En la ejecución del estudio de auditoría se observó (en lo aplicable) la siguiente normativa relacionada:

Transcripción

1 Deloitte & Touche, S.A. Centro Corporativo El Cafetal Edificio B, piso 2 Ap. Postal La Ribera, Belén, Heredia Costa Rica 13 de octubre de 2014 Tel: (506) Fax: (506) Señor Henry Valerin Sandio, Auditor General SERVICIO FITOSANITARIO DEL ESTADO MINISTERIO DE AGRICULTURA Y GANADERÍA Presente Estimado señor: Tenemos el gusto de presentarle los resultados relativos a la evaluación del sistema de control interno en materia de tecnologías de la información relacionado específicamente con el cumplimiento de lo dispuesto en el Decreto Ejecutivo N JP Reglamento para la protección de los programas de cómputo en los Ministerios e Instituciones adscritas al Gobierno Central. En la ejecución del estudio de auditoría se observó (en lo aplicable) la siguiente normativa relacionada: a. Las Normas para el Ejercicio de la Auditoría Interna en el Sector Público, el Manual de Normas Generales de Auditoría para el Sector Público (ambos documentos emitidos por la Contraloría General de la República) y el Reglamento de Organización y Funcionamiento de la Auditoría Interna del Servicio Fitosanitario del Estado (Decreto Ejecutivo Nº MAG). b. Las Normas Internacionales de Auditoría (NIA) y sus respectivas Declaraciones; considerando que las NIA constituyen un marco normativo de referencia aplicable a la auditoría en el sector público. c. Como complemento al ordenamiento anterior, se aplicaron las regulaciones propias DELOITTE. Sin más por el momento, nos ponemos a su disposición para aclarar cualquier duda al respecto. Atentamente, Ing. Mauricio Solano R. Director Member of Deloitte Touche Tohmatsu

2 Servicio Fitosanitario del estado AUDITORÍA INTERNA INFORME Nº AI-SFE-SA-INF RESULTADOS RELATIVOS A LA EVALUACIÓN DEL sistema de control interno en materia de tecnologías de la información RELACIONADO ESPECÍFICAMENTE CON EL CUMPLIMIENTO DE lo dispuesto en el Decreto Ejecutivo N JP Reglamento para la protección de los Programas de Cómputo en los Ministerios e Instituciones adscritas al gobierno central EMITIDO POR Deloitte & Touche S.A. OCTUBRE Del 2014

3 TABLA DE CONTENIDOS RESUMEN EJECUTIVO... 1 I.- INTRODUCCIÓN ORIGEN DEL ESTUDIO OBJETIVOS Objetivo General Objetivos Específicos ALCANCE PERÍODO LIMITACIONES METODOLOGÍA NORMA LEGAL Y TÉCNICA COMUNICACIÓN DE RESULTADOS II.- Resultados (Hallazgos Oportunidades de Mejora) Debilidades para gestionar la detección de software no autorizado Criterio Condición Causa Efecto Conclusión Recomendaciones Debilidades en la asignación de privilegios con respecto a la instalación de software Criterio Condición Causa Efecto Conclusión Recomendación Comentarios de la Administración Desactualización del registro control de cambios del SGC Criterio Condición Causa Efecto Conclusión i

4 2.3.6 Recomendación Comentarios de la Administración Comentarios de la Auditoría Interna Debilidades en la gestión relativa a la revisión documental del SGC Criterio Condición Causa Efecto Conclusión Recomendación La estructura del Manual de Políticas de Seguridad TI dificulta ubicar en forma ágil los temas de interés Criterio Condición Causa Efecto Conclusión Recomendación Programa de capacitación institucional no contempla el tema de derechos de autor y conexos Criterio Condición Causa Efecto Conclusión Recomendación Sesiones de la Comisión de TI no aportan a la gestión relativa al cumplimiento del Decreto Ejecutivo N JP Criterio Condición Causa Efecto Conclusión Recomendación Debilidades con respecto a la existencia de hoja de vida de los equipos del SFE Criterio Condición Causa ii

5 2.8.4 Efecto Conclusión Recomendación Falta de mecanismos oficiales mediante los cuales se exhorte a los proveedores Criterio Condición Causa Efecto Conclusión Recomendación Debilidades en el registro de las licencias de los servidores Criterio Condición Causa Efecto Conclusión Recomendación Debilidad respecto al análisis de riesgos TI Criterio Condición Causa Efecto Conclusión Recomendación Debilidades en los inventarios de licencias Criterio Condición Causa Efecto Conclusión Recomendación III.- REPORTE SOBRE EL ESTADO DE LICENCIAMIENTO IV.- RESULTADOS SEGUIMIENTO DEL INFORME PRESENTADO EN EL AÑO iii

6 V.- ENCUESTA A JEFATURAS Y FUNCIONARIOS ANEXOS Detalle de Facturación sistema operativo Windows: Detalle de facturación sistema Servidores: Detalle de software varios licenciados, en los cuales no se pudo encontrar factura o contrato asociado Carta de Profesional Letras iv

7 RESUMEN EJECUTIVO INFORME AI-SFE-SA-INF Con el paso del tiempo, las tecnologías de información (TI) han experimentado una serie de cambios y han evolucionado, tomando gran importancia en el mundo de los negocios y la operatividad de las diferentes organizaciones, tanto en el sector privado como en el público; lo anterior obedece a que ya que los procesos de tecnologías de información abarcan el procesamiento de la mayor parte de información en el mundo entero. Con este proceso evolutivo, también ha crecido la posibilidad de que uno de los activos más valiosos para cualquier entidad, la información, se vea amenazada por actores internos y externos, por consiguiente, las regulaciones y vigilancia sobre los procesos de tecnologías de información ha demandado que se creen figuras, métodos y técnicas que colaboren con la evaluación y seguimiento para la mejora en la gestión de todas las áreas y procesos de las tecnologías de información. En la actualidad, la función de auditoría ha tomado un papel imprescindible en la evaluación y mejora de los controles que se deben ejercer sobre los recursos tecnológicos institucionales, por tal motivo, se establecen procesos continuos de monitoreo y auditoría de TI, independientemente del sector en que se encuentra la organización. Consecuente con lo anterior, se programó y ejecutó el respectivo estudio de auditoría a efecto de determinar si el sistema de control interno del Servicio Fitosanitario del Estado cumple con lo establecido en el Decreto Ejecutivo N JP Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central. En ese sentido, dicha norma establece en su artículo 3 lo siguiente: Cada Ministerio e Institución adscrita al Gobierno Central, deberá realizar anualmente una auditoría interna o externa según las propias posibilidades presupuestarias y organizacionales para determinar el cumplimiento de las disposiciones tendientes a la protección de los derechos de autor (El texto destacado no es del original) Como resultado de la ejecución del citado estudio, se identificaron 12 hallazgos que reportar, los cuales han sido clasificados en 3 niveles de riesgo, a saber: alto (A), medio (M) y bajo (B), siendo esta clasificación establecida por el impacto que puede ocasionar en el cumplimiento de los objetivos de la entidad, lo dispuesto en el Decreto Ejecutivo N JP y en lo que se refiere a control interno, gestión y operatividad. 1

8 0% 0% 100% Riesgo Alto Riesgo Medio Riesgo Bajo Clasificación de oportunidades de mejora identificadas, de acuerdo con el nivel de riesgo identificado: Riesgo Alto: 0 Riesgo Medio: 12 Riesgo Bajo: 0 Clasificaciones del riesgo de las oportunidades de mejora: Menor (Bajo): Es un error o hallazgo de debilidades en el control que tienen un impacto mínimo en el control interno; sin embargo, no deben ser pasados por alto por la Administración. Moderado (Medio): Es un error o hallazgo de debilidades en el control que puede afectar el control interno y/o la eficiencia de las operaciones; sin embargo, aunque representan situaciones importantes su efecto sobre la eficacia de los controles no altera a un nivel relativamente alto el funcionamiento del mismo. Mayor (Alto): Son condiciones o errores de control en las cuales el diseño u operación de los elementos específicos del control interno no reducen a un nivel relativamente bajo la posibilidad de que puedan ocurrir errores en cantidades que podrían ser significativas y/o materiales y que podrían afectar significativamente la eficiencia de las operaciones. 2

9 Núm. Hallazgo Debilidades para gestionar la detección de software no 1. 1 autorizado Debilidades en la asignación de privilegios con respecto a 2. la instalación de software Nivel de Riesgo Alto Medio Bajo 3. 2 Desactualización del registro control de cambios del SGC Debilidades en la gestión relativa a la revisión documental 4. 3 del SGC La estructura del Manual de Políticas de Seguridad TI 5. 3 dificulta ubicar en forma ágil los temas de interés 6. Programa de capacitación institucional no contempla el tema de derechos de autor y conexos 7. Sesiones de la Comisión de TI no aportan a la gestión relativa al cumplimiento del Decreto Ejecutivo N JP. 8. Debilidades con respecto a la existencia de hoja de vida de los equipos del SFE 9. Falta de mecanismos oficiales mediante los cuales se exhorte a los proveedores 10. Debilidades en el registro de las licencias de los servidores 11. Debilidad respecto al análisis de riesgos TI 12. Debilidades en los inventarios de licencias 3

10 I.- INTRODUCCIÓN ORIGEN DEL ESTUDIO De acuerdo con el Plan Anual de Labores de la Auditoría Interna, se ejecutó el estudio de auditoría mediante el cual se evaluó si el sistema de control interno en materia de tecnología de la información, que fue implementado por el Servicio Fitosanitario del Estado (SFE), le permite garantizar en forma razonable, dar cumplimiento a lo dispuesto en el Decreto Ejecutivo N JP Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central. Considerando que la Auditoría Interna del SFE, no cuenta con personal profesional en la especialidad de informática y computación, se recurre a la contratación externa de servicios profesionales. Según los resultados del proceso de contratación 2014CD , la contratación de los servicios de auditoría interna requeridos le fue adjudica al Despacho Deloitte & Touche S.A OBJETIVOS Objetivo General Determinar si el sistema de control interno en materia de tecnología de la información, que fue implementado por el Servicio Fitosanitario del Estado (SFE), le permite garantizar en forma razonable, dar cumplimiento a lo dispuesto en el Decreto Ejecutivo N JP "Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central" Objetivos Específicos Determinar si lo dispuesto en el Decreto Ejecutivo N JP se visualiza como parte de las acciones emprendidas por la Unidad de Tecnología de la Información (UTI), con respecto a la implementación del modelo de control interno establecido por el SFE Determinar si la valoración del riesgo realizada por la UTI, consideró (en lo que pudiese corresponder) los diferentes aspectos sustantivos vinculados con el cumplimiento del Decreto Ejecutivo N JP. 4

11 Determinar si se cuenta con procedimientos oficiales respecto al uso e instalación de programas de cómputo; cuya implementación permita garantizar el uso legal de tales programas, según lo dispuesto en el Decreto Ejecutivo N JP Determinar si el sistema de control interno en materia de tecnologías de la información, con respecto a la adquisición y utilización de programas de cómputo, considera de conformidad con el artículo 10 del Decreto Ejecutivo N JP, lo siguiente: Política comprensiva de manejo de programas de cómputo y mecanismos y prácticas de control efectivas para garantizar la adquisición y uso adecuado de todos los programas de cómputo. Medidas para evaluar el cumplimiento de las disposiciones en materia de derechos de autor, en lo concerniente a la adquisición y uso de programas de cómputo. Apoyo institucional con respecto al entrenamiento apropiado del personal en materia de Derechos de Autor y Derechos Conexos relacionado con los programas de cómputo, las políticas y procedimientos adoptados para cumplir con ellos. Control y registro del licenciamiento e instalación de licencias en los equipos que dispone el SFE. Registro, expediente u hoja histórica por equipo de cómputo, donde conste el funcionario responsable que autoriza la instalación, fecha de instalación y la persona responsable de hacer la instalación. Medidas para exhortar a todos los contratistas y proveedores del Gobierno Central a cumplir con las normas sobre derechos de autor, a adquirir y utilizar programas de cómputo con sus respectivas licencias de uso Verificar si los sistemas de información (manuales, automatizados o una mezcla de ambos) y controles establecidos por la administración, le permiten garantizar que en la totalidad de las computadoras, única y exclusivamente, se encuentran instalados los programas de cómputo que cumplan con los derechos de autor correspondientes. En ese sentido, se deberá corroborar si ese sistema de información emite notas de advertencia (alertas) en caso de que se presente una inconsistencia o irregularidad; y si 5

12 las mismas son dirigidas a las instancias competentes para su adecuado tratamiento Realizar las pruebas que permitan verificar y cuantificar los equipos de cómputo existentes y los programas que tengan instalados las computadoras, así como el número de copias autorizadas de cada programa, comprobando la fecha de instalación, versión de cada uno y si se encuentran ajustados a los términos del licenciamiento. Además, dicha verificación deberá permitir la identificación de cualquier programa que exceda el número autorizado o que no cuente con la licencia correspondiente; así como las causas que no le permiten a la organización contar con suficientes autorizaciones para cubrir todos los equipos de cómputo y programas en uso. En ese sentido, una vez que se haya comparado el inventario e información suministrada por la UTI contra los resultados de las pruebas realizadas, se deberá informar como mínimo sobre: Resumen del total de licencias adquiridas (grupo de productos, familia y versión de las licencias; así como la cantidad de licencias efectivas). Distribución de los equipos ubicados en la sede central y sedes regionales (cantidad de equipos según su tipo o sea, de escritorio y portátiles-). Distribución de los equipos que operan como servidores en sus diferentes versiones ubicados en la sede central y sedes regionales (identificación del equipo, sistema operativo y cantidad de servidores según su tipo o sea, físicos y virtuales-). Cantidad de sistemas operativos instalados en equipos tipo escritorio y portátil. Estado de la plataforma implementada con relación a aplicaciones de escritorio (se deberá informar sobre su distribución a nivel central y regional, versiones, cantidad y esquema de licenciamiento). Cantidad de servidores de mensajería y estado de las licencias adquiridas con relación a dichos servidores (familia y versión de las licencias y cantidad efectiva de las mismas). Cantidad de servidores de base de datos y estado de las licencias adquiridas con relación a dichos servidores (familia y versión de las licencias y cantidad efectiva de las mismas). Cantidad de licencias adquiridas en productos de seguridad (familia y versión de las licencias y cantidad efectiva de las mismas). 6

13 Determinar si se remitió al Registro de Derechos de Autor y Derechos Conexos, durante el tercer trimestre del año anterior, la constancia que declare que el SFE cumple con la protección del derecho de autor de los programas de cómputo, según lo dispuesto en el artículo 2, inciso d) del Decreto Ejecutivo N JP. Asimismo, verificar si a lo interno de la organización se ha comunicado que el SFE cumple con lo señalado en el mencionado decreto, conforme con lo establecido en el segundo párrafo del artículo 4 de ese decreto Determinar si el sistema de información establecido para registrar el inventario de equipos y licencias adquiridas e instaladas, permite el registro de información relevante para la toma de decisiones y rendición de cuentas, y si se encuentra actualizado Determinar cuál es el nivel de participación que tiene la Comisión de Tecnología de la Información con relación al cumplimiento que debe tener el SFE de lo dispuesto en el Decreto Ejecutivo N JP. Al respecto, se deberán verificar los diferentes aspectos que se han tratado con relación al mencionado decreto, mediante la revisión del libro de Actas que lleva ese órgano colegiado Analizar el contenido del informe que se emitió y comunicó en el año 2013, en atención a lo dispuesto en el artículo 4 del Decreto Ejecutivo N JP; a efecto de que se considere como insumo y según corresponda, sirva de referencia para visualizar el diseño y la realización de las pruebas que se requieran efectuar durante la ejecución del estudio de auditoría requerido, según el objeto de la contratación. Consecuentemente, se deberá verificar el estado de cumplimiento de las acciones de mejora (recomendaciones) que fueron identificadas para atender en forma efectiva los resultados del citado informe Verificar si la institución ha establecido cómo gestionar aquellos incidentes que estarían orientados a posibles incumplimientos con relación al tema de Derechos de Autor y Derechos Conexos relacionados con los programas de cómputo; a efecto de que se establezcan y apliquen, en los casos en que corresponda, las medidas disciplinarias por incumplimiento de las disposiciones contenidas en el Decreto Ejecutivo N JP (respetando el debido proceso). 7

14 Diseñar un instrumento y aplicar la técnica de encuesta, a la totalidad de funcionarios del SFE, que se desempeñan a nivel jefatura (se incluyen los puestos de Director, Subdirector, Jefe de Departamento y Jefe de Unidad). El instrumento deberá tener un enfoque gerencial, siempre en relación al conocimiento que tienen estos funcionarios de lo dispuesto en el Decreto Ejecutivo N JP y las políticas, lineamientos y procedimientos que haya establecido la administración activa sobre el tema de Derechos de Autor y Derechos Conexos, relacionado con los programas de cómputo Diseñar un instrumento y aplicar la técnica de encuesta, a una muestra estadísticamente válida del total de funcionarios del SFE, que NO se desempeñan a nivel de jefatura (se excluyen los puestos de Director, Subdirector, Jefe de Departamento y Jefe de Unidad), con relación al conocimiento que tienen los funcionarios de lo dispuesto en el Decreto Ejecutivo N JP y las políticas, lineamientos y procedimientos que haya establecido la administración activa sobre el tema de Derechos de Autor y Derechos Conexos, relacionado con los programas de cómputo ALCANCE En la ejecución del presente estudio se realizaron las siguientes actividades para verificar el cumplimiento del Decreto Ejecutivo N JP: Seguimiento a las recomendaciones consignadas en el informe del año 2013, que el SFE remitió al Registro Nacional. Análisis de políticas y procedimientos establecidos por la UTI con respecto al citado decreto. Análisis del sistema de inventario y licenciamiento para garantizar el uso legal de esos programas. Análisis del sistema de control interno en materia de tecnologías de la información, con respecto a la adquisición y utilización de programas de cómputo. Realización de pruebas para verificar y cuantificar los equipos de cómputo existentes y los programas instalados. 8

15 Verificación de la suficiencia y pertinencia de los mecanismos y prácticas de control adoptados para el resguardo, acceso y custodia de la documentación (física y/o electrónica) correspondiente a las autorizaciones relacionadas con el licenciamiento. Verificación del sistema de información establecido para registrar el inventario de equipos y licencias adquiridas e instaladas. Verificación de la gestión emprendida por el SFE para atender los incidentes relacionados con incumplimientos en materia de Derechos de Autor y Derechos Conexos relacionados con los programas de cómputo. Aplicación de encuestas a las jefaturas del SFE, sobre el conocimiento que tienen con respeto a lo dispuesto en el Decreto Ejecutivo N JP. Aplicación de encuestas a una muestra de funcionarios del SFE, sobre el conocimiento que tienen con respeto a lo dispuesto en el Decreto Ejecutivo N JP PERÍODO El estudio abarcó el periodo comprendido entre el 16 de mayo y el 29 de setiembre del 2014, por lo que cualquier cambio en la información suministrada (que se utilizó como referencia para el presente estudio), posterior a la fecha de corte no fue tomada en cuenta para determinar las conclusiones LIMITACIONES Durante ejecución del estudio, se presentaron las siguientes limitaciones: Falta de información consolidada y conciliada, con respecto a la población real de equipos de cómputo con que cuenta el SFE. Se identificaron diferencias significativas entre los inventarios de la Unidad de Servicios Generales, la Unidad Financiera Contable y la Unidad de Tecnología de la Información Poca participación de los funcionarios durante la realización de las encuestas, limitando los resultados obtenidos No se logró obtener toda la información solicitada con el método de captura de pantalla, situación que no permitió diagnosticar el licenciamiento de algunos de los equipos. 9

16 1.6.- METODOLOGÍA Se utilizó el enfoque de Deloitte con una metodología completa y rigurosamente probada que ha asegurado la entrega exitosa de un servicio de talla mundial. La metodología asegura: Un enfoque que integra el control, los objetivos de la Dirección de Informática, la administración del riesgo y el cumplimiento. Un enfoque de consultoría diseñado para crear sinergia entre nuestro equipo y el Servicio Fitosanitario del Estado Recursos enfocados en áreas de alto riesgo y oportunidad. Un enfoque proactivo que señala a la Administración asuntos de riesgos potenciales antes de que se conviertan en problemas. El enfoque de aseguramiento de controles internos, responde a una oportunidad de determinar los factores de riesgo presentes en el ambiente computacional en nuestros clientes, considerando los siguientes aspectos: Valoración de la exposición: Identifica los riesgos del negocio, analiza el impacto de los riesgos en la organización y valora la efectividad de los controles. Implementación de controles: Verifica los controles efectivos y confiables establecidos por nuestros clientes para mitigar el riesgo determinado. Administración del riesgo: Monitorea y evalúa el rendimiento de los controles y los ambientes de riesgo para determinar si los niveles de exposición son aceptables. El concepto clave de la metodología de DELOITTE es obtener una comprensión del riesgo tecnológico asociado al Servicio Fitosanitario del Estado, para permitir el desarrollo de un modelo de control del riesgo y enfoque en las áreas de importancia para la Unidad de Tecnologías de la Información (UTI) del SFE. El proceso de evaluación del riesgo de DELOITTE permite a las organizaciones valorar y manejar los riesgos de Tecnología a cada nivel de la operación. Clarifica los objetivos del negocio, identifica los riesgos que pueden impedir el logro de esos objetivos, permite la administración de esos riesgos y valora si la exposición del riesgo es aceptable. La metodología de DELOITTE cree que el riesgo y la oportunidad son como los dos lados de una moneda. DELOITTE se acerca al riesgo positivamente, 10

17 sabiendo que el lado opuesto del riesgo a menudo representa una oportunidad para la ventaja competitiva. La práctica de DELOITTE responde a una oportunidad de determinar los factores de riesgo presentes en la operación y gestión asociados al cumplimiento de Normativas considerando los siguientes aspectos: La metodología de Auditoría de Tecnología de la Información, es un enfoque integrado y multidisciplinario para comprender y controlar sus riesgos. Esta metodología prioriza los riesgos de tecnología de información en un plan integrado de evaluación administrativa de riesgo. Mapa de riesgos Mayor Medio Monitorear apropiadamente el cumplimiento y los cambios en el diseño de controles. Alto Recomendar cambios a un costo efectivo para mejorar los controles. Significancia de la Ocurrencia Bajo Medio Menor Potencial ahorro en costos y controles. Monitorear apropiadamente el cumplimiento y los cambios en el diseño de controles. Baja Vulnerabilidad Alta 11

18 Categorías de riesgos Alto (A): Representa una deficiencia en los controles relacionados con tecnología e información. Deberá ser atendido lo antes posible. Medio (M): Deberá ser atendido durante los siguientes días. Bajo (B): Representa una desviación menor en los controles relacionados con tecnología e información. Deberá ser atendido de acuerdo con la disponibilidad de tiempo de los recursos asignados por la Institución. Para logro en el cumplimiento de los objetivos del estudio, se utilizó el marco metodológico expuesto anteriormente, en función de una estructura de trabajo que constó de fases de planificación del trabajo, ejecución de procedimiento de auditoría y entrega de resultados. Para el desarrollo de las fases citadas, se utilizaron técnicas de auditoría como indagaciones; mediante entrevistas y cuestionarios con el personal clave de la Unidad Informática del SFE, inspección física de procesos y controles mediante pruebas en sitio, análisis de información documental sobre los procedimientos y lineamientos relacionados con el estudio y formalmente establecidos, confirmación de resultados en función del análisis y entendimiento de la información, y la presentación y comunicación de resultados a la Auditoría Interna por medio de informes e informe final de auditoría NORMA LEGAL Y TÉCNICA Conforme a los términos que regularon el proceso de contratación 2014CD , en la ejecución del estudio de auditoría se observó (en lo aplicable) lo siguiente: a. Las "Normas para el Ejercicio de la Auditoría Interna en el Sector Público", el "Manual de Normas Generales de Auditoría para el Sector Público" (ambos documentos emitidos por la Contraloría General de la República) y el Reglamento de Organización y Funcionamiento de la Auditoría Interna del Servicio Fitosanitario del Estado (Decreto Ejecutivo Nº MAG). b. Las Normas Internacionales de Auditoría (NIA) y sus respectivas Declaraciones; considerando que las NIA constituyen un marco normativo de referencia aplicable a la auditoría en el sector público. c. Como complemento al ordenamiento anterior, se aplicaron las regulaciones propias DELOITTE. 12

19 d. Las Normas técnicas para la gestión y el control de las tecnologías de información (TI), en adelante referidas como NT, según la resolución aprobadas mediante el Despacho de la Contraloría General de la República, No. R-CO del 7 de junio de 2007, publicada en La Gaceta No.119 del 21 de junio de e. Decreto Ejecutivo N JP "Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central" COMUNICACIÓN DE RESULTADOS Los resultados del estudio y las recomendaciones respectivas (mismas que fueron aceptadas por la administración, consideradas en los casos respectivos y consignados en el presente informe los comentarios emitidos), fueron revisados en las fechas indicadas a continuación: El día 11/08/2014, se llevó a cabo la conferencia final de resultados con personal de la Unidad de Tecnología de la Información, específicamente con los funcionarios Didier Suárez Chávez, Gilbert Alfaro Chavarría y Jeymer Mora Pérez. El día 12/08/2014, se llevó a cabo la conferencia final con el Lic. Adrián Gómez Díaz, Jefe de la Unidad de Planificación, Gestión de la Calidad y Control Interno. El día 12/08/2014, se llevó a cabo la conferencia final con el Ing. Carlos Padilla Bonilla, Subdirector. El día 10/09/2014, se llevó a cabo una conferencia de resultados con personal de la Unidad de Tecnología de la Información, específicamente con los funcionarios Didier Suárez Chávez, Gilbert Alfaro Chavarría y Jeymer Mora Pérez. El día 01/10/2014, se llevó a cabo la conferencia final de resultados con personal de la Unidad de Tecnología de la Información, específicamente con los funcionarios Didier Suárez Chávez, Gerardo Quesada Alvarado, Gilbert Alfaro Chavarría y Jeymer Mora Pérez. El día 13/10/2014, se llevó a cabo la conferencia final de resultados con personal del Departamento Administrativo y Financiero, específicamente con los funcionarios Henry Vega Vega y Azarías Ruíz Villalobos. 13

20 II.- Resultados (Hallazgos Oportunidades de Mejora) INFORME AI-SFE-SA-INF Debilidades para gestionar la detección de software no autorizado Criterio a) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP), artículos 2 inciso a), 8, 10 inciso b) y 11. b) Normas técnicas para la gestión y el control de las Tecnologías de Información (N CO-DFOE), normas 1.4 (sub-normas y 1.4.6) y 3.2 inciso d. c) Manual de Políticas de Seguridad Tecnología de Información (TI-M-02 / Versión mayo 2014), numeral Condición Se determinó que en un caso se procedió a desinstalar software no autorizado; sin embargo, se obtuvo como resultado que no hay evidencia sobre la acción tomada para este caso en concreto que responda a lo establecido en el numeral del Manual de Políticas TI-M Causa Incumplimiento de la UTI de la política de seguridad identificada como ; así como de lo establecido las Normas técnicas para la gestión y el control de las Tecnologías de Información (N CO-DFOE), normas 1.4 (sub-normas y 1.4.6) y 3.2 inciso d Efecto El uso de software no autorizado, puede generar para la organización el riesgo de vulnerabilidad de la información, mismo que de materializarse puede ocasionar pérdida de información importante o acceso a la misma por parte de personas no autorizadas; esto sin dejar de lado las sanciones a las que se ve expuesto el SFE por el no acatamiento de las disposiciones del Decreto Ejecutivo N JP Conclusión Se presenta un debilitamiento del sistema de control interno al no implementarse a cabalidad la normativa citada en la causa y el efecto; situación que podría generar consecuencias negativas para la organización, por cuanto de materializarse un evento no deseado se podría afectar la 14

21 integridad de la información, situación que también estaría obligando a la determinación de eventuales responsabilidades en contra de los respectivos funcionarios lo anterior conforme lo dispuesto en el Decreto Ejecutivo N JP. Nivel de Riesgo Riesgo: o Pérdida de información o Acceso no controlado a la información Recomendaciones A la Directora del SFE Instruir a la UTI para que cumpla a cabalidad con lo establecido en la política contenida en el Manual de Políticas de Seguridad Tecnología de Información (TI-M-02 / Versión mayo 2014); situación que debe permitir, entre otros aspectos, a documentar la gestión emprendida facilitando la trazabilidad de las acciones adoptadas. A la Jefatura de la UTI Analizar lo establecido en la política contenida en el Manual de Políticas de Seguridad Tecnología de Información (TI-M-02 / Versión mayo 2014), a efectos de valorar su depuración, considerando entre otros aspectos, lo siguiente: Que el formato mediante el cual se documentan los incidentes determinados por la UTI, adicionen número de reporte y fecha de emisión. Que el reporte que consigna el incidente detectado, considere la remisión de una de sus copias a la jefatura inmediata. Que se defina con claridad que debe realizar la jefatura inmediata que es informada sobre este tipo de incidentes para canalizarlo ante la instancia que tiene la obligación de atender la materia sancionatoria, con el fin de que dicha gestión garantice el debido proceso. 15

22 2.2.- Debilidades en la asignación de privilegios con respecto a la instalación de software Criterio a) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP), artículos 2 inciso a), 8, 10 inciso b) y 11. b) Manual de Políticas de Seguridad Tecnología de Información (TI-M-02 / Versión mayo 2014), numeral PSI-016 Política de Instalación de Software Condición Se observó que en varias de las máquinas propiedad del SFE, no hay una correcta asignación de privilegios, esto en cuanto a instalación de software en los equipos; lo anterior se indica considerando que sin ningún tipo de restricción se pudo instalar el software de escaneo de licencias, el cual era vital para profundizar el estudio. Dicha situación se determinó en el siguiente equipo: ESTACION USUARIO PATRIMONIO Aeropuerto Juan Santamaría Gerardo Alvarado Aeropuerto Juan Santamaría Tarcicio Ufion Aeropuerto Juan Santamaría Jose Francisco Sancho Aeropuerto Juan Santamaría Emilia Zúñiga Aeropuerto Juan Santamaría Carlos Sanabria Aeropuerto Juan Santamaría Walter Gómez Aeropuerto Juan Santamaría Juan Jose Oviedo Pavas Viviana Campos Pavas Marielos Rodríguez Pavas Rigoberto Romero Pavas Marielos Rodríguez Pavas Arturo Saborío Ventanilla Única Marlen Alpizar Ventanilla Única Tatiana León Ventanilla Única Manuel Flores Ventanilla Única Lady Bolaños

23 2.2.3 Causa INFORME AI-SFE-SA-INF No se encontró algún apartado dentro del Manual de Políticas de Tecnologías de información que indique que deba existir restricción de instalación de software en las máquinas mediante privilegios a nivel del servidor de dominio; situación que podría estar generando un incumplimiento de lo dispuesto en el Decreto Ejecutivo N JP que tiene relación con este aspecto Efecto Existe un riesgo de que los usuarios puedan instalar software malicioso que comprometa la integridad de la información del SFE; situación que eventualmente podría comprometer la operación normal de la organización Conclusión No se cuenta con un apartado específico, dentro de las políticas, donde se indique que se va a restringir la instalación de software. Nivel de Riesgo Riesgo: o Vulnerabilidad de la información Recomendación A la Jefatura de la UTI Configurar el servidor de dominio de manera tal que los usuarios no puedan instalar software a menos que la Unidad de TI lo autorice. Dicha situación deberá ser corregida en forma urgente en los equipos identificados y descritos en el numeral anterior Comentarios de la Administración Según la Jefatura de la UTI, se debe considerar que en función de los sistemas instalados en esos equipos, se requiere privilegios de administrador. 17

24 2.3.- Desactualización del registro control de cambios del SGC Criterio Procedimiento PCCI_GC_PG_02 control de documentos y registros del SFE numeral (con fecha de rige abril 2014) Condición Posterior a solicitar la documentación inicial a la Unidad de TI, se determinó que la versión facilitada de la Política de Seguridad TI no coincidía con la versión publicada en el portal web, lo cual repercute en que los usuarios no estuvieron notificados oportunamente sobre las repercusiones de tener software no autorizado instalado en las máquinas de la Entidad. Lo anterior debido a la desactualización evidente en el documento publicado en la intranet Causa Falta de coordinación entre la UTI y PCCI situación que propició el incumplimiento de lo dispuesto en el numeral del procedimiento PCCI_GC_PG_02 control de documentos y registros del SFE Efecto Desactualización evidente del documento publicado en la intranet. De igual manera existe el riesgo de que la página web se encuentre desactualizada en otras secciones y un riesgo potencial de que las jefaturas no hayan aplicado y entendido correctamente las políticas orientadas a cumplir el Decreto Ejecutivo N JP Conclusión Existe un debilitamiento del SCI por cuanto no se está dando cumplimiento con el procedimiento PCCI_GC_PG_02 que facilita generar la documentación relativa al Sistema de Gestión de Calidad (SGC). 18

25 Nivel de Riesgo INFORME AI-SFE-SA-INF Riesgo: o Desactualización de la información publicada del SFE Recomendación A la Jefatura de la PCCI Adoptar las medidas que se consideren necesarias a efectos (entre ellas, una revisión integral de la lista maestra de procedimientos del SGC y de la lista de procedimientos que aparece en el sitio web del SFE) de garantizar que a la fecha no se estén presentando situaciones como la evidenciada y que vayan a generar incongruencias con respecto a la vigencia y actualización de los documentos; sin embargo, de determinarse que existen, se adopten acciones en forma oportuna Comentarios de la Administración El día 12/08/2014 la Jefatura de la PCCI con respecto a la citada recomendación manifestó que esta recomendación ya fue atendida y aporta como evidencia el oficio PCCI de fecha 03/04/ Comentarios de la Auditoría Interna Es nuestro criterio que con el oficio PCCI de fecha 03/04/2014, únicamente se visualiza instrucciones que están orientadas a actualizar la documentación que soporta el SGC; razón por la cual, la recomendación es pertinente y será por medio del seguimiento respectivo, que se verifique la efectividad de su implementación. 19

26 2.4.- Debilidades en la gestión relativa a la revisión documental del SGC Criterio Procedimiento PCCI_GC_PG_01 Elaboración y aprobación de documentos del SFE Procedimiento PCCI_GC_PG_02 control de documentos y registros del SFE numeral (con fecha de rige abril 2014) Condición Después de revisar la sección de políticas del portal web, se observó que la versión publicada de la política de seguridad de TI: Manual de Políticas de seguridad de TI, correspondía a la versión del año De igual manera, posterior a la revisión del documento PCCI_GC_PG_01 Elaboración y aprobación de documentos del SFE, se observó que hay incongruencias con la numeración de dicho documento, ya que hay puntos de distintos apartados que cuentan con la misma numeración Causa Incumplimiento de la UTI de lo dispuesto en el procedimiento PCCI_GC_PG_01 Elaboración y aprobación de documentos del SFE, numeral Efecto Situaciones como la evidencia propician un debilitamiento del SCI; y directamente sobre la documentación que soporta el SGC Conclusión La existencia de documentos publicados y que no estén actualizados, podría repercutir en que los empleados no tengan conocimiento en forma oportuna de las normas a seguir en cuanto al uso de los equipos de cómputo (y otros temas relacionados) de la Entidad. De igual manera, ese tipo de situaciones afecta directamente la trazabilidad entre departamentos en cuanto a las revisiones y publicaciones de documentos oficiales; como se determinó en el caso identificado Nivel de Riesgo. 20

27 Nivel de Riesgo Riesgo: o Notificaciones no oportunas a los funcionarios del SFE sobre nuevas regulaciones Recomendación A la Jefatura de la UTI Acatar lo establecido en el procedimiento PCCI_GC_PG_01 Elaboración y aprobación de documentos del SFE, numeral 9.6 (página 15), en cuanto a la revisión periódica de los documentos publicados. Considerando lo descrito en el presente hallazgo, deberá realizarse una revisión integral de los documentos de la UTI que forman parte del SGC, a efecto de validar la documentación existente o se adopten las medidas que pudiesen corresponder. Asimismo, se deberá revisar la numeración del procedimiento PCCCI-GC-PG-01 a efectos de que se depure según corresponda. 21

28 2.5.- La estructura del Manual de Políticas de Seguridad TI dificulta ubicar en forma ágil los temas de interés Criterio a) Manual de Políticas de Seguridad Tecnología de Información (TI-M-02 / Versión mayo 2014). b) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP), artículos 10, inciso a) y c) Condición El documento facilitado por parte de la UTI busca agrupar todas las disposiciones de esta Unidad en un único documento, creando que el entendimiento sea poco ágil, ya que desde nuestro punto de vista se dificulta la ubicación precisa de un tema específico para las posibles situaciones que se puedan generar alrededor del uso de los equipos del SFE Causa Políticas de TI agrupadas en un único documento Efecto Estructura del Manual de políticas de seguridad TI genera un riesgo potencial de que no responda a los intereses de los usuarios, situación que podría generar que haya desconocimiento por parte de los mismos acerca de las normativas del SFE Conclusión Se considera conveniente señalar que la no adecuada segmentación de las políticas podría provocar de que haya desconocimiento por parte de los funcionarios en cuanto a las normas de seguridad establecidas por la UTI, lo cual eventualmente generaría un incumplimiento involuntario (en los que les corresponda) por parte los mismos. 22

29 Nivel de Riesgo Riesgo: o Desconocimiento de los usuarios de las normativas del SFE Recomendación A la Jefatura de la UTI Valorar la estructura actual del Manual de Políticas de Seguridad de TI, a efectos de analizar la posibilidad de establecer documentos separados para cada normativa de la UTI (definiendo y estandarizando el formato respectivo), de manera tal que se facilite la identificación y acceso por parte de los usuarios 23

30 2.6.- Programa de capacitación institucional no contempla el tema de derechos de autor y conexos Criterio a) Ley General de la Control Interno Nª 8292, artículo 10. b) Normas de Control Interno para el Sector Público (N CO- DFOE). c) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP Condición Se determinó que el Programa de Capacitación Institucional (que contempla las necesidades en materia de TI) no considera el tema vinculado con la materia de derechos de autor y conexos, cuyas actividades de ser contempladas estén direccionadas a garantizar en forma razonable lo establecido sobre este aspecto en el Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP). De igual forma como resultado de una encuesta efectuada a funcionarios del SFE y miembros de las jefaturas se evidenció que hay un sector que tiene desconocimiento sobre las normas estipuladas en el Decreto Ejecutivo N JP. También se observó, como resultado de estas encuestas, que los funcionarios no han recibido capacitaciones oportunas que les permitan tener un conocimiento amplio sobre las implicaciones del incumplimiento del decreto en revisión Causa La administración no ha tenido capacidad de respuesta para tratar de la mejor manera a la interno de la organización el tema de derechos de autor y conexos Efecto Riesgo potencial de que se presenten incumplimientos del Decreto Ejecutivo N JP Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central ; que generen consecuencias negativas para la organización y sus funcionarios. 24

31 2.6.5 Conclusión INFORME AI-SFE-SA-INF De mantenerse la condición actual, dicha situación podría incidir negativamente en el SCI institucional; razón por la cual, la administración tiene la obligación de adoptar medidas oportunas que le posibiliten garantizar en forma razonable que posee un personal debidamente capacitado en el tema de derechos de autor y conexos, y sobre las efectos negativos que produciría el no ajustar una gestión al cumplimiento de lo dispuesto en el Decreto Ejecutivo N JP. Nivel de Riesgo Riesgo: o Incumplimiento Decreto Ejecutivo N JP Recomendación A la Jefatura de la UTI Incorporar como parte de los procedimientos y sanas prácticas administrativas de la UTI el tema del entrenamiento (o capacitación) del personal, cuyas actividades de carácter permanentes propicien mantener un personal altamente informado sobre el tema vinculado con la materia de derechos de autor y conexos, según los términos del Decreto Ejecutivo N JP Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central. Dicha gestión deberá permitir coordinar lo que corresponda con la Unidad Recursos Humanos, a efectos de que el programa de capacitación institucional y el propio de la UTI considere este tema y se desarrolle de la mejor manera a lo interno de la organización. 25

32 2.7.- Sesiones de la Comisión de TI no aportan a la gestión relativa al cumplimiento del Decreto Ejecutivo N JP Criterio a) Ley General de la Control Interno Nª 8292, artículo 10. b) Normas de Control Interno para el Sector Público (N CO- DFOE). c) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP d) Reglamento de funcionamiento de la comisión de Tecnologías de Información del Servicio Fitosanitario del Estado (CI-SFE) Condición Tomando como fuente primaria el libro de actas de la Comisión de TI; se determinó que dicho órgano colegiado no ha tenido capacidad de respuesta para contribuir con la organización en acciones concretas que le permitan atender a cabalidad el cumplimiento del Decreto Ejecutivo No JP Causa Falta de claridad sobre el nivel de intervención que debería tener la Comisión de TI con respecto al tema reculado mediante el Decreto Ejecutivo No JP Efecto Riesgo potencial de que se presenten incumplimientos del Decreto Ejecutivo N JP Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central ; que generen consecuencias negativas para la organización y sus funcionarios Conclusión La falta de una participación activa de la Comisión de TI con relación a aspectos que se podrían vincular como estratégicos con respecto al cumplimiento de lo dispuesto en el Decreto Ejecutivo N JP, ha limitado a ese órgano al diseño y presentación de propuestas ante la alta gerencia del SFE, situación que no ha permitido que se generen actividades que contribuyan al cumplimiento de ese marco normativo. 26

33 Nivel de Riesgo Riesgo: o Incumplimiento Decreto Ejecutivo N JP Recomendación A la Jefatura de la UTI Incorporar como parte de los temas a tratar en las sesiones de la Comisión de TI, todos aquellos aspectos sustantivos que permitan desarrollar actividades que velen por el cumplimiento del Decreto Ejecutivo N JP y así mismo que dicho órgano colegiado asesore de la mejor manera a la Dirección del SFE sobre este aspecto y que propicie que se generen las condiciones idóneas para mantener informados a los funcionarios sobre las implicaciones del no acatamiento de ese ordenamiento jurídico. 27

34 2.8.- Debilidades con respecto a la existencia de hoja de vida de los equipos del SFE Criterio a) Ley General de la Control Interno Nª 8292, artículo 10. b) Normas de Control Interno para el Sector Público (N CO- DFOE); Norma c) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP); Artículos 2 incisos a) y e), 10 inciso e) Condición Se determinó que la documentación relacionada con la hoja de vida de los equipos que mantiene la UTI (en las cuales se debería hacer constar el funcionario a cargo del equipo, responsable de instalación de software, fechas de instalación y demás), no se ajusta a un adecuado registro histórico, según los términos del Decreto Ejecutivo No JP Causa Al consultar a la UTI sobre este documento, se comentó que ellos confeccionan un documento de registro de los equipos cuando se realiza el primer mantenimiento, pero dicho documento no cumple con lo estipulado en el Decreto Ejecutivo N JP, ya que el mismo es un resumen de la revisión efectuada y no un registro de las características del equipo y responsables Efecto La falta de una adecuada gestión por parte de la UTI para poder tener un control sobre personal autorizado a instalar software en los equipos del SFE, repercute en este aspecto en el incumplimiento del Decreto Ejecutivo N JP Conclusión De mantenerse la condición actual, dicha situación podría incidir negativamente en la UTI; razón por la cual, la administración tiene la obligación de adoptar medidas oportunas que le posibiliten garantizar el registro oportuno de los equipos, con sus características y encargados de instalación de software. 28

35 Nivel de Riesgo Riesgo: o Incumplimiento Decreto Ejecutivo N JP Recomendación A la Jefatura de la UTI Elaborar una hoja de vida (digital o física) donde se registren los equipos, características, y demás datos que permitan tener un control sobre quien usa cada equipo y quien está autorizado a instalar software en los mismos. 29

36 2.9.- Falta de mecanismos oficiales mediante los cuales se exhorte a los proveedores Criterio a) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP), artículo 10), inciso f). b) Manual de Políticas de Seguridad Tecnología de Información (TI-M-02 / Versión mayo 2014) Condición La UTI no cuenta con un lineamiento formal cuya aplicación permita exhortar a los contratistas a cumplir con las normas sobre derechos de autor, a efectos de adquirir y utilizar programas de cómputo con sus respectivas licencias; lo anterior conforme lo dispuesto en el Decreto Ejecutivo N JP Causa La política PSI-0017 Política del software propiedad de la institución (numerales 19.1 y 19.2) no se hace mención sobre los mecanismos utilizados para garantizar el cumplimiento por parte de los contratistas, de manera tal que no se comprometa lo estipulado en el Decreto Ejecutivo N JP Efecto Existe un riesgo potencial de que los contratistas no cumplan con los requisitos mínimos requeridos para poder cumplir con los estipulado en el Decreto Ejecutivo N JP Conclusión No se cuenta con un apartado específico, dentro de las políticas, donde se indique que se va a exhortar a los contratistas en el cumplimiento del Decreto Ejecutivo N JP. 30

37 Nivel de Riesgo Riesgo: o Incumplimiento Decreto Ejecutivo N JP Recomendación A la Jefatura de la UTI Establecer una directriz y/o lineamiento y/o política (en este último caso que forme parte del Manual de Políticas de Seguridad Tecnología de Información (TI-M-02 / Versión mayo 2014), que indique el método y encargado para velar por las acciones de los contratistas de manera tal que se cumpla con lo estipulado en el artículo 10), inciso f) del Decreto Ejecutivo N JP. 31

38 Debilidades en el registro de las licencias de los servidores Criterio Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP), artículo 2), inciso e) Condición La UTI no cuenta con un documento oficial donde se muestre el detalle de las licencias de los servidores así como la ubicación de estos equipos Causa Incumplimiento del Decreto Ejecutivo N JP, en su artículo 2, inciso e) Efecto La falta de control sobre el software instalado en los equipos del SFE, puede llegar a representar un riesgo, debido a que no hay control sobre el software instalado en los servidores ni la ubicación de los mismos; situación que tiene un efecto negativo en el sistema de información Conclusión No existe un documento que registre adecuadamente el total de licencias así como su ubicación en las diferentes sedes, esto en cuanto a los servidores del SFE. Nivel de Riesgo Riesgo: o Incumplimiento Decreto Ejecutivo N JP. 32

39 Recomendación INFORME AI-SFE-SA-INF A la Jefatura de la UTI Establecer como parte del sistema de información de la UTI, un registro que consigne el total de servidores del SFE, así como las licencias utilizadas en cada uno, con su respectiva ubicación para poder dar cumplimiento al Decreto Ejecutivo N JP. 33

40 Debilidad respecto al análisis de riesgos TI Criterio a) Ley General de Control Interno Nº 8292, artículo 10 y 14. b) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP), artículos 2 inciso a) y artículo 10 inciso a). c) Normas de Control Interno para el Sector Público emitidas por la CGR, Normas 3.1 y 3.2. d) Manual de Políticas de Seguridad Tecnología de Información (TI-M-02 / Versión mayo 2014) Condición La UTI cuenta con la valoración del riesgo operativo relativa a los procesos bajo su responsabilidad, misma que se efectuó conforme a la metodología y procedimientos establecidos por el SFE. No obstante, considerando la información suministrado por la Unidad de Planificación, Gestión de la Calidad y Control Interno (PCCI) relacionada con esa valoración de riesgos, se puede indicar que la misma no evidencia eventos y acciones que se hayan identificado como resultado de haber considerado varios de los aspectos sustantivos regulados en el Decreto Ejecutivo N JP Causa Podría ser que lo reciente de la aplicación obligatoria del Decreto Ejecutivo N JP o la falta de análisis en la identificación de las fuentes primarias que generen los insumos para realizar el proceso de identificación, análisis y valoración del riesgo, no permitió considerar aspectos sustantivos regulados en dicha norma jurídica. Dicha situación podría generar un riesgo potencia de que se materialice un evento que genere consecuencias negativas para la organización Efecto La falta de una adecuada valoración de riesgos genera un ambiente propicio para la materialización de eventos no deseados; por cuanto en el caso específico de estudio, dicha situación no estaría generando las alertas que permitan evitar y/o mitigar eventualidades en cuestión de software no licenciado y/o no autorizado, lo cual podría comprometer la integridad de la información del SFE. 34

41 Conclusión INFORME AI-SFE-SA-INF No existe un análisis de riesgos por parte de la UTI, en cuanto a la existencia de software no autorizado y/o no licenciado en los equipos del SFE. Nivel de Riesgo Riesgo: o Incumplimiento Decreto Ejecutivo N JP Recomendación A la Jefatura de la UTI Analizar en forma integral el Decreto Ejecutivo N JP, resultados que le deben permitir a la UTI, según corresponda, identificar, analizar, valorar y documentar los riesgos asociados a la existencia de software no autorizado y/o no licenciado. Dicha situación debe permitir ajustar la valoración del riesgo de la UTI, y por ende la base de datos establecida por el SFE relativa al SEVRI. 35

42 Debilidades en los inventarios de licencias Criterio a) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N JP); Artículos 2 incisos a), b), e) y 10 incisos d), e). b) Normas de Control Interno para el Sector Público, emitidas por la CGR, normas 4.3.1, 4.4.1, y Condición La UTI cuenta con listados de los equipos de la SFE, en los cuales se pueden ver detalles que permiten dar trazabilidad a los equipos. No obstante, al comparar este listado con otros listados facilitados por la Unidad de Servicios Generales y la Unidad Financiera-Contable y el listado que se obtuvo como resultado del trabajo de campo; se observó que hay diferencias entre las cantidades de equipos listados así como los equipos identificados. Como resultados de la auditoría efectuada, se presentaron diferencias con respecto a los totales de los equipos inventariados y registrados, la cual se puede ver en el reporte el estado del licenciamiento, en la sección III de este documento Causa Falta de acciones periódicas que permitan mantener actualizado el inventario de la UTI. No se tiene como sana práctica administrativa realizar conciliaciones periódicas entre los registros de la UTI, Unidad de Servicios Generales y Unidad Financiera Efecto Sistema de información desactualizado, situación que estaría incidiendo en forma negativa en los registros de inventario de la UTI y Unidad de Servicios Generales, e inclusive en la revelación de información financiera-contables registros bajo la responsabilidad de la Unidad Financiera; lo cual puede repercutir en forma negativa en el cumplimiento de lo estipulado en el Decreto Ejecutivo N JP. 36

43 Conclusión No hay un adecuado control del registro de los equipos de cómputo por parte de la UTI, lo cual genera que no se logre obtener una trazabilidad adecuada a situaciones como traslados de equipos entre sedes y retiro de equipos por antigüedad. Esa debilidad, en apariencia, también se estaría presentando en la Unidad Financiera y Unidad de Servicios Generales. Nivel de Riesgo Riesgo: o Incumplimiento Decreto Ejecutivo N JP Recomendación A la Jefatura de la UTI Revisar los procedimientos y prácticas administrativas implementadas, con el fin de determinar si se deben realizar ajustes que permitan el correcto registro y control de los equipos del SFE, para poder generar inventarios más exactos, situación que debe propiciar un sistema de información que facilite cumplir con lo dispuesto en el Decreto Ejecutivo N JP; en ese sentido, se deberá considerar como insumo los resultados descritos en la sección III denominada Reporte sobre el estado del licenciamiento del presente informe. Dicha gestión deberá, según corresponda, definir si se deben depurar los procedimientos y registros existentes o establecer en forma oficial, otros que sean necesarios Revisar la condición actual del registro que muestra la cantidad de licencias adquiridas, situación que además de permitir con toda certeza suministrar información sobre licencias instaladas y las que se encuentran en custodia. En ese sentido, se deberá considerar como insumo los resultados descritos en la sección III denominada Reporte sobre el estado del licenciamiento del presente informe. Dicha gestión deberá, según corresponda, definir si se deben depurar los procedimientos y registros 37