Superintendencia de Electricidad y Combustibles

Transcripción

1 UNIDAD DE AUDITORIAS DE SISTEMAS INFORME FINAL Superintendencia de Electricidad y Combustibles 1 16mero de Informe: 2/ de agosto de 2013 U

2 DAA N 483/2013 REMITE INFORME FINAL N 2, DE 2013 SOBRE AUDITORIA DE SISTEMAS EFECTUADA EN LA SUPERINTENDENCIA DE ELECTRICIDAD Y COMBUSTIBLES. SANTIAGO, iii0.10j.13* Cumplo con enviar a Ud., para su conocimiento y fines pertinentes. copia del Informe Final N 2, de 2013, con el resultado de la auditoria practicada a la Superintendencia de Electricidad y Combustibles. Saluda atentamente a Ud., RAW?* CO RALOR-ONERAL ZUNIGA L A REPUBLICA AL SENOR MINISTRO DE ENERGIA.,,PRESENTE JPTV Lf-d1T E C

3 DAA N 484/2013 REMITE INFORME FINAL N 2. DE 2013 SOBRE AUDITORIA DE SISTEMAS EFECTUADA EN LA SUPERINTENDENCIA DE ELECTRICIDAD Y COMBUSTIBLES. 1 4 A R E C OFI(INA I DO PARTES SANTIAGO, ti Cumplo con enviar a Ud., para su conocimiento y fines pertinentes, copia del Informe Final N 2, de 2013, con el resultado de la auditoria practicada a la Superintendencia de Electricidad y Combustibles. Sobre el particular, corresponde que esa autoridad se disponga ha adoptar las medidas pertinentes y que se implementen las acciones informadas, tendientes a subsanar las situaciones observadas, aspectos que se verificaran en una pr6xima visita que practique en esa Entidad este Organismo de Control. Saluda atentamente a Ud., Por Orden del Contralor General MARIA ISABEL CARRIL CABALLERO Abogado Jete Division de Auditoria Administratva AL SENOR SUPERINTENDENTE DE ELECTRICIDAD Y COMBUSTIBLES,F)RESENTE JP'TV

4 DAA N 485/2013 =.0 14 AGO 206 RECIBIDR, CIPICINA DE PARXES REMITE INFORME FINAL N 2, DE 2013 SOBRE AUDITORIA DE SISTEMAS EFECTUADA EN LA SUPERINTENDENCIA DE ELECTRICIDAD Y COMBUSTIBLES. SANTIAGO, 08.41A 13*05042R Cumplo con enviar a Ud., para su conocimiento y fines pertinentes, copia del Informe Final N 2, de 2013, con el resultado de la auditoria practicada a la Superintendencia de Electricidad y Combustibles. Saluda atentamente a W.. Por Orden net Contrator General MARIA ISAFEL CARRIL CABALLERO At cgado Jefe DiviSion de Auditoria Administrative c/ ALA SENORA AUDITORA INTERNA DE LA SUPERINTENDENCIA DE ELECTRICIDAD Y COMBUSTIBLES PRESENTE JPTV

5 DAA N 486/2013 REMITE INFORME FINAL N 2, DE 2013 SOBRE AUDITORIA DE SISTEMAS EFECTUADA EN LA SUPERINTENDENCIA DE ELECTRICIDAD Y COMBUSTIBLES. SANTIAGO, * a" Cumplo con enviar a Ud., para su conocimiento y fines pertinentes, copia del Informe Final N 2, de 2013, con el resultado de la auditoria practicada a la Superintendencia de Electricidad y Combustibles. Saluda atentamente a Ud., MARIA ISABEL CARRIL CABALLERO Abvado Jefe de Division de Auditoria Administrative ROSA MORALES CAMPOS Jete Unidad de Seguimiento DivisiOn de Auditoria Administrative A LA SENORA JEFA UNIDAD DE SEGUIMIENTO z/presente JPTV

6 CONTRALORiA GENERAL DE LA REPUBLICA PMET N INFORME FINAL N 2, DE 2013 SOBRE AUDITORIA DE SISTEMAS EFECTUADA EN LA SUPERINTENDENCIA DE ELECTRICIDAD Y COMBUSTIBLES. SANTIAGO, 8 AGO, 2013 En cumplimiento del plan de fiscalizacion de esta Contraloria General para el ano 2012, y de acuerdo con las facultades establecidas en su ley N , de organizacion y atribuciones, funcionarios de esta Entidad de Control se constituyeron en la Superintendencia de Electricidad y Combustibles, para efectuar una Auditoria de Sistemas. OBJETIVO La auditoria tuvo por finalidad revisar y evaluar aspectos que se relacionan con las politicas, normas, practicas y procedimientos de control vinculados a las Tecnologias de Informacion y Comunicaciones, TIC, de la Superintendencia de Electricidad y Combustibles, SEC. Ademas, se realizo una evaluacion del Sistema Tecnologico de Apoyo a la Regulacion, STAR, especificamente para los subsistemas que se encuentran en operacion y realizan Ia carga, validacion, reporte, y encuesta de calidad de servicio electric, todo ello, respecto del periodo comprendido entre enero a diciembre de METODOLOGIA La revision fue practicada en conformidad con las principales normas y procedimientos aceptados por esta Entidad Fiscalizadora, incluyendo pruebas de validacion y otros medios tecnicos considerados necesarios en las circunstancias. Del mismo modo, esta metodologia se encuentra alineada con los objetivos y facultades de Ia Contraloria General, y se inserta en la doctrina institucional la cual indica que se debe garantizar por parte de la Administracion el cumplimiento del ordenamiento juridico; la preservacion y fortalecimiento de Ia probidad administrativa; la fidelidad y transparencia de Ia gesti6n financiera del Estado y la proteccion, junto al debido use del patrimonio public. A LA SENORA JEFA DE LA PRESENTE CBU/DCG/JPTV

7 UNIVERSO Y MUESTRA CONTRALORIA GENERAL DE LA REPUBLICA El examen comprendi6 Ia revision del cumplimiento de las normativas relacionadas con las Tecnologias de Informacion y Comunicaciones, TIC, de conformidad con lo dispuesto en los decretos del Ministerio Secretaria General de la Presidencia, MINSEGPRES, referidos a las siguientes normas tecnicas: N 77, de 2004: Sobre eficiencia de las comunicaciones electronicas entre organos de Ia Administracion del Estado, y entre estos y los ciudadanos. N 81, de 2004: Norma tecnica para los organos de Ia AdministraciOn del Estado sobre interoperabilidad del documento electronic. N 83, de 2004: Norma tecnica para los organos de la Administracion del Estado sobre seguridad y confidencialidad del documento electronic. N 93, de 2006: Norma tecnica para minimizar la recepcion de mensajes electronicos masivos no deseados en las casillas electronicas de los organos de la Administracion del Estado y de sus funcionarios. N 100, de 2006: Norma tecnica para el desarrollo de sitios Web de los organos de la AdministraciOn del Estado. Sobre inventario de activos tecnologicos, de un total de 208 equipos en la sede central, informados mediante los correos electronicos, de 11 y 18 de diciembre de 2012, por el Jefe del Departamento de Informatica, se practico una revision aplicando muestreo aleatorio con un nivel de confianza del 95% y una tasa de error del 3%, parametros estadisticos aprobados por esta Entidad Fiscalizadora, determinando una muestra de 77 equipos informaticos, lo que represents un 37 % de los 208 existentes en Ia sede central. El detalle se indica en Anexos N OS 2 y 3. I. ANTECEDENTES GENERALES Mediante la ley N , que crea la Superintendencia de Electricidad y Combustibles, modificada por la ley N , Ia cual establece como Secretaria de Estado al Ministerio de Energia, e introduce modificaciones at decreto ley N 2.224, de 1978 y a otros cuerpos legales, se defini6 que la SEC, es un servicio descentralizado, que se relaciona con el Presidente de la Republica a traves del citado ministerio. El objetivo de Ia SEC, se circunscribe a Ia fiscalizacion y supervigilancia del cumplimiento de las disposiciones legales y reglamentarias, y normas tecnicas sobre generacion, producci6n, almacenamiento, transporte y distribuci6n de combustibles liquidos, gas y electricidad, para verificar Ia calidad de los servicios que se presten a los usuarios. En atencion a las funciones que le competen a la SEC, se establece en los numerates 11 y 17, del articulo 3, de Ia citada ley N , que puede comprobar la falta de calidad y continuidad del servicio, determinando si corresponden a casos fortuitos o de fuerza mayor. Del mismo modo, la Superintendencia queda autorizada para resolver, oyendo a los afectados, los,reclamos que se formulen, entre o en contra de particulares, consumidores y 'YtO 2

8 CONTRALORiA GENERAL DE LA REPUBLICA propietarios de instalaciones electricas, de gas y de combustibles liquidos y que se refieran a cualquier cuesti6n derivada de los cuerpos legales o reglamentarios cuyo cumplimiento le corresponde fiscalizar. Del mismo modo, en el articulo 3 A, de la senalada ley N , se faculta a la SEC para requerir, a las personas y empresas sometidas a su fiscalizacion y a las relacionadas que mantienen vinculos con aquellas, la informacion que fuere necesaria para el ejercicio de sus funciones. Por otra parte, el DFL N 4/20.018, de 2006, que fija el texto refundido, coordinado y sistematizado del DFL N 1, de 1982, del Ministerio de Mineria, Ley General de Servicios Electricos, establece en su articulo 9, que la aplicacion de dicha ley correspondera a la SEC, sin perjuicio de las atribuciones conferidas a la Comision Nacional de Energia, a las Municipalidades, y al Ministerio de Economia, Fomento y Reconstrucci6n. Las observaciones determinadas en el examen fueron expuestas en el Preinforme de Observaciones N 2, de 2013, de esta Contraloria General, puesto en conocimiento de la Superintendencia de Electricidad y Combustibles mediante el Oficio N 6.801, de 31 de enero de 2013, para que formulara los alcances y precisiones que a su juicio procedieran, lo que se concreto a traves del Oficio ORD. N 1.400, de 14 de febrero de 2013, antecedentes que fueron considerados para la emision del presente informe final. II. ESTRUCTURA ORGANIZACIONAL Y PLATAFORMA TECNOLOGICA 1. OrganizaciOn El Departamento de Informatica de la Superintendencia de Electricidad y Combustibles, se encuentra en un nivel jerarquico medio dentro de la estructura organizacional, dependiendo directamente del Superintendente, ver Anexo N Plataforma de hardware Como se indica precedentemente, de la toma de inventario de 77 equipos informaticos, se constataron las siguientes situaciones: a) Inconsistencia entre el inventario y Ia muestra validada, respecto a tres computadores y dos monitores, los cuales se encuentran sin codificacion en el registro, sin embargo, efectuada la revision presentan etiquetas y c6digo de inventario asociado. b) Dos computadores presentan un codigo de inventario registrado distinto al de su etiqueta. c) El computador y monitor asignados al usuario MZUBICUETA, se encuentran inventariados con los codigos N OS y , sin embargo, en las etiquetas de inventario estos codigos estan permutados. Se verifico en Ia oficina de atencion al poblico, que los equipos computacionales con codigos de inventario N OS y , asignados al usuario 3

9 RCARRIL, son utilizados por otro usuario, el cual no se encuentra identificado. Asimismo, el computador codigo de inventario N , asignado a CBARRIGA es usado por MRODRIGUEZ, y el equipo codigo de inventario N , asignado a FOTAROLA, es empleado por EMARCHANT. e) Se determine) que el equipo asignado al usuario externo CARRIAGADA, no posee codigo de inventario. f) En la oficina de atencion al public, se detecto que dos equipos son usados por usuarios distintos a los asignados en el inventario. En relacion a las deficiencias expuestas, Ia Superintendencia de Electricidad y Combustibles, ha proporcionado antecedentes que respaldan las correcciones de los casos observados. Al respecto, esta Contraloria General da por subsanadas las observaciones formuladas. 3. Plataforma de comunicaciones 3.1. Red La red de comunicaciones existente en el Servicio, interconecta los pisos en su oficina central, por medio de cableado estructurado punto a punto para la red de datos y voz, por medio de 220 conexiones, desde los switches de borde, a traves, de los enlaces ubicados en Ia sala de servidores, conectados mediante cable UTP y fibra optica. Asimismo, se verifico que la tecnologia fue implantada en base a la norma EIA/TIA 568, cumpliendo los requerimientos de las especificaciones tecnicas, relativas a diseno, implementacion, mantencion y administracion del sistema de cableado, indicados en Ia propuesta de Ia solucion, antecedentes que se encuentran en el documento "II. Solucion de cableado Estructurada", de la empresa proveedora Equipos Tecnicos y de Comunicaciones S.A., ETICSA. Cabe senalar, que la red se encuentra segmentada en doce redes de area local virtuales, que proveen conectividad a los departamentos internos de la superintendencia, del mismo modo, cuenta con un equipo de red privada virtual, VPN, el cual suministra servicios de integracion con las cuentas de active directory del dominio de Windows. Adicionalmente, se verifico Ia existencia de una red inalambrica, constituida por cuatro equipos que operan en Ia banda de 2.4 ghz., bajo estandares IEEE g y b, de hasta 54 Mbps de velocidad, proporcionando seguridad de acuerdo al estandar i, a fin de no degradar el rendimiento de las comunicaciones. En lo que respecta a las comunicaciones en regiones, se encuentra implantada una Red IP/MPLS, proporcionada por la empresa Telefonica Chile S.A., como plataforma de transporte, asimismo, existe un enlace de datos con acceso a Internet, por medio de FastEthernet Full-Duplex Nacional y otro adicional con ancho de banda internacional de 4 Mbps. 4

10 3.2. Firewall CONTRALORIA GENERAL DE LA REPUBLICA La Institucion examinada tiene contratado un servicio de seguridad perimetral y monitoreo de aplicaciones, el que fue aprobado por Ia resolucion exenta N 492, de 16 de marzo de 2009, el cual incluye Firewall, IDP y VPN, encontrandose vigente con la empresa Intesis Ltda., la que administra y entrega peri6dicamente informes de las operaciones de seguridad. Por otra parte, el firewall dispone de dos equipos de cluster de alta disponibilidad. 4. Plataforma de software Con respecto a la plataforma de software, la Superintendencia de Electricidad y Combustibles, dispone de 22 sistemas especificos, cuyos nombres y funcionalidades, se encuentran descritos en el Anexo N 4, estos sistemas permiten a los usuarios, como concesionarias, instaladores, entre otros, administrar la informacion sobre la fiscalizacion que realiza la SEC. En consideracion a lo expuesto, los sistemas denominados Tecnologia Innovadora para la Modernizacion y Excelencia en el Servicio, para las direcciones regionales; Sistemas de Informacion de Atenci6n Ciudadana, SIAC; Sistema para la Gesti6n de lnstalaciones, PESCE; Programa de Regularizacion de Abastecimiento a instalaciones, PRAI, corresponden a desarrollos efectuados internamente. Por otra parte, el software denominado COGNOS, para Business Intelligence, BI, y Administracion del Desempeno Financiero, es un sistema implementado en la plataforma IBM, mediante una ejecuci6n desarrollada en forma conjunta con la empresa Integradores de Tecnologias y Sistemas S.A. durante el Para la presente auditoria, se seleccionaron dos de los subsistemas que participan en Ia elaboracion del ranking anual que realiza Ia SEC. El STAR, por su importancia en los procesos de fiscalizacion indirecta de la SEC y el sistema de encuesta, por su relevancia en la obtencion de datos, respecto al proceso antes citado. III. INCUMPLIMIENTO DE DECRETOS La revision se circunscribio a verificar el cumplimiento de los decretos del Ministerio Secretaria General de la Presidencia, MINSEGPRES, relacionados con el ambiente TI, de cuya revision, se puede observar lo siguiente: 1. Decreto N 83, de 2004, del MINSEGPRES En lo referente la seguridad y confidencialidad de los documentos electronicos, es dable serialar: a) Verificada Ia Politica de Seguridad Institucional, se detecto que no especifican los mecanismos de difusi6n de los contenidos al interior de Ia organizacion, lo 5

11 que vulnera el articulo 11, del citado acto administrativo. Del mismo modo, evaluadas las instrucciones relativas al consumo de alimentos, bebidas y tabaco en las cercanias de sistemas informaticos, asi como las condiciones climatologicas y ambientales que pueden afectar a estos o entornos cercanos, se verific6 que no se imparten ni publicitan, infringiendo lo senalado por el articulo 18 del citado cuerpo reglamentario. Sobre lo senalado, Ia superintendencia corrobora lo observado, e indica que realizara una modificaci6n al documento denominado Politica de Seguridad Institucional, contenido en Ia resolucion exenta N 2.120, de 26 de octubre de 2012, especificando los mecanismos de difusion del mismo, y estableciendo como plazo hasta el 30 de abril de Sin perjuicio de lo anterior, anade que en Ia actualidad esta es publicada en Ia Intranet del Servicio. Adicionalmente, expone que se confeccionara una orden de servicio, con instrucciones sobre el consumo de alimentos, bebidas y otros elementos que puedan afectar los sistemas informaticos, precisando, que sera remitida por correo electronic institucional, y publicada en la Intranet institucional, al 31 de marzo de No obstante lo informado, el Servicio complementa en su respuesta, que el encargado de seguridad de Ia informaci6n ha elaborado una propuesta sobre disposicion de "Escritorios Limpios", la cual sera integrada al momento de dictar la orden de servicio, ya aludida. b) Efectuadas las validaciones se comprobo que las instrucciones no incluyen Ia indicacion de cambiar las contrasenas, cuando hayan indicios de una brecha en la seguridad, asi como la recomendacion de elegir contrasenas que sean faciles de recordar, contengan letras, may6sculas, digitos, y caracteres de puntuacion, no ester) basados en elementos obvios o de facil deducci6n, trasgrediendo lo expuesto en el articulo 28 del aludido decreto. En relacion al use de contrasenas seguras, la entidad senala que efectuara una modificaci6n de la Politica de Seguridad Institucional, contenida en la resolucion exenta N 2.120, de 26 de octubre de 2012, en su punto VI, referente a los roles y responsabilidades, a fin de definir de manera explicita y detallada las indicaciones sobre cambios de contrasenas, estableciendo como plazo de correcci6n el 30 de abril de c) Respecto a la validacion realizada sobre las buenas practicas implantadas en el Servicio, se constato que no son promovidas para reducir el riesgo de acceso no autorizado a documentos electronicos o sistemas informaticos, vulnerando lo estipulado por el articulo 31 del mencionado texto normativo. La superintendencia corrobora en su respuesta la vulneracion del articulo 31, del decreto antes senalado, e indica que formalizara a traves de un documento interno, las buenas practicas implementadas, a fin de que sea difundido por medio de correos electronicos al menos en periodos semestrales, y publicaciones en Ia Intranet institucional, medida que se hara efectiva al 30 de marzo de

12 d) En relacion con el analisis realizado, sobre la coordinaci6n con las autoridades de emergencia, como policia, bomberos, autoridades directivas, entre otros, se observo la inexistencia de un plan que regule las comunicaciones entre el Servicio y las autoridades citadas, infringiendo lo indicado por el articulo 35 del decreto ya citado. En lo atingente a Ia observacion previa, el Servicio expone que realizara una modificaci6n al documento de plan de contingencia, incluyendo todos los aspectos referenciados en el articulo 35, del decreto N 83, de 2004, del Ministerio Secretaria General de la Presidencia, abordando la deficiencia relacionada con las comunicaciones entre el Servicio y las autoridades de emergencia, contenida en el plan de contingencia. Ademas, indica que por tratarse de una modificacion mayor, considerara recursos internos y asesoria externa, por consiguiente, al 30 de junio de 2013, se contara con el documento modificado y formalizado. e) Para comprobar Ia validez de la politica de seguridad, el costo e impacto de los controles en la eficiencia del negocio y los cambios de tecnologia, se acredito que el cronograma de revisiones periodicas no indica que se evaluara su efectividad, contraviniendo lo serialado en la letra a), del articulo 37 del mismo cuerpo normativo. En relacion a la deficiencia advertida, el Servicio indica que al 30 de abril de 2013, modificara el documento denominado "Politica de Seguridad Institucional", contenido en la resolucion exenta N 2.120, de 26 de octubre de 2012, integrando en Ia nueva version, el requerido cronograma de revisiones. f) En el caso particular de la acreditacion de las referencias del personal que posee acceso a los equipos de procesamiento de datos y a los que manipulan informaci6n sensible, se detect6 que dicho proceso no se efectua. Respecto de lo observado, Ia entidad expone que como medida correctiva, en el caso de procesos licitatorios y grandes compras, incorporara una clausula indicando que tal verificacion sera responsabilidad de Ia empresa adjudicataria de los servicios, incluyendola en los respectivos contratos o acuerdos complementarios. Por otra parte, si Ia adquisicion de servicios es ejecutada mediante convenio marco, procedera de acuerdo a Ia normativa vigente de dichos proveedores con el Estado, licitado por la Direccion de Compras y Contratacion Publica. g) En relacion a la inspeccion efectuada a las instalaciones sensibles y de procesamiento de informacion, se corroboro que no existe un compromiso de no divulgacion, ni se informa de las restricciones, requisitos de seguridad, y de los procedimientos de emergencia del area, infringiendo la letra e) del mencionado articulo 37. La autoridad indica en su respuesta que, atendiendo la urgencia de la observacion ha dispuesto en Ia entrada del Datacenter un formulario de no divulgacion que debe ser firmado por el personal que ingrese, asimismo, se incorporo el procedimiento de acceso en la sala de 7

13 servidores. Ademas, agrega que ha dispuesto de una copia fisica de las politicas de seguridad, y los procedimientos de emergencia de las instalaciones fisicas. h) En atenci6n a Ia verificacion efectuada sobre los equipos computacionales que se usan fuera de la organizacion, se constato que estos, no se encuentran asegurados por companias del rubro. En su respuesta, el Superintendente de Electricidad y Combustibles, informa que ha solicitado cotizaciones para estimar el costo de una poliza con dichos bienes que permits, de acuerdo a Ia disponibilidad presupuestaria, evaluar Ia pertinencia de contar con un seguro para los equipos en mencion. Analizadas las clausulas en los contratos de personal, se constato Ia inexistencia de aquellas que especifiquen sanciones, en el caso que el personal intente accesar sin autorizacion en los sistemas informaticos, contraviniendo lo indicado en la letra g) del articulo 37, del citado decreto. Esta situacion fue corroborada mediante memorandum S/N, de 17 de diciembre de 2012, por el Jefe de la Unidad de Personal. Sobre el particular, Ia SEC senala que procedera a incorporar, desde el mes de marzo de 2013, una clausula que establezca las responsabilidades del personal contratado, en lo que se refiere al acceso a los sistemas informaticos. Asimismo, agrega que para los funcionarios de planta y contrata, en cuyo caso existe Onicamente una resolucion de nombramiento firmada por el jefe de Servicio, procedera a incorporar como parte de las declaraciones juradas simples que exige el tramite de contratacion, una declaracion especifica sobre el acceso a los sistemas informaticos. j) En el analisis realizado al Plan de Contingencia, se comprob6 que este no incluye la identificacion de los eventos que pueden causar interrupciones a los procesos del negocio, ni una valorizacion del riesgo para determinar el impacto de las interrupciones a los procesos criticos, asimismo, este no se encuentra aprobado por Ia Direccion, vulnerando lo establecido en Ia letra i), del referido articulo 37. Ante Ia situaci6n advertida, Ia entidad senala que las mejoras corresponden a una modificaci6n mayor, la cual sera corregida y formalizada por medio de una nueva version al 30 de junio de Sobre lo sefialado, el Servicio informa que cuenta con una Unidad de Informatica, atendiendo a las disposiciones legales y reglamentarias que establecen el cumplimiento de Ia normativa vigente, aplicable a la Administracion del Estado, lo que ha permitido modernizar permanentemente su plataforma tecnologica, asegurando Ia actualizacion de la infraestructura y el aprovechamiento de las oportunidades que plantea la innovacion en materia informatica, estableciendo como parametros la confiabilidad, oportunidad y seguridad j de la informacion. En el contexto descrito, durante 2012, indica que fueron formalizadas las resoluciones sobre: politica de clasificacion de Ia informacion; politica 8

14 A' CONTRALORIA GENERAL DE LA REPUBLICA de seguridad; politica de use de correo electronico; politica de use de Internet; politica de cierre mensual; use aceptable de software, y designacion de funcionario encargado de cierre diario. Considerando lo expuesto por Ia autoridad del Servicio, respecto de los literales anteriores, y efectuadas las verificaciones por parte de esta Contraloria General, se constat6 que no han sido subsanadas las deficiencias advertidas, por lo que procede a mantenerlas, lo cual debera ser verificado a futuro por la Unidad de Seguimiento de este Organismo de Control. No obstante lo anterior, se da por subsanada la observacion planteada en el literal g). 2. Decreto N 93, de 2006, del MINSEGPRES En relacion con el procedimiento que regula Ia desvinculacion de los funcionarios del Servicio, se detecto que al cesar un usuario en funciones, no existe una configuration del servidor de correo que rechace automaticamente los mensajes electronicos dirigidos a Ia casilla institucional personal que hays estado asignada, ni un mensaje de aviso para que el recurrente disponga de una o mss casillas electronicas alternativas a las cuales redirigirse, infringiendo con ello lo sefialado en el articulo 9 del referido decreto. Al respecto, la superintendencia expone que modificara el procedimiento de baja de usuarios de los sistemas informaticos, para incluir un capitulo de reconfiguracion de las cuentas de correos de los funcionaros desvinculados. Asimismo, agrega que realizara las configuraciones en el servidor de correo institucional, indicando que para ello establecio contacto con Microsoft Chile S.A., solicitandole los protocolos para efectuar el proceso que permits una respuesta automatica del buzon de un usuario en Exchange 2010 usando el Exchange Control Panel o Exchange Management Shell. Adicionalmente, sefiala que implementara un protocolo semi-manual, el cual se ejecutara al momento de desvincular a un funcionario, con la finalidad de que su cuenta de dominio de red quede bloqueada, junto con habilitar un mensaje automatico de respuesta indicando que el mail debe ser redirigido a la casilla de contacto institucional. En atencion a lo informado, y considerando que las mejoras comprometidas por la entidad no se encuentran implementadas, procede mantener lo objetado, no obstante su efectiva implementacion, se verificara en futuras visitas de esta Contraloria General. 3. Decreto N 100, de 2006, del MINSEGPRES Respecto a las pruebas efectuadas sobre la estructura de las hojas de estilo en cascada, y del sitio Web, se advirtio que no se validan, ni el c6digo de despliegue utilizado en el mismo, transgrediendo asi lo indicado en el articulo 5, del aludido decreto. En lo referente a los incumplimientos precitados, cabe indicar que ello da cuenta de falta de controles asociados a la materia y eventualmente una infraccion a los articulos 61 y 64 de la ley N , 9

15 sobre Estatuto Administrativo, en lo relativo a Ia obligacion de los funcionarios de dar cumplimiento a la normativa y la obligacion de las jefaturas de ejercer un control jerarquico permanente respecto del personal de su dependencia, en lo que dice relacion con el cumplimiento de planes, programas y normas. Al respecto, Ia autoridad informa que realizo una revision del codigo del sitio Web, usando como validador el indicado en el articulo aludido del decreto N 100 precitado, Del mismo modo, agrega que a partir de los errores identificados en este proceso, efectuo los ajustes y modificaciones en Ia codificaci6n, evidenciando en su respuesta que el chequeo de los validadores de CSS y HTML, generan resultados satisfactorios. Ademas, la autoridad informa que realizara una evaluacion completa del sitio Web institucional en lo referente al cumplimiento de estandares W3C, fijando como plazo para efectuar estas actividades el 30 de mayo de Sin perjuicio de las correcciones ejecutadas y Ia validacion del sitio Web de Ia SEC, procede mantener lo observado, toda vez que el diagn6stico definitivo no se ha concretado, situacion que sera evaluada en futuras visitas de fiscalizacion por la Unidad de Seguimiento de esta Contraloria General. IV. ANALISIS DE LOS SUBSISTEMAS STAR Y ENCUESTA De acuerdo al plan de auditoria, se desarrollo un analisis que incluyo pruebas operativas del Sistema Tecnologico de Apoyo a Ia Regulacion, el cual permite cargar, presentar y validar la informacion entregada por parte de las empresas de cobertura de Ia SEC para su fiscalizacion. Conjuntamente, en Ia evaluacion realizada, se constato que el sistema, permite entre otras funciones, cargar los resultados de Ia encuesta de calidad de servicio electric, las adiciones y retiros de los bienes fisicos de las empresas concesionarias, y las interrupciones, entre otros. En atenci6n a lo senalado en el parrafo precedente, se constato que el STAR, ejecuta la carga de los datos enviados a un sistema de administracion de base de datos Oracle, para luego realizar el procesamiento en una fecha especifica, con la finalidad de calificar por medio de un proceso de encuesta, Ia satisfaccion de cada empresa distribuidora de electricidad, sujeta a la fiscalizacion por parte de Ia SEC. Cabe manifestar, que la Superintendencia de Electricidad y Combustibles realiza anualmente un ranking de medicion de la calidad del desemperio de las empresas de distribuci6n electrica, de acuerdo a lo establecido en el DFL N 4/20.018, de 2006, del Ministerio de Economia, Fomento y Reconstruccion, considerando el calculo de un promedio ponderado de tres factores, los cuales se indican a continuacion: Cantidad de interrupciones, ponderada al 50% y medida a traves de indices de continuidad, correspondiente a Ia frecuencia promedio de afectacion para cada alimentador y el tiempo promedio de interrupcion del suministro. 10

16 Valores obtenidos en Ia encuesta de calidad de servicio electrico a los usuarios, ponderados al 37,5 %. Cantidad de reclamos, cuantificado en un 12,5%. Al respecto, se puede serialar que las interrupciones son informadas por las distribuidoras electricas a Ia SEC, utilizando el STAR, desde el sitio Web institucional. En relacion con los indices de continuidad, existe un procedimiento no formalizado que permite realizar cambios fuera de plazo, a la informacion enviada por las empresas a la superintendencia, especificando el fundamento de la modificacion. Considerando las funcionalidades, se pudo acreditar que el sistema permite a sus usuarios administrar la informacion cargada. De igual manera, los reclamos que las empresas hayan recibido directamente de sus clientes, son informados a la SEC por medio de un subsistema dispuesto para este fin, del mismo modo, aquellos recibidos por la SEC son informados a la empresa involucrada mediante una aplicacion Web. En atencion a lo expuesto precedentemente, los reclamos recibidos por las distribuidoras y Ia SEC, son considerados en el calculo del ranking de calidad de desemperio. En forma complementaria, es dable destacar que la SEC comienza el proceso de encuestas, informando a las distribuidoras acerca de detalles tecnicos sobre las empresas encuestadoras autorizadas, por medio de un oficio circular. Se valide) el funcionamiento del procesamiento de las encuestas, por medio de pruebas tecnicas incorporando datos de entrada con archivos de texto estructurados y codificados, de salida y reglas de negocio, asociadas a la Superintendencia de Electricidad y Combustibles, sin que se detectaran observaciones. Por otra parte, analizado el sistema en estudio, se comprobo Ia existencia de controles de integridad para la estructura, y contenido de los archivos, referido a los resultados de las encuestas, junto a una funci6n que al cargar los archivos detecta y reporta los errores contenidos en los datos, ver Anexo N 5. A su vez, para el procedimiento que calcula el ranking de calidad del desemperio, se realize) por parte de este Organismo de Control, una simulacion del proceso con las reglas de negocio del STAR, incluyendo registros, que represents el 100% de los registros del alio 2011, respecto de los cuales no se detectaron diferencias con la encuesta informada por la SEC, en el periodo de la auditoria. 11

17 V. CONCLUSIONES CONTRALORIA GENERAL DE LA REPUBLICA La Superintendencia de Electricidad y Combustibles, mediante oficio N 1.400, de 2012, ha dado respuesta y proporcionado los antecedentes y fundamentos que permiten subsanar en parte las observaciones planteadas en el Preinforme de Observaciones N 2, de Sin embargo, existen algunas situaciones que persisten, en lo atingente al capitulo III, incumplimiento de decretos, respecto de las cuales se deberan adoptar las medidas que contemplen las siguientes acciones: 1. Efectuar las mejoras que permitan dar cumplimiento integral a lo dispuesto en el decreto N 83, de 2004, del MINSEGPRES, concerniente a aspectos de seguridad y confidencialidad del documento electronic, segun lo senalado en el numeral 1, relativo a completar y actualizar las instrucciones, restricciones, procedimientos y politicas de seguridad, relaciones contractuales y planes de contingencia. 2. Rectificar los procedimientos adoptados al momento de cesar las funciones del personal, asegurando el bloqueo y redireccionamiento de las casillas electronicas correspondientes, de acuerdo a lo indicado en el numeral 2, del decreto N 93, de 2006, del Ministerio Secretaria General de la Presidencia, sobre las medidas orientadas a minimizar Ia recepcion de mensajes electronicos masivos no deseados. 3. Corregir las deficiencias identificadas en el cuerpo de este documento, relativas a la falta de validacion del codigo del sitio Web institucional y sus hojas de estilo en cascada respectivas, acorde a las indicaciones expuestas en el numeral 3, referente al decreto N 100, de 2006, del MINSEGPRES, sobre el desarrollo de sitios Web. En atencion a lo expuesto, debe dejarse establecido que Ia efectividad de las medidas que procede adoptar, seran verificadas en Ia proxima auditoria que se realice en Ia Superintendencia de Electricidad y Combustibles, de acuerdo a las politicas de esta Contraloria General sobre seguimiento de sus programas de fiscalizacion, sin perjuicio de informar a este Organismo de Control sobre las medidas adoptadas para los numerales 1 al 3, en el plazo de 60 dias habiles, contados desde la recepcion del presente informe. Saluda ate' tilamente a Ud., JEAN PAUL BA T VERDUGC Age Unided de Division de de SIstemeS Administrative 12

18 Regdn do Watevalso CONTRALORIA GENERAL DE LA REPUBLICA ANEXO N 1 Organigrama de la Superintendencia de Electricidad y Combustibles AIM 1 C = Mak SINORIA ascfecoxe (Casprinitit SUPERiBTENDENTE (A), Pa. - a. c,ia Reu.6n.ae larapaci Rep:, de Ama'agasta Reseda de Atacama Undad Auditoria Interns Nora Cocrdnacan ()renow:4 ROgOnSIMI Roved do COduentc, Rep*, der Libortador General Bernardo 0 Nggins Region do Miele Comunicacidnos Reg,On dn Bio Bio Region do 4 Araucania Reaped do Los Rico 01. Provincial Cbain Of Rog& de Los Lagos Prow** Demo 0,44a ingennalla do Combustibles DonsiOn J addles Orr sdn Ingoniorla do Eloctricidad Rog On de Amen del Grsl C Ibanez eel Campo Region de liapallano y la Mende Cnriona Opto is to rnas Combusbb los Depto Gone/wide y Transport* Eloctricidad inspectdd Combusbblos Dpto TlIcruco Sistemai do E4Ctricadad Coto Tecniro Inspoceldn do Eloctricidad Combustibles Liauidos homes y Estuddo :opal Sec-Marla Gonad' y Control de Gestion intormatica I Depanarnevo Admintstroadn y Dosarrono 1 Cepti IFC,),.:0 to Produce>, T IUnidad Atonal& do Usuanos Departamento Administration '..". 4partamentO Finanzas Csarterento Personal Fuente: Sitio Web de Superintendencia de Electricidad y Combustibles,

19 ANEXO N 2 Inventario de Computadores y Monitores en Santiago DownTown REGISTROS USUARIO ALIAS MODELO PC SERIAL PC MODELO MONITOR 1 SERIAL MONITOR 1 CODIGO INVENTARIO 171 JGONZALEZF CMOYA RPAREDES RGOMEZ RGOMEZ HP COMPAQ 8200 ELITE SFF PC HP COMPAQ 8200 ELITE SFF PC MXJ942026W LE1711 CNC936SNWB MXJ LE1711 CNC936SN6H MXL1310MBL HP S1933 CNC118SW9B MXJ942022N LE1711 CNC935PH1F MXL1491G3X E LTUY0A MPONCE ULTRA FMBOOH VA2223WM RA RBRIONES JGONZALEZ DAGUILERA HP COMPAQ 8200 ELITE SFF PC HP COMPAQ 8200 ELITE SFF PC MXL1491G3T E LTKU0A429 MXJ94900M4 LE1711 CNC935PGT2 MXL1491G47 HP S1933 CNC117R32S CODIGO INVENTARIO PC: CODIGO INVENTARIO PC: CODIGO INVENTARIO PC: USUARIO RAUL PAREDES EXTERNO. CODIGO INVENTARIO PC: CODIGO INVENTARIO PC: SIN CODIGO. CODIGO INVENTARIO MONITOR: SIN CODIGO. USUARIO: RODRIGO GOMEZ. CODIGO INVENTARIO PC: CODIGO INVENTARIO MONITOR 1: CODIGO INVENTARIO MONITOR 2: USUARIO. CODIGO INVENTARIO PC: SIN CODIGO. CODIGO INVENTARIO MONITOR: SIN CODIGO. USUARIO: RODRIGO BRIONES EXTERNO. CODIGO INVENTARIO PC: CODIGO INVENTARIO PC: SIN CODIGO. CODIGO INVENTARIO MONITOR: USUARIO: DIPONIBLE PARA EXTERNO. 14

20 REGISTROS USUARIO ALIAS MODELO PC SERIAL PC MODELO MONITOR 1 SERIAL MONITOR 1 CODIGO INVENTARIO 187 LLAMILLA HP COMPAQ 8200 ELITE SFF PC MXL13110D2 HP S1933 CNC118SVZ4 CODIGO INVENTARIO PC: USUARIO: LUCIANO LAMILLA. 152 SBARRERA DTORRES IOTAROLA HP COMPAQ 8200 ELITE SFF PC MXJ942028Z LE1711 3CQ MXL1310MB9 LE1711 CNC935PH19 MXJ95203LC LE1711 CNC935PGTG CODIGO INVENTARIO PC: CODIGO INVENTARIO PC: USUARIO: DISPONIBLE PARA EXTERNO. CODIGO INVENTARIO PC: MCABEZA MXJ LE1711 CNC935PGYP CODIGO INVENTARIO PC: MZUBICUETA MXJ94901FH LE1711 CNC936SPLM CODIGO INVENTARIO PC: SCORVALAN MXJ942028Y E LTKU0A117 CODIGO INVENTARIO PC: SIN CODIGO. 140 HALARCON MXJ95203J0 LE1711 CNC936SNT5 CODIGO INVENTARIO PC: MARANDA MXJ94904YH LE1711 CNC936SNTW CODIGO INVENTARIO PC: CPAREDES MXJ942023J LE1711 CNC936SNWH CODIGO INVENTARIO PC: EGARRIDO MXJ942028M LE1711 CNC936SP44 CODIGO INVENTARIO PC: ) 6 WREBOLLEDO MXJ94904XG LE1711 CNC936SNWL CODIGO INVENTARIO PC: