INFORME DE AUDITORÍA TI de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad Auditoría
|
|
- Alejandra Duarte Giménez
- hace 8 años
- Vistas:
Transcripción
1 INFORME DE AUDITORÍA TI de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad Auditoría 13751) Período auditado: 18 de junio de 2012 al 30 de agosto de 2013
2
3 TI CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 5 OPINIÓN Y HALLAZGOS Falta de un informe de análisis de riesgos de los sistemas de información computadorizados Falta de un plan de seguridad, de un procedimiento para el manejo de incidentes y de adiestramientos a los empleados de la Oficina de Informática sobre la seguridad de los sistemas de información Deficiencias relacionadas con el Plan de Contingencias de la Oficina de Sistemas de Informática, y falta de pruebas o simulacros que certificaran la efectividad del Plan, y de un centro alterno para la recuperación de las operaciones computadorizadas Deficiencias relacionadas con los controles ambientales y físicos en las áreas en las que se mantenían los equipos de comunicaciones y en el Cuarto de Servidores de la Oficina de Informática Deficiencias relacionadas con los parámetros de seguridad, con la administración de las cuentas de acceso y con el proceso de desactivar las cuentas de los exempleados, y falta de revisiones periódicas de los registros de eventos de los sistemas operativos de los servidores Falta de preparación de una copia adicional de los respaldos almacenados en el disco externo para mantenerla fuera de los predios de la ASG Falta de revisiones de la bitácora del servidor configurado para el servicio de Internet y programas instalados no autorizados por la ASG Documentos no suministrados para examen relacionados con la solicitud y la creación de cuentas de acceso, y con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador y de conexión remota Deficiencia relacionada con el proceso de disposición de equipos con información sensitiva, y falta de mantenimiento preventivo a los equipos computadorizados RECOMENDACIONES AGRADECIMIENTO ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 38
4 2 TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 2 de mayo de 2014 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Informática de la Administración de Servicios Generales de Puerto Rico (ASG) para determinar si las mismas se efectuaron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 18 de junio de 2012 al 30 de agosto de En algunos aspectos examinamos transacciones de fechas anteriores. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministradas por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este es el primer informe, y contiene nueve hallazgos sobre el resultado del examen que realizamos de los controles establecidos para la administración de la seguridad, el acceso lógico y la continuidad del servicio. El mismo está disponible en nuestra página en Internet:
5 TI INFORMACIÓN SOBRE LA UNIDAD AUDITADA La ASG fue creada mediante el Plan de Reorganización 2 (Sustitutivo) de Dicho Plan transfirió y agrupó en esta agencia servicios auxiliares diversos necesarios para el funcionamiento de los organismos gubernamentales que hasta entonces se prestaban en varias agencias. El propósito de la ASG es simplificar y aligerar los trámites de los servicios para mejorar la calidad y controlar sus costos. La ASG comenzó a operar en enero de Mediante la Ley Núm. 164 del 23 de julio de 1974, Ley de la Administración de Servicios Generales, según enmendada, se redefinió y clarificó el propósito y las funciones de la ASG y se establecieron los poderes y las facultades del Administrador. El 21 de noviembre de 2011 se aprobó el Plan de Reorganización 3, Plan de Reorganización de la Administración de Servicios Generales de Puerto Rico de Dicho Plan deroga el Plan de Reorganización 2 y la Ley Núm El objetivo de este Plan es lograr la optimización del nivel de efectividad y eficiencia de la gestión gubernamental; la agilización de los procesos de prestación de servicios mediante el uso de los avances tecnológicos; la reducción del gasto público; la asignación estratégica de los recursos; una mayor accesibilidad de los servicios públicos a los ciudadanos; la simplificación de los reglamentos que regulan la actividad privada sin menoscabo del interés público; y la reducción de la carga contributiva de los puertorriqueños. El Plan de Reorganización 3 también creó la Junta de Subastas y la Junta Revisora de Subastas, ambas adscritas a la ASG. La primera tiene naturaleza cuasijudicial y está facultada para evaluar y adjudicar, mediante un procedimiento uniforme, todas las subastas del Gobierno de Puerto Rico. La segunda tiene autonomía adjudicativa y tiene la encomienda de revisar las adjudicaciones hechas por la Junta de Subastas que sean objeto de investigación. La administración y la supervisión de las operaciones de la ASG las ejerce un Administrador nombrado por el Gobernador de Puerto Rico con el
6 4 TI consejo y el consentimiento del Senado de Puerto Rico. Para llevar a cabo sus funciones, la ASG cuenta con los componentes ejecutivo, asesor y operacional. El componente ejecutivo lo integran la Oficina del Administrador y del Subadministrador, y las juntas de Subastas, Reguladora y de Reconsideración. El componente asesor lo constituyen las oficinas de Asuntos Legales, de Administración de Recursos Humanos y Relaciones Laborales, y de Fiscalización y de Auditoría Interna. Cada una de estas oficinas es dirigida por un Gerente que le responde al Administrador. El componente operacional lo constituyen las administraciones auxiliares de Administración, de Adquisición y de Operaciones. Cada una de estas administraciones es dirigida por un Administrador Auxiliar que le responde al Administrador. Bajo la Administración Auxiliar de Administración están las oficinas de Finanzas y Presupuesto, de Informática, y de Donativos Legislativos; el Archivo Inactivo; y los Servicios Administrativos. La ASG cuenta con cinco oficinas regionales localizadas en Guayama, Hato Rey, Manatí, Mayagüez y Ponce. En estas se encuentran las estaciones de gasolina y el depósito de propiedad excedente. A la fecha de nuestra auditoría la Oficina de Informática era dirigida por un Ayudante Especial y contaba con un Administrador de la Red de Informática y con un Analista Programador de Sistemas de Informática II. El Ayudante Especial le respondía al Administrador Auxiliar de Administración 1. La Oficina de Informática tenía en operación una red de comunicaciones de área local (LAN, por sus siglas en inglés) para la comunicación entre los edificios y pisos de la ASG, y se comunicaba con sus cinco oficinas regionales mediante líneas dedicadas T1. Los gastos operacionales de la Oficina de Informática eran sufragados del presupuesto operacional de la ASG, que para los años fiscales del al ascendió a $9,170,000, $13,203,000 y $13,613,000, respectivamente. 1 A partir del 21 de diciembre de 2012, la Oficina de Informática dejó de ser dirigida por el Ayudante Especial, por lo que el Administrador de la Red de Informática y el Analista Programador de Sistemas de Informática II le respondían directamente al Administrador Auxiliar de Administración.
7 TI El ANEJO contiene una relación de los funcionarios principales de la ASG que actuaron durante el período auditado. La ASG cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca de la entidad y de los servicios que presta. COMUNICACIÓN CON LA GERENCIA Las situaciones comentadas en los hallazgos de este Informe fueron remitidas al CPA Luis M. Castro Agis, Administrador de la ASG, mediante cartas de nuestros auditores del 18 de abril, 3 de junio y 19 de septiembre de En las referidas cartas se incluyeron anejos con detalles sobre las situaciones comentadas. Mediante cartas del 7 de mayo, 26 de junio y 4 de octubre de 2013, el Administrador de la ASG remitió sus comentarios sobre los hallazgos incluidos en las cartas de nuestros auditores. Sus comentarios fueron considerados en la redacción del borrador de este Informe. El borrador de los hallazgos de este Informe se remitió al Administrador de la ASG y a la Sra. Olga M. de Cardona Martínez, ex-administradora de la ASG, mediante cartas del 6 de marzo de En el borrador de los hallazgos se indicaron datos específicos, tales como: nombres, cuentas de acceso y localizaciones, que por seguridad no se incluyen en este Informe. El 18 de marzo de 2014 el Administrador de la ASG solicitó una prórroga para remitir sus comentarios al borrador de los hallazgos de este Informe. El 19 de marzo le concedimos la prórroga solicitada hasta el 31 de marzo. El 1 de abril solicitó una prórroga adicional la cual concedimos hasta el 4 de abril. El Administrador de la ASG contestó el borrador de los hallazgos de este Informe mediante carta del 4 de abril de Sus comentarios fueron considerados en la redacción final de este Informe. En los hallazgos 1, 2, 4, y 5 se incluyen algunos de sus comentarios.
8 6 TI La ex-administradora de la ASG contestó el borrador de los hallazgos de este Informe mediante carta del 19 de marzo de Sus comentarios fueron considerados en la redacción final de este Informe, y en los hallazgos se incluyen algunos de estos. OPINIÓN Y HALLAZGOS Las pruebas efectuadas revelaron que las operaciones de la Oficina de Informática de la ASG, en lo que concierne a los controles establecidos para la administración del programa de seguridad, el acceso lógico y la continuidad del servicio, se realizaron sustancialmente conforme a las normas generalmente aceptadas en este campo, excepto por los hallazgos del 1 al 9 que se comentan a continuación. Hallazgo 1 - Falta de un informe de análisis de riesgos de los sistemas de información computadorizados Situación a. Un análisis de riesgos de los sistemas de información computadorizados es un método para identificar las vulnerabilidades y las amenazas a los recursos de dichos sistemas. Mediante este se identifican los posibles daños para determinar dónde implantar las medidas de seguridad para proteger dichos recursos, de manera que no se afecten adversamente las operaciones. Este método se utiliza para asegurar que las medidas de seguridad a ser implantadas sean costo-efectivas, pertinentes a las operaciones de la entidad gubernamental y que respondan a las posibles amenazas identificadas. El análisis de riesgos tiene cuatro objetivos: Identificar los activos y el valor monetario asignado a los mismos. Identificar las vulnerabilidades y las amenazas de los recursos de sistemas de información. Cuantificar la probabilidad y el impacto de las amenazas potenciales en las operaciones de la entidad gubernamental.
9 TI Proveer un balance económico entre el impacto de las amenazas y el costo de las medidas de seguridad a implantarse. Al 13 de julio de 2012, en la ASG no se había preparado un informe de análisis de riesgos de los sistemas de información computadorizados. Criterio La situación comentada es contraria a lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la Oficina de Gerencia y Presupuesto. Efecto La situación comentada impide a la ASG estimar el impacto que los elementos de riesgos tendrían en las áreas y en los sistemas críticos de esta, y considerar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información. Causa La situación comentada se atribuye a que el Administrador de la ASG no había promulgado una directriz para la preparación y la documentación del análisis de riesgos de los sistemas de información, según establecido en la Carta Circular Comentarios de la Gerencia En la carta del Administrador de la ASG, este nos indicó, entre otras cosas, que están en el proceso de contratación del personal idóneo para realizar el análisis de riesgos de los sistemas de información. En la carta de la ex-administradora de la ASG, esta nos indicó, entre otras cosas, que se realizó un inventario de los equipos internamente, para saber con qué se contaba. Véase la Recomendación 1.
10 8 TI Hallazgo 2 - Falta de un plan de seguridad, de un procedimiento para el manejo de incidentes y de adiestramientos a los empleados de la Oficina de Informática sobre la seguridad de los sistemas de información Situaciones a. Al 20 de febrero de 2013, la ASG no tenía un plan de seguridad, aprobado por el Administrador, que incluyera, entre otras cosas, disposiciones en cuanto a: La documentación de la validación de las normas de seguridad 2 La evidencia de un análisis de riesgos actualizado, que sea la base del plan de seguridad Un programa de adiestramiento especializado al equipo clave de seguridad Un programa de adiestramiento continuo sobre seguridad que incluya a los nuevos empleados, contratistas y usuarios, y que permita mantener los conocimientos actualizados La documentación de los controles administrativos, técnicos y físicos de los activos de información (datos, programación, equipos y personal, entre otros) La documentación de la interconexión de los sistemas. b. Al 10 de abril de 2013, la Oficina de Informática no tenía un procedimiento o plan para el manejo de incidentes que estableciera, entre otras cosas, una estrategia documentada para el manejo de los incidentes, un equipo de respuesta y la documentación de las actividades relacionadas con los mismos. c. Al 15 de marzo de 2013, el Analista Programador de Sistemas de Informática II y el Administrador de la Red de Informática de la Oficina de Informática no habían recibido adiestramientos continuos 2 La validación de las normas de seguridad se efectúa mediante la prueba de los controles para eliminar o mitigar las amenazas y las vulnerabilidades detectadas en el análisis de riesgos. Además, se valida mediante los resultados de los simulacros efectuados para probar la efectividad del plan de seguridad.
11 TI sobre temas relacionados con la seguridad de los sistemas de información. Estos adiestramientos son necesarios para asegurar que el personal esté capacitado para ejercer sus funciones y cumplir con sus responsabilidades relacionadas con la seguridad de los sistemas de información. Criterio Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular Efectos La situación comentada en el apartado a. podría provocar la inversión de recursos en medidas de control inadecuadas, el desconocimiento y la falta de entendimiento de las responsabilidades relacionadas con la seguridad, y la protección inadecuada de los recursos críticos. La situación comentada en el apartado b. le impide a la Oficina de Informática tener un control eficaz y documentado sobre el manejo de incidentes. Además, puede provocar duplicidad de esfuerzo y tiempo ante situaciones inesperadas, lo que afectaría el restablecimiento de los sistemas con prontitud y aumentaría la extensión de los daños, si alguno. La situación comentada en el apartado c. podría afectar la seguridad de los sistemas de información, exponer los datos a riesgos innecesarios, y afectar la continuidad de las operaciones de la ASG. Causas Las situaciones comentadas en los apartados a. y b. se debían a que el Administrador de la ASG no había promulgado una directriz para: La preparación de un plan de seguridad, basado en un análisis de riesgos de los sistemas de información, y la implantación y la actualización continua del mismo [Apartado a.] El desarrollo y la aprobación de normas y de procedimientos escritos para el manejo de incidentes. [Apartado b.]
12 10 TI La situación comentada en el apartado c. se debía, en parte, a que tanto la Administradora Auxiliar de Administración como la Gerente de Recursos Humanos y Relaciones Laborales, no habían efectuado estudios sobre las necesidades de adiestramientos a fin de mantener al día los conocimientos relacionados con el manejo de la seguridad de los sistemas de información. Comentarios de la Gerencia En la carta del Administrador de la ASG, este nos indicó, entre otras cosas, que están en el proceso de contratación del personal idóneo para preparar un plan de seguridad, un procedimiento para el manejo de incidentes y los adiestramientos sobre la seguridad de los sistemas para los empleados de la Oficina de Informática. En la carta de la ex-administradora de la ASG, esta nos indicó, entre otras cosas, que durante su incumbencia tanto el Ayudante Especial a cargo de la Oficina de Informática, como la Ayudante Especial a cargo de Recursos Humanos estaban trabajando para identificar y conseguir los cursos adecuados para los planes de adiestramiento del equipo de Informática. [Apartado c.] Véanse las recomendaciones 2, 3.a. y 4.a. Hallazgo 3 - Deficiencias relacionadas con el Plan de Contingencias de la Oficina de Sistemas de Informática, y falta de pruebas o simulacros que certificaran la efectividad del Plan, y de un centro alterno para la recuperación de las operaciones computadorizadas Situaciones a. La ASG contaba con el Plan de Contingencias de la Oficina de Sistemas de Informática (Plan) aprobado el 28 de marzo de 2008 por el Administrador. Este Plan se estableció con el objetivo de documentar las normas y los procedimientos a seguir antes, durante y después de la declaración de un desastre.
13 TI El examen realizado el 1 de marzo de 2013 sobre el Plan reveló las siguientes deficiencias: 1) El Plan no incluía los siguientes requisitos que son necesarios para atender situaciones de emergencia: El detalle de la configuración de los equipos críticos (equipos de comunicación y servidores) y del contenido de los respaldos, así como los nombres de las librerías y de los archivos Los procedimientos a seguir cuando el centro de cómputos no puede recibir ni transmitir información de los usuarios que acceden mediante conexiones remotas los sistemas de información de la ASG Un itinerario de restauración que incluya el orden de las aplicaciones a recuperar y los procedimientos para restaurar los respaldos Una lista de proveedores de servicios principales que incluya el número de teléfono y el nombre del personal de enlace con la entidad La identificación de equipos de telecomunicaciones y de computadoras compatibles con los de la ASG Una hoja de cotejo para verificar los daños ocasionados por la contingencia. 2) El Plan no estaba actualizado. El mismo incluía servidores, programas y procesos distintos a los utilizados, y puestos no existentes o no ocupados. 3) La lista de servidores incluida en el Plan no había sido revisada. En esta se hacía referencia a 11 servidores, a pesar de que a la fecha de nuestro examen la ASG contaba sólo con 5.
14 12 TI ) El Plan no incluía los números de teléfono de la Administradora, del Coordinador Interagencial de Emergencias, de la Administradora Auxiliar de Administración y del Director de Servicios Administrativos. Estos pertenecían a uno o más de los siguientes grupos de recuperación: Decisiones Gerenciales, Coordinación, Activación del Centro Alterno, Operación del Centro Alterno y Restauración del Centro Primario. b. Al 3 de octubre de 2012, la ASG no había realizado pruebas o simulacros que certificaran la efectividad del Plan. c. Al 31 de agosto de 2012, la ASG no contaba con un centro alterno de los sistemas de información para restaurar las operaciones críticas computadorizadas en casos de emergencia. Tampoco había formalizado acuerdos con otra entidad para establecer un centro alterno en las instalaciones de esta. Una situación similar a la del apartado c. se comentó en el Informe de Auditoría TI del 19 de junio de Criterios Las mejores prácticas en el campo de la tecnología utilizadas para garantizar la confiabilidad, la integridad y la disponibilidad de los sistemas de información computadorizados sugieren que como parte del Plan de Continuidad de Negocios se deberá preparar un Plan de Contingencias. Este es una guía que asegura la continuidad de las operaciones normales de los sistemas de información computadorizados cuando se presenten eventualidades inesperadas que afecten su funcionamiento. El mismo deberá estar aprobado por el funcionario de máxima autoridad de la entidad y deberá incluir todos los procesos necesarios para recuperar cualquier segmento de la operación del centro de cómputos o, si fuera necesario, relocalizar las operaciones en el menor tiempo posible y de la forma más ordenada y confiable. [Apartado a.] La situación comentada en el apartado b. es contraria a lo establecido en la Sección Pruebas del Plan. En esta se establece que el Plan debe probarse regularmente a base de distintos escenarios y que las pruebas
15 TI deben ser planificadas cuidadosamente para minimizar la interrupción de las operaciones diarias. Además, deben efectuarse pruebas o simulacros, por lo menos una vez al año, para certificar la efectividad del Plan. Las mejores prácticas en el campo de la tecnología de información sugieren que, como parte integral del Plan de Continuidad de Negocios, deben existir convenios donde se estipulen las necesidades y los servicios requeridos para afrontar una emergencia. Debe incluirse, además, una cláusula que especifique el lugar o los lugares que podrían ser requeridos dichos servicios. Estos lugares de acuerdo con la capacidad de la agencia, podrían ser los siguientes: [Apartado c.] Una entidad pública o privada de similar configuración y tamaño Una compañía dedicada a servicios de restauración Un centro alterno de la propia entidad. Efectos Las situaciones comentadas en los apartados a. y b. podrían propiciar la improvisación y que, en casos de emergencia, se tomen medidas inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos e interrupciones prolongadas de los servicios a los usuarios de la ASG. La situación comentada en el apartado c. podría afectar las operaciones de la ASG y los servicios de la Oficina de Informática, ya que no tendrían disponibles unas instalaciones para operar después de una emergencia o evento que afectara su funcionamiento. Esto podría atrasar o impedir el proceso de restauración de archivos y el pronto restablecimiento de las operaciones normales de la Oficina de Informática. Causas Las situaciones comentadas en los apartados a. y b. se atribuyen a que el Ayudante Especial no había realizado las gestiones necesarias para: Incluir en el Plan los requisitos mencionados. [Apartado a.]
16 14 TI Efectuar y documentar los simulacros como parte del Plan. [Apartado b.] La situación comentada en el apartado c. se atribuye a que la Administradora de la ASG no le había requerido al Administradora Auxiliar de Administración que realizara las gestiones necesarias para identificar un lugar disponible y adecuado como centro alterno, y para formalizar los acuerdos necesarios para la utilización del mismo en casos de emergencia. Comentarios de la Gerencia En la carta de la ex-administradora de la ASG, esta nos indicó, entre otras cosas, lo siguiente: Definitivamente el Plan de Contingencias de la Oficina de Sistemas de Información necesitaba ser actualizado. Estuvo siempre en nuestros planes trabajar en eso. Entre los meses de junio a octubre de 2012 no se realizó ningún simulacro. No puedo informar si antes de esas fechas se realizó ya que no laboraba en ASG antes de eso. [sic] [Apartado a.2)] Véanse las recomendaciones 3 de la b. a la d., y 5. Hallazgo 4 - Deficiencias relacionadas con los controles ambientales y físicos en las áreas en las que se mantenían los equipos de comunicaciones y en el Cuarto de Servidores de la Oficina de Informática Situaciones a. La ASG contaba con cinco áreas en las que estaban localizados los equipos de comunicaciones que mantenían las conexiones necesarias para interconectar las computadoras que recibían servicio de la red. En dichas áreas se habían instalado gabinetes y estantes para proteger dichos equipos de comunicaciones.
17 TI El examen efectuado entre el 26 de septiembre de 2012 y el 31 de enero de 2013 sobre los controles ambientales 3 y físicos 4 existentes en estas áreas reveló que no existían las condiciones de seguridad físicas adecuadas para proteger los sistemas de información computadorizados de la ASG, según se indica: 1) Relacionado con los controles ambientales: a) En tres áreas no había extintores de incendios. Además, en dos áreas los extintores de incendios no se habían inspeccionado desde noviembre de b) Un área no contaba con acondicionador de aire. Además, en otra área, la unidad de acondicionador de aire estaba desconectada. c) En dos áreas los equipos de comunicación tenían polvo acumulado. d) En tres áreas los equipos de comunicación no estaban conectados a un generador de energía ininterrumpible (UPS, por sus siglas en inglés). 2) Relacionado con los controles físicos: a) En dos áreas se almacenaban racks, plásticos y cajas de cartón. Además, en una de las áreas se almacenaban los documentos de todos los departamentos y las oficinas de la ASG, por lo que había cientos de cajas de cartón con documentos oficiales. b) En dos áreas cuatro switches 5 y una batería no estaban debidamente identificados con el número de propiedad. 3 Controles diseñados para proteger las instalaciones y los equipos de eventos inesperados que ocurren naturalmente o son ocasionados por el hombre. Entre estos: tormentas, huracanes, ataques terroristas, vandalismo, descargas eléctricas y fallas de equipo. 4 Controles diseñados para proteger la organización y sus instalaciones contra accesos no autorizados por medio de sistemas de cerraduras, remoción de discos innecesarios y sistemas de protección del perímetro, entre otros. 5 Dispositivos de comunicación central que conectan dos o más segmentos de red y permiten que ocurran transmisiones simultáneas, sin afectar el ancho de banda de la red para una comunicación más eficiente.
18 16 TI c) En dos áreas los cables que se conectaban a los equipos de comunicaciones no estaban identificados. Además, en las restantes tres áreas estos cables no estaban organizados ni identificados. d) En ninguna de las áreas había un diagrama esquemático que ilustrara las conexiones establecidas con los equipos. b. Al 21 de marzo de 2013, la Oficina de Informática estaba compuesta por un área de trabajo, la oficina del Ayudante Especial y el Cuarto de Servidores, donde se encontraban los cinco servidores de la ASG. 1) El examen efectuado sobre los controles de acceso físico a la Oficina de Informática reveló que la entrada a la misma no estaba restringida adecuadamente. Desde agosto de 2012, la puerta que daba de acceso a dicha Oficina se encontraba dañada y se quedaba abierta, lo que permitía que personal ajeno a las operaciones de los sistemas de información computadorizados pudiera acceder la misma sin restricción alguna. 2) El examen efectuado sobre los controles ambientales y físicos existentes en el Cuarto de Servidores de la Oficina de Informática, reveló lo siguiente: a) El extintor más cercano, el cual se encontraba al lado de la puerta de acceso al Cuarto de Servidores, no había sido inspeccionado desde noviembre de b) Los tubos del acondicionador de aire discurrían sobre el techo del plafón y se observaban manchas de humedad en el mismo. Esto expone a los equipos a daños por humedad y filtraciones de agua. c) La puerta del Cuarto de Servidores se mantenía abierta aunque no hubiese personal presente en el mismo. d) El cableado de los switches no estaba organizado ni identificado.
19 TI e) El switch principal de la ASG no estaba identificado con un número de propiedad. Una situación similar a la del apartado b.1) y 2)c) se comentó en el Informe de Auditoría TI Criterios Las situaciones comentadas en los apartados a.1) y 2)a) y d), y b.1) y 2) de la a) a la c) son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que el acceso a las instalaciones de sistemas de información deberá estar controlado para que solamente el personal autorizado pueda utilizarlas. Además, se establece que cada agencia será responsable de desarrollar políticas específicas de seguridad de acuerdo con las características propias de los ambientes de tecnología de la agencia, particularmente sus sistemas críticos. Esto implica que, como norma de sana administración, las agencias deberán tomar los cuidados necesarios para proteger y mantener funcionando en óptimas condiciones los equipos electrónicos para evitar daños y averías. El propósito es asegurar la integridad, la exactitud y la disponibilidad de la información y protegerla contra la destrucción accidental, entre otras cosas. Para garantizar razonablemente la seguridad de los equipos y sistemas computadorizados, es necesario que: Se utilice equipo y tecnología adecuada para proteger los sistemas [Apartados a.1)a) y d), y b.2)a)] Se mantengan los equipos de comunicación en un lugar seguro que provea las condiciones ambientales y de seguridad adecuadas [Apartados a.1)b) y c), 2)a) y b.2)b)] Se mantenga la documentación e identificación adecuada del cableado de conexión a la red de forma que permita corregir a tiempo problemas de comunicación y detectar cualquier conexión no autorizada [Apartado a.2)d)]
20 18 TI Se controle adecuadamente el acceso a las áreas donde están ubicados los servidores y los equipos de comunicación. [Apartado b.1) y 2)c)] Las situaciones comentadas en los apartados a.2)b) y b.2)e) se apartan de lo establecido en la Ley Núm. 230 del 23 de julio de 1974, Ley de Contabilidad del Gobierno de Puerto Rico, según enmendada, y en el Artículo XI del Reglamento 11, Normas Básicas para el Control y la Contabilidad de los Activos Fijos, aprobado el 29 de diciembre de 2005 por el Secretario de Hacienda. Las situaciones comentadas en los apartados a.2)c) y d), y b.2)d) son contrarias a lo establecido en la Política TIG-011, Mejores Prácticas de Infraestructura Tecnológica, de la Carta Circular En esta se establece que las agencias tendrán la responsabilidad de adquirir e implantar una infraestructura de red segura, basada en estándares de dominio en la industria, la cual provea la comunicación necesaria para la distribución de servicios eficientemente. También se establece que las redes en las agencias deben proveer la infraestructura necesaria para implantar y mantener los procesos de negocio de la agencia, y ser operacionales y confiables. Efectos Las situaciones comentadas en los apartados a.1) y 2)a), y b.2)a) y b) pudieran ocasionar daños y deterioros prematuros a los equipos de la red y a los de computadoras, lo que podría impedir obtener el rendimiento máximo en términos de los servicios que estos ofrecen. Lo comentado en los apartados a.2)a), y b.1) y 2)c) puede propiciar que personas ajenas a las operaciones de la red tengan acceso a los equipos, lo que representa un riesgo para la continuidad de los servicios que ofrece la ASG, así como para la confidencialidad de la información. Además, puede ocasionar daños a los equipos de comunicación y dificultarían fijar responsabilidades.
21 TI Las situaciones comentadas en los apartados a.2)c) y d), y b.2)d) impiden a la ASG obtener una comprensión clara sobre los componentes de la red, de manera que se mantenga un control eficiente y efectivo al administrar y efectuar el mantenimiento de la misma. Además, dificultan atender los problemas de conexión en un tiempo razonable y planificar eficazmente las mejoras a la red, según el crecimiento de sus sistemas. Lo comentado en los apartados a.2)b) y b.2)e) impide mantener un control adecuado de la propiedad y pueden propiciar el uso indebido o la pérdida de la misma, sin que se puedan detectar a tiempo para fijar responsabilidades. Además, dificulta la identificación y la localización de los equipos. También dificulta nuestra gestión fiscalizadora. Causas Las situaciones comentadas obedecen a que el Ayudante Especial y la Administradora Auxiliar de Administración no habían establecido controles de seguridad ambientales y físicos adecuados para proteger los servidores y los equipos de comunicaciones de la ASG, y sus respectivas conexiones. Comentarios de la Gerencia En la carta del Administrador de la ASG, este nos indicó, entre otras cosas, que se encuentran en el proceso de búsqueda de cotizaciones para acondicionar el área de acuerdo con los estándares. En la carta de la ex-administradora de la ASG, esta nos indicó, entre otras cosas, lo siguiente: La falta de extintores o de inspección de los mismos no fue advertida para haberlas corregido prontamente. [sic] [Apartado a.1)a) y b.2)a)] Durante los pocos meses que estuvimos en ASG tampoco adquirimos cables ni equipos adicionales de informática que tuvieran que ser etiquetados y contabilizados. [sic] [Apartados a.1)d), 2)b) y c), y b.2)d) al e)] Véase la Recomendación 3.e.
22 20 TI Hallazgo 5 - Deficiencias relacionadas con los parámetros de seguridad, con la administración de las cuentas de acceso y con el proceso de desactivar las cuentas de los exempleados, y falta de revisiones periódicas de los registros de eventos de los sistemas operativos de los servidores Situaciones a. La ASG contaba con cinco servidores para llevar a cabo sus operaciones y brindar sus servicios. El examen efectuado el 1 de noviembre de 2012 sobre los parámetros de seguridad y los controles de acceso establecidos en el sistema operativo del servidor principal y del servidor de aplicaciones reveló lo siguiente: 1) En el servidor principal no se habían definido las políticas de contraseñas para requerir lo siguiente: a) Al menos cinco contraseñas diferentes antes de volver a utilizar la misma (Enforce password history). La política establecida en este servidor sólo requería un historial de tres contraseñas. b) La utilización de contraseñas complejas (Password must meet complexity). En este servidor dicha opción estaba inhabilitada (Disabled). 2) En el servidor de aplicaciones no se habían configurado las políticas de contraseñas para requerir lo siguiente: a) Al menos seis caracteres para la utilización de las contraseñas (Minimum password length). b) El cambio, por parte del usuario, de la contraseña de su cuenta de acceso al menos una vez al año (Minimum password age). Los usuarios podían utilizar la misma contraseña indefinidamente. c) Al menos cinco contraseñas diferentes antes de volver a utilizar la misma (Enforce password history). La política estaba establecida para no requerir un historial de contraseñas.
23 TI d) La restricción del tiempo de acceso a la red para todas las cuentas, de acuerdo con las funciones de cada usuario (Do not force logoff when logon hours expire). 3) En el servidor principal no se había definido la política de seguridad para requerir al usuario entrar una contraseña para continuar con el uso de la red, luego de un período de inactividad (Idle time before suspending session). 4) En el servidor principal no se había activado la política de auditoría (Audit Policy), para que el sistema produjera un registro cuando ocurrieran los siguientes eventos: a) Los accesos a los archivos, cartapacios (folders) e impresoras (Audit object access) b) El uso de los privilegios asignados a los usuarios (Use of user rights) c) Un registro de los servicios en los objetos del Active Directory (Audit directory services access). 5) En el servidor de aplicaciones no se habían configurado (Not defined) las políticas relacionadas con las cuentas de acceso ni las de auditoría. b. Al 1 de noviembre de 2012, en el servidor principal había 170 cuentas de usuarios para acceder a la red. El examen de estas cuentas reveló las siguientes deficiencias: 1) Existían 38 cuentas inactivas (22%) que no se habían eliminado del sistema a pesar de que habían transcurrido entre 87 y 798 días desde la fecha en que las mismas fueron inactivadas.
24 22 TI ) Con relación a las 132 cuentas activas, identificamos lo siguiente: a) Para 128 cuentas (97%) no se había restringido el tiempo de acceso a la red conforme a las responsabilidades y a las necesidades de servicio de los usuarios. Estos tenían acceso las 24 horas y los 7 días de la semana. b) Diez cuentas (8%) estaban configuradas para que la contraseña no expirara. c) Siete cuentas (5%) nunca se había utilizado. d) Once cuentas (8%) estaban asignadas a grupos o tareas y no a un empleado en particular. 3) Con relación a las nueve cuentas que tenían privilegios de administración encontramos lo siguiente: a) Dos cuentas (22%) estaban asignadas a empleados que tenían funciones no relacionadas con los sistemas de información, una (11%) estaba asignada a un exconsultor y otra a la ex-administradora de la ASG. b) Dos cuentas tenían sus contraseñas expiradas por un período de 148 y 202 días. c. El examen efectuado el 1 de noviembre de 2012 reveló que no se habían eliminado de los sistemas de información de la ASG las cuentas de acceso de 14 exempleados. Esto, a pesar de haber transcurrido entre 17 y 282 días desde el cese de sus funciones. d. Al 20 de diciembre de 2012, el personal encargado de administrar los sistemas no examinaba periódicamente los registros de violaciones de seguridad provistos por el sistema operativo. Esto, para conocer las posibles violaciones de seguridad que pudieran ocurrir en el servidor y en la red, y tomar prontamente las medidas preventivas y correctivas necesarias.
25 TI Situaciones similares a las de los apartados a.4) y 5), b.1), b.2) del a) al c), y c. se comentaron en el Informe de Auditoría TI Criterios Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece, entre otras cosas, que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se establece, en parte, mediante lo siguiente: El uso de todas las opciones para restringir y controlar los accesos que proveen los distintos sistemas operativos [Apartados a. de 1) al 3) y 5), b.1) y 2), y c.] La activación de todas las opciones para registrar los eventos de seguridad de las aplicaciones y del sistema operativo [Apartados a.4) y 5), y d.] La limitación del tiempo de acceso para todas las cuentas de acceso de acuerdo con las funciones de cada usuario [Apartados a.2)d) y b.2)a)] La renovación de la contraseña de cada usuario, según las necesidades de la entidad y de los procedimientos establecidos [Apartado b.2)b)] La notificación inmediata al encargado de la seguridad de los sistemas de información del cese de un usuario en sus funciones o de la modificación de las mismas para la acción correspondiente. [Apartados b.3) y c.] Además, en dicha Política se establece que todos los mecanismos de autenticación deberán incluir una contraseña combinada de números y letras, no menor de seis caracteres. [Apartado a.1)b) y 2)a)]
26 24 TI La situación comentada en el apartado c. es contraria a lo establecido en la Sección IV de la Orden Administrativa ASG , Sobre Normas para el Acceso, Uso y Manejo de los Equipos y Sistemas de Información de la Administración de Servicios Generales (Normas), aprobada el 18 de septiembre de 2003 por la Administradora de la ASG. Efectos La situaciones comentadas en los apartados del a. al c. propician que personas no autorizadas puedan lograr acceso a información confidencial mantenida en los sistemas computadorizados y hacer uso indebido de esta. Además, propician la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas, sin que puedan ser detectados a tiempo para fijar responsabilidades. Lo comentado en los apartados a.4) y 5), y d. impide a la ASG mantener un registro de los eventos inusuales o problemas ocurridos en la red que le permita al Administrador de la Red de Informática tomar a tiempo las medidas correctivas o preventivas necesarias. Además, impide la detección temprana de errores críticos o problemas en los servidores y en las computadoras, de accesos no autorizados y del uso indebido de los sistemas. Causas Las situaciones comentadas en los apartados a., b. y d. se debían a que el Ayudante Especial no había puesto en vigor las opciones de seguridad de acceso lógico que provee el sistema operativo y no había establecido controles adecuados para el mantenimiento de las cuentas de acceso a la red. La situación comentada en el apartado c. se atribuye a la falta de comunicación efectiva entre la Oficina de Informática y la Oficina de Administración de Recursos Humanos y Relaciones Laborales, para informar el cese en funciones de los usuarios de forma inmediata y que se desactiven las cuentas de acceso de los mismos.
27 TI Comentarios de la Gerencia En la carta del Administrador de la ASG, este nos indicó, entre otras cosas, que se le solicitó un plan a corto y a largo plazo al personal de la Oficina de Informática para trabajar con el mantenimiento de los accesos y con la desactivación de las cuentas inactivas. [Apartados del a. al c.] En la carta de la ex-administradora de la ASG, esta nos indicó, entre otras cosas, lo siguiente: Algunos de estos hallazgos habían sido identificados y estaban en vías de irse corrigiendo. [sic] Una de las acciones de control realizadas fue solicitar a Recursos Humanos el listado de empleados activos para desactivar los que ya no laboraban en la ASG y eso se realizó. Definitivamente esto debe ser un proceso estándar cada vez que llega o se va un empleado y debe haber buena comunicación entre esas dos Oficinas. [sic] [Apartado c.] Véanse las recomendaciones 3.f. y 4.b. Hallazgo 6 - Falta de preparación de una copia adicional de los respaldos almacenados en el disco externo para mantenerla fuera de los predios de la ASG Situación a. Al 20 de diciembre de 2012, en la ASG se realizaba un respaldo completo (full backup) semanal de la información relacionada con las operaciones de la ASG, la cual se encontraba en tres servidores. Este respaldo semanal se preparaba y mantenía en un disco externo de 2TB, el cual se mantenía en el Cuarto de Servidores. El examen realizado sobre estos respaldos de información reveló que no se producía una copia adicional de los respaldos realizados a los servidores y almacenados en el disco externo, para mantenerla fuera de los predios de la ASG. Una situación similar se comentó en el Informe de Auditoría TI
28 26 TI Criterio La situación comentada es contraria a lo establecido en la Sección Procedimientos de Resguardos y Restauraciones del Apéndice G, Procedimiento para la Creación y Restauración de Resguardos del Plan. Efecto La situación comentada puede ocasionar que, en casos de emergencias, la ASG no pueda disponer de los respaldos de información necesarios para la continuidad de sus operaciones. Causa La situación comentada se debía, en parte, a que el Administrador de la Red de Informática no realizó los respaldos según establecido en el Plan. Comentarios de la Gerencia En la carta de la ex-administradora de la ASG, esta nos indicó, entre otras cosas, lo siguiente: Antes de que llegara el Ayudante Especial de Sistemas de Información no se hacía ningún tipo de resguardo (backup) de la data. Para mitigar este riesgo en seguida se adquirió un disco duro externo en el cual se comenzó a hacer el resguardo semanal. La manera de corregir esto era utilizando los servicios externos donde se tendría redundancia de los procesos y procedimientos de seguridad con resguardo integrados. [sic] Véase la Recomendación 3.g.1). Hallazgo 7 - Falta de revisiones de la bitácora del servidor configurado para el servicio de Internet y programas instalados no autorizados por la ASG Situaciones a. La ASG contaba con un servidor que permitía el acceso a Internet a los usuarios autorizados. En el examen realizado el 1 de noviembre de 2012 determinamos que en la ASG no se realizaban verificaciones de la bitácora (log) de dicho servidor, en la que se registran todas las páginas de direcciones de Internet que fueron accedidas por las cuentas de usuarios. Esto es necesario para identificar las posibles violaciones a las normas de uso de los sistemas de información y tomar prontamente las medidas preventivas y correctivas necesarias.
29 TI b. El 31 de julio de 2012 el Encargado de Propiedad nos entregó el Inventario del Equipo. En el mismo se indicaba que había 88 computadoras localizadas en la Oficina Central y en las oficinas regionales de la ASG. En el examen efectuado a 8 de estas computadoras encontramos que en 4 se habían instalado programas que no estaban autorizados por la ASG ni guardaban relación con los trabajos que se realizaban en esta. Criterios La situación comentada en el apartado a. es contraria a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que las entidades gubernamentales deberán establecer las políticas necesarias para garantizar el uso adecuado, efectivo y seguro de los sistemas de información y las herramientas de trabajo que estos proveen. Además, la agencia puede reservarse el derecho a intervenir y auditar los accesos realizados por los usuarios mediante el acceso a Internet y el contenido de lo accedido. Esta norma se establece, en parte, mediante el examen continuo de las bitácoras (logs) que detallan las páginas visitadas por los usuarios de Internet. La situación comentada en el apartado b. es contraria a lo establecido en la Sección IV de las Normas y en la Política TIG-008, Uso de Sistemas de Información, de la Internet y del Correo Electrónico, de la Carta Circular Efectos La falta de verificaciones periódicas de la bitácora del servidor configurado para el servicio de Internet priva a la gerencia de las herramientas necesarias para detectar el uso indebido a este servicio, sin que se puedan fijar responsabilidades. [Apartado a.] La instalación de programas no autorizados y ajenos a la gestión pública reduce el espacio y la capacidad en los sistemas de información, lo que afecta el rendimiento de los mismos para los propósitos oficiales de la ASG. [Apartado b.]
30 28 TI Causas Las situaciones comentadas se debían a que el Administrador de la Red de Informática no había: Realizado las gestiones necesarias para examinar la bitácora del servidor configurado para el servicio de Internet. [Apartado a.] Establecido controles efectivos que limitaran el acceso a la opción Add/Remove Programs del sistema operativo en las computadoras. [Apartado b.] Comentarios de la Gerencia En la carta de la ex-administradora de la ASG, esta nos indicó, entre otras cosas, lo siguiente: Los programas [ ], entiendo que casi todos son asociados a programas de compras y/o transporte de los cual la Oficina de Informática debía tener el conocimiento de que estaban instalados o su necesidad de apoyo a otros sistemas. [sic] [Apartado b.] Véase la Recomendación 3.g.2) y 3). Hallazgo 8 - Documentos no suministrados para examen relacionados con la solicitud y la creación de cuentas de acceso, y con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador y de conexión remota Situaciones a. La ASG utilizaba el formulario ASG-584, Solicitud o Cancelación de Acceso, para la creación, la actualización o la cancelación de las cuentas de acceso de los usuarios a los sistemas de información. Al 28 de febrero de 2013, el personal de la Oficina de Informática no suministró para examen los formularios para la solicitud y la creación de las cuentas de acceso de nueve usuarios. b. Al 28 de febrero de 2013, el personal de la Oficina de Informática no suministró para examen lo siguiente: 1) Los documentos justificantes autorizados para otorgar privilegios de administrador de los sistemas operativos al Ayudante Especial en la Oficina de Informática, a la Administradora, a la ex-administradora de la ASG, a la
31 TI Subadministradora de la ASG, a la Administradora de Sistemas de Oficina Confidencial II y al exconsultor del área de sistemas de información. Una cuenta como esta tiene amplios privilegios que permiten, entre otras cosas, realizar cambios a la configuración del sistema, instalar programas y equipos, acceder a todos los archivos de la computadora y realizar cambios a las cuentas de otros usuarios. 2) Los documentos justificantes autorizados para proveerle a la Administradora, a la Subadministradora de la ASG, al Ayudante Especial en la Oficina de Informática y al exconsultor del área de sistemas de información el privilegio de conexión remota. Este tipo de privilegio permite acceder y utilizar la información computadorizada de una entidad gubernamental desde un lugar remoto o distinto de donde está guardada la misma. Además, permite administrar y realizar diagnósticos del funcionamiento de la red. Criterios La situación comentada en el apartado a. es contraria a lo establecido en la Sección V de las Normas. Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Además, se establece que: La información y los programas de aplicación utilizados en las operaciones de la entidad gubernamental deberán tener controles de acceso para su utilización, de manera que solamente el personal autorizado pueda ver los datos necesarios, o usar las aplicaciones (o la parte de las aplicaciones) que necesita. Estos controles deberán incluir mecanismos de autenticación y autorización. [Apartado b.1)]
Manual de Procedimientos
1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones
Más detallesINFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría
INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría 13964) Período auditado: 17 de septiembre de 2014 al 16
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesINFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 -
INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - Auditoría 13826) Período auditado: 1 de abril al 6 de diciembre
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesINFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría
INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría 13359) Período auditado: 9 de septiembre de 2009 al 28
Más detallesELEMENTOS GENERALES DE GESTIÓN.
RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-9 Hoja 1 CAPÍTULO 20-9 GESTION DE LA CONTINUIDAD DEL NEGOCIO. El presente Capítulo contiene disposiciones sobre los lineamientos mínimos para la gestión de
Más detallesGESTIÓN DE LA DOCUMENTACIÓN
Página: 1 de 8 Elaborado por: Revidado por: Aprobado por: Comité de calidad Responsable de calidad Director Misión: Controlar los documentos y registros del Sistema de Gestión de Calidad para garantizar
Más detallesMinisterio de Economía y Producción Secretaría de Hacienda. Normas de Seguridad Física y Ambiental.
Normas de Seguridad Física y Ambiental. Las normas para Seguridad física y ambiental brindan el marco para evitar accesos no autorizados, daños e interferencias en la información de la organización Estas
Más detallesCOBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a
5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio
Más detalles8. MEDICIÓN, ANÁLISIS Y MEJORA
Página 1 de 12 8.1 Generalidades La Alta Gerencia de La ADMINISTRACIÓN DE LA ZONA LIBRE DE COLÓN planea e implementa los procesos de seguimiento, medición, análisis y mejoras necesarias para: Demostrar
Más detalles4. DESARROLLO DEL SISTEMA DE INFORMACIÓN REGISTRAL AUTOMATIZADO
4. DESARROLLO DEL SISTEMA DE INFORMACIÓN REGISTRAL AUTOMATIZADO 4.1. Reseña del Proyecto En el año 1995, la Oficina Registral de Lima y Callao (ORLC), con el objetivo de mejorar la calidad de los servicios
Más detalles1 El plan de contingencia. Seguimiento
1 El plan de contingencia. Seguimiento 1.1 Objetivos generales Los objetivos de este módulo son los siguientes: Conocer los motivos de tener actualizado un plan de contingencia. Comprender que objetivos
Más detallesAnálisis del Control Interno (Diseño & Implementación) correspondiente al Ciclo de Negocios de Inventarios para el caso de una Cooperativa Médica
Análisis del Control Interno (Diseño & Implementación) correspondiente al Ciclo de Negocios de Inventarios para el caso de una Cooperativa Médica Tipo de empresa: IAMC (Cooperativa Medica) Área temática:
Más detallesLEY NUM. 136 DE 27 DE JULIO DE 2015
Para enmendar el Artículo 2, Artículo 3, Artículo 4, los Artículos 5 y 6 y añadir un nuevo Artículo 7 a la Ley Núm. 293 de 1999, Ley de la Junta Interagencial para el Manejo de las Playas de Puerto Rico.
Más detallesNota de Información al cliente ISO/IEC 22301 Proceso de auditoría
Nota de Información al cliente ISO/IEC 22301 Proceso de auditoría La presente Nota de Información al Cliente explica las principales fases del proceso de certificación y auditoría de Sistemas de Gestión
Más detallesNORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN
Resolución de 26 de marzo de 2004, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre consideraciones relativas a la auditoría de entidades
Más detallesSISTEMA InfoSGA Manual de Actualización Mensajeros Radio Worldwide C.A Código Postal 1060
SISTEMA InfoSGA Manual de Actualización Mensajeros Radio Worldwide C.A Código Postal 1060 Elaborado por: Departamento de Informática Febrero 2012 SISTEMA InfoSGA _ Manual de Actualización 16/02/2012 ÍNDICE
Más detallesESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO
ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO OBJETO. El presente Documento de Especificaciones Técnicas tiene por objeto establecer los requisitos que debe cumplir el proceso de Atención
Más detallesINFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 -
INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 - Auditoría 13896) Período auditado: 7 de marzo al 19
Más detallesAsunto: Certificación Integral Gestión de Riesgos y Control Interno
Señores DEPOSITANTES DIRECTOS EMISORES ADMINISTRADORES Ciudad Asunto: Certificación Integral Gestión de Riesgos y Control Interno Respetados Señores: Deceval, comprometido con el mercado de capitales colombiano,
Más detallesSEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS
SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se describen las
Más detallesIAP 1003 - ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS
IAP 1003 - ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS Introducción 1. El propósito de esta Declaración es prestar apoyo al auditor a la implantación de la NIA 400, "Evaluación del Riesgo y
Más detallesPolíticas de seguridad de la información. Empresa
Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido
Más detallesINFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información
INFORME DE AUDITORÍA TI-12-08 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información () Período auditado: 23 de diciembre de 2008 al 18 de noviembre de 2009 1
Más detallesSISTEMA ETAP en línea Estándares Tecnológicos para la Administración Pública
JEFATURA DE GABINETE DE MINISTROS SISTEMA ETAP en línea Estándares Tecnológicos para la Administración Pública Manual para los Organismos Índice Índice... 2 Descripción... 3 Cómo solicitar la intervención
Más detallesPRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI
PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI Versión: 1.0 Fecha de la versión: Febrero del 2012 Creado por: PwC Costa Rica Aprobado
Más detallesESTADO LIBRE ASOCIADO DE PUERTO RICO MUNICIPIO AUTÓNOMO DE CAROLINA LEGISLATURA MUNICIPAL ORDENANZA 37 SERIE 2005-2006-57 APROBADA:
ESTADO LIBRE ASOCIADO DE PUERTO RICO MUNICIPIO AUTÓNOMO DE CAROLINA LEGISLATURA MUNICIPAL ORDENANZA 37 SERIE 2005-2006-57 APROBADA: 10 DE ENERO DE 2006 DE LA LEGISLATURA MUNICIPAL DE CAROLINA, PUERTO RICO,
Más detallesOperación 8 Claves para la ISO 9001-2015
Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,
Más detallesPROCEDIMIENTO AUDITORIA INTERNA
Procedimiento AUDITORIA INTERNA Página 1 de 9 PROCEDIMIENTO AUDITORIA INTERNA Nota importante: El presente documento es de exclusiva propiedad de LUTROMO INDUSTRIAS LTDA. El contenido total o parcial no
Más detallesClasificación y gestión de la información y bienes TI Ministerio del Interior N11
Clasificación y gestión de la información y bienes TI Ministerio del Interior N11 Introducción Propósito. Mantener y alcanzar una apropiada protección de los activos del Ministerio del Interior, en donde
Más detallesREGLAMENTO PARA EL USO DEL SISTEMA DE VIDEOCONFERENCIA DEL PODER JUDICIAL DE LA PROVINCIA DE CORRIENTES CONTENIDO FUNDAMENTO...
REGLAMENTO PARA EL USO DEL SISTEMA DE VIDEOCONFERENCIA DEL PODER JUDICIAL DE LA PROVINCIA DE CORRIENTES CONTENIDO FUNDAMENTO.....2 CAPITULO I DE LA COORDINACIÓN... 2 CAPITULO II DEL USO DE LA SALA DE VIDEOCONFERENCIA..
Más detallesDatos sobre FSMA. Norma propuesta sobre las acreditaciones de los auditores externos. Sumario
Datos sobre FSMA Norma propuesta sobre las acreditaciones de los auditores externos Sumario El 26 de julio de 2013, la FDA publicó para comentarios públicos su norma propuesta para establecer un programa
Más detallesINFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO
INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El
Más detallesPolítica de Privacidad del Grupo Grünenthal
Política de Privacidad del Grupo Grünenthal Gracias por su interés en la información ofrecida por Grünenthal GmbH y/o sus filiales (en adelante Grünenthal ). Queremos hacerle saber que valoramos su privacidad.
Más detallesAdicionalmente, se eliminan disposiciones del Código de IFAC no aplicables:
COMISIÓN DE DICTAMEN FISCAL CAMBIOS AL CÓDIGO DE ÉTICA Autor: CPC José Manuel Alejandre Escanes ANTECEDENTES Con motivo de la adopción de las Normas de Auditoría Internacionales, en 2012 se modificó el
Más detallesPROCEDIMIENTO DE AUDITORIA INTERNA
La Paz Bolivia Versión: 001 Revisión: 000 Elaborado: Revisado: Aprobado: Unidad de Planificación, Normas y Gestión por Resultados Representante de la Dirección Aprobado RAI 172/2014 del 7-nov-14 una copia
Más detallesEMPRESAS AQUACHILE S.A. ANEXO NCG No. 341
ANEO NCG No. 341 Práctica Adopción SI NO 1. Del Funcionamiento del Directorio A. De la adecuada y oportuna información del directorio, acerca de los negocios y riesgos de la Sociedad, así como de sus principales
Más detallesManual de Procedimiento. CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A.
CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A. NUMERO REVISION: 01 Manual de Procedimiento CONTENIDO 1. Algunas Definiciones.
Más detallesCONTROL DE CAMBIOS. FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación
CONTROL DE CAMBIOS FICHA CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación 01 02/07/07 Primera versión del Anexo Requerimientos Para La Elaboración Del Plan De Calidad Elaboró: Revisó: Aprobó:
Más detallesCÓDIGO: VGT-ST002-2009 ELABORÓ: FIRMA: APROBÓ: FIRMA: POLÍTICAS RELACIONADAS:
1 / 11 Procedimiento para el préstamo de CÓDIGO: VGT-ST002-2009 ELABORÓ: FIRMA: APROBÓ: FIRMA: FECHA DE APROBACIÓN/REVISIÓN: POLÍTICAS RELACIONADAS: 1.0 PROPÓSITO... 2 2.0 ALCANCE... 2 3.0 RESPONSABILIDADES...
Más detallesNormas de Auditoría de Proyectos de Inversión Pública
Normas de Auditoría de Proyectos de Inversión Pública Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-016 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE PROYECTOS DE INVERSIÓN PÚBLICA
Más detallesPrograma de soporte técnico ampliado MSA Start
1 1. TÉRMINOS Y CONDICIONES GENERALES En este documento se incluye una lista de casos de soporte técnico, en relación con los que Kaspersky Lab proporcionará asistencia al propietario de este Certificado
Más detallesGuía para la Administración de Software
UNIVERSIDAD INTERAMERICANA DE PUERTO RICO RECINTO DE PONCE CENTRO DE SISTEMAS DE INFORMACION Y TELECOMUNICACIONES Guía para la Administración de Software VERSION 1.0 REVISADA JULIO DE 1999 CSAS-D001-07/99
Más detallesPOLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER
POLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER DIRECCION DE TECNOLOGIA Versión: 1.0 Bogotá D.C., Mayo de 2014. Contenido INTRODUCCIÓN... 3 CONDICIONES GENERALES DEL SERVICIO... 3 Aplicación....
Más detallesNORMA DE CARÁCTER GENERAL N 341 INFORMACIÓN RESPECTO DE LA ADOPCIÓN DE PRÁCTICAS DE GOBIERNO CORPORATIVO. (ANEXO al 31 de diciembre de 2014)
RMA DE CARÁCTER GENERAL N 341 INFORMACIÓN RESPECTO DE LA ADOPCIÓN DE PRÁCTICAS DE GOBIER CORPORATIVO (ANEO al 31 de diciembre de 2014) Las entidades deberán indicar con una su decisión respecto a la adopción
Más detallesReglamento Interior en Materia de Informática y Computación del Municipio de Sayula, Jalisco.
Reglamento Interior en Materia de Informática y Computación del Municipio de Sayula, Jalisco. CAPÍTULO I Disposiciones Generales: ARTÍCULO 1.- El presente reglamento es de observancia obligatoria para
Más detallesInter American Accreditation Cooperation. Grupo de prácticas de auditoría de acreditación Directriz sobre:
Grupo de prácticas de auditoría de acreditación Directriz sobre: Auditando la competencia de los auditores y equipos de auditores de organismos de certificación / registro de Sistemas de Gestión de Calidad
Más detallesINEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública
INEI Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública RESOLUCION JEFATURAL Nº 386-2002-INEI Lima, 31 de diciembre
Más detallesAttachments: Archivos adjuntos a los mensajes de correo electrónico.
10/12/2014 Página 1 de 8 1. OBJETIVO Describir el uso adecuado de los servicios, software, equipos de computación y redes de datos en La Entidad. Estas políticas buscan proteger la información, las personas
Más detallesMUNICIPIO DE TOCANCIPÁ
MUNICIPIO DE TOCANCIPÁ 1 OFICINA DE CONTROL INTERNO PLAN ANUAL DE AUDITORIAS VIGENCIA 2.013 TOCANCIPÁ - COLOMBIA 2 CONTENIDO Introducción. 3 1. Principios. 3 2. Objetivos.. 4 3. Alcance de la auditoria..
Más detallesSECCIÓN AU 705 MODIFICACIONES A LA OPINIÓN EN EL INFORME DEL AUDITOR INDEPENDIENTE
SECCIÓN AU 705 MODIFICACIONES A LA OPINIÓN EN EL INFORME DEL AUDITOR INDEPENDIENTE CONTENIDO Párrafos Introducción Alcance de esta Sección 1 Tipos de opiniones modificadas 2-3 Fecha de vigencia 4 Objetivo
Más detalles(TEXTO DE APROBACION FINAL POR LA CAMARA) (29 DE SEPTIEMBRE DE 2015) ESTADO LIBRE ASOCIADO DE PUERTO RICO CÁMARA DE REPRESENTANTES. P. de la C.
(TEXTO DE APROBACION FINAL POR LA CAMARA) ( DE SEPTIEMBRE DE 0) ESTADO LIBRE ASOCIADO DE PUERTO RICO ma. Asamblea Legislativa ta. Sesión Ordinaria CÁMARA DE REPRESENTANTES P. de la C. DE FEBRERO DE 0 Presentado
Más detallesAdopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.
1.- Del funcionamiento del Directorio. A. De la adecuada y oportuna información del Directorio, acerca de los negocios y riesgos de la sociedad, así como de sus principales políticas, controles y procedimientos.
Más detallesSECCIÓN AU 510 SALDOS DE APERTURA - EN TRABAJOS DE AUDITORÍA INICIAL, INCLUYENDO TRABAJOS DE REAUDITORÍAS CONTENIDO
SECCIÓN AU 510 SALDOS DE APERTURA - EN TRABAJOS DE AUDITORÍA INICIAL, INCLUYENDO TRABAJOS DE REAUDITORÍAS CONTENIDO Párrafos Introducción Alcance de esta Sección 1-2 Fecha de vigencia 3 Objetivo 4 Definiciones
Más detallesADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS
5 ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS Contenido: 5.1 Conceptos Generales Administración de Bases de Datos Distribuidas 5.1.1 Administración la Estructura de la Base de Datos 5.1.2 Administración
Más detallesLista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1
Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de gestión de la seguridad y salud ocupacional 4.1 Requisitos
Más detallesProcedimiento Para La Integración Al Sistema De Voz Operativa Del AMM
Procedimiento Para La Integración Al Sistema De Voz Operativa Del AMM Artículo 1. Objetivo Definir los pasos que se deben seguir y las condiciones que se deben cumplir para integrar al Participante con
Más detallesInter-American Accreditation Cooperation
ISO/IAF Directriz del Grupo de Prácticas de Auditoría para la Acreditación sobre: Auditando la conformidad con el Anexo 2 de la Guía IAF GD2:2003 "Tiempos de Auditoria" Este documento es una traducción
Más detallesINSTITUTO TECNOLÓGICO DE APIZACO. Centro de Cómputo. Reglamento para el uso de los Servicios Red e Internet para alumnos.
INSTITUTO TECNOLÓGICO DE APIZACO Centro de Cómputo Reglamento para el uso de los Servicios Red e Internet para alumnos. 1 2 Índice de contenido Exposición de motivos...5 Objetivo...5 Finalidad...5 Responsables...5
Más detallesNORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)
NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone
Más detallesInstituto Nacional de Conservación y Desarrollo Forestal, Áreas Protegidas y Vida Silvestre
1.-PROPOSITO DEL MANUAL El presente manual de Auditoria Técnica tiene como propósito el de proveer al Departamento un sistema que le permita realizar actividades de Fiscalización de Regionales. Por medio
Más detallesProcedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema
Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema Objetivo El presente procedimiento tiene como objetivo establecer y describir las tareas a desarrollar para efectuar
Más detallesAdopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.
1.- Del funcionamiento del Directorio. A. De la adecuada y oportuna información del Directorio, acerca de los negocios y riesgos de la sociedad, así como de sus principales políticas, controles y procedimientos.
Más detallesISO 17799: La gestión de la seguridad de la información
1 ISO 17799: La gestión de la seguridad de la información En la actualidad las empresas son conscientes de la gran importancia que tiene para el desarrollo de sus actividades proteger de forma adecuada
Más detallesPOLITICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES
POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES INTRODUCCIÓN. La presente Política contiene los derechos, principios y/o parámetros que se aplican en GESTIÓN COMPETITIVA S.A.S., para el Tratamiento
Más detallesPrograma de las Naciones Unidas para el Desarrollo
Pág. 1 de 6 Nota técnica 4: Mandato para la auditoría financiera de los asociados en la ejecución En el contexto de esta Nota técnica el término asociado en la ejecución se utiliza para referirse a la
Más detallesPROCEDIMIENTO OPERATIVO INVESTIGACION DE ACCIDENTES Y ESTADISTICA DE SINIESTRALIDAD DPMPO09
Página: 1 PROCEDIMIENTO OPERATIVO ESTADISTICA DE SINIESTRALIDAD Página: 2 Edición Motivo cambio Firma Fecha 0 Edición Inicial 6.05.2002 Página: 3 I N D I C E 1. OBJETO 4 2. AMBITO DE APLICACIÓN 4 3. NORMATIVA
Más detalleswww.pwc.com/mx Punto de Vista
www.pwc.com/mx Punto de Vista Un avance hacia la complejidad: la estimación de pérdidas crediticias esperadas sobre activos financieros de acuerdo con normas de información financiera El retraso en el
Más detalles153. a SESIÓN DEL COMITÉ EJECUTIVO
ORGANIZACIÓN PANAMERICANA DE LA SALUD ORGANIZACIÓN MUNDIAL DE LA SALUD 153. a SESIÓN DEL COMITÉ EJECUTIVO Washington, D.C., EUA, 4 de octubre del 2013 Punto 5.2 del orden del día provisional CE153/5 (Esp.)
Más detallesCARTA DE PRESENTACIÓN Raul Farias S. Victor Gomez V.
CARTA DE PRESENTACIÓN Raul Farias S. Victor Gomez V. ÍNDICE Nuestra Identidad... 01 Nuestra Misión... 02 Nuestra Visión... 03 Nuestros Servicios... 04 NUESTRA IDENTIDAD EpssTI (Consulting & IT Solutions)
Más detallesINFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información
INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información Computadorizados (Unidad 5181 - Auditoría 13897) Período
Más detallesNota de Información al cliente ISO 22000 Proceso de auditoría
Nota de Información al cliente ISO 22000 Proceso de auditoría La presente Nota de Información a Cliente explica las principales fases del proceso de auditoría y certificación de Sistemas de Gestión de
Más detallesSEGUIMIENTO Administración del Riesgos - INM
SEGUIMIENTO Administración del Riesgos - INM Asesor con funciones de Jefe de Bogotá Fecha 2015-12-30 1. Introducción El propósito de la Oficina de respecto de la administración del riesgo es el de proveer
Más detallesINFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro
INFORME DE AUDITORÍA TI-10-12 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro de Sistemas de Información () Período auditado: 17 de marzo al 28 de octubre
Más detallesInforme Anual de Actividades 2010. Comité de Auditoría y Cumplimiento de Vocento, S.A.
Informe Anual de Actividades 2010 Comité de Auditoría y Cumplimiento de Vocento, S.A. 23 de Febrero de 2011 ÍNDICE 1. DESCRIPCIÓN, MOTIVOS Y OBJETIVOS DEL INFORME ANUAL DE ACTIVIDADES 2. ANTECEDENTES DEL
Más detallesORGANIZACIÓN DE PREVENCIÓN DE RIESGOS DE LA UNIVERSIDAD DE VALLADOLID
ORGANIZACIÓN DE PREVENCIÓN DE RIESGOS DE LA UNIVERSIDAD DE VALLADOLID Aprobado por Consejo de Gobierno de 25 de octubre de 2005 La Universidad de Valladolid cumpliendo con sus compromisos y con sus obligaciones
Más detallesCAPÍTULO I INFORMACIÓN INTRODUCTORIA
AUDITORIA INTERNA Examen especial a la utilización de claves de los usuarios para la concesión de créditos quirografarios e hipotecarios en la provincia de Pichincha, durante la gestión de la Asistente
Más detallesEn cumplimiento con lo establecido en la "Ley Federal de Protección de. Datos Personales en Posesión de los Particulares" vigente en México, y
Aviso de privacidad En cumplimiento con lo establecido en la "Ley Federal de Protección de Datos Personales en Posesión de los Particulares" vigente en México, y con la finalidad de asegurar la protección
Más detallesAuditorías de calidad
Auditorías de calidad Qué es una auditoría de la calidad? Qué es una auditoría interna? Cuáles son sus objetivos? Qué beneficios obtenemos?... En este artículo, puede obtenerse una visión general y nociones
Más detallesAviso de Privacidad Integral. AVISO DE PRIVACIDAD Intermediaria de Espectáculos, S.A.P.I. de C.V.
Aviso de Privacidad Integral AVISO DE PRIVACIDAD Intermediaria de Espectáculos, S.A.P.I. de C.V. En cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su
Más detallesPlan provincial de Producción más limpia de Salta
Plan provincial de Producción más limpia de Salta Guía IRAM 009 V.1 Requisitos para la obtención de los distintos niveles de la distinción GESTION SALTEÑA ECOECFICIENTE INTRODUCCIÓN: IRAM, junto con la
Más detallesNORMA INTERNACIONAL DE AUDITORÍA 320 IMPORTANCIA RELATIVA O MATERIALIDAD EN LA PLANIFICACIÓN Y EJECUCIÓN DE LA AUDITORÍA (NIA-ES 320)
NORMA INTERNACIONAL DE AUDITORÍA 320 IMPORTANCIA RELATIVA O MATERIALIDAD EN LA PLANIFICACIÓN Y EJECUCIÓN DE LA AUDITORÍA (NIA-ES 320) (adaptada para su aplicación en España mediante Resolución del Instituto
Más detallesASEGURAMIENTO DE LA CALIDAD EN LABORATORIO
FUNDACION NEXUS ASEGURAMIENTO DE LA CALIDAD EN LABORATORIO Marzo de 2012 CALIDAD, CONTROL DE LA CALIDAD Y ASEGURAMIENTO DE LA CALIDAD El laboratorio de análisis ofrece a sus clientes un servicio que se
Más detallesDOCUMENTO DE SEGURIDAD
Diciembre de 2005 INDICE DEL CONTENIDO 1. OBJETO... 1 2. AMBITO DE APLICACIÓN... 2 2.1 Ambito jurídico... 2 2.2 Ambito personal... 2 2.3 Ambito material... 2 3. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD. MEDIDAS
Más detallesSISTEMA DE APARTADO DE SALAS PARA EVENTOS
SISTEMA DE APARTADO DE SALAS PARA EVENTOS Dirección General de Comunicaciones e Informática Febrero 2008 1 INDICE 1. Objetivos del Sistema... 3 10. Solución de problemas... 23 2. Introducción... 4 3. Requisitos...
Más detallesNORMA INTERNACIONAL DE AUDITORÍA 706 PÁRRAFOS DE ÉNFASIS Y PÁRRAFOS SOBRE OTRAS CUESTIONES EN EL INFORME EMITIDO POR UN AUDITOR INDEPENDIENTE
NORMA INTERNACIONAL DE AUDITORÍA 706 PÁRRAFOS DE ÉNFASIS Y PÁRRAFOS SOBRE OTRAS CUESTIONES EN EL INFORME EMITIDO POR UN AUDITOR INDEPENDIENTE (NIA-ES 706) (adaptada para su aplicación en España mediante
Más detallesAnexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT
Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación
Más detallesSECRETARÍA DE TIC, CIENCIA, TECNOLOGÍA E INNOVACIÓN
PÁGINA: 1 DE 15 SECRETARÍA DE TIC, CIENCIA, TECNOLOGÍA E INNOVACIÓN Este manual es de propiedad exclusiva de la Gobernación del Meta por lo cual no debe ser reproducido, distribuido, corregido o prestado,
Más detallesMANTENIMIENTO Y SOPORTE
MANTENIMIENTO Y SOPORTE Copyright 2014 Magalink SA Todos los derechos reservados. Este documento no puede ser reproducido de ninguna manera sin el consentimiento explícito de Magalink S.A. La información
Más detallesDeterminar el tiempo de realizar las diferentes actividades para la implementación del sistema EVECP.
CAPITULO V IMPLEMENTACION DEL SISTEMA AUTOMATIZADO EN UN ENTORNO VIRTUAL PARA LA EDUCACION CONTINUA Y PERMANTENTE PAR LAS UNIDADES DE ENSEÑANZA E INVESTIGACION. 5.1 GENERALIDADES El presente capitulo contiene
Más detallesEL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO
EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO CONTENIDO 1. Prefacio... 3 2. Misión... 3 3. Visión... 3 4. Planeación... 3 5. Inventario y adquisiciones...
Más detallesTEMA 6: AUDITORIA INTERNA
TEMA 6: AUDITORIA INTERNA Pág. 1. OBJETIVOS DE LA AUDITORIA INTERNA. 94 2. COMPETENCIAS, FUNCIONES Y RESPONSABILIDADES DE LOS INTERVINIENTES EN AUDITORIAS DE I+D+i 96 3. EVALUACIÓN DEL AUDITOR. 100 4.
Más detallesEstado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR. Proceso de Compras en los municipios
Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Proceso de Compras en los municipios. Esta presentación tiene el propósito primordial, entre otras cosas, de compartir información y estrategias
Más detallesPara obtener una cuenta de padre
Orientación de Calificaciones Portal Padres Temas Principales Características Para obtener una Cuenta de Padres Lineamientos sobre el uso Manejo de la Cuenta Información de apoyo Calificaciones en Portal
Más detallesLos contenidos deben ser entendibles, agradables y de fácil uso
POLÍTICA EDITORIAL Y DE ACTUALIZACIÓN DEL SITIO WEB La política Editorial y de actualización del Sitio Web se encuentra regida por el Decreto 067, expedido el 24 de septiembre de 2012, que tiene por objeto
Más detallesPOLÍTICA DE CONTINUIDAD OPERACIONAL MINISTERIO DE OBRAS PÚBLICAS
POLÍTICA DE CONTINUIDAD OPERACIONAL MINISTERIO DE OBRAS PÚBLICAS Fecha de Aprobación: 26 de septiembre 2013, en sesión de Comité de Seguridad de la Información Política de Continuidad de Operacional Página
Más detallesAcuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández.
Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández. Con el fin de regular el uso de los recursos informáticos y telemáticos del servicio de correo en
Más detallesRecinto de Río Piedras Universidad de Puerto Rico. División de Tecnologías Académicas y Administrativas
Recinto de Río Piedras Universidad de Puerto Rico División de Tecnologías Académicas y Administrativas Condiciones para el uso de las Tecnologías de Información y Comunicación en el Recinto de Río Piedras
Más detalles