INFORME DE AUDITORÍA TI de noviembre de 2004 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información

Transcripción

1 INFORME DE AUDITORÍA TI Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información () Período auditado: 21 de octubre de 2003 al 15 de julio de 2004

2

3 Informe de Auditoría TI CONTENIDO Página INFORMACIÓN SOBRE LA UNIDAD AUDITADA...3 RESPONSABILIDAD DE LA GERENCIA...5 ALCANCE Y METODOLOGÍA...6 OPINIÓN...6 RECOMENDACIONES...7 AL PROCURADOR DE LAS PERSONAS CON IMPEDIMENTOS...7 CARTAS A LA GERENCIA...10 COMENTARIOS DE LA GERENCIA...10 AGRADECIMIENTO...10 RELACIÓN DETALLADA DE HALLAZGOS...11 CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO...11 HALLAZGOS EN LA OFICINA DE SISTEMAS DE INFORMACIÓN DE LA OFICINA DEL PROCURADOR DE LAS PERSONAS CON IMPEDIMENTOS Microcomputadoras utilizadas para fines ajenos a la gestión pública Faltas en los controles de acceso lógico a los servidores conectados a la red de comunicaciones y en las revisiones periódicas de los registros de eventos de los servidores principales Deficiencias relacionadas con la documentación de la configuración de las instalaciones de la red de comunicaciones Deficiencias relacionadas con la solicitud de acceso a la red de comunicaciones, al correo electrónico y a la Internet Faltas relacionadas con la seguridad y el acceso físico en el área de los servidores ubicados en las oficinas regionales Normas y procedimientos operacionales de la OSI incompletos Deficiencias en la preparación y en el manejo de los resguardos de los archivos computadorizados de información Deficiencias relacionadas con el Plan de Contingencias y falta de acuerdos por escrito para mantener un Centro Alterno de recuperación de sistemas de información...27

4 Informe de Auditoría TI ANEJO 1 - FUNCIONARIOS PRINCIPALES DEL NIVEL EJECUTIVO QUE ACTUARON DURANTE EL PERÍODO AUDITADO...31 ANEJO 2 - MIEMBROS DEL CONSEJO CONSULTIVO QUE ACTUARON DURANTE EL PERÍODO AUDITADO...32

5 Informe de Auditoría TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico A la Gobernadora y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información (OSI) de la Oficina del Procurador de las Personas con Impedimentos (OPPI) para determinar si se hicieron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Efectuamos la misma a base de la facultad que se nos confiere en la Sección 22 del Artículo III de la Constitución del Estado Libre Asociado de Puerto Rico y en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. Determinamos emitir varios informes de dicha auditoría. Este es el primer informe y contiene el resultado de nuestro examen de los controles generales establecidos en la OSI, y sobre el uso y los controles establecidos para las microcomputadoras, la red de comunicación local y la Internet. INFORMACIÓN SOBRE LA UNIDAD AUDITADA La OPPI se creó mediante la Ley Núm. 2 del 27 de septiembre de 1985, Ley de la Oficina del Procurador de las Personas con Impedimentos (Ley Núm. 2), según enmendada. Mediante la Orden Ejecutiva OE del 9 de septiembre de 1993 se adscribió a la OPPI el Comité del Gobernador Pro-Empleo de las Personas con Impedimentos. Este Comité tiene la

6 Informe de Auditoría TI responsabilidad de asesorar y recomendar a la Oficina del Gobernador la política pública y los recursos necesarios para mejorar las condiciones de empleo de las personas con impedimentos. La Orden Ejecutiva Núm del 12 de abril de 1994 creó la Comisión de Derechos Ciudadanos, adscrita a la Oficina del Gobernador. Mediante esta Orden Ejecutiva la OPPI pasó a ser parte de dicha Comisión. La misma estaba compuesta por los directores ejecutivos de la Comisión para los Asuntos de la Mujer, de la Oficina de Asuntos a la Vejez y de la Oficina de Asuntos de la Juventud, y los procuradores de las Personas con Impedimentos y del Veterano. Entre las funciones y facultades de la Comisión se encontraban las de supervisar las agencias representadas por los miembros de la Comisión en cualquier asunto relacionado con las responsabilidades y funciones que le son conferidas por ley, coordinar y evaluar las operaciones y el funcionamiento de las agencias representadas en la Comisión para lograr una mayor efectividad en la ejecución de los programas y servicios, mantener informado al Gobernador y rendir los informes que le fueran requeridos. Mediante la Orden Ejecutiva Núm del 24 de julio de 2001 se derogó la mencionada Orden Ejecutiva Núm La Ley Núm. 9 del 5 de enero de 2002 enmendó la Ley Núm. 2 para convertir a la OPPI en una entidad jurídica independiente y separada de cualquier otra agencia pública. Esto, con el objetivo de fortalecer y hacer cumplir la política pública del gobierno y garantizar el pleno desarrollo y respeto de los derechos de las personas con impedimentos. La OPPI es dirigida por el Procurador de las Personas con Impedimentos, nombrado por el Gobernador por el término de 10 años. Además, cuenta con un Consejo Consultivo, nombrado por el Gobernador constituido por nueve miembros para asesorar a la OPPI en asuntos relacionados con la implantación de la ley. El Procurador de las Personas con Impedimentos es el Presidente ex officio del Consejo. Los miembros del Consejo son nombrados por un término de cuatro años. A la fecha de nuestra auditoría, la OSI tenía en operación seis computadoras con sus equipos periferales correspondientes. Dos marca Compaq, modelo Proliant ML350; una marca

7 Informe de Auditoría TI Avant, modelo New Gate AP 2300; una marca Hewlett Packard, modelo VECTRA VL; una marca Micron, modelo Netframe 2101; y una marca Dell, modelo Power Edge Las mismas se utilizaban como servidores de una red de comunicaciones local con el sistema operativo Windows Esta red permitía la comunicación de los usuarios de la Oficina Central de la OPPI al Correo Electrónico, a la Internet, al Sistema de Manejo de Casos, al Puerto Rico Integrated Financial Administration System (PRIFAS) y al Sistema Recursos Humanos Mecanizados (RHUM). Además, se habían instalado redes de comunicación local en las oficinas regionales de la OPPI localizadas en Aguada, Arecibo, Ponce y Humacao. Cada una de estas redes estaba compuesta por un servidor marca ACER, modelo S-Series, con el sistema operativo Windows 2000 Server y sus correspondientes equipos periferales. Los gastos operacionales de la OSI eran sufragados del presupuesto de la OPPI que, para el año fiscal ascendió a $4,594,911. RESPONSABILIDAD DE LA GERENCIA Con el propósito de lograr una administración eficaz, regida por principios de calidad, la gerencia de todo organismo gubernamental, entre otras cosas, es responsable de: 1. Adoptar normas y procedimientos escritos que contengan controles internos de administración y de contabilidad eficaces, y observar que se cumpla con los mismos 2. Mantener una oficina de auditoría interna competente 3. Cumplir con los requisitos impuestos por las agencias reguladoras 4. Adoptar un plan estratégico para las operaciones 5. Mantener el control presupuestario 6. Mantenerse al día con los avances tecnológicos 7. Mantener sistemas adecuados de archivo y de control de documentos

8 Informe de Auditoría TI Cumplir con el Plan de Acción Correctiva de la Oficina del Contralor de Puerto Rico, y atender las recomendaciones de los auditores externos 9. Mantener un sistema adecuado de administración de personal que incluya la evaluación del desempeño, y un programa de educación continua para todo el personal 10. Cumplir con la Ley de Ética Gubernamental, lo cual incluye divulgar sus disposiciones a todo el personal ALCANCE Y METODOLOGÍA La auditoría cubrió del 21 de octubre de 2003 al 15 de julio de En algunos aspectos se examinaron transacciones de fechas anteriores. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias. Para efectuar la auditoría utilizamos la siguiente metodología: Entrevistas a funcionarios, a empleados y a particulares Inspecciones físicas Examen y análisis de informes y de documentos generados por la unidad auditada Análisis de información suministrada por fuentes externas Pruebas y análisis de información financiera, de procedimientos de control interno y de otros procesos Confirmaciones de información pertinente OPINIÓN Las pruebas efectuadas demostraron que las operaciones de la OSI en lo que concierne a los controles generales y al uso y los controles establecidos para las microcomputadoras, la red de comunicación local y la Internet se realizaron sustancialmente conforme a las normas generalmente aceptadas en este campo y que el sistema de control interno establecido era

9 Informe de Auditoría TI razonablemente adecuado, excepto por los hallazgos 1 al 3 clasificados como principales y los hallazgos 4 al 8 clasificados como secundarios. Nuestro examen de los controles internos no necesariamente reveló todas las faltas existentes. En la parte de este informe titulada RELACIÓN DETALLADA DE HALLAZGOS se comentan los hallazgos 1 al 8. RECOMENDACIONES AL PROCURADOR DE LAS PERSONAS CON IMPEDIMENTOS 1. Ejercer una supervisión eficaz sobre el Director de la OSI para asegurarse de que, dentro de un término razonable: a. Oriente a los funcionarios y empleados de la OPPI, en forma verbal y por escrito, sobre las restricciones para el uso oficial de las microcomputadoras y de las cuentas para acceder a la Internet, y conservar evidencia de dichas orientaciones. [Hallazgo 1] b. Establezca por escrito los controles necesarios para asegurar el uso oficial de los sistemas computadorizados y de las cuentas para acceder a la Internet. [Hallazgo 1] c. Efectúe inspecciones periódicas para verificar el cumplimiento de las normas y los controles establecidos para el uso oficial de las microcomputadoras y de las cuentas para acceder a la Internet. [Hallazgo 1] d. Incluya una advertencia en la pantalla inicial de las microcomputadoras para que se notifique a los usuarios sobre las normas principales para el uso de las mismas y éstos se comprometan a observarlas y conozcan las medidas aplicables en caso de violación a las mismas. [Hallazgo 1]

10 Informe de Auditoría TI e. Efectúe las modificaciones necesarias a las pantallas de políticas de control de contraseñas (Account Policy) y de políticas de auditoría (Audit Policy) para atender los asuntos que se comentan. [Hallazgo 2-a. y b. y c.2)] f. Asigne el horario de acceso a todos los usuarios de la red de acuerdo con las necesidades del servicio. [Hallazgo 2-c.1)] g. Imparta instrucciones al personal encargado de administrar la red para que revise periódicamente el registro de eventos (Log File) que producen los diferentes servidores principales de la red de comunicaciones y mantenga la documentación de las revisiones realizadas. [Hallazgo 2-d.] h. Prepare la documentación de las instalaciones y la configuración de la red de la OPPI y un diagrama esquemático de las conexiones y del cableado de la misma. [Hallazgo 3] i. Prepare para su aprobación un formulario para la solicitud, creación, aprobación y cancelación de los códigos de acceso a los sistemas de información de la OPPI. [Hallazgo 4-a.1)] j. Requiera la presentación del formulario Autorización para Utilización de Internet y Correo Electrónico a todo usuario que solicite estos servicios. [Hallazgo 4-a.2)] k. Implante medidas para controlar el acceso a las áreas donde se ubican los servidores y que las mismas reúnan las condiciones de seguridad y ambientales necesarias. [Hallazgo 5] l. Prepare para su aprobación y firma las enmiendas necesarias a las normas y los procedimientos operacionales de la OSI para incluir instrucciones específicas sobre las operaciones computadorizadas que se indican en el Hallazgo 6.

11 Informe de Auditoría TI m. Prepare un programa de orientación a los usuarios de las microcomputadoras sobre los procedimientos para la preparación de resguardos de la información almacenada en dichos equipos. [Hallazgo 7-a.] n. Duplique periódicamente la información almacenada en medios electrónicos que se utilice como parte de la operación normal de la OSI y mantenga una copia de dicha información y de la documentación de los programas en un lugar seguro fuera de los predios de la agencia. [Hallazgo 7-b.1) y c.] o. Establezca un registro de los resguardos mantenidos en la OSI y en la institución bancaria en los que se identifique la fecha de creación, el contenido y el responsable de su creación. [Hallazgo 7-b.2) y d.2)] p. Vea que se almacenen las cintas de resguardo en un lugar seguro. [Hallazgo 7-d.1)] q. Establezca en las normas y en los procedimientos operacionales de la OSI directrices específicas para requerir la uniformidad en la forma de identificar los resguardos. [Hallazgo 7-d.3)] r. Revise y actualice el Plan de Contingencias conforme a los aspectos señalados en el Hallazgo 8-a. y b. y someta el mismo en forma final, según enmendado, para su consideración y aprobación. s. Mantenga una copia del Plan de Contingencias aprobado en un lugar seguro fuera de la OPPI. [Hallazgo 8-c.] 2. Formalizar acuerdos por escrito con un Centro Alterno que acepte la utilización de sus respectivos equipos en caso de desastres o emergencias en la OPPI, o considerar establecer su propio Centro Alterno en alguna de sus oficinas regionales. [Hallazgo 8-d.]

12 Informe de Auditoria TI CARTAS A LA GERENCIA Las situaciones comentadas en la parte de este informe titulada RELACION DETALLADA DE HALLAZGOS se Ie informaron al Procurador de las Personas con Impedimentos, Lie. Jose R. Ocasio Garcia (Procurador), en cartas de nuestro auditor del 6 de mayo y 14 de julio de EI borrador de este informe se someti6 para comentarios al Procurador en carta del 20 de septiembre de COMENTARIOS DE LA GERENCIA En cartas del 25 de mayo y 30 de julio de 2004 el Procurador inform6 las medidas adoptadas 0 que se proponia adoptar para corregir las situaciones comentadas en las cartas de nuestro auditor. EI Procurador contest6 el borrador de este informe en carta del 4 de octubre de Sus observaciones fueron consideradas en la redacci6n final del informe. Algunas de sus observaciones se incluyen en la parte de este informe titulada RELACION DETALLADA DE HALLAZGOS EN LA OFICINA DE SISTEMAS DE INFORMACION DE LA OFICINA DEL PROCURADOR DE LAS PERSONAS CON IMPEDIMENTOS. AGRADECIMIENTO A los funcionarios y empleados de la OPPI les agradecemos la cooperaci6n que nos prestaron durante nuestra auditoria.

13 Informe de Auditoría TI RELACIÓN DETALLADA DE HALLAZGOS CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO En nuestros informes de auditoría se incluyen los hallazgos significativos determinados por las pruebas realizadas. Éstos se clasifican como principales o secundarios. Los principales incluyen desviaciones de disposiciones sobre las operaciones de la unidad auditada que tienen un efecto material, tanto en el aspecto cuantitativo como en el cualitativo. Los secundarios son los que consisten en faltas o errores que no han tenido consecuencias graves. Los hallazgos del informe se presentan según los atributos establecidos conforme a las normas de redacción de informes de nuestra Oficina. El propósito es facilitar al lector una mejor comprensión de la información ofrecida. Cada uno de ellos consta de las siguientes partes: Situación - Los hechos encontrados en la auditoría indicativos de que no se cumplió con uno o más criterios. Criterio - El marco de referencia para evaluar la situación. Es principalmente una ley, reglamento, carta circular, memorando, procedimiento, norma de control interno, norma de sana administración, principio de contabilidad generalmente aceptado, opinión de un experto o juicio del auditor. Efecto - Lo que significa, real o potencialmente, no cumplir con el criterio. Causa - La razón fundamental por la cual ocurrió la situación. Al final de cada hallazgo se hace referencia a las recomendaciones que se incluyen en el informe para que se tomen las medidas necesarias sobre los errores, irregularidades o actos ilegales señalados.

14 Informe de Auditoría TI En la sección sobre los COMENTARIOS DE LA GERENCIA se indica si el funcionario principal y los ex funcionarios de la unidad auditada efectuaron comentarios sobre los hallazgos incluidos en el borrador del informe que les envía nuestra Oficina. Dichos comentarios se consideran al revisar el borrador del informe y se incluyen al final del hallazgo correspondiente en la sección de HALLAZGOS EN LA OFICINA DE SISTEMAS DE INFORMACIÓN DE LA OFICINA DEL PROCURADOR DE LAS PERSONAS CON IMPEDIMENTOS, de forma objetiva y conforme a las normas de nuestra Oficina. Cuando la gerencia no provee evidencia competente, suficiente y relevante para refutar un hallazgo, éste prevalece y se añade al final del mismo la siguiente aseveración: Consideramos las alegaciones de la gerencia, pero determinamos que el hallazgo prevalece. HALLAZGOS EN LA OFICINA DE SISTEMAS DE INFORMACIÓN DE LA OFICINA DEL PROCURADOR DE LAS PERSONAS CON IMPEDIMENTOS Los hallazgos 1 al 3 se clasifican como principales y los hallazgos 4 al 8 como secundarios. Hallazgo 1 - Microcomputadoras utilizadas para fines ajenos a la gestión pública a. Al 29 de octubre de 2003 la OPPI tenía 137 microcomputadoras localizadas en la oficina central y en sus cuatro oficinas regionales. El examen realizado entre marzo y mayo de 2004 sobre el uso de 27 de éstos equipos reveló lo siguiente: 1) La microcomputadora identificada con el número de propiedad contenía 475 archivos ajenos a la gestión pública. 2) La microcomputadora identificada con el número de propiedad fue utilizada entre marzo y noviembre de 2003 para examinar en varias ocasiones páginas de Internet con contenidos ajenos a los intereses y a la gestión pública. En la Sección 9 del Artículo VI de la Constitución del Estado Libre Asociado de Puerto Rico se establece que sólo se dispondrá de las propiedades y de los fondos públicos

15 Informe de Auditoría TI para fines públicos y para el sostenimiento y funcionamiento de las instituciones del Estado y en todo caso por autoridad de ley. En el Artículo 3.2 de la Ley Núm. 12 del 24 de julio de 1985, Ley de Ética Gubernamental, según enmendada, se dispone, entre otras cosas, que ningún funcionario o empleado público utilizará propiedad pública para obtener directa o indirectamente ventajas, beneficios o privilegios que no estén permitidos por ley. En la Guía Núm. 8 - Utilización del Internet de la Carta Circular Núm promulgada por el Comité del Gobernador sobre Sistemas de Información 1 el 25 de septiembre de 1995 se establece que cada jefe de agencia es responsable de establecer los procedimientos y la política administrativa para el uso de la Internet. Además, se prohíbe el uso de ésta para actividades de lucro, de impacto negativo o para actos maliciosos. En las Normas para la Utilización del Internet y del Correo Electrónico promulgadas por el Procurador de las Personas con Impedimentos el 8 de abril de 1999 se establece que el uso de la Internet será para propósitos estrictamente oficiales y prohíbe el uso de materiales y equipos para beneficio personal. El uso de las microcomputadoras y las cuentas para acceder a la Internet pertenecientes a la OPPI para almacenar y examinar archivos de carácter privado es contrario al interés público y desvirtúa los propósitos para los cuales fueron adquiridos. Además, provee al funcionario o empleado que indebidamente los utiliza unas ventajas, beneficios y privilegios que no están permitidos por ley. 1 Creado en virtud del Artículo 7 de la Ley Núm. 110 del 3 de agosto de 1995 para, entre otras cosas, adoptar la política a seguir y las guías que regirán la adquisición e implantación de los sistemas, del equipo y de los programas de información tecnológica para los organismos de la Rama Ejecutiva del Gobierno del Estado Libre Asociado de Puerto Rico.

16 Informe de Auditoría TI Las situaciones señaladas se debían a falta de: orientación periódica a los usuarios sobre el uso y manejo de las microcomputadoras y de las cuentas para acceder a la Internet. inspecciones periódicas por parte de la OSI para verificar el cumplimiento de las normas establecidas para el uso oficial de las microcomputadoras y de las cuentas para acceder a la Internet. El Procurador, en la carta que nos envió informó, entre otras cosas, sobre las medidas que han implantado para corregir las situaciones señaladas. Véase la Recomendación 1.a. a la d. Hallazgo 2 - Faltas en los controles de acceso lógico a los servidores conectados a la red de comunicaciones y en las revisiones periódicas de los registros de eventos de los servidores principales a. El examen efectuado el 24 de junio de 2004 de los controles de acceso lógico al servidor OPPI06 configurado como Primary Domain Controller 2 (PDC) con el sistema operativo Windows 2000 reveló que se mantenía una configuración de seguridad inadecuada en las siguientes opciones de la pantalla Account Policy: 1) No se había definido el mínimo de caracteres requeridos para establecer las contraseñas de las cuentas de los usuarios (Minimum Password Length). 2) No se había definido un término fijo para que el sistema permita al usuario cambiar su contraseña nuevamente (Minimum Password Age). 2 El servidor que maneja la seguridad del dominio. El mismo mantiene una base de datos de las cuentas de todos los usuarios, las contraseñas y los privilegios de accesos.

17 Informe de Auditoría TI ) No se había definido en el sistema un término fijo (Maximum Password Age) para requerir la modificación de las contraseñas de acceso, por lo que los usuarios podían mantener la misma contraseña por tiempo indefinido. 4) No se había activado la instrucción para deshabilitar las cuentas de acceso por el número de intentos para acceder a los recursos de la red sin éxito (No account lockout threshold). 5) No se había activado la instrucción para evitar que los usuarios vuelvan a utilizar la misma contraseña (Enforce Password History). 6) No se había activado la instrucción para que las contraseñas de los usuarios no contengan parte del nombre del usuario (User Name), sea, al menos, de seis caracteres y tenga tres tipos diferentes de caracteres (letras, números y símbolos) (Password Must Meet Complexity Requirements). 7) No se había definido en el sistema un término fijo durante el cual la cuenta de un usuario estará cancelada luego de varios intentos fallidos para acceder los recursos de la red (Account lockout duration). 8) No se había definido la instrucción para reiniciar el conteo de intentos fallidos al registrar la cuenta para acceder a la red (Reset account lockout counter after). b. No se habían definido las políticas de auditorías (Audit Policy) en la pantalla Local Policies. c. Al 23 de junio de 2004 el archivo de usuarios de la OPPI, contenido en el Active Directory 3 del servidor OPPI06, tenía 108 cuentas de usuarios para acceder a la red las 3 Es el directorio de los servicios provistos para los servidores que operan con el sistema Windows Mediante este directorio se permite el acceso a la información y a los recursos de la red a los administradores y usuarios autorizados a través de un proceso de autenticación. Éste permite al Administrador de la Red obtener una visión jerárquica de los componentes de la Red, lo que facilita la administración de la misma.

18 Informe de Auditoría TI cuales se distribuían en 20 grupos o unidades organizacionales. El examen efectuado sobre el control y mantenimiento de las referidas cuentas reveló las siguientes deficiencias: 1) De las 108 cuentas sólo se había restringido el horario de acceso a la red (Log hours) a 18 cuentas contenidas en los tres primeros grupos. Las restantes 90 cuentas tenían acceso a la red las 24 horas, los siete días de la semana. 2) No se había establecido el tiempo de expiración de las cuentas, lo que le permitía al usuario mantener su contraseña activa por tiempo indefinido (Account expires - Never). d. No se encontró ni les fue suministrada para examen a nuestros auditores evidencia de que se realizaran revisiones periódicas del registro de eventos (Log File) que producen los servidores principales. Esto, para conocer los posibles problemas que pudieran ocurrir en el servidor o en la red de comunicación y tomar las medidas preventivas y correctivas prontamente. En la Guía Núm. 5 - Administración y Seguridad de Información Computadorizada de la Carta Circular Núm se establece, como política pública, que las agencias deben garantizar el buen uso, manejo, integridad, exactitud y preservación de la información del gobierno y protegerla así contra la modificación, divulgación, manipulación o destrucción no autorizada o accidental. Esta política se instrumenta, en parte, mediante lo siguiente: El uso de todas las opciones disponibles para restringir y controlar los accesos que proveen los distintos sistemas operativos La revisión continua por el personal técnico especializado de los programas que registran todos los eventos y las situaciones de los componentes de la red

19 Informe de Auditoría TI La falta de controles de acceso lógico adecuados que se comenta en los apartados a. al c. propicia que personas no autorizadas puedan acceder información confidencial y hacer uso indebido de ésta. Además, propicia la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas y de otras situaciones adversas sin que se puedan detectar a tiempo para fijar responsabilidades. La situación que se comenta en el Apartado d. le impide al Director de la OSI detectar actividades inusuales o problemas que pudieran ocurrir en la red, corregir a tiempo los mismos y mantener un funcionamiento óptimo de ésta. Las situaciones que se comentan en los apartados a. al c. se debían a que el Director de la OSI no había puesto en vigor las opciones de seguridad de acceso lógico que provee el sistema operativo Windows 2000 ni mantenía un control adecuado sobre el mantenimiento de las cuentas de acceso. Atribuimos la situación que se comenta en el Apartado d. a que el personal encargado de administrar la red sólo revisaba los informes cuando un usuario tenía problemas con el Sistema. El Procurador, en la carta que nos envió informó, entre otras cosas, lo siguiente: Las opciones de seguridad al momento se encuentran según vienen configuradas (default) cuando se instala el sistema operativo. No obstante, sí cuentan con una seguridad básica en términos de: el mínimo de caracteres requeridos en la contraseña de los usuarios, el Active Directory en Windows 2000 Server, requiere que sean ocho caracteres como mínimo. Sobre la deshabilitación de cuentas de acceso por el número de intentos para acceder a los recursos de la red sin éxito, el Active Directory de Windows 2000 Server tiene establecido como regla que sean cinco intentos, luego bloquea el acceso de forma automática. En términos de que no se había definido la instrucción para determinar el tiempo que la cuenta de un usuario estaba cancelada luego de varios intentos fallidos para acceder la red, el Active Directory de Windows 2000 Server tiene establecido como regla default que sean 15 minutos al igual que a partir de quince minutos, la cuenta queda activada nuevamente.

20 Informe de Auditoría TI Por el carácter de complejidad y tamaño de los archivos log files, es imposible que sean impresos o grabados en CD. En la Oficina de Sistemas de Información se revisan periódicamente y se ha programado para que los mismos sean sobrescritos cuando el sistema necesite el espacio para la generación de nuevos logs. Consideramos las alegaciones del Procurador, pero determinamos que el Hallazgo prevalece. Véase la Recomendación 1.e. a la g. Hallazgo 3 - Deficiencias relacionadas con la documentación de la configuración de las instalaciones de la red de comunicaciones a. La documentación de la configuración de la red o estructura de la red de comunicaciones suministrada para examen durante nuestra auditoría no incluía la siguiente información: Diagrama esquemático que permitiera identificar las conexiones y el cableado correspondiente a dicha red. Las computadoras conectadas a la red con sus respectivas identificaciones y localizaciones. La descripción del equipo de comunicación ubicado en el cuarto de distribución de cableado localizado en la Oficina del Procurador Propia. Las mejores prácticas en el campo de la tecnología de información sugieren que para mantener en funciones aceptables la red de telecomunicaciones es necesario establecer controles adecuados sobre los inventarios, la ubicación, y las conexiones entre sus componentes. Esto se logra mediante la documentación detallada y actualizada de las conexiones que permita corregir, a tiempo, problemas de comunicación de la red y detectar cualquier conexión no autorizada.

21 Informe de Auditoría TI La referida situación impide a la OSI obtener una comprensión clara sobre los componentes de la red de comunicaciones, de manera que se mantenga un control eficiente y efectivo al administrar y efectuar el mantenimiento a la misma. Además, dificulta la atención de problemas de conexión en un tiempo razonable y de planificar efectivamente las mejoras a la red de comunicaciones según el crecimiento de sus sistemas. Atribuimos dicha situación a que la OPPI no le requirió a la compañía que trabajó con la configuración de la red de comunicaciones un diagrama esquemático sobre la estructura y configuración de la red y la documentación correspondiente. El Procurador, en la carta que nos envió, informó lo siguiente: A pesar de que existe un inventario físico de todos los componentes del sistema, sus identificaciones y localizaciones, incluyendo los equipos de telecomunicaciones ubicados en el cuarto de distribución de cableado localizado en la Oficina del Procurador propia, los funcionarios de la Oficina de Sistemas de Información no cuentan con un diagrama esquemático de las conexiones. Véase la Recomendación 1.h. Hallazgo 4 - Deficiencias relacionadas con la solicitud de acceso a la red de comunicaciones, al correo electrónico y a la Internet a. El examen efectuado el 8 de julio de 2004 sobre el proceso de solicitud de accesos a la red de comunicaciones, al correo electrónico y a la Internet reveló las siguientes deficiencias: 1) No se había diseñado un formulario para autorizar la creación, modificación y cancelación de las cuentas de acceso de los usuarios a la red de comunicaciones. 2) No se encontró ni le fue suministrada a nuestros auditores evidencia de que se hubiera utilizado el formulario Autorización para Utilización de Internet y Correo Electrónico para la solicitud y aprobación de las cuentas de acceso de 13 usuarios.