TRIBUNAL REGISTRAL ADMINISTRATIVO INFORME DE CONTROL INTERNO N AI

Transcripción

1 INFORME DE CONTROL INTERNO N AI CUMPLIMIENTO DEL DECRETO EJECUTIVO N 37549, REGLAMENTO PARA LA PROTECCIÓN DE LOS PROGRAMAS DE CÓMPUTO EN LOS MINISTERIOS E INSTITUCIONES ADSCRITAS AL GOBIERNO CENTRAL 1. INTRODUCCIÓN 1.1 Origen y Antecedentes El presente estudio, a cargo del Lic. Juan Carlos Guadamuz Zumbado, Auditor Interno, se realizó en cumplimiento, del Decreto No JP Reglamento para la Protección de los Programas de cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central. Dicho estudio se realizó de conformidad con lo establecido en el artículo 22, incisos a) y b), de la Ley General de Control Interno, en relación con el artículo 10 de dicho cuerpo normativo que señala la responsabilidad del Jerarca y Titulares Subordinados de establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional y en cumplimiento del Plan Anual de Trabajo para el periodo De conformidad con la Matriz de Identificación de Riesgos, La Dirección Administrativa, informó mediante el oficio DA-TIC lo siguiente: [ ] Para el año 2014 se va a realizar una nueva valoración de los riegos del área informática para que estos sean resueltos con acciones de corto y mediano plazo y que el área tecnológica posea una gestión de riesgos de calidad, toda vez que en las anteriores valoraciones no se contaba aún con un Analista de Sistemas, por lo que parte de este nuevo proceso que se empezó a desarrollar en el año 2013 en la materia informática se empozó por realizar un inventario de toda la plataforma tecnológica, así como software y documentación relacionada. (sic) En este punto ya se tiene planificado realizar la redacción de un documento en donde se hable de la cartera de servicios del TRA donde se contemple los servicios, clasificación, identificación y evaluación de los riesgos informáticos, así como el plan de continuidad de cada servicio. Así también, entre los riegos institucionales que si bien no está indicado en dicho análisis por parte de la Dirección Administrativa y del suscrito se determinó la necesidad imperiosa de que existiera un Manual para Proyectos de Tecnologías de Información, que permite establecer todos los aspectos de planificación, desarrollo y control de los proyectos en Tic s a efectos de determinar una ruta crítica e institucionaliza que permite también administrar el riesgo del desarrollo de este tipo de proyectos. (sic) 1

2 Por otra parte, se ha empezado a realizar una evaluación de los diferentes contratos en tecnologías de información bajo un enfoque técnico y no solamente administrativo, con el objetivo también de administrar el riesgo en las tareas de outsorsing de los diferentes contratos, a saber: Contrato de Mantenimiento de UPS, Contrato de Mantenimiento de la Plataforma Tecnológica, Contrato de Servicio de Resguardo y Respaldo de Información, Contrato del Mantenimiento Preventivo y Correctivo del Sistema Integrado de Recursos Humanos. Así también, está en proceso de definición de los alcances del nuevo mantenimiento preventivo y correctivo para el Sistema de Presupuesto y Generación de Estados Financieros. Todo lo anterior, con el objetivo de dimensionar y administrar el riesgo institucional en materia de tecnologías de información del Tribunal [ ]. Finalmente cabe enfatizar, que según lo establece la Ley General de Control Interno, es responsabilidad de cada entidad poner en marcha su respectivo plan de Acción para la Administración de los Riesgos Institucionales, como parte de un proceso continuo y permanente del manejo del riesgo, por acciones, áreas, sectores, actividades o tareas, de acuerdo con sus particularidades y el seguimiento oportuno que establezca la Auditoría Interna. 1.2 Objetivo General Verificar el cumplimiento de la normativa vigente y aplicable a la protección de los programas de cómputo en el Tribunal Registral Administrativo y la verificación del cumplimiento de acuerdo con la matriz de riesgos elaborada por el Tribunal. 1.3 Alcance El estudio comprende la verificación, evaluación y análisis del Decreto No JP Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central, así como el análisis de la documentación que se consideró para la respectiva revisión, entre otros aspectos importantes. Es importante mencionar que este es el primer Informe de Auditoría que emite el Tribunal Registral Administrativo, con relación a este tema. 2

3 1.4 Disposiciones sobre la Ley General de Control Interno De acuerdo con lo dispuesto por la Contraloría General de la República y con el fin de prevenir al Jerarca o a los titulares subordinados (según corresponda) de sus deberes en el trámite de informes y en especial de los plazos que deben observarse, así como advertir sobre posibles responsabilidades en que pueden incurrir por incumplir injustificadamente los deberes de la Ley General de Control Interno, se incorporan en este informe las transcripciones de los artículos de dicha ley, que se detallan a continuación: Artículo 36. Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados. b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda. Artículo 37. Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. 3

4 En relación con las causales de responsabilidad administrativa, el artículo 39 de esa Ley señala lo siguiente: Artículo 39 Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios. El jerarca, los titulares subordinados y los demás funcionarios públicos, incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable Marco Jurídico El presente estudio se realizó de conformidad con lo dispuesto en la siguiente normativa: Ley General de Control Interno, N Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto No JP). Manual de Normas para el Ejercicio de la Auditoría Interna en el Sector Público, según Resolución-R-DC del 16 de diciembre del Manual de Seguridad Informática, del Tribunal Registral Administrativo. Normas de Control Interno para el Sector Público emitido por la Contraloría General de la República, según Resolución R-CO del 26 de enero del Normas técnicas para la Gestión y el Control de las Tecnologías de Información (N CO-DFOE), Aprobadas mediante Resolución del Despacho de la Contralora General de la República, No. R-CO del 7 de junio, 2007, Publicada en La Gaceta No.119 del 21 de junio, 2007, 4

5 1.6 Comunicación de resultados La comunicación de resultados del presente informe de control, se llevó a cabo mediante la reunión celebrada en la Sala de Sesiones del Tribunal Registral Administrativo, el día 28 de abril del 2014, se comunicaron verbalmente los principales resultados del estudio de Control Interno denominado Cumplimiento del Decreto Ejecutivo N 37549, Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central. En la reunión estuvieron presentes los siguientes funcionarios: NOMBRE DEPENDENCIA 1. Sra. Norma Ureña Boza Jueza 2. Sra. Guadalupe Ortiz Mora Jueza 3. Sra. Ilse Díaz Díaz Jueza 4. Sra. Kathya Mora Cordero Jueza 5. Sr. Pedro Suarez Baltodano Juez 6. Sra. Hazel Jiménez Zamora Asesora Legal 7. Sr. Luis G. Socatelli Porras Director Administrativo 8. Lic. Juan Carlos Guadamuz Z. Auditor Interno Ese mismo día se entregó a cada uno de los presentes, copia en formato digital del borrador del informe que contiene los resultados del estudio efectuado en esa Área. Además, se le otorgó un plazo de cinco días hábiles para que fueran formuladas y remitidas a esta Auditoría Interna, las observaciones que cada uno de los invitados consideraran pertinentes, mismas que se deben acompañar del respectivo sustento documental, en caso de alguna aclaración, sin embargo, la Administración Activa no presentó ninguna observación al presente informe. 5

6 2 RESULTADOS Licencias de Software Licencia de Software: Es una especie de contrato, en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado programa, principalmente se estipulan los alcances de uso, instalación, reproducción y copia de estos productos. Cuando se descarga, instala, copia o utiliza un determinado Software, implica que se acepta las condiciones que se estipulan en la Licencia que trae ese programa, es la autorización que permite el uso legal de determinado programa, esta licencia es un documento bien sea electrónico, en papel original ó número de serie autorizado por el autor El Software, como obras intelectuales, no son objeto de venta, sino de cesión o licenciamiento de los derechos de la obra. 2.1 Sobre las Disposiciones Generales del Decreto No JP Esta Auditoría Interna, procedió a revisar el cumplimiento del Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto No JP), emitido el 26 de noviembre del Lo anterior, de conformidad con el artículo tercero, del Reglamento mencionado, que establece: [ ] Cada Ministerio e Institución adscrita al Gobierno Central, deberá realizar anualmente una auditoría interna o externa según las propias posibilidades presupuestarias y organizacionales para determinar el cumplimiento de las disposiciones tendientes a la protección de los derechos de autor, relativos a los programas de cómputo; mediante la auditoría se deberá verificar los equipos existentes y los programas que tengan las computadoras, así como el número de copias autorizadas de cada programa, comprobando la fecha de instalación, versión de cada uno y ajustado a los términos de licenciamiento [ ]. Además, la Ley General de Control Interno, que en su artículo 22.- Competencias, señala lo siguiente, inciso b) Verificar el cumplimiento, la validez y la suficiencia del sistema de control interno de su competencia institucional, informar de ello y proponer las medidas correctivas que sean pertinentes [ ]. 6

7 2.2 Sobre las obligaciones del Tribunal Registral Administrativo, establecidas en el artículo segundo del Reglamento citado. El artículo 2, del Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto No JP), establece que: Cada Ministerio e Instituciones adscritas al Gobierno Central, tendrán las siguientes obligaciones: [ ] a. Establecer sistemas y controles para garantizar la utilización en sus computadoras, única y exclusivamente, de aquellos programas de cómputo que cumplan con los derechos de autor correspondientes. Cualquier programa que exceda el número autorizado o que no cuente con la licencia correspondiente deberá removerse inmediatamente. b. Garantizar que se tengan suficientes autorizaciones para cubrir todos los equipos y los programas en uso, guardándose la documentación correspondiente en un solo lugar con la custodia necesaria [ ] e. Mantener un sistema de información que registre los resultados del inventario de equipos y licencias adquiridas, e instalaciones (equipos donde se tienen instaladas las licencias permitidas bajo tales autorizaciones), sistema que permitirá determinar si tienen suficientes autorizaciones para cubrir todos los equipos y los programas en uso, ello permitirá establecer que el respectivo Ministerio cumple con la protección de los derechos de autor relativos a los programas de cómputo. En el sistema deberá constar la fecha de instalación y funcionario que autoriza la instalación de la licencia [ ]. Considerado lo descrito en los puntos a) y b), citados anteriormente, esta Auditoría, mediante el oficio AI con fecha 13 de marzo del 2014, solicitó al Área de Informática que describiera los sistemas y controles que esa Área ha utilizado para garantizar exclusivamente que los programas de cómputo cumplen con los derechos de autor (Se refiere al inciso a)) y que informara quien es la persona encargada de guardar la documentación con respecto a las autorizaciones y programas en uso de este Tribunal Registral (Se refiere al inciso b)). Es por eso que mediante el oficio DA-TIC , esta Auditoría recibió la siguiente información: [ ] Inciso a) El Tribunal Registral Administrativo cuenta con controles para garantizar la utilización de computadoras, única y exclusivamente, de aquellos programas de cómputo que cumplan con su respectiva licencia. Dichos controles son: 7

8 Todas las computadoras adquiridas por el Tribunal vienen con su respectiva licencia de los programas que se requieren que estén instalados en el equipo esto mediante una planificación preliminar del uso y las funciones que se van a ejecutar en el equipo. El analista de sistemas es el único autorizado para instalar, actualizar y desinstalar software y programas en los equipos del Tribunal Registral Administrativo. El objetivo es proteger la integridad del software, la información y la plataforma tecnológica contra software malicioso y programas no autorizados. El analista de sistemas es el responsable de recomendar, asesorar y avalar lo relativo a la adquisición y distribución de licencias de software, equipos de seguridad, comunicaciones y otros dispositivos que compongan la plataforma tecnológica. El objetivo es garantizar que los diferentes puestos de trabajo cuenten con la tecnología apropiada para la realización de sus funciones, en un ambiente de seguridad controlada. El analista de sistemas realiza auditorias informáticas cada 2 meses para garantizar que ningún funcionario tiene instalado un programa de cómputo sin su respectiva autorización y de esta forma evaluar el cumplimiento del Tribunal, según el decreto Aclaración: En este Punto el señor Ronald Vargas, mediante el oficio DA-TIC con fecha 01 de abril de 2014, indicó: [ ] En cuanto al punto anterior aclaro que la tarea que se realiza es que cada dos meses se realiza una revisión de los programas instalados en cada equipo de cómputo del Tribunal con el objetivo de revisar contra el Excel que posee el Analista de Sistemas que no se hayan instalado programas que el analista no ha autorizado. No se lleva un archivo cada 2 meses sino uno solo que se compara en cada revisión. En caso que se identifique que se instalo algo sin supervisión del analista se procede a desinstalarlo y a investigar quién hizo la instalación para informar a la Jefatura inmediata del Analista de Sistemas y que este proceda a ejecutar acciones respectivas [ ]. (sic) Toda compra de programas de cómputo (software) debe asegurar que el programa cumpla con las necesidades de la institución así como la cantidad de licencias que se requiere. Las cuentas de usuario de cada equipo están restringidas para que no se pueda instalar ni actualizar software; solo con la cuenta de Administrador de la red y con la aprobación del analista de sistemas se puede realizar la instalación o actualización de un programa de cómputo. El analista de sistemas mantiene un inventario del equipo así como de las licencias instaladas en cada uno con el objetivo de gestionar adecuadamente cada equipo y sus respectivas licencias. 8

9 El Tribunal Registral Administrativo no posee un sistema de información específico para gestionar el control de todos los equipos y licencias, ya que es muy poco el equipo con que cuenta el Tribunal y este software de inventario son muy costosos y la relación costo-beneficio no es factible para la institución. Inciso b) Con respecto a la persona encargada de guardar la documentación de licencias propiedad del Tribunal Registral Administrativo, el Analista de Sistemas es el responsable de realizar dicha labor, quien mantiene la información en su cubículo mediante un archivo con su respectiva llave. En lo que se refiere al punto e), se solicitaron los registros de los inventarios practicados a los equipos de este Tribunal y las licencias adquiridas, así como la fecha de instalación de las mismas. En atención a esta solicitud, se determinó que este Tribunal Registral no mantenía esos registros, razón por la cual no existen inventarios con fecha anterior a la solicitud, únicamente el informe correspondiente al período 2013, pero se verificó que no se encontraba separado e inventariado el software con licencia y el que no requiere licencia, sin embargo, el Área de Informática, inmediatamente implementó el inventario de licencias de software, conforme lo solicitado, por lo que se realizó un inventario general de dichas licencias y equipos de cómputo el día 26 de marzo del 2014, con los requerimientos que establece la normativa, ese inventario no se adjunta al informe por lo extenso, (el equipo se cuantifica en ocho computadora de escritorio, treinta y cinco computadora portátiles y cuatro servidores) sin embargo, el inventario forma parte del legajo de papeles, en el ANEXO N 1, se ilustra con el inventario de equipo asignado a un funcionario de este Tribunal, en el que se incluye el Software que requiere licencia y el que no requiere esa licencia. 2.3 Sobre las Prohibiciones y otras disposiciones, establecidas en el artículo 8, Capítulo II, de este Reglamento. El artículo octavo del mismo cuerpo normativo, señala: [ ] Queda totalmente prohibido la instalación de programas de cómputo que no cuenten con la respectiva licencia de uso legal en ninguna oficina del Gobierno Central e instituciones adscritas. Los programas solamente podrán ser instalados por el experto en informática autorizado o por quien este determine para el buen desempeño de las funciones designadas [ ]. Con respecto a este punto, se le solicitó al señor Ronald Vargas Bermúdez, Analista de Sistemas, que indicara si todos los programas de cómputo que se encuentran instalados en este Tribunal, están respaldados con la licencia de 9

10 uso legal. Además, que indicara el nombre de la persona que los instaló, es por eso que mediante el oficio DA-TIC , detalló lo siguiente: [ ] En cuanto a este punto todo el software con que cuenta el Tribunal esta con licencia de uso legal y además la instalación de nuevo software o la actualización de los ya existentes son realizadas por el analista de sistemas informáticos de la institución tal y como se definió en el Manual de Seguridad Informática de la institución en el punto La persona que realizó la instalación de los programas en los equipos del Tribunal fue el señor Álvaro González de la empresa Integracom en el año 2009, esto por motivos de que el Tribunal no contaba con un especialista informático sino con un contrato de mantenimiento preventivo y correctivo de la plataforma tecnológica [ ]. Es criterio de esta Auditoría, y con base en la verificación de documentos, que se determinó que el software del Tribunal Registral, se encuentra instalado conforme los lineamientos establecidos en esa materia y el Decreto Ejecutivo No JP. 2.4 Sobre las solicitudes de compra de Equipo de Cómputo, señaladas en el artículo 9, Capítulo II, del Reglamento en mención. En lo que interesa, el artículo noveno indica: [ ] En la etapa de evaluación para la contratación, todas las solicitudes de compra para programas de cómputo, que realicen los diferentes Ministerios e Instituciones adscritas al Gobierno Central, deberán ser consultadas con el experto en informática que se tenga designado en cada institución [ ]. En atención al punto señalado anteriormente, según lo establecido en el Reglamento en cita, informó el señor Vargas Bermúdez, que a partir del 7 enero de 2013 que se realizó la contratación del Analista de Sistemas del Tribunal Registral, todas las solicitudes de adquisición de hardware o de software son realizadas por ese funcionario, quien realiza el proceso de identificación de necesidades basado en la situación real de la institución y la plasma mediante una solicitud que envía al Director Administrativo quien es el encargado de analizar la solicitud y de realizar el proceso de contratación mediante el pliego de condiciones (Cartel). Una vez que los proveedores que participaron en la contratación presentan sus propuestas son analizadas por el analista de sistemas para ejecutar el análisis técnico y de esta forma realiza una recomendación con base a una seria de aspectos definidos en el cartel como precio, experiencia, entre otros para adjudicar la compra del hardware o software. 10

11 En ese sentido es criterio de esta Auditoría, que el Tribunal en este tema, es conocedor de las obligaciones, por ende las ejecuta conforme la normativa establecida, y el Analista de Sistemas cumple a cabalidad con sus obligaciones. 2.5 Sobre el cumplimiento del experto en Informática, los efectos de las adquisiciones y la utilización de programas de computo, según las disposiciones, señaladas en el artículo 10, Capítulo II, del Reglamento. En el artículo décimo, se establece lo siguiente: [ ] Para los efectos de las adquisiciones y la utilización de programas de cómputo de acuerdo con las disposiciones de este Decreto, el experto en informática (Jefe Informática o quién este designe) de cada Ministerio o Institución adscrita al Gobierno Central deberá cumplir con las siguientes reglas: a. Establecer y mantener una política comprensiva de manejo de programas de cómputo y un sistema efectivo, para garantizar la adquisición y uso adecuado de todos los programas de cómputo. b. Establecer medidas para evaluar el cumplimiento del respectivo Ministerio o Institución adscrita al Gobierno Central, de las disposiciones en materia de derechos de autor, en lo concerniente a la adquisición y uso de programas de cómputo, de conformidad con las disposiciones de este Decreto. [ ] e. Para cada equipo deberá llevar un expediente u hoja de vida donde conste el funcionario responsable que autoriza la instalación, fecha de instalación y la persona responsable de hacer la instalación. Esta información deberá constar en el sistema indicado en el artículo 2 [ ]. En atención al inciso a) y b) citados anteriormente, el Área de Informática, reveló mediante el oficio DA-TIC , suscrito por el señor Ronald Vargas Bermúdez, que el documento denominado Marco de Políticas de Seguridad informática señala las políticas 7.18 y 7.19, mismas que el Tribunal Registral Administrativo utilizará para el manejo de programas de cómputo, y seguidamente se transcriben: [ ] INSTALACIÓN Y ACTUALIZACIÓN DE SOFTWARE EN LAS COMPUTADORAS (PSI-TIC-18) a) El analista de sistemas es el único autorizado para instalar, actualizar y desinstalar software y programas en los equipos del Tribunal Registral Administrativo, para lo cual se tomarán en cuenta las mejores prácticas y reglas internacionales de seguridad informática. El objetivo es proteger la integridad del software, la información y la plataforma tecnológica contra software malicioso y programas no autorizados. 11

12 b) Queda totalmente prohibido la instalación de programas de cómputo que no cuenten con la respectiva licencia de uso legal. c) En caso que el analista de sistemas determine que existe un software instalado en una computadora sin su respectiva autorización y que el mismo no cuenta con licencia el analista de sistemas procede inmediatamente a desinstalar dicho programa de cómputo e informar al jefe inmediato de la situación presentada. d) En el caso de software gratuito, solo podrá bajarse e instalarse para la realización de pruebas por parte del analista de sistemas. Una vez que el software cumpla con las necesidades del usuario y el analista de sistemas se asegure que el software es gratuito a nivel empresarial podrá instalar dicho programa en la computadora del usuario. Si el analista de sistemas identifica que el software no es gratuito a nivel institucional procederá a realizar una investigación si existe otro software con características similares que sea realmente gratuito para la instalación; si no existe dicho software el analista de sistemas realizará la solicitud de compra del software solicitado por el usuario. El analista determinara si dicho software se puede adquirir con licencia de Gobierno y de esta forma se pueda determinar si otros usuarios requieren el software y con esto se pueda realizar la compra no solo de una licencia de software sino de las que la institución necesite. e) La actualización de versiones de software por medio de la Internet no está permitido; solo las actualizaciones normales que realiza Microsoft por su sistema automático, u otras que el analista de sistemas de la aprobación. f) El analista de sistemas será el responsable de realizar revisiones periódicas para asegurar que sólo el software con licencia que posea la institución esté instalado en las computadoras de la institución. g) Toda instalación de software sea nueva o actualización debe satisfacer una necesidad de sistema para potenciar la acción de los procesos que desarrolla el Tribunal. h) Que a pesar de ser gratuito se valorará la vigencia de dicha herramienta para determinar su vida útil o posibles actualizaciones que se den en el futuro. i) Verificar el detalle de la propiedad intelectual de toda forma que sea software libre y gratuito. j) El analista de sistemas realizará una gestión de cada proceso instalación y actualización en cada equipo con el objetivo de tener un control de cada licencia y que a la vez lo guarde en un lugar seguro protegido con llave para que no se pueda tener acceso a estos documentos fácilmente. k) El analista de sistemas velara por el cumplimiento del decreto denominado Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central con el objetivo de velar por el cumplimiento de cada licencia de software. 12

13 7.19 ADQUISICIÓN DE HADRWARE Y SOFTWARE (PSI-TIC-19) a) El analista de sistemas es el responsable de recomendar, asesorar y avalar lo relativo a la adquisición y distribución de licencias de software, equipos de seguridad, comunicaciones y otros dispositivos que compongan la plataforma tecnológica. El objetivo es garantizar que los diferentes puestos de trabajo cuenten con la tecnología apropiada para la realización de sus funciones, en un ambiente de seguridad controlada. b) Queda totalmente prohibido la instalación de programas de cómputo que no cuenten con la respectiva licencia de uso legal. c) Toda adquisición de hardware y software debe satisfacer una necesidad de potenciar la acción de los procesos que desarrolla el Tribunal y además debe ser consultada al analista de sistemas del Tribunal. El analista realizará un informe de la necesidad de adquisición de hardware y software y justificará cada compra ante el Director Administrativo para garantizar la compra y a la vez que se le a dar un uso adecuado al equipo o al programa de cómputo. d) El analista de sistemas realizará auditorias informáticas cada 2 meses para garantizar que ningún funcionario tiene instalado un programa de cómputo sin su respectiva autorización y de esta forma evaluar el cumplimiento del Tribunal del decreto e) El analista de sistemas para cada equipo llevara un expediente u hoja de vida donde conste el funcionario responsable que autoriza la instalación, fecha de instalación y la persona responsable de hacer la instalación. f) El analista de sistemas velara porque cada compra que se adquiera a un contratista ó proveedor del Gobierno Central a cumplir con las normas sobre derechos de autor, a adquirir y utilizar programas de cómputo con sus respectivas licencias de uso. g) El órgano Colegiado y el Director Administrativo, con la asesoría del analista de sistemas, asignará la prioridad a la adquisición de hardware y software así como de proyectos y esfuerzos a realizar en materia tecnológica. El objetivo es garantizar que el Tribunal Registral Administrativo destine de manera adecuada los recursos tecnológicos necesarios para el cumplimiento de los objetivos institucionales. h) Toda compra de programas de cómputo (software) debe asegurar que el programa cumpla con las necesidades de la institución así como la cantidad de licencias que se requiere, esto para que se dé el problema que solo se compra para un usuario cuando realmente la necesidad era para tres usuarios. i) El analista de sistemas realizará una gestión de cada proceso de compra tanto de hardware como de software con el objetivo de tener un control de cada licencia y de cada equipo y que a la vez lo guarde en un lugar seguro protegido con llave para que no se pueda tener acceso a estos documentos fácilmente. j) El analista de sistemas velara por el cumplimiento del decreto denominado Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central con el objetivo de velar por el cumplimiento de cada licencia de software [ ] 13

14 Es criterio de esta Auditoría, que en el Marco de Políticas de Seguridad Informática se debe modificar el inciso d), de la Política N 7.19, ya que según lo expuesto por el Analista de Sistemas, en el oficio DA-TIC , aclaró que ese punto no es correcto ya que la labor que se realiza no es una Auditoría de Sistemas, sino una revisión de programas instalados en el equipo de computo, que se actualiza en un archivo de Excel para efectos de control, y no se genera ningún informe de Auditoría oficial que fiscalice ese procedimiento. Por último, en atención a lo establecido en la normativa mencionada, en el inciso e), es necesario informar que el expediente u hoja de vida para el computador ya se implementó en este Tribunal, incluso se estableció un control para cada equipo de cómputo denominado Ficha Técnica de Equipo de Cómputo (VER ANEXO N 2), que contiene información referente a los siguientes temas: Hardware Software Conectividad Mantenimiento Es preciso señalar que la Dirección Administrativa y el Área de Informática, está realizando este control desde diciembre de 2013, aunque se verificó que falta completar todos los formularios de CONECTIVIDAD y MANTENIMIENTO por lo que el Analista de Sistemas indicó verbalmente que los mismos se estarían completando en aproximadamente dos meses, es por eso que esta Auditoria estará vigilante en el seguimiento de lo señalado. 2.6 Sobre la elaboración de manuales para el uso e instalación de programas de ordenador y el entrenamiento para los funcionarios de la institución, según las disposiciones, señaladas en el artículo 11, Capítulo II, del Reglamento. En lo que se refiere el artículo undécimo del reglamento, señala lo siguiente: Cada Ministerio o Institución adscrita al Gobierno Central, elaborará manuales para el uso e instalación de programas de ordenador y velarán por el entrenamiento de todos los funcionarios de su dependencia, de acuerdo con las necesidades y el uso legal de los programas de cómputo, incluyendo la expedición de notas de advertencia, el establecimiento y la aplicación de medidas disciplinarias por incumplimiento de las disposiciones del presente Decreto. En atención a lo dispuesto en el artículo mencionado, se verificó que el Tribunal Registral no contaba con el Manual para el uso e instalación de programas de software, según informó el señor Ronald Vargas Bermúdez, sin embargo, es 14

15 pertinente indicar que la Dirección Administrativa a solicitud de la Auditoría Interna elaboró el Manual de Uso e Instalación de Programas de Cómputo mismo que rige a partir de abril del 2014 y se aplicará en lo que corresponda, adjunto se encuentra el formulario denominado TRA-TIC-20 FORMULARIO DE SOLICITUD DEL PROGRAMA DE CÓMPUTO en cumplimiento del artículo mencionado del comentado reglamento. (VER ANEXO N 3) 2.7 Software de Código Abierto El software de código abierto es el software cuyo código fuente y otros derechos que normalmente son exclusivos para quienes poseen los derechos de autor, son publicados bajo una licencia de software compatible y forman parte del dominio público. Esto permite a los usuarios utilizar, cambiar, mejorar el software y redistribuirlo, ya sea en su forma modificada o en su forma original. Al respecto el artículo 14, del Decreto en cita, señala: [ ] Los Ministerios e Instituciones adscritas al Gobierno Central, en los casos que sea posible, podrán utilizar software de código abierto en sus diferentes aplicaciones, como una alternativa útil; garantizando el respeto a los Derechos de la Propiedad Intelectual[ ]. En lo que se refiere a este tema, informó el Analista de Sistemas, que en este Tribunal no existen Software a Código Abierto, por tratarse de herramientas con nivel de confiabilidad relativamente bajo. Por lo citado anteriormente, el Decreto N JP recuerda la importancia implícita que tienen las Instituciones que utilicen software de código abierto, ya que deben de garantizar la protección a los derechos de la propiedad intelectual, mediante un control que se elabore para este fin. 2.8 Seguimiento a los puntos señalados en la Matriz de identificación de Riesgos del Área informática. En atención a lo señalado por la Dirección Administrativa, con respecto a la Matriz de de Riesgos, mediante el oficio DA-TIC , indicó lo siguiente: [ ] En este punto ya se tiene planificado realizar la redacción de un documento en donde se hable de la cartera de servicios del TRA donde se contemple los servicios, clasificación, identificación y evaluación de los riesgos informáticos, así como el plan de continuidad de cada servicio [ ]. 15

16 Es por eso, que mediante el oficio DA-TIC , el señor Ronald Vargas Bermúdez, indicó que el documento en cita se encontrará terminado para el 30 de mayo del 2014, por lo que esta Auditoría se encargará de dar seguimiento a la oficialización y cumplimiento del documento mencionado. También, se comentó en el oficio DA-TIC sobre la evaluación del Contrato para el Mantenimiento Preventivo y Correctivo de los Sistemas y Plataforma Tecnológica, suscrito entre el Tribunal Registral Administrativo y Datasoft SRL, que en lo que interesa, se transcribe: [ ] Por otra parte, se ha empezado a realizar una evaluación de los diferentes contratos en tecnologías de información bajo un enfoque técnico y no solamente administrativo, con el objetivo también de administrar el riesgo en las tareas de outsorsing de los diferentes contratos, a saber: Contrato de Mantenimiento de UPS, Contrato de Mantenimiento de la Plataforma Tecnológica, Contrato de Servicio de Resguardo y Respaldo de Información, Contrato del Mantenimiento Preventivo y Correctivo del Sistema Integrado de Recursos Humanos. Es preciso señalar, que en atención a lo destacado en el párrafo anterior, se verificó el Informe de Evaluación del Contrato de Mantenimiento Preventivo y Correctivo de la Plataforma Tecnológica y sus recomendaciones, mismas que fueron efectuadas por el señor Ronald Vargas, entre ellas, la que se refiere a la cláusula OCTAVA del Contrato para el Mantenimiento Preventivo y Correctivo de los Sistemas y Plataforma Tecnológica, que revela lo siguiente: [ ] OCTAVA: En caso de sustitución de alguna de las personas que fueron señaladas en la oferta, los atestados del sustituto deben someterse a consideración del Órgano Fiscalizador del Contrato para determinar si procede su sustitución, en caso de que no proceda deberá proponer a otro funcionario. En todo caso, el sustituto debe tener igual o superior calificación académica y de experiencia. Al presentarse una sustitución, la Contratista asumirá el tiempo requerido y la capacitación necesaria para el aprendizaje del sistema e integración a su equipo, por lo que no será un factor para aprobar prórrogas al plazo del presente contrato [ ]. Por lo citado anteriormente, luego de la verificación, se determinó que en el expediente de la Contratación u otros archivos, no se encontraron los documentos que respaldan el cumplimiento de la Dirección Administrativa en cuanto a la cláusula OCTAVA del contrato, por lo que se solicitó a la Dirección Administrativa mediante el oficio N AI que informara lo siguiente: [ ] 1. Indicar las personas que han laborado en este Tribunal en el Área de Soporte Técnico, contratadas por Data Soft SRL, a partir de la vigencia del contrato en mención 16

17 2. Suministrar los atestados de cada uno de ellos, como lo indica la cláusula octava e indicar donde se encuentran archivados, ya que no se localizan en el expediente respectivo. 3. Indicar quién es la persona encargada en este Tribunal, de verificar la veracidad de los atestados, así como su confrontación con los certificados originales [ ]. En lo que interesa, se recibió el oficio N DA , suscrito por el señor Luis Gustavo Socatelli Porras, que señala lo siguiente: [ ] a las personas que han laborado en este Tribunal en área de soporte técnico por parte de la empresa Datasoft S.A., son los siguientes: 1. Gabriel Abarca 2. William Montenegro 3. Braulio Morera 4. Gabriel Alfaro 5. César Pavón 6. Ronald Campos [ ] c. Sobre la revisión confrontación de los títulos de los servidores, esta práctica no se ha tenido anteriormente. Sin embargo, con la entrada del nombramiento del Analista de Sistemas en enero del 21013, se ha dado un proceso de reordenamiento, documentación de la gestión informática, por lo cual será este servidor el encargado de realizar dicha revisión, toda vez que está encargado de realizar el seguimiento del contrato del Servicio de Mantenimiento Preventivo y Correctivo de la Plataforma Tecnológica, tal y como consta en la reciente evaluación del dicho proyecto [ ]. Valga indicar, que esta es una parte de las potestades que tiene el contrato y del cual el Tribunal hace uso en caso de ser necesario, según la evaluación y desempeño que se tenga del representante de la empresa [ ] Con el objetivo de verificar este apartado, primero se debe tener claro el concepto de cláusulas en un contrato, ya que las cláusulas son las disposiciones de un contrato, tratado, testamento o cualquier otro documento análogo, público o privado. Siendo las cláusulas parte integrante del acto jurídico de que se trate, a ellas alcanzan sus efectos y la obligatoriedad relativa al acto. No obstante lo anterior, se demostró que la Dirección Administrativa no ha establecido un sistema de control para el cumplimiento de la octava cláusula, ya que según la información examinada, solo se recibe el currículo y algunos certificados vía correo electrónico, no hay revisión de certificados académicos, por ende no se confrontan y tampoco se cumple con lo estipulado en el contrato con respecto a la sustitución del personal de soporte técnico de Datasoft, que señala que el sustituto debe tener igual o superior calificación académica y de experiencia. 17

18 Entre los documentos aportados por los empleados de Datasoft, de visualizaron los siguientes: Gabriel abarca: Curriculum vitae, once certificados de capacitación y no presentó atestados académicos. William Montenegro Salazar: Curriculum vitae, no presentó certificados de capacitación ni atestados académicos. Braulio Morera Murillo: Curriculum vitae, presentó únicamente cinco certificados de capacitación. Gabriel Alfaro Corella: Curriculum vitae, presentó un certificado de capacitación y el bachillerato en Ingeniería de Sistemas. César Alberto Pavón García: Curriculum vitae, no presentó ningún certificado. Ronald Campos: Curriculum vitae, no presentó ningún certificado. Es criterio de esta Auditoría, que la verificación de atestados académicos y otros es fundamental, ya que si existe el Contrato de Mantenimiento Preventivo se debe velar por que la asistencia de soporte técnico que recibe en este Tribunal, se ejecute con personal capacitado y experiencia suficiente, según lo establecido. En cuanto a lo destacado por la Dirección Administrativa, con respecto a las potestades que tiene el contrato, el mismo es muy puntual, y no es interpretativo, ya que señala: En caso de sustitución de alguna de las personas que fueron señaladas en la oferta, los atestados del sustituto deben someterse a consideración del Órgano Fiscalizador del Contrato para determinar si procede su sustitución, la cláusula es clara y no se indica que se valore después de contratada la persona, sino antes de iniciar, tomando en cuenta sus atestados académicos y su experiencia. En lo que se refiere al Contrato para el Mantenimiento Preventivo y correctivo del Equipo UPS entre el Tribunal Registral y Electrotécnica S.A., suscrito el 16 de abril del 2012, es oportuno señalar la cláusula TERCERA: Del Mantenimiento, que señala lo siguiente: [ ] El Mantenimiento comprenderá: a. Realizar una visita bimestral en la primera semana, para lo cual deberá considerar lo siguiente: Revisión del estado de la operación del equipo. Resocar la instalación, una vez al año. Medición de tensiones de entrada y salida. Medición de corrientes de entrada y salida. Verificación del cargador de baterías mediante los indicadores del equipo. 18

19 Inspección visual del banco de baterías, según sea aplicable, si existiera algún tipo de corrosión, estado de los bornes, temperatura del banco, cantidad de baterías, último cambio de baterías. Revisión de indicadores externos, abanicos, medidores, luces. Toma de temperaturas, extractores, ambiente, baterías, alimentadores o cables. Realizar una limpieza general del equipo [ ]. Aunado a lo anterior el señor Ronald Vargas Bermúdez, elaboró el Informe de Evaluación Contrato UPS, en el que recomendó lo siguiente: [ ] Se debe solicitar a la empresa realizar la tarea de revisar la instalación eléctrica una vez al año; ya que durante el año 2013 no se realizó dicha tarea y en el año 2014 está pendiente realizar [ ] Así mismo, el señor Luis Socatelli Porras, mediante el oficio DA , con fecha 14 de marzo del presente año, en atención a la recomendación emitida por el señor Vargas Bermúdez, solicitó a la empresa ELECTROTECNICA S.A. lo siguiente: [ ] de conformidad con las recomendaciones emitidas por el Ing. Ronald Vargas Bermúdez Analista del Tribunal Registral Administrativo, se le solicita coordinar con nuestro servidor para: a. Revisar la instalación eléctrica una vez al año, a efecto de determinar posibles picos de electricidad que se detectan en las mediciones de la UPS [ ]. Lo anterior, en atención a la cláusula TERCERA, que menciona Resocar la instalación, una vez al año, sin embargo, la palabra RESOCAR no existe, incluso se buscó en la Real Academia Española que indica: La palabra resocar no está registrada en el Diccionario, por lo que es imposible para esta Auditoria, verificar el cumplimiento, aunque en el reporte de la empresa N , en el periodo correspondiente a julio del 2013, se indica que en el Tribunal continúan los picos de corriente a la salida del UPS. No obstante, según lo señalado en el informe de evaluación de Contrato de UPS y la solicitud que realizó la Dirección Administrativa, coinciden en cuanto a la necesidad de revisar la instalación eléctrica una vez al año. Es criterio de esta Auditoria, que en el contrato se deben incluir palabras que tengan su significado en el contexto que las origina, para que las disposiciones no sean sujetas a interpretación y se permita cumplir con lo establecido en cada una de las disposiciones del contrato. 19

20 Para concluir este apartado, es importante destacar que con respecto a los Contratos de Servicio de Resguardo y Respaldo de Información, Contrato del Mantenimiento Preventivo y Correctivo del Sistema Integrado de Recursos Humanos, informó el señor Ronald Vargas Bermúdez, que las evaluaciones no se han efectuado, aunque comunicó que las mismas se estarán realizando entre los meses de junio y julio del presente año. Con el objetivo de verificar el cumplimiento del comentario del párrafo anterior, esta Auditoría estará monitoreado oportunamente su observancia y cumplimiento oportuno, según las fechas establecidas. Para lo que corresponda, se le recuerda al Tribunal, que las Normas técnicas para la Gestión y el Control de las Tecnologías de Información (N CO-DFOE), Aprobadas mediante Resolución del Despacho de la Contralora General de la República, No. R-CO del 7 de junio, 2007, Publicada en La Gaceta No.119 del 21 de junio, 2007, en la Norma N 5.1, señalan la competencia de la Auditoría Interna en esa materia: [ ] 5.1 Participación de la Auditoría Interna: La actividad de la Auditoría Interna respecto de la gestión de las TI debe orientarse a coadyuvar, de conformidad con sus competencias, a que el control interno en TI de la organización proporcione una garantía razonable del cumplimiento de los objetivos en esa materia [ ]. 2.9 Sobre la limpieza de los Equipos de cómputo. Con el objetivo de verificar el mantenimiento general preventivo que ofrece el Área de Informática de este Tribunal, a todo EL Equipo de Cómputo, se determinó que esa labor es documentada a partir de agosto del 2013, antes de esa fecha aunque la actividad se realizaba no se generó ningún reporte, según manifestó el señor Ronald Vargas Bermúdez. De conformidad con lo examinado, se encontraron algunas deficiencias en los registros correspondientes a la limpieza de las computadoras, según el detalle siguiente: 20

21 Mes / año Encargado Observaciones Agosto, 2013 Setiembre, 2013 Octubre, 2013 Noviembre, 2013 Enero, 2014 Febrero, 2014 Gabriel Alfaro Gabriel Alfaro NO INDICA NO INDICA NO INDICA NO INDICA Algunos funcionarios no firmaron el espacio que hace constar que el equipo fue sujeto a limpieza. Se determinó que las fechas de las páginas de un mismo formulario son distintas, y se encuentran con tachones. El formulario utilizado contiene tachones y el espacio para que firmen los funcionarios, en varias ocasiones se encuentra sin firmar. El espacio para firma del funcionario, solo indica listo o pendiente. Además, algunos espacios correspondientes al punto de red se encuentran vacíos. NOTA: La limpieza se realizó en el formulario de inventario de equipo NOTA: La limpieza se realizó en el formulario de inventario de equipo El espacio para firma del funcionario, solo indica listo, el espacio para el estado de limpieza, indica listo o pendiente. En términos generales, y por los resultados expuestos, se demuestra que la Dirección Administrativa no ha supervisado en su totalidad la labor realizada por el Área de Informática, específicamente la información señalada en este apartado, ya que los formularios utilizados para la limpieza de las computadoras fueron cambiados cada mes, y no existe ninguna instrucción para que se unifique ese procedimiento, sin embargo, según manifestó el señor Vargas Bermúdez, actualmente se elaboró un formulario que será utilizado a partir del mes de mayo del Por lo citado anteriormente, es criterio de esta Auditoría, que en este caso, la mínima supervisión ha debilitado el control interno, lo que no ha permitido el íntegro cumplimiento a la normativa emitida por la Contraloría General de la República, como es la norma del documento denominado Normas de Control Interno para el Sector Público (N CO-DFOE), que señala: [ ] Supervisión constante: El jerarca y los titulares subordinados, según sus competencias, deben ejercer una supervisión constante sobre el desarrollo de la gestión institucional y la observancia de las regulaciones atinentes al SCI, así como emprender las acciones necesarias para la consecución de los objetivos [ ] Además, de la Norma Formularios uniformes, que señala: 21

22 [ ] El jerarca y los titulares subordinados, según sus competencias, deben disponer lo pertinente para la emisión, la administración, el uso y la custodia, por los medios atinentes, de formularios uniformes para la documentación, el procesamiento y el registro de las transacciones que se afecten en la institución. Asimismo, deben prever las seguridades para garantizar razonablemente el uso correcto de tales formularios [ ]. 22

23 3. CONCLUSIONES De conformidad con los resultados expuestos se concluye que: 1- En cuanto a las obligaciones que tiene el Tribunal Registral Administrativo, para el cumplimiento de Decreto Ejecutivo 37549, se designó al señor Luis Socatelli Porras, Director Administrativo, es por eso que se verificaron las funciones que le corresponde ejecutar al respecto, obteniendo un resultado satisfactorio, por lo que se hace constar que el Tribunal cumple con la protección de los Derechos de Autor relativos a los Programas de Cómputo. 2- Se verificó, que este Tribunal Registral no mantenía registros separados de inventarios de software con licencia y sin licencia, razón por la cual no existen inventarios con fecha anterior a la solicitud, únicamente el informe realizado en setiembre 2013, y la información no es exactamente la solicitada en el Decreto Ejecutivo N JP. 3- Se determinó mediante la fiscalización efectuada que el software del Tribunal Registral, se encuentra instalado conforme los lineamientos establecidos en esa materia y el Decreto Ejecutivo No JP. 4- En la revisión efectuada se determinó que el documento denominado Marco de Políticas de Seguridad Informática, específicamente el apartado 7.20: Adquisición de Hardware y software (PSI-TIC-19), inciso d), la labor que se realiza no es una Auditoría de Sistemas, sino una revisión de programas instalados en el equipo de computo, que se actualiza en un archivo de Excel para efectos de control. 5- Se concluye que con respecto al expediente u hoja de vida de cada computadora propiedad del Tribunal, se ha demostrado que a partir de diciembre 2013 se implementó la Ficha Técnica de Equipo de Computo, que consta de cuatro componentes como son: Hardware, Software, Conectividad y Mantenimiento, aunque los últimos dos aún no se han utilizado, según informó el Área de informática, se encontraran completos en dos meses. 23

24 6- Se verificó mediante la Matriz de identificación de riesgos, que a la fecha no se ha elaborado el documento en el cual se informe al usuario final, sobre los servicios del Tribunal Registral Administrativo, donde se contemple los servicios, clasificación, identificación y evaluación de los riesgos informáticos, así como el plan de continuidad de cada servicio. 7- En la verificación del cumplimiento del Contrato para el Mantenimiento Preventivo y Correctivo de los Sistemas y Plataforma Tecnológica, se demostró la inobservancia de la Dirección Administrativa en la aplicación de la OCTAVA CLÁUSULA del contrato, ya que en caso de sustitución del recurso humano que brinda el soporte técnico a este Tribunal, se deben revisar los atestados, y de acuerdo con los documentos aportados, el procedimiento no se realizó, además, se incumple con el requisito que indica que el sustituto debe tener igual o superior calificación académica y de experiencia. 8- En el examen practicado al Contrato para el Mantenimiento Preventivo y correctivo del Equipo UPS entre el Tribunal Registral y Electrotécnica S.A., se concluye que no fue posible determinar el cumplimiento o incumplimiento de la cláusula TERCERA: Del Mantenimiento, específicamente el inciso que señala lo siguiente: [ ] Resocar la instalación, una vez al año [ ] ya que el término utilizado no existe. 9- Se evidenció que la evaluación del los Contratos de Servicio de Resguardo y Respaldo de Información, Contrato del Mantenimiento Preventivo y Correctivo del Sistema Integrado de Recursos Humanos, no se han efectuado, aunque comunicó el Área de Informática que las mismas se estarán realizando entre el mes de junio y julio del presente año. 10- Se observó que los controles y registros utilizados para la limpieza general del equipo de cómputo, no se ajustan a lo establecido en las Normas de Control Interno para el Sector Público (N CO- DFOE ), emitido por la Contraloría General de la República, específicamente en referencia a la Norma Uniformidad de los formularios que se utilicen para esos efectos, y la Norma 4.5.1, sobre la supervisión constante. 24

25 4.- RECOMENDACIONES En razón de las situaciones señaladas por esta Auditoría en el presente estudio, con la finalidad de que las mismas sean consideradas, y teniendo en cuenta lo que señala el artículo 22 de la Ley General de Control Interno, se emiten las siguientes recomendaciones: AL Tribunal Registral Administrativo 4.1 Girar instrucciones a la Dirección Administrativa, para que se realicen inventarios periódicos generales, del equipo de cómputo, el software con licencia y no licenciados, con el objetivo de mantener actualizados los registros e informar oportunamente sobre el equipo tecnológico que es propiedad de este Tribunal. (Ver conclusión N 2) 4.2 Girar instrucciones a la Dirección Administrativa para que modifique el documento denominado Marco de Políticas de Seguridad Informática, específicamente el apartado 7.20: Adquisición de Hardware y software (PSI-TIC-19), inciso d), e indique que la tarea que se realiza es una revisión de programas instalados en el equipo de computo, que se actualiza en un archivo de Excel para efectos de control. (Ver conclusión N 4) 4.3 Girar instrucciones a la Dirección Administrativa, para que el expediente de cada computadora se actualice en un plazo de dos meses, incluyendo los formularios de Conectividad y Mantenimiento, según el plazo que indicó el Analista de Sistemas de este Tribunal. (Ver conclusión N 5) 4.4 Girar instrucciones a la Dirección Administrativa, para que el documento en el cual se informe al usuario final, el sobre los servicios del Tribunal Registral Administrativo, contenga los servicios, clasificación, identificación y evaluación de los riesgos informáticos, así como el plan de continuidad de cada servicio, y que el mismo se oficialice para el 30 de mayo del 2014, mismo plazo que indicó la Dirección Administrativa a esta Auditoría Interna. Además, es preciso que en la elaboración de ese documento se tome en cuenta las Normas técnicas para la gestión y el control de las Tecnologías de Información (N CO-DFOE), Aprobadas mediante Resolución del Despacho de la Contralora General de la República, N. R-CO del 7 de junio, 2007, Publicada en La Gaceta Nro.119 del 21 de junio, 2007, específicamente la Norma N 1.5, Gestión de Proyectos, que señala: [ ] La organización debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los 25

26 términos de calidad, tiempo y presupuesto óptimos preestablecidos [ ]. (Ver conclusión N 6) 4.5 Girar instrucciones a la Dirección Administrativa, para que de inmediato se establezca el procedimiento necesario para cumplir a cabalidad con la Cláusula Octava del Contrato para el Mantenimiento Preventivo y Correctivo de los Sistemas y Plataforma Tecnológica, incluyendo la revisión de atestados académicos y certificados de capacitación en la materia, así como la experiencia laboral. (Ver conclusión N 7) 4.6 Que se emitan las instrucciones que correspondan en un plazo de treinta días, a las instancias que intervienen en la elaboración de los contratos, con el objetivo de minimizar las posibilidades de interpretar alguna cláusula, como lo ocurrido en contrato entre el Tribunal Registral y Electrotécnica S.A., que no fue posible fiscalizar el inciso d), de la cláusula TERCERA por incluir un término que presuntamente no existe, según la materia en análisis. (Ver conclusión N 8) 4.7 Girar instrucciones a la Dirección Administrativa, para que en un plazo de tres meses, se realicen las evaluaciones respectivas a los Contratos de Servicio de Resguardo y Respaldo de Información, Contrato del Mantenimiento Preventivo y Correctivo del Sistema Integrado de Recursos Humanos, de conformidad con la Matriz de identificación de Riesgos. (Ver conclusión N 9) 4.8 Girar instrucciones a la Dirección Administrativa, para que de inmediato revise el documento elaborado por el Analista de Sistemas, mismo que se utilizara a partir de mayo del 2014, para registrar el proceso de la limpieza general del Equipo de Computo. (Ver conclusión N 10) 4.9 Informar en un plazo improrrogable de treinta días hábiles, posterior a recibir este informe, de acuerdo con lo que establece el artículo 37 de la Ley General de Control Interno, las acciones ejecutadas en atención a las anteriores recomendaciones, aportando documentación que evidencie lo actuado al respecto, así como remitir un cronograma de actividades y personas designadas como responsables del cumplimiento de las mismas. Todo lo anterior de acuerdo con lo dispuesto en los artículos 17 inciso c), y 37 de la Ley General de Control Interno. 26

27 27

28 Anexo N 1 INVENTARIO DEL SOFTWARE CON LICENCIA Y EL QUE NO REQUIERE LICENCIA (Solo se incluye un ejemplo al azar, el total se localiza en el legajo de los papeles de trabajo) (Consta de tres páginas) 1. Damaris Mora Vargas Equipo Portátil Patrimonio 773 SOFTWARE LICENCIADO Programa Descripción Fecha de Instalación microsoft office small business 2007 Interactuar con sistemas externos de otras aplicaciones Sirve para crear cd de datos, dvd de datos, hacer copias de otros CD ó DVD. 09/05/ /11/2010 Roxio Creator DE 10.3 Symantec Endpoint Protection Antivirus 22/04/2013 Windows 7 PRO Sistema Operativo. 16/12/2010 SOFTWARE NO REQUIERE LICENCIA Programa Descripción Fecha de Instalación Archivador de código abierto con 09/08/ zip 9.20 una alta relación de compresión. AccelerometerP11 Driver de PC. 13/11/2010 Visualizador de páginas WEB 12/03/2014 Adobe Flash Player 12 creadas en flash. Visualizador de archivos en 12/03/2014 Adobe Reader Español formato PDF. athena ASEDrive Firma digital. 22/04/2013 broadcom netxtreme-i netlink Drive de PC. 13/11/2010 driver and management installer CET.NET Light Software de control de marcas 23/04/2013 cisco eap fast module Protocolo de seguridad de Cisco. 13/11/2010 cisco leap module Protocolo de seguridad de Cisco. 13/11/2010 cisco PEAP module Protocolo de seguridad de Cisco. 13/11/2010 Permite a los ordenadores para 22/04/2013 conectarse a una red privada cisco systems vpn client complemento guardar como pdf o XP office 2007 virtual. Permite exportar y guardar en los formatos PDF y XPS en ocho programas de Microsoft Office 23/04/

29 2007. firmador de Firma digital. 07/05/2013 documentos CRC Setup Software de Tesorería Nacional 24/04/2013 crystal reports basic runtime for Visualizar aplicaciones 23/04/2013 visual studio 2008 desarrolladas en visual. dell controlpoint security manager Driver de red. 13/11/2010 dell security device driver pack Driver de PC 13/11/2010 Dell System Manager Drive de PC. 13/11/2010 Dell Touchpad Driver touchpad. 07/05/2013 firma digital - analizador de Firma digital. 22/04/2013 bitácoras Google Crome Navegador de páginas WEB. 23/04/2013 herramienta de la tarjeta wlan de Driver 13/11/2010 dw id protect client Firma digital. 22/04/2013 Intel Graphics Media Accelerator Driver de video. 13/11/2010 Driver Realizar visitas virtuales y utilizar 24/04/2013 Java 7 Update 51 servicios como cursos en línea. Componente de software que 24/04/2013 puede ser o es incluido en los sistemas operativos Microsoft microsoft.net framework 1.1 Windows. Componente de software que 07/05/2013 puede ser o es incluido en los microsoft.net framework 4 client sistemas operativos Microsoft profile Windows. microsoft capicom sdk Firma digital. 22/04/2013 Visualizar aplicaciones 23/04/2013 microsoft sql server 2008 desarrolladas en visual. Visualizar aplicaciones 23/04/2013 microsoft sql server 2008 browser desarrolladas en visual. microsoft sql server 2008 native Firma digital. 23/04/2013 client microsoft sql server setup support Visualizar aplicaciones 23/04/2013 files desarrolladas en visual. Visualizar aplicaciones 23/04/2013 microsoft sql server VSS Writer desarrolladas en visual. microsoft visual c Visualizar aplicaciones 13/11/2010 redistributable - x desarrolladas en visual. microsoft visual c Visualizar aplicaciones 09/05/2013 redistributable - x desarrolladas en visual. 29

30 microsoft visual c Visualizar aplicaciones 09/05/2013 redistributable - x desarrolladas en visual. Paquete de controladores de 13/11/2010 software para el escáner O2Micro o2micro oz776 scr driver OZ776 instalado. Componente de software que 07/05/2013 puede ser o es incluido en los paquete de idioma de microsoft net sistemas operativos Microsoft framework 4 client profile esn Windows. skype 6.11 Software de comunicación. 05/03/2014 widcomm bluetooth software Driver bluetooth. 13/11/2010 proporciona un conjunto de 09/05/2013 aplicaciones de escritorio para los windows essentials 2012 consumidores. XolidoSign V Firma digital. 22/04/

31 Anexo N 2 FICHA TÉCNICO DE EQUIPO DE CÓMPUTO (Solo se incluye un ejemplo al azar, el total se localiza en EL Legajo de los papeles de trabajo) (Consta de cuatro páginas) Ficha Técnica Equipo de Computo Nombre Usuario: Marta Ruiz Chacón Patrimonio: 635 Tipo de Computador: PC Portátil X Marca: Dell Modelo: Latitude E5500 Hardware Disco Duro: Fuente: Procesador: Memoria RAM Tarjeta Video: Tarjeta de Sonido: Unidad DVD 160 GB Adaptador de corriente de 90W Intel Core Duo 4 GB Integrada Intel GMA 4500 MHD Integrada Intel GMA 4500 MHD SI Software Programa Descripción Fecha de Instalación Sirve para crear cd de datos, dvd 18/11/2009 de datos, hacer copias de otros Roxio Creator DE 10.3 CD ó DVD. Symantec Endpoint Protection Antivirus. 05/03/2013 microsoft office small business Conjunto de software de 25/01/ administración de productividad. Windows 7 PRO Sistema Operativo. 18/11/ Zip 9.20 Adobe Flash Player 12 Adobe Reader XI All Day Battery Life Configuration Archivos auxiliares de Instalacion de Microsoft SQL athena ASEDrive Archivador de código abierto con 08/08/2013 una alta relación de compresión. Visualizador de páginas WEB 12/03/2014 creadas en flash. Visualizador de archivos en 13/11/2013 formato PDF. Driver PC. 18/11/2009 Software de categoría de 18/11/2009 Miscellaneous desarrollado por Microsoft. Firma digital 03/04/

32 broadcom netxtreme-i netlink driver and management installer business contact manager para outlook cisco eap fast module cisco leap module cisco PEAP module complemento guardar como pdf o XP office 2007 Compr@Red firmador de documentos dell controlpoint security manager dell controlpoint security manager dell security device driver pack Dell Touchpad dell wireless wlan card utility Escritor de VSS de microsoft SQL Server firma digital - analizador de bitácoras id protect client Intel Graphics Media Accelerator Driver Java 6 Update 14 Java 7 Update 51 MasterLex microsoft.net framework microsoft.net framework Driver PC. 18/11/2009 Conjunto de software de 18/11/2009 administración de productividad. Software protocolo de Cisco. 18/11/2009 Software protocolo de Cisco. 18/11/2009 Software protocolo de Cisco. 18/11/2009 Permite exportar y guardar en 03/04/2013 los formatos PDF y XPS en ocho programas de Microsoft Office Firma digital 03/04/2013 Driver PC. 18/11/2009 Driver PC. 18/11/2009 Driver PC. 18/11/2009 Driver PC. 18/11/2009 Driver PC. 18/11/2009 Permite a las aplicaciones para 18/11/2009 realizar copias de seguridad de volúmenes. Firma digital 03/04/2013 Firma digital 03/04/2013 Driver PC. 18/11/2009 Realizar visitas virtuales y utilizar servicios como cursos en línea. Realizar visitas virtuales y utilizar servicios como cursos en línea. Software para visualizar Jurisprudencia de Costa Rica. Componente de software que puede ser o es incluido en los sistemas operativos Microsoft Windows. Componente de software que puede ser o es incluido en los sistemas operativos Microsoft 18/11/ /04/ /02/ /02/ /02/

33 Windows. microsoft capicom sdk Microsoft office 2003 web Components microsoft office 2007 primary interop assemblies widcomm bluetooth software XolidoSign V microsoft sql server 2005 microsoft sql server native client microsoft visual c redistributable microsoft visual c redistributable - x MLx registro Mozilla Firefox msxml 4.0 sp2 Firma digital 03/04/2013 Conjunto de software de 18/11/2009 administración de productividad. Conjunto de software de 10/08/2012 administración de productividad. Driver PC. 18/11/2009 Firma digital. 03/04/2013 Visualizar aplicaciones 18/11/2009 desarrolladas en visual. Visualizar aplicaciones 18/11/2009 desarrolladas en visual. Visualizar aplicaciones 18/11/2009 desarrolladas en visual. Visualizar aplicaciones 18/11/2009 desarrolladas en visual. Software para visualizar 01/02/2012 Jurisprudencia de Costa Rica. Navegador de Páginas WEB. 11/03/2010 Actualizaciones de Windows. 21/02/2014 Conectividad IP de Internet: IP Proveedor Internet ISP Ancho de Banda Tipo de conexión: ADSL FIBRA OPTICA Cableado estructurado: Categoría Certif. A la vista Switch Marca # Puertos Red inalámbrica: Reuter # Puertos Impresora Marca Tipo Escáner Marca Resolución Otros 33

34 MANTENIMIENTO Mantenimiento Físico Fecha Labores realizadas Mantenimiento Software Fecha Labores realizadas Cambio de Partes Cambios a los programas 34

35 Anexo N 3 TRA-TIC-20 FORMULARIO DE SOLICITUD DEL PROGRAMA DE CÓMPUTO (Consta de una página) Formulario Solicitud de Programa de Cómputo (Software) TRA-TIC-20 Formulario de Solicitud de Programa de Cómputo Tribunal Registral Administrativo Fecha de solicitud: Nombre del solicitante: Departamento: Objetivo General de la solicitud Descripción: Firma Usuario Solicitante Firma Jefatura Inmediata 35