INFORME DE AUDITORÍA TI de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad

Transcripción

1 INFORME DE AUDITORÍA TI de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad Auditoría 13896) Período auditado: 7 de marzo al 19 de diciembre de 2014

2

3 TI CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 6 OPINIÓN Y HALLAZGOS Deficiencias relacionadas con las políticas de seguridad Falta de un plan de continuidad de negocios, de un plan de contingencias y de un centro alterno de recuperación de sistemas de información Deficiencias relacionadas con la administración de las cuentas de acceso y falta de documentos con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador Falta de almacenamiento de respaldos de los archivos computadorizados de información en un lugar seguro fuera de los predios de la ASES Deficiencias relacionadas con las normas sobre el uso de los sistemas de información, falta de procedimientos escritos para la disposición de la información sensitiva, y ASES IT Risk Assessment Plan y otros procedimientos sin aprobación Falta de auditorías relacionadas con la seguridad, los procedimientos, los controles y las operaciones de los sistemas de información computadorizados de la ASES RECOMENDACIONES AGRADECIMIENTO ANEJO 1 - MIEMBROS PRINCIPALES DE LA JUNTA DE DIRECTORES DURANTE EL PERÍODO AUDITADO ANEJO 2 - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 27

4 2 TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 4 de marzo de 2016 Al Gobernador, y a los presidentes del Senado de Puerto Rico y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información (OSI) de la Administración de Seguros de Salud de Puerto Rico (ASES) para determinar si las mismas se efectuaron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 7 de marzo al 19 de diciembre de El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este Informe contiene seis hallazgos sobre el resultado del examen que realizamos de los controles internos establecidos para la administración de la seguridad, el acceso lógico y la continuidad del servicio. El mismo está disponible en nuestra página en Internet:

5 TI INFORMACIÓN SOBRE LA UNIDAD AUDITADA La ASES fue creada mediante la Ley , Ley de la Administración de Seguros de Salud de Puerto Rico, según enmendada. Es una corporación pública con personalidad jurídica independiente y separada de cualquier otra entidad, agencia o departamento del Estado Libre Asociado de Puerto Rico. La ASES tiene la responsabilidad de implementar, administrar y negociar; mediante contratos con aseguradoras y organizaciones de Servicios de Salud, según definidas en la Ley Núm. 113 del 2 de junio de 1976, Ley de Organizaciones de Servicios de Salud, según enmendada; un sistema de seguros de salud que eventualmente le brinde a todos los residentes de la Isla, acceso a cuidados médico-hospitalarios de calidad, independientemente de la condición económica y la capacidad de pago de quien los requiera. La Junta de Directores de la ASES está compuesta por 11 miembros. Seis de ellos miembros ex officio y 5 nombrados por el Gobernador de Puerto Rico con el consejo y consentimiento del Senado. Los miembros ex officio son los secretarios de Salud y de Hacienda, el Administrador de la Administración de Servicios de Salud Mental y Contra la Adicción, el Director de la Oficina de Gerencia y Presupuesto, el Presidente del Banco Gubernamental de Fomento para Puerto Rico y el Comisionado de Seguros, o sus delegados. Los 5 miembros restantes de la Junta de Directores deben ser personas de probada reputación moral. De estos, 1 será un profesional competente en la industria de seguros; dos serán proveedores competentes dentro de la Reforma de Salud, de los cuales 1 será médico primario; 1 representará a los beneficiarios del seguro médico-hospitalario; y 1 será un representante del interés público. Este último no podrá tener intereses ni pertenecer a grupos ya representados en la Junta. Tampoco podrá tener relaciones comerciales ni contractuales con instalaciones médico-hospitalarias, con la industria de seguros de salud, y con proveedores de servicio de salud, que no sean las de asegurador-asegurado, asegurador-reclamante, paciente-médico o paciente-hospital.

6 4 TI El Gobernador de Puerto Rico nombra al Presidente de entre sus miembros y la Junta de Directores nombra al Director Ejecutivo, quien debe ser una persona de comprobada reputación moral y reconocido peritaje en el área de la agencia de seguros de salud. El Director Ejecutivo es el responsable del buen funcionamiento de la ASES. Además, la Junta de Directores selecciona de entre sus miembros, al Vicepresidente, quien sustituirá al Presidente en ausencia de este y al Secretario. La ASES contaba con las oficinas del Director Ejecutivo, Auditoría Interna 1, Finanzas y Administración, Planificación y Estadísticas, Recursos Humanos, y Sistemas de Información; y con las áreas de Cumplimiento y Asuntos Clínicos, Asuntos Legales, y Servicio al Cliente. La función principal de la OSI es administrar un sistema automatizado para manejar la información de los beneficiarios elegibles al Plan de Salud del Gobierno (PSG-Mi Salud); procesar archivos de los servicios provistos y de las reclamaciones remitidas por las entidades contratadas; calcular pagos de primas a las compañías aseguradoras; mantener intercambio de datos con la Oficina del Programa de Medicaid 2, el Departamento de Hacienda, la Centers for Medicare & Medicaid Services (CMS) 3, y las compañías contratadas; producir informes internos; y proveer apoyo técnico a los usuarios de los sistemas de información de la ASES. La OSI es dirigida por el Director de Sistemas de Información y se compone de las siguientes áreas: Desarrollo y Mantenimiento de Aplicaciones - Cuenta con dos analistas programadores de sistemas de información. Esta área es responsable de que las aplicaciones y los sistemas que se han desarrollado internamente o adquirido mediante compra a compañías externas, cumplan con los requerimientos de la administración para el PSG-Mi Salud. 1 A la fecha de nuestra auditoría, la Oficina de Auditoría Interna se encontraba inoperante. 2 Este programa está bajo la sombrilla del Departamento de Salud y es la agencia estatal designada para el manejo del PSG-Mi Salud. Además, es el programa mediante el cual el Gobierno Federal aporta ayuda a los estados y territorios para pagar los gastos médicos de ciertos grupos de personas con bajos recursos. 3 Agencia dentro del Departamento de Salud y Servicios Humanos de los Estados Unidos que es responsable de administrar varios programas federales de cuidado de salud.

7 TI Apoyo Técnico - Cuenta con un coordinador de sistemas. Esta área es responsable de los procesos de facturación y pago de prima hasta su cuadre final y de dar apoyo en los procesos diarios y mensuales. Además, ofrece apoyo al área de programación en la codificación, depuración, prueba y documentación de programas para producir informes de sencilla complejidad requeridos por los usuarios. Sistemas de Comunicaciones y Operadores - Cuenta con un administrador de sistemas de comunicaciones y operaciones. Esta área es responsable de la administración de los procesos técnicos y especializados de los sistemas de información, y del mantenimiento y la actualización de sus redes de comunicaciones. Además, de contar con los empleados asignados a estas áreas, la OSI tiene una directora auxiliar de sistemas de información y una administradora de sistemas de oficina. Las funciones de administrador de bases de datos y de administrador de seguridad son realizadas por consultores externos. La OSI tiene una infraestructura que consta de 9 servidores en la ASES, 3 servidores ubicados en unas instalaciones externas, de los cuales 1 es virtual, y aproximadamente 90 computadoras. Además, cuenta con una red de área local en su edificio principal y una red de área amplia para la comunicación de datos con los servidores ubicados en las instalaciones externas. De acuerdo con el informe de Acceso a la Red y Conexión Remota del 10 de marzo de 2014, la ASES contaba con 131 usuarios con acceso a sus sistemas de información. Los recursos para financiar las actividades operacionales de la ASES provienen de la Resolución Conjunta del Presupuesto General, y de asignaciones especiales, recursos por financiamiento, fondos federales y otros ingresos. El presupuesto asignado a la ASES para los años fiscales y ascendió a $2,226,236,000 y $2,223,908,000, de los cuales se le asignó a la OSI $1,011,000 y $1,559,418. Los anejos 1 y 2 contienen una relación de los funcionarios principales de la ASES que actuaron durante el período auditado.

8 6 TI La ASES cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca de los servicios que presta dicha entidad. COMUNICACIÓN CON LA GERENCIA Las situaciones comentadas en los hallazgos de este Informe fueron remitidas al Ing. Ricardo A. Rivera Cardona, Director Ejecutivo, mediante carta de nuestros auditores del 17 de abril de En la referida carta se incluyeron anejos con detalles sobre las situaciones comentadas. Mediante carta del 7 de mayo de 2015, el Director Ejecutivo remitió sus comentarios, los cuales fueron considerados en la redacción del borrador de este Informe. El borrador de los hallazgos de este Informe se remitió para comentarios a la Hon. Ana C. Ríus Armendáriz, Secretaria de Salud y Presidenta de la Junta de Directores de la ASES, y al Director Ejecutivo, por cartas del 3 de diciembre de En este se indicaron datos específicos, tales como: cuentas de acceso, nombres de servidores y localización de áreas donde se mantenían los equipos de comunicación, los cuales, por seguridad, no se incluyen en este Informe. La Secretaria de Salud y Presidenta de la Junta de Directores contestó mediante carta del 15 de diciembre de Esta indicó, entre otras cosas, lo siguiente: Estoy refiriendo este asunto al Sr. Ricardo Rivera Cardona, Director Ejecutivo de la ASES, para que prepare y someta a la Oficina del Contralor de Puerto Rico los comentarios a los Hallazgos de dicha auditoría. [sic] El 11 de diciembre de 2015 la Sra. Carmen I. Figueroa Vélez, Directora Ejecutiva Interina de la ASES, solicitó una prórroga para remitir los comentarios al borrador de los hallazgos. El 14 de diciembre le concedimos la prórroga hasta el 11 de enero de El Director Ejecutivo contestó mediante carta del 12 de enero de Sus comentarios fueron considerados en la redacción final de este Informe. En los hallazgos se incluyen algunos de sus comentarios.

9 TI OPINIÓN Y HALLAZGOS Opinión favorable con excepciones Las pruebas efectuadas revelaron que las operaciones de la OSI, en lo que concierne a los controles internos establecidos para la administración del programa de seguridad, el acceso lógico y la continuidad del servicio se realizaron sustancialmente conforme a las normas generalmente aceptadas en este campo, excepto por los hallazgos del 1 al 6 que se comentan a continuación. Hallazgo 1 - Deficiencias relacionadas con las políticas de seguridad Situación a. La ASES contaba con 11 políticas de seguridad (Security Policies and Procedures) aprobadas el 9 de julio de 2004 por el Director Ejecutivo. Al 10 de marzo de 2014, dichas políticas no incluían disposiciones en cuanto a: La documentación de la validación de las normas de seguridad 4 Un programa de adiestramiento especializado al equipo clave de seguridad La documentación de los controles administrativos, técnicos y físicos de los activos de información (datos, programación, equipos y personal, entre otros) La documentación de la interconexión de los sistemas. Criterio La situación comentada es contraria a lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la Oficina de Gerencia y Presupuesto (OGP). 4 La validación de las normas de seguridad se efectúa mediante la prueba de los controles para eliminar o mitigar las amenazas y vulnerabilidades detectadas en el análisis de riesgos. Además, se valida mediante los resultados de los simulacros efectuados para probar el plan de seguridad.

10 8 TI Efectos La situación comentada podría provocar la inversión de recursos en medidas de control inadecuadas, el desconocimiento y la falta de entendimiento de las responsabilidades relacionadas con la seguridad, y la protección inadecuada de los recursos críticos. Causa La situación comentada se atribuye a que el Director de Sistemas de Información no había considerado incluir dichas disposiciones como parte de las políticas de seguridad de la ASES. Comentarios de la Gerencia En la carta del Director Ejecutivo, este nos indicó, entre otras cosas, lo siguiente: La evaluación de las políticas y procedimientos de seguridad es delegado a la Oficina de Sistemas de Información (OSI) con el apoyo de la Oficina Legal y de Cumplimiento, más el apoyo de consultores expertos en el área. [sic] Durante del periodo de la auditoría, la ASES se encontraba en el proceso de revisión de las políticas y procedimientos de seguridad. La OSI culminó el proceso de actualización y validación de las políticas y procedimientos con apoyo de los Oficinas de Legal, Cumplimiento y un personal externo contratado. Los documentos se encuentran en proceso para la presentación, aprobación y firma del Director Ejecutivo y la Junta de Directores. La fecha de implementación de estas políticas está pautada para el 30 de marzo de [sic] Véanse las recomendaciones 1 y 2.a. Hallazgo 2 - Falta de un plan de continuidad de negocios, de un plan de contingencias y de un centro alterno de recuperación de sistemas de información Situaciones a. Al 10 de marzo de 2014, la ASES carecía de un plan de continuidad de negocios, que incluyera los planes específicos, completos y actualizados de la OSI. Esto era necesario para lograr el pronto funcionamiento de los sistemas de información computadorizados y restaurar las operaciones de la ASES. El Business Continuity Plan, que fue provisto a nuestros auditores, estaba en etapa de borrador.

11 TI b. Al 24 de noviembre de 2014, la ASES no contaba con un plan de contingencias que incluyera los siguientes requisitos que son necesarios para atender situaciones de emergencia: La asignación clara de responsabilidades para la recuperación Los procedimientos a seguir cuando, a través de sus sistemas, los usuarios no puedan recibir ni transmitir información Un inventario completo de los equipos, los sistemas operativos y las aplicaciones La identificación de los archivos críticos de la ASES Un itinerario de restauración que incluya el orden de las aplicaciones a restaurar y los procedimientos para restaurar los respaldos El detalle de la configuración de los equipos de comunicaciones que dan apoyo a los servidores que contienen información crítica de la ASES y del contenido de los respaldos, así como los nombres de las librerías y los archivos El nombre del encargado de activar el plan y del personal de reserva, de forma tal que pueda ser ejecutado sin depender de individuos específicos Una hoja de cotejo para verificar los daños ocasionados Una lista de los números telefónicos de los miembros de cada grupo de recuperación. c. Al 6 de noviembre de 2014, la ASES no contaba con un centro alterno de los sistemas de información para restaurar sus operaciones críticas computadorizadas en caso de emergencia. Tampoco había formalizado acuerdos con otra entidad para establecer un centro alterno en las instalaciones de esta. Situaciones similares a las de los apartados a. y b. fueron comentadas en el Informe de Auditoría TI del 30 de abril de 2004.

12 10 TI Criterios Las situaciones comentadas son contrarias a lo establecido en el inciso (a)(7)(i), Contingency Plan, de la Sección , Administrative Safeguards, de la Health Insurance Portability and Accountability Act de 1996 (Ley HIPAA). La situación comentada en el apartado a. es contraria a lo establecido en la Sección D de la política de seguridad PS0010, Business Continuity Plan, aprobada el 9 de julio de 2004 por el Director Ejecutivo. Las mejores prácticas utilizadas para garantizar la confiabilidad, integridad y disponibilidad de los sistemas de información computadorizados sugieren que, como parte del plan de continuidad de negocios, se deberá preparar un plan de contingencias. Este es una guía que asegura la continuidad de las operaciones normales de los sistemas de información computadorizados cuando se presenten eventualidades inesperadas que afecten su funcionamiento. El mismo deberá estar aprobado por el funcionario de máxima autoridad de la entidad y deberá incluir todos los procesos necesarios para recuperar cualquier segmento de la operación del centro de cómputos o, si fuera necesario, relocalizar las operaciones en el menor tiempo posible y de la forma más ordenada y confiable. Además, se deben efectuar procedimientos para realizar pruebas o simulacros, por lo menos, una vez al año. [Apartado b.] Las mejores prácticas en el campo de la tecnología de información sugieren que, como parte integral del plan de continuidad de negocios, deben existir convenios con otras entidades donde se estipulen las necesidades y los servicios requeridos para afrontar una emergencia. En dichos convenios debe incluirse, además, una cláusula que especifique el lugar o los lugares donde podrían ser requeridos dichos servicios. Estos lugares, de acuerdo con la capacidad de la agencia, podrían ser los siguientes: [Apartado c.] Una entidad pública o privada de similar configuración y tamaño Una compañía dedicada a servicios de restauración Un centro alterno de la propia agencia.

13 TI Efectos Las situaciones comentadas en los apartados a. y b. pueden propiciar la improvisación, y que, en casos de emergencia, se tomen medidas inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos e interrupciones prolongadas de los servicios ofrecidos a los usuarios de la ASES. La situación comentada en el apartado c. podría afectar las funciones de la ASES y los servicios computadorizados, ya que no tendrían disponibles unas instalaciones para operar después de una emergencia o evento que afectara su funcionamiento. Esto podría retrasar o impedir el proceso de restauración de archivos y el pronto restablecimiento de las operaciones normales de los sistemas de información computadorizados de la ASES. Causas Las situaciones comentadas se atribuyen a que el Director de Sistemas de Información no había: Remitido la versión final del Business Continuity Plan para la revisión del Director Ejecutivo y la aprobación de la Junta de Directores. [Apartado a.] Considerado la preparación de las políticas y los procedimientos necesarios para responder a eventos o situaciones de emergencias que afecten las operaciones de la ASES. [Apartado b.] Realizado las gestiones necesarias para identificar un lugar disponible y adecuado como centro alterno, y formalizar los acuerdos necesarios para la utilización del mismo en caso de emergencia. [Apartado c.] Comentarios de la Gerencia En la carta del Director Ejecutivo, este nos indicó, entre otras cosas, lo siguiente: El plan de continuidad de negocios con el que contaba ASES estaba atemperado al momento en que ASES tenía su centro de cómputos junto con el Departamento de Salud. Dado los cambios en facilidades tecnológicas incluyendo un nuevo centro de cómputos, ASES contrató a una firma de consultoría externa para revisar y ajustar el Business Continuity Plan de manera que se ajuste a las nuevas facilidades y procesos en ASES. Este documento ya fue entregado por la firma de consultoría en agosto 2015 y se encuentra, al igual que las políticas y análisis de riesgo, en proceso

14 12 TI de presentación para aprobación y firma por el Director Ejecutivo y la Junta de Directores. Este plan se implementaría durante el corriente año fiscal [sic] [Apartado a.] ASES cuenta con un centro alterno de recuperación, ubicado fuera de la agencia en las facilidades de [ ] que es un proveedor dedicado y certificado en servicios de centro de cómputos. Además, ASES preparó un plan para replicar los sistemas a un tercer lugar utilizando los servicios de la nube de [ ] por medio del contrato actual de OGP. Cabe señalar que somos una de las primeras agencias cuyo plan fue aceptado en su totalidad y lo estaremos implementando durante el corriente año fiscal [sic] [Apartado c.] Consideramos las alegaciones del Director Ejecutivo respecto al apartado c., pero determinamos que el mismo prevalece. Esto, debido a que el proveedor al que hace referencia en su contestación le proveía a la ASES servicios de telefonía y no de centro alterno. Además, la ASES no nos suministró evidencia sobre el plan preparado para replicar los sistemas a un tercer lugar mediante el uso de servicios en la nube. Véanse las recomendaciones 1, y 2.b., c.1), d. y e. Hallazgo 3 - Deficiencias relacionadas con la administración de las cuentas de acceso y falta de documentos con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador Situaciones a. En el servidor principal de la ASES había 132 cuentas de usuarios activas para acceder a la red. El examen realizado entre el 29 de octubre y el 24 de noviembre de 2014 a dichas cuentas reveló las siguientes deficiencias: 1) Ciento once cuentas (84%) no tenían restringido el tiempo de acceso a la red de acuerdo con las funciones de los usuarios. El sistema les permitía a los usuarios tener acceso los 7 días de la semana y las 24 horas del día (Logon all). 2) Ocho cuentas (6%) estaban configuradas para que sus contraseñas no expiraran (No password expires). 3) Tres cuentas (2%), a las que se les había otorgado el privilegio de administradores del dominio (Designated administrators of the domain), no tenían los documentos justificantes que autorizaran

15 TI las mismas. De las 3 cuentas, 2 correspondían a consultores de una firma de contadores públicos, quienes trabajaban unas pruebas en la base de datos de la ASES y el proyecto del Health Information Management, y 1 correspondía a una consultora de la Oficina de Planificación y Estadísticas. Cuentas como estas tienen amplios privilegios que permiten, entre otras cosas, realizar cambios a la configuración del sistema, instalar programas y equipos, acceder a todos los archivos de la computadora y realizar cambios a las cuentas de otros usuarios. Situaciones similares a las del apartado a.1) y 2) fueron comentadas en el Informe de Auditoría TI del 12 de noviembre de Criterios Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que las entidades gubernamentales deberán implementar controles que minimicen los riesgos de que la información sea accedida de forma no autorizada. Además, en dicha Política se establece que la información y los programas de aplicación utilizados en las operaciones de la entidad gubernamental deberán tener controles de acceso para su utilización, de manera que solamente el personal autorizado pueda ver los datos necesarios o usar las aplicaciones (o parte de las aplicaciones) que necesita. Estos controles deberán incluir mecanismos de autenticación y autorización. [Apartado a.3)] La situación comentada en el apartado a.2) es contraria a lo establecido en la política de seguridad PS006, Access Control, aprobada el 9 de julio de 2014 por el Director Ejecutivo. Efectos Las situaciones comentadas propician que personas no autorizadas puedan lograr acceso a información confidencial de los beneficiarios del PSG-Mi Salud, y de las operaciones de la ASES mantenida en los sistemas computadorizados, y hacer uso indebido de esta. Además, propician la

16 14 TI comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causas Las situaciones comentadas se debieron a que el Director de Sistemas de Información: No veló por que el consultor que realizaba tareas de administrador de seguridad pusiera en vigor los controles adecuados para el mantenimiento de las cuentas de acceso a la red. [Apartado a.1) y 2)] No consideró incluir, como parte de la política de seguridad PS-006, directrices para documentar la justificación y la autorización de los accesos a las cuentas con privilegios de administrador. [Apartado a.3)] Comentarios de la Gerencia En la carta del Director Ejecutivo, este nos indicó que las situaciones indicadas en el apartado a.1) y 2) fueron corregidas durante el proceso de recertificación de accesos que la ASES completó durante el Sin embargo, no se nos suministró evidencia de esta acción correctiva. Además, con relación al apartado a.3), nos indicó lo siguiente: ASES otorga los accesos basado en las funciones del usuario y en la necesidad para realizar el trabajo. Sólo se asigna este privilegio basado en la necesidad de poder proveer servicios de apoyo técnico y en los procesos operacionales. Consideramos las alegaciones del Director Ejecutivo respecto al apartado a.3), pero determinamos que el mismo prevalece. Esto, debido a que la situación comentada está relacionada con la falta de documentación para la justificación y la autorización de los accesos a las cuentas con privilegios de administrador, no con el otorgamiento de los mismos. Véanse las recomendaciones 1, y 2.f. y g. Hallazgo 4 - Falta de almacenamiento de respaldos de los archivos computadorizados de información en un lugar seguro fuera de los predios de la ASES Situación a. La ASES contaba con 9 servidores en su Data Center, en los cuales se mantenían documentos almacenados en su red e información

17 TI del correo electrónico. Además, la ASES mantenía 3 de sus servidores en las instalaciones de una compañía externa que le proveía servicios de alojamiento 5. El Coordinador de Sistemas de Información realizaba diariamente los respaldos de la información mantenida en los servidores localizados en el Data Center y en 1 de los servidores ubicados en las instalaciones de la compañía externa, en el que se mantenían los archivos y documentos oficiales de la ASES. Los respaldos se realizaban en el servidor de archivos y luego se grababan en una cinta. El examen realizado sobre los procedimientos utilizados para la producción y el almacenamiento de estos respaldos reveló que no se mantenían copias de estos en un lugar seguro fuera de los predios de la ASES. La cinta donde se guardaba las copias de los respaldos se mantenía en un archivo ubicado en la OSI. Una situación similar fue comentada en el Informe de Auditoría TI Criterios La situación comentada es contraria a lo establecido en las políticas de seguridad PS004, Physical and Environmental Security, y PS005, Communications and Operations Mangement, aprobadas el 9 de julio de 2004 por el Director Ejecutivo. Además, lo comentado es contrario a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que las agencias deberán mantener una copia de respaldo recurrente de la información de los programas de aplicación y de sistemas esenciales e importantes, para las operaciones de la agencia. En consonancia con dicha Política, es necesario, entre otras cosas, que toda la información almacenada en medios electrónicos que se utilice como parte de la operación normal de la entidad sea duplicada periódicamente y guardada en un lugar fuera de los predios de la entidad. Esto, con el propósito de poder recuperar la mayor cantidad de información posible en caso de una emergencia o desastre. 5 El servicio de alojamiento (collocation) consiste básicamente en vender o alquilar un espacio físico de un centro de datos externo, para que otra entidad coloque en este su servidor.

18 16 TI Efecto Lo comentado puede ocasionar que, en casos de emergencias, la ASES no pueda disponer de los respaldos de información necesarios para la continuidad de sus operaciones. Causa La situación comentada se debió a que el Director de Sistemas de Información no veló por que el Coordinador de Sistemas de Información cumpliera con las políticas de seguridad PS004 y PS005 que requieren que se mantengan copias de los respaldos en un lugar fuera de los predios de la ASES. Comentarios de la Gerencia En la carta del Director Ejecutivo, este nos indicó, entre otras cosas, que la ASES ha adquirido los servicios de almacenaje de cintas de respaldo. Véanse las recomendaciones 1 y 2.h. Hallazgo 5 - Deficiencias relacionadas con las normas sobre el uso de los sistemas de información, falta de procedimientos escritos para la disposición de la información sensitiva, y ASES IT Risk Assessment Plan y otros procedimientos sin aprobación Situaciones a. La ASES contaba con la Orden Administrativa 97-01: Normas para el Uso de Computadoras y Telecomunicaciones (Orden Administrativa), y con la Carta Normativa : Carta Normativa para el Uso Adecuado de los Sistemas de Computadora, Correo Electrónico y la Internet (Carta Normativa), aprobadas el 20 de febrero de 1997 y el 28 de septiembre de 2014, por el Director Ejecutivo. La Orden Administrativa tenía el propósito de establecer las directrices para reglamentar el uso y las condiciones de las computadoras y de las telecomunicaciones; y la Carta Normativa el de establecer las normas para la utilización adecuada de los sistemas de computadoras y de las redes de telecomunicación. Esto, con el fin de lograr mayor eficiencia y productividad, y garantizar la confidencialidad de los datos y la integridad de las bases de datos del sistema de información de la ASES.

19 TI En el examen realizado el 29 de agosto de 2014 de la Orden Administrativa y de la Carta Normativa, determinamos que las mismas no establecían disposiciones para lo siguiente: Impedir que alguien pueda leer la información, los mensajes de correo electrónico o los archivos propiedad de la agencia mediante el uso de contraseñas u otras técnicas sin autorización. Instruir sobre la ubicación de los archivos que se crean en las computadoras para protegerlos mediante algún mecanismo de respaldo, y el cumplimiento de las normas de cuotas de espacio en los servidores. Prohibir la utilización de programas sin licencia de la agencia y la modificación de los parámetros de configuración de comunicación de equipos. Prohibir la divulgación de opiniones personales con relación a raza, origen nacional, género, orientación sexual, edad, ideas o creencias políticas o religiosas, así como opiniones sobre personas con impedimento físico o mental. Reservar el derecho de decodificar todo documento y de radicar acusaciones criminales por las actuaciones que constituyen delito federal o estatal. Revisar las políticas periódicamente. b. La ASES no contaba con procedimientos escritos para la disposición final de la información sensitiva, personal y de salud, mantenida en sus equipos y sistemas de información computadorizados. El Administrador de Sistemas de Comunicación y Operaciones de la ASES utilizaba el tutorial de una herramienta específica como procedimiento para eliminar la información del disco duro antes de transferir o disponer de los equipos y de los medios de almacenamiento computadorizados. Dicho tutorial no cumplía con los requerimientos que deben estar incluidos en un procedimiento para la disposición de esta información.

20 18 TI c. Al 29 de septiembre de 2014, el ASES IT Risk Assessment Plan, preparado en junio de 2013 por un consultor externo y provisto como el análisis de riesgos de los sistemas de información computadorizados de la ASES, no había sido aprobado. d. La ASES contaba con 28 procedimientos para regir las operaciones de la OSI. De estos, 11 eran procedimientos de seguridad (Security Policies and Procedures) y 17 eran procedimientos operacionales (Operation Process Information System). Al 7 de marzo de 2014, los 17 procedimientos operacionales estaban en etapa de borrador, por lo que no habían sido aprobados. Situaciones similares a los apartados b. y d. fueron comentadas en el Informe de Auditoría TI Criterios Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establecen las directrices generales que permiten a las agencias implementar controles adecuados en sus sistemas de información computadorizados para garantizar la confidencialidad, integridad y disponibilidad de la información que manejan. Además, se establece que será responsabilidad de cada entidad gubernamental desarrollar normas específicas que consideren las características propias de los ambientes de tecnología de la agencia, particularmente, sus sistemas de misión crítica. Esto implica que, como norma de sana administración, se deben establecer las políticas, las normas y los procedimientos escritos de control interno eficaces que reglamenten las operaciones computadorizadas y que estén aprobados por la alta gerencia. Mediante los mismos se logran definir los niveles de control que deben existir en las distintas áreas. Además, contribuyen a mantener la continuidad de las operaciones en casos de renuncias o ausencias del personal de mayor experiencia, y facilitan el adiestramiento. Además, la situación comentada en el apartado b. es contraria a lo establecido el inciso (d)(2)(i), Disposal, de la Sección , Physical Safeguards, de la Ley HIPAA.

21 TI Efectos La situación comentada en el apartado a. le impide a la ASES mantener controles adecuados para el uso de sus sistemas de información computadorizados, y podría exponer la información contenida en los mismos a riesgos innecesarios. Además, esta situación podría promover el uso indebido de los sistemas de información computadorizados y dificultar la imposición de sanciones en caso de que ocurra alguna irregularidad. Las situaciones comentadas en los apartados del b. al d. podrían ocasionar que las operaciones de los sistemas de información computadorizados no se realicen de manera uniforme. Esto puede dar lugar a la comisión de errores e irregularidades sin que se puedan detectar a tiempo para fijar responsabilidades y tomar las medidas correctivas necesarias. Además, lo comentado en el apartado b. puede propiciar que, al momento de transferir o disponer de los equipos computadorizados, no se considere la eliminación de la información confidencial contenida en los mismos. Esto, a su vez, puede propiciar que personas no autorizadas puedan lograr acceso a información confidencial y que la misma sea divulgada o utilizada indebidamente. También podría ocasionar situaciones que afecten los derechos de terceros, por las cuales se responsabilice a la ASES. Causas Las situaciones comentadas se atribuyen a que el Director de Sistemas de Información no había: Revisado ni actualizado la Orden Administrativa y la Carta Normativa para incluir las disposiciones mencionadas en el apartado a. Ejercido una supervisión adecuada sobre el Administrador de Sistemas de Comunicación y Operaciones para asegurarse de que este preparara los procedimientos necesarios para la disposición de la información sensitiva, contenida en los equipos y en los sistemas de información computadorizados de la ASES. [Apartado b.]

22 20 TI Remitido la versión final del ASES IT Risk Assessment al Director Ejecutivo para su revisión y para la aprobación de la Junta de Directores. [Apartado c.] Revisado los procedimientos que estaban en etapa de borrador y remitirlos para la revisión del Director Ejecutivo y la aprobación de la Junta de Directores. [Apartado d.] Comentarios de la Gerencia En la carta del Director Ejecutivo, este nos indicó que, previo al período de nuestra auditoría y hasta el final de la misma, la ASES estuvo inmersa en cambios significativos en sus instalaciones y en sus operaciones de tecnología, los cuales requirieron un esfuerzo y apoyo adicional del personal de sistemas de información, incluidos sus consultores. Esto limitó la disponibilidad de este personal para actualizar todas las normas de uso y los procedimientos, y presentarlos al Director Ejecutivo y a la Junta de Directores. Además, nos indicó que las políticas prevalecientes y las actualizadas ya incluyen elementos para atender las disposiciones comentadas en el apartado a. Sin embargo, no se nos suministró evidencia de la inclusión de dichas disposiciones en las políticas que se indica que fueron actualizadas. Además, con relación a los apartados c. y d. nos indicó, lo siguiente: Durante el proceso de revisión de políticas y procedimientos, se utilizó de referencia el IT Risk Assessment del 2013 para identificar y mitigar riesgos en las nuevas facilidades, sistemas, procesos y procedimientos. La OSI completó la revisión de las políticas de seguridad. Estos fueron sometidas para evaluación por las Oficinas de Legal y Cumplimiento y tramitar la presentación, aprobación y firma por el Director Ejecutivo y la Junta de Directores. La fecha estimada para completar este proceso es el 3 de marzo de [sic] Véanse las recomendaciones 1, y 2.c.2), i., y j.

23 TI Hallazgo 6 - Falta de auditorías relacionadas con la seguridad, los procedimientos, los controles y las operaciones de los sistemas de información computadorizados de la ASES Situación a. Al 14 de mayo de 2014, en la ASES no se habían realizado evaluaciones o auditorías relacionadas con la seguridad, los procedimientos, los controles y las operaciones de los sistemas de información computadorizados. Una situación similar fue comentada en el Informe de Auditoría TI Criterios La situación comentada es contraria a lo establecido en el inciso (a)(8), Evaluation, de la Sección , Administrative Safeguards, de la Ley HIPAA. Además, la situación es contraria a lo establecido en la Sección IV de la política de seguridad PS001, Organizational Security, aprobada el 9 de julio de 2004 por el Director Ejecutivo de la ASES. En esta se establece que: La política de seguridad, los estándares y el ambiente de seguridad de la información de la ASES deberán ser revisados anualmente El Departamento de Auditoría Interna o alguna entidad externa independiente deberá realizar una evaluación del ambiente de seguridad de información de la ASES. Efectos La falta de evaluaciones o auditorías puede propiciar que se comentan errores e irregularidades sin que se puedan detectar a tiempo para fijar responsabilidades. También priva a la gerencia de información necesaria sobre el funcionamiento de los sistemas, los controles y las demás operaciones de la ASES. Causa La situación comentada se debió, en parte, a que, luego de la aprobación de la Orden Ejecutiva OE , Orden Ejecutiva del Gobernador del Estado Libre Asociado de Puerto Rico para Decretar una Estado de Emergencia Fiscal e Implantar Medidas Iniciales de Control Fiscal y Reconstrucción Económica, y de la Ley , Ley del Programa de

24 22 TI Incentivos, Retiro y Readiestramiento, los tres puestos de la Oficina de Auditoría Interna de la ASES quedaron vacantes, por lo que la misma quedó inoperante. Comentarios de la Gerencia En la carta del Director Ejecutivo, este nos indicó entre otras cosas, lo siguiente: Este punto está pendiente de remediación debido a que los servicios para realizar las auditorías no estaban contemplados en el presupuesto en curso. Se están evaluando alternativas para mitigar este punto con recursos internos y/o el apoyo de una firma que pueda evaluar y recomendar ajustes a procedimientos, controles y las operaciones. [sic] Véanse las recomendaciones 1 y 3. RECOMENDACIONES A la Junta de Directores de la ASES 1. Ver que el Director Ejecutivo cumpla con las recomendaciones de la 2 a la 3, de manera que se corrijan y no se repitan las situaciones comentadas en este Informe. Al Director Ejecutivo de la ASES 2. Ejercer una supervisión efectiva sobre el Director de Sistemas de Información para asegurarse de que: a. Realice las gestiones necesarias para que se incluyan como parte de las políticas de seguridad de la ASES, las disposiciones descritas en el Hallazgo 1. Como resultado de esto, las políticas de seguridad que se preparen o actualicen deben ser remitidas para su revisión y la aprobación de la Junta de Directores. Además, una vez aprobadas, ver que se divulguen a los funcionarios y a los empleados, y que se realicen evaluaciones periódicas de las mismas para asegurar su funcionamiento. b. Remita la versión final, si aún no se ha hecho, del Business Continuity Plan, el cual se encontraba en etapa de borrador, para su revisión y la aprobación de la Junta de Directores de la ASES. Una vez este documento sea aprobado, tomar las medidas necesarias para asegurarse de que el mismo se mantenga actualizado y se conserve copia en un lugar seguro fuera de los

25 TI predios de la ASES. Además, asegurarse de que sea distribuido a los funcionarios y a los empleados concernientes, y de que se realicen pruebas periódicas para garantizar la efectividad del mismo. [Hallazgo 2-a.] c. Prepare y remita para su revisión y la aprobación de la Junta de Directores de la ASES: 1) Un plan de contingencias detallado para la OSI en el que se establezcan las medidas a considerar en caso de ocurrir eventos o situaciones de emergencia que afecten las operaciones de la ASES, tales como: interrupciones de energía eléctrica, errores humanos, terremotos o fuegos, entre otros, y que incluya los aspectos comentados en el Hallazgo 2-b. 2) Los procedimientos necesarios para la disposición de la información sensitiva contenida en los equipos y en los sistemas de información computadorizados de la ASES. [Hallazgo 5-b.] d. Identifique un centro alterno que no esté expuesto a los mismos riesgos que la OSI, y que cuente con la infraestructura y los equipos necesarios para restaurar las operaciones críticas computadorizadas de la ASES en caso de emergencia. [Hallazgo 2-c.] e. Realice las gestiones que permitan formalizar los acuerdos que sean necesarios para la utilización del lugar identificado como centro alterno. Dichos acuerdos deben estipular, entre otras cosas, las necesidades y los servicios requeridos para afrontar una emergencia, y el lugar o los lugares donde podrían ser requeridos dichos servicios. [Hallazgo 2-c.] f. Instruya al consultor, quien funge como administrador de seguridad, para que: 1) Efectúe las modificaciones en los parámetros de seguridad para restringir el horario de acceso a los recursos de la red, según las funciones y las responsabilidades de cada usuario,

26 24 TI y activar en los servidores la opción para desconectar automáticamente las cuentas de acceso cuando estas son utilizadas para acceder los recursos de la red fuera de horas laborables. [Hallazgo 3-a.1)] 2) Realice las gestiones para asegurarse de que las contraseñas de las cuentas de acceso mencionadas en el Hallazgo 3-a.2) expiren, y se les requiera a sus usuarios cambiar las mismas. g. Incluya en la política de seguridad PS006 las directrices para documentar la justificación y la autorización de los accesos a las cuentas con privilegios de administrador. Una vez incluidas dichas directrices, remita la política de seguridad para su revisión y la aprobación de la Junta de Directores de la ASES. [Hallazgo 3-a.3)] h. Se asegure de que el Coordinador de Sistemas de Información prepare copias recurrentes de los respaldos realizados a los servidores, y las almacene en un lugar externo fuera de los predios de la ASES, según establecido en las políticas de seguridad PS004 y PS005. [Hallazgo 4] i. Revise y actualice la Orden Administrativa y la Carta Normativa para incluir las normas sobre el uso de los sistemas de información indicadas en el Hallazgo 5-a. Una vez revisada y actualizada, remita la misma para su aprobación. j. Revise y remita para su revisión y la aprobación de la Junta de Directores de la ASES, el IT Risk Assessment Plan y los 17 procedimientos operacionales que se comentan en el Hallazgo 5-c. y d. Una vez aprobados, se asegure de que se oriente al personal sobre las disposiciones de los mismos. 3. Realizar las gestiones necesarias para que se efectúen auditorías periódicas relacionadas con la seguridad, los procedimientos, los controles y las operaciones de los sistemas de información computadorizados de la ASES. [Hallazgo 6]

27

28 26 TI ANEJO 1 ADMINISTRACIÓN DE SEGUROS DE SALUD DE PUERTO RICO OFICINA DE SISTEMAS DE INFORMACIÓN MIEMBROS PRINCIPALES DE LA JUNTA DE DIRECTORES DURANTE EL PERÍODO AUDITADO NOMBRE CARGO O PUESTO PERÍODO DESDE HASTA Hon. Ana Ríus Armendáriz Presidenta 7 mar dic. 14 Sra. Ángela Weyne Roig Vicepresidenta 7 mar dic. 14 Lcdo. Domingo Cruz Vivaldi Secretario 7 mar dic. 14

29 TI ANEJO 2 ADMINISTRACIÓN DE SEGUROS DE SALUD DE PUERTO RICO OFICINA DE SISTEMAS DE INFROMACIÓN FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO NOMBRE CARGO O PUESTO PERÍODO DESDE HASTA Ing. Ricardo A. Rivera Cardona Director Ejecutivo 7 mar dic. 14 Sra. Sandra V. Peña Pérez Subdirectora Ejecutiva 7 mar dic. 14 Lcdo. Arturo R. García Pagán Ayudante Ejecutivo 7 mar dic. 14 Ing. Hilton Torres Arroyo Director de Sistemas de Información 7 mar dic. 14 Sra. Winda J. Lorenzo González Directora Auxiliar de Sistemas de Información 7 mar dic. 14

30 MISIÓN Fiscalizar las transacciones de la propiedad y de los fondos públicos, con independencia y objetividad, para determinar si se han realizado de acuerdo con la ley, y atender otros asuntos encomendados. Promover el uso efectivo, económico, eficiente y ético de los recursos del Gobierno en beneficio de nuestro Pueblo. PRINCIPIOS PARA LOGRAR UNA ADMINISTRACIÓN PÚBLICA DE EXCELENCIA La Oficina del Contralor, a través de los años, ha identificado principios que ayudan a mejorar la administración pública. Dichos principios se incluyen en la Carta Circular OC del 27 de junio de 2008, disponible en nuestra página en Internet. QUERELLAS Las querellas sobre el mal uso de la propiedad y de los fondos públicos pueden presentarse, de manera confidencial, personalmente o por teléfono al (787) , extensión 2805, o al (sin cargo). También se pueden presentar mediante el correo electrónico Querellas@ocpr.gov.pr o mediante la página en Internet de la Oficina. INFORMACIÓN SOBRE LOS INFORMES DE AUDITORÍA En los informes de auditoría se incluyen los hallazgos significativos determinados en las auditorías. En nuestra página en Internet se incluye información sobre el contenido de dichos hallazgos y el tipo de opinión del informe. La manera más rápida y sencilla de obtener copias libres de costo de los informes es mediante la página en Internet de la Oficina. También se pueden emitir copias de los mismos, previo el pago de sellos de rentas internas, requeridos por ley. Las personas interesadas pueden comunicarse con el Administrador de Documentos al (787) , extensión INFORMACIÓN DE CONTACTO Dirección física: 105 Avenida Ponce de León Hato Rey, Puerto Rico Teléfono: (787) Fax: (787) Dirección postal: PO Box San Juan, Puerto Rico Internet: Correo electrónico: ocpr@ocpr.gov.pr