INFORME DE AUDITORÍA TI de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INFORME DE AUDITORÍA TI-15-10 12 de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia"

Transcripción

1 INFORME DE AUDITORÍA TI de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (Unidad Auditoría 13850) Período auditado: 12 de junio de 2013 al 30 de octubre de 2014

2

3 TI CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 5 OPINIÓN Y HALLAZGOS Falta de un informe de análisis de riesgos de los sistemas de información computadorizados Falta de un plan de continuidad de negocios y de un centro alterno para la recuperación de las operaciones computadorizadas Deficiencias relacionadas con la configuración del firewall y falta de normas para detectar, reportar y responder a incidentes de seguridad relacionados con los sistemas de información computadorizados del DE Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal para las cuentas con acceso a la red del DE Falta de documentación relacionada con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador de los sistemas operativos, y del otorgamiento de privilegios de conexión remota a los sistemas de información Falta de un registro de programas instalados en cada computadora RECOMENDACIONES AGRADECIMIENTO ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 23

4 2 TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 12 de mayo de 2015 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (OSIATD) del Departamento de Educación (DE), para determinar si se efectuaron de acuerdo con las normas generalmente aceptadas en este campo, y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 12 de junio de 2013 al 30 de octubre de El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este es el primer informe y contiene seis hallazgos sobre el resultado del examen que realizamos de los controles internos establecidos para la administración del programa de seguridad, el acceso lógico, la configuración de los sistemas de información, la continuidad del servicio, y el uso y la seguridad de las computadoras. El mismo está disponible en nuestra página en Internet:

5 TI INFORMACIÓN SOBRE LA UNIDAD AUDITADA El DE es uno de los departamentos ejecutivos establecidos por el Artículo IV, Sección 6 de la Constitución. Este se rige por la Ley , Ley Orgánica del Departamento de Educación de Puerto Rico, según enmendada. El DE se rige, además, por otros estatutos legales, entre estos: la Resolución Conjunta 3 del 28 de agosto de 1990, que adscribe la Oficina para el Mejoramiento de las Escuelas Públicas (OMEP) al DE; la Ley , que creó la Secretaría Auxiliar de Servicios Educativos Integrales para Personas con Impedimentos (SASEIPI), ahora Secretaría Asociada de Educación Especial (SAEE); la Ley , Ley de Carrera Magisterial; y la Ley , Ley de Nombramientos Magisteriales de Emergencia, para autorizar al Secretario de Educación (Secretario) a reclutar maestros retirados. Por otro lado, el DE está sujeto a la legislación y a la reglamentación sobre educación que promulgue el Gobierno Federal de los Estados Unidos de América, y del Estado Libre Asociado de Puerto Rico, y a la reglamentación vigente que haya emitido el Secretario. El propósito primordial del DE es alcanzar el nivel más alto posible de excelencia educativa. Es la entidad gubernamental responsable de impartir la educación pública, sin ninguna inclinación sectaria, y gratuita en los niveles primario y secundario en Puerto Rico. Además, es responsable de brindar igualdad de oportunidades educativas de alta calidad; atender debidamente el nivel de educación preescolar; convertir la escuela en el objetivo principal hacia el cual apunten todos los recursos que el Estado asigne a la educación; y estimular la mayor participación de todos los componentes del sistema educativo en las decisiones que afectan la escuela. Las operaciones del DE son administradas por el Secretario, nombrado por el Gobernador, con el consejo y el consentimiento del Senado de Puerto Rico. Este es responsable, entre otras cosas, de implantar la política pública que la Asamblea Legislativa de Puerto Rico y el Gobernador

6 4 TI adopten, con el fin de realizar los propósitos que la Constitución y la Ley pautan para el Sistema de Educación Pública, y de organizar, planificar, dirigir, supervisar y evaluar las actividades académicas y administrativas del DE. El DE cuenta con 1 Subsecretario para Asuntos Académicos y 1 Subsecretario de Administración para manejar los asuntos relacionados con la docencia y con la administración. La estructura organizacional la integran, además, la Secretaría Asociada de Educación Especial, 7 secretarías auxiliares 1, 7 oficinas administrativas 2, la Junta de Apelaciones, el Centro de Investigaciones Educativas e Innovaciones Educativas y Etnográfica, el Instituto Nacional para el Desarrollo Curricular, el Instituto de Capacitación Administrativa y Asesoramiento a Escuelas, la División Legal, el Instituto para el Desarrollo Profesional del Maestro, la Autoridad Escolar de Alimentos, y la Agencia Estatal y Servicios de Alimentos y Nutrición. Además, al 5 de agosto de 2014, el DE contaba con 7 regiones educativas 3, 28 distritos escolares y 1,461 escuelas. La OSIATD la dirige una Ayudante Especial del Secretario. Esta Oficina tiene la obligación de liderar el desarrollo y la utilización de los sistemas de información. Además, debe velar por la adquisición del equipo tecnológico apropiado para las gestiones cotidianas del DE, los servicios relacionados con estas herramientas, y el uso seguro y eficiente de la tecnología informática del DE. También tiene a su cargo la administración, el mantenimiento y el servicio de los sistemas de información computadorizados utilizados en el DE. Los fondos para financiar las actividades operacionales del DE provenían principalmente del presupuesto general, de fondos especiales y de fondos federales. Para el año fiscal , el presupuesto asignado al DE 1 Educación Vocacional y Técnica, Finanzas, Planificación y Desarrollo Educativo, Recursos Humanos, Servicios Académicos y Servicios Educativos a la Comunidad, Servicios Auxiliares, y Servicios de Ayuda al Estudiante. 2 Las del Secretario, la OSIATD, Asuntos Federales, Auditoría Interna, Comunicaciones, Presupuesto y la Oficina para el Mejoramiento de Escuelas Públicas. 3 Estas están localizadas en Arecibo, Bayamón, Caguas, Humacao, Mayagüez, Ponce y San Juan.

7 TI ascendía a $3,609,229,000. De acuerdo con la información suministrada por la Directora de Contabilidad de la Secretaría Auxiliar de Finanzas, para los años fiscales del al , el DE efectuó desembolsos 4 relacionados con los sistemas de información computadorizados por $49,523,355, $48,972,352 y $68,941,645, respectivamente. El ANEJO contiene una relación de los funcionarios principales del DE que actuaron durante el período auditado. El DE cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca del DE y de los servicios que presta. COMUNICACIÓN CON LA GERENCIA El borrador de los hallazgos de este Informe se remitió, para comentarios, al Hon. Rafael Román Meléndez, Secretario de Educación, por carta del 17 de marzo de En este se indicaron los nombres de sistemas o programas que por seguridad no se incluyen en este Informe. El 24 de marzo de 2015 el Secretario solicitó una prórroga para remitir sus comentarios al borrador de los hallazgos de este Informe. Ese mismo día le concedimos la prórroga hasta el 10 de abril de El Secretario contestó el borrador de los hallazgos de este Informe mediante carta del 10 de abril de Sus comentarios fueron considerados en la redacción final de este Informe. En los hallazgos se incluyeron algunos de sus comentarios. OPINIÓN Y HALLAZGOS Opinión favorable con excepciones Las pruebas efectuadas y la evidencia en nuestro poder revelaron que las operaciones de la OSIATD en lo que concierne a los controles internos establecidos para la administración de la seguridad, el acceso lógico, la configuración de los sistemas de información, la segregación de deberes, la continuidad del servicio, y el uso y la seguridad de las computadoras, se 4 En la certificación suministrada para examen se indica que la información correspondiente al año fiscal es preliminar porque aún no se ha emitido el Single Audit.

8 6 TI realizaron sustancialmente conforme con las normas generalmente aceptadas en este campo, excepto por los hallazgos del 1 al 6 que se comentan a continuación. Hallazgo 1 - Falta de un informe de análisis de riesgos de los sistemas de información computadorizados Situación a. El DE mantenía sus operaciones en forma computadorizada mediante el uso de los siguientes sistemas de información: Sistema de Información Estudiantil (SIE) - En este sistema se documentaba la información demográfica de 392,635 estudiantes existentes al 28 de agosto de Esto, además de mantener información relacionada con el proceso de matrícula, el progreso académico y los incidentes de disciplina asociados a estos estudiantes. Mi Portal Especial (MiPE) - En este sistema se mantenían los datos relacionados con los estudiantes del Programa de Educación Especial. Al 11 de septiembre de 2014, existían 103,180 registros electrónicos relacionados con el Programa Educativo Individualizado (PEI). Sistema Financiero del Departamento de Educación (SIFDE) - En este se evidenciaba e informaba sobre la utilización y el manejo de los fondos federales y estatales del DE. Al 11 de septiembre de 2014, en este sistema se habían registrado 2,879 órdenes de compra por $81,537,258 y 83,094 pagos a proveedores por $1,211,664,791. Tiempo, Asistencia y Licencia (TAL) - En este se registraba la asistencia y se calculaban las licencias del personal, las cuales luego se procesaban a través del sistema de recursos humanos del DE (STAFF). Esto, con el propósito de mantener control sobre los datos del personal del DE. Al 26 de junio de 2013, la nómina mensual del personal activo del DE ascendió a $121,876,000.

9 TI Además, el DE contaba con un data warehouse que le permitía tener acceso rápido a información necesaria para la toma de decisiones. Por otra parte, el DE mantenía una red administrativa y una red educativa, mediante las cuales se daba servicio a los usuarios de sistemas de información que laboraban en las secretarías y oficinas administrativas del DE distribuidas en 2 edificios; y a 7 oficinas regionales, a 28 distritos escolares y a 1,461 escuelas. Además, a través de la red se permitía a los usuarios conectarse a Internet e intercambiar información a través del correo electrónico. Al 28 de febrero de 2014, los equipos computadorizados del DE consistían de 175 servidores físicos y 181 servidores virtuales, 13,216 desktops, 15,045 laptops y 9,052 tablets. Los sistemas, el data warehouse y los equipos computadorizados formaban parte de los activos de sistemas de información computadorizados existentes en el DE. Sin embargo, al 4 de septiembre de 2014, en el DE no se había preparado un análisis de riesgos de los sistemas de información computadorizados. El análisis de riesgos de los sistemas de información computadorizados es un proceso a través del cual se identifican los activos de sistemas de información computadorizados existentes en una entidad, sus vulnerabilidades, y las amenazas a las que se encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas. Esto, con el fin de determinar las medidas de seguridad y los controles adecuados a ser implantados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, y proteger dichos activos, de manera que no se afecten adversamente las operaciones de la entidad. Mediante este proceso, se asegura que las medidas de seguridad y los controles a ser implantados sean costo-efectivos, pertinentes a las operaciones de la entidad y que respondan a las posibles amenazas identificadas.

10 8 TI Criterios La situación comentada se aparta de lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico aprobada el 30 de julio de 2010 por el Director de la OSIATD. En esta se establece, entre otras cosas, que será necesario un inventario de activos de sistemas de información que incluya el equipo, los programas y los datos. Estos deberán ser clasificados de acuerdo con su nivel de confidencialidad. Además, será necesario identificar las posibles amenazas contra los sistemas de información, realizar un análisis de impacto en las operaciones y determinar la probabilidad de que ocurran esas amenazas. También es contraria a lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2014 por la Directora de la Oficina de Gerencia y Presupuesto (OGP); y de la Política TIG-015, Programa de Continuidad Gubernamental, aprobada el 22 de septiembre de 2011 por el Director de la OGP. Efectos La situación comentada impide al DE estimar el impacto que los elementos de riesgos tendrían sobre las áreas y los sistemas críticos de esta, y considerar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información. Además, dificulta desarrollar un plan de continuidad de negocios donde se establezcan las medidas de control que minimicen los riesgos previamente identificados a un nivel aceptable, y los pasos a seguir para restablecer las operaciones del DE, en caso de que surja alguna eventualidad. [Véase el Hallazgo 2-a.] Causa La situación comentada se atribuye a que el Secretario no había promulgado una directriz para la preparación y la documentación de un análisis de riesgos que incluya todos los activos de sistemas de información (internos y externos) del DE, como establecen las políticas TIG-003 y TIG-015.

11 TI Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: El Departamento de Educación está realizando las acciones correspondientes para recibir el apoyo técnico necesario para desarrollar el análisis de riesgo de los sistemas, programas y equipos residentes en el centro de cómputos y otras facilidades del Departamento. Con relación a las aplicaciones del Sistema de Información Estudiantil (SIE) y del Sistema Financiero (SIFDE), los mismos residen con [ ] por lo que el Departamento descansa en el trabajo realizado por la firma de contabilidad pública [ ] como parte del Service Organization Controls (SOC) 1 Report. [sic] Véase la Recomendación 1. Hallazgo 2 - Falta de un plan de continuidad de negocios y de un centro alterno para la recuperación de las operaciones computadorizadas Situaciones a. Al 24 de junio de 2013, el DE carecía de un plan de continuidad de negocios que incluyera los planes específicos, completos y actualizados de la OSIATD. Esto era necesario para lograr el pronto funcionamiento de los sistemas de información computadorizados y restaurar las operaciones del DE, en caso de riesgos como: variaciones de voltaje, virus de computadoras, ataques maliciosos a la red, o desastres naturales, entre otros. Una situación similar se comentó en el Informe de Auditoría DA del 24 de febrero de b. Al 8 de julio de 2013, el DE no contaba con un centro alterno para restaurar sus operaciones críticas computadorizadas en caso de emergencia. Tampoco había formalizado acuerdos escritos con otra entidad para establecer un centro alterno en las instalaciones de esta. Una situación similar se comentó en los informes de auditoría TI-01-9 del 19 de marzo de 2001 y DA

12 10 TI Criterios La situación comentada en el apartado a. es contraria a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que se prepare un Plan de Continuidad de Negocios que incluya un Plan para la Recuperación de Desastres y un Plan para la Continuidad de las Operaciones, basado en el análisis de riesgos de los sistemas de información computadorizados del DE. También se aparta de lo establecido en las políticas TIG-003 y TIG-004, Servicios de Tecnología de la Carta Circular 77-05; y de lo establecido en la Política TIG-015. Las mejores prácticas en el campo de la tecnología de información sugieren que, como parte integral del Plan de Continuidad de Negocios, deben existir convenios con otras entidades donde se estipulen las necesidades y los servicios requeridos para afrontar una emergencia. Debe incluirse, además, una cláusula que especifique el lugar o los lugares donde podrían ser requeridos dichos servicios. Estos lugares, de acuerdo con la capacidad de la agencia, podrían ser los siguientes: [Apartado b.] Una entidad pública o privada de similar configuración y tamaño Una compañía dedicada a servicios de restauración Un centro alterno de la propia entidad. Efectos La situación comentada en el apartado a. podría propiciar la improvisación y, que en casos de emergencia, se tomen medidas inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos y de interrupciones prolongadas de los servicios ofrecidos a los usuarios de los sistemas de información del DE.

13 TI La situación comentada en el apartado b. podría afectar las operaciones del DE y los servicios de la OSIATD, ya que no tendrían disponibles unas instalaciones para operar después de una emergencia o de un evento que afectara su funcionamiento. Esto podría atrasar o impedir el proceso de restauración de archivos y el pronto restablecimiento de las operaciones normales de la OSIATD. Causas La situación comentada en el apartado a. se atribuye a la falta de un análisis de riesgos de los sistemas de información computadorizados del DE que sirviera de base para la preparación y la revisión de un plan de continuidad de negocios. [Véase el Hallazgo 1] Esto, con el propósito de garantizar la continuidad de las operaciones en caso de surgir algún desastre o emergencia. La situación comentada en el apartado b. se debía a que el Secretario tampoco le había requerido a la Directora de la OSIATD que realizara las gestiones necesarias para identificar un lugar disponible y adecuado como centro alterno, y para formalizar los acuerdos necesarios para la utilización del mismo en casos de emergencia. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Para el año fiscal , el Departamento de Educación tiene como meta completar el Business Impact Analysis, realizar un análisis de riesgo de los sistemas de información, desarrollar el Plan de Recuperación de Desastre, evaluar y recomendar un Centro de Recuperación en caso de desastre, y preparar un Plan de Prueba con el fin de ejecutarlo, de acuerdo a las mejores prácticas en sistemas de información. [sic] Véanse las recomendaciones 2.a. y b., y 3.

14 12 TI Hallazgo 3 - Deficiencias relacionadas con la configuración del firewall y falta de normas para detectar, reportar y responder a incidentes de seguridad relacionados con los sistemas de información computadorizados del DE Situaciones a. Al 28 de junio de 2013, el examen de la configuración del servidor principal del DE reveló que el firewall 5 estaba desactivado. b. Al 4 de septiembre de 2014, la OSIATD no tenía un procedimiento o plan para el manejo de incidentes que estableciera, entre otras cosas, una estrategia documentada para el manejo de los incidentes, un equipo de respuesta y la documentación de las actividades relacionadas con los mismos. Criterios Las situaciones comentadas son contrarias a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que: La comunicación con Internet desde adentro de la agencia deberá estar controlada por un firewall. [Apartado a.] El Administrador de Seguridad es responsable de desarrollar procedimientos para detectar, reportar y responder a incidentes de seguridad, incluidos límites para esos incidentes en términos de tiempo máximo y mínimo de respuesta, así como también debe investigar y documentar cualquier anomalía. [Apartado b.] Además, las situaciones comentadas se apartan de lo establecido en la Política TIG-003 de la Carta Circular Sistema que se coloca entre una red de comunicaciones e Internet. Esto, con el propósito de asegurar que todas las comunicaciones entre dicha red e Internet se realicen conforme a las políticas de seguridad de la organización que lo instala. Además, estos sistemas suelen incorporar elementos de privacidad y autenticación, entre otros.

15 TI Efectos La situación comentada en el apartado a. podría facilitar que personas no autorizadas tengan acceso a los sistemas de información del DE y pudieran ocasionar daños a la computadora o a los datos procesados en esta, sin que se pudieran fijar responsabilidades. Lo comentado en el apartado b. le impide a la OSIATD tener un control eficaz y documentado sobre el manejo de incidentes. Además, puede provocar duplicidad de esfuerzo y tiempo ante situaciones inesperadas, lo que afectaría el restablecimiento de los sistemas con prontitud y aumentaría la extensión de los daños, si alguno. Causas La situación comentada en el apartado a. se debía, en parte, a que la Directora de la OSIATD no veló por que el Especialista en Tecnología Cibernética, quien realizaba las funciones relacionadas con la administración de seguridad de los sistemas computadorizados del DE, cumpliera con lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. Entre otros aspectos, no veló por que se instalara al servidor la actualización que permitiría que el firewall se mantuviera encendido. La situación comentada en el apartado b. se atribuye a que el Secretario no había impartido una directriz a la Directora de la OSIATD para el desarrollo y la aprobación de las normas y los procedimientos escritos para el manejo de incidentes. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Como consecuencia de que el programa [ ] no puede coexistir con el servicio de firewall del servidor, el servicio se apaga automáticamente. [sic] [Apartado a.]

16 14 TI El Departamento de Educación actualmente se encuentra desarrollando un procedimiento por escrito para el manejo de incidentes de seguridad, con el fin de implementar el mismo para el año fiscal [sic] [Apartado b.] Véase la Recomendación 2.c.1) y 2). Hallazgo 4 - Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal para las cuentas con acceso a la red del DE Situaciones a. La OSIATD contaba con un servidor principal mediante el cual se controlaba el acceso a los recursos de la red del DE. El examen efectuado el 28 de junio de 2013 sobre los parámetros de seguridad configurados en el sistema operativo de este servidor para el control de las cuentas de acceso a la red, reveló las siguientes deficiencias: 1) El parámetro Account lockout threshold de la opción Account lockout policy no se había definido en, al menos, tres intentos de acceso sin éxito para que el sistema deshabilite automáticamente las cuentas de acceso. En su lugar, se configuró para bloquear las cuentas, luego de 10 intentos sin éxito. 2) No se había definido la política de seguridad para desactivar automáticamente del sistema al usuario una vez venciera el término de acceso a los recursos de la red, previamente establecido (Force logoff when logon hours expire). Criterios La situación comentada en el apartado a.1) es contraria a lo establecido en el Procedimiento para Creación de Cuentas de Usuario en el DE incluido en las Políticas de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que las contraseñas registradas luego de tres intentos fallidos quedarán desactivadas automáticamente. Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece, entre otras cosas, que las entidades gubernamentales deberán implantar

17 TI controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se establece, en parte, mediante la configuración adecuada de las opciones que restringen y controlan el acceso que proveen los distintos sistemas operativos, y la limitación del tiempo de acceso para todas las cuentas de acceso de acuerdo con las funciones de cada usuario. Efectos Las situaciones comentadas pueden propiciar que personas no autorizadas accedan a información confidencial mantenida en los sistemas computadorizados y puedan hacer uso indebido de esta. Además, pueden propiciar la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causa Las situaciones comentadas se debían a que la Directora de la OSIATD no veló por que el Especialista en Tecnología Cibernética pusiera en vigor todas las opciones de seguridad de acceso lógico que provee el sistema operativo del servidor principal. Véase la Recomendación 2.c.3) y 4). Hallazgo 5 - Falta de documentación relacionada con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador de los sistemas operativos, y del otorgamiento de privilegios de conexión remota a los sistemas de información Situaciones a. Al 25 de noviembre de 2013, la Directora de la OSIATD no suministró para examen los documentos justificantes para otorgar privilegio de administrador a 142 cuentas de usuarios y a 64 cuentas genéricas que tenían acceso a los sistemas operativos instalados en los 215 servidores del DE.

18 16 TI Las cuentas con privilegios de administrador permiten, entre otras cosas, realizar cambios a la configuración del sistema, instalar programas y equipos, acceder a todos los archivos de la computadora, y realizar cambios a las cuentas de otros usuarios. b. Al 4 de diciembre de 2013, la Directora de la OSIATD tampoco proveyó documentación justificante para otorgar privilegios para la conexión remota de 153 cuentas a través de una red privada virtual (VPN 6, en inglés) y de 39 cuentas a través de un servicio de acceso remoto (RAS 7, en inglés). Las cuentas con el privilegio de conexión remota les permiten acceder y utilizar la información computadorizada de una entidad desde un lugar distinto de donde está guardada la misma. Criterios Las situaciones comentadas se apartan de lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Además, se establece que: La información y los programas de aplicación utilizados en las operaciones de la entidad gubernamental deberán tener controles de acceso para su utilización, de tal manera que solamente el personal autorizado pueda ver los datos necesarios, o usar las aplicaciones (o la parte de las aplicaciones) que necesita. Estos controles deberán incluir mecanismos de autenticación y autorización. [Apartado a.] 6 Esta es una tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza a base de una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos. 7 Este se refiere a cualquier combinación de hardware y software que permite el acceso remoto a las herramientas o información que normalmente residen en una red de dispositivos de TI.

19 TI Si existe la necesidad de acceder a la red interna desde afuera de las instalaciones de la entidad gubernamental (por ejemplo, para que un empleado realice un trabajo en un programa de aplicación desde Internet), deberán existir los controles de autenticación, confidencialidad, integridad y monitoreo necesarios para proteger los sistemas y la información. [Apartado b.] Esta norma se instrumenta, en parte, mediante el establecimiento de normas y procedimientos específicos para la asignación del privilegio de de administrador de los sistemas operativos y acceso remoto a los usuarios, donde se incluya, entre otras cosas, la justificación y la autorización para el otorgamiento de dichos privilegios. La situación comentada en el apartado b. es contraria a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que todos los usuarios con acceso remoto a la red deben ser autorizados por su Director de área y por el Principal Oficial de Informática o por el Director del Centro de Cómputos. Además, el Administrador de Seguridad evalúa las peticiones y determina su viabilidad. Efectos Las situaciones comentadas impiden mantener la evidencia requerida para determinar si las cuentas de acceso con los privilegios de administrador de los sistemas y las cuentas de acceso remoto están debidamente autorizadas, y si estas son asignadas conforme a las funciones y a los deberes de los usuarios que utilizan las mismas. También pueden propiciar que personas no autorizadas puedan lograr acceso a información confidencial y hacer uso indebido de esta; y la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causa Las situaciones comentadas se debían a que la Directora de la OSIATD no había incluido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico, directrices que permitieran documentar la

20 18 TI creación, la modificación y la cancelación de las cuentas con privilegios de administrador de los sistemas operativos y de conexión remota a los sistemas computadorizados del DE. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Según establecido en el Procedimiento de Seguridad, el Formulario para Autorización de Cuenta de Usuario se utiliza para justificar solicitudes de acceso remoto a la red (VPN) y el otorgamiento de privilegios de administrador. Dicho formulario debe ser aprobado por el Director de área o supervisor inmediato, y por el Principal Oficial de Informática o por el Director del Centro de Cómputos. Sin embargo, no se nos suministró evidencia de haber completado dicho formulario para justificar y autorizar los privilegios de administrador de las cuentas indicadas y el acceso remoto a la red. Véase la Recomendación 2.d. Hallazgo 6 - Falta de un registro de programas instalados en cada computadora Situación a. Al 28 de junio de 2013, el DE contaba con un inventario de 60,331 equipos computadorizados adquiridos por $62,367,124. De estos, 10,739 eran computadoras de escritorios (desktop), 26,015 eran computadoras portátiles (laptops) y 13,029 eran tabletas (tablets) que eran utilizadas por empleados y estudiantes del DE localizados en la Oficina Central, las 7 oficinas regionales, los 28 distritos escolares y las 1,461 escuelas. Además, contaba con 147 servidores físicos, a los cuales se les habían instalado varios sistemas operativos. A las computadoras de escritorio y a las portátiles del DE, se les instalaba una imagen que incluía varias aplicaciones, tales como: el sistema operativo; el antivirus; el lenguaje de programación; la aplicación para visualizar, imprimir y añadir documentos PDF; y múltiples herramientas para uso de oficina.

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 -

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - Auditoría 13826) Período auditado: 1 de abril al 6 de diciembre

Más detalles

INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría

INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría 13964) Período auditado: 17 de septiembre de 2014 al 16

Más detalles

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría 13359) Período auditado: 9 de septiembre de 2009 al 28

Más detalles

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información INFORME DE AUDITORÍA TI-12-08 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información () Período auditado: 23 de diciembre de 2008 al 18 de noviembre de 2009 1

Más detalles

INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información

INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información Computadorizados (Unidad 5181 - Auditoría 13897) Período

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

INFORME DE AUDITORÍA TI-12-07 13 de febrero de 2012 Departamento del Trabajo y Recursos Humanos Administración del Derecho al Trabajo Oficina de

INFORME DE AUDITORÍA TI-12-07 13 de febrero de 2012 Departamento del Trabajo y Recursos Humanos Administración del Derecho al Trabajo Oficina de INFORME DE AUDITORÍA TI-12-07 Departamento del Trabajo y Recursos Humanos Administración del Derecho al Trabajo Oficina de Informática () Período auditado: 13 de abril al 15 de septiembre de 2009 Informe

Más detalles

INFORME DE AUDITORÍA TI-14-13 4 de abril de 2014 Departamento de Hacienda Negociado de la Lotería de Puerto Rico - Lotería Tradicional Sistema de

INFORME DE AUDITORÍA TI-14-13 4 de abril de 2014 Departamento de Hacienda Negociado de la Lotería de Puerto Rico - Lotería Tradicional Sistema de INFORME DE AUDITORÍA TI-14-13 4 de abril de 2014 Departamento de Hacienda Negociado de la Lotería de Puerto Rico - Lotería Tradicional Sistema de Información Computadorizado (Unidad 5251 - Auditoría 13641)

Más detalles

INFORME DE AUDITORÍA TI-16-04 20 de noviembre de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia

INFORME DE AUDITORÍA TI-16-04 20 de noviembre de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia INFORME DE AUDITORÍA TI-16-04 20 de noviembre de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (Unidad 5260 - Auditoría 13961) Período auditado: 12

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

INFORME DE AUDITORÍA DA-13-25 14 de diciembre de 2012 Tribunal General de Justicia Tribunal de Primera Instancia Centro Judicial de Carolina (Unidad

INFORME DE AUDITORÍA DA-13-25 14 de diciembre de 2012 Tribunal General de Justicia Tribunal de Primera Instancia Centro Judicial de Carolina (Unidad INFORME DE AUDITORÍA DA-13-25 14 de diciembre de 2012 Tribunal General de Justicia Tribunal de Primera Instancia Centro Judicial de Carolina (Unidad 2384 - Auditoría 13599) Período auditado: 1 de enero

Más detalles

INFORME DE AUDITORÍA DA-15-33 17 de abril de 2015 Departamento de Educación Unidad Secretarial del Procedimiento de Querellas y Remedio Provisional

INFORME DE AUDITORÍA DA-15-33 17 de abril de 2015 Departamento de Educación Unidad Secretarial del Procedimiento de Querellas y Remedio Provisional INFORME DE AUDITORÍA DA-15-33 17 de abril de 2015 Departamento de Educación Unidad Secretarial del Procedimiento de Querellas y Remedio Provisional (Unidad 1201 - Auditoría 13937) Período auditado: 1 de

Más detalles

INFORME DE AUDITORÍA DA-16-02 17 de agosto de 2015 Tribunal General de Justicia Región Judicial de Ponce (Unidad 2313 - Auditoría 13980)

INFORME DE AUDITORÍA DA-16-02 17 de agosto de 2015 Tribunal General de Justicia Región Judicial de Ponce (Unidad 2313 - Auditoría 13980) INFORME DE AUDITORÍA DA-16-02 17 de agosto de 2015 Tribunal General de Justicia Región Judicial de Ponce (Unidad 2313 - Auditoría 13980) Período auditado: 1 de julio de 2011 al 30 de junio de 2015 DA-16-02

Más detalles

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro INFORME DE AUDITORÍA TI-10-12 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro de Sistemas de Información () Período auditado: 17 de marzo al 28 de octubre

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

INFORME DE AUDITORÍA TI-10-04 14 de agosto de 2009 DEPARTAMENTO DE CORRECCIÓN Y REHABILITACIÓN OFICINA DE SERVICIOS CON ANTELACIÓN AL JUICIO OFICINA

INFORME DE AUDITORÍA TI-10-04 14 de agosto de 2009 DEPARTAMENTO DE CORRECCIÓN Y REHABILITACIÓN OFICINA DE SERVICIOS CON ANTELACIÓN AL JUICIO OFICINA INFORME DE AUDITORÍA TI-10-04 DEPARTAMENTO DE CORRECCIÓN Y REHABILITACIÓN OFICINA DE SERVICIOS CON ANTELACIÓN AL JUICIO OFICINA DE SISTEMAS DE INFORMACIÓN () Período auditado: 6 de junio de 2007 al 15

Más detalles

INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría

INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría 13751) Período auditado: 18 de junio de 2012 al 30 de

Más detalles

INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811)

INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811) INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811) Período auditado: 18 de febrero de 2013 al 19 de febrero

Más detalles

INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 -

INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 - INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 - Auditoría 13896) Período auditado: 7 de marzo al 19

Más detalles

INFORME DE AUDITORÍA TI-14-07 25 de enero de 2014 Departamento de Estado Sistemas de Información Computadorizados (Unidad 5265 - Auditoría 13657)

INFORME DE AUDITORÍA TI-14-07 25 de enero de 2014 Departamento de Estado Sistemas de Información Computadorizados (Unidad 5265 - Auditoría 13657) INFORME DE AUDITORÍA TI-14-07 25 de enero de 2014 Departamento de Estado Sistemas de Información Computadorizados (Unidad 5265 - Auditoría 13657) Período auditado: 1 de septiembre de 2011 al 9 de marzo

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

INFORME DE AUDITORÍA DA-14-31 29 de enero de 2014 Administración de la Industria y el Deporte Hípico (Unidad 1401 - Auditoría 13705)

INFORME DE AUDITORÍA DA-14-31 29 de enero de 2014 Administración de la Industria y el Deporte Hípico (Unidad 1401 - Auditoría 13705) INFORME DE AUDITORÍA DA-14-31 29 de enero de 2014 Administración de la Industria y el Deporte Hípico (Unidad 1401 - Auditoría 13705) Período auditado: 1 de enero de 2009 al 31 de diciembre de 2012 DA-14-31

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

INFORME DE AUDITORÍA TI-05-04 12 de noviembre de 2004 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información (Unidad

INFORME DE AUDITORÍA TI-05-04 12 de noviembre de 2004 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información (Unidad INFORME DE AUDITORÍA TI-05-04 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información () Período auditado: 8 de octubre de 2002 al 15 de mayo de 2003 Informe de Auditoría

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ESTADO LIBRE ASOCIADO DE PUERTO RICO MUNICIPIO DE LA CIUDAD CAPITAL SAN JUAN BAUTISTA ORDEN EJECUTIVA NUM. JS - 038 SERIE 2002-2003

ESTADO LIBRE ASOCIADO DE PUERTO RICO MUNICIPIO DE LA CIUDAD CAPITAL SAN JUAN BAUTISTA ORDEN EJECUTIVA NUM. JS - 038 SERIE 2002-2003 ESTADO LIBRE ASOCIADO DE PUERTO RICO MUNICIPIO DE LA CIUDAD CAPITAL SAN JUAN BAUTISTA ORDEN EJECUTIVA NUM. JS - 038 SERIE 2002-2003 PARA ADOPTAR EL REGLAMENTO PARA EL USO Y CONTROL DE BEEPERS Y TELEFONOS

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

UNIVERSIDAD METROPOLITANA ESCUELA DE EDUCACIÓN

UNIVERSIDAD METROPOLITANA ESCUELA DE EDUCACIÓN UNIVERSIDAD METROPOLITANA ESCUELA DE EDUCACIÓN Estructura Central El Departamento de Educación (DE) está encabezado por un Secretario (nombrado por el gobernador de Puerto Rico, y que es miembro del gabinete

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

UNIVERSIDAD DE PUERTO RICO JUNTA DE SÍDICOS

UNIVERSIDAD DE PUERTO RICO JUNTA DE SÍDICOS UNIVERSIDAD DE PUERTO RICO JUNTA DE SÍDICOS DEPARTAMENTO DE ESTADO Núm. Reglamento 7471 Fecha Rad: 5 de marzo de 2008 Aprobado: Hon. Fernando J. Bonilla Política Institncional sobre el Uso Aceptable de

Más detalles

INFORME DE AUDITORÍA TI-07-08 24 de mayo de 2007 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE

INFORME DE AUDITORÍA TI-07-08 24 de mayo de 2007 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE INFORME DE AUDITORÍA TI-07-08 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS () Período auditado: 16 de febrero al 17 de

Más detalles

Reembolsos a Funcionarios y Empleados Públicos por Gastos Incurridos y Pagados con Fondos Particulares para Fines Públicos

Reembolsos a Funcionarios y Empleados Públicos por Gastos Incurridos y Pagados con Fondos Particulares para Fines Públicos 26-00-01 Estado Libre Asociado de Puerto Rico DEPARTAMENTO DE HACIENDA Área de la Contabilidad Central de Gobierno Reglamento Núm. 26 Reembolsos a Funcionarios y Empleados Públicos por Gastos Incurridos

Más detalles

INFORME DE AUDITORÍA TI-05-05 17 de noviembre de 2004 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información

INFORME DE AUDITORÍA TI-05-05 17 de noviembre de 2004 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información INFORME DE AUDITORÍA TI-05-05 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información () Período auditado: 21 de octubre de 2003 al 15 de julio de 2004 Informe de Auditoría

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

INFORME DE AUDITORÍA TI-14-19 16 de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información

INFORME DE AUDITORÍA TI-14-19 16 de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información INFORME DE AUDITORÍA TI-14-19 16 de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información Gubernamental (Unidad 5385 - Auditoría 13752) Período auditado:

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Universidad de Puerto Rico Recinto de Ciencias Médicas

Universidad de Puerto Rico Recinto de Ciencias Médicas Universidad de Puerto Rico Recinto de Ciencias Médicas Política de Seguridad de Tecnologías de Información del RCM 1 Base Legal 1.1 Ley Federal Family Education Rights and Privacy Act (FERPA) de 1974 1.2

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Informe de Auditoría DA-00-13. 30 de diciembre de 1999. DEPARTAMENTO DE HACIENDA NEGOCIADO DE RECAUDACIONES (Unidad 1041)

Informe de Auditoría DA-00-13. 30 de diciembre de 1999. DEPARTAMENTO DE HACIENDA NEGOCIADO DE RECAUDACIONES (Unidad 1041) Informe de Auditoría DA-00-13 30 de diciembre de 1999 DEPARTAMENTO DE HACIENDA NEGOCIADO DE RECAUDACIONES (Unidad 1041) Período auditado : 1 de diciembre de 1992 al 31 de diciembre de 1998 CONTENIDO Página

Más detalles

Informe de Auditoría DB-98-1. 1 de diciembre de 1997

Informe de Auditoría DB-98-1. 1 de diciembre de 1997 Informe de Auditoría DB-98-1 1 de diciembre de 1997 TRIBUNAL GENERAL DE JUSTICIA DE PUERTO RICO TRIBUNAL DE PRIMERA INSTANCIA SUBSECCION DE DISTRITO - SALA DE GUAYNABO (Unidad 2346) Periodo auditado :

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

INFORME DE AUDITORÍA TI-14-09 9 de febrero de 2014 Universidad de Puerto Rico Administración Central (Unidad 5485 - Auditoría 13600)

INFORME DE AUDITORÍA TI-14-09 9 de febrero de 2014 Universidad de Puerto Rico Administración Central (Unidad 5485 - Auditoría 13600) INFORME DE AUDITORÍA TI-14-09 9 de febrero de 2014 Universidad de Puerto Rico Administración Central (Unidad 5485 - Auditoría 13600) Período auditado: 1 de julio de 2000 al 3 de febrero de 2012 TI-14-09

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

INFORME DE AUDITORÍA CP-14-15 3 de mayo de 2014 Autoridad del Distrito del Centro de Convenciones de Puerto Rico (Unidad 3159 - Auditoría 13475)

INFORME DE AUDITORÍA CP-14-15 3 de mayo de 2014 Autoridad del Distrito del Centro de Convenciones de Puerto Rico (Unidad 3159 - Auditoría 13475) INFORME DE AUDITORÍA CP-14-15 3 de mayo de 2014 Autoridad del Distrito del Centro de Convenciones de Puerto Rico (Unidad 3159 - Auditoría 13475) Período auditado: 4 de octubre de 2001 al 31 de diciembre

Más detalles

INFORME DE AUDITORÍA CP-14-04 11 de octubre de 2013 Universidad de Puerto Rico en Cayey (Unidad 3057 - Auditoría 13774)

INFORME DE AUDITORÍA CP-14-04 11 de octubre de 2013 Universidad de Puerto Rico en Cayey (Unidad 3057 - Auditoría 13774) INFORME DE AUDITORÍA CP-14-04 11 de octubre de 2013 Universidad de Puerto Rico en Cayey (Unidad 3057 - Auditoría 13774) Período auditado: 1 de enero de 2009 al 31 de diciembre de 2012 CP-14-04 1 CONTENIDO

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Estado Libre Asociado de Puerto Rico Oficina del Contralor

Estado Libre Asociado de Puerto Rico Oficina del Contralor Estado Libre Asociado de Puerto Rico Oficina del Contralor Manuel Díaz Saldaña Contra/or Carta Circular OC-lO-OS Año Fiscal 2009-10 Gobernador, presidentes del Senado de Puerto Rico y de la Cámara de Representantes,

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

DESARROLLO Y MANTENIMIENTO DE SITIOS WEB AGENCIALES ( WEB SITES )

DESARROLLO Y MANTENIMIENTO DE SITIOS WEB AGENCIALES ( WEB SITES ) POLÍTICA NÚM. TIG 002 DESARROLLO Y MANTENIMIENTO DE SITIOS WEB AGENCIALES ( WEB SITES ) FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 3 de abril de 2013 DESCRIPCIÓN DE LA POLÍTICA Cada

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

INFORME DE AUDITORÍA DE-11-24 6 de junio de 2011 Departamento de Educación Escuela de la Comunidad Segunda Unidad Juan Ponce de León de Guaynabo

INFORME DE AUDITORÍA DE-11-24 6 de junio de 2011 Departamento de Educación Escuela de la Comunidad Segunda Unidad Juan Ponce de León de Guaynabo INFORME DE AUDITORÍA DE-11-24 Departamento de Educación Escuela de la Comunidad Segunda Unidad Juan Ponce de León de Guaynabo () Período auditado: 1 de julio de 2004 al 30 de junio de 2007 Informe de

Más detalles

Estado Libre Asociado de Puerto Rico Oficina d e l Contralor

Estado Libre Asociado de Puerto Rico Oficina d e l Contralor Estado Libre Asociado de Puerto Rico Oficina d e l Contralor Ycsmín M. Va ldivieso Conmilora Carta Circular OC-15-25 Afio Fiscal 2014-2015 18 de junio de 20 15 Gobernador, presidentes del Senado de Puerto

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Informe de Auditoría DA-00-27. 8 de mayo de 2000. DEPARTAMENTO DE HACIENDA AREA DE SEGUROS PÚBLICOS (Unidad 1042)

Informe de Auditoría DA-00-27. 8 de mayo de 2000. DEPARTAMENTO DE HACIENDA AREA DE SEGUROS PÚBLICOS (Unidad 1042) Informe de Auditoría DA-00-27 8 de mayo de 2000 DEPARTAMENTO DE HACIENDA AREA DE SEGUROS PÚBLICOS (Unidad 1042) Período auditado : 1 de julio de 1993 al 31 de diciembre de 1999 CONTENIDO Información sobre

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

Políticas de Seguridad Lógica (Anexo 6)

Políticas de Seguridad Lógica (Anexo 6) Normatividad Informática 1 Anexo 6 Políticas de Seguridad Lógica Normatividad Informática 2 Política de Seguridad Lógica Objetivo General El presente anexo establece los lineamientos técnicos para la administración

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Acueductospr.com TÉRMINOS DE USO

Acueductospr.com TÉRMINOS DE USO Autoridad de Acueductos y Alcantarillados de Puerto Rico Estado Libre Asociado de Puerto Rico Acueductospr.com TÉRMINOS DE USO Introducción Gracias por visitar www.acueductospr.com, el Portal electrónico

Más detalles

ENCARGADO /A AREA DE AUDITORÍA

ENCARGADO /A AREA DE AUDITORÍA ENCARGADO /A AREA DE AUDITORÍA NATURALEZA DEL TRABAJO Participación en la planeación, dirección, coordinación, supervisión y ejecución de labores profesionales, técnicas y administrativas de alguna dificultad

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Manual de Seguridad Informática Centro de Cómputo (Políticas, Controles) Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Contenido Introducción 3 Objetivos 4 Alcances 4 Equipo

Más detalles

INFORME DE AUDITORÍA M-15-09 14 de octubre de 2014 Municipio de Aguadilla Programa Head Start (Unidad 4003 - Auditoría 13787)

INFORME DE AUDITORÍA M-15-09 14 de octubre de 2014 Municipio de Aguadilla Programa Head Start (Unidad 4003 - Auditoría 13787) INFORME DE AUDITORÍA M-15-09 14 de octubre de 2014 Municipio de Aguadilla Programa Head Start (Unidad 4003 - Auditoría 13787) Período auditado: 1 de julio de 2009 al 31 de diciembre de 2012 M-15-09 1

Más detalles

T: (506) 2501-8000 F: (506) 2501-8100 C: contraloria.general@cgr.go.cr S: http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica

T: (506) 2501-8000 F: (506) 2501-8100 C: contraloria.general@cgr.go.cr S: http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica INFORME NRO. DFOE-EC-IF-14-2013 20 DE DICIEMBRE DE 2013 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA LIQUIDACIÓN

Más detalles

INFORME DE AUDITORÍA M-15-29 11 de mayo de 2015 Municipio de Hatillo (Unidad 4034 - Auditoría 13772)

INFORME DE AUDITORÍA M-15-29 11 de mayo de 2015 Municipio de Hatillo (Unidad 4034 - Auditoría 13772) INFORME DE AUDITORÍA M-15-29 11 de mayo de 2015 Municipio de Hatillo (Unidad 4034 - Auditoría 13772) Período auditado: 1 de enero de 2011 al 30 de junio de 2013 M-15-29 1 CONTENIDO Página ALCANCE Y METODOLOGÍA...

Más detalles

Tribunal Registral Administrativo

Tribunal Registral Administrativo Tribunal Registral Administrativo MANUAL DE USO E INSTALACIÓN DE PROGRAMAS DE CÓMPUTO 18 JUNIO 2015 (APROBADO EN SESIÓN N. 26-2015 DEL 1 DE JULIO DE 2015) Contenido 1. INTRODUCCIÓN... 3 2. ALCANCE... 3

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

Nombre del Puesto. Jefe Departamento de Presupuesto. Jefe Departamento de Presupuesto. Director Financiero. Dirección Financiera

Nombre del Puesto. Jefe Departamento de Presupuesto. Jefe Departamento de Presupuesto. Director Financiero. Dirección Financiera Nombre del Puesto Jefe Departamento de Presupuesto IDENTIFICACIÓN Nombre / Título del Puesto: Puesto Superior Inmediato: Dirección / Gerencia Departamento: Jefe Departamento de Presupuesto Director Financiero

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Informe de Auditoría M-00-39. I3 de junio de 2000. MUNICIPIO DE GURABO (Unidad 4033)

Informe de Auditoría M-00-39. I3 de junio de 2000. MUNICIPIO DE GURABO (Unidad 4033) Informe de Auditoría M-00-39 I3 de junio de 2000 MUNICIPIO DE GURABO (Unidad 4033) Período auditado : I de julio de I996 al 3I de diciembre de I998 CONTENIDO Página Información sobre la unidad auditada

Más detalles

Fecha 8/02/2013. Contenido

Fecha 8/02/2013. Contenido Acuerdo de Nivel Mesa Elaborado por: Juan Pablo Pérez Wilson Viana Uribe Fecha 15/01/2013 Código: P-GSI-4xxxxx Versión: 01 Revisado por: Wilson Viana Uribe Fecha 8/02/2013 Aprobado por: Marco Mesa Fecha

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

DEPARTAMENTO DE AUDITORÍA SECTOR ECONOMICO Y FINANZAS

DEPARTAMENTO DE AUDITORÍA SECTOR ECONOMICO Y FINANZAS h DEPARTAMENTO DE AUDITORÍA SECTOR ECONOMICO Y FINANZAS AUDITORÍA FINANCIERA Y DE CUMPLIMIENTO LEGAL PRACTICADA AL CONSULADO GENERAL DE HONDURAS EN ATLANTA, GEORGIA; E.U.A. INFORME Nº 001-2007-DASEF-SRE-B

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Oficina de Propiedad

Oficina de Propiedad Oficina de Propiedad Procedimiento para la Designación y Responsabilidades del Personal a Cargo del Control de la Propiedad Mueble Reglamentación a. Reglamento para el Control de la Propiedad Mueble de

Más detalles

POLÍTICAS DE USO DE LA RED INALÁMBRICA CETI

POLÍTICAS DE USO DE LA RED INALÁMBRICA CETI Generalidades. POLÍTICAS DE USO DE LA RED INALÁMBRICA CETI El CETI, a través de la Oficina de Tecnologías en Informática y Computación (OTIC), brinda a la comunidad académica y estudiantil el servicio

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

INFORME DE AUDITORÍA TI-15-05 20 de enero de 2015 Departamento de la Familia Administración para el Sustento de Menores Oficina de Sistemas y

INFORME DE AUDITORÍA TI-15-05 20 de enero de 2015 Departamento de la Familia Administración para el Sustento de Menores Oficina de Sistemas y INFORME DE AUDITORÍA TI-15-05 20 de enero de 2015 Departamento de la Familia Administración para el Sustento de Menores Oficina de Sistemas y Tecnología (Unidad 5075 - Auditoría 13865) Período auditado:

Más detalles

INFORME DE AUDITORÍA TI-14-10 14 de febrero de 2014 Autoridad Metropolitana de Autobuses Oficina de Sistemas de Información (Unidad 5140 - Auditoría

INFORME DE AUDITORÍA TI-14-10 14 de febrero de 2014 Autoridad Metropolitana de Autobuses Oficina de Sistemas de Información (Unidad 5140 - Auditoría INFORME DE AUDITORÍA TI-14-10 14 de febrero de 2014 Autoridad Metropolitana de Autobuses Oficina de Sistemas de Información (Unidad 5140 - Auditoría 13753) Período auditado: 18 de junio de 2012 al 15 de

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

INFORME DE AUDITORÍA DA-15-42 29 de mayo de 2015 Departamento de Salud Hospital Pediátrico Universitario Dr. Antonio Ortiz (Unidad 2243 - Auditoría

INFORME DE AUDITORÍA DA-15-42 29 de mayo de 2015 Departamento de Salud Hospital Pediátrico Universitario Dr. Antonio Ortiz (Unidad 2243 - Auditoría INFORME DE AUDITORÍA DA-15-42 29 de mayo de 2015 Departamento de Salud Hospital Pediátrico Universitario Dr. Antonio Ortiz (Unidad 2243 - Auditoría 13925) Período auditado: 1 de enero de 2011 al 30 de

Más detalles

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MUNICIPIO DE GAMA 1 CONTENIDO 1. INTRODUCCION 2. OBJETIVOS 3. AMBITO DE APLICACIÓN 4. NORMAS DE USO DE LOS EQUIPOS DE CÓMPUTO 5.

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles