· Web viewLa organización debe garantizar, de manera razonable, la confidencialidad, integridad...

INSTITUTO DE DESARROLLO AGRARIO (I.D.A)

Informe de Auditoría de Sistemas y Tecnologías de Información

Carta de Gerencia CG1-2010

Informe Final.

San José, 29 de Agosto del 2011

SeñoresINSTITUTO DE DESARROLLO AGRARIO

Presente

Estimados señores:

Según nuestro contrato de servicios, efectuamos la visita de auditoría externa del período 2010 al Instituto de Desarrollo Agrario (I.D.A) y con base en el examen efectuado, observamos ciertos aspectos referentes al sistema de control interno y procedimientos de Tecnología de Información , basados en el manual de “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” emitido por la Contraloría General de la República y los estándares establecidos según los Objetivos de Control para Información y Tecnología Relacionada – CobiT®, los cuales sometemos a consideración de ustedes en esta carta de gerencia CG -1-2010.

Considerando el carácter de pruebas selectivas en que se basa nuestro examen, ustedes pueden apreciar que se debe confiar en métodos adecuados de comprobación y de control interno, como principal protección contra posibles irregularidades que un examen basado en pruebas selectivas puede no revelar, si es que existiesen. Las observaciones no van dirigidas a funcionarios o empleados en particular, sino únicamente tienden a fortalecer el sistema de control interno y los procedimientos relacionados con las Tecnologías de Información.

DESPACHO CARVAJAL & COLEGIADOSCONTADORES PÚBLICOS AUTORIZADOS

Lic. Gerardo Montero MartínezContador Público Autorizado Nº 1649Póliza de Fidelidad Nº R-1153Vence el 30 de setiembre del 2011.

INFORME DE CUMPLIMIENTO Y CONTROL INTERNO DE TECNOLOGÍAS DE INFORMACIÓN AGOSTO, 2011

1. Introducción

1.1. Origen del estudio

Como parte a la evaluación de los estados financieros del Instituto de Desarrollo Agrario (de ahora en adelante, IDA), realizamos la evaluación de los controles generales de la gestión de tecnología de información, con el objetivo de medir el grado de riesgo de la información en lo que respecta a seguridad, integridad, efectividad, eficiencia, confidencialidad, confiabilidad, disponibilidad y continuidad de la plataforma tecnológica.

La evaluación la realizamos basados en el manual de “Normas Técnicas para la Gestión y el Control de las Tecnologías de la Información (N-2-2007-CO-DFOE)” emitidas por la Contraloría General de la República, los Objetivos de Control de Tecnologías de Información (COBIT por sus siglas en inglés) emitidos por la “Information Systems Audit and Control Association” (ISACA por sus siglas en inglés) y en general las mejores prácticas de la industria de tecnología de información.

1.2. Objetivo del estudio

Con el propósito de cumplir con los requerimientos estipulados en la Norma Internacional de Auditoría 315, Entendiendo de la realidad y su entorno y evaluación de representación errónea de importancia relativa y en la Norma Internacional de Auditoría 330, Procedimientos del auditor en respuesta a los riesgos evaluados, evaluamos la gestión de las de las tecnologías de información del IDA.

1.3. Alcance

En esta visita el trabajo fue enfocado principalmente a las siguientes áreas:

1. Seguimiento a recomendaciones anteriores.2. Valoración de la implementación de los puntos de control mencionados en las normas

técnicas de la Contraloría General de la República.3. Oportunidades de mejora identificadas en la evaluación.

1.4. Periodo del estudio

El estudio se realizó durante el mes de Agosto del 2011 y corresponde a la auditoría del periodo del 2010.

1.5. Limitaciones del estudio

En esta visita de auditoría no se dieron limitaciones al estudio.

1.6. Metodología

Para llevar a cabo este trabajo utilizamos una modalidad de análisis de la información suministrada por el área de Tecnología de Información, aplicamos cuestionarios de control interno relacionados con la administración del Departamento, seguridad física y lógica de los sistemas de información, continuidad de las operaciones del negocio, políticas en cuanto al uso adecuado del equipo de cómputo, Internet y correo, planes de capacitación, procesos de mantenimiento y reparación del equipo de cómputo, bitácoras de los sistemas, manuales de puestos, plan operativo anual y sistemas de Información que posee el Instituto.

Además, se formularon preguntas sobre la existencia de controles informáticos, en todos los casos necesarios solicitamos a los funcionarios las evidencias en documentos escritos o en formato digital que respaldaran sus afirmaciones.

Dimos lectura a los manuales de puestos presentados por el área de Tecnología de Información, políticas en el uso de los recursos informáticos (computadoras, Internet y correo electrónico), estándares de desarrollo, procedimientos para el mantenimiento y reparación del equipo de cómputo, inventario del hardware y dimos lectura a los manuales de procedimientos operativos del Instituto, con el fin de evaluar el cumplimiento de los mismos.

2. VALORACIÓN DE LAS NORMAS TÉCNICAS

Para cada una de las normas técnicas para la gestión y control de tecnología de información emitidas por la Contraloría General de la República, procedimos a realizar un análisis respecto a su cumplimiento.

Con respecto al cumplimiento de las Normas Técnicas se estableció una clasificación para determinar el nivel de cumplimiento de cada una de las normas técnicas, la cual se presenta a continuación:

1. No Iniciada: La administración no ha realizado acción alguna para poder implementar las normas técnicas.

2. Planificada: Existe evidencia formal de un plan de trabajo, cronograma de trabajo, asignación de recursos, tiempos estimados, entre otras actividades para poder planificar adecuadamente el cumplimiento de las normas técnicas.

3. Iniciada: Las actividades definidas en la etapa anterior se han empezado a ejecutar y existe evidencia formal sobre el inicio de la implementación de las normas técnicas.

4. Avanzada: Las actividades iniciadas en la etapa anterior presentan un avance significativo y se evidencia un porcentaje alto de la implementación y cumplimiento de las normas técnicas.

5. Implementada: La administración ha logrado ejecutar con éxito actividades previamente definidas, para poder cumplir con las acciones mínimas de implementación según lo mencionado en las normas técnicas de una manera aceptable, disminuyendo el riesgo asociado a la no implementación de la normativa. Cabe mencionar que este estado no excluye a la administración de poder llevar a cabo acciones de mejora constante en la aplicación e implementación de las normas técnicas, según lo establecido en las mejores prácticas a nivel internacional en la materia (COBIT, ITIL, ISO 27001, PMBOOK, VAL IT, CMMI, entre otros), así mismo este estado no garantiza un adecuado nivel de madurez a nivel institucional.

El detalle de la evaluación de cada una de las normas técnicas para la gestión y control de tecnología de información emitidas por la Contraloría General de la República, se muestra a continuación:

Normativa Evaluación de cumplimiento

1.1 Marco estratégico de TI Avanzada1.2 Gestión de la calidad Planificada1.3 Gestión de riesgos Iniciada1.4 Gestión de la seguridad de la información Planificada

1.4.1 Implementación de un marco de seguridad de la información Planificada1.4.2 Compromiso del personal con la seguridad de la información Planificada1.4.3 Seguridad física y ambiental Iniciada1.4.4 Seguridad en las operaciones y comunicaciones Iniciada1.4.5 Control de acceso Iniciada1.4.6 Seguridad en la implementación y mantenimiento de software e

infraestructura tecnológicaIniciada

1.4.7 Continuidad de los servicios de TI Avanzada1.5 Gestión de proyectos Iniciada1.6 Decisiones sobre asuntos estratégicos de TI Planificada1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI Iniciada2.1 Planificación de las tecnologías de información Iniciada2.2 Modelo de arquitectura de información Iniciada2.3 Infraestructura tecnológica Iniciada2.4 Independencia y recurso humano de la Función de TI Iniciada2.5 Administración de recursos financieros Avanzada3.1 Consideraciones generales de la implementación de TI Avanzada3.2 Implementación de software Avanzada3.3 Implementación de infraestructura tecnológica Iniciada3.4 Contratación de terceros para la implementación y mantenimiento de software e infraestructura

Avanzada

4.1 Definición y administración de acuerdos de servicio Avanzada4.2 Administración y operación de la plataforma tecnológica Avanzada4.3 Administración de los datos Planificada4.4 Atención de requerimientos de los usuarios de TI Avanzada4.5 Manejo de incidentes Avanzada4.6 Administración de servicios prestados por terceros Avanzada5.1 Seguimiento de los procesos de TI Iniciada5.2 Seguimiento y evaluación del control interno en TI Planificada5.3 Participación de la Auditoría Interna Iniciada

3. OPORTUNIDADES DE MEJORA IDENTIFICADAS EN LA EVALUACIÓN

OPORTUNIDAD DE MEJORA 1: EXISTENCIA DE CUENTAS DE USUARIO HABILITADAS EN LA RED DE FUNCIONARIOS QUE YA NO LABORAN PARA EL IDA, ASÍ COMO LA EXISTENCIA DE CUENTAS GENÉRICAS.

CONDICIÓN:

Al realizar un estudio sobre los usuarios que se encuentran activos en el Active Directory institucional, se identificó la existencia de cuentas activas de ex funcionarios, así como la existencia de usuarios genéricos como se muestra a continuación:

NOMBRE UBICACIÓN FISÍCAFECHA DE

SALIDA DEPARTAMENTOGerardo Espinoza Suarez Oficina de Siquirres 26/08/2010 FallecimientoPedro Gutiérrez Rojas Área Servicios Generales 30/11/2010 Pensión C.C.S.SÁlvaro Torres Guerrero Dirección Región Central 15/08/2011 Pensión C.C.S.SNorman Montes Moraga Oficina Sub. Laurel 12/08/2011 Despido sin responsabilidad patronal

En cuanto a cuentas genéricas se determinaron:

Área Contabilidad.Área Infraestructura Rural.Área Organización y Gestión Empresarial.Área PresupuestoÁrea Seguridad AlimentariaÁrea Selección de Familias.Área Tesorería.Asociación Solidarista de Empleados del IDA.Auditoria SMTP.Babel.BPROINDER.Cooperativa de Empleados del IDA.Departamento Administrativo.Dirección Central.Dirección Chorotega.Dirección de Planificación.Dirección Región Brunca.Dirección Región HerediaPresidencia Ejecutiva.Recursos Humanos.Tecnología de Información.Uneida.Unidad de Ingresos.

Unidad de odontología.Unidad Planillas.

Lo anterior provoca que en una misma terminal varios funcionarios puedan acceder a los sistemas de información con un mismo usuario, lo cual podría dificultar la determinación del responsable ante un posible mal manejo de información.

CRITERIO:

La Normativa “Control de Acceso” presente en el documento “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” de la Contraloría General de la República, dice: “La organización debe proteger la información de accesos no autorizados.

Para dicho propósito debe:

a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a la información, al software de base y de aplicación, a las bases de datos y a las terminales y otros recursos de comunicación.

b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con términos de sensibilidad.

c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.d. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y para la

identificación y autenticación para el acceso a la información, tanto para usuarios como para recursos de TI.

e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con las políticas de la organización bajo el principio de necesidad de saber o menor privilegio. Los propietarios de la información son responsables de definir quiénes tienen acceso a la información y con qué limitaciones o restricciones.

f. Implementar el uso y control de medios de autenticación (identificación de usuario, contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición, aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación, así como para su revisión y actualización periódica y atención de usos irregulares.

i. Establecer controles de acceso a la información impresa, visible en pantallas o almacenada en medios físicos y proteger adecuadamente dichos medios.

j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y periódico seguimiento al acceso a las TI.

k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI”.

A la vez a nivel institucional se tienen la siguiente política:

El Departamento de Recursos Humanos debe informar al Departamento de TI y a las Unidades Administrativas responsables de los Sistemas de Información, por medio de un correo electrónico y ratificado por medio de un oficio, acerca de cualquier cambio en la relación laboral o contractual de un funcionario o tercero con el IDA, de manera que el área encargada, proceda a la modificación, eliminación o suspensión de los privilegios a los sistemas y red.

RECOMENDACIONES:

1. Deshabilitar las cuentas de ingreso a la red de los ex funcionarios del IDA, acatando lo que indica el manual de políticas del IDA, específicamente la política denominada “Fin de la Relación Laboral” con el objetivo que el departamento de Recursos Humanos comunique lo antes posible al Departamento de Tecnologías de Información cualquier despido, renuncia o cambio laboral de algún funcionarios y así tomar las medidas correspondientes.

2. Restringir la práctica de implementar el uso de usuarios genéricos, en aquellas dependencias del IDA donde las circunstancias posibilitan la definición de usuarios específicos para cada funcionario.

3. Documentar la necesidad de crear usuarios genéricos, situación que permitirá conocer con precisión, entre otra información, el nombre del funcionario que autorizó dicho usuario, la dependencia y los funcionarios que tienen acceso a los respectivos equipos, así como la justificación respectiva.

OPORTUNIDAD DE MEJORA 2: NO SE CUMPLE CON EL PROCEDIMIENTO ESTABLECIDO POR EL ÁREA DE TECNOLOGÍAS DE INFORMACIÓN DEL IDA PARA EL MANEJO DE INCIDENTES.

CONDICIÓN:

De acuerdo al análisis efectuado se determinó que actualmente el Área de Tecnologías de Información del IDA cuenta con un procedimiento debidamente documentado sobre la administración de incidentes y problemas, sin embargo en la práctica no se está llevando a cabo, ya que a pesar que se cuenta con una herramienta automatizada está no se utiliza, además no se toman en cuenta aspectos como los siguientes:

Definición de prioridades.

Monitoreo para verificar si un incidente se encuentra en etapa de: pendiente, proceso o corregido.

Mediciones para medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI.

Escalabilidad de los incidentes.

Emisión de los reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continúa.

Actualmente se utiliza un archivo en Excel donde se registran los siguientes campos:

No. Orden Fecha Orden Responsable TI UsuarioORD-TI-001-2011 06/06/2011 Marcela Flores De la Fuente Rigoberto Vargas AlfaroORD-TI-002-2011 06/06/2011 Marcela Flores De la Fuente Rigoberto Vargas AlfaroORD-TI-003-2011 07/06/2011 María Ocampo Ramírez Carmen ChinchillaORD-TI-004-2011 06/06/2011 María Ocampo Ramírez Victor ArayaORD-TI-005-2011 06/06/2011 María Ocampo Ramírez Fidel BejaranoORD-TI-006-2011 06/06/2011 María Ocampo Ramírez Ingrid KesslerORD-TI-007-2011 01/06/2011 María Ocampo Ramírez Roxana VargasORD-TI-008-2011 01/06/2011 María Ocampo Ramírez Roxana VargasORD-TI-009-2011 06/06/2011 Carmen Zúñiga Córdoba Shirley RojasORD-TI-009-2011 08/06/2011 María Ocampo Ramírez Jorge Campos ArayaORD-TI-010-2011 06/06/2011 Carmen Zúñiga Córdoba Lilliana PradoORD-TI-010-2011 08/06/2011 María Ocampo Ramírez María Orozco BorbónORD-TI-011-2011 06/06/2011 Carmen Zúñiga Córdoba Wendy YescaORD-TI-011-2011 08/06/2011 María Ocampo Ramírez Cinthia Guillen GonzálezORD-TI-012-2011 08/06/2011 María Ocampo Ramírez Dahianna Monge (Digitadora)

CRITERIO:

La Normativa “Manejo de Incidentes” presente en el documento “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” de la Contraloría General de la República, menciona: “La organización debe identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten con las T.I. Además, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario.”

RECOMENDACIONES:

1. Cumplir con lo estipulado en el procedimiento de administración de incidentes y problemas, manejando de una manera estándar todas las solicitudes referentes a las solicitudes de incidentes.

2. Finalizar el “sistema de soporte técnico” que fue desarrollado por el Área de Tecnologías de Información del IDA incluyendo todos los aspectos que se mencionan en el procedimiento sobre la administración de incidentes y problemas o en su defecto adquirir un software que cumpla dichas funciones realizando un estudio de factibilidad técnica, operativa y económica para dicho desarrollo.

OPORTUNIDAD DE MEJORA 3: NO SE CUENTA CON PLANES DE PRUEBAS PARA LOS RESPALDOS DE LA INFORMACIÓN.

CONDICIÓN:

De la revisión efectuada se determinó que actualmente la metodología de respaldos de datos no contempla planes de pruebas para los respaldos de la información del IDA.

CRITERIO:

La Normativa “Administración de los datos” presente en el documento “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” de la Contraloría General de la República, menciona: “La organización debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones válidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma íntegra y segura.”

RECOMENDACIÓN:

Incluir dentro de la metodología de respaldos de datos del IDA un procedimiento de prueba de los respaldos de la información a un nivel detallado que contemplen entre otros los factores siguientes:

Definición del procedimiento para realizar las pruebas a los respaldos. Política formal que especifique la periodicidad para realizar las pruebas. Definición de políticas y procedimientos relacionados con la vida útil de los medios utilizados

para almacenar los respaldos.

Procedimientos detallados para la clasificación de las cintas y control de inventarios. Requerimientos ambientales y técnicos para el almacenamiento de los respaldos y las

respectivas pruebas. Administración de la capacidad de los medios físicos utilizados para el respaldo y las pruebas. Identificación clara del software, aplicaciones y datos a probar.

OPORTUNIDAD DE MEJORA 4: NO SE CUENTA CON UNA ADECUADA ASIGNACIÓN DE PERMISOS EN LAS CARPETAS COMPARTIDAS DEL SERVIDOR DENOMINADO SISTEMASIG NI EN EL SISTEMA SIGADES.

CONDICIÓN:

Al evaluar los módulos del “Sistema de Control de Fincas y Arrendamientos de tierras” los cuales no fueron desarrollados por el área de Tecnologías de Información del IDA, sino que fue un desarrollo llevado a cabo por las áreas usuarias, se observaron las siguientes situaciones:

1- No se están utilizando los módulos de “Sistema de Control de Fincas y Arrendamientos de tierras” de SIGADES debido a que dentro del sistema por razones aun no conocidas algunos formularios del sistema se modificaron y no trabajan como es debido.

2- No se cuenta con una adecuada asignación de permisos en el sistema SIGADES, se observo que desde un equipo de usuario se puede acceder a la base de datos del sistema, tal y como se muestra a continuación:

Acceso a la Base de Datos SIGADES

Acceso a Formularios del SIGADES

3- Inadecuada asignación de permisos en carpetas compartidas dentro del servidor llamado “Sistemasig”, por ejemplo la carpeta vehículos en la cual se observó que se tiene permisos de control total para los Usuarios del Dominio (IDA.GO.CR), los cuales dan privilegios de eliminado, borrado, modificación, creación y ejecución de todos aquellos archivos que se encuentren dentro de la carpeta “Vehículos”.

Permisos del Servidor Sistemasig

CRITERIO:

La Normativa “Gestión de la seguridad de la información” presente en el documento “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” de la Contraloría General de la República, menciona:

La organización debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factores disfuncionales. Para ello debe documentar e implementar una política de seguridad de la información y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece la presente normativa en relación con los siguientes aspectos:

o La implementación de un marco de seguridad de la información.

o El compromiso del personal con la seguridad de la información.o La seguridad física y ambiental.o La seguridad en las operaciones y comunicaciones.o El control de acceso.o La seguridad en la implementación y mantenimiento de software e infraestructura

tecnológica.o La continuidad de los servicios de TI.

Además debe establecer las medidas de seguridad relacionadas con:

o El acceso a la información por parte de terceros y la contratación de servicios prestados por éstos.

o El manejo de la documentación.o La terminación normal de contratos, su rescisión o resolución.o La salud y seguridad del personal.

Las medidas o mecanismos de protección que se establezcan deben mantener una proporción razonable entre su costo y los riesgos asociados.

RECOMENDACIÓN:

De acuerdo a la norma de la contraloría “Gestión de la seguridad de la información” y lo expuesto en el apartado de condición de la presente Oportunidad de Mejora se recomienda:

1- Restaurar los formularios dañados del sistema SIGADES a la mayor brevedad posible, por parte del desarrollador del sistema, centralizando futuros desarrollos en el área informática de la institución.

2- Realizar una revisión de los permisos, privilegios y roles de los usuarios del sistema SIGADES, documentando los resultado de la revisión y procediendo a realizar los cambios necesarios para asegurar la información.

3- Realizar una revisión de los permisos asignados a los recursos compartidos en los servidores del IDA, documentando los resultados y tomando las medidas necesarias para fomentar la integridad, disponibilidad y seguridad de la información, limitando la utilización de los permisos de control total y en el caso que se deban dar debe haber una debida autorización y justificación del por qué se deben asignar esos privilegios.

OPORTUNIDAD DE MEJORA 5: NO SE OBSERVA AL PROCESO DE TECNOLOGÍAS DE INFORMACIÓN EN EL ORGANIGRAMA INSTITUCIONAL DEL IDA.

CONDICIÓN

Al evaluar el organigrama institucional vigente aprobado por la autoridad presupuestaria de acuerdo a un correo enviado el 6 de abril del 2011 por la jefa de Recursos Humanos, se define como organigrama vigente el establecido en el 2006 en el cual no se contempla el área de tecnologías de información, cabe mencionar que analizando los organigramas anteriores por ejemplo: organigrama 2010, el área de tecnologías de información se contempla como una unidad formalmente constituida. Por otra parte cabe mencionar que el organigrama aprobado en el 2010 no se ha derogado oficialmente por la Junta Directiva de la institución.

Organigrama 2006, Vigente

Organigrama 2010

CRITERIO

La Normativa “Independencia y recurso humano de la Función de TI” presente en el documento “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” de la Contraloría General de la República, menciona: “El jerarca debe asegurar la independencia de la Función de TI respecto de las áreas usuarias y que ésta mantenga la coordinación y comunicación con las demás dependencias tanto internas y como externas. Además, debe brindar el apoyo necesario para que dicha Función de TI cuente con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de manera clara y formal, su responsabilidad, autoridad y funciones.”

RECOMENDACIÓN

Definir a la Unidad de Tecnologías de Información como una estructura independiente con una jerarquía establecida, tomando en cuenta requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión, con el fin de cumplir con lo estipulado por la Contraloría General de La Republica en el apartado de “Independencia y Recurso Humano de la Función de TI” apoyando además el proyecto de “Implantación de las Normas Técnicas para la Gestión y Control de las T.I. de la Contraloría”.

OPORTUNIDAD DE MEJORA 6: NO SE CUENTA CON UNA BASE DE DATOS INTEGRADA QUE CONTENGA LA INFORMACIÓN DE LOS ACTIVOS DEL IDA.

CONDICIÓN

Al evaluar el modulo de activos, se identifico la existencia de dos sistemas en producción uno en el área de contabilidad el cual administra los costos y depreciaciones de los activos y otro en la unidad de activos que se encarga de administrar los responsables a los que se les ha asignado un activo, sin embargo estos sistemas cuentan con bases de datos independientes y sin un medio automatizado que permita conciliar automáticamente la información de ambas bases de datos una vez que se ingresa o modifica información referente a los activos.

Administración de Activos Contabilidad

Administración de Activos Unidad de Activos

CRITERIO:

La Normativa “Modelo de arquitectura de información” presente en el documento “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” de la Contraloría General de la República, menciona: “La organización debe optimizar la integración, uso y estandarización de sus sistemas de información de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, sólo la información que sus procesos requieren.”

RECOMENDACIÓN:

Para solventar lo expuesto en el apartado de “Condición” de la presente oportunidad de mejora se recomienda:

1. Realizar una conciliación de los datos correspondientes a los activos del IDA que se encuentran en ambas bases de datos.

2. Unificar en una sola base de datos la administración de los activos del IDA.

OTROS ASUNTO A INFORMAR

ASUNTO 1: NO SE IMPARTEN CAPACITACIONES EN MATERIA DE SEGURIDAD INFORMÁTICA A NIVEL INSTITUCIONAL.

Al momento de realizar la auditoría externa se determino que no existe evidencia formal sobre capacitaciones impartidas a nivel institucional en materia de seguridad, confidencialidad y los riesgos asociados con el uso de las tecnologías de información por lo que se recomienda realizar campañas de capacitación y divulgación fomentando la importancia y las medidas de seguridad informática establecidas en el IDA como medidas para salvaguardar la información.

ASUNTO 2: EVALUACIÓN DE LA CALIDAD FUNCIONAL Y DEL ÁREA DE TECNOLOGÍA DE INFORMACIÓN

En esta sección se muestra el resultado de la evaluación realizada respecto a la calidad funcional de los sistemas de información del IDA según funcionarios de la institución.

Los módulos o sistemas de información analizados son:

Contabilidad. Presupuesto Activos Selección de familias Sistemas de control de fincas Sistemas de información de asentamientos

El nombre de los principales módulos y la persona entrevistada en el proceso de evaluación de la calidad funcional se muestran en la tabla siguiente:

NOMBRE DEL SISTEMA

PRINCIPALES MÓDULOS USUARIO FINAL ENTREVISTADO

Sistemas del IDA

Contabilidad Rita DelgadoPresupuesto Ricardo MoraActivos Alexander MoraSelección de Familias Marvin Ramirez Sistema de Control de Fincas Rodolfo SchmithSistemas de Información de Asentamientos

Cecilia Villalobos

EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN IMPLANTADOS EN EL IDA.

El detalle de la evaluación de la calidad funcional del sistema que se encuentra actualmente en producción según los usuarios, se muestran en el gráfico siguiente:

Resumen de los comentarios realizados por los usuarios entrevistados:

Contabilidad.o Estados financieros históricos.o Integrado Institucional.

Presupuesto.

o Algunos desean otro tipo de información, pero desde lo óptico del área de presupuesto el sistema ofrece lo que necesitamos.

o Con respecto al tiempo real la información en el sistema interno está desfasada pero con respecto al Fondo Fijo de cada oficina está a tiempo real, si lo han alimentado regularmente.

o Para los que lo utilizamos está bien pero para los que no lo han utilizado se les presenta un cierto nivel de dificultad.

o No tiene un manual especifico, si no de operación.o Tiene una conversión de filtros y a veces nos manda datos erróneos lo que dificulta la

obtención de los resultados, por ejemplo el sistema interno códigos sin estar en el sistema o códigos incompletos.

o La integración de la existencia de dos sistemas uno interno que se alimenta de los registros contables y el otro alimenta el sistema interno por medio de contabilidad y este es auxiliar que ofrece los datos en tiempo real.

Activoso Se requiere más información debido a que la administrada por el usuario es muy

básica.o Faltan reportes y actualización debido a que esta en un ambiente de D.O.So Reportes muy estáticos, poca información.o Desconocimiento de los funcionarios en varias áreas de informática.o Sistemas no son integrados por lo que provoca perdida de datos e información

incorrecta en auxiliares.o Integración de sistemas, personal profesional con conocimiento en sistemas,

aplicaciones en cuanto a hardware, periféricos en general. o Comunicación eficiente entre departamentos y personal en general.o Se debe contar con personal capacitado para la ejecución de las tareas.

Selección de familiaso Con la ampliación prevista se soluciona en gran medida lo faltante.o Valida usuarios contra Active Directoryo Depende disponibilidad acceso red institucional.

Sistema control de fincas.o En la entrevista con el encargado el sistema no se encontraba en funcionamiento

debido a problemas con los formularios internos del sistema.

Sistema de información de asentamientos.o Algunos reportes necesitan modificacióno Bueno si se conoce el programa de Accesso El mantenimiento del sistema fue oportuno cuando el diseñador mismo estuvo

ubicado en oficinas centrales

o Es necesario recuperar el daño en el sistema, provocado por la pérdida de una parte de los formularios.

PERCEPCIÓN DE LOS USUARIOS FINALES RESPECTO AL SERVICIO RECIBIDO DEL PROCESO DE TECNOLOGÍAS DE INFORMACIÓN EN EL IDA.

El detalle de la evaluación de la percepción de los usuarios finales mencionados en la página 19 de este documento, respecto al servicio recibido del proceso de Tecnología de Información se muestra en el gráfico siguiente:

SEGUIMIENTO A AUDITORIAS ANTERIORES

SEGUIMIENTO A LA CARTA DE SISTEMAS IDA 2009

HALLAZGORECOMENDACIONES

COMENTARIOS DE ADMINISTRACIÓN ESTADO

HALLAZGO 1: AUSENCIA DE POLÍTICAS Y PROCEDIMIENTOS FORMALES PARA LA GESTIÓN DE LA CONFIGURACIÓN

CONDICIÓN:

El Departamento de Tecnologías de Información del IDA, ha realizado un esfuerzo significativo por formalizar la gestión de la configuración de la plataforma tecnológica que soporta las transacciones de la Institución, sin embargo actualmente no cuenta con un procedimiento formalmente establecido que permita la administración de la configuración de los equipos que forma la plataforma tecnológica, según el nivel de detalle que establecen los estándares internacionales y mejores prácticas de la industria.

El Departamento de Tecnologías de Información debe establecer una estrategia formal para la gestión de la configuración de la plataforma tecnológica, la cual tome en cuenta entre otros factores los siguientes:

Identificar elementos de configuración y sus atributos.

Registrar elementos de configuración nuevos, modificados y eliminados.

Identificar y mantener las relaciones entre los elementos de configuración y el repositorio de configuraciones.

Actualizar los elementos de configuración existentes en el repositorio de configuraciones.

Prevenir la inclusión de software no-autorizado.

Se han realizado esfuerzos significativos y a la fecha se cuenta con un Manual de Políticas para Tecnologías de Información. También existe un resumen ejecutivo de las políticas debidamente aprobado por la Junta Directiva.

Adicionalmente se tienen los documentos: “Modelo de Arquitectura”, “Administración de la Configuración de Hardware y Software - Proceso” y “Administración del Desempeño y Capacidad de la Infraestructura de TI - Proceso”.

CORREGIDO

HALLAZGO 2: NO SE CUENTA CON UNA METODOLOGÍA PARA LA GESTIÓN DE LA

Establecer una política de aseguramiento de la calidad a nivel del Departamento de

Se han realizado esfuerzos significativos y a la fecha se cuenta con

PENDIENTE



CALIDAD.

CONDICIÓN:

Actualmente el Departamento de Tecnologías de Información del IDA no cuenta con una metodología para la gestión de la calidad en procesos informáticos. Se determinó que dicho Departamento para comprobar la calidad y el buen funcionamiento de los sistemas y procesos en general, basa su gestión únicamente en pruebas satisfactorias y en la información de los contratos.

Tecnologías de Información del IDA, que considere entre otros aspectos lo siguiente:

Definición de objetivos de calidad. Implementación de un sistema de

administración de la “calidad estándar”, con enfoque en el cliente y sus necesidades.

Establecimiento de estándares actualizados para todo el desarrollo y adquisición de software, durante todo su ciclo de vida.

un Manual de Políticas para Tecnologías de Información. También existe un resumen ejecutivo de las políticas debidamente aprobado por la Junta Directiva.

Sin embargo, aún la consultoría adjudicada en la Licitación Pública No. 2009LN-000004-01 para la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnología de Información, emitidas por la Contraloría General de la República, cuya adjudicación recayó en la empresa PriceWaterHouseCoopers S.A. le falta prácticamente un año para concluir; razón por la cual, se tiene previsto dar cumplimiento al Hallazgo, durante la que resta de la consultoría y a través del paquete No. 13 Metodología para la Implementación del Software.

El IDA se encuentra actualmente con un proyecto de implementación de las normas técnicas para la gestión y el control de TI., sin embargo aún no se ha establecido una metodología que gestione la calidad.

HALLAZGO 3: INEXISTENCIA DE UN SITIO ALTERNO PARA LOS SERVIDORES PRINCIPALES DEL IDA

CONDICIÓN:

Al efectuar la revisión de los respaldos de la información almacenada en los servidores del IDA, se determinó que

Valorar la posibilidad de dotar al Departamento de Informática del IDA, del equipo necesario para poder implementar un mecanismo de replicación automática en un sitio alterno (bajo un enfoque de costo-beneficio), para que en caso de fallas del servidor principal, el equipo de respaldo entre a funcionar de forma inmediata impidiendo la paralización de

Se contempló en el Presupuesto 2012 la estimación de recursos para la contratación del sitio alterno.

Se envió la estimación, a través del Oficio TI-147-2012.

EN PROCESO

Se evidencio que para el 2012 se tiene contemplado presupuestariamente el desarrollo de un sitio alterno para



no se cuenta con un mecanismo de replicación automática en un lugar externo a las instalaciones principales del IDA. Dicha situación no estaría permitiendo garantizar la continuidad de las operaciones en forma inmediata en caso de falla del servidor principal localizado en oficinas centrales.

las operaciones. Para la efectividad de lo recomendado, se debe contar además con un ancho de banda adecuado y una infraestructura de comunicaciones apropiada para evitar caídas de la red.

Además, una vez que se cuente con el equipo necesario, se debe agregar al plan de contingencia integral los procedimientos para realizar el respaldo, implementar un plan de pruebas y ejecutarlo cada cierto periodo de tiempo para garantizar que el equipo va a funcionar adecuadamente en caso de un contingente.

tecnologías de información.



HALLAZGO 4: NO EXISTE UNA EJECUTORÍA ACTIVA DEL COMITÉ DE TECNOLOGIA DE INFORMACION DEL IDA

CONDICIÓN:

De acuerdo con la revisión efectuada a la estructura organizacional para la administración de los recursos informáticos, se observó que el IDA no cuenta con un Comité de Tecnologías de Información para la gestión informática activa. Incumpliendo con lo mencionado en el plan estratégico de tecnologías de información aprobado por Junta Directiva mediante acuerdo N° 4 de la Sesión Ordinaria No. 013-2010 de Junta Directiva, el plan menciona:

“Reestructurar de acuerdo a las normativas vigentes, las funciones de la Comisión de Tecnologías de Información la cual se convierte ahora en el ente encargado de la toma de decisiones de todos los aspectos relacionados con la ejecución del Plan Estratégico aquí planteado. La participación de la Gerencia General en esta Comisión es fundamental por la naturaleza de las decisiones y las acciones que deben ser llevadas a cabo. Esta Comisión debe operar bajo la normativa que al respecto ha emitido la Contraloría general de la República. ”

Acordar reuniones periódicas y mantener una asesoría activa por parte de los miembros que conforman el Comité de Tecnologías de Información del IDA, con el fin de asegurar las actividades de control interno en materia tecnológica, para que el jerarca pueda apoyar sus decisiones sobre asuntos estratégicos de T.I en concordancia con la estrategia institucional, estableciendo prioridades, y un equilibrio en la asignación de recursos.

Aprobar por parte de la Administración Superior el reglamento, en el cual se establecen entre otros aspectos la razón de ser del Comité, conformación y estructura de operación, funciones, integrantes y responsabilidades.

La consultoría adjudicada en la Licitación Pública No. 2009LN-000004-01 para la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnología de Información, emitidas por la Contraloría General de la República, cuya adjudicación recayó en la empresa PriceWaterHouseCoopers S.A; retomó el tema y realizó una revisión al Reglamento para la creación del Comité de Tecnologías de Información. A la fecha aún queda pendiente la revisión por parte de la Dirección de Asuntos Jurídicos y una vez se tenga, la Administración Superior elevaría el Reglamento para aprobación de la Junta Directiva del Instituto y posterior publicación en el diario oficial La Gaceta.

La última gestión al respecto, se puede observar en el oficio GG-165-2011.

PENDIENTE

Se evidencio la existencia del reglamento para el comité de Tecnologías de información del IDA, sin embargo este se encuentra pendiente de aprobación.



HALLAZGO 5: NO SE CUENTA CON UNA POLÍTICA CON EL FIN DE COMUNICAR EN FORMA PERIÓDICA Y CONSTANTE CAMBIOS DE PERSONAL EN EL IDA AL DEPARTAMENTO DE INFORMÁTICA.

CONDICIÓN:

Actualmente no se cuenta a nivel institucional con una política en donde se defina que el Departamento de Recursos Humanos del IDA debe suministrar periódicamente al Departamento de Tecnologías de Información un listado de las personas que han tenido alguna rotación en los distintos puestos de la Institución (renuncias, despidos o vacaciones prolongadas, etc), con el fin de realizar los respectivos cambios de roles y privilegios en los sistemas de información y la red.

Elaborar, aprobar y divulgar una política, por parte de las máximas autoridades del IDA mediante la cual el Departamento de Recursos Humanos remita en forma periódica información al Departamento de Tecnología de Información relacionada con movimientos de personal (que han cambiado de puestos, gozan de periodos de vacaciones o incapacidades prolongadas -mayores a 15 días-, renuncias o despidos, etc), con el fin de que el Departamento de Tecnología de Información tome las medidas pertinentes con respecto a la definición de roles y privilegios de los sistemas de información y de la red del IDA.

CORREGIDO

Actualmente se encuentra en el manual de políticas den la política denominada “Fin de relación laboral”

HALLAZGO 6: EL IDA NO CUENTA CON UNA PLANTA ELÉCTRICA PARA LA CONTINUIDAD DE LAS OPERACIONES.

CONDICIÓN:

Al efectuar la revisión de la continuidad de las operaciones en el IDA se determinó que no se cuenta con una planta

Acatar las recomendaciones por parte del Área de Servicios Generales sobre las recomendaciones emitidas por la empresa Conelt de Costa Rica, S.A., sobre la instalación eléctrica del cuarto de servidores del IDA la cual menciona:

Ampliar el estudio de graficación. Adquirir una planta generadora de

electricidad.

CORREGIDO



eléctrica que ayude a la continuidad de las operaciones al presentarse cortes de fluido eléctrico tal y como ya se han presentado.

Además según informe presentado por la empresa CONELT de Costa Rica, S.A., solicitado por la auditoría Interna del IDA en donde se realiza un diagnóstico del sistema eléctrico del cuarto de servidores del Departamento de Tecnologías de Información, se mencionan fallas en la parte eléctrica que deben ser atendidas a fin de normalizar el servicio prestado por el Departamento de T.I.

Corregir el desbalance de cargas. Debe conectarse la tierra de la

UPS a la tierra principal. Cambiar los breakers de la

transferencia manual y poner de tres polos con el fin de interrumpir el neutro.

Realizar una medición y revisión del sistema de tierras, y sistema de pararrayos, para descartar problemas producidos por las descargas atmosféricas.

ASUNTO 1: AUTOMATIZAR EL MANEJO DE INCIDENTES EN EL IDA.

Se recomienda implementar una metodología automatizada para el manejo de incidentes en el IDA, que incluya una mesa de servicios, un monitoreo y reporte de tendencias de los incidentes, la definición de procedimientos y criterios de escalamiento claros, así como el cierre de incidentes y la detección de la causa del incidente.

La consultoría adjudicada en la Licitación Pública No. 2009LN-000004-01 para la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnología de Información, emitidas por la Contraloría General de la República, cuya adjudicación recayó en la empresa PriceWaterHouseCoopers S.A; retomó el tema y realizó una revisión y se elaboraron los documentos “Administración de Incidentes y Problemas. Proceso –Procedimiento y “Atención de Usuarios Proceso-Procedimiento”.

EN PROCESO



Con dichos insumos el sistema desarrollado deberá adaptarse a los requerimientos incorporados en los documentos mencionados o bien adquirir uno que cumpla con lo indicado.

SEGUIMIENTO A LA CARTA DE GERENCIA CG-1-2009

HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

A. CUMPLIMIENTO DE LAS NORMAS TÉCNICAS PARA LA GESTIÓN Y EL CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN EMITIDAS POR LA CONTRALORÍA GENERAL DE LA REPÚBLICA

Cumplir las recomendaciones de la Auditoría Interna, tanto para la Gerencia como para la Unidad de Tecnologías de Información.

Es conveniente y necesario que la Presidencia del IDA, ejecute acciones para que la contratación de los servicios profesionales en consultoría, se ejecute a la brevedad posible y se asegure el contenido económico que garantice a la empresa contratada, la continuidad de la implementación. El plan de acción incluye evitar las barreras que existan para que la contratación se concrete y asegurar el contenido presupuestario para el desarrollo del proyecto para el año 2010 y los que se proyecten puede durar el mismo.

A la fecha se tienen grandes avances con la definición de Políticas para Tecnologías de Información y con la aprobación por parte de la Junta Directiva al Resumen de Políticas en TI y con la elaboración del Manual de Políticas. Sin embargo, aún la consultoría adjudicada en la Licitación Pública No. 2009LN-000004-01 para la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnología de Información, emitidas por la Contraloría General de la República, cuya adjudicación recayó en la empresa PriceWaterHouseCoopers S.A. le falta prácticamente un año para concluir; razón por la cual, este hallazgo se dará por cumplido con la finalización de la misma.

EN PROCESO

En el IDA se encuentra en desarrollo el proyecto de implementación de las normas técnicas para la gestión y el control de TI.


C. LAS APLICACIONES O VENTANAS NO DISPONEN DE MECANISMOS DE SEGURIDAD, ANTE LA FALTA DE USO DEL USUARIO DESPUÉS DE UN TIEMPO DE NO UTILIZAR LA APLICACIÓN.

Es conveniente considerar para la aplicación actual o futura, el definir como medida de seguridad del sistema, que las ventanas o aplicaciones se bloque o cierren después de un determinado tiempo de inactividad por parte del usuario.

A la fecha se tienen grandes avances con la definición de Políticas para Tecnologías de Información y con la aprobación por parte de la Junta Directiva al Resumen de Políticas en TI y con la elaboración del Manual de Políticas. Sin embargo, aún la consultoría adjudicada en la Licitación Pública No. 2009LN-000004-01 para la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnología de Información, emitidas por la Contraloría General de la República, cuya adjudicación recayó en la empresa PriceWaterHouseCoopers S.A. le falta prácticamente un año para concluir; razón por la cual, las políticas se irán implementando conforme existan los recursos suficientes para realizarlo.

EN PROCESO

D. EXISTEN FUNCIONARIOS DE INFORMÁTICA CON FUNCIONES Y ACCESOS DE ANALISTAS, PROGRAMADORES Y ADMINISTRADORES DE BASES DE DATOS.

Atender las recomendaciones de periodos anteriores, y como medida contingente o provisional considerar definir una segregación de funciones temporal que separe las funciones y accesos de Analista, Programar y Administrar de la Base de Datos entre los funcionarios actuales, definiendo la atención de requerimientos únicamente por medio escrito donde conste la firma del usuario que plantea el requerimiento al sistema y la autorización de su respectiva jefatura o superior.

En Tecnología de Información se cuenta con poco personal para implementar una adecuada segregación de funciones. Esta situación continuará permanentemente hasta tanto no se cuente con el personal suficiente.

PENDIENTE


F. EQUIPO DE CÓMPUTO Y MANTENIMIENTO DE EQUIPO SIN ALMACENAR.

Disponer de un espacio adecuado para almacenar y custodiar equipo y suministros de cómputo.

PENDIENTE

H. LOS SISTEMAS DEL IDA NO REQUIEREN CAMBIAR LA CONTRASEÑA DE LAS APLICACIONES CON DETERMINADA PERIODICIDAD.

Considerar para el presente como para futuros sistemas de la entidad, la medida de seguridad de solicitarle al usuario del sistema cada cierta periodicidad cambiar su contraseña de acceso.


EN PROCESO

I. NO SE DISPONE DE UN MECANISMO DE CONTROL AUTOMÁTICO O MANUAL (PROCEDIMIENTO INSTITUCIONAL) QUE INACTIVE A USUARIOS QUE POR UN DETERMINADO TIEMPO DEJAN DE UTILIZAR LOS SISTEMAS.

Considerar en el sistema actual o por adquirir, el requerimiento de inactivar claves después de un tiempo definido de falta de uso, como contingencia se recomienda definir la política de comunicar de parte de todas las dependencias del IDA al Departamento de Informática, la inactivación de usuarios que por alguna circunstancia se ausentan de su trabajo en un periodo considerable (tiempo a definir por la Administración)

A la fecha se tienen grandes avances con la definición de Políticas para Tecnologías de Información y con la aprobación por parte de la Junta Directiva al Resumen de Políticas en TI y con la elaboración del Manual de Políticas. Sin embargo, aún la consultoría adjudicada en la Licitación Pública No. 2009LN-000004-01 para la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnología de

EN PROCESO


Información, emitidas por la Contraloría General de la República, cuya adjudicación recayó en la empresa PriceWaterHouseCoopers S.A. le falta prácticamente un año para concluir; razón por la cual, las políticas se irán implementando conforme existan los recursos suficientes para realizarlo.



HALLAZGO 1: DEFINIR E IMPLANTAR POLÍTICAS PARA EL ÁREA DE TECNOLOGÍAS DE LA INFORMACIÓN DEL IDA.

Definir, implantar y documentar las políticas necesarias para regular el cumplimiento en el uso de las Tecnologías de la información, y de la seguridad de los datos, tomando en cuenta tópicas como calidad, seguridad, confidencialidad, controles internos. Además se deben definir responsables para la administración de las políticas, se debe definir la frecuencia de revisión y actualización de las políticas e indicadores de cumplimiento, entre las políticas que se recomiendan definir están:

Política para el Tratamiento de los Riesgos de Seguridad.

Política para la Organización de la Seguridad de la Información.

Política para Clasificación de la Información.

CORREGIDO


Política para el Intercambio de información. Política para el Reporte de Eventos en la

Seguridad de la Información. Política para el Cumplimiento de los

Requerimientos Legales. Política para la Administración de medios

removibles. Política para la administración de la

Seguridad Física.

Cabe mencionar que la Administración Superior del IDA en conjunto con la encargada de la Unidad de TI debe aprobar y divulgar las políticas definidas.Para la elaboración de esta tarea se recomienda utilizar como referencia la norma ISO 27002 de seguridad de la información.

HALLAZGO 2: PERSONAL INSUFICIENTE EN LA UNIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN.

Que la Administración Superior del IDA considere la aprobación de las plazas requeridas para la Unidad de TI para poder cubrir de la mejor manera los procesos tecnológicos que requiere el Instituto en la actualidad, especialmente en las áreas de desarrollo y mantenimiento de Sistemas, soporte técnico, administración de bases de datos, redes y telecomunicaciones, administración de proyectos tecnológicos y analizar la posibilidad de poder implementar el puesto de Oficial de Seguridad o algún puesto similar, el cual es deseable cumpla con las siguientes tareas:

Brindar los servicios de seguridad en la organización, a través de la planeación, coordinación y administración de los

En Tecnología de Información se cuenta con poco personal para implementar una adecuada segregación de funciones. Esta situación continuará permanentemente hasta tanto no se cuente con el personal suficiente.

PENDIENTE

En la evaluación realizada el área de Tecnologías de Información tiene como gran limitante la directriz del poder ejecutivo número 013-H en donde su artículo primero menciona que no se crearán plazas en el sector público.


procesos de seguridad informática, así como difundir la cultura de seguridad informática entre todos los miembros de la organización.

Definir la misión de la seguridad informática de la organización.

Aplicar una metodología de análisis de riesgo.

Definir la Política de seguridad informática.

Definir los procedimientos para aplicar la Política de seguridad informática.

Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las políticas dentro de la misión del IDA.

Crear un grupo de respuesta a incidentes de seguridad.

Promover la aplicación de auditorías enfocadas a la seguridad

Crear y vigilar los lineamientos necesarios que coadyuven a tener los servicios de seguridad en la Institución.

Crear un grupo de seguridad informática en la organización.

Es recomendable que el encargado de Seguridad Informática sea independiente a la Unidad de TI, y que responda directamente a la Gerencia, y al Comité de Tecnologías de la Información.


HALLAZGO 4: NO SE CUENTAN CON POLÍTICAS NI PROCEDIMIENTOS RELACIONADOS CON LA SOLICITUD DE CAMBIOS O MEJORAS A LOS SISTEMAS.

Establecer políticas o procedimientos relacionados con los cambios o mejoras a los sistemas de información implantados en el IDA, comunicar al personal dichas políticas o procedimientos para su cumplimiento con el fin de determinar la procedencia y prioridades de los cambios o mejoras, implementando una evaluación técnica para garantizar la calidad y el debido cumplimiento de los requerimientos que previamente fueron entendidos y solicitados. Además sería de gran utilidad contar con una herramienta automatizada para poder llevar las estadísticas de los cambios o mejoras a los sistemas, permitiendo además agilizar este proceso tanto para la parte usuaria como para la Unidad de TI.


CORREGIDA

Se evidencio la existencia de el procedimiento denominado “Administración y liberación de cambios (PRC-DTI-011 Versión 1.0)”

HALLAZGO 6: NO ESTA DOCUMENTADA LA METODOLOGÍA PARA LA ADMINISTRACIÓN DE PROYECTOS INFORMÁTICOS.

Documentar la metodología empleada en la administración de proyectos informáticos llevados a cabo por el Instituto de Desarrollo Agrario, definiendo claramente las etapas del proyecto, la conformación y administración del equipo de trabajo, herramientas utilizadas por ejemplo diagramas de hitos, Gantt, etc. Técnicas utilizas por ejemplo PERT, modelos de estimación empleados, entre otros aspectos relevantes para la

CORREGIDO

Se nos brindo la Metodología de Administración de Proyectos (PRC-DTI-008), en la cual se definen las etapas de


adecuada administración de proyectos informáticos.

desarrollo de salida y especifica cuáles son las entradas y salidas para cada una de ellas entre otras cosas.

HALLAZGO 7: POCO ESPACIO FÍSICO EN EL ÁREA DE TI.

Dotar a la Unidad de TI del IDA de un área que cuente con un diseño y espacio necesario para poder administrar los recursos de TI de la mejor manera, permitiendo al personal realizar gestiones administrativas y de servicio de los funcionarios del Instituto, también es recomendable asignar una zona específica con acceso restringido para ubicar los equipos, herramientas y otros dispositivos requeridos para la instalación, revisión y/o reparación de hardware, así como mobiliario apropiado que asegure la prevención de accidentes y posibles daños a los activos que en esta área se ubiquen, así como la adecuada comodidad para que los funcionarios desarrollen sus labores en forma segura y saludable. Además se recomienda el establecimiento de un plan a largo plazo para que las instalaciones de la Unidad de TI puedan soportar adecuadamente los requerimientos actuales y futuros de la Institución, tomando en cuenta aspectos de construcción, vigilancia, seguridad personal, sistemas eléctricos y mecánicos, protección contra factores ambientales, con el fin de disminuir los posibles riesgos

PENDIENTE


ocasionados por fuego, rayos, inundaciones, etc.

HALLAZGO 8: FALTA DOCUMENTAR LOS PROCEDIMIENTOS PARA DEFINIR PERFILES, ROLES Y NIVELES DE PRIVILEGIO A LOS USUARIOS DE LOS SISTEMAS IMPLANTADOS EN EL IDA.

Documentar el proceso de asignación de roles y privilegios que actualmente lleva la Unidad de Tecnologías de Información del IDA, para que los usuarios de los sistemas cuenten con los debidos privilegios previo estudio o asignación por parte de los responsables de manipular la información.

La consultoría adjudicada en la Licitación Pública No. 2009LN-000004-01 para la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnología de Información, emitidas por la Contraloría General de la República, cuya adjudicación recayó en la empresa PriceWaterHouseCoopers S.A; retomó el tema y realizó una revisión y se elaboró el documento “Modelo de Arquitectura” y se encuentra un Preliminar y en revisión por parte de los miembros de la Comisión de Normas Técnicas el documento “Roles y responsabilidades Sistemas de información”.

CORREGIDO

Se evidencio la existencia del documento de Administración de Roles con el código de PRC-DTI-020.

HALLAZGO 9: LOS SISTEMAS DE INFORMACIÓN DEL IDA NO CUMPLEN CON LAS POLÍTICAS O ESTÁNDARES DEFINIDOS EN LOS MANUALES DE DESARROLLO.

Implementar en los nuevos desarrollos y migraciones de sistemas los estándares internos del Instituto de Desarrollo Agrario relacionados con el desarrollo de sistemas, para poder unificar la arquitectura computacional y facilitar la mantenibilidad de los sistemas de información.

Las contrataciones para desarrollar nuevos sistemas de información para sustituir los actuales, contemplan los estándares existentes en los manuales de desarrollo. Se encuentran en proceso de desarrollo los sistemas: Módulos de Cuentas por Cobrar, Sistema Integrado Agrario-SIGA, Sistema Integrado de Recursos Humanos-SIRH.

EN PROCESO

Los módulos revisados algunos cumplían ya que se está en etapa de definición de los nuevos estándares de desarrollo.


HALLAZGO 10: INCONSISTENCIAS EN LAS BASES DE DATOS DE LOS SISTEMAS IMPLANTADOS EN EL IDA.

Depurar las bases de datos de los sistemas que actualmente están en producción en el IDA, esta labor debe ser coordinada entre la Unidad de Tecnologías de la Información y los diferentes Departamentos del Instituto, con el fin de que la información almacenada sea confiable y exacta, en el punto D “Sistemas de Información” del presente documento se detallan algunas de las inconsistencias encontradas en las bases de datos.

Las contrataciones para desarrollar nuevos sistemas de información para sustituir los actuales, contemplan la etapa de migración y depuración de información. Se encuentran en proceso de depuración de información los sistemas: Módulos de Cuentas por Cobrar, Sistema Integrado Agrario-SIGA, Sistema Integrado de Recursos Humanos-SIRH.

EN PROCESO



HALLAZGO 3: LOS MANUALES, POLÍTICAS, REGLAMENTOS Y DOCUMENTOS GENERADOS POR LA UNIDAD DE INFORMÁTICA NO CUENTAN CON EL VISTO BUENO DE LA JUNTA DIRECTIVA DEL IDA.

CONDICIÓN:

A la fecha se tienen grandes avances con la definición de Políticas para Tecnologías de Información y con la aprobación por parte de la Junta Directiva al Resumen de Políticas en TI y con la elaboración del Manual de Políticas. Sin embargo, aún la consultoría adjudicada en la Licitación Pública No. 2009LN-000004-01 para la implementación de las Normas Técnicas para la Gestión y el Control de las Tecnología de Información, emitidas por la Contraloría General de la República, cuya

EN PROCESO


Al efectuar la revisión de la administración de la Unidad de Informática del IDA se determinó que los manuales, políticas reglamentos y documentos generados por esta unidad son borradores ya que no cuentan con la aprobación de la Junta Directiva del IDA. Entre los documentos que se pueden mencionar están: “Organización Técnica”, “Plan de Contingencias”, “Estándares para Adquisición de Equipo de Cómputo”, “Manual de Estándares para el Ciclo de Vida del Desarrollo de Sistemas”, “Manual de Estándares de Programación N-Capas”, “Reglamento de Uso interno de Redes, Respaldos, Seguridad, Internet y Correos”, “Términos de Referencia para la Contratación de Servicios Profesionales en el área de Mantenimiento Preventivo-Correctivo y Soporte Técnico de Equipos de Cómputo en Oficinas Centrales y Direcciones Regionales del Instituto”, “Políticas de Instalación de Hardware” y “Manual de Tecnologías de Información”.

adjudicación recayó en la empresa PriceWaterHouseCoopers S.A. le falta prácticamente un año para concluir.

HALLAZGO 4: INCONSISTENCIAS EN EL MODELO DE ARQUITECTURA DE INFORMACIÓN DEL IDA.

CONDICIÓN:

Al efectuar la revisión de los Sistemas de Información del IDA se determinó que la información está almacenada en diferentes bases de datos como ORACLE, CLEEPER Y ACCES, lo cual provoca que no exista un modelo de datos institucional consistente e integrado.

Las contrataciones para desarrollar nuevos sistemas de información para sustituir los actuales, vendrán a estandarizar el modelo de arquitectura del Instituto y con base en el Plan Estratégico de Tecnologías de Información. Los sistemas son: Módulos de Cuentas por Cobrar, Sistema Integrado Agrario-SIGA, Sistema Integrado de Recursos Humanos-SIRH, Sistema Integrado Financiero Administrativo.

EN PROCESO

HALLAZGO 9: INCONSISTENCIAS EN EL La contratación para desarrollar el nuevo sistema de información para sustituir el

PENDIENTE


SISTEMA DE INGRESOS.

CONDICIÓN:

Al efectuar la auditoría de sistemas al IDA se determinó que el sistema de ingresos presenta múltiples inconsistencias, por lo que según lo constatado por esta auditoría se torna un sistema inexacto y poco confiable.

1- Cuando se imprime una constancia de cancelación, la misma indica nombre del beneficiario, número de predio, proyecto donde se ubica, fecha y comprobante de cancelación; para verificar los pagos realizados y efectuar la cancelación, se solicita un proceso denominado SII690, el cual muestra el detalle de pagos, número de comprobante y fecha de cancelación. No obstante; en algunos casos, este proceso no está sustentado en la realidad.

2- Al solicitar en el menú, la opción de consulta por número de cédula, de las operaciones que tiene registradas un beneficiario; algunas veces, el sistema reporta una sola operación, cuando en realidad tiene varias. Cuando los funcionarios regionales señalan en la solicitud de constancias que el beneficiario tiene más operaciones, buscamos formas alternativas para ubicarlas. Una vez ubicadas y verificado que el número de cédula sea el mismo, se realiza de nuevo la consulta y aparecen las operaciones que no se habían reflejado anteriormente.

3- Al solicitar constancias de deuda por operación, la

actual, vendrá a solventar los problemas de inconsistencias del Sistema actual de Ingresos. El nuevo sistema se estima que finaliza en diciembre 2011. Se adjunta informe de avance No. 14 del Proyecto

Se evidencio el desarrollo de un nuevo sistema denomina SIFA que involucra el proceso de ingresos. Sin embargo durante el proceso de auditoría se mantienen las deficiencias en el sistema.


opción muestra si esta se encuentra pendiente y el saldo requerido para cancelarla, sin embargo; al iniciar el proceso de aplicación del monto depositado por el beneficiario, este ya no coincide con el señalado anteriormente, porque se alteraron los saldos sin razón alguna. Algunas veces se refleja que falta más dinero que el depositado y en otras ocasiones más bien sobra, a pesar de que es el monto completo que indicó el sistema, al consultarlo y el mismo que se aplicará. Esta situación es muy preocupante porque al deudor se le da falsas expectativas de que sus operaciones quedaran canceladas, lo cual no ocurre y por el contrario necesita pagar una suma adicional.

a- Caso de faltante : En la constancia de la señora Ana Isabel Castro Segura, beneficiaria del predio No. 12 ubicado en el Asentamiento Las Vegas, a la cual se le indicó que el saldo que adeudaba de esta operación era ¢152.592.90, sin embargo, la señora realizó un depósito por ¢152.592.00, quedando después en la aplicación un saldo de ¢20.796.20 al 03 de abril del 2007, cosa que con solo realizar una simple operación aritmética, se visualiza que no es correcto.

b- Caso de sobrante : La señora Rafaela Marín Durán, beneficiaria del lote 62 del asentamiento El Ceibo, a la cual se le indicó que adeudaba la suma de ¢22.401.20 y depositó la misma suma, al efectuar la aplicación en el sistema, resultó un sobrante de ¢5.974.75, sin hacer ninguna modificación de los pagos realizados anteriormente.

4- Cuando se emiten reportes de endeudamiento por


asentamiento, se observa operaciones que muestran saldo a la fecha, sin embargo, al solicitar la operación en forma individual, algunas se encuentran canceladas. Esta situación perjudica la labor de los funcionarios regionales que realizan fiscalización en los asentamientos, porque se desplazan a las parcelas para ejercer el cobro de los saldos, pero estos ya están cancelados.

5- Al generar las constancias de cancelación, se presenta una inconsistencia, porque algunas operaciones que están pendientes, por error, se emiten como canceladas y el sistema lo ejecuta. Esto ocurre porque en el historial de pagos de la operación, existe un número de comprobante de un abono efectuado, que automáticamente procesa, considerándolo como si fuera el comprobante de cancelación final. Esto da como resultado una constancia de deuda cancelada. Además, el sistema no dispone de ningún bloqueo que limite este procedimiento.

6- La falta de mantenimiento del sistema electrónico durante muchos años, no ha permitido la depuración de los datos registrados y de los reportes emitidos, de acuerdo a los nuevos requerimientos y necesidades de usuarios internos y externos.

7- La inhabilitación de los usuarios por períodos de tiempo, que no permite la utilización del sistema y por ende la evacuación de consultas de los usuarios, porque la desconexión se presenta en cualquier momento, algunas veces de todos los usuarios y otras solamente de uno, sin motivo aparente; aunado a la falta de personal que conozcan el sistema AS-400, ya que se dispone únicamente de una persona que conoce el manejo del sistema.

8- Por otra parte, la gran cantidad de saldos por montos


inferiores a los ¢1.000.00 que no pueden ser cancelados de oficio, porque no existe un procedimiento establecido, incrementan el porcentaje de mora, a pesar de que no son significativos.

Por lo anteriormente mencionado se recomienda la implantación de un nuevo sistema de ingresos a nivel institucional.



HALLAZGO 5: NO EXISTE AUDITOR DE SISTEMAS.

CONDICIÓN:

La Auditoría Interna del Instituto de Desarrollo Agrario no cuenta con un auditor de sistemas

PENDIENTE

HALLAZGO 6: INEXISTENCIA DE UN PLAN DE CONTINGENCIAS.

CONDICIÓN:

No existe un plan de contingencias que ayude a subsanar inconvenientes presentados en los sistemas o equipos.

CORREGIDO

HALLAZGO 7: INEFICIENCIAS EN ALGUNOS SISTEMAS DE INFORMACIÓN.

CONDICIÓN:

Se encontraron los siguientes inconvenientes con algunos sistemas de información:

Inconsistencias en reporte de vacaciones del nuevo Sistema de Recursos Humanos de cara gráfica

No es posible generar acciones de personal masivas en el nuevo Sistema de Recursos

Las contrataciones para desarrollar nuevos sistemas de información para sustituir los actuales, vendrán a estandarizar el modelo de arquitectura del Instituto y con base en el Plan Estratégico de Tecnologías de Información. Los sistemas mencionados en este hallazgo referente a vacaciones, recursos humanos y relación de puestos en AS/400, han sido sustituidos por el nuevo Sistema Integrado de Recursos Humanos-SIRH. Para el caso de los sistemas financiero contable y el de Ingresos los

PROCESO

Cumplido para los sistemas de recursos humanos

En proceso para los sistemas Financiero Contable y el de Ingresos


Humanos de cara gráfica, por lo cual debe utilizarse para tal fin el Sistema de Relación de Puestos en el AS/400.

No se almacena histórico de acciones de personal en el nuevo Sistema de Recursos Humanos de cara gráfica.

No es posible generar reportes de movimientos por rangos de fechas en el Sistema Financiero Contable

No es posible visualizar información histórica en el nuevo Sistema de Ingresos.

nuevos sistemas aún se encuentran en etapa de desarrollo y serán sustituidos conforme los mismos se concluyan.

A continuación se resume el cumplimiento de las recomendaciones emitidas en informes de auditorías anteriores de manera gráfica:

CORREGIDAS 8PENDIENTES 8PROCESO 11

29.63%

29.63%

40.74%

Cumplimiento a las recomendaciones emitidas en CG anteriores

CORREGIDAS PENDIENTES PROCESO

· Web viewLa organización debe garantizar, de manera razonable, la confidencialidad, integridad...

Documents

Transcript of · Web viewLa organización debe garantizar, de manera razonable, la confidencialidad, integridad...