cese definitivo de la función laboral (terminación, jubilación, defunción), las cuales siguen activas ante el AD (41) y de esas, 6 servidores conservan privilegios en Infopani, junto con otros 8 exfuncionarios, que al menos ya no se encuentran activas ante el AD.

2.20. A esto debe sumarse el uso de cuentas genéricas compartidas en el Docushare, las cuales se asignan a un responsable en cada oficina local, sin que existan controles adicionales para compensar el riesgo relacionado con compartir cuentas de usuario. De 70 identidades creadas en Docushare, se evidenció que 64 no están inscritas ante el AD.

2.21. En relación con lo expuesto, se debe exponer que las NTCGTI, en el aparte 1.4.5, inciso e), establece una serie de pautas para el control de acceso, la cual puntualmente indica “Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con las políticas de la organización bajo el principio de necesidad de saber o menor privilegio. Los propietarios de la información son responsables de definir quiénes tienen acceso a la información y con qué limitaciones o restricciones”.

2.22. Las situaciones expuestas se presentan, a pesar de que la práctica DSS05.04 del Cobit 5, procura que todos los usuarios tengan derechos de acceso a la información de acuerdo con los requerimientos de negocio, para lo cual se deben desarrollar las actividades requeridas a fin de alinear la gestión de identidades y derechos de acceso





a los roles y responsabilidades definidos, basándose en los principios de menor privilegio, necesidad de tener y necesidad de conocer. En este sentido, una tarea relevante para el PANI es gestionar todos los cambios de derechos de acceso (creación, modificación y eliminación) para que tengan efecto en el momento oportuno, basándose sólo en transacciones aprobadas y documentadas y autorizadas por los gestores individuales designados. Además, que le corresponde a la administración, realizar la conciliación o control sobre esos accesos, para lo cual se debe realizar regularmente revisiones de gestión de todas las cuentas y privilegios relacionados.

2.23. En lo que respecta al uso de cuentas compartidas, la citada práctica DSS05, señala que se debe asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicaciones de negocio, infraestructura de TI, operaciones de sistema, desarrollo y mantenimiento) sean identificables unívocamente.

2.24. Asimismo, en cuanto a los controles de acceso, la Norma ISO 27002 indica que debería existir un procedimiento formal de registro y de cancelación de éste, para otorgar y revocar los accesos a todos los servicios y sistemas de información, por lo cual se recomienda que cada sistema mantenga un control formal de todas las personas que usan el servicio; además, de revocar inmediatamente o bloquear los derechos de acceso de los usuarios que hayan cambiado roles o tareas, así como de aquellos que han dejado la organización; labor que acorde con la citada ISO, le compete a la administración de ese Patronato.

2.25. Las debilidades anteriormente citadas se presentan por la ausencia de un Sistema de Gestión de la Seguridad de la Información en el Patronato Nacional de la Infancia.

2.26. Estas situaciones exponen a la institución a una pérdida de confidencialidad e integridad de información sensible, sobre todo por la población a la cual atiende el PANI; además de pérdida de la trazabilidad transaccional y por ende de la rendición de cuentas a que está sometida toda dependencia.

2.27. Respecto de la situación identificada por la Contraloría General, la administración del PANI señaló que el AD cuenta con identidades de naturaleza genérica o de servicio que, según manifiestan, están asignadas a un responsable, algunas de las cuales tienen altos privilegios y otras simplemente están sustentadas por una necesidad de negocio o del departamento de TI.

Relaciones con terceros

2.28. La administración de relaciones con terceros es parte de los procesos de TI, la cual tiene por objeto asegurar que la prestación de servicios es acorde con las necesidades del negocio, que se cumplan estándares, que se atiendan principios de seguridad y que se administre el ciclo de vida de la relación desde que se contrata al tercero hasta que se cierra la relación comercial. En ese sentido, el principal instrumento que se encuentra a la mano para normar estas relaciones es el contrato (adjudicación) y hacen parte integral del mismo los Acuerdos de Nivel de Servicio y los Acuerdos de no divulgación (convenio de confidencialidad).

2.29. En relación con este tema, se determinó que los contratos que el PANI ha utilizado con sus proveedores clave (vigentes o vencidos recientemente) presentan debilidades significativas a nivel de redacción de cláusulas de protección. A manera de ejemplo,





carecen de los elementos que regulan asuntos como: devolución o destrucción de la información o activos al final del contrato, procedimientos de salida y de traslado de información en caso de ruptura y prohibición de acceso sin autorización explícita y mantenimiento de una lista de individuos con accesos. Si bien los documentos que soportan las adjudicaciones de los sistemas como Infopani y Docushare cuentan con cláusulas de confidencialidad, no es común la obligatoriedad de firmar acuerdos de no revelación por parte de los empleados/agentes del tercero y tampoco se establecen los alcances de la obligación en el tiempo.

2.30. Por otro lado, no se conoce que se firmaran acuerdos de no divulgación con el personal del PANI, de hecho la relación laboral entre el PANI y el colaborador no está normada por un documento formal que detalle las obligaciones de las partes en lo que respecta a protección de activos, deber de confidencialidad y subsistencia de la confidencialidad en el tiempo aun después de terminada la relación laboral.

2.31. Además, si bien existen encargados de fiscalizar los contratos, los acuerdos de nivel de servicio para garantizar que satisfagan las necesidades del negocio no son claros en cuanto a las métricas, por cuanto los tiempos de respuesta ante incidentes son los mismos independientemente de su prioridad, los plazos de atención no son específicos sobre el tiempo de atención y el tiempo de resolución, no existen procesos de escalamiento y en los casos en que se definen indicadores como objetivo punto de recuperación (RPO) y objetivo tiempo de recuperación (RTO), estos no son consistentes con el Plan de Continuidad del PANI. A esto se debe sumar al hecho de que no es una práctica habitual el establecer cláusulas sobre derechos de auditoria o inspección para asegurar el cumplimiento de las condiciones contractuales.

2.32. A lo anterior, se debe agregar que existen sistemas críticos, como Docushare el cual se mantiene en la actualidad sin contrato de almacenamiento, situación que ha prevalecido durante todo el año 2021 a la espera de una nueva contratación, misma situación enfrenta el sistema SIAP que no cuenta con soporte nativo, es decir, por parte del proveedor.

2.33. Estas situaciones se presentan, a pesar de que las NTGCTI, en los apartes 3.4 y 4.6, detalla algunas obligaciones para obtener satisfactoriamente el objeto contratado a un tercero, y sobre los controles que deben implementarse para asegurar que los servicios satisfagan los requerimientos del negocio, entre los que se destacan vigilar que los servicios contratados sean congruentes con las políticas relativas a calidad, seguridad y seguimiento establecidas por la organización, y para la evaluación periódica de la calidad y el cumplimiento oportuno de los servicios contratados.

2.34. Por su parte, Cobit 5 en la práctica de gestión APO10.03, refiere a la responsabilidad de la administración, de acordar, gestionar, mantener y renovar los contratos con los proveedores; los cuales deben ser conforme con las normas corporativas y con los requisitos legales y regulatorios.

2.35. Adicionalmente, la práctica APO10.04 especifica que a la hora de definir el contrato, se deben incluir una descripción clara de todos los requisitos de servicio, incluyendo depósitos de garantía, proveedores alternativos o acuerdos en suspenso para mitigar el riesgo de un posible fallo del proveedor; los aspectos de seguridad, la propiedad intelectual y los requisitos legales y regulatorios.





2.36. En lo que respecta a los acuerdos de nivel de servicio, el proceso APO09 en su práctica de gestión APO09.03 plantea la necesidad de la administración, de mantener una relación estrecha con la gestión de proveedores para asegurar que los contratos comerciales apropiados con proveedores de servicio externos cimentan los acuerdos de servicio con los clientes, siempre que sea aplicable.

2.37. Por su parte, en lo concerniente a acuerdos de confidencialidad. la norma ISO/IEC 27002:2009, en el aparte 6.1.5, informa sobre la necesidad de identificar y revisar con regularidad los requisitos para los acuerdos de confidencialidad o de no-divulgación, que reflejan las necesidades de la organización para la protección de la información, para lo cual se debe considerar la duración prevista del acuerdo, incluyendo los casos en que sea necesario mantener la confidencialidad indefinidamente; acciones requeridas cuando termina un acuerdo.

2.38. En ese mismo sentido, la precitada norma, en el aparte 8.1 estipula que la administración debe asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades, y tomar las medidas que sean requeridas a efecto de reducir el riesgo de hurto, fraude o mal uso de los recursos de procesamiento de información; considerando, la conveniencia de que los empleados, contratistas y terceras partes firmen acuerdos sobre sus roles y responsabilidades de seguridad.

2.39. Las oportunidades de mejora anteriormente citadas, se presentan ante la ausencia de un Sistema de Gestión de la Seguridad de la Información en el PANI.

2.40. Las debilidades en la gestión de contratos propician que la institución o no cuente con los servicios que requiere o, en su defecto, que no tenga los medios para presentar los reclamos que corresponde ante los proveedores, en el evento de incumplimientos contractuales. En ambos escenarios, se expone a los sistemas a una pérdida de continuidad y, por ende, se expone a los servicios que dependen de dichos sistemas, y por consiguiente, pueden ir en detrimento de la gestión institucional.

Seguridad Técnica

2.41. Los controles técnicos, también denominados controles de ciberseguridad, son un subconjunto de la seguridad de información que involucra las actividades desarrolladas por el negocio amparado en tecnología de información, que suele ser administrado por TI, y que permite mitigar una serie de riesgos que enfrenta la infraestructura tecnológica desde el punto de vista de su diseño y operación. Estos controles en la mayoría de los casos son configurables y funcionan de manera automatizada para prevenir ataques, intrusiones, disrupciones en el servicio, pérdida o fuga de información, etc. En buena medida dependen de dispositivos (equipo computacional como firewalls, switches, servidores, etc.) así como de software especializado como sistemas para la detección y la prevención de intrusos, prevención de pérdida de datos, anti malware, herramientas de virtualización, gestión de bases de datos entre muchos otros.

2.42. Algunas de las actividades que implementan estos controles incluyen pero no se limitan a: configuración y gestión de redes, mecanismos de cifrado (criptografía), fortalecimiento de servidores y equipos de usuario final, bitácoras y monitoreo de usuarios, gestión de dispositivos móviles, control de procesos industriales, etc.





2.43. Con respecto a esta temática, en el PANI se encontró que, aun cuando se maneja información sensible de personas menores de edad y sus familias, no se han implementado controles de cifrado de datos a nivel de servidores (base de datos), o a nivel de equipo de usuario final, a fin de prevenir el acceso no autorizado. Este tipo de controles se desarrollan conforme se madura en la definición de una estrategia de seguridad de información y se detallan líneas base de seguridad.

2.44. La administración manifiesta que, con la infraestructura actual no es posible implementar el cifrado de datos, por cuanto se enfrentarían a problemas de rendimiento. Agregan, que para el año 2022, se tomarán las previsiones necesarias para que con la actualización de la plataforma se considere este tipo de controles. También, aclaran que las contraseñas de los usuarios sí se encuentran cifradas.

2.45. Por otro lado, se identificó que no se suspenden los accesos en los sistemas a los usuarios que se van a ausentar por vacaciones o por periodos menores a 15 días, solamente se aplica este control ante una ausencia prolongada como una licencia por maternidad, un permiso especial, o incapacidad superior a 15 días. Además, no se monitorea el uso que se da a los sistemas, para garantizar que si un usuario no está haciendo un uso regular de un sistema en particular, se le retiren esos privilegios. Lo mismo aplica para los usuarios con altos privilegios.

2.46. El PANI no tiene implementado, como parte de sus procesos de monitoreo y seguimiento, la realización de escaneos de vulnerabilidad en la red y sistemas publicados en la web, esto se ha realizado esporádicamente con el soporte de un tercero.

2.47. Adicionalmente, el PANI ha facilitado a un conjunto de colaboradores dispositivos móviles (teléfonos inteligentes), los cuales si bien se encuentran inventariados, no se gestionan atendiendo una política al respecto que establezca el uso adecuado y la protección que debe darse a tales activos. Además, TI no ha implementado controles técnicos para bloquear el dispositivo y los datos que contiene en caso de robo o pérdida.

2.48. Al respecto, Cobit 5, en los principios para la seguridad de la información, establece la necesidad de prevenir la revelación de información clasificada (confidencial, sensible) y señala que la información debe ser identificada y después clasificada de acuerdo con su nivel de confidencialidad (p. ej. secreta, restringida, interna y pública). La información clasificada debe ser protegida apropiadamente a lo largo de los estados de su ciclo de vida -desde su creación a su destrucción- para lo cual es fundamental el uso de los controles apropiados, como cifrado o restricción de accesos.

2.49. En esa misma línea, la norma ISO/IEC 27002 en su apartado 12.3 indica que se debería desarrollar e implementar una política sobre el empleo de controles criptográficos para la protección de la información. Además, el apartado 12.3.2 de esta norma refiere acerca de la gestión de llaves para apoyar el uso de técnicas criptográficas en la organización.

2.50. Sobre este mismo tema, Cobit 5 indica la necesidad de borrar o eliminar los derechos de acceso cuando los usuarios dejan las posiciones/unidades en un sentido amplio, esto incluye el tratamiento de las ausencias temporales.





2.51. Al respecto, el Reglamento para la gestión de TI, suministrado por el PANI, en el artículo 28, inciso b, indica que el DTI, deberá mantener una vigilancia constante de las amenazas y vulnerabilidades que puedan atentar contra la adecuada operación de la plataforma, lo cual debe considerar el establecimiento e implementación de medidas preventivas.

2.52. Por su parte, la norma ISO/IEC 27002 recomienda la obtención de información oportuna sobre las vulnerabilidades técnicas de los sistemas de información en uso, así como evaluar la exposición de la organización a tales vulnerabilidades, y tomar medidas apropiadas para gestionar el riesgo asociado.

2.53. En lo que respecta a dispositivos móviles, la norma ISO/IEC 27002, en su aparte 11.7.1 establece la necesidad de adoptar una política formal, y medidas de seguridad apropiadas para la protección contra los riesgos debidos al uso de recursos de informática y comunicaciones móviles, considerando los requisitos de protección física, controles de acceso, técnicas de criptografía, respaldos, y protección contra virus. Esta política también debería incluir reglas y consejo sobre conexión de recursos móviles a redes y orientación sobre el uso de estos recursos en lugares públicos.

2.54. Adicionalmente, se enfatiza en la necesidad de realizar respaldos regulares de la información crítica del negocio, la cual debería estar disponible para realizar un respaldo rápido y fácil de la información. Estos respaldos deberían estar provistos de la adecuada protección contra, robo o pérdida de la información.

2.55. Las debilidades citadas se presentan por la ausencia en el PANI, de un Sistema de Gestión de la Seguridad de la Información.

2.56. La ciberseguridad impacta los tres principios básicos de la seguridad, en ese sentido, la ausencia de controles de cifrado incide sobre la confidencialidad de la información, lo cual también aplica para la suspensión de acceso por inactividad, mientras que la ausencia de controles sobre vulnerabilidades conocidas pone en riesgo la disponibilidad de los sistemas y servicios. En esa misma línea, la ausencia de controles sobre los dispositivos móviles expone a la información contenida, a pérdida de confidencialidad e integridad.

Continuidad de negocio

2.57. Los procedimientos relacionados con la Continuidad del Negocio parten de la elaboración del Análisis de Impacto de Negocio (el cual determina la criticidad de los sistemas y la información contenida en tales sistemas), para desarrollar un conjunto de documentos que se relacionan estrechamente, a efecto de garantizar que ante un evento disruptivo, la institución tiene la capacidad de reaccionar y regresar a la normalidad en un tiempo acordado y entendido por la administración.

2.58. Se parte de una política de continuidad de negocio para desarrollar los niveles operativos por medio del Plan de Continuidad de Negocio (documento desarrollado por las gerencias en el cual se establecen los medios y los pasos para operar en contingencia), el Plan de Recuperación en Caso de Desastres (que incluye la atención de la evacuación en caso de emergencia y los procesos de recuperación de la infraestructura tecnológica) y el Plan de respuesta a incidentes (que puede hacer parte de la estrategia general de seguridad de información).





2.59. En este particular, el documento denominado “Plan de Continuidad de Negocio PANI 2012”, emitido en el año 2012, carece de señales de aprobación (firmas). Así las cosas, a nivel de la Junta Directiva del Patronato, solo se ha aprobado la “Política para la Administración de la Continuidad de los Servicios (PL-03-2010)”, la cual no ha sido revisada, a pesar de que han transcurrido más de 10 años, desde su establecimiento. Por ende, sistemas considerados como críticos, al día de hoy, como Docushare y SIGAF, no se consideran en la versión existente del Plan de Continuidad de Negocio. A esto se suma que la matriz de contactos, tampoco se ha actualizado.

2.60. Destacar, que dentro del Plan de Continuidad de Negocio se encuentra un apartado denominado “Análisis de Impacto de Negocio”, el cual fue abordado directamente por el área técnica, para realizar los cálculos de indicadores base como RPO, RTO, MTD. En la elaboración de este apartado no participaron los gerentes de negocio y los líderes de los procesos que integran las actividades críticas del PANI. En consecuencia, la recuperación considera solamente los procesos de TI, omitiendo, de momento, los procesos de negocio.

2.61. Aunado a lo expuesto, no se han realizado y documentado pruebas al Plan de Continuidad de Negocio, tales como lista de verificación, prueba de escritorio, simulaciones, paralelo, o interrupción completa; a pesar de que en la Política citada, se dispone que se debe probar al menos cada 2 años.

2.62. Según la NTGCTI, en el aparte 1.4.7, la organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo, debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad.

2.63. En relación con lo expuesto, el Reglamento para la gestión de TI del PANI, dispone que el DTI deberá orientar sus esfuerzos a garantizar la disponibilidad de la plataforma tecnológica compuesta por: Red de datos, puntos inalámbricos, comunicación en puntos remotos, sistemas, bases de datos, información, aplicaciones, servicios de comunicación como Internet, correo electrónico, portales, accesos lógicos, página Web, hardware, servicios de soporte a usuarios, y demás.

2.64. Por su parte, Cobit 5 contempla en su proceso DSS04, la definición de la política de continuidad del negocio, objetivos y alcance, así como el desarrollo e implementación de una respuesta a la continuidad del negocio, entre otras.

2.65. En lo que respecta a las pruebas a los planes de continuidad, el referido proceso DSS04 contempla, en la práctica DSS04.04, la necesidad de ejercitar, probar y revisar el plan de continuidad; además de revisar, mantener y mejorar el plan de continuidad y gestionar acuerdos de respaldo, entre otros.

2.66. Las debilidades anteriormente citadas se explican por la ausencia de un Sistema de Gestión de la Seguridad de la Información en el Patronato Nacional de la Infancia.

2.67. La ausencia de planes claramente definidos para abordar la atención a incidentes y la continuidad del negocio atentan contra la disponibilidad de los sistemas y los procesos





de negocio vinculados a éstos; y por consiguiente en la gestión institucional, con el consiguiente riesgo de afectar la oportuna atención a la población meta del PANI.

Respaldo y Recuperación de Información

2.68. El proceso de respaldo y recuperación de información, es complementario a la continuidad del negocio y tiene como función asegurar que la información crítica se reproduce de forma ordenada y segura, a efecto de garantizar su disponibilidad en caso de pérdida, disrupción o daño de los datos originales. Por su parte, el procedimiento de recuperación establece las actividades necesarias para restablecer los datos en un ambiente en particular, como un servidor, una base de datos, una configuración, o un equipo de usuario final.

2.69. El citado proceso, normalmente, se apoya en una estrategia que define los tipos de respaldo a ejecutar (completos, incrementales y diferenciales) y se utiliza un calendario en el cual se establece la frecuencia con la que se respalda cada elemento (diario, semanal, cada hora, etc.). La administración es responsable de señalar los sistemas críticos y los componentes que han de ser respaldados; debiendo considerar el tipo de respaldo requerido, en función de la importancia relativa de la información para el negocio.

2.70. En el caso del PANI, la estrategia actual para estos propósitos, obedece al planteamiento del DTI, sobre lo que debe ser la estructura de respaldos; sin embargo, la administración no ha participado en la elaboración y actualización del Análisis de Impacto de Negocio, por lo que no se puede asegurar que el modelo de respaldos es coherente con las necesidades del negocio. Además, que esta institución no suministró un procedimiento para la realización de respaldos y recuperación de información.

2.71. Por otro lado, se desconoce la realización de pruebas periódicas a los respaldos, en un ambiente separado para tal fin, de forma que se garantice que dicha copia de seguridad sea efectivamente utilizable, en caso de ser necesario. Al respecto, solamente se evidencia la realización de pruebas parciales de tales respaldos, en julio de 2018 y en setiembre de 2021.

2.72. Tales situaciones se presentan, a pesar de que las NTGCTI establecen, en el aparte 4.2, la necesidad de definir formalmente y efectuar, rutinas de respaldo, custodiar los medios de almacenamiento en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauración. En esa línea, Cobit 5, en su práctica de gestión DSS04.07, detalla la necesidad de realizar copias de seguridad de sistemas, aplicaciones, datos y documentación, de acuerdo con una planificación definida, considerando, entre otros aspectos: frecuencia (mensual, semanal, diaria, etc.).; modo de copias de seguridad (ejemplo, discos espejo para copias de seguridad en tiempo real frente a DVD-ROM para retenciones de larga duración); tipo de copias de seguridad (por ejemplo, completa frente a incremental); copias de seguridad automatizadas en línea; tipos de datos (ejemplo, voz, óptica); creación de registros; datos de cálculos críticos de usuario final (ejemplo, hojas de cálculo); localización física y lógica de las fuentes de los datos; seguridad y derechos de acceso y cifrado.





2.73. Además, es importante definir los requerimientos del almacenamiento de las copias de seguridad, dentro y fuera de la propia ubicación, que satisfagan los requerimientos del negocio; así como considerar la accesibilidad requerida a esas copias.

2.74. En ese sentido, la norma ISO 27002, en el aparte 10.5.1 refiere a la necesidad de realizar regularmente copias de seguridad de la información y del software; las cuales deben probarse regularmente, acorde con la política de respaldo.

2.75. Las debilidades anteriormente citadas se explican por la ausencia en el PANI, de un Sistema de Gestión de la Seguridad de la Información, así como la ausencia de planes de continuidad de negocio y de un Análisis de Impacto de Negocio, debidamente actualizados.

2.76. Las deficiencias determinadas en el proceso de respaldo y recuperación, y, en particular, la ausencia de pruebas a los respaldos, exponen a los sistemas institucionales, y a la información que estos contienen a una pérdida de disponibilidad, lo que finalmente incide en la capacidad del negocio para seguir operando en caso de que se presente alguna contingencia.

Sensibilización en seguridad de la información

2.77. Una de las primeras actividades que permiten fortalecer el desarrollo e implementación de la estrategia de seguridad de información y del programa de seguridad, corresponde al abordaje de las campañas de sensibilización en seguridad. Esto se logra por medio de cursos, charlas, talleres, recordatorios, y otros medios, que permiten alcanzar a toda la población institucional, para comunicar información relevante con respecto a la seguridad, atendiendo las diferentes audiencias (personal técnico, especializado, gerencias, usuarios finales, etc.).

2.78. El objetivo primario de esta tarea es alcanzar un nivel de entendimiento y de compromiso de parte del usuario y del personal de la institución, con respecto a las responsabilidades que tiene cada una de las partes en materia de seguridad. Este proceso formativo es continuo y debe sostenerse en el tiempo, con el propósito de mantener el impulso y fortalecer la postura general de seguridad, al contar con personas informadas que toman acciones oportunas con respecto a la seguridad.

2.79. En ese sentido, se determinó que el PANI no ha abordado este fenómeno de manera integral, esto por cuanto no se encuentra una definición de programa de sensibilización y la manera de aplicarlo en la práctica. Los esfuerzos institucionales en esta materia, son incipientes y se ven limitados al reenvío de alertas o a la capacitación del personal de TI, exclusivamente.

2.80. Al respecto, no se encuentra en ese Patronato, evidencia de la realización de un proceso formativo de alcance institucional, en materia de seguridad de información, el cual brinde conceptos generales a toda la población y que les permita tener claridad sobre cómo actuar ante una potencial amenaza.

2.81. Esta situación se presenta, a pesar de que Cobit 5 en el proceso APO13.02 define como parte de las actividades institucionales, la necesidad de recomendar programas de formación y concienciación en seguridad de la información; aspecto que es retomado en las prácticas DSS05.01 y DSS05.05.





2.82. Esta responsabilidad institucional se ve reforzada en el aparte 8.2.2. de la norma ISO 27002; la cual informa que todos los funcionarios de la organización y, donde sea pertinente, contratistas y usuarios de terceras partes, deberían recibir formación adecuada en toma de conciencia y actualizaciones regulares en políticas y procedimientos organizacionales, pertinentes para su función laboral y sobre actividades de toma de conciencia, educación y formación en seguridad, para lo cual se debe tomar en consideración el rol de la persona, responsabilidades y habilidades.

2.83. Las debilidades anteriormente citadas se explican por la ausencia en el Patronato Nacional de la Infancia, de un Sistema de Gestión de la Seguridad de la Información.

2.84. La falta de una programación formal de actividades de capacitación en materia de seguridad expone a los sistemas y a la información contenida en estos, a pérdidas de confidencialidad, disponibilidad e integridad, sea por actuaciones voluntarias o involuntarias del personal, que tienen un impacto sobre los sistemas y sobre información relevante para la gestión institucional.

OBSOLESCENCIA TECNOLÓGICA

2.85. El objetivo de un sistema de información es servir al negocio y a la toma de decisiones, cumplir con un conjunto de requerimientos y asegurar, razonablemente, que el sistema va a estar operativo cuando se le necesite. Por esa razón, se deben mantener los sistemas actualizados y si existen dependencias entre estos, deben considerarse para adoptar medidas en tiempo, y garantizar que todos los componentes de la infraestructura están vigentes.

Caducidad del Internet Explorer y de los Motores de Base de Datos

2.86. Para cumplir con la misión asignada de garantizar el ejercicio de los derechos de las personas menores de edad (PME), el PANI dispone de sistemas de información que apoyan los procesos sustantivos. Dentro de estos sistemas, se tiene el INFOPANI, el cual gestiona el proceso atencional de los menores; el SIAP, para atender lo relacionado con las alternativas de protección (albergues, residencias, ONG´s); el Docushare, que funciona como repositorio electrónico del expediente físico y complementa a los otros sistemas; aunque estos no se encuentran necesariamente integrados. Por su parte, el sistema SIGAF, atiende las labores de gestión de apoyo a los procesos sustantivos, al encargarse de la gestión financiera y de recursos humanos de la institución.

2.87. Con excepción del SIAP, que es una herramienta que se hospeda localmente en cada una de las máquinas de los usuarios finales; los sistemas descritos son herramientas que funcionan en ambiente web; es decir, los usuarios finales sólo se pueden conectar a estos accediendo a un servidor web, a través de internet o de una intranet mediante un navegador. Particularmente, el INFOPANI únicamente puede ser accedido a través del navegador internet Explorer 11 (IE11).

2.88. Por otro lado, sin importar el tipo de plataforma, cada uno de esos sistemas cuenta con un motor de base de datos, que son programas subyacentes que sirven de intermediarios entre las aplicaciones y la base de datos y permiten a los usuarios crear, leer, actualizar o eliminar los datos. En ese sentido, el PANI dispone de motores de base de datos SQL Server, con versiones entre 2000 y 2005, que soportan sistemas





sustantivos como el SIAP y otros sistemas en uso en el PANI, como módulos de vacaciones, cauciones, vehículos y sistemas de consultas.

2.89. En relación con el navegador Internet Explorer 11, como de los motores de base de datos SQL Server, microsoft, compañía desarrolladora, anunció el 17 de agosto de 2020 que el navegador saldrá de la corriente de producción de la firma a partir del 17 de agosto del 2021; a la vez confirmó que el soporte a dicho navegador se realizará hasta junio del 2022. Por otro lado, toda versión de motor de base de datos SQL Server está respaldada por un plazo de 10 años que comprende el soporte estándar y soporte extendido, por consiguiente las versiones entre 2000 y 2005 con que cuenta el PANI ya han llegado al fin de su ciclo de vida.

2.90. En ese sentido, si bien el departamento de TI del PANI, es consciente de la situación y cuenta con dos alternativas para solventar parcialmente el reto que plantea la caducidad del IE11, la administración del Patronato, fue enterada de la situación recientemente y, por ende, no ha considerado este particular en sus procesos de planificación; razón por la cual, a la fecha, no se ha planteado una hoja de ruta para atender esta necesidad.

2.91. En relación con el asunto abordado, es preciso señalar que el aparte 1.2 de las NTGCTI, establece que la organización debe responder adecuadamente a las amenazas que puedan afectar la gestión de las TI, mediante una gestión continua de riesgos que esté integrada al sistema específico de valoración del riesgo institucional y considere el marco normativo que le resulte aplicable.

2.92. Adicionalmente, el apartado 3.1, inciso e), de las citadas NTGCTI, señala: la necesidad de la administración de analizar alternativas de solución de acuerdo con criterios técnicos, económicos, operativos y jurídicos, y lineamientos previamente establecidos; mientras que el apartado referido en el inciso g), refiere a la importancia de tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos económicos, técnicos y humanos requeridos. Por último, el inciso h) del mismo apartado, citan la responsabilidad de la administración, de formular y ejecutar estrategias de implementación que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.

2.93. En la misma línea citada, COBIT 5 en el proceso BAI03, práctica BAI03.09, informa sobre la necesidad de toda entidad, de realizar un seguimiento del estado de las necesidades individuales de los sistemas, a través de todo el ciclo de vida de los proyectos, así como gestionar la aprobación de los cambios a los requerimientos.

2.94. Además, la práctica BAI03.10, describe la necesidad de que la organización desarrolle y ejecute un plan para el mantenimiento de la solución y componentes de la infraestructura, lo cual incluye revisiones periódicas respecto de las necesidades de negocio y requerimientos operacionales, tales como la gestión de parches, estrategias de actualización, riesgos, análisis de vulnerabilidades y requerimientos de seguridad.

2.95. Al respecto, pese a que el Departamento de TI ha informado a la Presidencia Ejecutiva, ambos del PANI, acerca de la situación que se presenta en relación con la obsolescencia tecnológica del explorador web y la importancia de ocuparse del versionamiento de la base de datos; la advertencia es tan reciente que la





administración de ese Patronato, no ha tenido oportunidad de atender estas necesidades.

2.96. En relación con lo expuesto, es preciso indicar, que en el PANI no se dispone de estudios técnicos detallados relativos a los sistemas sustantivos, los cuales les permita tener un entendimiento de las implicaciones, riesgos en materia de seguridad y operatividad del sistema, que acarreará el final del soporte del Internet Explorer 11 y de los motores de base de datos SQL.

2.97. Dentro de los riesgos relacionados con el versionamiento destacan la posibilidad de pérdida de información valiosa para la Administración, así como la pérdida de disponibilidad de los sistemas en caso de fallo, dada la ausencia de parcheo y mantenimiento.

2.98. La ausencia o fallo en el sistema tiene un impacto significativo sobre las actividades del negocio, que están señaladas como críticas; por ejemplo, procesos atencionales, alternativas de protección y prevención de niñez y adolescencia en situación de riesgo.

Controles de autenticación y entrada de datos en sistemas críticos

2.99. Los sistemas denominados Active Directory, SIAP, Infopani y Sigaf no cuentan con un diccionario de palabras para la creación de contraseñas, el cual limite el uso de nombres de personas, nombres de usuario o palabras comunes utilizadas para estos propósitos. En el caso del Docushare, este se vale de cuentas de grupos2 para el establecimiento de las referidas contraseñas. Adicionalmente, los citados sistemas carecen de bloqueo automático por inactividad del usuario y permiten la reutilización de contraseñas. En relación con este asunto, los requisitos para la construcción y complejidad de las contraseñas, no alcanzan los estándares establecidos en el Reglamento de gestión de TI. A todo esto, se suma que los sistemas que se mencionan utilizan un modelo de autenticación3 de un solo factor (Usuario y Contraseña). Aunado a lo señalado, la concurrencia de sesiones es viable en los sistemas Infopani, Docushare y Sigaf.

2.100. Los controles de entrada de datos son deficientes, tanto en Infopani, SIAP y Sigaf, lo cual permite que se incorporen datos erróneos, se mantengan campos vacíos, o que sean inconsistentes con las necesidades del negocio.

2 Las cuentas de grupo permiten disponer de servicios restringidos a un 'grupo' de personas determinado, siempre que estas dispongan de cuenta de usuario y contraseña. Típicamente los servicios de grupo se relacionan con compartir información (Documentos, agendas, foros) o hacer trabajos o funciones en común. 3 Un autenticador es un mecanismo lógico (puede ser físico o digital) que le permite a un sistema validar que un usuario es quien dice ser. Ejecuta un proceso para comparar la credencial del usuario contra una respuesta esperada y si ambos elementos son coincidentes se otorga acceso a los recursos. El mejor ejemplo es una máscara de entrada en la que el usuario digita un nombre de usuario y una contraseña o un número de identificación personal, otros modelos pueden utilizar datos biométricos, tarjetas magnéticas, claves dinámicas, entre otros.





2.101. Las máscaras de entrada4 de datos no son efectivas y no manejan mensajes de error apropiados para guiar al usuario. En ese sentido, se determinó que es posible incorporar cédulas que no cumplen con el requisito de longitud mínimo, cédulas alfanuméricas y una misma cédula en todos los campos, sin que los sistemas generen alguna restricción o mensaje de alerta.

2.102. En el caso de Sigaf, se identificaron otras deficiencias cuando se guarda la información. A manera de ejemplo, en el caso de proveedores en el exterior, se pueden eliminar datos como la nacionalidad, o el número de cédula, lo cual genera una duplicidad en los datos, además que la carga de información se realiza de forma masiva y manual, con una única restricción, que es cumplir con la totalidad de columnas que solicita el formato de Excel, utilizado para cargar la información.

2.103. Las situaciones expuestas se presentan, a pesar de que el Reglamento para la gestión TI del PANI (2010), en el Capítulo II, artículo 17, establece los lineamientos para el establecimiento de contraseñas. Al respecto, el citado artículo dispone que las contraseñas se conformarán mediante el empleo de letras mayúsculas, minúsculas y números, según las especificaciones definidas por el Departamento Tecnologías de Información. Asimismo, el artículo 82, del Reglamento de marras, informa, que, de preferencia, las claves deberán gestionarse de manera cifrada, implementarse el control de sesión inactiva en los sistemas; además de existir el bloqueo de cuenta cuando haya más de 3 intentos fallidos; registrando los sistemas, los intentos de inicio de sesión.

2.104. En ese orden de ideas, el artículo 83, señala que en todo sistema existirá un mecanismo de identificación y autenticación para todos los usuarios de los sistemas, y en el evento de que se requiera el uso de credenciales compartidas, deberán documentarse las razones técnicas y las autorizaciones, tanto de los dueños de procesos involucrados como del responsable general del sistema.

2.105. Por su parte, las NTGCTI en su inciso 1.4 y aparte 1.4.5, indica que la organización debe garantizar, de manera razonable, la confidencialidad, e integridad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, lo cual considera proteger la información de accesos no autorizados. Para dicho propósito debe: establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a la información, al software de base y de aplicación, a las bases de datos y a las terminales y otros recursos de comunicación, Estos elementos deben considerar, la definición de perfiles, roles y niveles de privilegio; aunado a la identificación y autenticación para el acceso a la información.

2.106. Las situaciones descritas se originan por cuanto el Reglamento para la gestión de TI, existente en el PANI, no es lo suficientemente robusto como para sustentar las parametrizaciones de las contraseñas, sesiones duplicadas y bloqueos del sistema por inactividad.

4 Mecanismo de control de entrada prediseñado que limita el tipo de dato que el usuario puede ingresar en términos de longitud y descripción. Por lo general, tienen la capacidad de aportar mensajes al usuario cuando el mismo incurre en un error.





2.107. Deficiencias como las detectadas en los controles de entrada obedecen a que los sistemas Docushare y Sigaf no fueron creados específicamente para satisfacer las necesidades del PANI. Por el contrario, esa dependencia se tuvo que adecuar a lo que ya existía en estos sistemas. En lo concerniente a Infopani y al SIAP, las debilidades identificadas se presentan por ser sistemas con una antigüedad considerable, con más de 5 años en producción y fueron creados sin hacer especial énfasis en temas de seguridad.

2.108. La fiabilidad de la autenticación en un modelo de un solo factor descansa en dos elementos; la gestión de las cuentas de usuario para asegurar que solamente usuarios autorizados cuentan con credenciales activas y la fortaleza de las contraseñas (así como los parámetros que hacen que las mismas funcionen). En este caso, ambos elementos tienen oportunidades de mejora, lo que expone a los sistemas a un riesgo de pérdida de la confidencialidad e integridad de la información, así como exposición de vulnerabilidades frente a ataques externos.

2.109. Dado lo anterior, la institución se expone a riesgos de seguridad que comprometen la integridad de la información, que finalmente es utilizada para la toma de decisiones gerenciales.

2.110. Las debilidades operativas vinculadas con controles de entrada insuficientes o defectuosos afectan la capacidad del negocio para cumplir sus objetivos, en este caso, la protección de la familia y la persona menor de edad en condiciones de riesgo, en particular.

2.111. En respuesta a lo señalado, la administración del PANI refirió a que abordará el proyecto EDNA (Expediente digital) como una forma de actualizar sistemas y subsanar las debilidades encontradas. Este proyecto se encuentra en la etapa de contratación y se espera que esté operando en el año 2025.

DEBILIDADES EN LA GESTIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN

2.112. La gestión de TI se encarga de regular los procesos que permiten hacer operativas las labores que, en última instancia, favorecen el cumplimiento de los objetivos organizacionales desde el punto de vista de soporte tecnológico. Estos procesos se pueden dividir por áreas o dominios, uno de los cuales es la seguridad.

Gestión de incidentes y problemas

2.113. Un incidente es un evento ajeno a la operación normal de un servicio y que ocasiona o puede ocasionar, una interrupción o reducción en la calidad del servicio. La gestión de incidentes tiene como objetivo devolver el proceso o servicio a su estado normal lo antes posible. Por su parte, la gestión de problemas se encarga de reducir la cantidad y severidad de los incidentes, esto se logra mediante el análisis de las causas que provocan los incidentes mayores o incidentes similares.

2.114. Si bien existen políticas, así como un procedimiento de administración de incidentes y servicios de TI (PR-01-2010), este presenta debilidades vinculadas con la ausencia de registro y separación operativa, entre lo que se considera un requerimiento de servicio, cuya finalidad es obtener información, consejo o documentación de los sistemas, respecto de lo que se considera propiamente como incidente, por lo que el procedimiento para ambos casos es el mismo. En ese sentido, no se definen criterios





para declarar un evento, incidente o desastre; se carece de una clasificación de los incidentes, que considere su categorización, impacto, urgencia y prioridad. Al respecto, a pesar de que existen niveles de escalamiento, estos no resuelven, en última instancia, los incidentes de mayor complejidad; la gestión de problemas no se encuentra formalmente establecida; y por último, la normativa se encuentra desactualizada dado que no ha sido revisada desde su creación, en el 2010.

2.115. En relación con lo indicado, COBIT 5 en el proceso DSS02, define la necesidad de proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes; lo cual implica recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.

2.116. Por su parte, el Reglamento de Gestión de TI del PANI, en su artículo 79 señala que el DTI, deberá tener un registro de todos los incidentes que tengan impacto sobre la operación normal de la plataforma tecnológica del PANI. Este registro, deberá tener al menos: Descripción del incidente, Fecha Hora Inicio y Fecha Hora Fin, Causa, Detalle de la Solución efectuada y el nivel de impacto a nivel organizacional. Agrega, dicho artículo, que con base en la información referida, el DTI, deberá realizar un análisis de incidente-causa-impacto, a efecto de implementar controles orientados a minimizar la ocurrencia de los incidentes de mayor impacto o recurrencia; por lo cual, las soluciones deberán estar orientadas a erradicar las causas del incidente y no a correcciones temporales.

2.117. En lo que respecta a gestión de TI, en el PANI no se documenta la gestión de incidentes y problemas, ni han emitido procedimientos para guiar el accionar del departamento de TI y alcanzar un mejoramiento continuo. Estas deficiencias se asocian directamente con la ausencia de diseño e implementación de un marco de gobierno y gestión de las tecnologías de información que permitan la alineación entre las expectativas del negocio y los objetivos estratégicos de tecnologías de información.

2.118. Destacar, que una inadecuada gestión de los incidentes y problemas podría llevar a que la organización desconozca si se está frente a situaciones que pueden comprometer la confidencialidad, integridad y disponibilidad de la información, al no existir criterios claros para distinguir entre lo que se reconoce como solicitudes de servicios, eventos, incidentes o desastres.

2.119. Sobre este particular, la Administración aportó una propuesta de implementación de un marco de gobierno y gestión de las tecnologías de información, elaborada por el Departamento de Tecnologías de información del PANI en fecha 05 de agosto de 2021. Se indica que dicha propuesta fue aprobada por la Presidencia Ejecutiva y la Junta Directiva del PANI.

Proceso de gestión de cambios

2.120. El proceso de gestión de cambios asegura un control completo de las variaciones en la infraestructura de TI, minimizando el impacto adverso de cualquier probable incidente provocado por el cambio. Esto se logra a través de un conjunto de métodos y procedimientos estandarizados para su manejo eficiente y eficaz, que contemplan desde el registro, asignación de prioridad, categorización, análisis de impacto y evaluación de recursos, aprobación, programación hasta la construcción, implantación





y pruebas del cambio. Un cambio gestionado sin el debido control podría comprometer la seguridad de la información y, por ende, los activos de la organización.

2.121. Al respecto, se determinó la existencia de dos procedimientos para la Administración de cambios, uno que contempla los cambios de terceros y otro para los cambios administrados por TI. Ambos procedimientos omiten la participación de la Gerencia Técnica y la Gerencia Administrativa del PANI, en el análisis de las solicitudes de variación a los sistemas, dado que no existe un comité de cambios o instancia similar, a la cual se sometan a revisión las solicitudes de cambio; sino que en su lugar esas solicitudes solo pasan por revisión del personal de tecnologías de información.

2.122. Además, si bien es cierto se define lo que se entiende por cambio menor y cambio mayor, no se consideran dentro de la tipología, las variaciones estándares y aquellas de emergencia, y tampoco se determina el tratamiento o proceder con cada una de esas categorías.

2.123. Aunado a lo indicado, en el PANI no existe una asignación de prioridad de las solicitudes de cambio, que considere, al menos, la evaluación del impacto y urgencia del cambio.

2.124. En relación con las deficiencias detalladas, el proceso BAI06 de Cobit 5, establece la necesidad de gestionar todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura.

2.125. En cuanto a gestión de TI, no se ha documentado la gestión de cambio, ni se han emitido los respectivos procedimientos para guiar el accionar del departamento de TI y alcanzar un mejoramiento continuo. Estas deficiencias se asocian directamente con la ausencia de diseño e implementación de un marco de gobierno y gestión de las tecnologías de información que permita la alineación entre las expectativas del negocio y los objetivos estratégicos de tecnologías de información.

2.126. Las deficiencias en la gestión de los cambios podrían incrementar el riesgo de que las modificaciones implementadas en los programas, tareas, configuraciones o parámetros de los activos de TI provoquen impacto adverso a la infraestructura de tecnologías de información existente y con ello comprometer la confidencialidad, integridad y disponibilidad de los activos de información.

2.127. De igual manera, un inadecuado proceso de control sobre los cambios impacta en la capacidad operativa del Departamento de Tecnologías de Información (DTI) para la prestación de servicios, con la consecuente afectación a los usuarios de los servicios de TI, quienes eventualmente podrían percibir a ese Departamento como un facilitador ineficiente y se manifieste descontento en relación con esos servicios.

Mantenimiento preventivo y correctivo de hardware y software

2.128. Para asegurar la operación apropiada y mantener los niveles de seguridad requeridos por el negocio, es necesario para la organización el establecer, implementar, mantener y mejorar mecanismos de control sobre la infraestructura de tecnologías de información de forma integral, es decir, que contemple tanto elementos de hardware como software. Esos controles deben abarcar mecanismos para prevenir fallos más





complejos (controles preventivos), así como aquellos orientados a corregir la operación cuando hay un fallo o avería (controles correctivos).

2.129. Sobre este particular, se tiene que el PANI para atender las labores que se ejecutan en sus 53 oficinas locales, 10 centrales, regionales, albergues y oficina central, dispone de un parque tecnológico conformado por al menos 1.548 computadoras, tanto estacionales como personales, 434 impresoras, 1.039 fuentes de alimentación ininterrumpida (UPS), 7 servidores físicos y 40 virtuales, más otros equipos de comunicación, que entran dentro del inventario de equipo sujeto a mantenimiento.

2.130. En ese sentido, se determinaron una serie de debilidades vinculadas con el mantenimiento preventivo y correctivo de hardware y software en el PANI, a saber: el procedimiento para el mantenimiento y reparación de equipo informático carece de control de versiones, no hay evidencia de su aprobación y oficialización, ni fecha de elaboración y se carece de un calendario para aplicación de los mantenimientos.

2.131. Por otro lado, si bien en el 2020 se logró cubrir con el mantenimiento, el 100% de las computadoras portátiles y de escritorio con que cuenta la institución en oficinas, centrales, regionales, locales y albergues; en el 2021 ese porcentaje de cobertura alcanza el 64%, por lo que existe una cantidad razonable de equipo al cual no se le realiza un adecuado mantenimiento. Asimismo, se determinó la inexistencia de registros de atención para otro tipo de equipos, como servidores, UPS, equipo de comunicación, impresoras y otros componentes de la infraestructura tecnológica.

2.132. Las situaciones señaladas se presentan, a pesar de que Cobit 5, en el proceso BAI09, indica que se debe mantener la resiliencia de los activos críticos mediante la aplicación de un mantenimiento preventivo regular, de supervisión del rendimiento y, si fuera necesario, proporcionando alternativas y/o activos adicionales para reducir la probabilidad de fallo. Adicionalmente, refiere al establecimiento de un plan de mantenimiento preventivo para todo el hardware, considerando un análisis costo beneficio, recomendaciones del proveedor, el riesgo de interrupción del servicio, personal cualificado y otros factores relevantes.

2.133. Las deficiencias identificadas se asocian directamente con la ausencia de diseño e implementación de un marco de gobierno y gestión de las tecnologías de información que permita la alineación entre las expectativas del negocio y los objetivos estratégicos de tecnologías de información.

2.134. Las situaciones expuestas podrían ocasionar que la infraestructura de tecnologías de información no funcione de manera óptima y con ello afectar la calidad, oportunidad y continuidad de la prestación de los servicios que brinda el PANI. De igual manera, la ausencia de mantenimientos oportunos incrementa la posibilidad de fallos en los equipos y acorta la vida útil de los activos, o bien o incrementan los costos de las reparaciones que se deban efectuar.

Gestión de configuraciones, versiones y de licenciamiento de software

2.135. Los departamentos que administran las tecnologías de información llegan a perder el rastro de toda o de parte de la infraestructura con la que entregan servicios, de allí la necesidad de contar con un proceso de gestión de la configuración que permite dar seguimiento a los elementos de configuración de la infraestructura. Esos elementos de





configuración y la relación entre ellos son usualmente almacenados en la base de datos de gestión de configuración (CMDB), que sirve de apoyo a todos los demás procesos de tecnología.

2.136. Tan pronto como se aprueba un cambio en las tecnologías de información, la gestión de versiones asume el proceso, a través del control de los movimientos de software, hardware y otros componentes de infraestructura desde su ambiente de desarrollo pasando por el ambiente de pruebas y, finalmente, su liberación en el ambiente de producción. Esto es importante, entre otros asuntos, para asegurar la calidad y consistencia de las aplicaciones, minimizar los posibles errores, reducir la posibilidad de infección de software malicioso, copias ilegales o versiones no autorizadas y con ello reducir riesgos de seguridad de la información.

2.137. En otro orden de ideas, la administración de licencias debe iniciar con la identificación y creación de un inventario de activos que permita, al menos, identificar el propietario o custodio, identificación específica, valor relativo para la organización, implicancias sobre su pérdida y prioridad de recuperación, entre otros.

2.138. En relación con lo expuesto, se determinó que en el PANI no existen procedimientos formalmente establecidos, para la identificación, control, mantenimiento y verificación de los elementos de configuración de la infraestructura de tecnologías de información, esto incluye la CMDB, que toma la forma de un inventario de equipos, por lo que cumple parcialmente con su cometido.

2.139. En el caso de la gestión de cambios, no existen procesos formalmente establecidos que permita analizar si existen numerosos cambios de la misma naturaleza, consensuar el contenido de las versiones, acordar las fases y tiempos en que se pondrá a disposición del usuario, recursos necesarios, roles y responsabilidades, el diseño, construcción y configuración de la versión, hasta su distribución e implementación.

2.140. La situación expuesta se presenta por cuanto en el PANI se carece de procedimientos que definan lo que se espera de la gestión de versiones, de forma tal que se disponga de las condiciones o criterios para desplegar nuevas versiones del software instalado.

2.141. Por otro lado, no se determinaron mecanismos de control para gestionar de manera efectiva las licencias de software. Si bien es cierto se cuenta con un inventario de licencias de software, este carece de algunos elementos, tales como el detalle del propietario o custodio designado, identificación específica, la medición del valor para la organización e implicancias en pérdida y recuperación.

2.142. Además, se encontró que del listado de 47 tipos de licencias de software, un total 30 de ellas se encuentran vencidas, por lo que es un indicativo de que el registro de inventario no es un control efectivo para la administración de los activos de software y tampoco se dispone de información que permita determinar si el objetivo de la administración es descontinuar su uso. Algunas de esas licencias cuentan con 16 años de antigüedad (siendo perpetuas) y gestionan sistemas sustantivos como SIAP e Infopani.

2.143. En relación con las situaciones expuestas, el proceso BAI010 de Cobit 5 establece la importancia de definir y mantener las definiciones y relaciones entre los principales





recursos y capacidades necesarios para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información asociada con la configuración, el establecimiento de líneas de referencia, la verificación y auditoría de la información de configuración y la actualización del repositorio de configuración.

2.144. Por su parte, en cuanto a la gestión de versiones, el proceso BAI07 de Cobit 5, refiere al proceso de aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del lanzamiento, el paso a producción de procesos de negocio o servicios TI nuevos o modificados.

2.145. En cuanto al licenciamiento de software, el proceso BAI09 de Cobit 5, refiere como buena práctica, el administrar las licencias de software, para asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso necesario para el negocio y que el software instalado cumple con los acuerdos de licencia.

2.146. A pesar de la normativa detallada, ni las unidades de negocio, ni el área técnica han considerado necesario documentar la gestión de configuración, versiones y licenciamiento de software para guiar el accionar del departamento de TI y alcanzar un mejoramiento continuo.

2.147. Estas deficiencias se asocian directamente con la ausencia de diseño e implementación de un marco de gobierno y gestión de las tecnologías de información, que permita la alineación entre las expectativas del negocio y los objetivos estratégicos de tecnologías de información.

2.148. La ausencia de una línea clara de alto nivel en temas descritos, así como las deficiencias en procedimientos a nivel de gestión de las tecnologías de información, impacta en la capacidad operativa del Departamento de Tecnologías de Información (DTI) para la prestación de servicios. Lo anterior, podría ocasionar que los usuarios de los servicios de TI lo perciban como un facilitador ineficiente y se manifieste descontento en relación con esos servicios.





3. Conclusiones

3.1. En atención a los principios de seguridad, de confidencialidad e integridad, se encuentra que el PANI presenta importantes oportunidades de mejora en materia de seguridad lógica y ciberseguridad.

3.2. En lo que respecta a la disponibilidad, la planificación de continuidad de negocio el PANI no respalda la operación como debería. Por otro lado, la seguridad física ha sido atendida de manera razonable.

3.3. En ese sentido, a pesar de que se ha hecho un esfuerzo importante en la implementación de sanas prácticas en materia de seguridad, las cuales han mejorado la postura de seguridad, este esfuerzo merece ser articulado dentro de un modelo de gestión de seguridad más amplio, el cual asegure su madurez en el tiempo.

3.4. A la fecha de esta auditoría, los sistemas enfrentan una situación en la que el tiempo no está a favor de los tomadores de decisiones, con el anuncio del desarrollador de dejar fuera de su corriente de operación al navegador y entendiendo que el sistema depende de este componente, se evidencia que la continuidad del sistema está en riesgo y esta situación debe ser atendida de inmediato.

3.5. El Departamento de Tecnologías de Información tiene pendientes importantes para poder atender efectivamente las necesidades de operación de los sistemas de información, en temas relevantes, vinculados con la definición de políticas y procedimientos para mejorar el gobierno y gestión de TI, que a la fecha de emisión de este informe no podría sustentar.

4. Disposiciones

4.1. De conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, N.o 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo (o en el término) conferido para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad.

4.2. Para la atención de las disposiciones incorporadas en este informe deberán observarse los “Lineamientos generales para el cumplimiento de las disposiciones y recomendaciones emitidas por la Contraloría General de la República en sus informes de auditoría”, emitidos mediante resolución N.o R-DC-144-2015, publicados en La Gaceta N.o 242 del 14 de diciembre del 2015, los cuales entraron en vigencia desde el 4 de enero de 2016

4.3. Este Órgano Contralor se reserva la posibilidad de verificar, por los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así





como de valorar el establecimiento de las responsabilidades que correspondan, en caso de incumplimiento injustificado de tales disposiciones.

A LA JUNTA DIRECTIVA DEL PATRONATO NACIONAL DE LA INFANCIA

4.4. Resolver, conforme en derecho proceda, con respecto al análisis y valoración de riesgo, programa de seguridad de información, programa de trabajo de alto nivel para la implementación del software, mecanismos de control, y cualquier otro asunto sometido a su consideración por parte de la Presidencia Ejecutiva, para dar cumplimiento a las disposiciones contenidas en este informe. Para dar cumplimiento a esta disposición, deberá remitirse a la Contraloría General, a más tardar dos meses posteriores al envío de las propuestas por parte de la Presidencia Ejecutiva, una certificación en la que conste lo resuelto por ese Órgano Colegiado. (ver párrafos del 2.4 al 2.84).

A LA SRA. GLADYS JIMÉNEZ ARIAS EN SU CALIDAD DE PRESIDENTA

EJECUTIVA DEL PATRONATO NACIONAL DE LA INFANCIA O A QUIEN EN SU

LUGAR OCUPE EL CARGO

4.5. Elaborar, someter a aprobación, comunicar e implementar la política y los procedimientos para la clasificación de activos de información, así como la política y los procedimientos para la destrucción/reutilización segura de información y de medios de almacenamiento (físicos y digitales). Para dar cumplimiento a esta disposición, deberá remitirse a la Contraloría General, una certificación que haga constar que, al 30 de junio de 2022, se elaboró y sometió a aprobación la política y los procedimientos para la clasificación de activos de información y para destrucción/reutilización segura de información y de medios de almacenamiento (físicos y digitales). Además, dos meses después de emitido el acuerdo por parte de la Junta Directiva, remitir al Órgano Contralor una certificación donde se acredite que dichas políticas y los procedimientos para la clasificación de activos de información y para la destrucción/reutilización segura de información y de medios de almacenamiento (físicos y digitales), fueron debidamente comunicados e implementados. (ver párrafos del 2.4 al 2.14).

4.6. Elaborar, someter a aprobación, comunicar e implementar el procedimiento de gestión de cuentas de usuario para favorecer su vigencia, efectividad de diseño y que esta figura operativa sea consistente con las políticas de seguridad y asegurar que todas las partes interesadas se enteren en tiempo y forma de los cambios que se requieren a nivel de roles y perfiles en los diferentes sistemas que administra el PANI. Dicho procedimiento al menos deberá considerar los siguientes elementos: a) conciliación periódica de las cuentas existentes en los sistemas del PANI (Active Directory, así como sistemas críticos) en relación con las cuentas conocidas por RRHH y las jefaturas para dar de baja aquellas cuentas que no deban estar activas y asegurar que los privilegios asignados a aquellas cuentas que están activas son los correctos y están en línea con las necesidades del negocio, b) el detalle de los sistemas y dueños de sistemas, c) actividades para crear, modificar e inhabilitar cuentas de usuario, d) comunicación a las partes interesadas. Para dar cumplimiento a esta disposición, deberá remitirse a la Contraloría General, una certificación a más





tardar el 15 de abril de 2022, en la que conste que se elaboró y remitió dicho procedimiento para aprobación por parte de la Junta Directiva. Un mes posterior a la aprobación, por parte de la Junta Directiva, una certificación en la que conste la comunicación del procedimiento de gestión de cuentas de usuario. Y, tres meses después de la comunicación del procedimiento, una certificación en la que conste la implementación del procedimiento de gestión de cuentas de usuario. (ver párrafos del 2.16 al 2.27).

4.7. Elaborar, someter a aprobación y comunicar un análisis de brechas, a efecto de identificar el estado de seguridad deseado por la institución en el mediano y largo plazo; y diseñar, someter a aprobación, comunicar e implementar una estrategia de seguridad de información para cerrar las brechas identificadas entre el estado actual y el estado definido como deseable en términos de postura de seguridad. Para dar cumplimiento a esta disposición, deberá remitirse a la Contraloría General, una certificación, a más tardar el 14 de setiembre de 2022, en la que conste que se elaboró y sometió a aprobación el análisis de brechas y la estrategia de seguridad de información. Asimismo, dos meses posteriores al acuerdo adoptado por la Junta Directiva, una certificación en la que conste que se comunicó el análisis de brechas y se comunicó e implementó la estrategia de seguridad de información. (ver párrafos del 2.29 al 2.84).

4.8. Elaborar, someter a aprobación e implementar un programa de seguridad de información que permita implementar la estrategia de seguridad de información por medio de proyectos y actividades que modificarán la postura actual de seguridad de información y facilitará la implementación de un Sistema de Gestión de Seguridad de Información. La cartera de proyectos deberá atender al menos los siguientes aspectos, a) Continuidad de Negocio: Elaboración del Análisis de Impacto de Negocio, Planes de Continuidad de Negocio y Planes de Recuperación en caso de desastre, b) Actualización de las políticas y procedimientos relacionados con el respaldo y recuperación de información en concordancia con el Análisis de Impacto de Negocio y la continuidad de negocio c) Elaborar los acuerdos de confidencialidad con la participación del equipo de asesoría legal. De igual manera considerar las obligaciones a las que deben someterse los terceros en materia de seguridad, prestación de servicio y confidencialidad, d) Cifrado de bases de datos, e) Suspensión de acceso por ausentismo, f) Proceso de gestión de vulnerabilidades, g) Controles técnicos sobre dispositivos móviles y h) Sensibilización en seguridad de información. Para dar cumplimiento a esta disposición, deberá remitirse a la Contraloría General, una certificación, a más tardar el 15 de noviembre de 2022, en la que conste que se elaboró y sometió a aprobación, el programa de seguridad de información. Adicionalmente, dos meses posteriores a la aprobación por parte de la Junta Directiva, remitir una certificación donde conste que se implementó el programa de seguridad, y tres meses posteriores a tal acuerdo, remitir una certificación en la cual conste el grado de avance de los proyectos y actividades definidas. (ver párrafos del 2.29 al 2.84).

4.9. Elaborar, someter a aprobación y comunicar un programa de trabajo de alto nivel para la implementación del software que soportará las funciones sustantivas desde la alta gerencia para garantizar que se cumplan los tiempos previstos para el ciclo de desarrollo y puesta en operación según el cronograma elaborado por el DTI para





subsanar las debilidades señaladas en materia de seguridad, el modelo de autenticación, la parametrización de contraseñas, concurrencia de sesiones, la entrada de datos y otros. Este programa deberá considerar al menos los siguientes elementos: actividades, responsables, cronograma, recursos y análisis de riesgos. Para dar cumplimiento a esta disposición, deberá remitirse a la Contraloría General, a más tardar el 16 de mayo 2022, una certificación en la que conste que se elaboró y sometió a aprobación el programa de trabajo de alto nivel para la implementación de software. A más tardar dos meses posteriores al acuerdo de Junta Directiva, una certificación en la que conste que se comunicó el programa de trabajo de alto nivel para la implementación de software. Además, cuatro meses posteriores a la aprobación y comunicación del programa de trabajo, un primer informe sobre el grado de avance del proyecto de desarrollo de software. Y, finalmente, seis meses posteriores a la remisión del primer informe de avance, un segundo informe con respecto al avance del proyecto de desarrollo de software. (ver párrafos del 2.86 al 2.111).

4.10. Realizar un análisis y valoración de riesgo con respecto a la caducidad del IE11 y de los motores de base de datos que permita en primera instancia conocer el posible impacto de esta situación sobre las aplicaciones y el negocio, para luego tomar decisiones para administrar ese riesgo o asumiéndolo, según el apetito y tolerancia al riesgo de la institución. Para dar cumplimiento a esta disposición, deberá remitirse a la Contraloría General, una certificación, a más tardar el 30 de mayo de 2022, en el que conste que se realizó el análisis y valoración de riesgo relativo a la obsolescencia tecnológica. Además, otra certificación, a más tardar el 15 de julio de 2022, en el que consten las decisiones tomadas con respecto a los riesgos identificados. (ver párrafos del 2.86 al 2.98).

4.11. Elaborar, someter a aprobación de la Junta Directiva, divulgar e implementar un mecanismo de control dentro del marco de gestión de tecnologías de información, con el fin de fortalecerlo desde el punto de vista técnico y tomar las medidas necesarias para que los parámetros de los sistemas se ajusten. Al respecto se deberá considerar entre otros los siguientes aspectos: a) Fortaleza y complejidad de las contraseñas, c) Cambio de la contraseña generada por el sistema, una vez que el usuario ingresa por primera vez a la plataforma web, d) Bloqueo del usuario por abandono de equipo (tiempo transcurrido entre consultas o transacciones), e) Reciclaje de contraseñas. Para dar cumplimiento a esta disposición, deberá remitirse a la Contraloría General, a más tardar el 30 de mayo de 2022, una certificación en la cual se haga constar que se elaboró y se sometió a aprobación de la Junta Directiva el mecanismo de control. Dos meses posteriores a la aprobación de la Junta Directiva, una certificación en la que conste que se divulgó el mecanismo de control elaborado. A más tardar tres meses posteriores a la divulgación, una certificación donde conste que el mecanismo de control fue implementado. (ver párrafos del 2.99 al 2.111).

4.12. Elaborar, someter a aprobación e implementar una hoja de ruta para la implementación del marco de gobierno y gestión de tecnologías de información propuesto y aprobado por la Junta Directiva del PANI en sesión ordinaria 2021-038, que contemple, al menos los procesos de gestión de incidentes y problemas, gestión de cambios, gestión de versiones y licenciamiento de software y mantenimiento





preventivo y correctivo. Para el cumplimiento de esta disposición, se debe remitir a esta Contraloría General, a más tardar el 15 de abril de 2022, una certificación en la que conste que se elaboró y aprobó la hoja de ruta propuesta. Además, siete meses posteriores a la elaboración y aprobación, un informe en donde conste el grado de avance de la implementación de dicha hoja de ruta. (ver párrafos del 2.114 al 2.148).

_______________________________ Lic. Manuel Corrales Umaña

Gerente de Área

_______________________________ Lic. Gonzalo Elizondo Rojas

Asistente Técnico

_______________________________ Lic. Alejandro Zúñiga Gómez

Coordinador

_______________________________ Lic. Kevin Rodríguez Muñoz

Colaborador


INFORME N°. DFOE-BIS-IF-00017-2021 10 de diciembre, 2021

Documents

Transcript of INFORME N°. DFOE-BIS-IF-00017-2021 10 de diciembre, 2021