DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS AMBIENTALES Y DE ENERGÍA

Transcripción

1 INFORME Nro. DFOE-AE-IF diciembre, 2014 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS AMBIENTALES Y DE ENERGÍA INFORME ACERCA DE LA CALIDAD Y SEGURIDAD DE LOS DATOS QUE SUSTENTAN LOS SISTEMAS INFORMÁTICOS DE LA REFINADORA COSTARRICENSE DE PETRÓLEO, S.A. (RECOPE) 2014

2 CONTENIDO Página Nro. RESUMEN EJECUTIVO 1 INTRODUCCIÓN... 1 ORIGEN DE LA AUDITORÍA... 1 OBJETIVO DE LA AUDITORÍA... 1 ALCANCE DE LA AUDITORÍA... 1 GENERALIDADES ACERCA DE LA AUDITORÍA... 1 METODOLOGÍA APLICADA... 2 COMUNICACIÓN PRELIMINAR DE RESULTADOS DE LA AUDITORÍA RESULTADOS... 3 AUSENCIA DE LA POLÍTICA Y EL PLAN GENERAL DE GESTIÓN DE LA CONTINUIDAD DE NEGOCIO... 3 DEBILIDADES RELACIONADAS CON LA SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN... 4 Ausencia de un sistema de gestión de la seguridad de la información... 4 Exceso de privilegios de acceso en los roles y perfiles del Sistema Integrado de Gestión... 6 INSUFICIENTE RESPALDO TECNOLÓGICO A LOS SISTEMAS DURANTE TODO EL PROCESO DE OPERACIÓN CONCLUSIONES DISPOSICIONES A LA JUNTA DIRECTIVA A SARA SALAZAR BADILLA EN SU CALIDAD DE PRESIDENTA EJECUTIVA O A QUIEN EN SU LUGAR OCUPE EL CARGO 11 ANEXO NRO

3 Qué examinamos? RESUMEN EJECUTIVO INFORME Nro. DFOE-AE-IF La auditoría de carácter especial tuvo como objetivo principal verificar la calidad y seguridad de los sistemas informáticos de RECOPE, así como, el apego de los procesos involucrados con estos sistemas, a la normativa que rige la materia. Por qué es importante? La mayor parte de los procesos críticos de RECOPE se apoyan en tecnologías de información y comunicaciones, de esta manera, resulta de vital importancia contar con la información confiable, pertinente y oportuna, así como, con herramientas de tecnologías de información robustas y seguras que apoyen esos procesos y la toma de decisiones institucionales. Lo anterior, con el fin de no afectar la continuidad de los servicios relacionados con el suministro de hidrocarburos que brinda esa entidad, servicios que constituyen un 64% de la fuente de energía comercial utilizada en el país. Qué encontramos? La gestión de la continuidad de negocio en RECOPE no responde a una política que se pueda concretar en un plan general para esa gestión, y a su vez integre planes como el de contingencia informática, de atención de emergencias, de sucesión y de recuperación de desastres. Además, la Refinadora carece de un plan de contingencia informática probado que se involucre e interactúe con todos los procesos de la organización. Tampoco se cuenta con un sistema formal de gestión de la seguridad de la información que incluya políticas, procesos, procedimientos, estructuras organizacionales y funciones para establecer, monitorear, revisar y mejorar los controles que permitan asegurar el cumplimiento de los objetivos de seguridad, en procura de garantizar la confidencialidad, integridad y disponibilidad de la información institucional. Asimismo, faltan políticas de seguridad para el establecimiento de perfiles, roles y privilegios de acceso de los usuarios a los sistemas informáticos institucionales, su corrección fue recomendada por la Auditoría Interna de RECOPE. No obstante, se determinó que persisten incongruencias en la definición de esos perfiles, roles y privilegios de acceso para el Sistema Integrado de Gestión, aspecto que debió ser incluido como parte de los términos de su adquisición en el Esta situación expone a la empresa a riesgos potenciales en la operación de los sistemas, al generar inconsistencias o daños a la información, por errores de acceso o eventuales fraudes por manipulación indebida de dichos sistemas. Por último, se observó que la Dirección de Tecnologías de Información de RECOPE no cuenta con acuerdos de servicio formalmente establecidos, que permitan establecer los responsables de garantizar el soporte técnico continuo a los sistemas informáticos, principalmente, aquellas aplicaciones que respondan a procesos críticos relacionados con el suministro de hidrocarburos.

4 Qué sigue? Las disposiciones dirigidas a la Junta Directiva y a la Presidenta Ejecutiva, se orientan a la emisión y divulgación de las políticas de continuidad de negocio y de gestión de la seguridad de la información, elaboración y aprobación de un plan general de gestión de la continuidad del negocio que integre planes como el de contingencia informática, atención de emergencias, sucesión y recuperación de desastres, entre otros. Además, establecer e implementar el sistema formal de gestión de la seguridad de la información, ajustar la definición de los privilegios, roles y perfiles de los usuarios para el sistema integrado ERP, y elaborar y formalizar los acuerdos de servicio de la Dirección de Tecnologías de Información que establecen el protocolo de soporte continuo y responsables de atender los incidentes.

5 1 INFORME Nro. DFOE-AE-IF DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS AMBIENTALES Y DE ENERGÍA INFORME ACERCA DE LA CALIDAD Y SEGURIDAD DE LOS DATOS QUE SUSTENTAN LOS SISTEMAS INFORMÁTICOS DE LA REFINADORA COSTARRICENSE DE PETRÓLEO, S.A. (RECOPE) 1 INTRODUCCIÓN ORIGEN DE LA AUDITORÍA 1.1 La auditoría efectuada en la Refinadora Costarricense de Petróleo, S.A. (RECOPE), se realizó con fundamento en las competencias que le confieren a la Contraloría General los artículos 183 y 184 de la Constitución Política de la República de Costa Rica, así como los artículos 17, 21 y 37 de su Ley Orgánica Nro Se originó en la planificación anual de la Dirección de Fiscalización y Evaluación Operativa de esta Contraloría General. OBJETIVO DE LA AUDITORÍA 1.2 Verificar la calidad y seguridad de los sistemas informáticos de RECOPE, así como el apego de los procesos involucrados con estos sistemas, a la normativa que rige la materia. ALCANCE DE LA AUDITORÍA 1.3 La presente auditoría de carácter especial comprendió el análisis de la seguridad lógica de acceso a las aplicaciones críticas de RECOPE, además, la evaluación del nivel de seguridad en la continuidad de las operaciones de la entidad y la atención de incidentes que brinda la Dirección de Tecnologías de Información a la función sustantiva de RECOPE. El examen abarcó el período comprendido entre el 1 de julio de 2013 y el 31 de junio de 2014, y se amplió en los casos que se consideró necesario. GENERALIDADES ACERCA DE LA AUDITORÍA 1.4 La función de RECOPE, tanto administrativa como operativa, se apoya en los sistemas de información. Estos grados de dependencia hacen crecer el riesgo

6 2 operacional, en función de la continuidad de los servicios de las tecnologías de información, e incrementan su criticidad, por cuanto se constituyen en el respaldo efectivo para las labores de distribución de hidrocarburos; actividad fundamental para el desarrollo del país, al constituir un 64% de la fuente de energía comercial utilizada. 2.1 En 2007, mediante adquisición externa, RECOPE contrata un Sistema Integrado de Gestión tipo ERP 1, el cual entra en operación en En este Sistema Integrado se gestionan las aplicaciones de suministros, financiero, planificación, volumétrico 2, ventas y activos. METODOLOGÍA APLICADA 1.5 Se utilizó la metodología de la auditoría de carácter especial. Se discutieron y comunicaron formalmente a la Administración de RECOPE los criterios de auditoría aplicables en su fase de examen: Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, las buenas prácticas utilizadas a nivel internacional como los Objetivos de Control para Información y Tecnologías Relacionadas (COBIT), la norma ISO referida a la seguridad de la información, la norma ISO de continuidad del negocio y las Normas de control interno para el Sector Público (NCISP). Además, se realizaron reuniones con el personal competente a efecto de discutir y validar los hallazgos determinados en la presente fiscalización. COMUNICACIÓN PRELIMINAR DE RESULTADOS DE LA AUDITORÍA 1.6 En reunión celebrada el 19 de noviembre de 2014, se expusieron los resultados de la auditoría a un Asesor en representación de la Presidencia Ejecutiva, al Gerente de Administración y Finanzas, al Director de Informática, a la Jefe del Departamento de Procesos, a la Directora a.i. de Planificación, al Auditor y Subdirectores Generales, todos funcionarios de RECOPE. En esa misma reunión, se entregó a la Presidencia Ejecutiva una copia impresa y otra digital del borrador del informe de la auditoría, mediante el oficio nro. DFOE-AE-0663 (12577), con el fin de que remitieran a la Contraloría General, las observaciones que tuviesen sobre el particular. 1.7 Mediante el oficio nro. DTI del 26 de noviembre de 2014, el Director de Informática, con el aval de la Presidencia Ejecutiva de RECOPE, según consta en el oficio nro. P del 1 de diciembre de 2014, planteó observaciones respecto de los plazos de cumplimiento estimados para las disposiciones estipuladas en el borrador del informe; las cuales, una vez analizadas las justificaciones brindadas por 1 Por sus siglas en inglés, ERP significa Sistema de Planificación de Recursos Empresariales, es una aplicación que integra los principales procesos de una empresa. En el caso de RECOPE, el ERP fue desarrollado por la empresa llamada SAP. 2 Sistema que permite el control de variables como volumen, densidad, temperatura y tipo de producto.

7 3 la citada Dirección, fueron parcialmente aceptadas y se incorporaron los ajustes en lo procedente al aparte de disposiciones de este informe. Ver detalle de observaciones y ajustes en Anexo único a este documento. 2 RESULTADOS AUSENCIA DE LA POLÍTICA Y EL PLAN GENERAL DE GESTIÓN DE LA CONTINUIDAD DE NEGOCIO 2.1 La gestión de la continuidad de negocio en RECOPE no responde a una política ni se traduce en un plan general de esta gestión, que permita integrar los planes de contingencia informática, atención de emergencias, sucesión y recuperación de desastres, entre otros. Tampoco la entidad cuenta con un plan de contingencia informática formalmente establecido que se involucre e interactúe con todos los procesos de la organización. 2.2 No obstante, como parte de la política de salud, ambiente y seguridad 3 se cuenta con un plan de atención de emergencias, el cual, de acuerdo con lo indicado por los funcionarios del Departamento de Salud, Ambiente y Seguridad (SAS), se encuentra actualizado y se realizan pruebas y simulacros periódicos. A su vez, según lo manifestado por el Director de Tecnologías de Información, se está en proceso de desarrollo del plan de contingencia informática, en espera de la entrega de los productos finales. 2.3 Por su parte, en la mencionada política de salud, ambiente y seguridad la entidad se compromete a prepararse, asignar recursos y ejecutar acciones en casos de emergencia, para salvar vidas, preservar la salud, conservar el ambiente, salvaguardar los bienes, continuar las operaciones, y recuperar el área afectada en sus aspectos sociales, ambientales y económicos, aduciendo a la importancia de contar con la política y el plan general de gestión de la continuidad de negocio en RECOPE. 2.4 Además, la ausencia indicada anteriormente contraviene lo indicado en la norma de las Normas Técnicas para la gestión y el control de las tecnologías de información, emitidas por la Contraloría General de la República 4, la cual indica que la organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las 3 Aprobada en Junta Directiva de RECOPE S.A., Artículo 8, Sesión Ordinaria No , del 20 de febrero, Aprobadas mediante Resolución del Despacho de la Contralora General de la República, Nro. R-CO del 7 de junio, 2007, publicada en La Gaceta Nro.119 del 21 de junio, 2007.

8 4 acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización. 2.5 Por otra parte, según la norma ISO 22301, en sus capítulos 5 y 6, el plan de gestión de continuidad de negocio debe respaldarse con una política emanada de la alta Gerencia, en la cual se refleje el compromiso de la organización de garantizar razonablemente la continuidad de los servicios, en caso de presentarse alguna interrupción; y que la atención de eventos debe enmarcarse en un plan general de gestión de la continuidad de negocio. 2.6 La ausencia de estos instrumentos de gestión de la continuidad de negocio evidencian la omisión de RECOPE, de impulsar acciones para garantizar razonablemente, de manera formal y con la debida asignación de responsabilidades, la continuidad de las actividades del negocio, en caso de presentarse eventos que puedan afectar los servicios básicos que presta la entidad, principalmente ante la interrupción del apoyo que brindan los sistemas de información; lo que debería tener un lugar preponderante en la planificación institucional, dada la criticidad y lo fundamental del servicio que presta al país. 2.7 A su vez, la falta de una política y un plan de gestión de continuidad de negocio expone a riesgos a la empresa y al país. La integración de los planes individuales permitiría mejorar la ejecución, de forma sistemática e integrada, de las medidas de protección a los procesos críticos del negocio contra desastres o fallas mayores, e incidiría en su restauración pronta y exitosa y la no afectación del suministro continuo de hidrocarburos al país. DEBILIDADES RELACIONADAS CON LA SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN Ausencia de un sistema de gestión de la seguridad de la información 2.8 RECOPE no cuenta con un sistema formal de gestión de la seguridad de la información que incluya políticas, procesos, procedimientos, estructuras organizacionales y funciones para establecer, monitorear, revisar y mejorar los controles que permitan asegurar el cumplimiento de los objetivos de seguridad, a fin de garantizar de manera razonable la confidencialidad, integridad y disponibilidad de la información institucional; así como fortalecer y apoyar el cumplimiento de los objetivos empresariales. 2.9 La necesidad de contar con un sistema de esta naturaleza está establecida en la norma 1.4 de las citadas Normas técnicas para la gestión y el control de las tecnologías de información, al señalar que la organización debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados,

9 5 daño o pérdida u otros factores disfuncionales. Para ello debe documentar e implementar una política de seguridad de la información y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos Además, este cuerpo normativo indica en su norma 1.4.1, que la organización debe implementar un marco de seguridad de la información, para lo cual debe: / a. Establecer un marco metodológico que incluya la clasificación de los recursos de TI, según su criticidad, la identificación y evaluación de riesgos, la elaboración e implementación de un plan para el establecimiento de medidas de seguridad, la evaluación periódica del impacto de esas medidas y la ejecución de procesos de concienciación y capacitación del personal. / b. Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar periódicamente acciones para su actualización. / c. Documentar y mantener actualizadas las responsabilidades tanto del personal de la organización como de terceros relacionados. y considerar lo que establece la presente normativa en relación con los siguientes aspectos: La implementación de un marco de seguridad de la información Este criterio se refuerza en las mejores prácticas consignadas en el COBIT 4.1, cuyo objetivo de control DS5 refiere a garantizar la seguridad de la información y al proceso de administración de ésta para mantener su integridad y proteger los activos de TI; así, se debe administrar la seguridad al nivel más alto apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio, trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan está implementado en las políticas y procedimientos de seguridad junto con las inversiones apropiadas en los servicios, personal, software y hardware. Comunicar las políticas y procedimientos de seguridad a los interesados y a los usuarios También es importante lo indicado en la norma ISO 27001, en su numeral 5, en cuanto a que la gerencia debe proporcionar evidencia de su compromiso con el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejoramiento del Sistema de Gestión de la Seguridad de la Información (SGSI) al establecer una política de seguridad, asegurar que se establezcan objetivos y planes del SGSI, establecer roles y responsabilidades para la seguridad de la información Para que exista en RECOPE un sistema como el señalado en las normas citadas debe darse un compromiso formal por parte de la Administración, en procura de un manejo razonable de la seguridad informática en la entidad, que garantice el correcto funcionamiento de los componentes de dicho sistema.

10 Lo anterior, expone a la empresa a vulnerabilidades por uso indebido de información confidencial, alteración no autorizada o pérdida de información institucional, sabotajes, fraudes y suspensión de servicios informáticos; ello, ocasionado por personal interno o por intromisión de agentes externos. Exceso de privilegios de acceso en los roles y perfiles del Sistema Integrado de Gestión 2.15 En el año 2008 RECOPE adquiere un sistema integrado de gestión (tipo ERP), mediante el cual se comienzan a gestionar los sistemas de suministros, financiero, planificación, volumétrico, ventas y activos. Acerca de dicho sistema la Auditoría Interna de RECOPE en el presente año emite los informes nros. AUI y AUI , los cuales, indican que los roles de los usuarios para su acceso no están bien definidos, pues, existen roles con funciones incompatibles, autorización concentrada en una sola persona para ejecutar un proceso completo o varias partes de él; además, existen usuarios con las mismas o mayores funciones que las de su jefe inmediato; con acceso a información ajena a las funciones que realiza; y algunos con derecho universal, es decir, pueden realizar cualquier tipo de función dentro del sistema No obstante, se determinó que persisten las debilidades apuntadas por la Auditoría Interna mediante dichos informes, siendo que, la Administración estima finalizar el proceso de ajuste a los roles en junio de 2017, sin que se evidencien razones que justifiquen no solventar la situación en el corto plazo. Al respecto, considera el Órgano Contralor que dado el alto riesgo existente en la vulnerabilidad del sistema, esa Administración debe agilizar las acciones para corregir dichas debilidades Como acción fundamental para la seguridad lógica de todo sistema informático, como es el integrado ERP, es prioritaria la definición de los niveles de acceso a dicho sistema, en donde cada usuario que requiera interactuar cuente con un perfil predeterminado mediante el cual pueda acceder o actualizar cierta información. Estos privilegios se otorgan a través de roles, los cuales, se asignan bajo el principio de menor privilegio 5, el cual afirma que cualquier usuario debe tener tan solo los privilegios de uso necesarios para desarrollar las tareas que tenga encomendadas y solamente durante el tiempo necesario. 5 The Protection of information in computer systems Saltzer y Schroeder.

11 En este sentido, la norma de las Normas de Control Interno para el Sector Público 6, menciona que el jerarca y los titulares subordinados, según sus competencias, deben asegurarse de que las funciones incompatibles, se separen y distribuyan entre los diferentes puestos; así también, que las fases de autorización, aprobación, ejecución y registro de una transacción, y la custodia de activos, estén distribuidas entre las unidades de la institución, de modo tal que una sola persona o unidad no tenga el control por la totalidad de ese conjunto de labores A su vez, la norma 5.8 de ese mismo cuerpo normativo, establece que el jerarca y los titulares subordinados, deben disponer los controles pertinentes para que los sistemas de información garanticen razonablemente la calidad de la información y de la comunicación, la seguridad y una clara asignación de responsabilidades y administración de los niveles de acceso a la información y datos sensibles, así como la garantía de confidencialidad de la información que ostente ese carácter También la norma de Control de acceso, de las Normas Técnicas para la gestión y el control de las tecnologías de información emitidas por la Contraloría General de la República, indica que se deben establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y para la identificación y autenticación para el acceso a la información, tanto para usuarios como para recursos de TI. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con las políticas de la organización bajo el principio de necesidad de saber o menor privilegio. Los propietarios de la información son responsables de definir quiénes tienen acceso a la información y con qué limitaciones o restricciones Asimismo, las mejores prácticas establecidas en el Objetivo DS5.3 de Control para las Tecnologías de Información (COBIT 4.1), señala el deber de asegurar que todos los usuarios y su actividad en sistemas de TI sean identificables de manera única, mediante mecanismos de autenticación, y que sus permisos de acceso a los sistemas y los datos estén en línea con las necesidades del negocio definidas y documentadas, con los requerimientos de trabajo adjuntos a las identidades del usuario. Que los derechos de acceso sean aprobados por la gerencia del usuario e implementados por la persona responsable de la seguridad Además, el Objetivo de Control DS5.4 de COBIT 4.1 establece la necesidad de garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos de gerencia de cuentas de usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o 6 N CO-DFOE, emitidas con la resolución R-CO del 26 de enero de 2009, y publicadas en La Gaceta nro. 26 del 6 de febrero de 2009.

12 8 del sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores, usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa deben acordarse contractualmente para todos los tipos de usuario. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados En la actualidad, la creación y mantenimiento de los roles, para el sistema integrado ERP, es responsabilidad del Centro de Experiencia al Cliente, unidad adscrita al Departamento de Procesos de la Dirección de Aseguramiento de la Calidad, la cual depende de la Gerencia de Finanzas, por lo que la Dirección de Tecnologías de Información no tiene injerencia en la definición de esos roles, limitándose únicamente a su inclusión en el sistema Las debilidades mencionadas se deben a que la entidad no cuenta con políticas de seguridad ni procedimientos formales para el establecimiento de perfiles, roles y privilegios, y que en el proceso de adquisición e implementación del sistema integrado ERP, no se indicaron requerimientos específicos en cuanto a la asignación de esos elementos, por ello, para efectos de facilitar las pruebas del contratista fueron diseñados e implementados en forma amplia Dada esta ausencia, se mantiene un alto riesgo en la operación de los sistemas que conforman este aplicativo, lo cual, podría desencadenar inconsistencias o daños a la información, por errores de acceso o eventuales fraudes por manipulación indebida de los sistemas. INSUFICIENTE RESPALDO TECNOLÓGICO A LOS SISTEMAS DURANTE TODO EL PROCESO DE OPERACIÓN 2.26 En la actualidad, operan procesos críticos en RECOPE, como lo son el sistema de ventas y facturación automática (utilizado en planteles) y el sitio transaccional de ventas, que se utilizan las veinticuatro horas del día; así como, el sistema integrado de gestión ERP y la aplicación utilizada en planteles para cargaderos, que operan los días sábado. Dado el horario de labores de la Dirección de Tecnologías de Información que es de 7 a.m. a 5 p.m., fuera de este horario dichos procesos no cuentan formalmente con el soporte técnico continuo Lo anterior, resulta incongruente con lo establecido en la norma 5.9 de las Normas de control interno para el Sector Público, donde se indica que la Administración debe instaurar los mecanismos y procedimientos manuales que permitan garantizar razonablemente la operación continua y correcta de los sistemas de información. Además, en el numeral 4.1 de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, se establece que El jerarca y la

13 9 Función de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluación del desempeño. Para ello deben tener una comprensión común sobre: exactitud, oportunidad, confidencialidad, autenticidad, integridad y disponibilidad Finalmente, el aparte DS1.3 del COBIT 4.1 indica que se deben definir y acordar convenios de niveles de servicio para todos los procesos críticos de una organización, con base en los requerimientos del cliente y las capacidades en TI Esta situación, se origina en la ausencia de una definición clara y formal de acuerdos de servicio para los procesos críticos mencionados, en los cuales se determinen las condiciones en que la Dirección de Tecnologías de Información brindará este tipo de apoyo, los procedimientos establecidos, los responsables formales para la atención de incidentes, y se garantice este servicio a los procesos durante todo el tiempo que estén en operación, independientemente del horario de dicha Dirección En la actualidad, si se llega a presentar un incidente fuera del horario establecido para la función informática, existe el riesgo de no poder localizar al personal técnico que pueda corregir dicha situación, ante lo cual, se potencie la posibilidad de una suspensión de servicios al público y la eventual afectación al abastecimiento de hidrocarburos, por la espera de resolver el incidente hasta el próximo día hábil. 3 CONCLUSIONES 3.1 Es fundamental para las organizaciones prever las situaciones de riesgo en la continuidad de sus operaciones críticas, lo cual, tiene como base la política y plan de continuidad de negocio que garanticen servicios estratégicos empresariales; estos deben seguir siendo brindados en caso de incidentes que atenten contra esa continuidad, más aún, ante la dependencia del país del suministro de hidrocarburos. Así, la ausencia de estos instrumentos de continuidad de negocio pone en riesgo esta necesidad básica. 3.2 La información, los procesos, equipos y sistemas son activos vitales de toda organización, los cuales, no se encuentran exentos de amenazas de seguridad tales como fraude, accesos indebidos, sabotaje y destrucción. Eventos de esta naturaleza tienen mayor probabilidad de materializarse en situaciones como la enfrentada por RECOPE al no contar con políticas, planes y procedimientos formales que garanticen de manera razonable la gestión de la seguridad de las tecnologías de información que respaldan sus operaciones. De ahí, la necesidad de contar en RECOPE con estos instrumentos para gestionar esa seguridad.

14 Los procesos empresariales dependen, en gran medida, de la eficacia y continuidad del soporte tecnológico, especialmente los procesos críticos que operan en RECOPE, por ello, no disponer de mecanismos formales que garanticen ese soporte en tiempos de atención normal de la unidad responsable, puede generar una suspensión que comprometa el servicio de abastecimiento de hidrocarburos, principal fuente de energía comercial utilizada en el país. 4 DISPOSICIONES 4.1 De conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, nro. 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, se emiten las siguientes disposiciones de acatamiento obligatorio, y deberán ser cumplidas dentro del plazo (o en el término) conferido para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad. 4.2 Este Órgano Contralor se reserva la posibilidad de verificar, por los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar el establecimiento de las responsabilidades que correspondan, en caso de incumplimiento injustificado de éstas. A LA JUNTA DIRECTIVA 4.3 Emitir y divulgar las políticas de continuidad del negocio, con el fin de que sirvan de marco para las acciones que garanticen la continuidad de las actividades del negocio, así como las de gestión de la seguridad de la información que garanticen su disponibilidad, integridad y confidencialidad; ante la ocurrencia de eventos que puedan afectar los servicios básicos que presta la entidad, y que se apoyan en los sistemas de información. Remitir a la Contraloría General, a más tardar el 31 de marzo de 2015, copia del acuerdo mediante el cual ese órgano colegiado formaliza las políticas de cita e instruye su divulgación a toda la organización. Ver párrafos del 2.1 al 2.14 de este informe. 4.4 Elaborar, aprobar y divulgar un plan estratégico de gestión de la continuidad del negocio; instrumento que integrará al menos los planes de contingencia informática, atención de emergencias y sucesión y recuperación de desastres. Remitir al Órgano Contralor, a más tardar el 30 de abril de 2016, copia del acuerdo mediante el cual ese órgano colegiado aprueba el plan estratégico e instruye su divulgación a toda la organización, asimismo, remitir un reporte del avance en la implementación de lo dispuesto, al 30 de setiembre de Ver párrafos del 2.1 al 2.7 de este informe.

15 11 A SARA SALAZAR BADILLA EN SU CALIDAD DE PRESIDENTA EJECUTIVA O A QUIEN EN SU LUGAR OCUPE EL CARGO 4.5 Establecer e instruir la implementación del sistema formal de gestión de la seguridad de la información que incluya procesos, procedimientos, estructuras organizacionales, funciones y objetivos que permitan monitorear, revisar y mejorar los controles que garantizan razonablemente la confidencialidad, integridad y disponibilidad de la información institucional. Remitir, a más tardar el 30 de junio de 2015, certificación de la aprobación del estudio técnico que incluya el planteamiento y alcances del sistema en mención, y a más tardar el 30 de junio de 2016, certificación de esa Presidencia Ejecutiva que acredite el establecimiento y la instrucción girada para la puesta en operación del sistema de referencia. Ver párrafos del 2.8 al 2.14 de este informe. 4.6 Ajustar la definición de los privilegios, roles y perfiles de los usuarios que tienen acceso al sistema integrado de gestión ERP, basándose en el principio del menor privilegio y bajo una priorización de acuerdo a riesgos, para garantizar la seguridad lógica de la información y de los procesos soportados por esta aplicación. Remitir a la Contraloría General, a más tardar el 30 de junio de 2015, certificación que acredite el ajuste requerido en esta disposición. Ver párrafos del 2.15 al 2.25 de este informe. 4.7 Elaborar y formalizar los acuerdos de servicio de la Dirección de Tecnologías de Información que establecen los procedimientos o protocolos de soporte y los responsables en la atención de eventos o incidentes, que permitan garantizar el soporte tecnológico a los procesos críticos de RECOPE durante todo el tiempo que estén en operación. Remitir al Órgano Contralor, a más tardar 31 de agosto de 2015, certificación que acredite la elaboración y formalización de los acuerdos de servicio. Ver párrafos del 2.26 al 2.30 de este informe.

16 12 ANEXO OBSERVACIONES AL BORRADOR DEL INFORME DE LA AUDITORÍA ACERCA DE LA CALIDAD Y SEGURIDAD DE LOS DATOS QUE SUSTENTAN LOS SISTEMAS INFORMÁTICOS DE LA REFINADORA COSTARRICENSE DE PETRÓLEO, S.A. (RECOPE) Nro. Párrafos 4.3 y 4.4 Observaciones Administración Se indica, en cuanto a los párrafos 4.3 y 4.4, que la Contraloría General no consideró que para elaborar el plan de continuidad de negocio se requiere una contratación por espacio de 12 meses. Se acoge? Argumentos CGR Sí No Parcial Con respecto a la disposición del párrafo 4.3, la Administración de RECOPE no presenta ninguna observación. En cuanto a la disposición del párrafo 4.4 con motivo de lo argumentado se admite que el desarrollo del plan puede necesitar mayor plazo si se requiere contratar estos servicios; pero el plazo solicitado por la Administración es extenso, por lo cual, se acepta la ampliación hasta el 30 de abril de 2016, y se incorpora a la disposición remitir un reporte de avance en la implementación de de lo solicitado, al 30 de setiembre de Nro. Párrafos 4.5 Observaciones Administración Se indica en cuanto al párrafo 4.5 de las disposiciones, que establecer un sistema de gestión de seguridad requiere el abordaje de este tema por parte de la Dirección de Planificación u otras dependencias que designe la Administración; y por ello, la disposición no se puede cumplir en el plazo establecido por el Órgano Contralor. Se sugiere que al 30 de setiembre de 2015 se presente el planteamiento y alcances del sistema de seguridad de información (estudio técnico), y a partir de esa fecha su ejecución se estima que podría contemplar un plazo de dieciocho meses. Se acoge? Argumentos CGR Sí No Parcial Se indica como excesivo el plazo de 10 meses para realizar el estudio técnico para crear el sistema de gestión de la seguridad de la información y 18 meses para implementar dicho sistema. En ese sentido, procede ajustar los plazos a 6 y 12 meses posteriores, respectivamente. Nro. Párrafos 4.6 Observaciones Administración En cuanto al párrafo 4.6 de las disposiciones se indica que la manera más ágil de atender el ajuste de los roles, es por medio de una contratación donde se rediseñen y se implemente una herramienta que asegure el control asociado a los accesos. Que según proforma recibida de uno de los proveedores consultados por la Administración dicha tarea se realiza en 11 meses, y por el monto que este trabajo representa corresponde a una licitación abreviada y proponen un replanteamiento del plazo al 30 de marzo de Se acoge? Argumentos CGR Sí No Parcial En este punto, la disposición solicita el ajuste de los privilegios, roles y perfiles de los usuarios, la Administración propone adicionalmente la implementación de una herramienta para su control que resulta bastante apropiado pero no fue solicitado en la disposición de referencia. Por ello, la

17 13 ampliación al plazo requerida no es de recibo, más si se considera el alto riesgo asociado a no realizar el ajuste solicitado. Así, la Administración debe tomar las previsiones y priorizar las contrataciones para tener ajustados estos privilegios, roles y perfiles en el plazo establecido en la disposición respectiva. Nro. Párrafos 4.7 Observaciones Administración En cuanto al párrafo 4.7 de las disposiciones se indica que no hay procedimientos formales que garanticen la disponibilidad del personal fuera de horario habitual. Que para el establecimiento de acuerdos de niveles de servicio (SLA s) se tomará como base el catálogo de servicios de TI definido en el En complemento a este catálogo se realizará el plan de gestión de calidad basado en ISO 9001 y (gestión de servicios), cuya contratación contemplará la documentación de procedimientos, el manual de la calidad y plataformas de TI asociadas, que soportan los servicios y con este insumo proponer los SLA s. Se estima que en el plazo establecido por la Contraloría General, solo se contará con el estudio técnico, términos de referencia e iniciada la contratación para el proceso de gestión de calidad, el cual, se estima ejecutar en un plazo adicional de dieciocho meses. Se acoge? Argumentos CGR Sí No Parcial Se considera que la elaboración y formalización de los acuerdos de servicio se deben realizar como base para los términos de referencia de cualquier contratación que se requiera para brindar ese servicio. La disposición de la Contraloría General no considera el establecimiento de un sistema de gestión de la calidad, por ello, el plazo concedido para estos acuerdos de servicio se mantiene al no depender de ese sistema, siendo lo prioritario garantizar el soporte fuera del horario habitual.