INFORME DE AUDITORÍA TI de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INFORME DE AUDITORÍA TI-15-10 12 de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia"

Transcripción

1 INFORME DE AUDITORÍA TI de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (Unidad Auditoría 13850) Período auditado: 12 de junio de 2013 al 30 de octubre de 2014

2

3 TI CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 5 OPINIÓN Y HALLAZGOS Falta de un informe de análisis de riesgos de los sistemas de información computadorizados Falta de un plan de continuidad de negocios y de un centro alterno para la recuperación de las operaciones computadorizadas Deficiencias relacionadas con la configuración del firewall y falta de normas para detectar, reportar y responder a incidentes de seguridad relacionados con los sistemas de información computadorizados del DE Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal para las cuentas con acceso a la red del DE Falta de documentación relacionada con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador de los sistemas operativos, y del otorgamiento de privilegios de conexión remota a los sistemas de información Falta de un registro de programas instalados en cada computadora RECOMENDACIONES AGRADECIMIENTO ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 23

4 2 TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 12 de mayo de 2015 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (OSIATD) del Departamento de Educación (DE), para determinar si se efectuaron de acuerdo con las normas generalmente aceptadas en este campo, y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 12 de junio de 2013 al 30 de octubre de El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este es el primer informe y contiene seis hallazgos sobre el resultado del examen que realizamos de los controles internos establecidos para la administración del programa de seguridad, el acceso lógico, la configuración de los sistemas de información, la continuidad del servicio, y el uso y la seguridad de las computadoras. El mismo está disponible en nuestra página en Internet:

5 TI INFORMACIÓN SOBRE LA UNIDAD AUDITADA El DE es uno de los departamentos ejecutivos establecidos por el Artículo IV, Sección 6 de la Constitución. Este se rige por la Ley , Ley Orgánica del Departamento de Educación de Puerto Rico, según enmendada. El DE se rige, además, por otros estatutos legales, entre estos: la Resolución Conjunta 3 del 28 de agosto de 1990, que adscribe la Oficina para el Mejoramiento de las Escuelas Públicas (OMEP) al DE; la Ley , que creó la Secretaría Auxiliar de Servicios Educativos Integrales para Personas con Impedimentos (SASEIPI), ahora Secretaría Asociada de Educación Especial (SAEE); la Ley , Ley de Carrera Magisterial; y la Ley , Ley de Nombramientos Magisteriales de Emergencia, para autorizar al Secretario de Educación (Secretario) a reclutar maestros retirados. Por otro lado, el DE está sujeto a la legislación y a la reglamentación sobre educación que promulgue el Gobierno Federal de los Estados Unidos de América, y del Estado Libre Asociado de Puerto Rico, y a la reglamentación vigente que haya emitido el Secretario. El propósito primordial del DE es alcanzar el nivel más alto posible de excelencia educativa. Es la entidad gubernamental responsable de impartir la educación pública, sin ninguna inclinación sectaria, y gratuita en los niveles primario y secundario en Puerto Rico. Además, es responsable de brindar igualdad de oportunidades educativas de alta calidad; atender debidamente el nivel de educación preescolar; convertir la escuela en el objetivo principal hacia el cual apunten todos los recursos que el Estado asigne a la educación; y estimular la mayor participación de todos los componentes del sistema educativo en las decisiones que afectan la escuela. Las operaciones del DE son administradas por el Secretario, nombrado por el Gobernador, con el consejo y el consentimiento del Senado de Puerto Rico. Este es responsable, entre otras cosas, de implantar la política pública que la Asamblea Legislativa de Puerto Rico y el Gobernador

6 4 TI adopten, con el fin de realizar los propósitos que la Constitución y la Ley pautan para el Sistema de Educación Pública, y de organizar, planificar, dirigir, supervisar y evaluar las actividades académicas y administrativas del DE. El DE cuenta con 1 Subsecretario para Asuntos Académicos y 1 Subsecretario de Administración para manejar los asuntos relacionados con la docencia y con la administración. La estructura organizacional la integran, además, la Secretaría Asociada de Educación Especial, 7 secretarías auxiliares 1, 7 oficinas administrativas 2, la Junta de Apelaciones, el Centro de Investigaciones Educativas e Innovaciones Educativas y Etnográfica, el Instituto Nacional para el Desarrollo Curricular, el Instituto de Capacitación Administrativa y Asesoramiento a Escuelas, la División Legal, el Instituto para el Desarrollo Profesional del Maestro, la Autoridad Escolar de Alimentos, y la Agencia Estatal y Servicios de Alimentos y Nutrición. Además, al 5 de agosto de 2014, el DE contaba con 7 regiones educativas 3, 28 distritos escolares y 1,461 escuelas. La OSIATD la dirige una Ayudante Especial del Secretario. Esta Oficina tiene la obligación de liderar el desarrollo y la utilización de los sistemas de información. Además, debe velar por la adquisición del equipo tecnológico apropiado para las gestiones cotidianas del DE, los servicios relacionados con estas herramientas, y el uso seguro y eficiente de la tecnología informática del DE. También tiene a su cargo la administración, el mantenimiento y el servicio de los sistemas de información computadorizados utilizados en el DE. Los fondos para financiar las actividades operacionales del DE provenían principalmente del presupuesto general, de fondos especiales y de fondos federales. Para el año fiscal , el presupuesto asignado al DE 1 Educación Vocacional y Técnica, Finanzas, Planificación y Desarrollo Educativo, Recursos Humanos, Servicios Académicos y Servicios Educativos a la Comunidad, Servicios Auxiliares, y Servicios de Ayuda al Estudiante. 2 Las del Secretario, la OSIATD, Asuntos Federales, Auditoría Interna, Comunicaciones, Presupuesto y la Oficina para el Mejoramiento de Escuelas Públicas. 3 Estas están localizadas en Arecibo, Bayamón, Caguas, Humacao, Mayagüez, Ponce y San Juan.

7 TI ascendía a $3,609,229,000. De acuerdo con la información suministrada por la Directora de Contabilidad de la Secretaría Auxiliar de Finanzas, para los años fiscales del al , el DE efectuó desembolsos 4 relacionados con los sistemas de información computadorizados por $49,523,355, $48,972,352 y $68,941,645, respectivamente. El ANEJO contiene una relación de los funcionarios principales del DE que actuaron durante el período auditado. El DE cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca del DE y de los servicios que presta. COMUNICACIÓN CON LA GERENCIA El borrador de los hallazgos de este Informe se remitió, para comentarios, al Hon. Rafael Román Meléndez, Secretario de Educación, por carta del 17 de marzo de En este se indicaron los nombres de sistemas o programas que por seguridad no se incluyen en este Informe. El 24 de marzo de 2015 el Secretario solicitó una prórroga para remitir sus comentarios al borrador de los hallazgos de este Informe. Ese mismo día le concedimos la prórroga hasta el 10 de abril de El Secretario contestó el borrador de los hallazgos de este Informe mediante carta del 10 de abril de Sus comentarios fueron considerados en la redacción final de este Informe. En los hallazgos se incluyeron algunos de sus comentarios. OPINIÓN Y HALLAZGOS Opinión favorable con excepciones Las pruebas efectuadas y la evidencia en nuestro poder revelaron que las operaciones de la OSIATD en lo que concierne a los controles internos establecidos para la administración de la seguridad, el acceso lógico, la configuración de los sistemas de información, la segregación de deberes, la continuidad del servicio, y el uso y la seguridad de las computadoras, se 4 En la certificación suministrada para examen se indica que la información correspondiente al año fiscal es preliminar porque aún no se ha emitido el Single Audit.

8 6 TI realizaron sustancialmente conforme con las normas generalmente aceptadas en este campo, excepto por los hallazgos del 1 al 6 que se comentan a continuación. Hallazgo 1 - Falta de un informe de análisis de riesgos de los sistemas de información computadorizados Situación a. El DE mantenía sus operaciones en forma computadorizada mediante el uso de los siguientes sistemas de información: Sistema de Información Estudiantil (SIE) - En este sistema se documentaba la información demográfica de 392,635 estudiantes existentes al 28 de agosto de Esto, además de mantener información relacionada con el proceso de matrícula, el progreso académico y los incidentes de disciplina asociados a estos estudiantes. Mi Portal Especial (MiPE) - En este sistema se mantenían los datos relacionados con los estudiantes del Programa de Educación Especial. Al 11 de septiembre de 2014, existían 103,180 registros electrónicos relacionados con el Programa Educativo Individualizado (PEI). Sistema Financiero del Departamento de Educación (SIFDE) - En este se evidenciaba e informaba sobre la utilización y el manejo de los fondos federales y estatales del DE. Al 11 de septiembre de 2014, en este sistema se habían registrado 2,879 órdenes de compra por $81,537,258 y 83,094 pagos a proveedores por $1,211,664,791. Tiempo, Asistencia y Licencia (TAL) - En este se registraba la asistencia y se calculaban las licencias del personal, las cuales luego se procesaban a través del sistema de recursos humanos del DE (STAFF). Esto, con el propósito de mantener control sobre los datos del personal del DE. Al 26 de junio de 2013, la nómina mensual del personal activo del DE ascendió a $121,876,000.

9 TI Además, el DE contaba con un data warehouse que le permitía tener acceso rápido a información necesaria para la toma de decisiones. Por otra parte, el DE mantenía una red administrativa y una red educativa, mediante las cuales se daba servicio a los usuarios de sistemas de información que laboraban en las secretarías y oficinas administrativas del DE distribuidas en 2 edificios; y a 7 oficinas regionales, a 28 distritos escolares y a 1,461 escuelas. Además, a través de la red se permitía a los usuarios conectarse a Internet e intercambiar información a través del correo electrónico. Al 28 de febrero de 2014, los equipos computadorizados del DE consistían de 175 servidores físicos y 181 servidores virtuales, 13,216 desktops, 15,045 laptops y 9,052 tablets. Los sistemas, el data warehouse y los equipos computadorizados formaban parte de los activos de sistemas de información computadorizados existentes en el DE. Sin embargo, al 4 de septiembre de 2014, en el DE no se había preparado un análisis de riesgos de los sistemas de información computadorizados. El análisis de riesgos de los sistemas de información computadorizados es un proceso a través del cual se identifican los activos de sistemas de información computadorizados existentes en una entidad, sus vulnerabilidades, y las amenazas a las que se encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas. Esto, con el fin de determinar las medidas de seguridad y los controles adecuados a ser implantados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, y proteger dichos activos, de manera que no se afecten adversamente las operaciones de la entidad. Mediante este proceso, se asegura que las medidas de seguridad y los controles a ser implantados sean costo-efectivos, pertinentes a las operaciones de la entidad y que respondan a las posibles amenazas identificadas.

10 8 TI Criterios La situación comentada se aparta de lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico aprobada el 30 de julio de 2010 por el Director de la OSIATD. En esta se establece, entre otras cosas, que será necesario un inventario de activos de sistemas de información que incluya el equipo, los programas y los datos. Estos deberán ser clasificados de acuerdo con su nivel de confidencialidad. Además, será necesario identificar las posibles amenazas contra los sistemas de información, realizar un análisis de impacto en las operaciones y determinar la probabilidad de que ocurran esas amenazas. También es contraria a lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2014 por la Directora de la Oficina de Gerencia y Presupuesto (OGP); y de la Política TIG-015, Programa de Continuidad Gubernamental, aprobada el 22 de septiembre de 2011 por el Director de la OGP. Efectos La situación comentada impide al DE estimar el impacto que los elementos de riesgos tendrían sobre las áreas y los sistemas críticos de esta, y considerar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información. Además, dificulta desarrollar un plan de continuidad de negocios donde se establezcan las medidas de control que minimicen los riesgos previamente identificados a un nivel aceptable, y los pasos a seguir para restablecer las operaciones del DE, en caso de que surja alguna eventualidad. [Véase el Hallazgo 2-a.] Causa La situación comentada se atribuye a que el Secretario no había promulgado una directriz para la preparación y la documentación de un análisis de riesgos que incluya todos los activos de sistemas de información (internos y externos) del DE, como establecen las políticas TIG-003 y TIG-015.

11 TI Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: El Departamento de Educación está realizando las acciones correspondientes para recibir el apoyo técnico necesario para desarrollar el análisis de riesgo de los sistemas, programas y equipos residentes en el centro de cómputos y otras facilidades del Departamento. Con relación a las aplicaciones del Sistema de Información Estudiantil (SIE) y del Sistema Financiero (SIFDE), los mismos residen con [ ] por lo que el Departamento descansa en el trabajo realizado por la firma de contabilidad pública [ ] como parte del Service Organization Controls (SOC) 1 Report. [sic] Véase la Recomendación 1. Hallazgo 2 - Falta de un plan de continuidad de negocios y de un centro alterno para la recuperación de las operaciones computadorizadas Situaciones a. Al 24 de junio de 2013, el DE carecía de un plan de continuidad de negocios que incluyera los planes específicos, completos y actualizados de la OSIATD. Esto era necesario para lograr el pronto funcionamiento de los sistemas de información computadorizados y restaurar las operaciones del DE, en caso de riesgos como: variaciones de voltaje, virus de computadoras, ataques maliciosos a la red, o desastres naturales, entre otros. Una situación similar se comentó en el Informe de Auditoría DA del 24 de febrero de b. Al 8 de julio de 2013, el DE no contaba con un centro alterno para restaurar sus operaciones críticas computadorizadas en caso de emergencia. Tampoco había formalizado acuerdos escritos con otra entidad para establecer un centro alterno en las instalaciones de esta. Una situación similar se comentó en los informes de auditoría TI-01-9 del 19 de marzo de 2001 y DA

12 10 TI Criterios La situación comentada en el apartado a. es contraria a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que se prepare un Plan de Continuidad de Negocios que incluya un Plan para la Recuperación de Desastres y un Plan para la Continuidad de las Operaciones, basado en el análisis de riesgos de los sistemas de información computadorizados del DE. También se aparta de lo establecido en las políticas TIG-003 y TIG-004, Servicios de Tecnología de la Carta Circular 77-05; y de lo establecido en la Política TIG-015. Las mejores prácticas en el campo de la tecnología de información sugieren que, como parte integral del Plan de Continuidad de Negocios, deben existir convenios con otras entidades donde se estipulen las necesidades y los servicios requeridos para afrontar una emergencia. Debe incluirse, además, una cláusula que especifique el lugar o los lugares donde podrían ser requeridos dichos servicios. Estos lugares, de acuerdo con la capacidad de la agencia, podrían ser los siguientes: [Apartado b.] Una entidad pública o privada de similar configuración y tamaño Una compañía dedicada a servicios de restauración Un centro alterno de la propia entidad. Efectos La situación comentada en el apartado a. podría propiciar la improvisación y, que en casos de emergencia, se tomen medidas inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos y de interrupciones prolongadas de los servicios ofrecidos a los usuarios de los sistemas de información del DE.

13 TI La situación comentada en el apartado b. podría afectar las operaciones del DE y los servicios de la OSIATD, ya que no tendrían disponibles unas instalaciones para operar después de una emergencia o de un evento que afectara su funcionamiento. Esto podría atrasar o impedir el proceso de restauración de archivos y el pronto restablecimiento de las operaciones normales de la OSIATD. Causas La situación comentada en el apartado a. se atribuye a la falta de un análisis de riesgos de los sistemas de información computadorizados del DE que sirviera de base para la preparación y la revisión de un plan de continuidad de negocios. [Véase el Hallazgo 1] Esto, con el propósito de garantizar la continuidad de las operaciones en caso de surgir algún desastre o emergencia. La situación comentada en el apartado b. se debía a que el Secretario tampoco le había requerido a la Directora de la OSIATD que realizara las gestiones necesarias para identificar un lugar disponible y adecuado como centro alterno, y para formalizar los acuerdos necesarios para la utilización del mismo en casos de emergencia. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Para el año fiscal , el Departamento de Educación tiene como meta completar el Business Impact Analysis, realizar un análisis de riesgo de los sistemas de información, desarrollar el Plan de Recuperación de Desastre, evaluar y recomendar un Centro de Recuperación en caso de desastre, y preparar un Plan de Prueba con el fin de ejecutarlo, de acuerdo a las mejores prácticas en sistemas de información. [sic] Véanse las recomendaciones 2.a. y b., y 3.

14 12 TI Hallazgo 3 - Deficiencias relacionadas con la configuración del firewall y falta de normas para detectar, reportar y responder a incidentes de seguridad relacionados con los sistemas de información computadorizados del DE Situaciones a. Al 28 de junio de 2013, el examen de la configuración del servidor principal del DE reveló que el firewall 5 estaba desactivado. b. Al 4 de septiembre de 2014, la OSIATD no tenía un procedimiento o plan para el manejo de incidentes que estableciera, entre otras cosas, una estrategia documentada para el manejo de los incidentes, un equipo de respuesta y la documentación de las actividades relacionadas con los mismos. Criterios Las situaciones comentadas son contrarias a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que: La comunicación con Internet desde adentro de la agencia deberá estar controlada por un firewall. [Apartado a.] El Administrador de Seguridad es responsable de desarrollar procedimientos para detectar, reportar y responder a incidentes de seguridad, incluidos límites para esos incidentes en términos de tiempo máximo y mínimo de respuesta, así como también debe investigar y documentar cualquier anomalía. [Apartado b.] Además, las situaciones comentadas se apartan de lo establecido en la Política TIG-003 de la Carta Circular Sistema que se coloca entre una red de comunicaciones e Internet. Esto, con el propósito de asegurar que todas las comunicaciones entre dicha red e Internet se realicen conforme a las políticas de seguridad de la organización que lo instala. Además, estos sistemas suelen incorporar elementos de privacidad y autenticación, entre otros.

15 TI Efectos La situación comentada en el apartado a. podría facilitar que personas no autorizadas tengan acceso a los sistemas de información del DE y pudieran ocasionar daños a la computadora o a los datos procesados en esta, sin que se pudieran fijar responsabilidades. Lo comentado en el apartado b. le impide a la OSIATD tener un control eficaz y documentado sobre el manejo de incidentes. Además, puede provocar duplicidad de esfuerzo y tiempo ante situaciones inesperadas, lo que afectaría el restablecimiento de los sistemas con prontitud y aumentaría la extensión de los daños, si alguno. Causas La situación comentada en el apartado a. se debía, en parte, a que la Directora de la OSIATD no veló por que el Especialista en Tecnología Cibernética, quien realizaba las funciones relacionadas con la administración de seguridad de los sistemas computadorizados del DE, cumpliera con lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. Entre otros aspectos, no veló por que se instalara al servidor la actualización que permitiría que el firewall se mantuviera encendido. La situación comentada en el apartado b. se atribuye a que el Secretario no había impartido una directriz a la Directora de la OSIATD para el desarrollo y la aprobación de las normas y los procedimientos escritos para el manejo de incidentes. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Como consecuencia de que el programa [ ] no puede coexistir con el servicio de firewall del servidor, el servicio se apaga automáticamente. [sic] [Apartado a.]

16 14 TI El Departamento de Educación actualmente se encuentra desarrollando un procedimiento por escrito para el manejo de incidentes de seguridad, con el fin de implementar el mismo para el año fiscal [sic] [Apartado b.] Véase la Recomendación 2.c.1) y 2). Hallazgo 4 - Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal para las cuentas con acceso a la red del DE Situaciones a. La OSIATD contaba con un servidor principal mediante el cual se controlaba el acceso a los recursos de la red del DE. El examen efectuado el 28 de junio de 2013 sobre los parámetros de seguridad configurados en el sistema operativo de este servidor para el control de las cuentas de acceso a la red, reveló las siguientes deficiencias: 1) El parámetro Account lockout threshold de la opción Account lockout policy no se había definido en, al menos, tres intentos de acceso sin éxito para que el sistema deshabilite automáticamente las cuentas de acceso. En su lugar, se configuró para bloquear las cuentas, luego de 10 intentos sin éxito. 2) No se había definido la política de seguridad para desactivar automáticamente del sistema al usuario una vez venciera el término de acceso a los recursos de la red, previamente establecido (Force logoff when logon hours expire). Criterios La situación comentada en el apartado a.1) es contraria a lo establecido en el Procedimiento para Creación de Cuentas de Usuario en el DE incluido en las Políticas de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que las contraseñas registradas luego de tres intentos fallidos quedarán desactivadas automáticamente. Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece, entre otras cosas, que las entidades gubernamentales deberán implantar

17 TI controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se establece, en parte, mediante la configuración adecuada de las opciones que restringen y controlan el acceso que proveen los distintos sistemas operativos, y la limitación del tiempo de acceso para todas las cuentas de acceso de acuerdo con las funciones de cada usuario. Efectos Las situaciones comentadas pueden propiciar que personas no autorizadas accedan a información confidencial mantenida en los sistemas computadorizados y puedan hacer uso indebido de esta. Además, pueden propiciar la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causa Las situaciones comentadas se debían a que la Directora de la OSIATD no veló por que el Especialista en Tecnología Cibernética pusiera en vigor todas las opciones de seguridad de acceso lógico que provee el sistema operativo del servidor principal. Véase la Recomendación 2.c.3) y 4). Hallazgo 5 - Falta de documentación relacionada con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador de los sistemas operativos, y del otorgamiento de privilegios de conexión remota a los sistemas de información Situaciones a. Al 25 de noviembre de 2013, la Directora de la OSIATD no suministró para examen los documentos justificantes para otorgar privilegio de administrador a 142 cuentas de usuarios y a 64 cuentas genéricas que tenían acceso a los sistemas operativos instalados en los 215 servidores del DE.

18 16 TI Las cuentas con privilegios de administrador permiten, entre otras cosas, realizar cambios a la configuración del sistema, instalar programas y equipos, acceder a todos los archivos de la computadora, y realizar cambios a las cuentas de otros usuarios. b. Al 4 de diciembre de 2013, la Directora de la OSIATD tampoco proveyó documentación justificante para otorgar privilegios para la conexión remota de 153 cuentas a través de una red privada virtual (VPN 6, en inglés) y de 39 cuentas a través de un servicio de acceso remoto (RAS 7, en inglés). Las cuentas con el privilegio de conexión remota les permiten acceder y utilizar la información computadorizada de una entidad desde un lugar distinto de donde está guardada la misma. Criterios Las situaciones comentadas se apartan de lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Además, se establece que: La información y los programas de aplicación utilizados en las operaciones de la entidad gubernamental deberán tener controles de acceso para su utilización, de tal manera que solamente el personal autorizado pueda ver los datos necesarios, o usar las aplicaciones (o la parte de las aplicaciones) que necesita. Estos controles deberán incluir mecanismos de autenticación y autorización. [Apartado a.] 6 Esta es una tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza a base de una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos. 7 Este se refiere a cualquier combinación de hardware y software que permite el acceso remoto a las herramientas o información que normalmente residen en una red de dispositivos de TI.

19 TI Si existe la necesidad de acceder a la red interna desde afuera de las instalaciones de la entidad gubernamental (por ejemplo, para que un empleado realice un trabajo en un programa de aplicación desde Internet), deberán existir los controles de autenticación, confidencialidad, integridad y monitoreo necesarios para proteger los sistemas y la información. [Apartado b.] Esta norma se instrumenta, en parte, mediante el establecimiento de normas y procedimientos específicos para la asignación del privilegio de de administrador de los sistemas operativos y acceso remoto a los usuarios, donde se incluya, entre otras cosas, la justificación y la autorización para el otorgamiento de dichos privilegios. La situación comentada en el apartado b. es contraria a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que todos los usuarios con acceso remoto a la red deben ser autorizados por su Director de área y por el Principal Oficial de Informática o por el Director del Centro de Cómputos. Además, el Administrador de Seguridad evalúa las peticiones y determina su viabilidad. Efectos Las situaciones comentadas impiden mantener la evidencia requerida para determinar si las cuentas de acceso con los privilegios de administrador de los sistemas y las cuentas de acceso remoto están debidamente autorizadas, y si estas son asignadas conforme a las funciones y a los deberes de los usuarios que utilizan las mismas. También pueden propiciar que personas no autorizadas puedan lograr acceso a información confidencial y hacer uso indebido de esta; y la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causa Las situaciones comentadas se debían a que la Directora de la OSIATD no había incluido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico, directrices que permitieran documentar la

20 18 TI creación, la modificación y la cancelación de las cuentas con privilegios de administrador de los sistemas operativos y de conexión remota a los sistemas computadorizados del DE. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Según establecido en el Procedimiento de Seguridad, el Formulario para Autorización de Cuenta de Usuario se utiliza para justificar solicitudes de acceso remoto a la red (VPN) y el otorgamiento de privilegios de administrador. Dicho formulario debe ser aprobado por el Director de área o supervisor inmediato, y por el Principal Oficial de Informática o por el Director del Centro de Cómputos. Sin embargo, no se nos suministró evidencia de haber completado dicho formulario para justificar y autorizar los privilegios de administrador de las cuentas indicadas y el acceso remoto a la red. Véase la Recomendación 2.d. Hallazgo 6 - Falta de un registro de programas instalados en cada computadora Situación a. Al 28 de junio de 2013, el DE contaba con un inventario de 60,331 equipos computadorizados adquiridos por $62,367,124. De estos, 10,739 eran computadoras de escritorios (desktop), 26,015 eran computadoras portátiles (laptops) y 13,029 eran tabletas (tablets) que eran utilizadas por empleados y estudiantes del DE localizados en la Oficina Central, las 7 oficinas regionales, los 28 distritos escolares y las 1,461 escuelas. Además, contaba con 147 servidores físicos, a los cuales se les habían instalado varios sistemas operativos. A las computadoras de escritorio y a las portátiles del DE, se les instalaba una imagen que incluía varias aplicaciones, tales como: el sistema operativo; el antivirus; el lenguaje de programación; la aplicación para visualizar, imprimir y añadir documentos PDF; y múltiples herramientas para uso de oficina.

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 -

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - Auditoría 13826) Período auditado: 1 de abril al 6 de diciembre

Más detalles

INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría

INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría 13964) Período auditado: 17 de septiembre de 2014 al 16

Más detalles

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría 13359) Período auditado: 9 de septiembre de 2009 al 28

Más detalles

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información INFORME DE AUDITORÍA TI-12-08 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información () Período auditado: 23 de diciembre de 2008 al 18 de noviembre de 2009 1

Más detalles

INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información

INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información Computadorizados (Unidad 5181 - Auditoría 13897) Período

Más detalles

INFORME DE AUDITORÍA TI-16-04 20 de noviembre de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia

INFORME DE AUDITORÍA TI-16-04 20 de noviembre de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia INFORME DE AUDITORÍA TI-16-04 20 de noviembre de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (Unidad 5260 - Auditoría 13961) Período auditado: 12

Más detalles

INFORME DE AUDITORÍA DA-13-25 14 de diciembre de 2012 Tribunal General de Justicia Tribunal de Primera Instancia Centro Judicial de Carolina (Unidad

INFORME DE AUDITORÍA DA-13-25 14 de diciembre de 2012 Tribunal General de Justicia Tribunal de Primera Instancia Centro Judicial de Carolina (Unidad INFORME DE AUDITORÍA DA-13-25 14 de diciembre de 2012 Tribunal General de Justicia Tribunal de Primera Instancia Centro Judicial de Carolina (Unidad 2384 - Auditoría 13599) Período auditado: 1 de enero

Más detalles

INFORME DE AUDITORÍA TI-12-07 13 de febrero de 2012 Departamento del Trabajo y Recursos Humanos Administración del Derecho al Trabajo Oficina de

INFORME DE AUDITORÍA TI-12-07 13 de febrero de 2012 Departamento del Trabajo y Recursos Humanos Administración del Derecho al Trabajo Oficina de INFORME DE AUDITORÍA TI-12-07 Departamento del Trabajo y Recursos Humanos Administración del Derecho al Trabajo Oficina de Informática () Período auditado: 13 de abril al 15 de septiembre de 2009 Informe

Más detalles

INFORME DE AUDITORÍA TI-14-13 4 de abril de 2014 Departamento de Hacienda Negociado de la Lotería de Puerto Rico - Lotería Tradicional Sistema de

INFORME DE AUDITORÍA TI-14-13 4 de abril de 2014 Departamento de Hacienda Negociado de la Lotería de Puerto Rico - Lotería Tradicional Sistema de INFORME DE AUDITORÍA TI-14-13 4 de abril de 2014 Departamento de Hacienda Negociado de la Lotería de Puerto Rico - Lotería Tradicional Sistema de Información Computadorizado (Unidad 5251 - Auditoría 13641)

Más detalles

INFORME DE AUDITORÍA TI-10-04 14 de agosto de 2009 DEPARTAMENTO DE CORRECCIÓN Y REHABILITACIÓN OFICINA DE SERVICIOS CON ANTELACIÓN AL JUICIO OFICINA

INFORME DE AUDITORÍA TI-10-04 14 de agosto de 2009 DEPARTAMENTO DE CORRECCIÓN Y REHABILITACIÓN OFICINA DE SERVICIOS CON ANTELACIÓN AL JUICIO OFICINA INFORME DE AUDITORÍA TI-10-04 DEPARTAMENTO DE CORRECCIÓN Y REHABILITACIÓN OFICINA DE SERVICIOS CON ANTELACIÓN AL JUICIO OFICINA DE SISTEMAS DE INFORMACIÓN () Período auditado: 6 de junio de 2007 al 15

Más detalles

INFORME DE AUDITORÍA DA-15-33 17 de abril de 2015 Departamento de Educación Unidad Secretarial del Procedimiento de Querellas y Remedio Provisional

INFORME DE AUDITORÍA DA-15-33 17 de abril de 2015 Departamento de Educación Unidad Secretarial del Procedimiento de Querellas y Remedio Provisional INFORME DE AUDITORÍA DA-15-33 17 de abril de 2015 Departamento de Educación Unidad Secretarial del Procedimiento de Querellas y Remedio Provisional (Unidad 1201 - Auditoría 13937) Período auditado: 1 de

Más detalles

INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría

INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría 13751) Período auditado: 18 de junio de 2012 al 30 de

Más detalles

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro INFORME DE AUDITORÍA TI-10-12 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro de Sistemas de Información () Período auditado: 17 de marzo al 28 de octubre

Más detalles

INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 -

INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 - INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 - Auditoría 13896) Período auditado: 7 de marzo al 19

Más detalles

INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811)

INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811) INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811) Período auditado: 18 de febrero de 2013 al 19 de febrero

Más detalles

INFORME DE AUDITORÍA DA-16-02 17 de agosto de 2015 Tribunal General de Justicia Región Judicial de Ponce (Unidad 2313 - Auditoría 13980)

INFORME DE AUDITORÍA DA-16-02 17 de agosto de 2015 Tribunal General de Justicia Región Judicial de Ponce (Unidad 2313 - Auditoría 13980) INFORME DE AUDITORÍA DA-16-02 17 de agosto de 2015 Tribunal General de Justicia Región Judicial de Ponce (Unidad 2313 - Auditoría 13980) Período auditado: 1 de julio de 2011 al 30 de junio de 2015 DA-16-02

Más detalles

INFORME DE AUDITORÍA DA-14-31 29 de enero de 2014 Administración de la Industria y el Deporte Hípico (Unidad 1401 - Auditoría 13705)

INFORME DE AUDITORÍA DA-14-31 29 de enero de 2014 Administración de la Industria y el Deporte Hípico (Unidad 1401 - Auditoría 13705) INFORME DE AUDITORÍA DA-14-31 29 de enero de 2014 Administración de la Industria y el Deporte Hípico (Unidad 1401 - Auditoría 13705) Período auditado: 1 de enero de 2009 al 31 de diciembre de 2012 DA-14-31

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

INFORME DE AUDITORÍA TI-14-07 25 de enero de 2014 Departamento de Estado Sistemas de Información Computadorizados (Unidad 5265 - Auditoría 13657)

INFORME DE AUDITORÍA TI-14-07 25 de enero de 2014 Departamento de Estado Sistemas de Información Computadorizados (Unidad 5265 - Auditoría 13657) INFORME DE AUDITORÍA TI-14-07 25 de enero de 2014 Departamento de Estado Sistemas de Información Computadorizados (Unidad 5265 - Auditoría 13657) Período auditado: 1 de septiembre de 2011 al 9 de marzo

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

INFORME DE AUDITORÍA TI-05-04 12 de noviembre de 2004 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información (Unidad

INFORME DE AUDITORÍA TI-05-04 12 de noviembre de 2004 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información (Unidad INFORME DE AUDITORÍA TI-05-04 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información () Período auditado: 8 de octubre de 2002 al 15 de mayo de 2003 Informe de Auditoría

Más detalles

INFORME DE AUDITORÍA TI-14-19 16 de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información

INFORME DE AUDITORÍA TI-14-19 16 de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información INFORME DE AUDITORÍA TI-14-19 16 de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información Gubernamental (Unidad 5385 - Auditoría 13752) Período auditado:

Más detalles

INFORME DE AUDITORÍA CP-14-04 11 de octubre de 2013 Universidad de Puerto Rico en Cayey (Unidad 3057 - Auditoría 13774)

INFORME DE AUDITORÍA CP-14-04 11 de octubre de 2013 Universidad de Puerto Rico en Cayey (Unidad 3057 - Auditoría 13774) INFORME DE AUDITORÍA CP-14-04 11 de octubre de 2013 Universidad de Puerto Rico en Cayey (Unidad 3057 - Auditoría 13774) Período auditado: 1 de enero de 2009 al 31 de diciembre de 2012 CP-14-04 1 CONTENIDO

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Informe de Auditoría DA-00-27. 8 de mayo de 2000. DEPARTAMENTO DE HACIENDA AREA DE SEGUROS PÚBLICOS (Unidad 1042)

Informe de Auditoría DA-00-27. 8 de mayo de 2000. DEPARTAMENTO DE HACIENDA AREA DE SEGUROS PÚBLICOS (Unidad 1042) Informe de Auditoría DA-00-27 8 de mayo de 2000 DEPARTAMENTO DE HACIENDA AREA DE SEGUROS PÚBLICOS (Unidad 1042) Período auditado : 1 de julio de 1993 al 31 de diciembre de 1999 CONTENIDO Información sobre

Más detalles

Universidad de Puerto Rico Recinto de Ciencias Médicas

Universidad de Puerto Rico Recinto de Ciencias Médicas Universidad de Puerto Rico Recinto de Ciencias Médicas Política de Seguridad de Tecnologías de Información del RCM 1 Base Legal 1.1 Ley Federal Family Education Rights and Privacy Act (FERPA) de 1974 1.2

Más detalles

Informe de Auditoría DA-00-13. 30 de diciembre de 1999. DEPARTAMENTO DE HACIENDA NEGOCIADO DE RECAUDACIONES (Unidad 1041)

Informe de Auditoría DA-00-13. 30 de diciembre de 1999. DEPARTAMENTO DE HACIENDA NEGOCIADO DE RECAUDACIONES (Unidad 1041) Informe de Auditoría DA-00-13 30 de diciembre de 1999 DEPARTAMENTO DE HACIENDA NEGOCIADO DE RECAUDACIONES (Unidad 1041) Período auditado : 1 de diciembre de 1992 al 31 de diciembre de 1998 CONTENIDO Página

Más detalles

INFORME DE AUDITORÍA TI-07-08 24 de mayo de 2007 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE

INFORME DE AUDITORÍA TI-07-08 24 de mayo de 2007 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE INFORME DE AUDITORÍA TI-07-08 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS () Período auditado: 16 de febrero al 17 de

Más detalles

INFORME DE AUDITORÍA TI-14-09 9 de febrero de 2014 Universidad de Puerto Rico Administración Central (Unidad 5485 - Auditoría 13600)

INFORME DE AUDITORÍA TI-14-09 9 de febrero de 2014 Universidad de Puerto Rico Administración Central (Unidad 5485 - Auditoría 13600) INFORME DE AUDITORÍA TI-14-09 9 de febrero de 2014 Universidad de Puerto Rico Administración Central (Unidad 5485 - Auditoría 13600) Período auditado: 1 de julio de 2000 al 3 de febrero de 2012 TI-14-09

Más detalles

INFORME DE AUDITORÍA CP-14-15 3 de mayo de 2014 Autoridad del Distrito del Centro de Convenciones de Puerto Rico (Unidad 3159 - Auditoría 13475)

INFORME DE AUDITORÍA CP-14-15 3 de mayo de 2014 Autoridad del Distrito del Centro de Convenciones de Puerto Rico (Unidad 3159 - Auditoría 13475) INFORME DE AUDITORÍA CP-14-15 3 de mayo de 2014 Autoridad del Distrito del Centro de Convenciones de Puerto Rico (Unidad 3159 - Auditoría 13475) Período auditado: 4 de octubre de 2001 al 31 de diciembre

Más detalles

Informe de Auditoría DB-98-1. 1 de diciembre de 1997

Informe de Auditoría DB-98-1. 1 de diciembre de 1997 Informe de Auditoría DB-98-1 1 de diciembre de 1997 TRIBUNAL GENERAL DE JUSTICIA DE PUERTO RICO TRIBUNAL DE PRIMERA INSTANCIA SUBSECCION DE DISTRITO - SALA DE GUAYNABO (Unidad 2346) Periodo auditado :

Más detalles

Estado Libre Asociado de Puerto Rico Oficina d e l Contralor

Estado Libre Asociado de Puerto Rico Oficina d e l Contralor Estado Libre Asociado de Puerto Rico Oficina d e l Contralor Ycsmín M. Va ldivieso Conmilora Carta Circular OC-15-25 Afio Fiscal 2014-2015 18 de junio de 20 15 Gobernador, presidentes del Senado de Puerto

Más detalles

INFORME DE AUDITORÍA TI-05-05 17 de noviembre de 2004 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información

INFORME DE AUDITORÍA TI-05-05 17 de noviembre de 2004 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información INFORME DE AUDITORÍA TI-05-05 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información () Período auditado: 21 de octubre de 2003 al 15 de julio de 2004 Informe de Auditoría

Más detalles

UNIVERSIDAD METROPOLITANA ESCUELA DE EDUCACIÓN

UNIVERSIDAD METROPOLITANA ESCUELA DE EDUCACIÓN UNIVERSIDAD METROPOLITANA ESCUELA DE EDUCACIÓN Estructura Central El Departamento de Educación (DE) está encabezado por un Secretario (nombrado por el gobernador de Puerto Rico, y que es miembro del gabinete

Más detalles

INFORME DE AUDITORÍA DE-11-24 6 de junio de 2011 Departamento de Educación Escuela de la Comunidad Segunda Unidad Juan Ponce de León de Guaynabo

INFORME DE AUDITORÍA DE-11-24 6 de junio de 2011 Departamento de Educación Escuela de la Comunidad Segunda Unidad Juan Ponce de León de Guaynabo INFORME DE AUDITORÍA DE-11-24 Departamento de Educación Escuela de la Comunidad Segunda Unidad Juan Ponce de León de Guaynabo () Período auditado: 1 de julio de 2004 al 30 de junio de 2007 Informe de

Más detalles

ESTADO LIBRE ASOCIADO DE PUERTO RICO MUNICIPIO DE LA CIUDAD CAPITAL SAN JUAN BAUTISTA ORDEN EJECUTIVA NUM. JS - 038 SERIE 2002-2003

ESTADO LIBRE ASOCIADO DE PUERTO RICO MUNICIPIO DE LA CIUDAD CAPITAL SAN JUAN BAUTISTA ORDEN EJECUTIVA NUM. JS - 038 SERIE 2002-2003 ESTADO LIBRE ASOCIADO DE PUERTO RICO MUNICIPIO DE LA CIUDAD CAPITAL SAN JUAN BAUTISTA ORDEN EJECUTIVA NUM. JS - 038 SERIE 2002-2003 PARA ADOPTAR EL REGLAMENTO PARA EL USO Y CONTROL DE BEEPERS Y TELEFONOS

Más detalles

INFORME DE AUDITORÍA TI-14-10 14 de febrero de 2014 Autoridad Metropolitana de Autobuses Oficina de Sistemas de Información (Unidad 5140 - Auditoría

INFORME DE AUDITORÍA TI-14-10 14 de febrero de 2014 Autoridad Metropolitana de Autobuses Oficina de Sistemas de Información (Unidad 5140 - Auditoría INFORME DE AUDITORÍA TI-14-10 14 de febrero de 2014 Autoridad Metropolitana de Autobuses Oficina de Sistemas de Información (Unidad 5140 - Auditoría 13753) Período auditado: 18 de junio de 2012 al 15 de

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

INFORME DE AUDITORÍA DA-15-42 29 de mayo de 2015 Departamento de Salud Hospital Pediátrico Universitario Dr. Antonio Ortiz (Unidad 2243 - Auditoría

INFORME DE AUDITORÍA DA-15-42 29 de mayo de 2015 Departamento de Salud Hospital Pediátrico Universitario Dr. Antonio Ortiz (Unidad 2243 - Auditoría INFORME DE AUDITORÍA DA-15-42 29 de mayo de 2015 Departamento de Salud Hospital Pediátrico Universitario Dr. Antonio Ortiz (Unidad 2243 - Auditoría 13925) Período auditado: 1 de enero de 2011 al 30 de

Más detalles

INFORME DE AUDITORÍA M-15-09 14 de octubre de 2014 Municipio de Aguadilla Programa Head Start (Unidad 4003 - Auditoría 13787)

INFORME DE AUDITORÍA M-15-09 14 de octubre de 2014 Municipio de Aguadilla Programa Head Start (Unidad 4003 - Auditoría 13787) INFORME DE AUDITORÍA M-15-09 14 de octubre de 2014 Municipio de Aguadilla Programa Head Start (Unidad 4003 - Auditoría 13787) Período auditado: 1 de julio de 2009 al 31 de diciembre de 2012 M-15-09 1

Más detalles

INFORME DE AUDITORÍA M-15-29 11 de mayo de 2015 Municipio de Hatillo (Unidad 4034 - Auditoría 13772)

INFORME DE AUDITORÍA M-15-29 11 de mayo de 2015 Municipio de Hatillo (Unidad 4034 - Auditoría 13772) INFORME DE AUDITORÍA M-15-29 11 de mayo de 2015 Municipio de Hatillo (Unidad 4034 - Auditoría 13772) Período auditado: 1 de enero de 2011 al 30 de junio de 2013 M-15-29 1 CONTENIDO Página ALCANCE Y METODOLOGÍA...

Más detalles

Reembolsos a Funcionarios y Empleados Públicos por Gastos Incurridos y Pagados con Fondos Particulares para Fines Públicos

Reembolsos a Funcionarios y Empleados Públicos por Gastos Incurridos y Pagados con Fondos Particulares para Fines Públicos 26-00-01 Estado Libre Asociado de Puerto Rico DEPARTAMENTO DE HACIENDA Área de la Contabilidad Central de Gobierno Reglamento Núm. 26 Reembolsos a Funcionarios y Empleados Públicos por Gastos Incurridos

Más detalles

INFORME DE AUDITORÍA TI-15-05 20 de enero de 2015 Departamento de la Familia Administración para el Sustento de Menores Oficina de Sistemas y

INFORME DE AUDITORÍA TI-15-05 20 de enero de 2015 Departamento de la Familia Administración para el Sustento de Menores Oficina de Sistemas y INFORME DE AUDITORÍA TI-15-05 20 de enero de 2015 Departamento de la Familia Administración para el Sustento de Menores Oficina de Sistemas y Tecnología (Unidad 5075 - Auditoría 13865) Período auditado:

Más detalles

Estado Libre Asociado de Puerto Rico Oficina del Contralor

Estado Libre Asociado de Puerto Rico Oficina del Contralor Estado Libre Asociado de Puerto Rico Oficina del Contralor Manuel Díaz Saldaña Contra/or Carta Circular OC-lO-OS Año Fiscal 2009-10 Gobernador, presidentes del Senado de Puerto Rico y de la Cámara de Representantes,

Más detalles

INFORME DE AUDITORIA DB-02-35 17 de mayo de 2002. Departamento de Transportación y Obras Públicas. Oficina Regional de Humacao (Unidad 2290)

INFORME DE AUDITORIA DB-02-35 17 de mayo de 2002. Departamento de Transportación y Obras Públicas. Oficina Regional de Humacao (Unidad 2290) INFORME DE AUDITORIA DB-02-35 Departamento de Transportación y Obras Públicas Oficina Regional de Humacao () Período auditado: 1 de julio de 1998 al 30 de junio de 2001 1 CONTENIDO Página INFORMACIÓN

Más detalles

Informe de Auditoría M-00-39. I3 de junio de 2000. MUNICIPIO DE GURABO (Unidad 4033)

Informe de Auditoría M-00-39. I3 de junio de 2000. MUNICIPIO DE GURABO (Unidad 4033) Informe de Auditoría M-00-39 I3 de junio de 2000 MUNICIPIO DE GURABO (Unidad 4033) Período auditado : I de julio de I996 al 3I de diciembre de I998 CONTENIDO Página Información sobre la unidad auditada

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

INFORME DE AUDITORÍA DA-10-20 9 de febrero de 2010 Oficina para Asuntos de Seguridad Pública (Unidad 1526 - Auditoría 13188)

INFORME DE AUDITORÍA DA-10-20 9 de febrero de 2010 Oficina para Asuntos de Seguridad Pública (Unidad 1526 - Auditoría 13188) INFORME DE AUDITORÍA DA-10-20 Oficina para Asuntos de Seguridad Pública () Período auditado: 3 de mayo de 2005 al 31 de diciembre de 2008 Informe de Auditoría DA-10-20 1 CONTENIDO Página INFORMACIÓN SOBRE

Más detalles

Informe de Auditoria DA-00-22. 16 de marzo de 2000. DEPARTAMENTO DE HACIENDA NEGOCIADO DE BEBIDAS ALCOHOLICAS Y LICENCIAS (Unidad 1034)

Informe de Auditoria DA-00-22. 16 de marzo de 2000. DEPARTAMENTO DE HACIENDA NEGOCIADO DE BEBIDAS ALCOHOLICAS Y LICENCIAS (Unidad 1034) Informe de Auditoria DA-00-22 16 de marzo de 2000 DEPARTAMENTO DE HACIENDA NEGOCIADO DE BEBIDAS ALCOHOLICAS Y LICENCIAS (Unidad 1034) Período auditado : 1 de julio de 1989 al 30 de junio de 1999 CONTENIDO

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

INFORME DE AUDITORÍA TI-06-06 8 de mayo de 2006 Departamento del Trabajo y Recursos Humanos Administración de Rehabilitación Vocacional (Unidad 5305

INFORME DE AUDITORÍA TI-06-06 8 de mayo de 2006 Departamento del Trabajo y Recursos Humanos Administración de Rehabilitación Vocacional (Unidad 5305 INFORME DE AUDITORÍA TI-06-06 Departamento del Trabajo y Recursos Humanos Administración de Rehabilitación Vocacional () Período auditado: 28 de julio de 1995 al 31 de agosto de 2005 Informe de Auditoría

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

INFORME DE AUDITORÍA CP-06-31 5 de junio de 2006 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO (Unidad 3075- Auditoría 12483)

INFORME DE AUDITORÍA CP-06-31 5 de junio de 2006 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO (Unidad 3075- Auditoría 12483) INFORME DE AUDITORÍA CP-06-31 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO (Unidad 3075- Auditoría 12483) Período auditado: 1 de enero de 1998 al 31 de diciembre 2004 Informe de Auditoría CP-06-31 1

Más detalles

Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia. Ing. Maribel Picó Piereschi Principal Oficial de Informática

Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia. Ing. Maribel Picó Piereschi Principal Oficial de Informática Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia Ing. Maribel Picó Piereschi Principal Oficial de Informática OSIATD Apoyo Operación ENLACE DESARROLLO FUNCIONES PRINCIPALES Funciones

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

UNIVERSIDAD DE PUERTO RICO JUNTA DE SÍDICOS

UNIVERSIDAD DE PUERTO RICO JUNTA DE SÍDICOS UNIVERSIDAD DE PUERTO RICO JUNTA DE SÍDICOS DEPARTAMENTO DE ESTADO Núm. Reglamento 7471 Fecha Rad: 5 de marzo de 2008 Aprobado: Hon. Fernando J. Bonilla Política Institncional sobre el Uso Aceptable de

Más detalles

INFORME DE AUDITORÍA DA-04-26 7 de mayo de 2004 Departamento de Recreación y Deportes (Unidad 1405)

INFORME DE AUDITORÍA DA-04-26 7 de mayo de 2004 Departamento de Recreación y Deportes (Unidad 1405) INFORME DE AUDITORÍA DA-04-26 Departamento de Recreación y Deportes () Período auditado : 1 de enero de 1995 al 30 de junio de 2002 Informe de Auditoria DA-04-26 1 CONTENIDO Página INFORMACION SOBRE LA

Más detalles

INFORME DE AUDITORÍA TI-02-15 28 de mayo de 2002 Administración para el Sustento de Menores Oficina de Sistemas y Tecnología (Unidad 5075)

INFORME DE AUDITORÍA TI-02-15 28 de mayo de 2002 Administración para el Sustento de Menores Oficina de Sistemas y Tecnología (Unidad 5075) INFORME DE AUDITORÍA TI-02-15 Administración para el Sustento de Menores Oficina de Sistemas y Tecnología () Período auditado: 23 de marzo de 2000 al 31 de enero de 2001 Informe de Auditoría TI-02-15

Más detalles

DESARROLLO Y MANTENIMIENTO DE SITIOS WEB AGENCIALES ( WEB SITES )

DESARROLLO Y MANTENIMIENTO DE SITIOS WEB AGENCIALES ( WEB SITES ) POLÍTICA NÚM. TIG 002 DESARROLLO Y MANTENIMIENTO DE SITIOS WEB AGENCIALES ( WEB SITES ) FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 3 de abril de 2013 DESCRIPCIÓN DE LA POLÍTICA Cada

Más detalles

INFORME DE AUDITORÍA CP-08-12 4 de febrero de 2008 ADMINISTRACIÓN DE TERRENOS DE PUERTO RICO (Unidad 3045 - Auditoría 12866)

INFORME DE AUDITORÍA CP-08-12 4 de febrero de 2008 ADMINISTRACIÓN DE TERRENOS DE PUERTO RICO (Unidad 3045 - Auditoría 12866) INFORME DE AUDITORÍA CP-08-12 ADMINISTRACIÓN DE TERRENOS DE PUERTO RICO () Período auditado: 1 de julio de 2004 al 30 de junio de 2006 1 CONTENIDO Página INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 RESPONSABILIDAD

Más detalles

Manual. Seguridad Banner Finanzas SISTEMA UNIVERSITARIO ANA G. MÉNDEZ VICEPRESIDENCIA DE ASUNTOS FINANCIEROS

Manual. Seguridad Banner Finanzas SISTEMA UNIVERSITARIO ANA G. MÉNDEZ VICEPRESIDENCIA DE ASUNTOS FINANCIEROS SISTEMA UNIVERSITARIO ANA G. MÉNDEZ VICEPRESIDENCIA DE ASUNTOS FINANCIEROS Manual Seguridad Banner Finanzas COPYRIGHT 2012 SISTEMA UNIVERSITARIO ANA G. MÉNDEZ REVISADO MARZO 2013 Tabla de Contenido Página

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MUNICIPIO DE GAMA 1 CONTENIDO 1. INTRODUCCION 2. OBJETIVOS 3. AMBITO DE APLICACIÓN 4. NORMAS DE USO DE LOS EQUIPOS DE CÓMPUTO 5.

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

INFORME DE AUDITORÍA M-12-16 23 de septiembre de 2011 Municipio de Naranjito (Unidad 4054 - Auditoría 13268)

INFORME DE AUDITORÍA M-12-16 23 de septiembre de 2011 Municipio de Naranjito (Unidad 4054 - Auditoría 13268) INFORME DE AUDITORÍA M-12-16 Municipio de Naranjito (Unidad 4054 - Auditoría 13268) Período auditado: 1 de enero de 2006 al 31 de diciembre de 2009 Informe de Auditoría M-12-16 1 CONTENIDO Página INFORMACIÓN

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

Fondo de Innovación para el Desarrollo Ag rícola de Puerto Rico

Fondo de Innovación para el Desarrollo Ag rícola de Puerto Rico Estado Libre Asociado de Puerto Rico Fondo de Innovación para el Desarrollo Agrícola de Puerto Rico Corporación Pública Subsidiaria de la Autoridad de Tierras de Puerto Rico Informe de Expresiones y Acciones

Más detalles

T: (506) 2501-8000 F: (506) 2501-8100 C: contraloria.general@cgr.go.cr S: http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica

T: (506) 2501-8000 F: (506) 2501-8100 C: contraloria.general@cgr.go.cr S: http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica INFORME NRO. DFOE-EC-IF-14-2013 20 DE DICIEMBRE DE 2013 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA LIQUIDACIÓN

Más detalles

Ocupacional de Puerto Rico (PR OSHA) División de Programas Voluntarios

Ocupacional de Puerto Rico (PR OSHA) División de Programas Voluntarios Administración de Seguridad y Salud Ocupacional de Puerto Rico (PR OSHA) División de Programas Voluntarios Edificio Prudencio Rivera Martínez Ave. Muñoz Rivera #505, Piso 20 Hato Rey, Puerto Rico 00919-5540

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

Utilización del Acceso Remoto VPN. Ministerio del Interior N06 Utilización del Acceso Remoto VPN Ministerio del Interior N06 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso del sistema

Más detalles

IT/Servicio de Apoyo Técnico

IT/Servicio de Apoyo Técnico Calle Isabel #44, Ponce, Puerto Rico 00730 Teléfono: 787-848-3073 Fax: 787-812-0301 www.coaliciondecoaliciones.org coaliciondecoaliciones@gmail.com Solicitud de Propuestas IT/Servicio de Apoyo Técnico

Más detalles

Oficina de Propiedad

Oficina de Propiedad Oficina de Propiedad Procedimiento para la Designación y Responsabilidades del Personal a Cargo del Control de la Propiedad Mueble Reglamentación a. Reglamento para el Control de la Propiedad Mueble de

Más detalles

=. Cintrón Rivera, M. Miembro y Secretario

=. Cintrón Rivera, M. Miembro y Secretario DEPARTAMENTO DE ESTADO CERTlFlCAClON NUMERO 1 O1 Yo, Angel A. Cintrón Rivera, Miembro y Secretario de la Junta de Síndicos de la Universidad de Puerto Rico, CERTIFICO:... Que la Junta de Síndicos, en su

Más detalles

CAPITULO I GENERALIDADES

CAPITULO I GENERALIDADES CAPITULO I GENERALIDADES 1. Base Legal El artículo 211 de la Constitución Política de la República del Ecuador, determina que la Contraloría es el organismo técnico superior de control, con autonomía administrativa,

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Anexo 1 (Modificado por la Circular Externa 007 de 2011)

SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Anexo 1 (Modificado por la Circular Externa 007 de 2011) Anexo 1 (Modificado por la Circular Externa 007 de 2011) ENCUESTA CÓDIGO PAÍS. CÓDIGO DE MEJORES PRÁCTICAS CORPORATIVAS - COLOMBIA Nombre del emisor: Banco Pichincha S.A. NIT del Emisor: 890.200.756-7

Más detalles

DERECHOS DE LOS PADRES

DERECHOS DE LOS PADRES DERECHOS DE LOS PADRES En este documento usted encontrará una explicación de los derechos de los niños y jóvenes con impedimentos y sus padres bajo la ley Individuals with Disabilities Education Act (IDEA),

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Procedimiento para Apoyo Técnico y revisión periódica de los equipos de computadoras

Procedimiento para Apoyo Técnico y revisión periódica de los equipos de computadoras Universidad Metropolitana Tel. 787-766-1717 Vicerrectoría de Recursos de Información Ext. 6482, 6431 Oficina de Informática y Telecomunicaciones Fax. 787-751-3573 PO Box 21150 San Juan, PR 00928-1150 www.suagm.edu/umet

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Patricia Eugenia Gómez Escobar Rafael López Hoyos Rafael López Hoyos Cargo: Cargo:

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL

inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL POLíTICAS PARA EL USO DE EQUIPO DE CÓMPUTO Y COMUNICACIONES DEL

Más detalles