INFORME DE AUDITORÍA TI de noviembre de 2004 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información (Unidad

Transcripción

1 INFORME DE AUDITORÍA TI Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información () Período auditado: 8 de octubre de 2002 al 15 de mayo de 2003

2

3 Informe de Auditoría TI CONTENIDO Página INFORMACIÓN SOBRE LA UNIDAD AUDITADA...3 RESPONSABILIDAD DE LA GERENCIA...5 ALCANCE Y METODOLOGÍA...6 OPINIÓN...6 RECOMENDACIONES...7 A LA JUNTA DE DIRECTORES DE LA ASES...7 AL DIRECTOR EJECUTIVO DE LA ASES...7 CARTAS A LA GERENCIA...10 COMENTARIOS DE LA GERENCIA...11 AGRADECIMIENTO...11 RELACIÓN DETALLADA DE HALLAZGOS...12 CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO...12 HALLAZGOS EN LA DIRECTORÍA DE SISTEMAS DE INFORMACIÓN DE LA ADMINISTRACIÓN DE SEGUROS DE SALUD DE PUERTO RICO Microcomputadoras utilizadas para fines ajenos a la gestión pública y falta de controles para prevenir y detectar la instalación de programas no autorizados o la remoción de programas ya instalados Instalaciones, modificaciones y configuraciones realizadas a los servidores de la red sin documentar, y sistema operativo del servidor principal de la ASES que no tenía instalada la versión mínima requerida Deficiencias en el diseño y mantenimiento del Directorio de Servicios del Servidor del Principal de la ASES Deficiencias en el control de las cuentas de acceso y sus contraseñas para acceder la red de la ASES y la Internet Programas de utilidades para uso exclusivo del Administrador de la Red instalados en un directorio al cual podían acceder todos los usuarios de la ASES, incluyendo consultores y técnicos externos Funciones conflictivas realizadas por un Analista Programador...26

4 Informe de Auditoría TI Falta de controles y configuración inadecuada de un encaminador (router) que mantenía la comunicación entre la ASES y el Departamento de Salud Deficiencias relacionadas con la falta de controles sobre los equipos computadorizados Falta de un plan o de procedimientos escritos para detectar, controlar y corregir virus o códigos maliciosos en los sistemas de información de la ASES Falta de un Administrador para la base de datos...36 ANEJO 1 - MIEMBROS DE LA JUNTA DE DIRECTORES QUE ACTUARON DURANTE EL PERÍODO AUDITADO...38 ANEJO 2 - FUNCIONARIOS PRINCIPALES DEL NIVEL EJECUTIVO QUE ACTUARON DURANTE EL PERÍODO AUDITADO...39

5 Informe de Auditoría TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico A la Gobernadora y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Directoría de Sistemas de Información (DSI) de la Administración de Seguros de Salud de Puerto Rico (ASES) para determinar si se hicieron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Efectuamos la misma a base de la facultad que se nos confiere en la Sección 22 del Artículo III de la Constitución del Estado Libre Asociado de Puerto Rico y en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. Determinamos emitir varios informes de dicha auditoría. Este es el segundo informe y contiene el resultado de nuestro examen sobre los controles establecidos por la DSI sobre las microcomputadoras y su red de comunicaciones. El primer informe se emitió el 30 de abril de 2004 y contiene el resultado de nuestro examen de los controles generales establecidos en la DSI (Informe de Auditoría TI-04-08). INFORMACIÓN SOBRE LA UNIDAD AUDITADA La ASES se creó mediante la Ley Núm. 72 del 7 de septiembre de 1993, Ley de la Administración de Seguros de Salud de Puerto Rico, según enmendada. Está adscrita al Departamento de Salud y es una corporación pública con plena autonomía para desarrollar las funciones dispuestas en la referida Ley. Entre dichas funciones tiene la responsabilidad de

6 Informe de Auditoría TI implantar, administrar y negociar, mediante contratos con compañías aseguradoras de salud, un sistema de seguros de salud que eventualmente le brinde a todos los residentes de la Isla acceso a cuidados médicos hospitalarios de calidad, independientemente de la condición económica y capacidad de pago de quien los requiera. La ASES está regida por una Junta de Directores compuesta por nueve miembros: el Secretario de Salud, el Secretario de Hacienda, el Comisionado de Seguros y otros seis miembros nombrados por el Gobernador de Puerto Rico, con el consejo y consentimiento del Senado. El Gobernador de Puerto Rico nombra al Presidente de la Junta de Directores de entre sus miembros. La Junta de Directores selecciona de entre sus miembros un Vicepresidente, quien sustituye al Presidente en ausencia de éste, así como a un Secretario. El nivel administrativo de la ASES está integrado por las siguientes oficinas: Oficina del Director Ejecutivo y la Oficina de Auditoría Interna. El nivel operacional de la ASES está integrado por las siguientes siete directorías: Recursos Humanos y Administración, Asesoramiento Legal, Asuntos Fiscales, Educación y Prevención, Evaluación y Análisis Técnico, Sistemas de Información y PROBENE. A la fecha de nuestra auditoría, la DSI tenía en operación las siguientes computadoras principales: una computadora marca Digital, modelo AlphaServer Ésta operaba con un sistema operativo Unix. Dicha computadora tenía instalada la base de datos Sybase en la cual se mantenían los datos de los sistemas de Elegibilidad, Facturación, HCRE, PROBENE, Claims & Encounters. tres computadoras marca Compaq, modelo Proliant Una de éstas operaba con un sistema operativo Novell NetWare y estaba configurada como File Server. Otra operaba con el sistema operativo Windows 2000 y estaba configurada como Proxy Server. La otra operaba con el sistema operativo Windows 2000 y estaba configurada como E:Mail Server.

7 Informe de Auditoría TI una computadora marca Compaq, modelo Deskpro. Ésta operaba con un sistema operativo Windows 2000 y estaba configurada como Primary Domain Controller (PDC). Los gastos operacionales de la DSI eran sufragados del presupuesto operacional de la ASES. Para el año fiscal el presupuesto de la ASES ascendió a $1,247,901,000 de los cuales $1,242,800,000 fueron utilizados para el pago de las primas de seguros de salud y los restantes $5,101,000 para sufragar los gastos operacionales de la ASES. RESPONSABILIDAD DE LA GERENCIA Con el propósito de lograr una administración eficaz, regida por principios de calidad, la gerencia de todo organismo gubernamental, entre otras cosas, es responsable de: 1. Adoptar normas y procedimientos escritos que contengan controles internos de administración y de contabilidad eficaces, y observar que se cumpla con los mismos 2. Mantener una oficina de auditoría interna competente 3. Cumplir con los requisitos impuestos por las agencias reguladoras 4. Adoptar un plan estratégico para las operaciones 5. Mantener el control presupuestario 6. Mantenerse al día con los avances tecnológicos 7. Mantener sistemas adecuados de archivo y de control de documentos 8. Cumplir con el Plan de Acción Correctiva de la Oficina del Contralor de Puerto Rico, y atender las recomendaciones de los auditores externos 9. Mantener un sistema adecuado de administración de personal que incluya la evaluación del desempeño, y un programa de educación continua para todo el personal 10. Cumplir con la Ley de Ética Gubernamental, lo cual incluye divulgar sus disposiciones a todo el personal

8 Informe de Auditoría TI ALCANCE Y METODOLOGÍA La auditoría cubrió del 8 de octubre de 2002 al 15 de mayo de En algunos aspectos se examinaron transacciones de fechas anteriores y posteriores. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias. Para efectuar la auditoría utilizamos la siguiente metodología: Entrevistas a funcionarios, a empleados y a particulares Inspecciones físicas Examen y análisis de informes y de documentos generados por la unidad auditada Análisis de información suministrada por fuentes externas Pruebas y análisis de información financiera, de procedimientos de control interno y de otros procesos OPINIÓN Las pruebas efectuadas demostraron que las operaciones del DSI en lo que concierne a los controles establecidos para las microcomputadoras y su red de comunicaciones se realizaron sustancialmente conforme a las normas generales aceptadas en este campo, excepto por los hallazgos 1 al 7, clasificados como principales, y los hallazgos 8 al 10 clasificados como secundarios. Nuestro examen de los controles internos no necesariamente reveló todas las faltas existentes. En la parte de este informe titulada RELACIÓN DETALLADA DE HALLAZGOS se comentan los hallazgos 1 al 10.

9 Informe de Auditoría TI RECOMENDACIONES A LA JUNTA DE DIRECTORES DE LA ASES 1. Ver que el Director Ejecutivo cumpla con las recomendaciones 2 a la 5 de este informe. [Hallazgos 1 al 10] AL DIRECTOR EJECUTIVO DE LA ASES 2. Ejercer una supervisión eficaz de las funciones de la Directora de Auditoría Interna para que coordine con el Director de Sistemas de Información inspecciones periódicas para verificar el cumplimiento de las normas establecidas en la Orden Administrativa Núm sobre el uso del equipo electrónico. [Hallazgo 1-a.1)] 3. Ejercer una supervisión eficaz de las funciones del Oficial Principal de Informática para asegurarse de que: a. Actualice el registro de los programas y las aplicaciones de los sistemas de información adquiridos y autorizados por la ASES. [Hallazgo 1-a.2)] b. Limite a los usuarios de las microcomputadoras la opción Add/Remove Programs del sistema operativo para impedir que ellos puedan instalar o remover programas. [Hallazgo 1-a.3)] c. Adopte guías y procedimientos dirigidos a controlar y documentar las modificaciones a la red que incluyan, pero no limitado a: la configuración, la instalación de programas, las utilidades, los equipos y los cambios realizados a éstos. [Hallazgo 2-a.] d. Actualice los sistemas operativos a sus versiones más recientes para así asegurar un funcionamiento más efectivo y eficaz de los sistemas de información. [Hallazgo 2-b.]

10 Informe de Auditoría TI e. Provea un adiestramiento al Administrador de la Red en el diseño, instalación, configuración y administración de servidores con tecnología basada en directorios de servicios. [Hallazgo 3-a. al c.] f. Tome las medidas necesarias para que el Administrador de la Red mejore el diseño del Directorio de Servicios mediante el uso de niveles jerárquicos y agrupación de usuarios por departamentos o por aplicaciones. [Hallazgo 3-a. y c.] g. Establezca y utilice los criterios necesarios para que se identifiquen correctamente los usuarios de la red y se clasifiquen las cuentas de los usuarios bajo las categorías correspondientes. [Hallazgo 3-b.] h. Implante las mejores prácticas para la administración y control efectivo de las contraseñas de acceso para que se corrijan y no se repitan las situaciones que se comentan en el Hallazgo 4-a.1) al 5) y 7) al 9). i. Desarrolle un plan de adiestramiento sobre las políticas de seguridad relacionadas con el uso efectivo de las contraseñas y vele por que todos los empleados conozcan las mismas. [Hallazgo 4-a.6)] j. Diseñe un formulario para autorizar la creación, modificación y cancelación de las cuentas de acceso a la red de la ASES y a la Internet. [Hallazgo 4-a.10)] k. Tome las medidas necesarias para que el Administrador de la Red mantenga una relación detallada y actualizada de los usuarios con sus respectivos perfiles. [Hallazgo 4-a.11)] l. Establezca un procedimiento para la revisión de cuentas y los criterios para determinar cuándo se considera una cuenta inactiva y deba ser deshabilitada o cancelada. Para la remoción de cuentas inactivas, la gerencia de la DSI debe asegurarse si existe alguna información irremplazable que pueda ser borrada o

11 Informe de Auditoría TI destruida al disponer de estas cuentas y tomar las medidas necesarias para salvaguardar dicha información. [Hallazgo 4-b.] m. Tome las medidas necesarias para que todas las utilidades y los programas que se utilizan para la administración y control de la red y los sistemas computadorizados sean accedidos sólo por los funcionarios con derechos y privilegios de administrador de sistemas. [Hallazgo 5] n. Efectúe una segregación adecuada de las funciones conflictivas del Analista Programador de Sistemas de Información para que no pueda acceder los programas y archivos del ambiente de producción y sólo tenga acceso al ambiente de prueba. [Hallazgo 6] o. Configure debidamente el router que fuera instalado por el Departamento de Salud a la red de comunicaciones de la ASES para que sólo permita acceso hacia y desde la ODSI. [Hallazgo 7-a.1)] p. Coordine con el personal de la ODSI para que le provean copia de la documentación de la configuración del router y la contraseña para acceder el mismo, en caso de ser necesario. [Hallazgo 7-a.2)] q. Desarrolle como parte de su Programa de Contingencia y Recuperación de Desastres para los sistemas de información, un procedimiento para el manejo de incidentes, tales como: ataques de virus o de intrusos informáticos (hackers). [Hallazgo 9-a.1)] r. Desarrolle un procedimiento escrito para la verificación de programas antes de ser instalados en los servidores de la red con el propósito de detectar códigos maliciosos o virus. [Hallazgo 9-a.2)]

12 Informe de Auditoría TI Ejercer una supervisión eficaz de las funciones del Director de Recursos Humanos y Administración para asegurarse de que: a. Realice los ajustes pertinentes al inventario de propiedad y a los recibos de propiedad en uso que se mencionan en el Hallazgo 8-a. y b. b. El Encargado de la Propiedad cumpla con las disposiciones reglamentarias en las transacciones relacionadas con la disposición y transferencia de propiedad. [Hallazgo 8-c.] c. Actualice y realice los ajustes necesarios a la póliza de seguro del equipo y vea que todo equipo que se adquiera en el futuro esté asegurado. [Hallazgo 8-d.] 5. Efectuar las gestiones necesarias para nombrar un Administrador para la base de datos. [Hallazgo 10] CARTAS A LA GERENCIA Las situaciones comentadas en la parte de este informe titulada RELACIÓN DETALLADA DE HALLAZGOS se le informaron al Director Ejecutivo de la ASES que actuó durante el período auditado, CPA Orlando González Rivera (ex Director Ejecutivo), en carta de nuestra auditora del 8 de agosto de El borrador de los hallazgos de este informe fue sometido para comentarios en cartas del 14 de julio de 2004 al Secretario del Departamento de Salud y Presidente de la Junta de Directores de la ASES, Hon. Johnny V. Rullán, al Director Ejecutivo de la ASES que actuó a partir del 3 de septiembre de 2003, Lic. Enrique A. Vicéns Rivera (Director Ejecutivo), y al ex Director Ejecutivo.

13 Infonne de Auditoria TI COMENTARIOS DE LA GERENCIA En carta del 27 de agosto de 2003 el ex Director Ejecutivo de la ASES inforrn6 las medidas adoptadas 0 que se proponia adoptar para corregir las situaciones incluidas en la carta de nuestra auditora. El Director Ejecutivo contest6 el borrador de los hallazgos de este inforrne en carta del 13 de agosto de Sus observaciones fueron consideradas en la redacci6n final del inforrne y se incluyen en la parte de este inforrne titulada RELACION DETALLADA DE HALLAZGOS EN LA DIRECTORIA DE SISTEMAS DE INFORMACION DE LA ADMINISTRACION DE SEGUROS DE SALUD DE PUERTO RICO. El Secretario del Departamento de Salud y Presidente de la Junta de Directores de la ASES yel ex Director Ejecutivo no contestaron el borrador de inforrne que les fuera sometido. AGRADECIMIENTO A los funcionarios y empleados de la ASES les agradecemos la cooperaci6n que nos prestaron durante nuestra auditoria.

14 Informe de Auditoría TI RELACIÓN DETALLADA DE HALLAZGOS CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO En nuestros informes de auditoría se incluyen los hallazgos significativos determinados por las pruebas realizadas. Éstos se clasifican como principales o secundarios. Los principales incluyen desviaciones de disposiciones sobre las operaciones de la unidad auditada que tienen un efecto material, tanto en el aspecto cuantitativo como en el cualitativo. Los secundarios son los que consisten en faltas o errores que no han tenido consecuencias graves. Los hallazgos del informe se presentan según los atributos establecidos conforme a las normas de redacción de informes de nuestra Oficina. El propósito es facilitar al lector una mejor comprensión de la información ofrecida. Cada uno de ellos consta de las siguientes partes: Situación - Los hechos encontrados en la auditoría indicativos de que no se cumplió con uno o más criterios. Criterio - El marco de referencia para evaluar la situación. Es principalmente una ley, reglamento, carta circular, memorando, procedimiento, norma de control interno, norma de sana administración, principio de contabilidad generalmente aceptado, opinión de un experto o juicio del auditor. Efecto - Lo que significa, real o potencialmente, no cumplir con el criterio. Causa - La razón fundamental por la cual ocurrió la situación. Al final de cada hallazgo se hace referencia a las recomendaciones que se incluyen en el informe para que se tomen las medidas necesarias sobre los errores, irregularidades o actos ilegales señalados.

15 Informe de Auditoría TI En la sección sobre los COMENTARIOS DE LA GERENCIA se indica si el funcionario principal y los ex funcionarios de la unidad auditada efectuaron comentarios sobre los hallazgos incluidos en el borrador del informe que les envía nuestra Oficina. Dichos comentarios se consideran al revisar el borrador del informe y se incluyen al final del hallazgo correspondiente en la sección de HALLAZGOS EN LA DIRECTORÍA DE SISTEMAS DE INFORMACIÓN DE LA ADMINISTRACIÓN DE SEGUROS DE SALUD DE PUERTO RICO, de forma objetiva y conforme a las normas de nuestra Oficina. Cuando la gerencia no provee evidencia competente, suficiente y relevante para refutar un hallazgo, éste prevalece y se añade al final del mismo la siguiente aseveración: Consideramos las alegaciones de la gerencia, pero determinamos que el hallazgo prevalece. HALLAZGOS EN LA DIRECTORÍA DE SISTEMAS DE INFORMACIÓN DE LA ADMINISTRACIÓN DE SEGUROS DE SALUD DE PUERTO RICO Los hallazgos 1 al 7 se clasifican como principales y los hallazgos 8 al 10 como secundarios. Hallazgo 1 - Microcomputadoras utilizadas para fines ajenos a la gestión pública y falta de controles para prevenir y detectar la instalación de programas no autorizados o la remoción de programas ya instalados a. Al 30 de junio de 2002 la ASES tenía 189 microcomputadoras anotadas en el Registro de Equipo Computadorizado y Programas. El examen efectuado entre el 28 de enero y 7 de marzo de 2003 sobre el uso, los accesos a la Internet y el control de los programas instalados en 10 de éstas reveló lo siguiente: 1) Siete de las 10 microcomputadoras examinadas se utilizaron para acceder páginas de Internet con contenidos ajenos a los intereses y a la gestión pública. En la Sección 9 del Artículo VI de la Constitución del Estado Libre Asociado de Puerto Rico se establece que sólo se dispondrá de las propiedades y de los fondos públicos para fines públicos y para el sostenimiento y funcionamiento de las instituciones del Estado y en todo caso por autoridad de ley.

16 Informe de Auditoría TI En el Artículo 3.2 de la Ley Núm. 12 del 24 de julio de 1985, Ley de Ética Gubernamental, según enmendada, se dispone, entre otras cosas, que ningún funcionario o empleado público utilizará propiedad pública para obtener directa o indirectamente ventajas, beneficios o privilegios que no estén permitidos por ley. En la Orden Administrativa Núm promulgada por el Director Ejecutivo el 20 de febrero de 1997 se establece que todo sistema de computadoras y telecomunicaciones que pertenezca a la ASES debe ser utilizado única y exclusivamente para propósitos oficiales. 2) No se mantenía actualizado el registro de los programas y aplicaciones adquiridas y autorizadas por la ASES. El registro utilizado nos fue provisto por la DSI el 16 de octubre de 2002 e indicaba las aplicaciones instaladas en las microcomputadoras. El examen efectuado reveló que en dicho registro no estaban anotados los siguientes cinco programas instalados en las microcomputadoras que se indican: NOMBRE DEL PROGRAMA NÚMERO DE PROPIEDAD DE LA MICROCOMPUTADORA 32-bit Crystal Reports 4.5 Workstation 1442, 1461, 1465, 1516, 1523, 1527 y 1624 Microsoft Office 2000 Premium " Microsoft XP Professional 1618, 1623 y 1806 Microsoft Outlook Express , 1461, 1465, 1516, 1523, 1527 y 1624 Zip Central 1.55 " En la Guía Núm Aspectos Legales/Derechos de Autor/Piratería de la Carta Circular Núm promulgada por el Comité del Gobernador sobre Sistemas de Información 1 el 25 de septiembre de 1995 se establece que la agencia deberá mantener un registro de todos los programas y componentes adquiridos que contenga 1 Creado en virtud del Artículo 7 de la Ley Núm. 110 del 3 de agosto de 1995 para, entre otras cosas, adoptar la política a seguir y las guías que regirán la adquisición e implantación de los sistemas, del equipo y de los programas de información tecnológica para los organismos de la Rama Ejecutiva del Gobierno del Estado Libre Asociado de Puerto Rico.

17 Informe de Auditoría TI lo siguiente: número de licencia, proveedor, dueño de licencia, fecha adquirida, propósito y justificación de compra, equipo donde será instalada (número de serie/propiedad), ubicación física de la licencia, disquetes y manuales, nombre del usuario, número de propiedad asignado, lista de inventario (licencia, disquetes, manuales, equipos, etc.) y costo. El propósito de dicho registro es mantener un control de todos los programas que legítimamente adquiera la ASES. 3) A siete de las microcomputadoras no se les había controlado el acceso a la opción Add/Remove Programs del sistema operativo para impedir a los usuarios que pudieran instalar programas no autorizados o remover programas ya instalados. Esta opción debe estar disponible únicamente al encargado del sistema. En la Orden Administrativa Núm se establece que los usuarios no podrán instalar programas de computadoras en máquinas individuales, o en la red, sin haber recibido autorización previa del encargado del sistema. La situación comentada en el Apartado a.1) es contraria al interés público y desvirtúa los propósitos para los cuales fueron adquiridos. Además, provee al funcionario o empleado que indebidamente los utiliza unas ventajas, beneficios y privilegios que no están permitidos por ley. Las situaciones comentadas en el Apartado a.2) y 3) impiden ejercer un control eficaz sobre los programas y las licencias adquiridas y autorizadas por la ASES. Además, propicia la instalación y el uso de programas no autorizados y la remoción de programas ya instalados, con las consiguientes situaciones adversas que podrían ocurrir. La situación comentada en el Apartado a.1) se debía a falta de las inspecciones periódicas necesarias por parte de la Directora de Auditoría Interna para verificar el cumplimiento de las normas establecidas en la Orden Administrativa Núm sobre el uso oficial de las microcomputadoras.

18 Informe de Auditoría TI Las situaciones comentadas en el Apartado a.2) y 3) se debían a que el Oficial Principal de Informática no tomó las medidas necesarias para que se mantuviera un registro completo y actualizado de los programas y las aplicaciones adquiridas y autorizadas por la ASES e instalados en las microcomputadoras, y un control limitado de la opción de Add/Remove Programs del sistema operativo en las microcomputadoras. El Director Ejecutivo de la ASES, en la carta que nos envió informó, entre otras cosas, las medidas a ser implantadas para corregir las situaciones señaladas. Véanse las recomendaciones 1, 2 y 3.a. y b. Hallazgo 2 - Instalaciones, modificaciones y configuraciones realizadas a los servidores de la red sin documentar, y sistema operativo del servidor principal de la ASES que no tenía instalada la versión mínima requerida a. Las instalaciones, modificaciones y configuraciones realizadas a los servidores conectados a la red de comunicaciones de la ASES estaban sin documentar. En la Carta Circular Núm se establece, como política pública, que será responsabilidad de todo organismo mantener un expediente que contenga los documentos tales como: actas, minutas y memorandos, planes de mecanización, determinaciones, acuerdos y acciones tomadas, con relación a los sistemas de información y el desarrollo de programación. Dicho expediente debe mantenerse actualizado y contener información suficiente para demostrar el cumplimiento con las guías y la política pública establecida. El mismo estará sujeto a una auditoría anual de cumplimiento. b. El servidor principal de la red no tenía instalada la versión mínima requerida de su sistema operativo conforme a la Guía Núm. 3 de la Carta Circular mencionada. Al 24 de abril de 2003 dicho servidor tenía instalado el sistema operativo Novell NetWare 4.11, en lugar del Novell NetWare 5.0. Además, la última actualización (support pack) que instaló la ASES al sistema operativo del mencionado servidor fue el support pack v6.13 del 17 de febrero de Sin embargo, el último support pack provisto por la compañía Novell

19 Informe de Auditoría TI para el sistema operativo NetWare 4.11 era el support pack 9 del 13 de noviembre de 2000 para los sistemas operativos Netware 4.11/4.2. Al 24 de abril del 2003 este último no había sido instalado en el mencionado servidor. En la Guía Núm. 3 de la Carta Circular Núm se establece, entre otras cosas, como requisito mínimo para el sistema operativo de servidores utilizados en redes de informática el sistema operativo Novell Netware 5.0 o el Microsoft Windows NT Server v4.0 con el Service Pack 4. Las situaciones comentadas en los apartados a. y b. no permitían que la DSI tuviera un control efectivo y documentado dirigido a mantener actualizado y en óptimas condiciones el sistema operativo instalado en los servidores de la red. Esto mantenía a la DSI al margen de los avances tecnológicos y no le permitían tener a su disposición mejores herramientas que promovieran una administración más efectiva y eficiente de los recursos de la red de información. La situación comentada en el Apartado a. se atribuye a que el Oficial Principal de Informática y el Director Ejecutivo de ASES no actuaron diligentemente en la promulgación de una política interna para el mantenimiento, la actualización y la documentación de los sistemas computadorizados que componen la red de la ASES, mediante la aprobación de las correspondientes guías y procedimientos. La situación comentada en el Apartado b. se atribuye a que el Oficial Principal de Informática no cumplió con la Guía Núm. 3 de la Carta Circular mencionada. Tampoco estuvo pendiente a las actualizaciones realizadas por la compañía Novell al sistema operativo NetWare El Director Ejecutivo de la ASES, en la carta que nos envió informó, entre otras cosas, lo siguiente: Las medidas implantadas para corregir la situación señalada. [Apartado a.]

20 Informe de Auditoría TI Desde la ASES planificaba cambiar el network totalmente a servidores de Windows. Basado en esto, la aplicación de Novell Netware 4.11 no se actualizó ya que para esto se requería actualizar el equipo de la Administración. Cuando se identificaron los fondos, se cambió el servidor y se implantó el sistema operativo de Windows. [Apartado b.] Consideramos las alegaciones del Director Ejecutivo de la ASES, pero determinamos que el Apartado b. prevalece. Véanse las recomendaciones 1 y 3.c. y d. Hallazgo 3 - Deficiencias en el diseño y mantenimiento del Directorio de Servicios del Servidor Principal de la ASES a. Al 28 de marzo de 2003 el servidor principal de la ASES tenía instalado el sistema operativo de redes Novell NetWare Dicho sistema operativo permite manejar los recursos de la red por medio del Novell Directory Service (NDS) que utiliza un esquema de niveles múltiples organizado jerárquicamente, de manera que represente gráficamente a toda la organización. Por medio de estas representaciones gráficas se asignan los directorios, derechos, servidores, grupos, roles organizacionales e impresoras, entre otros, a los usuarios de la red. Examinamos el diseño de la estructura lógica del directorio de servicios y detectamos que todos los usuarios, grupos, servidores e impresoras estaban colocados bajo una sola unidad organizacional. Esto sin establecer diferentes unidades organizacionales conforme a la estructura jerárquica organizacional por Directoría de la ASES y sin definir los recursos asignados a cada una. Las mejores prácticas para el diseño de un directorio de servicios requieren que el directorio de una unidad organizacional se cree en forma de árbol. El árbol debe representar gráficamente el orden jerárquico de la organización que describa cada departamento y los recursos asignados a éstos, de manera que resulte en una administración más eficiente y efectiva de los recursos y de la seguridad de la red.

21 Informe de Auditoría TI b. Existían 16 cuentas de acceso sin identificar a quienes pertenecían o estaban mal clasificadas por categoría, según se indica: 1) Nueve cuentas de acceso fueron creadas con nombres genéricos, en lugar del nombre de los funcionarios o empleados que tenían asignadas las cuentas. 2) Siete cuentas de acceso creadas para consultores y técnicos externos no fueron clasificadas con la categoría de personal externo. Las mejores prácticas en la administración de redes establecen, que toda cuenta de acceso debe estar debidamente identificada con el nombre del usuario que utilice la misma, de manera que se puedan definir claramente sus derechos y privilegios en el uso de los recursos de la red conforme a sus deberes y responsabilidades. c. El examen sobre la creación y el control de los grupos de usuarios reveló lo siguiente: 1) Tres grupos fueron creados con el apellido de tres funcionarios distintos. 2) Otro grupo fue creado con el nombre Special y las cuentas de acceso incluidas en dicho grupo correspondían a los tres funcionarios que se mencionan en el inciso anterior. Los mismos pertenecían a diferentes directorías y tenían deberes y responsabilidades diferentes. 3) Un grupo creado con el nombre a_discrepancies no tenía usuarios incluidos en el mismo. Las mejores prácticas en la administración de redes establecen que la creación de grupos de usuarios debe estar basada en tareas, funciones o responsabilidades que sean compartidas entre varios usuarios. Además, que los nombres de los grupos de usuarios describan las funciones o responsabilidades de los usuarios asignados a dichos grupos.

22 Informe de Auditoría TI Las situaciones comentadas en los apartados a. al c. no permitían a la DSI mantener una administración eficiente del directorio de servicios para controlar los recursos de la red, tales como: espacio de almacenamiento en disco, derechos y privilegios, servidores, usuarios, grupos, roles organizacionales e impresoras, entre otros. Las mismas se atribuyen a falta de adiestramiento al Administrador de la Red sobre la creación y administración del directorio de servicios del NDS. Además, a que cuando se efectuó la migración del sistema operativo NetWare 3.11 a la versión NetWare 4.11 todos los recursos fueron creados como objeto dentro de una misma unidad organizacional. El Director Ejecutivo de la ASES, en la carta que nos envió informó, entre otras cosas, lo siguiente: ASES no cuenta con el peritaje para rediseñar la estructura de Netware NDS. Esta fue una de las razones por las que se cambió el network a Windows [Apartado a.] La Directoría de Sistemas de Información creó grupos de cuentas que no estaban asociadas con ningún usuario siguiendo unas recomendaciones de Microsoft y otras fuentes para trabajar con diferentes situaciones en el Exchange/Outlook como también para crear cuentas de correos electrónicos que se utilizarían por múltiples empleados. [Apartado b.] La creación de grupos de usuarios se utilizó como una técnica para trabajar con las deficiencias del sistema cuando la creación de los nombres de usuarios tenía conflicto con el LAN. La necesidad de esto ya no existe con el cambio a Windows. [Apartado c.] Consideramos las alegaciones del Director Ejecutivo de la ASES, pero determinamos que los tres apartados del Hallazgo prevalecen. Véanse las recomendaciones 1 y 3.e. a la g.

23 Informe de Auditoría TI Hallazgo 4 - Deficiencias en el control de las cuentas de acceso y sus contraseñas para acceder la red de la ASES y la Internet a. Al 13 de mayo de 2003 la ASES había asignado 107 cuentas de acceso para acceder la red y los recursos disponibles en la misma. El examen efectuado en dicha fecha sobre los parámetros de seguridad de dichas cuentas de acceso y sus correspondientes contraseñas reveló las siguientes deficiencias: 1) A cuatro cuentas no se les había activado la instrucción para que el sistema le requiriera el uso de una contraseña de acceso, lo que permitía a los usuarios de las mismas el acceso al sistema con sólo registrar su cuenta de acceso. 2) A 15 cuentas no se les había activado la instrucción para que los usuarios utilizaran contraseñas únicas e irrepetibles. 3) A nueve cuentas no se les había activado la instrucción para que las contraseñas tuvieran un largo mínimo de ocho caracteres. 4) A seis cuentas se les había activado la opción para que el sistema no les requiriera cambiar su contraseña. 5) El examen de los términos de tiempo para la expiración de las contraseñas también reveló las siguientes deficiencias: a) Ocho contraseñas estaban expiradas por un período que fluctuaba entre 10 y 710 días. b) A 15 cuentas de acceso no se les había definido el tiempo de expiración de la contraseña de acceso a la red, lo que le permitía al usuario mantener su contraseña activa indefinidamente.

24 Informe de Auditoría TI ) La gerencia de la DSI no proveyó orientación a los usuarios de la red sobre la creación y confidencialidad de las contraseñas. En la Guía Núm. 5 de la Carta Circular Núm se establece, entre otras cosas, que las claves de acceso serán creadas de acuerdo con los estándares establecidos en la agencia. Todo usuario que reciba una clave de acceso será responsable de conocer y cumplir con los controles y políticas corporativas sobre seguridad de información. Además, se establece que será política de las agencias del Gobierno de Puerto Rico proveer los medios para que se renueve periódicamente la contraseña de cada usuario. Las mejores prácticas para la administración y control efectivo de las contraseñas de acceso establecen que éstas: Deben estar compuestas con un mínimo de ocho caracteres de largo Se debe cambiar regularmente No deben repetirse. El sistema debe obligar al usuario a crear una nueva contraseña una vez venza la anterior Una vez expiren, las cuentas de acceso deben quedar inactivas Además, la gerencia periódicamente debe concienciar a los usuarios sobre el control y seguridad que deben tener en el uso de las contraseñas de acceso. Las situaciones comentadas en el Apartado a.1) al 6) no permitían que la gerencia de la DSI tuviese un control efectivo sobre el uso de las contraseñas de las cuentas de los usuarios para acceder los recursos de la red de la ASES. Además, no promovían un ambiente de seguridad donde se protegiera la confidencialidad, la integridad y la disponibilidad de los activos computadorizados de la ASES. Las mismas pudieron propiciar la comisión de irregularidades y de otras situaciones adversas.

25 Informe de Auditoría TI ) Trece cuentas podían tener dos o más conexiones simultáneas sin que lo requiera los deberes y las responsabilidades de los usuarios de las mismas. 8) No se estableció en el sistema la vigencia para siete cuentas temporales de acceso concedidas a los consultores y técnicos externos, de acuerdo con el tiempo de duración de los trabajos contratados. 9) A las 107 cuentas no se les había restringido el tiempo de acceso a la red, a base de las responsabilidades de los usuarios y las necesidades del servicio. 10) No se había diseñado un formulario de control para autorizar la creación, modificación y cancelación de las cuentas de acceso a la red de la ASES y a la Internet. 11) No se mantenía una relación detallada y actualizada de los usuarios con sus respectivos perfiles. En la Guía Núm. 5 de la Carta Circular Núm se establece como política pública, que cada agencia establecerá los controles de solicitud de acceso y el nivel de acceso a sus sistemas electrónicos de acuerdo con sus necesidades. En consonancia con dicha política pública, la gerencia de todo sistema computadorizado es responsable de delinear las medidas de control interno que le permitan proteger los datos almacenados en sus sistemas de información contra la modificación, divulgación, manipulación o destrucción no autorizada o accidental. Esta norma se instrumenta, en parte, mediante lo siguiente: Las cuentas de acceso de los usuarios y sus correspondientes contraseñas no puedan ser utilizadas simultáneamente en dos computadoras diferentes. El uso de todas las opciones para restringir y controlar los accesos que proveen los distintos sistemas operativos.

26 Informe de Auditoría TI La notificación inmediata al encargado de la administración de las cuentas de los usuarios sobre el cese de los funcionarios por motivo de renuncia, separación o traslado, y sobre la conclusión de los trabajos contratados con los consultores y técnicos externos, para la cancelación de las mismas. El uso de formularios para solicitar la creación, modificación o eliminación de cuentas de acceso, según las necesidades y las condiciones de la entidad. La creación de un registro actualizado de control de cuentas de acceso autorizadas con sus correspondientes derechos y privilegios. Las situaciones comentadas en el Apartado a.7) al 9) pueden propiciar que personas no autorizadas puedan lograr acceso a información confidencial y hacer uso indebido de ésta. Además, podrían propiciar la comisión de irregularidades y la alteración, por error o intención, de los datos contenidos en dichos sistemas sin que puedan ser detectadas a tiempo para fijar responsabilidades. Las que se comentan en el Apartado a.10) y 11) ocasionaban la falta de uniformidad al crear los nombres de las cuentas de acceso al sistema, y que no se mantuviera evidencia de la autorización para otorgar, modificar o cancelar los accesos y privilegios a los usuarios. Las mismas pudieron también propiciar la comisión de errores e irregularidades. b. Trece cuentas de usuarios estaban inactivas por períodos que fluctuaban entre 47 y 819 días. De éstas, 9 (69 por ciento) estaban inactivas por un período mayor de un año. Las mejores prácticas en la administración de redes establecen que toda cuenta que esté inactiva por un período mayor al tiempo de gracia definido por la gerencia para el cambio de contraseñas de acceso vencidas debe ser inhabilitada o cancelada.

27 Informe de Auditoría TI La referida situación pone en riesgo la seguridad e integridad de los sistemas al permitir que las cuentas inactivas puedan ser activadas por empleados que posean privilegios para reactivar las cuentas con una nueva contraseña para acceder a los sistemas con la intención de hacer daño sin poder ser identificados. Las situaciones que se comentan en los apartados a. y b. se atribuyen a que el Director Ejecutivo no le requirió al Oficial Principal de Informática que desarrollara para su aprobación las normas y los procedimientos escritos necesarios para la administración y control de las cuentas de acceso y sus contraseñas para acceder los recursos de la red de la ASES. Esta situación se comentó en nuestro Informe de Auditoría TI del 30 de abril de El Director Ejecutivo de la ASES, en la carta que nos envió informó, entre otras cosas, las medidas implantadas y las que se proponen implantar para corregir las situaciones señaladas. Véanse las recomendaciones 1 y 3.h. a la l. Hallazgo 5 - Programas de utilidades para uso exclusivo del Administrador de la Red instalados en un directorio al cual podían acceder todos los usuarios de la ASES, incluyendo consultores y técnicos externos a. El examen sobre el contenido de los directorios Public, Login y Mail creados en el servidor principal de la ASES reveló que el directorio Public contenía 33 programas y utilidades ejecutables que deberían ser de uso exclusivo para el Administrador de la Red. Estos programas y utilidades permitían leer, modificar, crear, copiar, borrar y eliminar información, directorios, cuentas, derechos, rutas y codificaciones de acceso, entre otras. A dicho directorio tenían acceso todos los usuarios de la ASES, incluyendo consultores y técnicos externos. En la Guía Núm. 5 de la Carta Circular Núm se establece que cada una de las unidades de trabajo debe distribuir las tareas de acuerdo con las funciones que realiza cada

28 Informe de Auditoría TI sección. Antes de autorizar el uso de un acceso de información, deben asegurarse de que no existe ningún conflicto de intereses con los usuarios. Además, se establece que los accesos deberán ser regulados de acuerdo con el nivel de seguridad que cada usuario requiera. La situación comentada permitía que los usuarios y personal externo de la ASES tuvieran acceso a programas y utilidades diseñados para uso exclusivo del Administrador de la Red, lo que pone en peligro la confidencialidad y la integridad de la información y de los sistemas que componen la red de la ASES. Además, pueden propiciar la comisión de irregularidades y de otras situaciones adversas. La situación mencionada se atribuye a que la gerencia y el personal de la DSI desconocían que dichos programas y utilidades deberían ser para el uso exclusivo del Administrador de la Red. El Director Ejecutivo de la ASES, en la carta que nos envió informó, entre otras cosas, las medidas implantadas para corregir la situación señalada. Véanse las recomendaciones 1 y 3.m. Hallazgo 6 - Funciones conflictivas realizadas por un Analista Programador a. Un Analista Programador de Sistemas de Información tenía acceso a los archivos en producción y podía acceder, editar e instalar los cambios efectuados por éste al área de producción. En la Guía Núm. 5 de la Carta Circular Núm se establece que para poder fortalecer los controles establecidos sobre la información de la agencia es necesario que se segreguen las tareas relacionadas con el procesamiento de dicha información. Además, establece que se permitirá el acceso a las aplicaciones de producción únicamente a aquellos usuarios que generan transacciones como parte del flujo normal de los servicios ofrecidos.

29 Informe de Auditoría TI Estos accesos deberán ser regulados de acuerdo con el nivel de seguridad que cada usuario requiera. La situación comentada propicia que se incurra en errores o irregularidades y que éstos no se pudieran detectar a tiempo para fijar responsabilidades, con los consiguientes efectos adversos para la entidad. La situación comentada, según la información obtenida, se debía a falta de recursos humanos en la DSI necesarios para segregar las funciones conflictivas realizadas por el Analista Programador e impedir que tenga acceso al área de producción. El Director Ejecutivo de la ASES, en la carta que nos envió, informó lo siguiente: La Directoría de Sistemas de Información terminó la descripción de los puestos y la sometió a la Directoría de Recursos Humanos para la creación de las posiciones de Administrador de Sistemas de Seguridad y de Especialista de Unix. Posteriormente ASES solicitó a OGP la creación de las mismas. Sin embargo, mediante comunicación escrita se notificó a la ASES que no se podían crear dichos puestos sino que había que identificarlos dentro de la estructura de personal de la Administración. Véanse las recomendaciones 1 y 3.n. Hallazgo 7 - Falta de controles y configuración inadecuada de un encaminador (router) que mantenía la comunicación entre la ASES y el Departamento de Salud a. La ASES mantenía conectado a su red de comunicaciones un encaminador (router) 2 que servía de enlace con la red de comunicaciones de la Oficina de Desarrollo de Sistemas de Información (ODSI) del Departamento de Salud. Esto para recibir la información de los ciudadanos elegibles para la Reforma de Salud de la ODSI. 2 Un encaminador o router es un dispositivo empleado para conectar entre sí redes distintas que empleen los mismos protocolos.

30 Informe de Auditoría TI El examen efectuado sobre el control y la seguridad de las conexiones externas de dicho router reveló lo siguiente: 1) El mismo estaba configurado con dos conexiones externas, una de las cuales era para la red de comunicaciones de la ODSI. De la otra conexión, el personal de la DSI desconocía de dónde o hacia dónde permitía la comunicación con los sistemas de información de la ASES. 2) El personal de la DSI no podía modificar la configuración de dicho router, ya que también desconocía la contraseña que le permitiera el acceso lógico al mismo y tampoco tenían documentación de su configuración. Dicho router fue instalado y configurado por personal técnico de la ODSI. En la Carta Circular Núm se establece, como política pública, que será responsabilidad de todo organismo mantener un expediente que contenga los documentos tales como: actas, minutas y memorandos, planes de mecanización, determinaciones, acuerdos y acciones tomadas, con relación a los sistemas de información y desarrollo de programación. Dicho expediente debe mantenerse actualizado y contener información suficiente para demostrar cumplimiento de las guías y la política pública. El mismo estará sujeto a una auditoría anual de cumplimiento. Además, deberán garantizar el buen uso, manejo, integridad, exactitud y preservación de la información del gobierno y protegerla contra la modificación, divulgación, manipulación o destrucción no autorizada o accidental. La situación comentada proveía un medio no autorizado para el acceso remoto a los recursos de la red de la ASES, así como también para los de la ODSI. La situación comentada se atribuye a falta de control, de conocimiento y de la documentación necesaria que tenía la gerencia de la DSI sobre el router de ODSI instalado en la red de la ASES.

31 Informe de Auditoría TI El Director Ejecutivo de la ASES, en la carta que nos envió, informó lo siguiente: El encaminador o router que existía en la Administración fue instalado por ODSI y pertenecía a ellos. El acceso en cualquier network se controlaba con identificaciones de usuarios y contraseñas. Se informa que al presente no existe ninguna conexión entre ASES y ODSI por falta de una reconfiguración del router por parte del personal de ODSI. Acogemos la recomendación y para cualquier conexión futura se tomarán en cuenta controles de seguridad de la red y se documentará cualquier instalación. Véanse las recomendaciones 1 y 3.o. y p. Hallazgo 8 - Deficiencias relacionadas con la falta de controles sobre los equipos computadorizados a. El examen efectuado el 13 de febrero de 2003 al Informe de Propiedad de Equipo Computadorizado y Programas (Informe) preparado al 30 de junio de reveló las siguientes deficiencias: 1) Dicho Informe no estaba actualizado. Esto, a pesar de que al 31 de octubre de 2002 la Directoría de Finanzas había tomado un inventario físico de la propiedad (incluyendo equipo electrónico y programas) con el propósito de compararlo con los registros de propiedad y realizar los ajustes pertinentes. No obstante, a la fecha de nuestro examen no se había actualizado dicho Informe para identificar diferencias, determinar sus causas y tomar las medidas correctivas necesarias. 2) El Informe no contenía información completa del equipo, según se indica: 190 equipos con un costo en inventario de $419,201 no tenían anotados sus números de propiedad 3 Según el mencionado Informe el costo en inventario de los equipos es de $2,260,399 menos una depreciación acumulada de $1,891,760.

32 Informe de Auditoría TI equipos con un costo en inventario de $174,691 no tenían la descripción específica, sólo indicaba que era un programa (Software) o un equipo (Hardware) 12 equipos no tenían anotados los costos de éstos 285 equipos con un costo en inventario de $1,199,994 no tenían anotado la Directoría a la cual estaban asignados b. El examen realizado el 13 de febrero de 2003 sobre una muestra de 25 microcomputadoras seleccionadas al azar para determinar si la ASES mantuvo el control sobre la custodia de su propiedad mueble mediante el formulario Recibo de Propiedad en Uso reveló lo siguiente: 1) Según un correo electrónico del 3 de julio de 2002, un CPU con el número de propiedad 1479 y un costo en inventario de $1,687 fue sustituido al empleado que lo tenía bajo su custodia, por estar dañado, por el CPU con número de propiedad 1631 y un costo en inventario de $895, pero no se habían preparado los recibos de propiedad correspondientes para este cambio. 2) No se encontraron, ni el Director de Recursos Humanos y Administración o el Encargado de la Propiedad nos pudieron someter para examen los Recibos de Propiedad en Uso o la evidencia sobre la disposición de dos microcomputadoras DeskPro identificadas con los números de propiedad 1217 y 1495 y costos en inventario de $1,990 y $1,687, respectivamente. Dichos equipos estaban incluidos en el Informe, pero no aparecían en el Inventario de Hardware. c. El examen efectuado el 13 de febrero de 2003 sobre la disposición de los equipos computadorizados y las anotaciones realizadas en las correspondientes Actas de Destrucción reveló las siguientes faltas de control: