INFORME DE AUDITORÍA TI de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad Auditoría

Transcripción

1 INFORME DE AUDITORÍA TI de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad Auditoría 13964) Período auditado: 17 de septiembre de 2014 al 16 de enero de 2015

2

3 TI CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 5 OPINIÓN Y HALLAZGOS Inversión realizada en programas y equipos computadorizados, en equipos electrónicos y de oficina, y en el Sistema CAD, sin haber logrado completar el Proyecto Deficiencia relacionada con el Plan de Riesgos del Cuerpo de Bomberos de Puerto Rico RECOMENDACIONES AGRADECIMIENTO ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 13

4 2 TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 11 de agosto de 2015 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información (OSI) del Cuerpo de Bomberos de Puerto Rico (Cuerpo de Bomberos), para determinar si las mismas se efectuaron de acuerdo con las normas generalmente aceptadas en este campo, y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 17 de septiembre de 2014 al 16 de enero de En algunos aspectos examinamos transacciones de fechas anteriores. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este Informe contiene dos hallazgos sobre el resultado del examen que realizamos relacionado con el desarrollo del Proyecto de Comunicaciones e Interoperabilidad (Proyecto) y la implantación del Sistema Computer Aided Dispatch (Sistema CAD); y de algunos aspectos

5 TI relacionados con la administración de la seguridad de los sistemas de información computadorizados. El mismo está disponible en nuestra página en Internet: INFORMACIÓN SOBRE LA UNIDAD AUDITADA El Cuerpo de Bomberos se creó mediante la Ley Núm. 43 del 21 de junio de 1988, Ley del Cuerpo de Bomberos de Puerto Rico, según enmendada. Su función principal es prevenir y combatir fuegos, salvar vidas, garantizar a los ciudadanos en general una protección adecuada contra incendios, así como determinar, una vez ocurrido un siniestro, el origen y las causas del mismo. La Ley Núm. 43 derogó la Ley Núm. 158 del 9 de mayo de 1942, según enmendada, por la cual se creó el Servicio de Bomberos de Puerto Rico. Mediante el Plan de Reorganización 2 del 9 de diciembre de 1993, se creó la Comisión de Seguridad y Protección Pública, y se le adscribió el Cuerpo de Bomberos como un componente operacional de la misma. Esta Comisión integra las funciones administrativas relacionadas con las tareas de planificación, compras, auditorías, preparación y control del presupuesto destinadas al Área de Seguridad y Protección Pública y, si lo estima conveniente, las labores relacionadas con el personal. La estructura que se estableció a esos efectos debe promover la economía funcional y la eficiencia operacional de las agencias que componen la Comisión. Además, transfirió la Secretaría Auxiliar de Emergencias Médicas de la Administración de Facilidades y Servicios de Salud al Cuerpo de Bomberos, efectivo el 1 de julio de El Cuerpo de Bomberos es dirigido por un Jefe de Bomberos, quien es nombrado por el Gobernador de Puerto Rico con el consejo y consentimiento del Senado. El Jefe de Bomberos desempeña el cargo por un término de seis años o hasta que su sucesor sea nombrado. El Cuerpo de Bomberos fue reorganizado mediante la Orden General del 3 de noviembre de 2014, en la que se establece que desarrollará sus operaciones a través de 6 zonas regionales localizadas 1 Mediante la Ley , se separó Emergencias Médicas del Cuerpo de Bomberos y se denominó como Cuerpo de Emergencias Médicas de Puerto Rico efectivo en el año fiscal

6 4 TI en Aguadilla, Arecibo, Caguas, Carolina, Ponce y San Juan. Las zonas, a su vez, se subdividen en 12 distritos ubicados en Aguadilla, Arecibo, Barceloneta, Bayamón, Caguas, Carolina, Guayama, Humacao, Mayagüez, Ponce, Río Piedras y San Juan. A estos distritos responden las 96 estaciones de bomberos a nivel Isla. Además, se considera como distrito la División de Operaciones Especiales (DOE) localizada en Hato Rey, la cual realiza funciones de rescate y primera respuesta (first response) con el servicio de ambulancia y emergencias médicas. Además, para realizar sus funciones a nivel central, el Cuerpo de Bomberos cuenta con las oficinas del Jefe de Bomberos, de Relaciones Públicas y Prensa, de Asesoramiento Legal y de Investigaciones Administrativas; los negociados de Extinción de Incendios, de Prevención de Incendios, de Adiestramientos y de Administración; y la División de Recursos Humanos. La OSI le responde al Negociado de Administración. A la fecha de nuestra auditoría, la OSI contaba con 1 Técnico de Apoyo en Sistemas de Información, quien realizaba las funciones del Administrador de la Red; 1 Bombero que realizaba funciones de Técnico de Apoyo y Reparaciones; y 1 Bombero que realizaba funciones como Encargado de Proyectos de Tecnologías Nuevas. Ambos bomberos pertenecían a la División de Extinción y fueron trasladados a la OSI para que le brindaran apoyo a la misma. Además, tenía vacante el puesto de Programador de Sistemas de Información. El objetivo de la OSI es agilizar e integrar los procesos y la búsqueda de información en el Cuerpo de Bomberos a través de la tecnología. Dicha Oficina recopila, mantiene y almacena la información para que los usuarios puedan utilizarla de forma segura y confiable. La OSI tenía en operación una red de comunicaciones de área local (LAN, por sus siglas en inglés) y una de área amplia (WAN, por sus siglas en inglés) 2. La red del área local permitía el acceso a los usuarios del 2 Es una red de comunicación que se conecta con diferentes lugares remotos que puede incluir desde distancias cortas, como por ejemplo un piso o un edificio, hasta transmisiones extremadamente largas que abarcan una región grande o varios países.

7 TI Edificio Central, y la red de área amplia a la DOE y a los 12 distritos distribuidos a través de la Isla. La comunicación de los datos de la red de área amplia se hacía mediante líneas T1 provistas por la Oficina de Gerencia y Presupuesto (OGP) y una compañía privada. La OSI contaba con 13 servidores y 295 computadoras de las cuales 209 estaban conectadas a la red y 86 que se mantenían sin conexión a la misma (stand alone). Además, tenía 427 usuarios con acceso a los sistemas de información (aplicaciones, sistemas, correo electrónico e Internet). Los gastos operacionales de la OSI eran sufragados del presupuesto operacional del Cuerpo de Bomberos, que para los años fiscales del al ascendió a $72,391,000, $75,258,000 y $67,715,000, respectivamente. El ANEJO contiene una relación de los funcionarios principales del Cuerpo de Bomberos que actuaron durante el período auditado. El Cuerpo de Bomberos cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca la entidad y de los servicios que presta. COMUNICACIÓN CON LA GERENCIA La situación comentada en el Hallazgo 1 de este Informe y otras situaciones determinadas durante la auditoría, relacionadas con los controles internos establecidos para el acceso lógico, la evaluación del desarrollo del Proyecto y de la implantación del Sistema CAD, y algunos aspectos sobre la configuración de los sistemas y las aplicaciones, fueron remitidas al Sr. Ángel A. Crespo Ortiz, Jefe de Bomberos, mediante carta de nuestros auditores, del 26 de enero de En la referida carta se incluyó un anejo con detalles sobre las situaciones comentadas. Mediante carta del 4 de febrero de 2015, el Jefe de Bomberos remitió sus comentarios a los hallazgos incluidos en la carta de nuestros auditores. Sus comentarios fueron considerados al redactar el borrador de este Informe.

8 6 TI El borrador de tres hallazgos se remitió para comentarios al Jefe de Bomberos, mediante carta del 24 de abril de Con el mismo propósito, remitimos el borrador del Hallazgo 1 de este Informe, a la Sra. Carmen G. Rodríguez Díaz y al Sr. Pedro A. Vázquez Montañez, ex-jefes de Bomberos, mediante cartas del 9 de junio de 2015, por correo certificado con acuse de recibo, a las direcciones provistas por el Cuerpo de Bomberos de Puerto Rico. El 7 de mayo de 2015 el Jefe de Bomberos solicitó una prórroga para remitir sus comentarios al borrador de los hallazgos. El 8 de mayo le concedimos la prórroga hasta el 26 de mayo. El Jefe de Bomberos contestó el borrador mediante carta del 22 de mayo. Luego de evaluar sus comentarios y la evidencia suministrada, determinamos que el Cuerpo de Bomberos tomó las acciones correctivas pertinentes, excepto por los hallazgos que se incluyen en este Informe. En los hallazgos se incluyeron algunos de sus comentarios. El 17 de junio de 2015 la ex-jefe de Bomberos nos indicó, mediante llamada telefónica, que se encontraba fuera de Puerto Rico por lo que no podía recoger la carta que le remitimos por correo certificado. El 18 de junio, mediante correo electrónico, se le remitió nuevamente el borrador del Hallazgo 1 de este Informe. La ex-jefe de Bomberos contestó el borrador mediante correo electrónico del 30 de junio de En el Hallazgo 1 se incluyeron algunos de sus comentarios. El ex-jefe de Bomberos contestó el borrado del Hallazgo 1 mediante carta recibida el 29 de junio de En dicho Hallazgo se incluyeron algunos de sus comentarios. OPINIÓN Y HALLAZGOS Opinión favorable con excepciones Las pruebas efectuadas revelaron que las operaciones de la OSI, en lo que concierne a los controles internos establecidos para el acceso lógico; a la evaluación del desarrollo del Proyecto y de la implantación del Sistema CAD; y a algunos aspectos relacionados con la administración de la seguridad, la continuidad del servicio, la configuración de los sistemas, la

9 TI segregación de deberes, las computadoras y las aplicaciones; se realizaron sustancialmente conforme a las normas generalmente aceptadas en este campo, excepto por los hallazgos 1 y 2 que se comentan a continuación. Hallazgo 1 - Inversión realizada en programas y equipos computadorizados, en equipos electrónicos y de oficina, y en el Sistema CAD, sin haber logrado completar el Proyecto Situación a. En noviembre de 2009, el Cuerpo de Bomberos solicitó fondos por $1,443,276 a la Federal Emergency Management Agency (FEMA) mediante la propuesta federal EMW-2009-FO del Programa de Asistencia a Bomberos para el desarrollo del Proyecto. Este permitiría la conexión a nivel Isla con todas las estaciones de bomberos y sus distritos a través de 5 medios de comunicación: radio, teléfono, microondas, Internet y satélite. Esto, para promover la comunicación e interoperabilidad con las principales agencias de seguridad en la Isla. El Proyecto requería la compra de programas y equipos computadorizados, de equipos electrónicos y de oficina, y la adquisición e implantación del Sistema CAD. Este estaba compuesto por módulos diseñados y configurados para atender aspectos operacionales y administrativos de los departamentos de bomberos, y tenía como propósito agilizar el tiempo de respuesta a las emergencias. La propuesta fue aprobada por FEMA el 14 de mayo de El examen realizado reveló que del 4 de noviembre de 2010 al 5 de agosto de 2013 el Cuerpo de Bomberos realizó la siguiente inversión para el Proyecto: $732,112 en la adquisición de programas y equipos computadorizados, y de equipos electrónicos y de oficina 3 FEMA otorgó el 80% de los fondos solicitados en la propuesta ($1,154,621) y al Cuerpo de Bomberos le correspondía hacer un pareo del 20% ($288,655) restante.

10 8 TI $172,974 en la adquisición de la licencia, el equipo, los servicios de instalación y los adiestramientos, correspondientes al Sistema CAD. Sin embargo, al 10 de diciembre de 2014, luego de haber transcurrido más de 4 años y medio desde la aprobación de la propuesta, el Cuerpo de Bomberos no había logrado completar el Proyecto. Una situación similar se comentó en el Informe de Auditoría TI del 29 de abril de Criterio La situación comentada se aparta de lo establecido en el Artículo 2(g) de la Ley Núm. 230 del 23 de julio de 1974, Ley de Contabilidad del Gobierno de Puerto Rico, según enmendada. En esta se establece como política pública que los gastos del Gobierno se hagan dentro de un marco de utilidad y austeridad. De conformidad con dicha política pública, y como norma de sana administración, es responsabilidad de la gerencia de toda entidad gubernamental garantizar la inversión y la utilización efectiva de fondos públicos. La inversión de estos fondos públicos para la implantación de los sistemas computadorizados se debe planificar, de manera que se obtengan los beneficios esperados en un tiempo razonable. Efectos La situación comentada propició que el Cuerpo de Bomberos no obtuviera el beneficio esperado de los $905,086 invertidos para el desarrollo del Proyecto. Además, el Sistema CAD y los equipos adquiridos no se utilizaban y podrían estar en riesgo de obsolescencia. Causa La situación comentada se atribuye a que, previo a la adquisición del Sistema y de los equipos adquiridos, no se realizaron estudios de necesidades y de viabilidad. Esto, para determinar si el Proyecto era posible a nivel técnico y operacional, al visualizar la conexión de todas las estaciones de bomberos a la red de comunicaciones del Cuerpo de Bomberos.

11 TI Comentarios de la Gerencia En la carta del Jefe de Bomberos, este nos indicó las medidas implantadas y las que están en proceso para corregir la situación comentada en el Hallazgo. Además, nos indicó, entre otras cosas, lo siguiente: [ ] a pesar del tiempo transcurrido ya se logró la conexión viva con el desarrollador [ ] y el 9-1-1, lo que es parte esencial para desarrollar la interface entre el CAD y el servidor del Esta interface garantizará una conexión segura y confiable entre el CAD y el servidor del para recibir las incidencias en las estaciones del Cuerpo de Bomberos de Puerto Rico. Además de transmitir la información a tiempo real para ser eficaces al momento de socorrer a la ciudadanía. [sic] A pesar de que habíamos establecido el 1 ero de marzo de 2015, como fecha para completar el proyecto esto no fue posible debido a que las operaciones del desarrollador son en Estados Unidos y toda la comunicación con estos es través de teléfono, correo electrónico y conexión remota. Dependemos de ellos para lograr esta interface y estamos sujetos al Plan de Trabajo que el desarrollador establezca para atender nuestras tareas. [sic] En la carta del ex-jefe de Bomberos, este nos indicó, entre otras cosas, lo siguiente: [ ] Entendemos que el proyecto no pudo ser puesto en operación en su totalidad ya que para su completa funcionalidad todas las estaciones tenían que tener facilidades de internet y solo los distritos tenían estas facilidades. [sic] En la carta de la ex-jefe de Bomberos, esta nos indicó, entre otras cosas, lo siguiente: En cuanto a que al 10 de diciembre de 2014 no se había completado el proyecto, comento que esto podría haber pasado debido a la inacción en la continuación del proyecto y la falta de contacto con la Agencia Federal que otorgó los fondos. [sic] Durante la incumbencia de esta servidora (03/2010 a 09/2011, se continuó con la instalación de un sistema de interoperabilidad de comunicaciones (CAD), que se había comenzado a instalar en la Agencia. [sic] Al terminar mi incumbencia el 30 de septiembre de 2011, se había completado la primera etapa del sistema de interoperabilidad interno de las Estaciones de Bomberos y Centro de Mando. El equipo parcial que ya estaba instalado, se probó y funcionó a

12 10 TI perfección en nuestro Centro de Mando para la actividad Mayagüez 2010 del 17 de julio al 1 ro de agosto de 2010 y en la llegada del presidente de los Estados Unidos Barack Obama a Puerto Rico el 14 de junio de [sic] Véase la Recomendación 1. Hallazgo 2 - Deficiencia relacionada con el Plan de Riesgos del Cuerpo de Bomberos de Puerto Rico Situación a. El análisis de riesgos de los sistemas de información computadorizados es un proceso a través del cual se identifican los activos de sistemas de información computadorizados existentes en una entidad, sus vulnerabilidades, y las amenazas a las que se encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas. Esto, con el fin de determinar las medidas de seguridad y los controles adecuados a ser implantados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, y proteger dichos activos, de manera que no se afecten adversamente las operaciones de la entidad. Mediante este proceso, se asegura de que las medidas de seguridad y los controles a ser implantados sean costo-efectivos, pertinentes a las operaciones de la entidad y que respondan a las posibles amenazas. El 17 de septiembre de 2014 se les suministró a nuestros auditores el Plan de Riesgos del Cuerpo de Bomberos de Puerto Rico (Plan), aprobado el 8 de agosto de 2014 por el Jefe de Bomberos. El examen realizado reveló que el mismo carecía de un inventario de todos los activos de sistemas de información que detallara los equipos, los programas y los datos; y la valoración y la clasificación de acuerdo con la misión y los servicios del Cuerpo de Bomberos. Criterios La situación comentada es contraria a lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los

13 TI Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la OGP. Además, es contraria a lo establecido en la Política TIG-015, Programa de Continuidad Gubernamental, aprobada el 22 de septiembre de 2011 por el Director de la OGP. Efecto La situación comentada impide al Cuerpo de Bomberos estimar el impacto que los elementos de riesgos tendrían sobre las áreas y los sistemas críticos de este, y considerar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información. Causa La situación comentada se debió a que para la preparación del Plan no se tomó en consideración lo establecido en las políticas TIG-003 y TIG-015. Comentarios de la Gerencia En la carta del Jefe de Bomberos, este nos indicó que el Plan fue revisado el 4 de mayo de Sin embargo, el que se incluyó como evidencia en la contestación, no contenía la información requerida en el Hallazgo. Véase la Recomendación 2. RECOMENDACIONES Al Jefe de Bomberos 1. Asegurarse de que, previo al desarrollo de futuros proyectos relacionados con los sistemas de información, se realicen estudios de necesidades y de viabilidad. Esto, para identificar las necesidades de los usuarios y los requerimientos técnicos y operacionales indispensables para satisfacer las mismas; y determinar si la inversión propuesta para el proyecto está de acuerdo con las metas y los objetivos del Cuerpo de Bomberos. Además, asegurarse de que se preparen informes donde se documenten todas las alternativas y las soluciones, los resultados de los criterios analizados de costos, beneficios, riesgos y recursos requeridos, y el impacto en el Cuerpo de Bomberos. [Hallazgo 1]

14

15 TI ANEJO CUERPO DE BOMBEROS DE PUERTO RICO OFICINA DE SISTEMAS DE INFORMACIÓN FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO NOMBRE CARGO O PUESTO PERÍODO DESDE HASTA Sr. Ángel A. Crespo Ortiz Jefe de Bomberos 17 sep ene. 15 Sra. María del C. Pacheco Valentín Jefa Auxiliar del Negociado de Administración 17 sep ene. 15

16 MISIÓN Fiscalizar las transacciones de la propiedad y de los fondos públicos, con independencia y objetividad, para determinar si se han realizado de acuerdo con la ley, y atender otros asuntos encomendados. Promover el uso efectivo, económico, eficiente y ético de los recursos del Gobierno en beneficio de nuestro Pueblo. PRINCIPIOS PARA LOGRAR UNA ADMINISTRACIÓN PÚBLICA DE EXCELENCIA La Oficina del Contralor, a través de los años, ha identificado principios que ayudan a mejorar la administración pública. Dichos principios se incluyen en la Carta Circular OC del 27 de junio de 2008, disponible en nuestra página en Internet. QUERELLAS Las querellas sobre el mal uso de la propiedad y de los fondos públicos pueden presentarse, de manera confidencial, personalmente o por teléfono al (787) , extensión 2805, o al (sin cargo). También se pueden presentar mediante el correo electrónico Querellas@ocpr.gov.pr o mediante la página en Internet de la Oficina. INFORMACIÓN SOBRE LOS INFORMES DE AUDITORÍA En los informes de auditoría se incluyen los hallazgos significativos determinados en las auditorías. En nuestra página en Internet se incluye información sobre el contenido de dichos hallazgos y el tipo de opinión del informe. La manera más rápida y sencilla de obtener copias libres de costo de los informes es mediante la página en Internet de la Oficina. También se pueden emitir copias de los mismos, previo el pago de sellos de rentas internas, requeridos por ley. Las personas interesadas pueden comunicarse con el Administrador de Documentos al (787) , extensión INFORMACIÓN DE CONTACTO Dirección física: 105 Avenida Ponce de León Hato Rey, Puerto Rico Teléfono: (787) Fax: (787) Internet: Correo electrónico: ocpr@ocpr.gov.pr Dirección postal: PO Box San Juan, Puerto Rico