Municipalidad de informe final auditoria de sistemas informaticos

CONTRALORíA GENERAL DE LA REPÚBLICA

DIVISiÓN DE MUNICIPALIDADES SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN

DEPARTAMENTO DE AUDITORíA

REF.N° DMSAI A.T.

1.269/09 102/09 110/09

REMITE INFORME FINAL QUE INDICA

SANTIAGO, o 7. MflY O 9 '" O 2 3 7 O 3

Adjunto, sírvase encontrar ejemplar del

Informe Final, debidamente aprobado, sobre Auditoría de Sistemas Informáticos

efectuada en esa Municipalidad.

AL SEÑOR ALCALDE DE LA MUNICIPALIDAD DE LO ESPEJO

Saluda atent mente alUd. /,/ ¡

Po(c,:¡fderid'él' Gol1fi'álillr. 08181

MIIRro Q'UltAOA rON ECA Irl¡jenlaro Civil

Subjefe O/v/iil!)M de Munl palidades

CONTRALORíA GENERAL DE LA REPÚBLICA

REF N° DMSAI A.T. N°

DIVISiÓN DE MUNICIPALIDADES SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN

DEPARTAMENTO DE AUDITORíA

1.269/09 102/09 110/09

REMITE INFORME FINAL QUE INDICA.

SANTIAGO, o 7. MIIY O 9 1< 0237 O ~

Adjunto, slrvase encontrar copia del Informe

Final DMSAI N° 102 de 2009, de esta Contraloría General, con el fin de que, en la

primera sesión que celebre el Concejo Municipal, desde la fecha de su recepción,

se sirva ponerlo en conocimiento de ese Órgano Colegiado entregándole copia del

mismo.

Al respecto, Ud. deberá acreditar ante esta

Contraloría General, en su calidad de Secretario del Concejo y ministro de fe, el

cumplimiento de este trámite dentro del

sesión.

de diez dlas de efectuada esa

AL SEÑOR SECRETARIO MUNICIPAL DE LO ESPEJO

Saluda

P~r cMen dél' ~iti!llflf eneral tvitRld aUEtA"A FO SECA

1í18iíHiijfíj Olvl Subjefe tllvl~Tt\h 'cl~ Mu Ic/palidadel

CONTRALORíA GENERAL DE LA REPÚBLICA División de Municipalidades

Área Auditoría

Fecha: Abril de 2009 W Informe: 106/09

roro ... u Q).-e .-a;§ f'n a.. ..... 1') . ,¿ o - \. «. .

CONTRALORíA GENERAL DE LA REPÚBLICA DIVISiÓN DE MUNICIPALIDADES

SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN DEPARTAMENTO DE AUDITORíA

REF. N° 1269/09 DMSAI N° 102/09 A.T. N° 110/09

INFORME FINAL SOBRE DE AUDITORíA DE SISTEMAS INFORMÁTICOS EFECTUADA EN LA MUNICIPALIDAD DE LO ESPEJO.

SANTIAGO, O ? Hf,YG 2009

En cumplimiento del Plan Anual de Fiscalización de esta Contraloria General y de acuerdo con las facultades establecidas en la Ley N° 10.336, Orgánica de esta Institución, se realizó una auditoría a los sistemas informáticos en la Municipalidad de Lo Espejo.

OBJETIVO.

Verificar los controles en el procesamiento de datos, en el mantenimiento de plataforma de software, hardware y servicios automáticos y; en el cumplimiento de los contratos de sistemas, arriendo y/o compra de equipamiento.

METODOLOGíA.

La revlslon fue practicada en conformidad con normas y procedimientos aceptados por la Contra lo ría General, por lo tanto, incluyó las pruebas de validación y otros medios técnicos considerados necesarios en las circunstancias.

La revisión, en términos generales, consistió en el análisis de los contratos informáticos, de las políticas informáticas, de los métodos de integridad de datos, de los recursos informáticos, de la validez de la Información, de la salvaguarda de activos informáticos y de la efectividad de aplicación de controles.

UNIVERSO FISCALIZADO.

La revisión abarcó el período comprendido entre enero de 2006 y junio de 2007, a cuyo respecto se analizaron los aspectos relativos al uso de tecnologías de información del municipio .

MUESTRA EXAMINADA.

La revisión se efectuó sobre el 100% de las actividades del período señalado.

AL SEÑOR SUBJEFE DE LA DIVISiÓN DE MUNICIPALIDADES P R E S E N T E. JPTV/LMGV


SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN - 2 -

Cabe precisar que, con carácter de confidencial, mediante oficio W 60638, de 22 de enero de 2008, fue puesto en conocimiento del alcalde el Preinforme conteniendo las observaciones establecidas al término de la visita, con la finalidad que formulara los alcances y precisiones que, a su juicio, procedieran, lo que se concretó mediante oficio ORD. W 400/03/08/2008, de 7 de enero de 2009.

El análisis de las observaciones formuladas en el citado Preinforme, en conjunto con los antecedentes aportados por la autoridad edilicia en su respuesta, determinaron lo siguiente:

1.- ORGANIZACiÓN.

1.1.- Dotación de Personal de la Unidad Informática.

Se advirtió la ausencia de planes de capacitación periódica que permitan el desarrollo del personal informático en nuevas tecnologías y análisis de soluciones que permitan mejorar la gestión municipal.

El municipio en su respuesta no aporta mayores antecedentes, por lo que se mantiene la observación.

1.2.- Recursos de plataforma Software y Hardware.

Debido a la poca especialización del personal, no es posible generar planes de contingencia y continuidad que garanticen el buen funcionamiento de los sistemas y permitan identificar los riesgos asociados.

Asimismo, se determinó la ausencia de procedimientos formales de actualización de parches de sistema operativo y de aplicaciones de oficina, así como la carencia de respaldos de perfiles de sistemas operativos.

A nivel municipal no se cuenta con licencias de software autorizadas para las estaciones de trabajo y servidores. Asimismo, el software de administración municipal no posee actualmente documentación de usuario y/o sistema.

La autoridad municipal indica que, efectivamente, las estaciones de trabajo no poseen licencias, pero que actualmente se encuentra en proceso un estudio para migrar la plataforma a sistema operativo Linux y licenciar exclusivamente los equipos necesarios que deban trabajar en plataforma Windows, por otra parte, se analiza cambiar en los equipos el software de oficina Microsoft Office por Open Office.

Dentro de los antecedentes entregados por el municipio no se contempla información respecto de planes de contingencia, respaldo de perfiles y políticas de licenciamiento de sistemas mediante normativas formales, por lo que se mantienen las observaciones anteriores, sin perjuicio de las verificaciones que se efectuarán en futuras fiscalizaciones.

Se comprobó que actualmente no se aplican en las operaciones, medidas de mitigación de riesgos de fallas en la plataforma de software y hardware. Se advierte la ausencia de normativa formal de mantenimiento (í) . preventivo y/o correctivo de los equipos servidores y plataforma municipal.

(



En la respuesta al Preinforme se indica que las operaciones se realizan fuera de horario normal de trabajo, lo que no se encuentra dentro de las normativas entregadas al momento de realizar la auditoría.

Además, dentro del funcionamiento del área no se observa la existencia de estudios sobre valoración y criticidad de los elementos del inventario, lo que imposibilita realizar un ranking de los más críticos y su respectiva rotación, con la finalidad de nivelar la estructura de la plataforma de hardware.

En la respuesta se amplían los antecedentes respecto a que el ranking de existencia se encuentra realizado y que se han tomado medidas para rediseñar el layout del equipamiento, además de considerar la baja de veinte equipos por capacidad.

Se comprobó que no se ha instruido al personal respecto de la seguridad de las instalaciones y del equipamiento.

Se informó que la Dirección de Operaciones será la encargada de llevar a cabo el rediseño de la seguridad del Departamento de Computación, protección de accesos, reparación de techumbre, piso y sistemas de aislación para climatización.

Atendiendo a que la autoridad ha dispuesto las medidas pertinentes, lo observado inicialmente se estima subsanado, constatándose su cumplimiento en futuras fiscalizaciones.

1.3.- Aplicaciones.

Se realizó un análisis mediante diagramas de flujos de datos y diagramas de entidad-relación de aquellos procesos cuyos módulos fueron evaluados como de mayor riesgo, entre los que se encuentran contabilidad, licencias, permisos, cobranzas y activo fijo.

En su respuesta, la autoridad municipal informa que se solicitará el diseño de los diagramas de flujos de datos de los procesos, con la finalidad de analizar las áreas de riesgo, lo cual será analizado en una futura fiscalización.

2.- SALA DE UNIDAD INFORMÁTICA

La sala de informática cumple con las mlnlmas condiciones para resguardar la información, no existiendo normas de seguridad como señalética, sensores de humo, extintores de incendios entre otros.

La entidad reconoce la falta de elementos de seguridad; sin embargo, actualmente la sala cuenta con extintor alón de 8 kilos.

La configuración de red eléctrica existente y de datos, no está certificada en su totalidad, lo que conlleva al aumento del riesgo que puede afectar la integridad de la información. Se informa en la respuesta, que se

\ solicitará la instalación de tablero de automáticos diferencial y malla a tierra con las \ exigencias de la SECo


SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN -4-

Por otra parte, el sistema de control de acceso a la sala no es automático, lo que disminuye la seguridad puesto que permite la entrada a personal no autorizado. Además, la iluminación de las instalaciones es deficiente para los requerimientos y bienestar de los funcionarios.

En la Sala de la Unidad de Informática no se cuenta con alarmas específicas y sistemas de alerta en caso de un siniestro, como ser una inundación, un sismo, entre otros.

Dentro de los antecedentes entregados por la autoridad municipal no se acompaña documentación que permita subsanar lo observado; sin embargo, las mejoras que puedan surgir del presente informe, serán verificadas en futuras fiscalizaciones.

3.- SEGURIDAD DE LA INFORMACiÓN.

No existen normativas formales de administración y seguridad aplicadas por los usuarios finales de los sistemas en relación a realizar cambios de claves en forma periódica.

Se estableció que si bien se cuenta con archivos de registros de transacciones, no se efectúa una revisión de ellos para asegurar la integridad ni se auditan los procesos para evaluar el rendimiento y la criticidad de las operaciones más recurrentes.

Asimismo, se comprobó que no se efectúa la verificación de integridad de los datos respaldados y los procedimientos para eliminar información fisica de los medios de almacenamiento en períodos de tiempo asignados.

Se estableció la ausencia de procesos de verificación de integridad de datos, archivos de transacciones históricos y procedimientos para desechar la información física de los medios de almacenamiento en forma regular. Además, no se cuenta con ningún plan de contingencia, para los casos de desastres naturales, hurtos, violaciones de seguridad, etc.

Los antecedentes aportados por el municipio en su respuesta resultan insuficientes, por lo que corresponde mantener las observaciones formuladas en el Preinforme al respecto.

Por otra parte, se verificó que no existe personal de seguridad o sistemas de vigilancia remota para el control de las instalaciones de la Unidad de Informática. Sobre ello, la autoridad municipal indica que el Departamento cuenta con un sistema de alarma.

Los datos respaldados carecían de encriptación, lo que aumenta el riesgo en la seguridad al momento de acceder a los datos que se encuentra dentro de los respaldos. Al respecto, la autoridad comunal informa que actualmente los datos cuentan con encriptación que se proporciona a

¡través de CAS CHILE.



No se advirtió la existencia de medidas de seguridad física de los datos, en cuanto al resguardo en una caja de seguridad con acceso a través de llave, tarjeta magnética o duplicación de respaldos para conservar la disponibilidad de servicios municipales. Sobre ello, se informa que la información es enviada en formato OVO al Departamento de Tesorería para su posterior respaldo.

De acuerdo con los antecedentes aportados es posible levantar las observaciones formuladas; no obstante, su regularización efectiva se verificará en una próxima fiscalización.

4.- BASE DE DATOS.

El operador municipal de las bases de datos no utiliza herramientas externas para administrar y operar las mismas, reduciendo la productividad de los servicios y minimizando funcionalmente la entrega de datos mediante reportes y listados. Ello determina que la normativa existente sea insuficiente en cuanto a procedimientos de administración, respaldo y recuperación de datos.

No obstante lo anterior, según la Unidad de Computación, no se requiere manipular las bases de datos externamente, dado que sólo se utilizan actualmente a través de los sistemas municipales que poseen reportes e informes.

Efectuado un nuevo análisis y considerando los antecedentes aportados, es posible levantar la observación inicial.

5.- REDES.

A nivel de red municipal existe escasa regulación en la administración de direcciones IP, no teniendo en cuenta por ejemplo, aquellas ocupadas sin identificación, asignadas sin identificación y disponibles en rangos intercalados. Además, se advirtió la inexistencia de normativa interna que permita regular las extensiones de puntos de red, ampliación de señal, layout de racks y administración de anchos de banda. Al respecto, se informa que se encuentran en proceso de regulación, aún cuando permanentemente los usuarios se cambian de estación de trabajo sin autorización previa, según lo informado por la Unidad.

Los argumentos planteados resultan atendibles, por lo que se levanta la observación formulada, constatándose su cumplimiento en futuras fiscalizaciones.

6.- POLíTICAS Y REGLAS.

No hay en funcionamiento normativas de procedimientos y operaciones para la plataforma de hardware y software, y tampoco para la operación de sistemas y bases de datos municipales. Las actividades se realizan sin estándares ni procedimientos definidos con claridad; gran parte de los procesos se realizan de manera reactiva o de manera informal, no teniendo acceso a la documentación de los sistemas informáticos, puesto que no existe evidencia de

\ que hayan sido proporcionados por parte del proveedor.

\ (. I

'A 1)



No se han establecido políticas específicas para: la adquisición de licencias de software, la adopción de medidas de seguridad física para el uso de las instalaciones de la Unidad Informática, la regulación y la actualización del Inventario de bienes informáticos, la aplicación de medidas de seguridad lógica, el uso de los servicios de la red de datos institucional y de las cuentas de usuarios, la conexión y las consultas a redes externas, la capacitación de personal informático y la normas de uso del servicio de Internet y del correo electrónico municipal.

En la respuesta se señala que se encuentran trabajando en las mejoras del punto antes señalado.

Se advirtió la inexistencia de políticas y procedimientos de registro de personal en tránsito dentro de las instalaciones informáticas, tanto personal interno municipal como externo de empresas contratistas o que prestan servicios regulados por contrato como la mantención del enlace de comunicaciones y equipos municipales. Sobre ello se informa que el personal a cargo se esfuerza por controlar el ingreso de las personas ajenas a la Unidad, no existiendo políticas especificas al respecto.

Los argumentos planteados no resultan suficientes para salvar las observaciones formuladas, por lo que ellas se mantienen. Su regularización se verificará en futuras fiscalizaciones.

Por otra parte, se comprobó la falta de registros de incidentes que indiquen pérdidas de datos y/o alteraciones en el funcionamiento de los sistemas, bases de datos o instalaciones. Se informa al respecto que se implantará un libro de registro en el mes de enero del 2009, lo cual se verificará en una futura fiscalización.

Se comprobó que el procedimiento de asignación de perfiles, accesos y atributos se realiza en términos informales; no obstante, en su respuesta la autoridad indica que el requerimiento de perfiles y/o atributos asignados se realiza a petición exclusiva de la unidad que necesita del acceso, lo que permite levantar lo observado.

7.- CONTRATOS INFORMÁTICOS.

Los contratos suscritos por la Municipalidad de Lo Espejo se encuentran operados por las empresas CAS Chile S.A. e Insico S.A., normados técnicamente y en funcionamiento. El detalle es el siguiente:

• Contrato con la empresa CAS Chile S.A. para el arriendo de software respecto de remuneraciones y personal municipal; salud y educación; ingresos varios; tesorería y; patentes comerciales.

• Contrato con la empresa Insico S.A. para el Sistema Licencias de Conducir y Permisos de Circulación.

• Contrato con la empresa CAS Chile S.A. para Servicios de Mantención de Programas Computacionales, "Activo Fijo-Municipal, Bodega Municipal, Conciliaciones Bancarias Municipal".



• Servicio de hosting para efectos de mantención del Sitio Web Online y se factura vía telefónica.

Respecto de dichos convenios, que están normados técnicamente y en funcionamiento, se realizaron pruebas de validación de integridad de datos a registros de procesos críticos, evaluación de disponibilidad, tiempo de respuesta y reportes de salida, sin que de dichas comprobaciones surgieran observaciones que formular.

Asimismo, se determinó que existe el resguardo pertinente mediante boletas de garantía, las que se encuentran al día respecto de los contratos con vigencia en el período auditado. Además, se verificó que el pago de los servicios se ha efectuado conforme a lo pactado.

CONCLUSIONES.

En mérito de lo expuesto, la autoridad deberá implementar las medidas enunciadas en los numerales 1.1; 1.2; 2; 3; y, 6 del presente informe, tendientes a solucionar las observaciones planteadas, cuya efectividad será comprobada en las próximas visitas que se realicen a la Entidad, conforme las políticas de este Organismo sobre seguimiento de los programas de fiscalización.

~ Municipal de Lo Espejo.

") .

Transcríbase al Alcalde y al Concejo

d.,

Por orden del ntralor General PRISCILA . RA FUENTES Jefe. ~u~ivisión Auditorla e Inspecci(¡¡;

Municipalidades

CONTRALORíA GENERAL DE LA REPÚBLICA División de Municipalidades

Municipalidad de informe final auditoria de sistemas informaticos

Education

Transcript of Municipalidad de informe final auditoria de sistemas informaticos