INFORME N° DFOE-SAF-IF-00001-2018 02 de febrero, 2018 ... · CELIA WHITE WARD EN SU CALIDAD DE...

Contraloría General de la República

T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]

http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica

INFORME N° DFOE-SAF-IF-00001-2018 02 de febrero, 2018

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DEL SISTEMA DE ADMINISTRACIÓN FINANCIERA DE LA REPÚBLICA

INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA CALIDAD Y SEGURIDAD DE LA INFORMACIÓN PARA LA TOMA

DE DECISIONES GERENCIALES DE LOS PROCESOS SUSTANTIVOS DEL MINISTERIO DE HACIENDA

2018

http://www.cgr.go.cr/




CONTENIDO

Página N°

RESUMEN EJECUTIVO

1. INTRODUCCIÓN .................................................................................................... 1

ORIGEN DE LA AUDITORÍA ........................................................................................................................ 1

OBJETIVO DE LA AUDITORÍA .................................................................................................................... 1

ALCANCE DE LA AUDITORÍA ..................................................................................................................... 2

GENERALIDADES ACERCA DE LA AUDITORÍA ...................................................................................... 2

METODOLOGÍA APLICADA ......................................................................................................................... 3

COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA ........................................ 4

2. RESULTADOS ....................................................................................................... 4

SEGURIDAD DE LA INFORMACIÓN ........................................................................................................... 4

REZAGO EN LA ESTRATEGIA DE IMPLEMENTACIÓN DE SEGURIDAD DE LA INFORMACIÓN 4 FALTA DE SEGUIMIENTO DE LA SEGURIDAD DE LA INFORMACIÓN POR PARTE DEL

COMITÉ DE SEGURIDAD DE LA INFORMACIÓN ................................................................ 7 INEXISTENCIA DE UNA POLÍTICA PARA UNA ADECUADA GESTIÓN DE LOS ACTIVOS DE

INFORMACIÓN ................................................................................................................. 8

AUSENCIA DE UN MODELO DE ARQUITECTURA EMPRESARIAL DEL MINISTERIO DE

HACIENDA ................................................................................................................................................... 10

DEBILIDADES EN EL SEGUIMIENTO DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE

INFORMACIÓN ............................................................................................................................................. 11

3. CONCLUSIONES ................................................................................................. 13

4. DISPOSICIONES ....................................................................................................... 14

AL SEÑOR HELIO FALLAS VENEGAS, MINISTRO DE HACIENDA Y PRESIDENTE DEL

CONSEJO INSTITUCIONAL DE TECNOLOGÍAS DE INFORMACIÓN (CITI), O A QUIEN EN SU

LUGAR OCUPE EL CARGO ........................................................................................................................ 14

AL SEÑOR MANUEL ENRIQUE RAMOS CAMPOS EN SU CALIDAD DE DIRECTOR DE

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN, O A QUIEN EN SU LUGAR OCUPE EL

CARGO .......................................................................................................................................................... 15

A LA LICDA. CELIA WHITE WARD EN SU CALIDAD DE DIRECTORA DE PLANIFICACIÓN

INSTITUCIONAL O A QUIEN EN SU LUGAR OCUPE EL CARGO ......................................................... 16

CUADROS

CUADRO N° 1 PROYECTOS DE ESTRATEGIA DE IMPLEMENTACIÓN DE SEGURIDAD

DE LA INFORMACIÓN……….…………………………………….. 6





INFORME N° DFOE-SAF-IF-00001-2018

RESUMEN EJECUTIVO ¿Qué examinamos? La auditoría de carácter especial realizada por la Contraloría General en el Ministerio de Hacienda, tuvo como objetivo verificar el cumplimiento de buenas prácticas en materia de gestión y control de la calidad y seguridad de la información utilizada para la toma de decisiones gerenciales de los procesos sustantivos del Ministerio de Hacienda, de conformidad con el marco normativo y técnico, nacional e internacional, aplicable. La auditoría abarcó las operaciones del 01 de enero 2016 al 30 de junio 2017, y se amplió en los casos que se consideró necesario.

¿Por qué es importante? El tema es de relevancia porque la información que es recibida, procesada, almacenada y comunicada por el Misterio de Hacienda en apoyo de sus procesos sustantivos, resulta de suma importancia y sensibilidad para la gestión hacendaria costarricense, y es utilizada para otros procesos y servicios de los ciudadanos e instituciones públicas del país, de manera que los niveles de calidad y seguridad de dicha información son fundamentales para la toma de decisiones acertadas y oportunas.

¿Qué encontramos? El Ministerio de Hacienda , aprobó en febrero 2017, una estrategia de implementación de seguridad de la información, que incluye cuatro iniciativas de proyectos referidos a la implementación de Políticas y del Sistema de Seguridad de la Información, el Desarrollo e implementación del Common Report Standard (CRS) y la estrategia para asegurar la continuidad de negocio.

No obstante, en la auditoría se determinó que al mes de agosto 2017 el proyecto de implementación de políticas de seguridad de información presenta un rezago de un 23% según el avance esperado y que al mes de noviembre 2017 los proyectos de implementación del Sistema de Gestión de Seguridad de la Información y Continuidad de Negocio no habían iniciado, a pesar de que las respectivas iniciativas de proyecto se aprobaron en febrero 2017.

El Comité de Seguridad de la Información (CSI) es el responsable de dar seguimiento al estado de la seguridad de la información del Ministerio para evitar exponer a la institución a riesgos por uso indebido de información, alteración o pérdida de esta, sabotajes o fraudes, no obstante, no se evidenció que el CSI haya realizado dicho seguimiento para garantizar la oportunidad en la toma de decisiones y el establecimiento de acciones correctivas ante los atrasos en la ejecución de la estrategia.

Además, el Ministerio no cuenta con un Modelo de Arquitectura Empresarial que permita realizar de forma razonable la alineación de los objetivos de negocio con las tecnologías





de información, así como optimizar los recursos tecnológicos de la institución, situación que ha sido originada por la falta de establecimiento de los procesos sustantivos, del modelo de arquitectura de información, y el inventario de la arquitectura tecnológica que apoya dichos procesos.

Por otra parte, el Ministerio tampoco cuenta con un proceso formalmente establecido para la gestión de activos de información, que sirva como base para determinar las amenazas, vulnerabilidades y riesgos a los que dichos activos se exponen ante un incidente de seguridad.

Finalmente, con respecto al seguimiento del plan estratégico de tecnologías de información del Ministerio, se presentan oportunidades de mejora con respecto al establecimiento y documentación de los porcentajes de avance real de las acciones estratégicas, así como con los indicadores de desempeño de los objetivos estratégicos.

¿Qué sigue? En razón de lo antes expuesto, se dispuso al Ministro de Hacienda y presidente del Consejo Institucional de Tecnologías de Información, elaborar, aprobar y poner en ejecución una hoja de ruta para el desarrollo de la Estrategia de Seguridad de la Información; diseñar e implementar la regulación del funcionamiento del Comité de Seguridad de la Información, de tal forma que considere la periodicidad con la que debe reunirse y con la que debe dar seguimiento al estado de la seguridad de la información y al cumplimiento de la política de seguridad de la información; elaborar, aprobar y comunicar una política de seguridad para la gestión de activos de información y sus respectivos procedimientos; actualizar y aprobar el portafolio de servicios de tecnologías de información y comunicación; elaborar, aprobar y poner en ejecución una hoja de ruta para el desarrollo de un modelo de arquitectura de información y de arquitectura tecnológica del Ministerio. Por su parte, se dispuso al Director de Tecnologías de Información y Comunicación analizar el cumplimiento de la “Política para la Planificación TIC”, del “Procedimiento para elaborar el plan estratégico de TIC y plan táctico TIC” y del “Procedimiento para actualizar y dar seguimiento al plan estratégico de TIC, plan táctico TIC y plan anual operativo” con la finalidad de que con base en los resultados obtenidos se establezcan los mecanismos de mejora. Finalmente, a la Directora de Planificación Institucional se le dispuso elaborar, aprobar, comunicar e implementar una política y la metodología para el levantamiento de procesos sustantivos en el Ministerio de Hacienda.





INFORME N° DFOE-SAF-IF-00001-2018

INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA CALIDAD Y SEGURIDAD DE LA INFORMACIÓN PARA LA TOMA DE DECISIONES

GERENCIALES DE LOS PROCESOS SUSTANTIVOS DEL MINISTERIO DE HACIENDA

1. INTRODUCCIÓN

ORIGEN DE LA AUDITORÍA

1.1. La auditoría se realizó con fundamento en las competencias que le confieren a la Contraloría General de la República los artículos 183 y 184 de la Constitución Política y 17, 21 y 37 de su Ley Orgánica N° 7428.

1.2. El uso de tecnologías de información y comunicación, potencia la obtención de información en forma ágil disminuyendo con esto el costo de procesamiento. No obstante esto, el uso de tecnologías conlleva riesgos inherentes que deben ser administrados adecuadamente por el Ministerio, con el propósito de minimizar la materialización de riesgos que impacten la calidad, confiabilidad y oportunidad de la información producida.

1.3. La información que recibe, procesa, almacena y produce el Ministerio de Hacienda, constituye un activo muy sensible que da soporte a los procesos sustantivos que ejecuta el Ministerio en cumplimiento de la función hacendaria que le es asignada, en la Constitución y otras leyes que regulan la materia. Asimismo, constituye la base para muchos de los procesos y servicios que se brindan a otras instituciones públicas del país.

1.4. Por lo anterior, resulta de suma importancia que dicha información sea procesada observando altos niveles de seguridad, en procura de garantizar razonablemente que la información sea producida oportunamente y esté revestida de un alto grado de calidad y confiabilidad, para que las decisiones que tomen con base en esta el Ministerio y terceros interesados sean correctas y oportunas.

OBJETIVO DE LA AUDITORÍA

1.5. Verificar el cumplimiento de buenas prácticas en materia de gestión y control de la calidad y seguridad de la información utilizada para la toma de decisiones gerenciales de los procesos sustantivos del Ministerio de Hacienda, de conformidad con el marco normativo y técnico, nacional e internacional, aplicable.


2




ALCANCE DE LA AUDITORÍA

1.6. Se analizaron las medidas de gestión y control diseñadas e implementadas por la administración para asegurar la calidad y seguridad de la información que soporta la toma de decisiones gerenciales relacionadas con los procesos sustantivos institucionales. El período abarcó las operaciones del 01 de enero 2016 al 30 de junio 2017, y se amplió en aquellos casos que se consideró necesario.

GENERALIDADES ACERCA DE LA AUDITORÍA

1.7. El Ministerio de Hacienda mediante Decreto Ejecutivo N° 33733 del 23 de marzo del 20071 creó el Consejo Institucional de Tecnologías de Información (CITI); posteriormente con el fin de promover la mejora en la gestión de las Tecnologías de Información, actualizó el Reglamento de Creación del CITI mediante el Decreto Ejecutivo N° 40060-H2, derogando de esta manera el decreto inicial.

1.8. El CITI se establece como el órgano directivo responsable de aprobar la estrategia de tecnologías de información y comunicación en el Ministerio de Hacienda, así como de dictar los lineamientos respectivos y promover y patrocinar el desarrollo de las tecnologías en función de las necesidades del Ministerio.

1.9. El Consejo está conformado por los siguientes miembros permanentes: el Ministro de Hacienda quien funge como Presidente, el coordinador de la Comisión de Coordinación de la Administración Financiera (CCAF), el coordinador de la Comisión de Coordinación del Área de Ingresos (CCAI), el Director Administrativo y Financiero (DAF), y el Director de la Dirección de Tecnologías de Información y Comunicación (DTIC), quien funge como secretario.

1.10. En el ejercicio de sus funciones en la Sesión Ordinaria N° 49 efectuada el 27 de noviembre del 2015, el CITI aprobó el documento N° DTIC-POL-013-2015 denominado “Políticas Generales para la Seguridad de la Información”, las cuales tienen como objetivo “Dictar mediante lineamientos las medidas administrativas, organizativas, físicas, técnicas y educativas, dirigidas a prevenir, detectar y responder a riesgos y amenazas para la confidencialidad, integridad y disponibilidad de la información en el Ministerio de Hacienda”.

1.11. Dichas Políticas Generales fueron remitidas por el señor Ministro de Hacienda a todos los funcionarios mediante el Oficio N° DM-1082-2016 de

1 Publicado en el Diario Oficial La Gaceta N° 97 del 22 de mayo del 2007. 2 Decreto Ejecutivo N° 40060-H del 4 de noviembre de 2016, publicado en el Diario Oficial La Gaceta N° 2

del 3 de enero de 2017.


3




junio 2016, al que se adjuntó la Directriz N° DM-0002-2016 “Aplicación obligatoria de las Políticas Generales para la Seguridad de la Información (DTIC-POL-013-2015)”.

1.12. En las citadas Políticas, se establece el Comité de Seguridad de la Información (CSI), como un comité de alto nivel encargado de los temas relativos a la seguridad de la información en el Ministerio, el cual tendrá la rectoría en materia de seguridad y le corresponde la toma de decisiones en ese ámbito. Dicho Comité está conformado por el CITI y el Oficial de Seguridad de la Información (cargo en el que se designa al titular del Departamento de Control y Aseguramiento de TIC de la DTIC).

1.13. Por otra parte, en relación con la seguridad, en la Sesión Ordinaria N° 61 del CITI efectuada el 16 de febrero de 2017, se expone y aprueba la “Estrategia de implementación de seguridad de la información a nivel institucional”, la cual contemplaba las siguientes cuatro iniciativas de proyectos: Implementación políticas de seguridad de la información, Desarrollo e implementación del Common Report Standard (CRS)3, Implementación de Sistema de Gestión de la Seguridad de la Información, y Continuidad de Negocio.

1.14. Finalmente, debe señalarse que el Ministerio en el Plan Estratégico de Tecnologías de Información y Comunicación (PETIC) 2014-2018, establece como prioridades estratégicas las siguientes: “E02 Desarrollar un proceso de dotación de tecnología que garantice la continuidad de las operaciones del negocio y minimice la obsolescencia tecnológica del Ministerio de Hacienda” y “E04 Contar con un proceso de continuidad y contingencia tecnológica”.

METODOLOGÍA APLICADA

1.15. La auditoría se realizó de conformidad con lo establecido en las Normas Generales de Auditoría para el Sector Público, el Manual General de Fiscalización Integral (MAGEFI) y el Procedimiento de Auditoría, emitidas por la Contraloría General de la República.

1.16. Además, como criterios de auditoría se utilizaron las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información y Normas de control interno para el Sector Público (N-2-2009-CO-DFOE), la normativa interna emitida por el Ministerio de Hacienda, así como otra normativa y prácticas generalmente aceptadas que resultan aplicables.

3 Sistema que permite el intercambio de información entre los países que lo suscriben.


4




1.17. Para la realización de la auditoría, se requirió efectuar entrevistas, confirmaciones, comprobaciones, solicitudes de información, análisis documentales y análisis de la normativa legal y técnica aplicable.

COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA

1.18. En reunión efectuada el 22 de enero de 2018 en el Despacho del Ministro, se expusieron los principales resultados de la presente auditoría a los siguientes funcionarios del Ministerio de Hacienda: Helio Fallas Venegas (Ministro de Hacienda), Manuel Enrique Ramos Campos (Director –DTIC), Celia White Ward (Directora – Dirección de Planificación Institucional), Ronald Fernández Romero (Subdirector General – Auditoría Interna), Bertha Mora Jiménez (Asesora – Despacho Ministro), Adrián Pérez Edwards (Funcionario - Dirección Tributación Internacional), Patricia Navarro Vargas (Subdirectora – Dirección Administrativa y Financiera).

1.19. Mediante oficio N° 827 (DFOE-SAF-0062) el Órgano Contralor remitió al Ministerio de Hacienda, el borrador del presente informe, con el propósito de que se remitieran a la Contraloría General las observaciones que consideraran pertinentes.

1.20. Dentro del plazo establecido, no se recibieron observaciones del Ministerio de Hacienda al contenido del Borrador comunicado mediante el oficio indicado supra.

2. RESULTADOS

SEGURIDAD DE LA INFORMACIÓN

Rezago en la estrategia de implementación de seguridad de la información

2.1. La Norma 1.4 “Gestión de la Seguridad de la información” de las Normas Técnicas para la gestión y control de las tecnologías de información4, establece que la organización debe documentar e implementar una política de seguridad de la información y los procedimientos correspondientes, así como, asignar los recursos necesarios para lograr los niveles de seguridad requeridos.

2.2. Adicionalmente, la Norma 1.4.1 “Implementación de un marco de seguridad de la información” de dicho cuerpo normativo, dispone que la institución debe establecer un marco metodológico que incluya la clasificación de los recursos de TI, según su criticidad, la identificación y evaluación de riesgos, la

4 N-2-2007-CO-DFOE, aprobadas mediante Resolución del Despacho de la Contraloría General de la

República, N° R-CO-26-2007 del 7 de junio, 2007.


5




elaboración e implementación de un plan para el establecimiento de medidas de seguridad, la evaluación periódica del impacto de esas medidas y la ejecución de procesos de concienciación y capacitación del personal. Asimismo, establece que sobre dicho marco debe ejercerse una vigilancia constante y mantenerlo actualizado; así como, documentar y mantener actualizadas las responsabilidades del personal y de terceros relacionados.

2.3. En relación con lo comentado, la norma ISO 27001 “Sistema de Gestión de la Seguridad de la Información”, en sus numerales 4 y 5, establece que la gerencia debe proporcionar evidencia de su compromiso con el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejoramiento del Sistema de Gestión de la Seguridad de la Información (SGSI), mediante el establecimiento de una política de seguridad, asegurar que se establezcan objetivos y planes del SGSI; y establecer roles y responsabilidades para la seguridad de la información.

2.4. En concomitancia con lo indicado supra, en la Norma 1.4.7 “Continuidad de los servicios de TI”, se establece que:

“La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad.”

2.5. Con el propósito de impulsar los esfuerzos institucionales para garantizar la seguridad de la información (SI), el CITI aprobó en la Sesión Ordinaria N° 49 efectuada el 27 de noviembre del 2015 las “Políticas Generales para la Seguridad de la Información”, las que tienen como objetivo “Dictar mediante lineamientos las medidas administrativas, organizativas, físicas, técnicas y educativas, dirigidas a prevenir, detectar y responder a riesgos y amenazas para la confidencialidad, integridad y disponibilidad de la información en el Ministerio de Hacienda”.

2.6. Cabe señalar, que dichas políticas fueron hechas del conocimiento de los funcionarios del Ministerio hasta el 1 de junio del 2016, fecha en que el Ministro de Hacienda mediante el Oficio N° DM-1082-2016, remitió la Directriz N° DM-0002-2016 del 2 de mayo de 2016, relacionada con la aplicación obligatoria de las políticas en mención.

2.7. Con el fin de continuar con la gestión de la seguridad de la información, en febrero 2017, más de un año después de aprobadas las citadas políticas, la subdirectora de la DTIC presenta ante el CITI la “Estrategia de implementación de seguridad de la información”, la cual contempla cuatro iniciativas de proyectos, a saber: Implementación políticas de seguridad de la


http://www.gesconsultor.com/iso-27001.html

http://www.gesconsultor.com/iso-27001.html

6




información, Desarrollo e implementación del Common Report Standard (CRS), Implementación del Sistema de Gestión de la Seguridad de la Información, y Continuidad de Negocio. Asimismo, se eligió al Oficial Mayor y Gerente de Despacho, como líder de la estrategia.

2.8. Considerando la importancia que reviste la “Estrategia” planteada para lograr que el Ministerio cuente con un adecuado sistema de seguridad de la información como parte de la auditoría se revisó el estado de avance de los proyectos que la componen.

Cuadro N° 1 Ministerio de Hacienda

Proyectos de Estrategia de implementación de seguridad de la Información

PROYECTOS

FECHAS PORCENTAJES

Desfase Caso de Negocio

Carta Constitutiva

Inicio de Proyecto (1)

Final de Proyecto (2)

Avance Estimado

(3)

Avance Real (3)

Implementación políticas de seguridad de información

Feb-17 Ago-17 Mar-17 Dic-17 65% 42% 23%

Desarrollo e implementación del CRS Feb-17 Feb-17 Feb-17 Dic-17 48% 47% 1%

Fuente: Elaboración propia con datos suministrados por el Ministerio de Hacienda.

Notas: (1) Según Carta Constitutiva del Proyecto. (2) Datos obtenidos del Portafolio de proyectos remitido por la Unidad de Administración de Proyectos, con corte a

setiembre de 2017. (3) Datos según información del estado del proyecto, elaborado por el administrador del proyecto, con corte a agosto para

las políticas y octubre 2017 para el CRS.

2.9. Como puede observarse en el cuadro anterior, el proyecto de implementación de políticas de seguridad de la información presentaba un avance real del 42% a agosto 2017, mientras que a dicha fecha se estimaba que tuviera un avance del 65%. Es decir que el avance era un 23% menor al esperado. Por otra parte, en relación con los proyectos “Implementación del SGSI” y “Continuidad de Negocio”, en el cuadro no se incluye información, debido a que al mes de noviembre 2017, las respectivas cartas constitutivas de dichos proyectos se encontraban en proceso de formalización.

2.10. Las razones por las cuales el Ministerio de Hacienda no cuenta actualmente con un SGSI, un Plan de Continuidad de Negocio y la implementación de las Políticas Generales para la Seguridad de la Información, se debe a que la estrategia de implementación de SI que contempla estas acciones conlleva la participación vital de todas las dependencias del Ministerio, por lo que los casos de negocio para la implementación del SGSI y la Continuidad de Negocio se aprobaron hasta julio del presente año. Asimismo, la carta constitutiva del proyecto de implementación de las políticas de seguridad de la información fue aprobada hasta agosto de 2017 y su “Plan de Proyecto” al cierre de esta auditoría se encuentra pendiente de formalizar, situaciones que


7




obligaron a realizar ajustes en las actividades del cronograma propuesto inicialmente en marzo 2017.

2.11. Otro hecho que afectó el normal desarrollo del proyecto “Implementación de políticas de seguridad de la información”, fue que en agosto de 2017, se llevó a cabo una rotación de personal de la mayoría de las jefaturas de la DTIC, lo cual conllevó un período de trasmisión de conocimiento importante, que ocasionó atrasos en el desarrollo de las tareas que ya se tenían asignadas como parte del cronograma del proyecto.

2.12. La ausencia de un SGSI y la implementación de las políticas de seguridad de la información, exponen al Ministerio a riesgos por uso indebido, alteración o pérdida de información, debido a errores o fraudes. Además, la ausencia de un Plan de Continuidad de Negocio podría originar que en caso de presentarse algún evento como la interrupción de los sistemas de información que apoyan los procesos que realiza el Ministerio, este se vea expuesto a riesgos de pérdida de información, y suspensión o atraso en los servicios brindados, debido a que no se cuenta con un mecanismo alternativo formal que permita la restauración oportuna y exitosa de estos.

Falta de seguimiento de la Seguridad de la Información por parte del Comité de Seguridad de la Información

2.13. En las Políticas Generales para la Seguridad de la Información, se establece el Comité de Seguridad de la Información (CSI), el cual está conformado por el CITI y el Oficial de Seguridad de la Información. Dicho comité ejercerá la rectoría y toma de decisiones en cuanto a seguridad de información, y como parte de sus funciones le corresponde solicitar revisiones del estado de la seguridad de la información y del cumplimiento de las políticas respectivas.

2.14. Por otra parte, en las Políticas en mención, se designa como Oficial de Seguridad de la Información al titular del Departamento de Control y Aseguramiento de TIC de la DTIC, quien entre otras cosas debe presentar informes al Comité de Seguridad de la Información del estado de las acciones relacionadas con la seguridad.

2.15. Ante solicitud por parte de este Órgano Contralor de las Actas de las Sesiones del Comité de Seguridad de la Información y los informes de seguimiento del estado de la seguridad de la información y del cumplimiento de las políticas, se recibió la documentación de tres sesiones realizadas por el CITI en el periodo objeto de auditoría, las cuales se efectuaron en los meses de octubre y noviembre 2016 y en febrero 2017, en las que de acuerdo con lo consignado en el Oficio N° CITI-016-2017 del 3 de noviembre de 2017 por el Presidente a.i. del CITI, dicho órgano fungió como CSI.


8




2.16. En adición, debe indicarse que el CITI no suministró documentación en la que se evidencie que el CSI le haya dado seguimiento a la Estrategia. Asimismo, tampoco suministró los informes sobre el estado de la Seguridad de Información del Ministerio y el cumplimiento de las políticas de seguridad.

2.17. En la revisión de dicha documentación se observó que en la Sesión efectuada en febrero 2017, se expuso la Estrategia de Implementación de Seguridad de la Información, se designó al Oficial Mayor y Gerente de Despacho como líder de dicha Estrategia; y se aprobaron varias iniciativas del proyecto dentro de las que se encuentra la implementación de las políticas.

2.18. Es importante aclarar que la designación del líder de la Estrategia, siendo este el Oficial Mayor y Gerente de Despacho y el seguimiento semestral que da el CITI al portafolio de proyectos de TI, no suprime la obligación del Comité de SI (que además del CITI incluye al Oficial de Seguridad), de dar seguimiento a las acciones llevadas a cabo específicamente en relación con la seguridad de la información. Además, cabe señalar que en las Políticas no se regula lo relativo a la periodicidad con que se debe reunir el CSI, siendo este el único marco para la organización y funcionamiento del Comité en mención.

2.19. Como parte de los factores críticos de éxito para la gestión de la seguridad de la información, está el apoyo visible y compromiso de todos los niveles de dirección, especialmente de la alta dirección y del Oficial de Seguridad de la información, que aseguren razonablemente una alineación efectiva de los objetivos institucionales y las actividades de seguridad de la información. De ahí la importancia del cumplimiento de las funciones establecidas al Comité de SI para la oportuna toma de decisiones.

Inexistencia de una política para una adecuada gestión de los activos de información

2.20. En la auditoría se encontró, que el Ministerio no cuenta con un proceso formalmente establecido para la identificación de activos de información, que sirva como base para determinar las amenazas, vulnerabilidades y riesgos a los que dichos activos se exponen ante un incidente de seguridad y de esta manera poder definir los controles respectivos para la protección de los mismos.

2.21. Sobre el particular la norma técnica 1.4.1 “Implementación de un marco de seguridad de la información”, dispone que como parte del marco metodológico que debe desarrollar la organización se tiene que incluir la clasificación de los recursos de TI, según su criticidad, identificación y evaluación de riesgos, la elaboración e implementación de un plan para el


9




establecimiento de medidas de seguridad, la evaluación periódica del impacto de esas medidas y la ejecución de procesos de concienciación y capacitación del personal.

2.22. En concordancia con la citada norma la ISO 27000, en su numeral 3.5.1. indica que para llevar a cabo el establecimiento, la supervisión, el mantenimiento y la mejora de un Sistema de Gestión de Seguridad de la Información (SGSI) la organización necesita “Identificar los activos de información y sus requisitos de seguridad de la información asociados”.

2.23. Además, en el numeral 3.5.2, de dicha norma ISO se indica que:

“Llevar a cabo una evaluación metódica de los riesgos asociados a los activos de información de la organización implicará analizar: las amenazas a los activos de información; vulnerabilidades y la posibilidad de que una amenaza a los activos de información se materialice; y el impacto potencial de cualquier incidente de seguridad de la información sobre los activos de información.”

2.24. No obstante lo comentado, debe señalarse que el Ministerio de Hacienda dentro de su Política General de Seguridad de la Información, como parte de los lineamientos, en relación con la gestión de los activos establece que “Los propietarios de los activos de la información en coordinación con la Unidad de Seguridad de TIC, establecerán procedimientos y controles para la protección de los activos TIC del Ministerio de Hacienda, según su clasificación”. En relación con la clasificación de la información dicha Política establece que los propietarios de los activos de información indicarán las condiciones de confidencialidad y protección requeridas para impedir la alteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información.

2.25. Para la implementación de la Política General de Seguridad de la Información, se han aprobado políticas específicas que son de acatamiento obligatorio para todo el personal, en las cuales se hace referencia a la política de seguridad para la clasificación de la información (DTIC-POL-031), sin embargo, dicha política no se encuentra actualmente oficializada.

2.26. Por otro lado, como parte de la estrategia de implementación de seguridad de la información el Ministerio tiene el proyecto de implementación de un Sistema de Gestión de la Seguridad de la Información, que implica la identificación de activos de información como una de sus primeras fases, el cual, como se comentó antes en este informe aún no ha iniciado, encontrándose en proceso de formalización la Carta constitutiva.

2.27. La ausencia de un proceso formal para la identificación de activos, que permita establecer las condiciones de confidencialidad y protección requeridas, impiden a la administración poder identificar las amenazas, vulnerabilidades y riesgos asociados a los activos, por lo que tampoco se


10




pueden establecer las acciones necesarias para salvaguardar la información de errores, pérdida o usos indebidos.

AUSENCIA DE UN MODELO DE ARQUITECTURA EMPRESARIAL DEL

MINISTERIO DE HACIENDA

2.28. Las sanas prácticas internacionales contenidas en el proceso APO03, denominado “Gestionar la Arquitectura Empresarial” del COBIT 5, señala que se debe:

Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de TI mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo.

2.29. En esa línea de pensamiento la Ley General de Control Interno establece en el Artículo 16 entre otros, que el jerarca y los titulares subordinados serán los responsables del buen funcionamiento del sistema de información, y que como parte de sus deberes les corresponde armonizar dichos sistemas con los objetivos institucionales y verificar que sean adecuados para el cuido y manejo eficientes de los recursos públicos.

2.30. Por otra parte, la Norma 2.1 “Planificación de las tecnologías de la información” de las Normas Técnicas para la gestión y el control de las Tecnologías de Información, establece a la organización la obligación de lograr que las TI apoyen su misión, visión y objetivos estratégicos mediante el desarrollo de procesos de planificación en los que se contemplen las oportunidades que brindan las tecnologías existentes y emergentes.

2.31. Adicionalmente, la Norma 2.2 “Modelo de arquitectura de información”, indica que “La organización debe optimizar la integración, uso y estandarización de sus sistemas de información de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, sólo la información que sus procesos requieren”.

2.32. Además, la Norma 2.3 “Infraestructura tecnológica” determina que “La organización debe tener una perspectiva clara de su dirección y condiciones en materia tecnológica, así como de la tendencia de las TI para que conforme a ello, optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinámica y evolución de las TI”.

2.33. En relación con el Modelo de Arquitectura Empresarial (MAE), se determinó, que el Ministerio de Hacienda no cuenta con un mecanismo de control como este, que le permita mejorar la alineación de los objetivos del negocio con las


11




tecnologías de información con que cuentan, por medio de la descripción de la situación actual del Ministerio en cuanto a los procesos de negocio que están apoyados por la arquitectura tecnológica con que cuenta la institución.

2.34. La ausencia de dicho modelo de arquitectura empresarial, se debe en parte a que el Ministerio carece de una metodología estandarizada para definir los procesos sustantivos y la integración que existe entre estos; y porque no cuenta con un Modelo de Arquitectura de Información, en el que se representen los procesos, sistemas y datos, así como las interrelaciones, mediante los cuales fluye la información.

2.35. Otra situación que ha afectado la elaboración del Modelo de Arquitectura Empresarial, es la ausencia de un portafolio formal de servicios TIC actualizado; y de un inventario de la arquitectura tecnológica que contenga la relación de esta con los procesos de negocio que apoya.

2.36. La ausencia de un modelo de arquitectura empresarial dificulta al Ministerio tener conocimiento de sus procesos, la información que fluye entre ellos, los sistemas de información y la infraestructura tecnológica que los soportan, con lo cual, se podría mejorar el alineamiento de TI y la estrategia de negocio, agilizar las tecnologías de información y optimizar los activos, recursos y capacidades de las TI y acortar el tiempo de respuesta ante los cambios tecnológicos y sus respectivos riesgos.

DEBILIDADES EN EL SEGUIMIENTO DEL PLAN ESTRATÉGICO DE

TECNOLOGÍAS DE INFORMACIÓN

2.37. Las Normas técnicas para la gestión y control de las tecnologías de información, establecen en su norma 5.1 “Seguimiento de los procesos de TI” que la organización debe asegurar el logro de los objetivos propuestos como parte de la gestión de TI, para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que defina el alcance, la metodología y los mecanismos para vigilar la gestión de TI. Asimismo, debe determinar las responsabilidades del personal a cargo de dicho proceso.

2.38. Por su parte, la DTIC oficializó la “Política para la Planificación TIC” en noviembre 2016, en la cual establece entre otros que para controlar el cumplimiento de los objetivos estratégicos TIC, deben formularse indicadores de desempeño. Asimismo, el “Procedimiento para elaborar el plan estratégico de TIC y plan táctico TIC”, reafirma la necesidad de definir dichos indicadores que permitan dar seguimiento y controlar el cumplimiento de los objetivos estratégicos de TIC.

2.39. Además, el “Procedimiento para actualizar y dar seguimiento al plan estratégico de TIC, plan táctico TIC y plan anual operativo”, establece en su paso N°13 que la Unidad de Estrategia TIC (UETIC) debe:


12




“Revisar y validar que la información de los indicadores y metas estratégicas venga completa, que sea congruente a lo reportado, verificar que no se estén reportando porcentajes de avance inferiores a los reportados en actualizaciones anteriores y de que el estado de la meta sea el correcto según el porcentaje de avance reportado.”

2.40. El Plan estratégico de tecnologías de información y comunicación (PETIC) 2014-2018, establece a partir del diagnóstico FODA, seis estrategias TIC y diez objetivos estratégicos relacionados a estas, por medio de los cuales se pretende dirigir la gestión de las tecnologías de información, para lograr alinearlas con sus objetivos estratégicos institucionales.

2.41. La Contraloría General analizó tres informes semestrales sobre el estado de cumplimiento de las metas e indicadores estratégicos con cortes a abril y diciembre 2016 y junio 2017, que fueron remitidos a la DTIC para su seguimiento, determinándose que de las 24 acciones estratégicas establecidas para lograr los objetivos, siete presentan porcentajes de avance inferiores a los reportados en actualizaciones anteriores.

2.42. Tal es el caso de la acción estratégica 2.9 “Documentar y mejorar la infraestructura tecnológica” la cual tenía un porcentaje de avance del 38% a abril 2016 y uno del 14% a junio 2017. Así como la acción estratégica 3.3 “Implementar un marco de trabajo de administración de proyectos para TI”, que pasó de un 50% en abril 2016 a un 0% en junio 2017.

2.43. Otro aspecto determinado en dichos informes y en el mismo PETIC 2014-2018, es que para los objetivos estratégicos 2, 3 y 9 relacionados con el posicionamiento de la DTIC, la disponibilidad de los servicios críticos TIC y facilitar un ambiente de trabajo idóneo, no se tienen definidos los indicadores respectivos para su medición.

2.44. En relación con la disminución de dichos porcentajes de avance, se determinó que el Departamento de Control y Aseguramiento de TIC (DCA), llevó a cabo un proceso de validación de cumplimiento de metas, en el que determinó que sobre algunas de las metas reportadas como cumplidas no existía documentación que respalde su cumplimiento, por lo que fue necesario ajustar los porcentajes de avance. Aunado a esto se indica que algunas de las acciones estratégicas reportadas como concluidas no habían sido revisadas ni oficializadas en ese momento, por lo que posterior a dicha revisión fue necesario disminuir el porcentaje de avance reportado.

2.45. También se consultó sobre la ausencia de los indicadores de desempeño para los objetivos estratégicos 2, 3 y 9, indicándose que para el objetivo 3 “Mantener la disponibilidad de los servicios críticos TIC” se propondrá un indicador en enero 2018 (último año de vigencia del PETIC), sin embargo, para los otros dos objetivos se consideró que no era necesario aplicar dichos indicadores.


13




2.46. Las debilidades apuntadas en relación con el seguimiento de la gestión de TI del Ministerio, ponen en riesgo la oportuna y acertada toma de decisiones, debido a que al no contar con el porcentaje de avance real y documentado de cada una de las estrategias ni con la totalidad de los indicadores de desempeño, se corre el riesgo de no tomar las acciones correctivas necesarias oportunamente ante los rezagos que se presentan.

3. CONCLUSIONES

3.1 El Ministerio de Hacienda ha realizado esfuerzos para la gestión de la seguridad de la información que es utilizada para la toma de decisiones gerenciales, aprobando una estrategia de implementación de seguridad de la información, que incluye cuatro proyectos referidos a la implementación de Políticas y del Sistema de Seguridad de la Información, el Desarrollo e implementación del Common Report Standard (CRS) y la estrategia para asegurar la continuidad de negocio.

3.2 No obstante, el desarrollo de dicha estrategia presenta oportunidades de mejora relacionadas con la participación del Comité de Seguridad de la Información, la oportunidad en la toma de decisiones y establecimiento de acciones correctivas ante los atrasos en la ejecución de los proyectos que la conforman, así como también, la necesidad de contar con la política y los procedimientos oficiales de identificación de activos de información.

3.3 Por otra parte, el Ministerio no cuenta con un Modelo de Arquitectura Empresarial que permita realizar de forma razonable la alineación de los objetivos de negocio con las tecnologías de información, así como optimizar los recursos tecnológicos de la institución, situación que ha sido originada por la falta de establecimiento de los procesos sustantivos, del modelo de arquitectura de información, y el inventario de la arquitectura tecnológica que apoya dichos procesos.

3.4 Finalmente, se evidenció que el proceso de seguimiento del Plan Estratégico de Tecnologías de Información carece de algunos indicadores de desempeño que permitan medir de forma adecuada el cumplimiento de las acciones establecidas. Asimismo, se concluye que algunos de los mecanismos existentes para dar seguimiento al citado Plan, no están siendo aplicados por los responsables para verificar lo reportado en relación con el cumplimiento de los objetivos estratégicos, así como para determinar los rezagos que se presenten, para tomar las acciones correctivas oportunamente.


14




4. DISPOSICIONES

4.1 De conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, Nro. 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo (o en el término) conferido para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad.

4.2 Para la atención de las disposiciones incorporadas en este informe deberán observarse los “Lineamientos generales para el cumplimiento de las disposiciones y recomendaciones emitidas por la Contraloría General de la República en sus informes de auditoría”, emitidos mediante resolución Nro. R-DC-144-2015, publicados en La Gaceta Nro. 242 del 14 de diciembre del 2015, los cuales entraron en vigencia desde el 4 de enero de 2016.

4.3 Este órgano contralor se reserva la posibilidad de verificar, por los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar el establecimiento de las responsabilidades que correspondan, en caso de incumplimiento injustificado de tales disposiciones.

AL SEÑOR HELIO FALLAS VENEGAS, MINISTRO DE HACIENDA Y

PRESIDENTE DEL CONSEJO INSTITUCIONAL DE TECNOLOGÍAS DE

INFORMACIÓN (CITI), O A QUIEN EN SU LUGAR OCUPE EL CARGO

4.4 Elaborar, aprobar y poner en ejecución una hoja de ruta para el desarrollo de la Estrategia de Seguridad de la Información, que incluya para cada uno de los proyectos, al menos, fechas estimadas de inicio y finalización, las actividades o tareas a realizar, sus respectivos responsables y los recursos requeridos. Al respecto, deberá remitirse a este Órgano Contralor, a más tardar el 23 de marzo de 2018, copia de la hoja de ruta para el desarrollo de la Estrategia de Seguridad de la Información aprobada; y a más tardar el 28 de setiembre de 2018 y el 29 de marzo 2019 informes de avance de las actividades de implementación realizadas. (Ver párrafos 2.1 al 2.12 de este informe).

4.5 Diseñar e implementar la regulación del funcionamiento del Comité de Seguridad de la Información, de tal forma que considere la periodicidad con la que debe reunirse; y con la que debe dar seguimiento al estado de la seguridad de la información y al cumplimiento de la política de seguridad de la información. Deberá remitirse a este Órgano Contralor, a más tardar el 30 de abril de 2018, una certificación donde conste que se diseñó la regulación del funcionamiento del Comité de Seguridad de la Información considerando


15




la periodicidad con la que debe reunirse y con la que debe dar seguimiento al estado de la seguridad de la información y del cumplimiento de la política de seguridad de la información y a más tardar el 30 de noviembre de 2018 una certificación donde conste que se implementó dicha regulación. (Ver párrafos 2.13 al 2.19 de este informe).

4.6 Elaborar, aprobar y comunicar una política de seguridad para la gestión de activos de información y sus respectivos procedimientos. Al respecto, se deberá remitir a este Órgano Contralor, a más tardar el 30 de abril 2018, una certificación donde conste que se elaboró, aprobó y comunicó la política de seguridad para la gestión de activos de información y a más tardar el 30 de noviembre de 2018, una certificación donde conste que se elaboró, aprobó y comunicó los procedimientos respectivos para el cumplimiento de la política. (Ver párrafos 2.20 al 2.27 de este informe).

4.7 Actualizar y aprobar el portafolio de servicios de tecnologías de información y comunicación. Para acreditar el cumplimiento de esta disposición se deberá remitir a la Contraloría General, a más tardar, el 30 de abril 2018, una certificación en la que se haga constar que se actualizó y aprobó el portafolio de servicios de tecnologías de información y comunicación. (Ver párrafos 2.28 al 2.36 de este informe).

4.8 Elaborar, aprobar y poner en ejecución una hoja de ruta para el desarrollo de un modelo de arquitectura de información y de arquitectura tecnológica del Ministerio, que incluya al menos, fechas estimadas de inicio y finalización, las actividades o tareas a realizar, sus respectivos responsables y los recursos requeridos. Para acreditar el cumplimiento de esta disposición, deberá remitirse a este Órgano Contralor, a más tardar el 30 de abril de 2018, copia de la hoja de ruta aprobada para el desarrollo de un modelo de arquitectura de información y de arquitectura tecnológica del Ministerio, y a más tardar el 28 de setiembre de 2018 y el 29 de marzo de 2019 informes de avance de las actividades de implementación realizadas. (Ver párrafos 2.28 al 2.36 de este informe).

AL SEÑOR MANUEL ENRIQUE RAMOS CAMPOS EN SU CALIDAD DE

DIRECTOR DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN, O A

QUIEN EN SU LUGAR OCUPE EL CARGO

4.9 Analizar el cumplimiento de la “Política para la Planificación TIC”, del “Procedimiento para elaborar el plan estratégico de TIC y plan táctico TIC” y del “Procedimiento para actualizar y dar seguimiento al plan estratégico de TIC, plan táctico TIC y plan anual operativo” con la finalidad de que con base en los resultados obtenidos se establezcan los mecanismos de mejora. Para acreditar el cumplimiento de esta disposición se deberá remitir a este Órgano Contralor, a más tardar el 31 de mayo de 2018, una certificación


16




donde conste que se llevó a cabo el análisis requerido y que se establecieron los mecanismos de mejora respectivos. (Ver párrafos 2.37 al 2.46 de este informe).

A LA LICDA. CELIA WHITE WARD EN SU CALIDAD DE DIRECTORA DE

PLANIFICACIÓN INSTITUCIONAL O A QUIEN EN SU LUGAR OCUPE EL

CARGO

4.10 Elaborar, aprobar, comunicar e implementar una política y la metodología para el levantamiento de procesos sustantivos en el Ministerio de Hacienda. Al respecto, deberá remitirse a este Órgano Contralor, a más tardar el 30 de abril de 2018, la política y la metodología para el levantamiento de procesos sustantivos en el Ministerio de Hacienda, junto con copia del documento de aprobación y comunicación; y a más tardar el 21 de diciembre de 2018, una certificación donde conste que se realizó el levantamiento de los procesos sustantivos. (Ver párrafos 2.28 al 2.36 de este informe).

Julissa Sáenz Leiva Arnoldo Sanabria Villalobos

Gerente de Área Asistente Técnico Contraloría General de la República Contraloría General de la República

Natalia Romero López Coordinadora



INFORME N° DFOE-SAF-IF-00001-2018 02 de febrero, 2018 ... · CELIA WHITE WARD EN SU CALIDAD DE...

Documents

Transcript of INFORME N° DFOE-SAF-IF-00001-2018 02 de febrero, 2018 ... · CELIA WHITE WARD EN SU CALIDAD DE...