INFORME DE AUDITORÍA TI de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia
|
|
- Lucas Herrero Calderón
- hace 8 años
- Vistas:
Transcripción
1 INFORME DE AUDITORÍA TI de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (Unidad Auditoría 13850) Período auditado: 12 de junio de 2013 al 30 de octubre de 2014
2
3 TI CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 5 OPINIÓN Y HALLAZGOS Falta de un informe de análisis de riesgos de los sistemas de información computadorizados Falta de un plan de continuidad de negocios y de un centro alterno para la recuperación de las operaciones computadorizadas Deficiencias relacionadas con la configuración del firewall y falta de normas para detectar, reportar y responder a incidentes de seguridad relacionados con los sistemas de información computadorizados del DE Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal para las cuentas con acceso a la red del DE Falta de documentación relacionada con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador de los sistemas operativos, y del otorgamiento de privilegios de conexión remota a los sistemas de información Falta de un registro de programas instalados en cada computadora RECOMENDACIONES AGRADECIMIENTO ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 23
4 2 TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 12 de mayo de 2015 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (OSIATD) del Departamento de Educación (DE), para determinar si se efectuaron de acuerdo con las normas generalmente aceptadas en este campo, y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 12 de junio de 2013 al 30 de octubre de El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este es el primer informe y contiene seis hallazgos sobre el resultado del examen que realizamos de los controles internos establecidos para la administración del programa de seguridad, el acceso lógico, la configuración de los sistemas de información, la continuidad del servicio, y el uso y la seguridad de las computadoras. El mismo está disponible en nuestra página en Internet:
5 TI INFORMACIÓN SOBRE LA UNIDAD AUDITADA El DE es uno de los departamentos ejecutivos establecidos por el Artículo IV, Sección 6 de la Constitución. Este se rige por la Ley , Ley Orgánica del Departamento de Educación de Puerto Rico, según enmendada. El DE se rige, además, por otros estatutos legales, entre estos: la Resolución Conjunta 3 del 28 de agosto de 1990, que adscribe la Oficina para el Mejoramiento de las Escuelas Públicas (OMEP) al DE; la Ley , que creó la Secretaría Auxiliar de Servicios Educativos Integrales para Personas con Impedimentos (SASEIPI), ahora Secretaría Asociada de Educación Especial (SAEE); la Ley , Ley de Carrera Magisterial; y la Ley , Ley de Nombramientos Magisteriales de Emergencia, para autorizar al Secretario de Educación (Secretario) a reclutar maestros retirados. Por otro lado, el DE está sujeto a la legislación y a la reglamentación sobre educación que promulgue el Gobierno Federal de los Estados Unidos de América, y del Estado Libre Asociado de Puerto Rico, y a la reglamentación vigente que haya emitido el Secretario. El propósito primordial del DE es alcanzar el nivel más alto posible de excelencia educativa. Es la entidad gubernamental responsable de impartir la educación pública, sin ninguna inclinación sectaria, y gratuita en los niveles primario y secundario en Puerto Rico. Además, es responsable de brindar igualdad de oportunidades educativas de alta calidad; atender debidamente el nivel de educación preescolar; convertir la escuela en el objetivo principal hacia el cual apunten todos los recursos que el Estado asigne a la educación; y estimular la mayor participación de todos los componentes del sistema educativo en las decisiones que afectan la escuela. Las operaciones del DE son administradas por el Secretario, nombrado por el Gobernador, con el consejo y el consentimiento del Senado de Puerto Rico. Este es responsable, entre otras cosas, de implantar la política pública que la Asamblea Legislativa de Puerto Rico y el Gobernador
6 4 TI adopten, con el fin de realizar los propósitos que la Constitución y la Ley pautan para el Sistema de Educación Pública, y de organizar, planificar, dirigir, supervisar y evaluar las actividades académicas y administrativas del DE. El DE cuenta con 1 Subsecretario para Asuntos Académicos y 1 Subsecretario de Administración para manejar los asuntos relacionados con la docencia y con la administración. La estructura organizacional la integran, además, la Secretaría Asociada de Educación Especial, 7 secretarías auxiliares 1, 7 oficinas administrativas 2, la Junta de Apelaciones, el Centro de Investigaciones Educativas e Innovaciones Educativas y Etnográfica, el Instituto Nacional para el Desarrollo Curricular, el Instituto de Capacitación Administrativa y Asesoramiento a Escuelas, la División Legal, el Instituto para el Desarrollo Profesional del Maestro, la Autoridad Escolar de Alimentos, y la Agencia Estatal y Servicios de Alimentos y Nutrición. Además, al 5 de agosto de 2014, el DE contaba con 7 regiones educativas 3, 28 distritos escolares y 1,461 escuelas. La OSIATD la dirige una Ayudante Especial del Secretario. Esta Oficina tiene la obligación de liderar el desarrollo y la utilización de los sistemas de información. Además, debe velar por la adquisición del equipo tecnológico apropiado para las gestiones cotidianas del DE, los servicios relacionados con estas herramientas, y el uso seguro y eficiente de la tecnología informática del DE. También tiene a su cargo la administración, el mantenimiento y el servicio de los sistemas de información computadorizados utilizados en el DE. Los fondos para financiar las actividades operacionales del DE provenían principalmente del presupuesto general, de fondos especiales y de fondos federales. Para el año fiscal , el presupuesto asignado al DE 1 Educación Vocacional y Técnica, Finanzas, Planificación y Desarrollo Educativo, Recursos Humanos, Servicios Académicos y Servicios Educativos a la Comunidad, Servicios Auxiliares, y Servicios de Ayuda al Estudiante. 2 Las del Secretario, la OSIATD, Asuntos Federales, Auditoría Interna, Comunicaciones, Presupuesto y la Oficina para el Mejoramiento de Escuelas Públicas. 3 Estas están localizadas en Arecibo, Bayamón, Caguas, Humacao, Mayagüez, Ponce y San Juan.
7 TI ascendía a $3,609,229,000. De acuerdo con la información suministrada por la Directora de Contabilidad de la Secretaría Auxiliar de Finanzas, para los años fiscales del al , el DE efectuó desembolsos 4 relacionados con los sistemas de información computadorizados por $49,523,355, $48,972,352 y $68,941,645, respectivamente. El ANEJO contiene una relación de los funcionarios principales del DE que actuaron durante el período auditado. El DE cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca del DE y de los servicios que presta. COMUNICACIÓN CON LA GERENCIA El borrador de los hallazgos de este Informe se remitió, para comentarios, al Hon. Rafael Román Meléndez, Secretario de Educación, por carta del 17 de marzo de En este se indicaron los nombres de sistemas o programas que por seguridad no se incluyen en este Informe. El 24 de marzo de 2015 el Secretario solicitó una prórroga para remitir sus comentarios al borrador de los hallazgos de este Informe. Ese mismo día le concedimos la prórroga hasta el 10 de abril de El Secretario contestó el borrador de los hallazgos de este Informe mediante carta del 10 de abril de Sus comentarios fueron considerados en la redacción final de este Informe. En los hallazgos se incluyeron algunos de sus comentarios. OPINIÓN Y HALLAZGOS Opinión favorable con excepciones Las pruebas efectuadas y la evidencia en nuestro poder revelaron que las operaciones de la OSIATD en lo que concierne a los controles internos establecidos para la administración de la seguridad, el acceso lógico, la configuración de los sistemas de información, la segregación de deberes, la continuidad del servicio, y el uso y la seguridad de las computadoras, se 4 En la certificación suministrada para examen se indica que la información correspondiente al año fiscal es preliminar porque aún no se ha emitido el Single Audit.
8 6 TI realizaron sustancialmente conforme con las normas generalmente aceptadas en este campo, excepto por los hallazgos del 1 al 6 que se comentan a continuación. Hallazgo 1 - Falta de un informe de análisis de riesgos de los sistemas de información computadorizados Situación a. El DE mantenía sus operaciones en forma computadorizada mediante el uso de los siguientes sistemas de información: Sistema de Información Estudiantil (SIE) - En este sistema se documentaba la información demográfica de 392,635 estudiantes existentes al 28 de agosto de Esto, además de mantener información relacionada con el proceso de matrícula, el progreso académico y los incidentes de disciplina asociados a estos estudiantes. Mi Portal Especial (MiPE) - En este sistema se mantenían los datos relacionados con los estudiantes del Programa de Educación Especial. Al 11 de septiembre de 2014, existían 103,180 registros electrónicos relacionados con el Programa Educativo Individualizado (PEI). Sistema Financiero del Departamento de Educación (SIFDE) - En este se evidenciaba e informaba sobre la utilización y el manejo de los fondos federales y estatales del DE. Al 11 de septiembre de 2014, en este sistema se habían registrado 2,879 órdenes de compra por $81,537,258 y 83,094 pagos a proveedores por $1,211,664,791. Tiempo, Asistencia y Licencia (TAL) - En este se registraba la asistencia y se calculaban las licencias del personal, las cuales luego se procesaban a través del sistema de recursos humanos del DE (STAFF). Esto, con el propósito de mantener control sobre los datos del personal del DE. Al 26 de junio de 2013, la nómina mensual del personal activo del DE ascendió a $121,876,000.
9 TI Además, el DE contaba con un data warehouse que le permitía tener acceso rápido a información necesaria para la toma de decisiones. Por otra parte, el DE mantenía una red administrativa y una red educativa, mediante las cuales se daba servicio a los usuarios de sistemas de información que laboraban en las secretarías y oficinas administrativas del DE distribuidas en 2 edificios; y a 7 oficinas regionales, a 28 distritos escolares y a 1,461 escuelas. Además, a través de la red se permitía a los usuarios conectarse a Internet e intercambiar información a través del correo electrónico. Al 28 de febrero de 2014, los equipos computadorizados del DE consistían de 175 servidores físicos y 181 servidores virtuales, 13,216 desktops, 15,045 laptops y 9,052 tablets. Los sistemas, el data warehouse y los equipos computadorizados formaban parte de los activos de sistemas de información computadorizados existentes en el DE. Sin embargo, al 4 de septiembre de 2014, en el DE no se había preparado un análisis de riesgos de los sistemas de información computadorizados. El análisis de riesgos de los sistemas de información computadorizados es un proceso a través del cual se identifican los activos de sistemas de información computadorizados existentes en una entidad, sus vulnerabilidades, y las amenazas a las que se encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas. Esto, con el fin de determinar las medidas de seguridad y los controles adecuados a ser implantados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, y proteger dichos activos, de manera que no se afecten adversamente las operaciones de la entidad. Mediante este proceso, se asegura que las medidas de seguridad y los controles a ser implantados sean costo-efectivos, pertinentes a las operaciones de la entidad y que respondan a las posibles amenazas identificadas.
10 8 TI Criterios La situación comentada se aparta de lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico aprobada el 30 de julio de 2010 por el Director de la OSIATD. En esta se establece, entre otras cosas, que será necesario un inventario de activos de sistemas de información que incluya el equipo, los programas y los datos. Estos deberán ser clasificados de acuerdo con su nivel de confidencialidad. Además, será necesario identificar las posibles amenazas contra los sistemas de información, realizar un análisis de impacto en las operaciones y determinar la probabilidad de que ocurran esas amenazas. También es contraria a lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2014 por la Directora de la Oficina de Gerencia y Presupuesto (OGP); y de la Política TIG-015, Programa de Continuidad Gubernamental, aprobada el 22 de septiembre de 2011 por el Director de la OGP. Efectos La situación comentada impide al DE estimar el impacto que los elementos de riesgos tendrían sobre las áreas y los sistemas críticos de esta, y considerar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información. Además, dificulta desarrollar un plan de continuidad de negocios donde se establezcan las medidas de control que minimicen los riesgos previamente identificados a un nivel aceptable, y los pasos a seguir para restablecer las operaciones del DE, en caso de que surja alguna eventualidad. [Véase el Hallazgo 2-a.] Causa La situación comentada se atribuye a que el Secretario no había promulgado una directriz para la preparación y la documentación de un análisis de riesgos que incluya todos los activos de sistemas de información (internos y externos) del DE, como establecen las políticas TIG-003 y TIG-015.
11 TI Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: El Departamento de Educación está realizando las acciones correspondientes para recibir el apoyo técnico necesario para desarrollar el análisis de riesgo de los sistemas, programas y equipos residentes en el centro de cómputos y otras facilidades del Departamento. Con relación a las aplicaciones del Sistema de Información Estudiantil (SIE) y del Sistema Financiero (SIFDE), los mismos residen con [ ] por lo que el Departamento descansa en el trabajo realizado por la firma de contabilidad pública [ ] como parte del Service Organization Controls (SOC) 1 Report. [sic] Véase la Recomendación 1. Hallazgo 2 - Falta de un plan de continuidad de negocios y de un centro alterno para la recuperación de las operaciones computadorizadas Situaciones a. Al 24 de junio de 2013, el DE carecía de un plan de continuidad de negocios que incluyera los planes específicos, completos y actualizados de la OSIATD. Esto era necesario para lograr el pronto funcionamiento de los sistemas de información computadorizados y restaurar las operaciones del DE, en caso de riesgos como: variaciones de voltaje, virus de computadoras, ataques maliciosos a la red, o desastres naturales, entre otros. Una situación similar se comentó en el Informe de Auditoría DA del 24 de febrero de b. Al 8 de julio de 2013, el DE no contaba con un centro alterno para restaurar sus operaciones críticas computadorizadas en caso de emergencia. Tampoco había formalizado acuerdos escritos con otra entidad para establecer un centro alterno en las instalaciones de esta. Una situación similar se comentó en los informes de auditoría TI-01-9 del 19 de marzo de 2001 y DA
12 10 TI Criterios La situación comentada en el apartado a. es contraria a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que se prepare un Plan de Continuidad de Negocios que incluya un Plan para la Recuperación de Desastres y un Plan para la Continuidad de las Operaciones, basado en el análisis de riesgos de los sistemas de información computadorizados del DE. También se aparta de lo establecido en las políticas TIG-003 y TIG-004, Servicios de Tecnología de la Carta Circular 77-05; y de lo establecido en la Política TIG-015. Las mejores prácticas en el campo de la tecnología de información sugieren que, como parte integral del Plan de Continuidad de Negocios, deben existir convenios con otras entidades donde se estipulen las necesidades y los servicios requeridos para afrontar una emergencia. Debe incluirse, además, una cláusula que especifique el lugar o los lugares donde podrían ser requeridos dichos servicios. Estos lugares, de acuerdo con la capacidad de la agencia, podrían ser los siguientes: [Apartado b.] Una entidad pública o privada de similar configuración y tamaño Una compañía dedicada a servicios de restauración Un centro alterno de la propia entidad. Efectos La situación comentada en el apartado a. podría propiciar la improvisación y, que en casos de emergencia, se tomen medidas inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos y de interrupciones prolongadas de los servicios ofrecidos a los usuarios de los sistemas de información del DE.
13 TI La situación comentada en el apartado b. podría afectar las operaciones del DE y los servicios de la OSIATD, ya que no tendrían disponibles unas instalaciones para operar después de una emergencia o de un evento que afectara su funcionamiento. Esto podría atrasar o impedir el proceso de restauración de archivos y el pronto restablecimiento de las operaciones normales de la OSIATD. Causas La situación comentada en el apartado a. se atribuye a la falta de un análisis de riesgos de los sistemas de información computadorizados del DE que sirviera de base para la preparación y la revisión de un plan de continuidad de negocios. [Véase el Hallazgo 1] Esto, con el propósito de garantizar la continuidad de las operaciones en caso de surgir algún desastre o emergencia. La situación comentada en el apartado b. se debía a que el Secretario tampoco le había requerido a la Directora de la OSIATD que realizara las gestiones necesarias para identificar un lugar disponible y adecuado como centro alterno, y para formalizar los acuerdos necesarios para la utilización del mismo en casos de emergencia. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Para el año fiscal , el Departamento de Educación tiene como meta completar el Business Impact Analysis, realizar un análisis de riesgo de los sistemas de información, desarrollar el Plan de Recuperación de Desastre, evaluar y recomendar un Centro de Recuperación en caso de desastre, y preparar un Plan de Prueba con el fin de ejecutarlo, de acuerdo a las mejores prácticas en sistemas de información. [sic] Véanse las recomendaciones 2.a. y b., y 3.
14 12 TI Hallazgo 3 - Deficiencias relacionadas con la configuración del firewall y falta de normas para detectar, reportar y responder a incidentes de seguridad relacionados con los sistemas de información computadorizados del DE Situaciones a. Al 28 de junio de 2013, el examen de la configuración del servidor principal del DE reveló que el firewall 5 estaba desactivado. b. Al 4 de septiembre de 2014, la OSIATD no tenía un procedimiento o plan para el manejo de incidentes que estableciera, entre otras cosas, una estrategia documentada para el manejo de los incidentes, un equipo de respuesta y la documentación de las actividades relacionadas con los mismos. Criterios Las situaciones comentadas son contrarias a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que: La comunicación con Internet desde adentro de la agencia deberá estar controlada por un firewall. [Apartado a.] El Administrador de Seguridad es responsable de desarrollar procedimientos para detectar, reportar y responder a incidentes de seguridad, incluidos límites para esos incidentes en términos de tiempo máximo y mínimo de respuesta, así como también debe investigar y documentar cualquier anomalía. [Apartado b.] Además, las situaciones comentadas se apartan de lo establecido en la Política TIG-003 de la Carta Circular Sistema que se coloca entre una red de comunicaciones e Internet. Esto, con el propósito de asegurar que todas las comunicaciones entre dicha red e Internet se realicen conforme a las políticas de seguridad de la organización que lo instala. Además, estos sistemas suelen incorporar elementos de privacidad y autenticación, entre otros.
15 TI Efectos La situación comentada en el apartado a. podría facilitar que personas no autorizadas tengan acceso a los sistemas de información del DE y pudieran ocasionar daños a la computadora o a los datos procesados en esta, sin que se pudieran fijar responsabilidades. Lo comentado en el apartado b. le impide a la OSIATD tener un control eficaz y documentado sobre el manejo de incidentes. Además, puede provocar duplicidad de esfuerzo y tiempo ante situaciones inesperadas, lo que afectaría el restablecimiento de los sistemas con prontitud y aumentaría la extensión de los daños, si alguno. Causas La situación comentada en el apartado a. se debía, en parte, a que la Directora de la OSIATD no veló por que el Especialista en Tecnología Cibernética, quien realizaba las funciones relacionadas con la administración de seguridad de los sistemas computadorizados del DE, cumpliera con lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. Entre otros aspectos, no veló por que se instalara al servidor la actualización que permitiría que el firewall se mantuviera encendido. La situación comentada en el apartado b. se atribuye a que el Secretario no había impartido una directriz a la Directora de la OSIATD para el desarrollo y la aprobación de las normas y los procedimientos escritos para el manejo de incidentes. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Como consecuencia de que el programa [ ] no puede coexistir con el servicio de firewall del servidor, el servicio se apaga automáticamente. [sic] [Apartado a.]
16 14 TI El Departamento de Educación actualmente se encuentra desarrollando un procedimiento por escrito para el manejo de incidentes de seguridad, con el fin de implementar el mismo para el año fiscal [sic] [Apartado b.] Véase la Recomendación 2.c.1) y 2). Hallazgo 4 - Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal para las cuentas con acceso a la red del DE Situaciones a. La OSIATD contaba con un servidor principal mediante el cual se controlaba el acceso a los recursos de la red del DE. El examen efectuado el 28 de junio de 2013 sobre los parámetros de seguridad configurados en el sistema operativo de este servidor para el control de las cuentas de acceso a la red, reveló las siguientes deficiencias: 1) El parámetro Account lockout threshold de la opción Account lockout policy no se había definido en, al menos, tres intentos de acceso sin éxito para que el sistema deshabilite automáticamente las cuentas de acceso. En su lugar, se configuró para bloquear las cuentas, luego de 10 intentos sin éxito. 2) No se había definido la política de seguridad para desactivar automáticamente del sistema al usuario una vez venciera el término de acceso a los recursos de la red, previamente establecido (Force logoff when logon hours expire). Criterios La situación comentada en el apartado a.1) es contraria a lo establecido en el Procedimiento para Creación de Cuentas de Usuario en el DE incluido en las Políticas de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que las contraseñas registradas luego de tres intentos fallidos quedarán desactivadas automáticamente. Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece, entre otras cosas, que las entidades gubernamentales deberán implantar
17 TI controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se establece, en parte, mediante la configuración adecuada de las opciones que restringen y controlan el acceso que proveen los distintos sistemas operativos, y la limitación del tiempo de acceso para todas las cuentas de acceso de acuerdo con las funciones de cada usuario. Efectos Las situaciones comentadas pueden propiciar que personas no autorizadas accedan a información confidencial mantenida en los sistemas computadorizados y puedan hacer uso indebido de esta. Además, pueden propiciar la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causa Las situaciones comentadas se debían a que la Directora de la OSIATD no veló por que el Especialista en Tecnología Cibernética pusiera en vigor todas las opciones de seguridad de acceso lógico que provee el sistema operativo del servidor principal. Véase la Recomendación 2.c.3) y 4). Hallazgo 5 - Falta de documentación relacionada con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador de los sistemas operativos, y del otorgamiento de privilegios de conexión remota a los sistemas de información Situaciones a. Al 25 de noviembre de 2013, la Directora de la OSIATD no suministró para examen los documentos justificantes para otorgar privilegio de administrador a 142 cuentas de usuarios y a 64 cuentas genéricas que tenían acceso a los sistemas operativos instalados en los 215 servidores del DE.
18 16 TI Las cuentas con privilegios de administrador permiten, entre otras cosas, realizar cambios a la configuración del sistema, instalar programas y equipos, acceder a todos los archivos de la computadora, y realizar cambios a las cuentas de otros usuarios. b. Al 4 de diciembre de 2013, la Directora de la OSIATD tampoco proveyó documentación justificante para otorgar privilegios para la conexión remota de 153 cuentas a través de una red privada virtual (VPN 6, en inglés) y de 39 cuentas a través de un servicio de acceso remoto (RAS 7, en inglés). Las cuentas con el privilegio de conexión remota les permiten acceder y utilizar la información computadorizada de una entidad desde un lugar distinto de donde está guardada la misma. Criterios Las situaciones comentadas se apartan de lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Además, se establece que: La información y los programas de aplicación utilizados en las operaciones de la entidad gubernamental deberán tener controles de acceso para su utilización, de tal manera que solamente el personal autorizado pueda ver los datos necesarios, o usar las aplicaciones (o la parte de las aplicaciones) que necesita. Estos controles deberán incluir mecanismos de autenticación y autorización. [Apartado a.] 6 Esta es una tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza a base de una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos. 7 Este se refiere a cualquier combinación de hardware y software que permite el acceso remoto a las herramientas o información que normalmente residen en una red de dispositivos de TI.
19 TI Si existe la necesidad de acceder a la red interna desde afuera de las instalaciones de la entidad gubernamental (por ejemplo, para que un empleado realice un trabajo en un programa de aplicación desde Internet), deberán existir los controles de autenticación, confidencialidad, integridad y monitoreo necesarios para proteger los sistemas y la información. [Apartado b.] Esta norma se instrumenta, en parte, mediante el establecimiento de normas y procedimientos específicos para la asignación del privilegio de de administrador de los sistemas operativos y acceso remoto a los usuarios, donde se incluya, entre otras cosas, la justificación y la autorización para el otorgamiento de dichos privilegios. La situación comentada en el apartado b. es contraria a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que todos los usuarios con acceso remoto a la red deben ser autorizados por su Director de área y por el Principal Oficial de Informática o por el Director del Centro de Cómputos. Además, el Administrador de Seguridad evalúa las peticiones y determina su viabilidad. Efectos Las situaciones comentadas impiden mantener la evidencia requerida para determinar si las cuentas de acceso con los privilegios de administrador de los sistemas y las cuentas de acceso remoto están debidamente autorizadas, y si estas son asignadas conforme a las funciones y a los deberes de los usuarios que utilizan las mismas. También pueden propiciar que personas no autorizadas puedan lograr acceso a información confidencial y hacer uso indebido de esta; y la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causa Las situaciones comentadas se debían a que la Directora de la OSIATD no había incluido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico, directrices que permitieran documentar la
20 18 TI creación, la modificación y la cancelación de las cuentas con privilegios de administrador de los sistemas operativos y de conexión remota a los sistemas computadorizados del DE. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Según establecido en el Procedimiento de Seguridad, el Formulario para Autorización de Cuenta de Usuario se utiliza para justificar solicitudes de acceso remoto a la red (VPN) y el otorgamiento de privilegios de administrador. Dicho formulario debe ser aprobado por el Director de área o supervisor inmediato, y por el Principal Oficial de Informática o por el Director del Centro de Cómputos. Sin embargo, no se nos suministró evidencia de haber completado dicho formulario para justificar y autorizar los privilegios de administrador de las cuentas indicadas y el acceso remoto a la red. Véase la Recomendación 2.d. Hallazgo 6 - Falta de un registro de programas instalados en cada computadora Situación a. Al 28 de junio de 2013, el DE contaba con un inventario de 60,331 equipos computadorizados adquiridos por $62,367,124. De estos, 10,739 eran computadoras de escritorios (desktop), 26,015 eran computadoras portátiles (laptops) y 13,029 eran tabletas (tablets) que eran utilizadas por empleados y estudiantes del DE localizados en la Oficina Central, las 7 oficinas regionales, los 28 distritos escolares y las 1,461 escuelas. Además, contaba con 147 servidores físicos, a los cuales se les habían instalado varios sistemas operativos. A las computadoras de escritorio y a las portátiles del DE, se les instalaba una imagen que incluía varias aplicaciones, tales como: el sistema operativo; el antivirus; el lenguaje de programación; la aplicación para visualizar, imprimir y añadir documentos PDF; y múltiples herramientas para uso de oficina.
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesINFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 -
INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - Auditoría 13826) Período auditado: 1 de abril al 6 de diciembre
Más detallesINFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría
INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría 13359) Período auditado: 9 de septiembre de 2009 al 28
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesINFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría
INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría 13964) Período auditado: 17 de septiembre de 2014 al 16
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesSISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT
SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,
Más detallesTECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15
Más detallesIniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones
Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones Marco de Gobernabilidad, Rendición de cuentas y Aprendizaje
Más detallesAUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP
AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación
Más detallesHospital Nacional de Maternidad UNIDAD DE INFORMATICA
Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.
ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO
ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO EJECUTADO POR LA UNIDAD EJECUTORA CENTRAL DURANTE EL PERÍODO DEL [Fecha] AL [Fecha] 1- Consideraciones básicas Estos Términos de Referencia
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesINFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información
INFORME DE AUDITORÍA TI-12-08 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información () Período auditado: 23 de diciembre de 2008 al 18 de noviembre de 2009 1
Más detallesINFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011
INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011 CONTENIDO RESUMEN EJECUTIVO... 01 OBJETIVOS Y ALCANCE... 03 1. Objetivos de la auto-evaluación. 03 2. Alcance 03 RESULTADOS...
Más detallesINFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información
INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información Computadorizados (Unidad 5181 - Auditoría 13897) Período
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesTribunal Registral Administrativo
Tribunal Registral Administrativo MANUAL DE USO E INSTALACIÓN DE PROGRAMAS DE CÓMPUTO 18 JUNIO 2015 (APROBADO EN SESIÓN N. 26-2015 DEL 1 DE JULIO DE 2015) Contenido 1. INTRODUCCIÓN... 3 2. ALCANCE... 3
Más detallesSu conducción recaerá sobre el Coordinador del Proyecto, quien será el representante de éste ante la CNBS y el Comité de Alto Nivel.
Unidad Coordinadora del Proyecto (UCP) La Unidad Coordinadora del Proyecto es el órgano de Línea del Comité de Alto Nivel en la ejecución del Proyecto y reporta a la presidencia de la Comisión, por encontrarse
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento
Más detallesHealth Republic Insurance Política de privacidad del sitio web
Health Republic Insurance Política de privacidad del sitio web Introducción Nos encargamos seriamente de salvaguardar su privacidad. Hemos creado esta Política de privacidad del sitio web para familiarizarnos
Más detallesUNIVERSIDAD METROPOLITANA ESCUELA DE EDUCACIÓN
UNIVERSIDAD METROPOLITANA ESCUELA DE EDUCACIÓN Estructura Central El Departamento de Educación (DE) está encabezado por un Secretario (nombrado por el gobernador de Puerto Rico, y que es miembro del gabinete
Más detallesEstatuto de Auditoría Interna
Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo
Más detallesPolítica de la base datos WHOIS para nombres de dominio.eu
Política de la base datos WHOIS para nombres de dominio.eu 1/7 DEFINICIONES En este documento se usan los mismos términos definidos en los Términos y Condiciones y/o las normas para la solución de controversias
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesGuía para la Administración de Software
UNIVERSIDAD INTERAMERICANA DE PUERTO RICO RECINTO DE PONCE CENTRO DE SISTEMAS DE INFORMACION Y TELECOMUNICACIONES Guía para la Administración de Software VERSION 1.0 REVISADA JULIO DE 1999 CSAS-D001-07/99
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesNombre del Puesto. Jefe Departamento de Presupuesto. Jefe Departamento de Presupuesto. Director Financiero. Dirección Financiera
Nombre del Puesto Jefe Departamento de Presupuesto IDENTIFICACIÓN Nombre / Título del Puesto: Puesto Superior Inmediato: Dirección / Gerencia Departamento: Jefe Departamento de Presupuesto Director Financiero
Más detallesPolíticas para Asistencia Remota a Usuarios
Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta
Más detallesESTADO LIBRE ASOCIADO DE PUERTO RICO SENADO DE PUERTO RICO. P. del S. 1028. 10 de agosto de 2009. Presentado por el señor Rivera Schatz
ESTADO LIBRE ASOCIADO DE PUERTO RICO ta Asamblea da Sesión Legislativa Ordinaria SENADO DE PUERTO RICO P. del S. 0 0 de agosto de 00 Presentado por el señor Rivera Schatz Referido a la Comisión de Educación
Más detallesDiputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía
Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316 Guía 12 Obligaciones del responsable de seguridad exigibles por la LOPD Cesión de datos Es cesión o comunicación
Más detallesDatos sobre FSMA. Norma propuesta sobre las acreditaciones de los auditores externos. Sumario
Datos sobre FSMA Norma propuesta sobre las acreditaciones de los auditores externos Sumario El 26 de julio de 2013, la FDA publicó para comentarios públicos su norma propuesta para establecer un programa
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO
ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO OBJETO. El presente Documento de Especificaciones Técnicas tiene por objeto establecer los requisitos que debe cumplir el proceso de Atención
Más detallesInfraestructura Tecnológica. Sesión 1: Infraestructura de servidores
Infraestructura Tecnológica Sesión 1: Infraestructura de servidores Contextualización La infraestructura de cualquier servicio o mecanismo es importante, define el funcionamiento de los elementos en que
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesMINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009
MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA MANUAL DE PROCESOS OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009 ENERO 2009 INDICE PÁGINA PORTADA 01 ÍNDICE 02 INTRODUCCIÓN 03 MANUAL DE PROCESOS
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesINFORME Nº 032-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE
INFORME Nº 032-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la contratación del servicio de soporte técnico, actualización
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesCloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:
Cloud Security Alliance Política de Privacidad Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: La información
Más detallesREGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A
REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A Bogotá D.C. 2011 CONTENIDO I. Aspectos Generales 1.1 Objetivo del Comité de Auditoría 1.2 Normatividad Vigente para el Comité de Auditoría
Más detallesCOLEGIO DE CONTADORES PUBLICOS DE COSTA RICA TOMAS EVANS SALAZAR MAYO DEL 2014
COLEGIO DE CONTADORES PUBLICOS DE COSTA RICA TOMAS EVANS SALAZAR MAYO DEL 2014 Alcance La Norma Internacional de Auditoría (NIA) 220, Control de calidad para auditorías de información financiera histórica
Más detallesGOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO
GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO Artículo 1.- Título Este reglamento se conocerá como Reglamento para Garantizar la Accesibilidad
Más detallesINFORME Nº 023-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE
INFORME Nº 023-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición de una solución de optimización WAN, es el Departamento
Más detallesCondiciones de servicio de Portal Expreso RSA
Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados
Más detallesGLOSARIO DE TÉRMINOS
GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados
Más detallesCOLEGIO DE CONTADORES PUBLICOS DEL DISTRITO CAPITAL DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA. No. 2
DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA No. 2 SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE GENERADORES DE CONFIANZA!!! 1 SOLICITUD DE INFORMACION AL ABOGADO DEL CLIENTE INTRODUCCION 1.
Más detallesDECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE
DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE INTRODUCCION 1. Esta declaración proporciona una guía de los procedimientos que un contador
Más detallesReembolsos a Funcionarios y Empleados Públicos por Gastos Incurridos y Pagados con Fondos Particulares para Fines Públicos
26-00-01 Estado Libre Asociado de Puerto Rico DEPARTAMENTO DE HACIENDA Área de la Contabilidad Central de Gobierno Reglamento Núm. 26 Reembolsos a Funcionarios y Empleados Públicos por Gastos Incurridos
Más detallesREGLAMENTO PARA APLICACIÓN DE EXAMENES EN LÍNEA
REGLAMENTO PARA APLICACIÓN DE EXAMENES EN LÍNEA Aprobado por Sesión de Consejo Técnico Según consta en el acta de fecha: 27 de Marzo de 2012. DEPARTAMENTO DE EDUCACIÓN VIRTUAL Ante la necesidad de modernizar
Más detallesCONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL
CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos
Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesNorma de uso Identificación y autentificación Ministerio del Interior N02
Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados
Más detallesPortal de Compras del Gobierno del Estado de Baja California (www.comprasbc.gob.mx) A. Antecedentes
Buenas prácticas en la implementación de las recomendaciones de la Guía para Mejorar la Calidad Regulatoria de Trámites Estatales y Municipales e Impulsar la Competitividad de México Portal de Compras
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesUtilización del Acceso Remoto VPN. Ministerio del Interior N06
Utilización del Acceso Remoto VPN Ministerio del Interior N06 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso del sistema
Más detallesI. Información General del Procedimiento
PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica
Más detallesServicio de Alta, Baja, Modificación y Consulta de usuarios Medusa
Documentos de Proyecto Medusa Documentos de: Serie: Manuales Servicio de Alta, Baja, Modificación y Consulta del documento: Fecha 22 de febrero de 2007 Preparado por: José Ramón González Luis Aprobado
Más detallesMODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA
MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN
Más detallesPOLITICA DE SERVICIOS PARA ESTUDIANTES EN PROGRAMAS EN LÍNEA
page 1 of 6 El propósito de este documento es establecer un modelo de servicios para estudiantes aplicable a los alumnos en línea de AU. Éstas políticas se basan en la premisa de que los servicios estudiantiles
Más detallesMANUAL DE USUARIOS DEL SISTEMA MESA DE SOPORTE PARA SOLICITAR SERVICIOS A GERENCIA DE INFORMATICA
MANUAL DE USUARIOS DEL SISTEMA MESA DE SOPORTE PARA SOLICITAR SERVICIOS A Usuario Propietario: Gerencia de Informática Usuario Cliente: Todos los usuarios de ANDA Elaborada por: Gerencia de Informática,
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS
Más detallesTIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7
PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas
Más detallesIT/Servicio de Apoyo Técnico
Calle Isabel #44, Ponce, Puerto Rico 00730 Teléfono: 787-848-3073 Fax: 787-812-0301 www.coaliciondecoaliciones.org coaliciondecoaliciones@gmail.com Solicitud de Propuestas IT/Servicio de Apoyo Técnico
Más detallesINSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE
SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6
Más detallesFacultad de Ciencias Sociales Universidad de Buenos Aires POLITICA DE USO DE CAMPUS VIRTUAL
Facultad de Ciencias Sociales Universidad de Buenos Aires POLITICA DE USO DE CAMPUS VIRTUAL Tabla de Contenidos 1. INTRODUCCION 3 2. OBJETIVOS 3 3. ORGANIZACIÓN 3 4. FUNDAMENTACIÓN 4 5. MODALIDADES DE
Más detallesAviso Legal. Entorno Digital, S.A.
Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos
Más detalles(TEXTO DE APROBACION FINAL POR LA CAMARA) (16 DE ABRIL DE 2015) ESTADO LIBRE ASOCIADO DE PUERTO RICO CÁMARA DE REPRESENTANTES. P. de la C.
(TEXTO DE APROBACION FINAL POR LA CAMARA) (6 DE ABRIL DE 0) ESTADO LIBRE ASOCIADO DE PUERTO RICO 7ma. Asamblea Legislativa ta. Sesión Ordinaria CÁMARA DE REPRESENTANTES P. de la C. DE NOVIEMBRE DE 0 Presentado
Más detallesPOLÍTICAS DE USO DE LA RED INALÁMBRICA CETI
Generalidades. POLÍTICAS DE USO DE LA RED INALÁMBRICA CETI El CETI, a través de la Oficina de Tecnologías en Informática y Computación (OTIC), brinda a la comunidad académica y estudiantil el servicio
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesPOLÍTICA DE TECNOLOGÍA DE INFORMACIÓN
TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detallesLey Orgánica de Protección de Datos
Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener
Más detallesATENCIÓN DE SOLICITUDES DE SERVICIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y SISTEMAS ESPECIALES
Hoja: 1 de 9 ATENCIÓN DE SOLICITUDES DE SERVICIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y SISTEMAS Elaboró: Revisó: Autorizó: Puesto Coordinación de la Mesa de Servicio Jefatura de Gestión y
Más detallesPolítica de Control de Hojas de Cálculo. Prorrectoría
Política de Control de Hojas de Cálculo Prorrectoría ÍNDICE O CONTENIDO 1. PROPOSITO DE LA POLÍTICA... 3 2. ALCANCE... 3 3. GLOSARIO... 3 4. DESCRIPCIÓN DE LA POLÍTICA... 5 Control de cambios... 5 Control
Más detallesINFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro
INFORME DE AUDITORÍA TI-10-12 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro de Sistemas de Información () Período auditado: 17 de marzo al 28 de octubre
Más detallesControles Internos Mínimos que Deben Adoptar las Cooperativas de Ahorro y Crédito
Mínimos que Deben Adoptar las Cooperativas de Ahorro y Crédito La Junta deberá adoptar medidas de controles internos que sean sometidas por el Presidente Ejecutivo y aquellas requeridas por la Corporación
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesSistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)
INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación
Más detallesSistemas de información de laboratorio
Sistemas de información de laboratorio Version 3.0, April 2009 2008 Pharmaceutical Product Development, Inc. Todos los derechos reservados. Sistemas de información de laboratorio También llamados SIL En
Más detallesUso Equipos personales Ministerio del Interior N05
Uso Equipos personales Ministerio del Interior N05 Introducción Propósito. Describir lo necesario para minimizar los riesgos de seguridad de información que afectan a los equipos portátiles del Ministerio
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesInstituto Nacional de Conservación y Desarrollo Forestal, Áreas Protegidas y Vida Silvestre
1.-PROPOSITO DEL MANUAL El presente manual de Auditoria Técnica tiene como propósito el de proveer al Departamento un sistema que le permita realizar actividades de Fiscalización de Regionales. Por medio
Más detalles