DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS

Tamaño: px
Comenzar la demostración a partir de la página:

Download "DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS"

Transcripción

1 INFORME No. DFOE-EC-IF DE AGOSTO, 2012 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE EL PLAN DE CONTINUIDAD DE LOS SISTEMAS DE INFORMACIÓN QUE SOPORTAN LAS ACTIVIDADES SUSTANTIVAS DEL INSTITUTO NACIONAL DE APRENDIZAJE (INA) 2012

2 CONTENIDO Página Nro. RESUMEN EJECUTIVO 1 INTRODUCCIÓN RESULTADOS...3 Política sobre continuidad del negocio a nivel institucional y a nivel de la GTIC...3 Análisis de impacto de negocio BIA...4 BIA como insumo para la elaboración del Plan de continuidad de las 0peraciones de la GTIC...5 Plan de continuidad del negocio a nivel institucional...7 Implementación del Plan de continuidad de las operaciones de la GTIC...8 Alineación del Plan de continuidad de las operaciones de la GTIC con un plan institucional de continuidad de negocio...8 Divulgación y distribución del Plan de continuidad de las operaciones de la BTIC...9 Conocimiento del Plan de continuidad de las operaciones de la GTIC por parte de algunos miembros de la comisión de restablecimiento de la plataforma tecnológica...10 Conocimiento del Plan de Continuidad de las Operaciones de la GTIC por parte de los Técnicos en Soporte Informático de las Unidades Regionales...11 Mejoras sobre el contenido del Plan de continuidad de las operaciones de la GTIC...13 Información y pruebas del Plan de continuidad de las operaciones de la GTIC...14 Proyecto del sitio alterno...15 Ubicación del sitio...16 Equipos del sitio alterno y procedimientos relacionados...16 Condiciones físicas del sitio alterno...18 Condiciones físicas en el centro de datos principal y cuartos de comunicación CONCLUSIONES DISPOSICIONES...21 A LA GERENCIA GENERAL...21 AL GESTOR DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN...23 CONSIDERACIONES FINALES...24

3 ANEXO...26 Resultados de la encuesta sobre conocimiento y aplicación del Plan de Continuidad de las Operaciones de la GTIC por parte de las comisiones de trabajo...26

4 INFORME No. DFOE-EC-IF RESUMEN EJECUTIVO Qué examinamos? La presente auditoría se realizó en el Instituto Nacional de Aprendizaje (INA), con la finalidad de examinar si las estrategias sobre la continuidad de las operaciones de dicho Instituto respecto de las tecnologías de información (TI) cubren razonablemente los procesos y unidades sustantivas de la institución. Por qué es importante? La planeación de la continuidad de negocio en una entidad resulta fundamental, puesto que, asegura una respuesta adecuada ante cualquier incidente, crisis o desastre que afecte los activos de la organización, y además le permite continuar ofreciendo servicios críticos y sobrevivir a una interrupción desastrosa de las actividades. Qué encontramos? Una vez concluida la auditoría este órgano contralor determinó que se carece de una política institucional y de una estrategia sobre la continuidad del negocio, sin embargo se dispone de dos políticas elaboradas a nivel de la Gestión de Tecnologías de Información y Comunicación (GTIC), las cuales se encuentran desactualizadas y no cuentan con la aprobación del nivel superior. Además, el INA tampoco dispone de un plan de continuidad de negocio a nivel institucional, si bien es cierto, se determinó la existencia de un Plan de continuidad de las operaciones de la Gestión de Tecnologías de Información y Comunicación (GTIC), este último plan evidenció una serie de debilidades, en aspectos tales como: omisión de los servicios de capacitación profesional bajo la modalidad virtual, a pesar de que es una actividad sustantiva del Instituto; falta de aprobación del nivel superior; limitaciones en la implementación; divulgación insuficiente; desconocimiento por parte de los Técnicos en Soporte Informático de las Unidades Regionales (conocidos como ARIs) y algunos miembros de la comisión de restablecimiento de la plataforma tecnológica; y falta de claridad en relación con la responsabilidad de las comisiones. Además, se encontró que los planes de acción allí contemplados no proporcionan información sobre la probabilidad de ocurrencia ni el impacto de los riesgos; los procedimientos en caso de emergencia, el encargado de la elaboración de los planes de acción, de los responsables, y de los proveedores de servicios de tecnologías de información (TI). Además, esta Contraloría General encontró que el INA no dispone de un análisis de impacto de negocio (BIA por sus siglas en inglés Business Impact Analysis), que permita a la organización evaluar los procesos críticos y determinar la estrategia de recuperación, análisis que resulta fundamental de previo a la elaboración de un plan de continuidad de negocio tanto a nivel institucional como en materia de Tecnologías de Información.

5 Aunado a lo anterior, se determinó falta de documentación y calendarización de las pruebas del Plan de GTIC; y debilidades en el proyecto para la disposición del sitio alterno, a pesar de que a julio del 2012 ya el INA ha realizado una inversión en esta materia de aproximadamente Dicho sitio no ha sido implementado, su ubicación inicial está a escasos metros del centro de cómputo principal y los equipos adquiridos para ese fin están subutilizados. El lugar destinado para el sitio alterno, centro de datos principal y cuartos de comunicaciones presentan áreas de mejora en cuanto a sus condiciones físicas. Qué sigue? Esta Contraloría General emite disposiciones al INA, con el fin de que se establezcan políticas, estrategias y análisis de impacto de negocio que permitan definir un plan de continuidad a nivel institucional y con el propósito de mejorar el actual Plan de continuidad de las operaciones de TI y las instalaciones de TI.

6 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS INFORME No. DFOE-EC-IF INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE EL PLAN DE CONTINUIDAD DE LOS SISTEMAS DE INFORMACIÓN QUE SOPORTAN LAS ACTIVIDADES SUSTANTIVAS DEL INSTITUTO NACIONAL DE APRENDIZAJE (INA) 1 INTRODUCCIÓN Origen del estudio 1.1 El estudio se realizó con fundamento en las competencias conferidas a la Contraloría General de la República en los artículos 183 y 184 de la Constitución Política, 21 de su Ley Orgánica, No. 7428, en otras leyes conexas, y en atención al plan anual operativo de 2012 del Área de Fiscalización de Servicios Económicos de la División de Fiscalización Operativa y Evaluativa de este órgano contralor. Objetivo del estudio 1.2 El objetivo general consistió en determinar si las estrategias sobre la continuidad de las operaciones del INA respecto de las tecnologías de información (TI) cubren razonablemente los objetivos del Instituto. Naturaleza y alcance del estudio 1.3 El estudio comprendió la evaluación de la estrategia sobre la continuidad de TI del INA y su conexión con los objetivos de ese Instituto, la revisión del análisis de impacto, la evaluación de la conveniencia, eficacia y difusión de los planes de continuidad de Instituto, la evaluación del almacenamiento externo, la capacitación del personal para responder efectivamente en situaciones de emergencia y el análisis del establecimiento y vigencia del proceso para mantener los planes. El análisis realizado al plan de continuidad del INA, corresponde al año 2011, el cual se amplió en aquellos casos en que se consideró pertinente. 1.4 El estudio se realizó de conformidad con el Manual de Normas Generales de Auditoría para el Sector Público, el Manual General de Fiscalización Integral (MAGEFI) y las Normas Técnicas para la gestión y el control de las tecnologías de información emitidas por esta Contraloría.

7 2 Aspectos positivos que favorecieron la ejecución del estudio 1.5 Para la ejecución de este estudio se agradece la colaboración brindada por la Auditoría Interna del INA, dado que se contó con la participación de funcionarios de esa Unidad para el desarrollo de algunos procedimientos, además, se destaca el apoyo logístico de los funcionarios del INA al equipo de fiscalizadores de esta Contraloría General. Comunicación preliminar de los resultados del estudio 1.6 En reunión celebrada el 18 de julio de 2012, se comunicaron verbalmente los resultados del estudio a los funcionarios del Instituto Nacional de Aprendizaje Dr. Olman Segura Bonilla, Presidente Ejecutivo; Licda. Lidia Arroyo Villegas, en representación del Despacho de la Gerencia General, Lic. Gustavo Ramírez de la Peña, Gestor de Tecnologías de la Información y Comunicación, Licda. Rita Mora Bustamante, Auditora Interna y los funcionarios de la Auditoría Interna, licenciados Roberto Alfaro Bolaños y Didier Chavarría Chaves. 1.7 El borrador del presente informe se entregó en esa misma fecha al señor Presidente Ejecutivo con el oficio No. DFOE-EC-0381, con el propósito de que en un plazo de cinco días hábiles formularan y remitieran a la Gerencia del Área de Servicios Económicos las observaciones que estimaran pertinentes sobre el contenido de dicho documento. Dichas observaciones fueron suministradas con el oficio No. GG recibido por este órgano contralor el 26 de julio de 2012, mediante el cual presentan solicitud de ampliación de los plazos otorgados para el cumplimiento de algunas de las disposiciones giradas, lo cual fue concedido en los términos solicitados. Generalidades del estudio 1.8 El Instituto Nacional de Aprendizaje (INA) es una entidad autónoma creada por la Ley No. 3506, del 21 de mayo de 1965, reformada por su Ley Orgánica No del 6 de mayo de Su finalidad es promover y desarrollar la capacitación y formación profesional de los hombres y mujeres en todos los sectores de la producción para impulsar el desarrollo económico y contribuir al mejoramiento de las condiciones de vida y de trabajo en el país, mediante acciones de formación, capacitación, certificación y acreditación para el empleo productivo, sostenible, equitativo, de alta calidad y competitividad. 1.9 El INA está conformada por una Junta Directiva, integrada por un Presidente Ejecutivo, por los Ministros de Trabajo y Seguridad Social y de Educación Pública, tres representantes del sector empresarial y tres representantes del sector laboral; estos serán nombrados por el Consejo de Gobierno. Asimismo, la Administración Superior está compuesta por un Gerente General, dos Sub-Gerentes, uno Administrativo y otro Técnico, un Auditor Interno y un Asesor Legal. Por otra parte, la subgerencia administrativa se encuentra dividida en dos Gestiones: la Gestión de Tecnologías de la

8 3 Información y Comunicación (GTIC) y la Gestión de Normalización y Servicios de Apoyo Por su parte, la Gestión de Tecnologías de la Información y Comunicación se encuentra conformada por 4 Unidades: Servicios de Informática y Telemática (USIT), Soporte a Servicios Tecnológicos, Oficina de Administración de Proyectos TIC (UAP) y Servicios Virtuales El INA cuenta con dos programas para la consecución de sus objetivos y metas: el Programa de Apoyo Administrativo y el Programa de Servicios de Capacitación y Formación Profesional (SCFP). En materia de tecnologías de Información entre el año 2009 y 2011 el INA realizó erogaciones por 7.172,21 millones. Para el año 2012, el ingreso presupuestado del INA ascendió a ,54 millones. Metodología aplicada 1.12 Para alcanzar los objetivos del estudio se observó la metodología establecida por este órgano contralor para efectuar las fiscalizaciones de tipo especial, por lo que se aplicaron técnicas y prácticas de auditoría normalmente aceptadas, de conformidad con el Manual de Normas Generales de Auditoría para el Sector Público y el Manual General de Fiscalización Integral (MAGEFI). 2 RESULTADOS Política sobre continuidad del negocio a nivel institucional y a nivel de la GTIC 2.1 La continuidad de negocio debe respaldarse con una política de continuidad de negocio emanada de la alta Gerencia, en la cual se refleje el compromiso de una organización de garantizar razonablemente la continuidad de los servicios que ofrece en caso de presentarse alguna interrupción. La planificación puede realizarse con uno o varios planes, como por ejemplo, el plan de continuidad de TI, plan de emergencias, plan de recuperación de desastres, entre otros. 2.2 Dicha política de continuidad de negocio define la magnitud y el esfuerzo de continuidad del negocio dentro de la organización; sirve para diversos propósitos: es un mensaje a los empleados y al nivel gerencial de que la entidad realiza esfuerzos y compromete sus recursos; es un aviso a las partes externas de que la organización se toma en serio sus obligaciones; de que empodera a los responsables de la continuidad y establece los principios generales en los cuales se basa la continuidad. 2.3 La política sobre continuidad de negocio transmite a la organización el mensaje de la alta gerencia de que se deben usar todos los controles posibles para detectar y evitar interrupciones y si ocurren se deben tener controles para mitigar las consecuencias. Luego ésta se refleja en la estrategia de continuidad y su ejecución.

9 4 2.4 No obstante lo anterior, el INA no cuenta con una política ni con una estrategia sobre la continuidad del negocio a nivel institucional. Solamente se dispone de dos políticas elaboradas a nivel de la GTIC, las cuales no están debidamente aprobadas por el nivel superior. 2.5 Según nota GG la gerencia del INA considera como política de continuidad de negocio la señalada en la política de seguridad aprobada por la jefatura de la USIT, el 14 de agosto del 2009, donde se hace alusión a la continuidad del negocio y a la recuperación ante desastres de TI. Además, en el Marco Normativo de febrero 2010, que reúne una serie de políticas en materia de seguridad de la información, se cita una Política Continuidad de los servicios de TI. Cabe destacar que, dicho Marco no está aprobado por ninguna instancia, según fue manifestado por el Gestor de la GTIC mediante oficio GTIC , y además, la Auditoría Interna del INA, mediante el oficio AI señaló que, dicho Marco se encuentra desactualizado. 2.6 La carencia de una política de continuidad de negocio a nivel institucional limita a la organización en la preparación para la protección de los procesos críticos del negocio contra desastres o fallas mayores. 2.7 Por otra parte, con respecto a la política de continuidad de servicios de TI citada en el punto 2.5 anterior, destaca la existencia de una política de continuidad, cuyo objetivo es establecer la pautas para garantizar una adecuada continuidad de los servicios brindados por la USIT dentro de la institución. Esta política es aplicable a todos los funcionarios de la USIT. 2.8 La Unidad de Servicios de Informática y Telemática USIT es sólo una de las unidades de la GTIC y no se menciona en dicha política que se asegurará la continuidad de los servicios de TI brindados por la GTIC como un todo, razón por la cual esta política se encuentra desactualizada. 2.9 La política desactualizada y el hecho de que no cubre todas las unidades de la GTIC, podría confundir acerca del alcance, recursos y responsables de la ejecución de las funciones necesarias para poner en práctica la política a nivel de tecnologías de información. Análisis de impacto de negocio BIA 2.10 El Análisis de impacto (BIA), es un insumo para la planeación de la continuidad de negocio y consiste en un análisis de los procesos e información para determinar elementos críticos y eventuales marcos de tiempo improductivo, periodos de recuperación críticos, prioridades, recursos vitales e interdependencias. Además, permite estimar los costos de tiempo fuera de servicio y la estrategia de recuperación.

10 El INA no cuenta con un análisis de impacto de negocio BIA y además; se nota una confusión sobre ese concepto, dado que, ante la consulta sobre la existencia de esa herramienta, en la nota GG la gerencia del INA se refiere en su lugar a la existencia de una política de valoración de riesgo, para establecer un plan de acción a seguir, a que la valoración de riesgos la realiza cada Unidad a nivel institucional, que la información que se genera es resguardada en el Sistema informático de control interno (SICOI) y que es administrado por la Asesoría de control interno La carencia de un BIA tiene como consecuencia que se presente incertidumbre en la organización en cuanto a la magnitud y esfuerzo relacionado con la continuidad de negocio dentro de ésta, dado que no se definen los procesos e información críticos, ni se determina el tiempo objetivo de recuperación (RTO 1 ) ni el punto objetivo de recuperación (RPO 2 ), prioridades, recursos vitales e interdependencias Por otra parte, ante la ausencia de un BIA el INA no cuenta con la información necesaria para determinar si debe o no adquirir una cobertura de seguro contingente específica, para cubrir los recursos críticos y así dar continuidad a los servicios, lo anterior a pesar de que la Gerencia General del INA mediante oficio GG señaló que se establecen los seguros de daños, a aquellos que tienen como fin indemnizar las pérdidas sufridas por el patrimonio. BIA como insumo para la elaboración del Plan de continuidad de las 0peraciones de la GTIC 2.14 No se cuenta con evidencia que demuestre la elaboración de un BIA, el cual constituye un insumo fundamental para la elaboración de un plan de continuidad de las operaciones Ante la ausencia del BIA tampoco, se documentó en dicho plan el listado de sistemas críticos de la institución ni sus prioridades de recuperación según se confirma en el oficio No. GTIC de fecha 27 de abril de en el cual se indica que No se estimó, en el momento de la elaboración del plan, un listado de los sistemas críticos cubiertos y las prioridades de recuperación, por cuanto el procedimiento de RTO significa en inglés recovery time objective. Se basa en tiempo improductivo aceptable en caso de una interrupción de las operaciones. Indica el punto más próximo en el cual se deben retomar las operaciones de negocio luego del desastre. RPO significa en inglés recovery point objective. Se determina tomando como base la pérdida de datos aceptables en caso de interrupción de las operaciones. Indica la fecha y hora o punto de sincronización al cual se restaurarán los sistemas y datos basándose en la disponibilidad de medios de respaldo) Oficio de fecha 27 de abril de 2012, remitido por Gestor de Tecnologías de Información y Comunicación dirigido a esta Contraloría.

11 6 restablecimiento de la plataforma tecnológica contempla todos y cada uno de los servicios que deben restablecerse y el orden en que deben de ejecutarse el reinicio/encendido; al momento de restablecer servicios, al estar todos los sistemas en una misma plataforma (ORACLE) y con bases de datos compartidas, los sistemas son puestos en producción al momento de reanudar los equipos que almacenan las bases de datos institucionales Sin embargo, aunque se incorpore dentro de sus acciones a todos y cada uno de los sistemas, no se puede tener información sobre los sistemas considerados críticos para la administración, ni cuales son aquellos sistemas que apoyan la labor sustantiva de ésta Asimismo, aunque el Plan de continuidad de las operaciones de la GTIC tiene un análisis de riesgos, no se puede obtener información ni evidencia de una clasificación de recursos de TI (software, hardware, datos, aplicaciones, redes, entre otros) según su criticidad y sus prioridades de recuperación Esto contraviene lo que establece la política de continuidad de servicios de la GTIC, incorporada dentro del Marco normativo de dicha instancia, la cual señala lo siguiente: Se debe realizar periódicamente análisis de riesgos e impacto en el negocio para los procesos que son soportados por TI. Se debe identificar, cuantificar y priorizar los riesgos de acuerdo a los criterios y objetivos relevantes del INA, contemplando recursos críticos, impactos por interrupción, tiempos permitidos de interrupción y prioridades de recuperación. Esto debe estar alineado con la metodología de evaluación de riesgos institucional.. (El subrayado no es del original) En ese sentido las Normas Técnicas para la Gestión y Control de las Tecnologías de Información en su punto hacen referencia a la clasificación de los recursos de TI según su criticidad como un medio para mantener de manera razonable la continuidad de sus servicios La ausencia del análisis de impacto de negocio (BIA) se considera un riesgo importante que podría afectar la continuidad de los servicios soportados por TI, ya que se podrían concentrar esfuerzos en recuperar puntos menos críticos, en vez de concentrar dichos esfuerzos en los procesos claves del negocio y los recursos de TI 4 que respaldan esos procesos. Todo esto afecta la determinación de los tiempos de recuperación después de una interrupción y los costos asociados a ellos, información necesaria para la toma de decisiones. 4 Al hacer referencia a los recursos de TI no solo se trata de sistemas sino que abarca software, hardware, aplicaciones, redes, entre otros.

12 7 Plan de continuidad del negocio a nivel institucional 2.21 El disponer de un plan de continuidad, debidamente aprobado y sometido a las pruebas que se requieren, asegura una respuesta adecuada de la organización ante cualquier incidente, crisis o desastre que afecte los activos de la organización. El Plan de continuidad de negocio (BCP) 5 en caso de desastre tiene como propósito permitir que una organización continúe ofreciendo servicios críticos en caso de que ocurra una interrupción y que sobreviva a una interrupción desastrosa de las actividades Dependiendo del tamaño o los requerimientos de una organización, un BCP puede constar de uno o más documentos, como por ejemplo un plan de continuidad de las operaciones, plan de recuperación ante desastres (DRP) 6 y plan de restablecimiento del negocio, además puede incluir plan de contingencias de TI, plan de respuesta a incidentes, plan de transporte, plan de evacuación y reubicación de emergencias, entre otros Dado que se determinó que el INA cuenta con un Plan de continuidad de las operaciones de la GTIC, se consultó a la Gerencia del INA si cuenta además de ese, con un plan de continuidad de negocio para hacer frente a una interrupción repentina. Al respecto, la Gerencia del INA mediante el citado oficio GG , hace referencia a los resultados de la autoevaluación de control interno, en donde se evaluó la instauración de mecanismos y procedimientos manuales que permitan garantizar razonablemente la operación continua y correcta de los sistemas de información de gestión institucional. Señala además, que existen mecanismos alternos para la realización de las operaciones, como por ejemplo, cheques, vales de caja chica, entre otros; que la Unidad de Recursos Materiales por ejemplo, cuenta con un plan de contingencia para algunos de sus procesos: control de vehículos, solicitudes de transporte, solicitudes de mantenimiento; que la Unidad de Recursos Financieros cuenta con una serie de acciones establecidas en sus procedimientos de calidad; que el proceso de contabilidad cuenta con un plan escrito que no está necesariamente incluido en los procedimientos; que respecto del proceso de presupuesto existen algunas regulaciones para las contingencias que están incorporadas dentro de los procedimientos, y que ese proceso posee un plan de contingencias escrito por aparte, e incluye ejemplos de aprobación presupuestaria del vale y registro manual de cheques. Por otra parte, en la citada nota GG no se hace mención de la propuesta de un Plan de recuperación de desastres para TI del año 20097, por lo que se infiere que actualmente no se considera este documento en la implementación de BCP significa en inglés business continuity planning. DRP significa en inglés disaster recovery planning Correspondiente a la licitación 2008LA

13 8 una estrategia de contingencia de negocio Como se puede observar en el INA se han realizado esfuerzos aislados por distintas unidades relacionados con su funcionamiento en caso de interrupción, sin embargo dichos esfuerzos no se encuentran integrados en un plan de continuidad de negocio institucional, debidamente aprobado por los niveles superiores, que responda a un análisis de impacto de negocio (refiérase al párrafo 2.10 de este informe), con el fin de que exista la confianza de que, a través de su aplicación, la organización continuará con las operaciones en caso de que surja algún tipo de interrupción En suma la carencia de un plan de continuidad de negocio (BCP) en caso de desastre tiene como consecuencia que la organización no esté preparada de forma integral para minimizar los efectos de una interrupción de las actividades y servicios críticos. Implementación del Plan de continuidad de las operaciones de la GTIC 2.26 En el estudio realizado por la Auditoría Interna en el año se recomendó a la GTIC Implementar un plan de continuidad del negocio acorde a la plataforma tecnológica de la Institución, el cual deberá estar documentado, con definición de responsables y responsabilidades Como respuesta a esta recomendación, la GTIC remitió a dicha auditoría el oficio No. USIT de fecha 26 de julio de 2011, en el cual se indicó, entre otras cosas, que el Plan de continuidad es una primera versión que está en proceso de revisión y ajustes. No obstante lo anterior, a la fecha del presente estudio dicho Plan no se encuentra implementado, como se puede observar en los apartados siguientes de este documento. Alineación del Plan de continuidad de las operaciones de la GTIC con un plan institucional de continuidad de negocio 2.28 El Plan de continuidad de las operaciones de la GTIC, no es posible vincularlo con las estrategias de continuidad de la organización, dado que el INA no dispone de un Plan de continuidad de negocio a nivel institucional, como se indicó en el punto 2.25 anterior Tampoco, responde el Plan de la GTIC a una política sobre la continuidad del negocio, debidamente aprobada por el nivel superior; donde se afirme el compromiso de la organización por mantener de manera razonable servicios continuos ante algún evento, incidente o desastre. 8 Informe No Evaluación de la Continuidad de los Servicios de TI, elaborado por la Auditoría Interna del Instituto Nacional de Aprendizaje.

14 El Plan de la GTIC, reconoce que la continuidad de negocio es un tema que puede verse de forma general en una institución; sin embargo hace la salvedad de que dicho Plan se enmarca dentro del ámbito de la GTIC. Sobre el particular, como se indicó en el punto 2.22 de este informe un BCP puede constar de uno o más documentos, como por ejemplo un plan de continuidad de las operaciones. Al no estar alineado el Plan de la GTIC con un Plan de continuidad a nivel institucional no se garantiza que el primero procure la continuidad de la operación de servicios críticos institucionales, ni se protejan bienes y equipos prioritarios de la institución. Integración de la plataforma virtual en el plan de continuidad de las operaciones de la GTIC 2.31 El Plan de continuidad de las operaciones de la GTIC omite los Servicios de capacitación y formación profesional (SCFP), bajo la modalidad virtual, a pesar de que es una actividad sustantiva del Instituto. Sobre el particular, en la información adjunta al oficio DGR , del 28 de mayo del 2012, se observó durante el 2011, que a 98 servicios de capacitación, impartidos bajo la modalidad virtual, se cambiaron las fechas de inicio y final debido a que a que la plataforma virtual de servicios se encontraba en mantenimiento, o fuera de servicio La plataforma virtual se constituye como una herramienta vital para ofrecer servicios de capacitación y formación profesional, los cuales se visualizan como parte de la labor sustantiva que realiza la institución y por lo tanto debe ser considerada en el plan de continuidad No incluir la plataforma virtual dentro del plan de continuidad de las operaciones de TI se debe a que a no se realizó un análisis de impacto de negocio, que permitiera definir los servicios críticos del INA Lo anteriormente expuesto, provoca cambios en la programación que tienen los centros ejecutores y Unidades Regionales, relacionados con la planificación de los Servicios de capacitación y formación profesional (SCFP), bajo la modalidad virtual y podría verse afectada la satisfacción de la población que requiere el servicio, así como la demanda oportuna de los grupos de interés. Divulgación y distribución del Plan de continuidad de las operaciones de la BTIC 2.35 Según lo señalado a este órgano contralor mediante el oficio No. GTIC , el Plan es del conocimiento únicamente de las Jefaturas y encargados de los procesos de las Unidades que conforman la GTIC, asimismo se indica que dicho Plan no ha sido suministrado ni a las Regionales ni a otras Unidades de la institución con excepción de

15 10 la Auditoría Interna De lo anterior se desprende que algunos funcionarios claves que deberían conocer el citado plan no fueron considerados dentro de esa distribución. Asimismo, en las hojas de asistencia a una revisión realizada al Plan y suministradas por la GTIC, adjuntas a dicho oficio, se observó que no se registró la participación de funcionarios de la Oficina de Administración de Proyectos TIC (UAP); de los miembros de las comisiones y de los Técnicos en Soporte Informático de las Unidades Regionales, conocidos como ARIs (Administradores de Recursos Informáticos); por el contrario en dichas hojas se registró la participación de estudiantes universitarios. Conocimiento del Plan de continuidad de las operaciones de la GTIC por parte de algunos miembros de la comisión de restablecimiento de la plataforma tecnológica 2.37 El Plan de Continuidad de las Operaciones de la GTIC no es conocido por varios de los miembros de la Comisión de Restablecimiento de la Plataforma Tecnológica 9, y por lo tanto no conocen sus principales funciones y responsabilidades. Dichos funcionarios tampoco han participado en la identificación y valoración de riesgos que afectan la continuidad de los servicios soportados por TI Lo anterior se debe a que no se les comunicó formalmente sobre la existencia del Plan, únicamente constan las listas de asistencia antes citadas, de dos reuniones en las cuales se discutió la revisión y aprobación del documento. Al respecto en el inciso g) del oficio No. GTIC se indicó que El plan es de conocimiento de las jefaturas y encargados de los procesos de las Unidades que conforman la GTIC, los cuales participaron en reuniones de revisión y aprobación del plan ( hojas de asistencia de los días 07 y 08 de julio de 2011 respecto de la revisión del plan). En dichas hojas de asistencia se pudo constatar la ausencia de algunos de los miembros que integran las comisiones. Adicionalmente, se pudo constatar, mediante una encuesta realizada por esta Contraloría General el 18 de mayo del 2012, (ver Anexo) que ninguno de los miembros ha recibido capacitación sobre los planes de acción ni sobre las funciones y responsabilidades que cada uno tienen dentro del plan, situación que incide en que la mayoría de los miembros no tienen claridad de cual es su función dentro de cada comisión ni sobre su participación en cada una de ellas Sobre el particular, el Marco normativo de seguridad de la información de la GTIC establece en su política de continuidad de negocio, que dicho Plan deberá ser de 9 Según el Plan de Continuidad de las Operaciones de la GTIC, dicha comisión es la responsable de restablecer la operación de la plataforma tecnológica del instituto, así como de asegurar el normal funcionamiento de los servicios de TI.

16 11 conocimiento de todos los interesados, tal como se transcribe a continuación: Se debe determinar una estrategia de distribución de los planes y procedimientos, para asegurar que se distribuyan de manera apropiada y que estén disponibles a todas las partes involucradas y autorizadas, cuando y donde se requiera. Todos los funcionarios de la USIT deben conocer el Plan de Continuidad de los servicios de TI y su respectiva función dentro de dicho plan, una vez se haya realizado su aprobación. Las autoridades superiores deben asegurar que todas las partes involucradas reciban sesiones de capacitación periódicamente, respecto a los procesos, roles y responsabilidades en caso de incidente o desastre Este último punto, también se ve reforzado en el propio plan de continuidad, en el que uno de sus planes de acción consiste en capacitar al personal en la ejecución de funciones asociadas a la interrupción de servicios, textualmente señala: Los miembros de las comisiones del plan de continuidad deben ser capacitados en el proceso de restablecimiento de la plataforma tecnológica institucional. Adicionalmente incorpora un procedimiento correspondiente a la forma en que deberá coordinarse dichas capacitaciones Este desconocimiento se considera riesgoso para la institución debido a que en caso de que se presente alguna eventualidad que afecte la continuidad de los servicios, el personal no estará consciente de la existencia del Plan, ni de los tópicos que éste abarca, tampoco se contará con la información necesaria para tomar las decisiones adecuadas en el momento oportuno. Conocimiento del Plan de Continuidad de las Operaciones de la GTIC por parte de los Técnicos en Soporte Informático de las Unidades Regionales 2.42 Con el propósito de conocer la participación o grado de injerencia del Técnico en Soporte Informático (conocido como ARI) en la elaboración y pruebas del plan de continuidad de las operaciones de TI se elaboró una encuesta por parte de esta Contraloría General el 20 de abril de 2012, a 18 personas que ocupan ese puesto y se abarcó así las 9 Unidades Regionales. Con base en los resultados de dicha encuesta se determinó que la mayoría de los Técnicos en Soporte Informático, carecen de participación y conocimiento del Plan de Continuidad de la Operaciones de la GTIC El Técnico en Soporte Informático es el encargado del soporte técnico y mantenimiento a los equipos informáticos de los usuarios en las áreas administrativas y docentes en las Unidades Regionales. Sin embargo, la mayoría de éstos desconocen el Plan de Continuidad de las Operaciones de la GTIC, a pesar de que en las Regionales

17 12 se han presentado situaciones de interrupción, los ARIs no han recibido capacitaciones y no cuentan con información necesaria para saber que hacer en esas situaciones Según oficio No. GTIC de fecha 25 de abril de 2012, como se indicó anteriormente, el plan solamente fue suministrado a las jefaturas y encargados de los procesos y unidades que conforman a la GTIC y no se ha distribuido a las Regionales por dos razones, expuestas en el citado oficio: El Plan es una primer versión el cual está en proceso de revisión y ajustes. Por las características propias de aspectos de seguridad que contempla el plan, como por ejemplo: Procesos detallados de monitoreo y revisión, los cuales contienen direcciones IP, nombres de servidores, bases de datos y demás archivos y carpetas; así como los pasos para el levantamiento y apagado de la plataforma TIC (base de datos, sistema de almacenamiento de red, sistemas de información, etcétera), se considera que no es conveniente comunicar a otras Unidades, las cuales no participan (en este momento) en los procesos de recuperación de las operaciones Según se establece en la Unidad de Recursos Humanos del INA 10, los ARIs responden desde el punto de vista administrativo a la jerarquía de la jefatura de la sede regional y existe autoridad técnica por parte de la GTIC sobre los ARIs. Esta autoridad es en materia de asesoramiento, normalización y procedimientos o protocolos de atención de los servicios que le involucran. Por lo anterior, al existir una relación de dependencia técnica y por la naturaleza de las funciones de los ARIs, la GTIC debe hacer de su conocimiento la labor realizada en materia de continuidad de los servicios soportados por TI, salvaguardando la información confidencial cuando corresponda. Al efecto es de importancia que en las Unidades Regionales se cuente con funcionarios capacitados e informados sobre la manera de proceder en caso de presentarse alguna emergencia que afecte la continuidad de los servicios De acuerdo con lo indicado a esta Contraloría General por la GTIC, mediante el oficio GTIC , todas las bases de datos y sistemas de información de la institución, en este momento, se encuentran totalmente centralizados y al restablecer los servicios, en caso de materialización de un evento no controlado, dichos sistemas son restaurados en su totalidad. Además de conformidad con lo indicado en el Plan, son los funcionarios de la GTIC, específicamente los miembros de cada una de las comisiones, los responsables de ejecutar los procedimientos establecidos en el plan en caso de que ocurra una interrupción; sin embargo se considera de importancia que aunque los ARIs no son los responsables de ejecutar procedimientos de restauración, 10 Oficio No. URH de fecha 08 de agosto de 2011, remitido por el señor Carlos Chacón Retana, Jefe de la Unidad de Recursos Humanos del INA, dirigido al señor Gustavo Ramírez de la Peña, Gestor de Tecnologías de Información y Comunicación.

18 13 si deberán conocer quienes son los funcionarios encargados de hacerlo para comunicar cualquier eventualidad en el momento oportuno y actuar diligentemente ante las interrupciones significativas que afecten la continuidad de los servicios El hecho de que los ARIs desconozcan el referido Plan de GTIC, se considera un riesgo potencial debido a que en las Regionales no se cuenta con la información necesaria y no se tendría claridad de los procedimientos a realizar para hacerle frente a una interrupción ocasionada por la materialización de un evento, sean estos desastres naturales u otros tipos de contingencia. Mejoras sobre el contenido del Plan de continuidad de las operaciones de la GTIC 2.48 Otros aspectos determinados respecto del Plan de Continuidad de las Operaciones de la GTIC, se refieren a las siguientes debilidades: El Plan de Continuidad de las Operaciones de la GTIC fue aprobado por el Gestor de Tecnologías de Información en julio de 2011; mediante el documento de FR ACAL 08, sin embargo no se obtuvo evidencia de que dicho plan fuera conocido y aprobado por la Gerencia General ni por la Comisión Gerencial de Informática. Poca claridad en relación con la responsabilidad que cada una de las comisiones tienen en la ejecución de los planes de acción y procedimientos señalados en el documento. Los planes de acción no proporcionan información sobre la probabilidad de ocurrencia ni el impacto de los riesgos identificados. No se evidencia la consideración de riesgos por desastres, ni sobre la forma en que serán afrontados, tanto en la sede central como en las regionales. No se consigna en el documento la Unidad o el funcionario encargado de la elaboración de los planes de acción y no se indica cual es la versión ni los niveles de aprobación. No se proporciona información sobre los contactos de los responsables de ejecutar cada uno de los planes de acción, ni de los funcionarios que integran cada una de las comisiones, ni de los proveedores de servicios de TI. No se indica quien es el líder o coordinador de cada una de las comisiones de trabajo. Se omite la documentación de procedimientos necesarios para una respuesta adecuada ante una interrupción, tales como: actualización de procedimientos; recuperación de equipo o software requerido por el usuario; desplazamiento de información al sitio de respaldo; entrada, salida y transporte de medios de respaldo; transporte de los respaldos de datos de las regionales; recuperación de plataforma virtual; ejecución y documentación de pruebas del plan; respaldo, recuperación, continuidad y respuesta ante situaciones de emergencia o desastre. Sobre el particular, en el oficio GTIC se

19 14 indica que con respecto a los procedimientos de respaldo y recuperación, se adjuntan los procedimientos Recuperación de respaldos de bases de datos y Administración de respaldos y recuperación, sin embargo estos procedimientos deben ser complementados para ser considerados como un procedimiento de continuidad de negocio. No se encontró evidencia del resguardo, en un almacenamiento externo, de la documentación necesaria para la reconstrucción de la instalación de procesamiento de información, tales como proyectos, inventario de hardware, software, topologías y diagramas de cableado. Tampoco se tiene una tabla de significados para las abreviaturas presentes en el documento Dado lo anterior, el Plan de Continuidad de las Operaciones de la GTIC carece de elementos importantes que permitan su ejecución efectiva y una respuesta adecuada ante una emergencia o desastre Las debilidades encontradas en el citado Plan reflejan que en su elaboración no se consideraron todos los requerimientos que debe contener, ni se participó a todas las partes involucradas y además, se tiene una única versión del Plan de Continuidad de las Operaciones de la GTIC, que no ha sido sometido a revisión por parte de las instancias superiores como lo es la Gerencia General y la Comisión Gerencial de Informática Al respecto el punto de las Normas de Control Interno para el Sector Público N CO-DFOE sobre la calidad de la información, señala como atributos fundamentales de la información la confiabilidad, la oportunidad y la utilidad, de la siguiente forma: La información debe poseer las cualidades necesarias que la acrediten como confiable, de modo que se encuentre libre de errores, defectos, omisiones y modificaciones no autorizadas, y sea emitida por la instancia competente. Información y pruebas del Plan de continuidad de las operaciones de la GTIC 2.52 Según se indica en el inciso c) del oficio No. GTIC la Comisión General de Lineamientos es la encargada de la actualización del Plan, en el cual se señala que mencionado oficio que Una vez al año o cuando se considere necesario y oportuno deberá revisar y actualizar los planes de acción definidos para los riesgos detectados en el presente documento y actualizar la documentación correspondiente Al revisar el documento no se indica en el apartado No. 1 Información del documento a cual versión corresponde, tampoco se indica en el apartado No. 2 Historia y revisión del documento las revisiones efectuadas con el fin de actualizarlo e informar sobre los principales cambios.

20 En julio del año pasado se efectuó una prueba del Plan, que consistió únicamente, en una prueba de apagado y encendido de la plataforma de TI, según consta en las listas de asistencias de los días 22 y 26 de julio de 2011; sin embargo, de esta prueba no se proporcionó documentación sobre los resultados y sobre los principales cambios a realizar en el Plan Además, no se cuenta con un calendario formalmente definido para efectuar las revisiones del documento. En el mencionado oficio No. GTIC se indica que tampoco se cuenta con un cronograma digital o en papel que establezca las fechas en las cuales se realizarán las pruebas respectivas y los funcionarios participantes, únicamente se menciona que el plan debe ser revisado anualmente o cuando la Comisión de Lineamientos lo considere oportuno y necesario Al no existir un calendario de pruebas, no se establece un compromiso fehaciente para su realización. Al respecto es importante hacer mención que la propia política de continuidad de servicios de TI, establece que es responsabilidad de la USIT (actualmente GTIC): mantener actualizado el plan de continuidad de los servicios de TI, así como definir el calendario y guía para las pruebas periódicas que certifiquen la debida ejecución del plan Al no existir documentación y su correspondiente plan de acción, el Plan puede estar desactualizado y resultar inoperante, al respecto, se observó que el Plan cuenta con un procedimiento relativo al apagado y encendido de la plataforma tecnológica, que considera en la secuencia de pasos, 5 servidores de bases de datos: SEDNA, MILENIO, SATURNO, JUPITER, URANO; sin embargo en el documento PT 05 Servidores y bases de datos en producción suministrado por el encargado del proceso infraestructura de la GTIC del INA, el 24 de mayo de 2012, se observó que el servidor JUPITER ya no se encuentra en producción Esta situación representa un riesgo para la Administración, por cuanto el Plan de continuidad de las operaciones de la GTIC contiene una serie de omisiones que en el futuro podrían comprometer una toma de decisiones de manera acertada al presentarse alguna emergencia. Proyecto del sitio alterno 2.59 Esta Contraloría General realizó una visita al centro donde se ubica el equipo para acondicionar un sitio alterno de procesamiento de datos, en adelante el sitio, guiada por el encargado de la plataforma tecnológica del INA, determinándose lo siguiente:

21 16 Ubicación del sitio 2.60 El sitio se encuentra a no más de cien metros de la ubicación física de la Unidad de Tecnologías de Información y los equipos de cómputo y comunicaciones en el INA, lo cual no es conveniente porque ante un desastre la probabilidad de que los dos sitios se destruyan es muy alta y por lo tanto resultaría muy difícil y oneroso recuperar la información y el restablecimiento de los servicios considerando los recursos involucrados. Lo anterior se presenta no obstante que el INA cuenta con dos recomendaciones sobre posibles opciones para la ubicación adecuada del sitio alterno, contenidas en la propuesta de un Plan de recuperación de desastres para TI del y en el Proyecto sobre la creación de un sitio alterno según recomendación número 5 de la Auditoría Interna del INA, en su oficio AI Sobre el particular, la nota GG de la Gerencia del INA indica que El proyecto de continuidad de las operaciones mediante el uso de tecnologías de información y comunicación nació en los años , cuando se definió que el mismo contaría con tres fases: la primera consistió de la creación y acondicionamiento de un espacio para instalar un sitio alterno dentro de las mismas instalaciones INA.. (El subrayado no es del original) La ubicación de un sitio alterno, debe estar lo suficientemente lejos del sitio principal, para asegurar la recuperación de los servicios en caso de desastre, dado lo anterior, se observa que la decisión tomada por el INA, en una primera etapa; sobre la creación y acondicionamiento de un espacio para instalar un sitio alterno dentro de las mismas instalaciones es potencialmente riesgosa. Equipos del sitio alterno y procedimientos relacionados 2.63 No obstante que en el año 2010 la USIT reportó que el sitio alterno se implementó, en el año 2012 la GTIC señaló que el sitio alterno es un proyecto que se encuentra en la segunda fase que contempla el equipamiento Al respecto, el oficio USIT , del 25 de octubre del 2010, indica que en cumplimiento a la recomendación número 1, del informe de auditoría , la fase 1: Fortalecimiento de la plataforma tecnológica: / se implementó el sitio alterno / Esta etapa inició el 27 de marzo del 2008 y finalizó el 25 de febrero del año en curso. Tuvo una inversión de 309,094,2010, no obstante cuatro años después de iniciado el proyecto mediante oficio GG , del 27 de abril del 2012, se hace referencia al estado del sitio alterno de la siguiente manera: El proyecto de continuidad de las operaciones mediante el uso de tecnologías de información y comunicación nació en los años , cuando se definió el mismo contaría con tres fases: la primera consistió de la creación y acondicionamiento de un 11 Correspondiente a la licitación 2008LA

22 17 espacio para instalar un sitio alterno dentro de las mismas instalaciones INA. La segunda fase contempla el equipamiento para implementar un centro alterno de datos. Esta fase se encuentra en su etapa final de implementación La inversión en dicho proyecto, a julio del 2012, asciende aproximadamente a ,4, según información suministrada por la GTIC Sobre el particular la Norma técnica para la gestión y el control de las Tecnologías de Información, (N CO-DFOE), emitidas por esta Contraloría General en el apartado 2.5, Administración de recursos financieros, cita. La organización debe optimizar el uso de los recursos financieros invertidos en la gestión de TI procurando el logro de los objetivos de esa inversión, controlando en forma efectiva dichos recursos y observando el marco jurídico que al efecto le resulte aplicable El sitio cuenta con los siguientes equipos: SAN modelo hp Eva 6100, señala el encargado de la plataforma tecnológica del INA, que en este equipo los datos del centro principal están replicados, así como las aplicaciones que accesan las bases de datos, es decir, funciona como un respaldo de la actual información. Sin embargo, si se necesitara poner en funcionamiento las bases de datos del sitio alterno, se deben llevar los servidores del centro principal hacia el sitio y configurarlos para tener acceso a los datos. 10 Servidores tipo Blade, sin datos, ni aplicaciones. 4 servidores Integrity, sin datos, ni aplicaciones. 1 Equipo de comunicación Cisco Nexus 7000, sin funcionamiento. Enlaces de fibra con el data center principal. Conexión inalámbrica con el edifico principal. 3 Racks para ubicar los equipos El citado encargado de infraestructura, informó que los computadores no se encontraban en operación, dado que el proceso de configuración aún se encuentra pendiente por parte de la empresa respectiva y corresponde a una de las actividades del proyecto Centro de Cómputo Alterno, que dirige la Unidad de Tecnologías de Información y que se encuentra con un retraso de tres meses Por otra parte, señala citado encargado que en el centro de datos principal se encuentran 10 Servidores tipo Blade, sin datos, ni aplicaciones, 4 servidores Integrity, sin datos ni aplicaciones (sustituirán los servidores actuales) y 1 Equipo de comunicación Cisco Nexus 7000, sin funcionamiento, para la conexión futura.

23 18 Condiciones físicas del sitio alterno 2.69 Este cuarto no dispone una advertencia sobre el Acceso restringido sólo a personal autorizado. En la entrada principal se tiene una rampa que presenta condiciones poco seguras para el personal, debido a que es resbaladiza y no cuenta con cintas antideslizantes para evitar accidentes sobre todo en época lluviosa El cuarto no cuenta con sensores de humo, únicamente se constató la existencia de un extintor de fuego ubicado a un costado de los servidores Se encontró equipo de cómputo no relacionado con el centro de datos alterno, esta situación puede deberse al atraso en la gestión del proyecto y trae como consecuencia la subutilización del equipo y riesgo de continuidad de la operación de TI. Condiciones físicas en el centro de datos principal y cuartos de comunicación 2.72 Es importante que los centros de cómputo sean provistos de adecuadas condiciones en su planta física como prevención para evitar interrupciones y brindar disponibilidad de los servicios, al respecto la norma de gestión y control de las tecnologías de información dispone las condiciones necesarias para garantizar la seguridad física y ambiental de los recursos de TI. Sobre el particular, se realizó una visita al centro de datos principal, guiada también por el encargado del proceso de infraestructura tecnológica. Dentro de los principales resultados de seguridad física y ambiental se observó lo siguiente:

24 El día de la visita, la GTIC tenía un desperfecto en los aires acondicionados externos al centro de cómputo, por lo tanto contaba con ciertas condiciones riesgosas tanto para los funcionarios como para los activos resguardados en dicho centro. Como se puede observar en la siguiente fotografía, el piso se encontraba mojado, se tenía ubicado un recipiente en la entrada principal, diagonal a la entrada al centro de datos Asimismo se puede observar que la puerta de entrada se encontraba prensada con uno de los extintores de fuego el cual debería estar sujeto en la pared, tal como se muestra en la fotografía encerrado en un círculo Por otra parte, cada edificio cuenta con su propio cuarto de comunicaciones, por lo tanto se visitaron dos de ellos en las oficinas centrales y se observó que aunque se encuentran en un cuarto cerrado con llave, se ubican en la entrada principal de los edificios, justo al lado de la ventana, lo cual compromete la seguridad de ese recinto. También, se constató que cada rack de comunicación cuenta con una UPS 12 para su respaldo específico, dado que el INA no dispone con UPS en los edificios de Docencia, Servicio, Presidencia y Administrativo, ubicados en la sede Central de La Uruca, esto deja desprotegidos los equipos de comunicación que dan servicio a estos edificios Lo anterior se debe a la necesidad de observar de manera estricta las normas de acondicionamiento físico de los centros de cómputo. Situación que pone en riesgo la protección y el funcionamiento de los equipos de cómputo.

25 CONCLUSIONES 3.1 El INA no cuenta con una política y estrategia sobre la continuidad del negocio, a pesar de que existen dos políticas desactualizadas, relacionadas con el tema y específicas de TI, elaboradas por niveles medios de la organización, las cuales no están aprobadas por el nivel superior. 3.2 A pesar de que el INA realiza una valoración de riesgo, no se ha elaborado un Análisis de impacto de negocio (BIA), para definir los procesos e información críticos y para determinar marcos de tiempo improductivo, periodos de recuperación críticos, prioridades, recursos vitales e interdependencias, y que además, permita estimar los costos de tiempo fuera de servicio y la estrategia de recuperación. 3.3 No se encontró evidencia que demuestre la existencia de un plan de continuidad de negocio institucional, pero si se localizó un Plan de Continuidad de las Operaciones de la Gestión de Tecnologías de Información y Comunicación. Sin embargo, se encontraron debilidades relativas a los procedimientos de actualización y respaldo del plan, a la ausencia de un análisis de impacto de negocio el cual permita centrar la atención en los asuntos o procesos críticos, al análisis de riesgos, que documente el impacto y la probabilidad de ocurrencia de cada uno de ellos y considere riesgos relacionados con desastres naturales. Además, no se establece quien es el líder de cada comisión, no proporciona información sobre los contactos telefónicos de cada miembro ni de los proveedores de los servicios de TI. La mayoría de los técnicos en soporte informático de las regionales, comúnmente conocidos como ARIs, no conocen la existencia del Plan. 3.4 El Plan de Continuidad de las Operaciones de la GTIC, no ha sido formalmente comunicado a las diferentes partes interesadas, específicamente a algunos miembros de cada una de las comisiones indicadas en el Plan, especialmente de la Comisión de Restablecimiento de la Plataforma Tecnológica. Tampoco se cuenta con evidencia que demuestre que estas comisiones, en conjunto, participaron activamente en la elaboración de éste. Por lo tanto, esta situación ha generado que algunos miembros de las comisiones desconozcan a cual de ellas pertenecen y cuales son los otros miembros, asimismo desconocen cuales son sus principales funciones y responsabilidades y si éstas se encuentran debidamente documentadas en el plan. Además, ninguno de los miembros de cada comisión ha recibido capacitación o entrenamiento sobre los planes de acción que se establecen en el documento. 3.5 La decisión tomada por el INA, en una primera etapa; sobre la creación y acondicionamiento de un espacio para instalar un sitio alterno dentro de las mismas instalaciones es potencialmente riesgosa, dado que en principio la creación de un sitio alterno, debe estar lo suficientemente lejos del sitio principal, ya que ante un desastre

26 4 21 la probabilidad de que los dos sitios se destruyan es muy alta y por lo tanto resultará muy difícil y oneroso recuperar la información y restablecer los servicios. Aunque dicho sitio posee equipo informático para asumir actividades informáticas, aún no se ha realizado una configuración adecuada que permita que estos equipos puedan desarrollar las funcionalidades básicas y necesarias que garanticen una continuidad de la actividad de TI ante un evento en el centro de cómputo principal. 3.6 A partir de las debilidades antes mencionadas, se emiten disposiciones al INA, con el fin de que se establezcan políticas, estrategias y análisis de impacto de negocio que permitan definir un plan de continuidad a nivel institucional y con el propósito de mejorar el actual Plan de continuidad de las operaciones de TI y las instalaciones de TI. Al respecto se concedió la ampliación de los plazos solicitados por el INA para el cumplimiento de algunas de las disposiciones giradas, según lo requerido en el oficio Nro. GG recibido por este órgano contralor el 26 de julio de DISPOSICIONES 4.1 De conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política y los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, No. 7428, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo (o en el término) conferido para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad. 4.2 Este órgano contralor se reserva la posibilidad de verificar, por los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar la aplicación de los procedimientos administrativos que correspondan, en caso de incumplimiento injustificado de tales disposiciones. A la Gerencia General 4.3 Definir y someter a aprobación de la Junta Directiva una política a nivel institucional sobre la continuidad de negocio con el fin de garantizar razonablemente la continuidad de los servicios que ofrece en caso de presentarse alguna interrupción. Esta disposición deberá ser cumplida en un plazo máximo de tres meses contados a partir de la recepción del presente informe. Ver párrafo 2.4 de este informe. 4.4 Nombrar un equipo multidisciplinario integrado tanto por funcionarios de TI como por otros funcionarios altamente conocedores de los procesos claves de la institución, tanto administrativos como sustantivos. Dicho equipo será el encargado de elaborar y documentar un análisis de impacto de negocio en el cual se incluya como mínimo: los procesos críticos de la institución, una clasificación de los recursos de TI que respaldan esos procesos, tiempos permitidos de interrupción y su impacto y las prioridades de

27 22 recuperación. Dicho análisis deberá estar documentado y aprobado, por los niveles superiores, a más tardar el 01 de junio de 2013, fecha en la cual deberá remitir a este órgano contralor la documentación que demuestre el cumplimiento de esta disposición; asimismo se le solicita remitir, en un plazo de 15 días hábiles, contados a partir de la recepción de este informe, las órdenes giradas y la integración del equipo multidisciplinario. Ver párrafos 2.11 y 2.13 de este informe. 4.5 Nombrar un equipo de multidisciplinario, conformado tanto por funcionarios de TI como por funcionarios de los procesos claves de la institución. Dicho equipo será el encargado de elaborar y documentar un plan de continuidad de negocio a nivel institucional, para los recursos y procesos críticos definidos en el citado análisis de impacto. Dicho plan y un cronograma para su implementación deberán estar documentados y aprobados, por los niveles superiores, en un plazo de un año calendario a partir de la recepción de este informe, plazo en el cual deberá remitir a este órgano contralor copia del acuerdo de aprobación del plan y el cronograma antes citados; así como remitir, en un plazo de 15 días hábiles, las órdenes giradas y la integración del equipo multidisciplinario. Ver párrafo 2.24 de este informe. 4.6 Girar instrucciones a quien corresponda, para que en un plazo de tres meses se realice un análisis sobre conveniencia y posibilidad de reubicar el sitio alterno de procesamiento de datos, en la actual fase del proyecto, a un lugar diferente de donde actualmente se construye, de tal forma que en caso de desastre exista una posibilidad razonable de recuperar la información y restablecer los servicios. Sobre el particular, se le solicita remitir a esta Contraloría General, en un plazo de 15 días hábiles a partir de la recepción de este informe, copia de las instrucciones giradas y los responsables de su cumplimiento. Y en un plazo de cinco meses remitir a este órgano contralor las acciones que se tomarán producto de los resultados de dicho análisis. Ver párrafo 2.60 de este informe. 4.7 Girar las instrucciones a quien corresponda para realizar un estricto seguimiento del proyecto de implementación del sitio alterno, en el cual se incorpore al menos las actividades de documentación y aprobación de las funcionalidades esperadas. Se le solicita informar a este órgano contralor, en un plazo de 15 días hábiles, a partir de la recepción de este informe, el documento en que conste la orden girada. Ver del párrafo 2.63 al 2.68 de este informe. 4.8 Girar instrucciones a quien corresponda, para que se realice un estudio respecto a la necesidad de contar con sistemas de alimentación ininterrumpida (UPS) con capacidad para dar respaldo eléctrico a los edificios de Docencia, Servicio, Presidencia y Administrativo, ubicados en la sede Central de la Uruca. Sobre el particular, se le solicita remitir a esta Contraloría General, en un plazo de 15 días hábiles a partir de la recepción de este informe, copia de las instrucciones giradas y los responsables de su cumplimiento y en un plazo de tres meses remitir las acciones que se tomarán

28 23 producto de los resultados de dicho estudio. Ver párrafo 2.75 de este informe. Al Gestor de Tecnologías de Información y Comunicación 4.9 Actualizar el Marco Normativo (Manual de políticas y estándares de seguridad de la información), así como la política sobre continuidad de negocio contenida en dicho Marco, de tal forma que considere la continuidad de los servicios de TI brindados por la GTIC como un todo, y someterlos a la aprobación de la alta gerencia. Para el cumplimiento de esta disposición se otorga un plazo máximo de dos meses contados a partir de la recepción de este informe, plazo en cual deberá remitir a esta Contraloría General la documentación que evidencie su cumplimiento. Ver párrafos 2.7, 2.8 y Girar instrucciones a quien corresponda para que se identifiquen las aplicaciones críticas para la prestación de los Servicios de capacitación y formación profesional, bajo la modalidad virtual y realizar un análisis sobre su incorporación al Plan de Continuidad de las Operaciones de la GTIC. Sobre el particular deberá remitir a esta Contraloría General, en un plazo de 15 días hábiles, a partir de la recepción de este informe, las instrucciones giradas y en un plazo de dos meses la documentación que evidencie el cumplimiento de esta disposición. Ver párrafo 2.31 de este informe Girar las instrucciones necesarias, en un plazo no mayor de 15 días hábiles, para corregir las deficiencias encontradas en el Plan de Continuidad de las Operaciones de la GTIC, a fin de que cumplan con los criterios de calidad de la información definidos en el punto de las Normas de Control Interno para el Sector Público N CO-DFOE. Dichas deficiencias deberán corregirse a más tardar el 28 de febrero de 2013, fecha en la cual se deberá remitir al órgano contralor la documentación que evidencia el cumplimiento de esta disposición. Ver párrafos 2.48, 2.49 y 2.50 de este informe Una vez que se corrijan las deficiencias encontradas en el Plan de Continuidad de las Operaciones de la GTIC (tomando en consideración el párrafo anterior), someterlo a conocimiento tanto de la Gerencia General del INA como a la Comisión Gerencial de Informática a fin de obtener los distintos niveles de aprobación. Se establece como fecha máxima el 31 de marzo de 2013, fecha en la cual deberá remitir la documentación que acredite su cumplimiento. Ver párrafo 2.50 de este informe Girar las instrucciones que correspondan para que se defina un calendario para la revisión y ejecución de pruebas periódicas del Plan de Continuidad de las Operaciones de la GTIC y para establecer los procedimientos de control de cambios que considere pertinentes con el fin de mantenerlo actualizado. Sobre el particular, se le solicita

29 24 remitir a esta Contraloría General, en un plazo de 15 días hábiles, a partir de la recepción de este informe, copia de las instrucciones giradas y los responsables de su cumplimiento y en un plazo de seis meses remitir a este órgano contralor las acciones que se tomarán al respecto. Ver párrafo 2.55 y 2.56 de este informe Girar instrucciones a quien corresponda para que una vez elaborado el Plan de continuidad a nivel institucional, solicitado en la disposición 4.5 de este informe, se realicen los ajustes pertinentes para alinear el Plan de continuidad de operaciones de GTIC con el Plan a nivel institucional antes citado. Sobre el particular, se le solicita remitir a esta Contraloría General, en un plazo de 15 días hábiles, copia de las instrucciones giradas y los responsables de su cumplimiento y en un plazo de seis meses, a partir de la elaboración del citado Plan institucional, remitir a este órgano contralor las acciones que se tomarán al respecto. Ver párrafo 2.28 de este informe Comunicar formalmente la existencia del Plan de Continuidad de las Operaciones de la GTIC a todo el personal involucrado, salvaguardando la seguridad de la información cuando proceda, en especial al personal de TI, a los miembros de las comisiones de trabajo creadas en éste, así como a Técnicos en Soporte Informático de las Unidades Regionales y demás personal clave para la ejecución del Plan. Asimismo deberá definir un calendario para la capacitación periódica de dicho personal. Sobre el particular, se le solicita remitir a esta Contraloría General, en un plazo de 8 días hábiles, copia de la comunicación del Plan y en un plazo de 3 meses remitir al órgano contralor copia del Calendario de Capacitación en el cual se evidencia el cumplimiento de esta disposición. Ver del párrafo 2.37 al 2.47 de este informe Girar instrucciones a quien corresponda para que se realice un plan con el fin de establecer los controles necesarios para mejorar las condiciones de seguridad física y ambiental de los cuartos de comunicación y centro de datos principal. Para ello considere lo establecido en el punto de las Normas técnicas para la gestión y control de las tecnologías de información. Sobre el particular, se le solicita remitir a esta Contraloría General, en un plazo de 15 días hábiles, a partir de la recepción de este informe, copia de las instrucciones giradas y los responsables de su cumplimiento y en un plazo de un tres remitir la documentación que evidencia el cumplimiento de esta disposición. Ver del párrafo 2.69 al 2.76 de este informe. Consideraciones finales 4.17 La información que se solicita en este informe para acreditar el cumplimiento de las disposiciones anteriores, deberá remitirse, en los plazos y términos señalados al Área de Seguimiento de las Disposiciones de la Contraloría General de la República. La Administración debe designar y comunicar al Área de Seguimiento de Disposiciones, en un plazo no mayor de cinco días hábiles a partir de la recepción de este informe, el

30 25 nombre, número de teléfono y correo electrónico de la persona que fungirá como el contacto oficial con esa Área con autoridad para informar sobre el avance y cumplimiento de las disposiciones correspondientes. En caso de incumplimiento en forma injustificada del tiempo otorgado, podrá considerarse que se incurrió en falta grave y dar lugar a la aplicación de las sanciones previstas en el artículo 69 de la Ley Orgánica de la Contraloría General de la República, con garantía del debido proceso De conformidad con lo establecido por los artículos 343, 346 y 347 de la Ley General de la Administración Pública, contra el informe caben los recursos ordinarios de revocatoria y apelación, que deberán interponerse dentro del tercer día a partir de fecha de recibido de esta comunicación, correspondiéndole a esta Área de Fiscalización la resolución de la revocatoria y al Despacho Contralor, la apelación De presentarse conjuntamente los recursos de revocatoria y apelación, esta Área de Fiscalización en caso de rechazo del recurso de revocatoria, remitirá el recurso de apelación al Despacho Contralor para su resolución.

31 26 ANEXO Resultados de la encuesta sobre conocimiento y aplicación del Plan de Continuidad de las Operaciones de la GTIC por parte de las comisiones de trabajo 18 de mayo del 2012 Con el fin de obtener información sobre la participación en la elaboración y aplicación del Plan de Continuidad de las Operaciones de la GTIC por parte de las diversas comisiones de trabajo, se envió un cuestionario a los miembros de la Comisión General de Lineamientos, de la Comisión de Monitoreo y de la Comisión de Restablecimiento de la Plataforma de TIC. I. Principales resultados El cuestionario fue enviado a los 16 miembros de las comisiones y se recibieron 14 respuestas, los principales resultados son los siguientes: De los 14 funcionarios, 9 indican haber participado en la identificación de riesgos del Plan, esto quiere decir que 5 funcionarios no participaron. Todos estos funcionarios forman parte de la comisión de restablecimiento de la plataforma TIC. De los funcionarios que participaron en la identificación de riesgos, el 100% indicó que para cada riesgo se identificó el impacto, probabilidad de ocurrencia, las acciones para mitigar riesgos y en caso de materializarse las acciones para controlarlos. Sin embargo de la revisión del plan no se pudo obtener evidencia de la identificación del impacto y la probabilidad de ocurrencia para cada uno de los riesgos para conocer el nivel de riesgo y así determinar la importancia relativa de cada uno de ellos. Adicionalmente, de la información recopilada se indicó que los riesgos identificados se relacionan con desastres naturales, tecnológicos, causados por factor humano y por interrupción de servicios públicos; sin embargo de la revisión del plan, no se tiene información sobre la consideración de riesgos causados por eventos o desastres naturales. Con respecto a la integración de cada una de las comisiones de trabajo algunos miembros no tienen claridad a cual de ellas pertenecen o si pertenecen a más de una comisión. Aproximadamente el 71% de los encuestados desconoce quien es el líder o coordinador de cada una de las comisiones a las que pertenecen, como se puede apreciar en el siguiente gráfico:

T: (506) 2501-8000 F: (506) 2501-8100 C: contraloria.general@cgr.go.cr S: http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica

T: (506) 2501-8000 F: (506) 2501-8100 C: contraloria.general@cgr.go.cr S: http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica INFORME NRO. DFOE-EC-IF-14-2013 20 DE DICIEMBRE DE 2013 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA LIQUIDACIÓN

Más detalles

LAFSA Latin America Financial Services Advisory

LAFSA Latin America Financial Services Advisory VI Congreso Regional de Riesgos CORERIF 2014 Gestión de Riesgo Tecnológico y Continuidad Operacional en Entidades Financieras Guatemala, 7 de Noviembre de 2014 Continuidad Operacional en el Sector Financiero

Más detalles

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DEL SISTEMA DE ADMINISTRACIÓN FINANCIERA DE LA REPÚBLICA

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DEL SISTEMA DE ADMINISTRACIÓN FINANCIERA DE LA REPÚBLICA Licenciado Guillermo Zúñiga Chaves Ministro MINISTERIO DE HACIENDA Estimado señor: 20 de marzo, 2007 FOE-SAF-0111 Al contestar refiérase al oficio No. 2822 Asunto: Remisión del informe Nro DFOE-SAF-05-2007,

Más detalles

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS AMBIENTALES Y DE ENERGÍA

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS AMBIENTALES Y DE ENERGÍA INFORME Nro. DFOE-AE-IF-13-2014 3 diciembre, 2014 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS AMBIENTALES Y DE ENERGÍA INFORME ACERCA DE LA CALIDAD Y SEGURIDAD DE LOS DATOS QUE SUSTENTAN

Más detalles

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP)

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) Página 1 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) BOGOTÁ D.C., DICIEMBRE DE 2013 Página 2 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA

Más detalles

Servicio Fitosanitario del Estado Auditoría Interna

Servicio Fitosanitario del Estado Auditoría Interna Viernes 29 de junio del 2012 AI SFE 115-2012 Ingeniera Magda González Arroyo, Directora Servicio Fitosanitario del Estado (SFE) Estimada señora: El Reglamento de Organización y Funcionamiento de la del

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

DIVISIÓN DE FISCALIZACIÓN 1 OPERATIVA Y EVALUATIVA ÁREA SERVICIOS FINANCIEROS, ECONOMÍA Y COMERCIO

DIVISIÓN DE FISCALIZACIÓN 1 OPERATIVA Y EVALUATIVA ÁREA SERVICIOS FINANCIEROS, ECONOMÍA Y COMERCIO DIVISIÓN DE FISCALIZACIÓN 1 OPERATIVA Y EVALUATIVA Al contestar refiérase al oficio Nro. 48 Licenciada Alba Nury Hernández Aguilar Auditora Interna SUPERINTENDENCIA GENERAL DE VALORES (SUGEVAL) 9 de enero,

Más detalles

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I DECRETO No. 24 EL PRESIDENTE DE LA CORTE DE CUENTAS DE LA REPÚBLICA, CONSIDERANDO: I. El acelerado incremento y desarrollo de las Tecnologías de Información y Comunicación (TIC), en las entidades gubernamentales

Más detalles

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Establecer los controles para

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

DIVISIÓN DE CONTRATACIÓN ADMINISTRATIVA. 29 de noviembre de 2013 DCA-3054

DIVISIÓN DE CONTRATACIÓN ADMINISTRATIVA. 29 de noviembre de 2013 DCA-3054 DIVISIÓN DE CONTRATACIÓN ADMINISTRATIVA Al contestar refiérase al oficio No. 13234 29 de noviembre de 2013 DCA-3054 Señora Laura Blanco Mejía Subgerente a.i. de la Dirección de Tecnologías de Información

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

FICHA TECNICA DE ESPECIFICACIONES PARA PROCESOS DE SUBASTA INVERSA FORMATO N 5. FECHA Junio de 2015 DEPENDENCIA: Departamento de Sistemas.

FICHA TECNICA DE ESPECIFICACIONES PARA PROCESOS DE SUBASTA INVERSA FORMATO N 5. FECHA Junio de 2015 DEPENDENCIA: Departamento de Sistemas. FICHA TECNICA DE ESPECIFICACIONES PARA PROCESOS DE SUBASTA INVERSA Código FBS 047 Versión 01 Fecha 2009-10-23 FORMATO N 5 FECHA Junio de 2015 DEPENDENCIA: Departamento de Sistemas. OBJETO: Renovación de

Más detalles

Recuperación y Continuidad del Negocio

Recuperación y Continuidad del Negocio Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

Asunto: Informe final de gestión

Asunto: Informe final de gestión 15 de noviembre de 2012 URMA-PAM-795-2012 Lic. Jaime Campos Campos Encargado Unidad de Recursos Materiales Asunto: Informe final de gestión Estimado señor: El presente informe se origina por motivo de

Más detalles

Tribunal Registral Administrativo

Tribunal Registral Administrativo Tribunal Registral Administrativo MANUAL DE USO E INSTALACIÓN DE PROGRAMAS DE CÓMPUTO 18 JUNIO 2015 (APROBADO EN SESIÓN N. 26-2015 DEL 1 DE JULIO DE 2015) Contenido 1. INTRODUCCIÓN... 3 2. ALCANCE... 3

Más detalles

Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos críticos del FNA.

Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos críticos del FNA. RESOLUCIÓN 237 DE 2010 (septiembre 13) Diario Oficial No. 47.840 de 22 de septiembre de 2010 FONDO NACIONAL DE AHORRO Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos

Más detalles

Metodología para la Gestión de la Continuidad del Negocio

Metodología para la Gestión de la Continuidad del Negocio Metodología para la Gestión de la Continuidad del Negocio Por: Rodrigo Ferrer V. Año: 2015 Resumen Este artículo, busca exponer los pasos requeridos para diseñar e implementar un proceso de Gestión de

Más detalles

No. Tipo Auditoría No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Riesgo Responsable

No. Tipo Auditoría No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Riesgo Responsable PROCESOS DE APOYO TECNOLOGIA INFORMACION Y COMUNICACIONES Tecnología Información y Comunicaciones 5.- Políticas y procedimientos tecnológicos de retención de información respecto a la perpetuidad y recuperación

Más detalles

PROGRAMA INTERNO DE PROTECCIÓN CIVIL

PROGRAMA INTERNO DE PROTECCIÓN CIVIL Abril 2009 SECRETARÍA DE GOBERNACIÓN SISTEMA NACIONAL DE PROTECCIÓN CIVIL COORDINACIÓN GENERAL DE PROTECCIÓN CIVIL DIRECCIÓN GENERAL DE PROTECCIÓN CIVIL PRESENTACIÓN El Programa Interno de Protección Civil,

Más detalles

Plan Estratégico de Tecnología de Información 2010-2021. Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado

Plan Estratégico de Tecnología de Información 2010-2021. Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado Ministerio de Agricultura y Ganadería ervicio Fitosanitario del Estado UNIDAD DE TECNOLOGÍA DE INFORMACIÓN Plan Estratégico de Tecnología de Información 2010-2021 Versión 1.3 8 de febrero del 2011 Historial

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Agenda Antecedentes Situaciones que no se consideran regularmente Factores críticos de éxito Sistema de Gestión de

Más detalles

Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE)

Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE) Contraloría General de la República Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE) Aprobadas mediante Resolución del Despacho de la Contralora General

Más detalles

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

Contenido; DECRETO No. 56. EL PRESIDENTE DE LA REPÚBLICA DE EL SALVADOR, CONSIDERANDO:

Contenido; DECRETO No. 56. EL PRESIDENTE DE LA REPÚBLICA DE EL SALVADOR, CONSIDERANDO: Nombre: REGLAMENTO DE ORGANIZACIÓN Y FUNCIONAMIENTO DE LA DIRECCIÓN GENERAL DE PROTECCIÓN CIVIL, PREVENCIÓN Y MITIGACION DE DESASTRES Materia: Derecho Administrativo Categoría: Reglamento Origen: INSTITUCIONES

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Versión para comentarios 30-06-2015

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Versión para comentarios 30-06-2015 El COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR, CONSIDERANDO: I. Que de conformidad al artículo 2, inciso segundo de la Ley de Supervisión y Regulación del Sistema Financiero, para el

Más detalles

MANUAL DE PROCESOS Y PROCEDIMIENTOS DE AUDITORÍA INTERNA

MANUAL DE PROCESOS Y PROCEDIMIENTOS DE AUDITORÍA INTERNA MANUAL DE PROCESOS Y PROCEDIMIENTOS DE AUDITORÍA INTERNA Elaborado Por: Lic. Licda Nory Álvarez Betancourth/Auditora Interna SE La Educación Popular es el Alma de las Naciones Libres Francisco Morazán

Más detalles

Gestión de Continuidad de Negocio Banco de la República

Gestión de Continuidad de Negocio Banco de la República Gestión de Continuidad de Negocio Banco de la República Departamento de Gestión de Riesgos y Procesos Subgerencia de Gestión de Riesgo Operativo 2014 Unidad de Soporte y Continuidad Informática Dirección

Más detalles

Caso de Éxito: Implementación del Marco de Trabajo de Continuidad de la Infraestructura de TI de ARANDU - PARAGUAY

Caso de Éxito: Implementación del Marco de Trabajo de Continuidad de la Infraestructura de TI de ARANDU - PARAGUAY Segunda Conferencia de Directores de Tecnologías de Información y Comunicación de Instituciones de Educación Superior, Lima, 2 y 3 de Julio de 2012 Caso de Éxito: Implementación del Marco de Trabajo de

Más detalles

Tecnología de la Información. Administración de Recursos Informáticos

Tecnología de la Información. Administración de Recursos Informáticos Tecnología de la Información Administración de Recursos Informáticos 1. Recursos informáticos: Roles y Responsabilidades 2. Áreas dentro del Departamento de Sistemas 3. Conceptos asociados a proyectos

Más detalles

ELEMENTOS GENERALES DE GESTIÓN.

ELEMENTOS GENERALES DE GESTIÓN. RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-9 Hoja 1 CAPÍTULO 20-9 GESTION DE LA CONTINUIDAD DEL NEGOCIO. El presente Capítulo contiene disposiciones sobre los lineamientos mínimos para la gestión de

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management Jornadas Rioplatenses de Auditoría Interna 2010 Agenda / Contenido Motivación Visión Moderna de BCM Aspectos Relevantes para Auditores Introducción a la Norma BS25999 Motivación Visión Moderna de BCM Aspectos

Más detalles

REGLAMENTO INTERNO PARA LA ORGANIZACIÓN, OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DEL CONSEJO NACIONAL DE PRODUCCIÓN.

REGLAMENTO INTERNO PARA LA ORGANIZACIÓN, OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DEL CONSEJO NACIONAL DE PRODUCCIÓN. REGLAMENTO INTERNO PARA LA ORGANIZACIÓN, OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DEL CONSEJO NACIONAL DE PRODUCCIÓN Generalidades CAPÍTULO I Del Objeto y Ámbito de Aplicación Artículo

Más detalles

EVALUACION DE LA ADMINISTRACIÓN DE PROYECTOS DE TECNOLOGIAS DE INFORMACION Y COMUNICACION C O N T E N I D O I. INTRODUCCION 2 1.1 ORIGEN DEL ESTUDIO 2

EVALUACION DE LA ADMINISTRACIÓN DE PROYECTOS DE TECNOLOGIAS DE INFORMACION Y COMUNICACION C O N T E N I D O I. INTRODUCCION 2 1.1 ORIGEN DEL ESTUDIO 2 C O N T E N I D O Página I. INTRODUCCION 2 1.1 ORIGEN DEL ESTUDIO 2 1.2 OBJETIVOS DEL ESTUDIO DE AUDITORÍA 2 1.2.1 Objetivo General del Estudio 2 1.2.2 Objetivos Específicos 2 1.3 NATURALEZA Y ALCANCE

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA VERSIÓN: 2.0 Página 1 de 17 INDICE Página INDICE...1 1. OBJETIVO DEL PROCEDIMIENTO...3 2. DESARROLLO DE LA AUDITORÍA INTERNA...3 2.1 OBJETIVO GENERAL...3 2.2 OBJETIVOS ESPECÍFICOS...3 2.3 FASES...4 2.

Más detalles

EVALUACIÓN DE LA ESTRUCTURA ESTRATÉGICA Y LA GESTIÓN DE RIESGOS EN EL INTERIOR DEL BANCO DE LA REPÚBLICA

EVALUACIÓN DE LA ESTRUCTURA ESTRATÉGICA Y LA GESTIÓN DE RIESGOS EN EL INTERIOR DEL BANCO DE LA REPÚBLICA EVALUACIÓN DE LA ESTRUCTURA ESTRATÉGICA Y LA GESTIÓN DE RIESGOS EN EL INTERIOR DEL BANCO DE LA REPÚBLICA 1. QUÉ DIRECTRICES HA DESARROLLADO LA JUNTA DIRECTIVA Y/O EL CONSEJO DE ADMINISTRACIÓN RESPECTO

Más detalles

Abril 2014. Jorge A. Portales

Abril 2014. Jorge A. Portales Por qué Crear un Plan de Contingencias para mi Empresa? Y Que pasos seguir para Desarrollarlo, sin Morir en el Intento. Primer punto, Qué es un Plan de Contingencias? Un Plan de Contingencias es un modo

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna)

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) Guatemala, Junio de 2006 1 PRESENTACIÓN Según el artículo 232 de

Más detalles

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES INFORME Nro. DFOE-SOC-IF-18-2014 18 de diciembre, 2014 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES AUDITORÍA FINANCIERA REALIZADA EN EL MINISTERIO DE SALUD

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

TÍTULO DEL PROYECTO. CONSOLIDACIÓN DE INFRAESTRUCTURAS Y SERVICIOS COMUNES EN MINETUR COMO CONSECUENCIA DEL TRASLADO DE LA SEDE DE TURESPAÑA..

TÍTULO DEL PROYECTO. CONSOLIDACIÓN DE INFRAESTRUCTURAS Y SERVICIOS COMUNES EN MINETUR COMO CONSECUENCIA DEL TRASLADO DE LA SEDE DE TURESPAÑA.. TÍTULO DEL PROYECTO. CONSOLIDACIÓN DE INFRAESTRUCTURAS Y SERVICIOS COMUNES EN MINETUR COMO CONSECUENCIA DEL TRASLADO DE LA SEDE DE TURESPAÑA.. Implantado en: MINISTERIO DE INDUSTRIA, ENERGÍA Y TURISMO

Más detalles

Continuidad de los Negocios y TI

Continuidad de los Negocios y TI Propuesta para la Asistencia en Estrategia de Club de Investigación Tecnológica Negocios Continuidad de los Negocios y TI Ing. Carlos Gallegos 22 Setiembre 2004 Este documento es confidencial y destinado

Más detalles

PROGRAMA MARCO PMG 2011 Objetivos de Gestión por Sistemas

PROGRAMA MARCO PMG 2011 Objetivos de Gestión por Sistemas Marco : Marco Básico Area : Recursos Humanos Sistema : Capacitación Objetivo : Desarrollar el ciclo de gestión de la capacitación, en el marco de la gestión de Recursos Humanos, con énfasis en la detección

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 22 Elaborado por: Revisado por: PLANEACIÓN Y EJECUCION AUDITORIAS Aprobado por: Profesional de la Jefe de la TABLA DE CONTENIDO 1. OBJETIVO... 4 2. ALCANCE... 4 3. DEFINICIONES... 4 3.1. Auditorías

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Informe de Seguimiento Dirección de Presupuestos

Informe de Seguimiento Dirección de Presupuestos CONTRALORÍA GENERAL DE LA REPÚBLICA División Auditoría Administrativa Área Hacienda, Economía y Fomento Productivo Informe de Seguimiento Dirección de Presupuestos Fecha : 22 de julio de 2009 N Informe:

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

Índice Introducción... 2 Metodología... 3 Gestión de solicitudes y parque informático...3 Centro de Atención al Usuario...3 Funcionamiento...

Índice Introducción... 2 Metodología... 3 Gestión de solicitudes y parque informático...3 Centro de Atención al Usuario...3 Funcionamiento... Índice Introducción... 2 Metodología... 3 Gestión de solicitudes y parque informático...3 Centro de Atención al Usuario...3 Funcionamiento...3 Soporte Aplicado y Preventivo...4 Plan de actividades...5

Más detalles

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07 SERVICIOS DE AUDITORÍA MINISTERIO DE SALUD DE COSTA RICA - NIVEL INTRAINSTITUCIONAL ÁREA DE GESTIÓN: SOPORTE LOGÍSTICO Y ADMINISTRATIVO PREPARADO POR: VALIDADO POR : EQUIPO CONSULTOR Y EQUIPO DE MEJORA

Más detalles

CAJA COSTARRICENSE DEL SEGURO SOCIAL. Política para la Organización de la Respuesta a Emergencias y Desastres

CAJA COSTARRICENSE DEL SEGURO SOCIAL. Política para la Organización de la Respuesta a Emergencias y Desastres CAJA COSTARRICENSE DEL SEGURO SOCIAL Política para la Organización de la Respuesta a Emergencias y Desastres Acuerdo de Junta Directiva: Articulo 15 de la sesión No. 8433 del 25 de marzo, 2010 1 CONSIDERANDOS

Más detalles

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo Espiñeira, Sheldon y Asociados No. 9-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4

Más detalles

Departamento de Tecnologías de Información y Comunicaciones. Informe Final de Gestión

Departamento de Tecnologías de Información y Comunicaciones. Informe Final de Gestión San José, lunes 14 de abril del 2008 Señor Lic. Gerardo Hernández Granda Jefe a.i. Departamento de Tecnologías de Estimado señor: Por este medio y con fundamento en lo dispuesto en el artículo 12, inciso

Más detalles

Technology and Security Risk Services Planes de Continuidad de Negocio

Technology and Security Risk Services Planes de Continuidad de Negocio Technology and Security Risk Services Planes de Continuidad de Negocio AS TSRS Planes de Continuidad de Negocio Conjunto de tareas que permite a las organizaciones continuar su actividad en la situación

Más detalles

CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO

CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO 1.1 PROYECTO - Auditoría Informática de los sistemas de información de la ESPE Dominio de Planeación y Organización. 1.2 INTRODUCCIÓN - La evolución

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

AGSP/SC-01-662-2015. 30 de junio, 2015. Licenciado Gustavo Mata Vega MINISTRO

AGSP/SC-01-662-2015. 30 de junio, 2015. Licenciado Gustavo Mata Vega MINISTRO AGSP/SC-01-662-2015 30 de junio, 2015 Licenciado Gustavo Mata Vega MINISTRO Asunto: Informe de Control Interno Nº 01-034-2015 CI/SC, sobre Verificación del Inventario de Software realizado por parte de

Más detalles

Continuidad de Negocio DRII/BCI/ISO

Continuidad de Negocio DRII/BCI/ISO Continuidad de Negocio DRII/BCI/ISO Jorge Garibay j.garibay@pinkelephant.com Pink Elephant Leading The Way In IT Management Best Practices Agenda del Curso Introducción al DRII BCI ISO 22K Reseña Histórica

Más detalles

16 de setiembre del 2014

16 de setiembre del 2014 AUDITORIA INTERNA AUDITORÍA INTERNA 16 de setiembre del 2014 Máster Norma Ureña Boza, Presidenta TRIBUNAL REGISTRAL ADMINISTRATIVO Estimada señora: Asunto: Informe Final de Gestión del Lic. Juan Carlos

Más detalles

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-13 ÁREA: Dirección de Planeación

Más detalles

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA Guatemala, 2,007 CAMINOS ES DESARROLLO 1 I. FICHA TÉCNICA DEL DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA: 1.1 TITULO DE LA UNIDAD: Departamento

Más detalles

Documentación y Pruebas de Continuidad de Servicios ante Irrupciones y/o Desastres para el Área de Tecnologías de Información

Documentación y Pruebas de Continuidad de Servicios ante Irrupciones y/o Desastres para el Área de Tecnologías de Información Documentación y Pruebas de Continuidad de Servicios ante Irrupciones y/o Desastres para el Área de Tecnologías de Información Alumnos: Año Académico: 2012 Profesor Guía: Contraparte: JUAN JOSÉ VALENZUELA

Más detalles

MANUAL DE PROCEDIMIENTO ADMINISTRATIVO PARA LA ADQUISICIÓN DE BIENES Y SERVICIOS POR COMPRA DIRECTA DE LA AMSCLAE.

MANUAL DE PROCEDIMIENTO ADMINISTRATIVO PARA LA ADQUISICIÓN DE BIENES Y SERVICIOS POR COMPRA DIRECTA DE LA AMSCLAE. MANUAL DE PROCEDIMIENTO ADMINISTRATIVO PARA LA ADQUISICIÓN DE BIENES Y SERVICIOS POR COMPRA DIRECTA DE LA AMSCLAE- CAPÍTULO ÚNICO DISPOSICIONES GENERALES Artículo 1. Objeto. El presente Manual tiene como

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

DIRECCIÓN EJECUTIVA DE INFORMÁTICA

DIRECCIÓN EJECUTIVA DE INFORMÁTICA NOVIEMBRE 20 ÍNDICE CONTENIDO PÁGINA I.- Introducción 3 II.- Antecedentes 5 III.- Marco Jurídico 8 IV.- Objetivo del Área 9 V.- Estructura Orgánica VI.- Organigrama 12 VII.- Descripción de Funciones 13

Más detalles

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION RESUMEN DEL DOCUMETO TITULO DEL DOCUMENTO SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION Autor del Documento: Ing. Tomas Trejo/Carlos Diosdado Aprobación del Documento: Ing. Gustavo Licona Jiménez

Más detalles

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management)

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management) Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management) Cuanto le podría costar una hora, un día o una semana a su negocio de inactividad?

Más detalles

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO Este documento está orientado a entregar directrices a los auditores internos para el aseguramiento

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

GENERALIDADES: Para la aplicación del presente procedimiento deben considerarse las siguientes generalidades y definiciones:

GENERALIDADES: Para la aplicación del presente procedimiento deben considerarse las siguientes generalidades y definiciones: PROCESO: GESTIÓN DE TECLOGÍAS DE INFORMACIÓN PROCEDIMIENTO: GESTIÓN DE STEMAS DE INFORMACIÓN Objetivo: Establecer las actividades para planificar, ejecutar, administrar y verificar las fases de desarrollo,

Más detalles

Gestión de Tecnologías de la Información y Comunicación (GTIC) GTIC

Gestión de Tecnologías de la Información y Comunicación (GTIC) GTIC Gestión de Tecnologías de la Información y Comunicación () La Gestión de Tecnologías de Información y Comunicación () fue creada como parte de la reorganización estructural del Instituto Nacional de Aprendizaje

Más detalles

Ley de Control Interno de las entidades del Estado LEY Nº 28716

Ley de Control Interno de las entidades del Estado LEY Nº 28716 Ley de Control Interno de las entidades del Estado LEY Nº 28716 EL PRESIDENTE DE LA REPÚBLICA POR CUANTO: El Congreso de la República Ha dado la Ley siguiente: EL CONGRESO DE LA REPÚBLICA; Ha dado la Ley

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

INFORME Nº DFOE-SM-131/2005 12 de diciembre, 2005

INFORME Nº DFOE-SM-131/2005 12 de diciembre, 2005 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS MUNICIPALES INFORME SOBRE EL SEGUIMIENTO DE DISPOSICIONES, GIRADAS POR ESTA CONTRALORÍA GENERAL EN EL INFORME Nº DFOE-SM-11/2004, DENOMINADO

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres

Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres Roberto Carlos Arienti Banco de la Nación Argentina Argentina Banco de la Nación Argentina:

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

INFORME DE CUMPLIMIENTOS DE COMPROMISOS AL 31-12-2014

INFORME DE CUMPLIMIENTOS DE COMPROMISOS AL 31-12-2014 INFORME DE CUMPLIMIENTOS DE COMPROMISOS AL 31-12-2014 Programa/Institución: Programas de Tecnologías de la Información y Comunicación TIC s Ministerio: MINISTERIO DE EDUCACION Servicio: SUBSECRETARIA DE

Más detalles

Tema 1: Organización, funciones y responsabilidades de la función de TI.

Tema 1: Organización, funciones y responsabilidades de la función de TI. Tema 1: Organización, funciones y responsabilidades de la función de TI. 1- Se le han definido objetivos específicos a la función de TI? 2- Se ha identificado claramente de quién depende jerárquicamente

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

AUDIENCIA DE ASIGNACIÓN DE RIESGOS

AUDIENCIA DE ASIGNACIÓN DE RIESGOS AUDIENCIA DE DE RIESGOS LICITACIÓN PÚBLICA 002-2014 SUPER ASTRO 10 de noviembre de 2014 COLJUEGOS EICE actuando en calidad de Administradora del Monopolio Rentístico de los Juegos de Suerte y Azar, advierte

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Gestión de continuidad de negocios. Febrero 2013

Gestión de continuidad de negocios. Febrero 2013 Gestión de continuidad de negocios Febrero 2013 Visión de estratégica Visión Evolución Política del SGCN Objetivos Principales definiciones Gobierno corporativo Análisis de Impacto en el negocio (BIA)

Más detalles

Introducción 2. I. Antecedentes Históricos...3. Base Legal...4. III. Atribuciones...6. Estructura Orgánica...8. Específico.. 9. Analítico...

Introducción 2. I. Antecedentes Históricos...3. Base Legal...4. III. Atribuciones...6. Estructura Orgánica...8. Específico.. 9. Analítico... I N D I C E Introducción 2 I. Antecedentes Históricos...3 II. Base Legal...4 III. Atribuciones...6 IV. Estructura Orgánica...8 V. Organigramas Específico.. 9 Analítico...10 VI. Descripción de Objetivos

Más detalles

Instituto del Café de Costa Rica

Instituto del Café de Costa Rica Instituto del Café de Costa Rica Consideraciones Generales y Específicas Para el Presupuesto 2014-2015 1 ESTRUCTURA DEL PLAN OPERATIVO ANUAL INSTITUCIONAL INSTITUTO DEL CAFÉ DE COSTA RICA 1.0. Antecedentes

Más detalles

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles