INFORME DE AUDITORÍA TI de febrero de 2014 Autoridad Metropolitana de Autobuses Oficina de Sistemas de Información (Unidad Auditoría

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INFORME DE AUDITORÍA TI-14-10 14 de febrero de 2014 Autoridad Metropolitana de Autobuses Oficina de Sistemas de Información (Unidad 5140 - Auditoría"

Transcripción

1 INFORME DE AUDITORÍA TI de febrero de 2014 Autoridad Metropolitana de Autobuses Oficina de Sistemas de Información (Unidad Auditoría 13753) Período auditado: 18 de junio de 2012 al 15 de abril de 2013

2

3 TI CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 5 OPINIÓN Y HALLAZGOS Deficiencias relacionadas con el análisis de riesgos de los sistemas de información computadorizados y falta de un análisis de impacto de negocio Falta de un plan de seguridad Deficiencias relacionadas con el Disaster Recovery Plan Falta de almacenamiento de los respaldos de la información de los sistemas computadorizados en un lugar seguro fuera de los predios de la AMA, y de un centro alterno para la recuperación de las operaciones computadorizadas Deficiencias relacionadas con los parámetros de seguridad de los servidores de la red, con la administración de cuentas de acceso y con el proceso de desactivar las cuentas de los exempleados Falta de controles físicos y ambientales en el centro de cómputos y en las áreas de distribución de cableado Falta de mantenimiento preventivo a los equipos y, de monitoreo de la red Falta de un programa para divulgar al personal las normas y los procedimientos de seguridad de la información COMENTARIO ESPECIAL Incumplimiento relacionado con el rembolso de los ingresos generados por la AMA mediante la utilización de la tarjeta magnética RECOMENDACIONES AGRADECIMIENTO ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 31

4 2 TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 14 de febrero de 2014 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información (OSI) de la Autoridad Metropolitana de Autobuses (AMA) para determinar si las mismas se efectuaron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 18 de junio de 2012 al 15 de abril de En algunos aspectos examinamos transacciones de fechas anteriores. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este Informe contiene ocho hallazgos sobre el resultado del examen que realizamos de los controles establecidos para la administración del programa de seguridad; el acceso lógico y físico; y la continuidad del servicio. Además, contiene un comentario especial relacionado con los

5 TI acuerdos para el recobro por el uso de la tarjeta magnética del Tren Urbano en los autobuses de la AMA. El mismo está disponible en nuestra página en Internet: INFORMACIÓN SOBRE LA UNIDAD AUDITADA La AMA fue creada por la Ley Núm. 5 del 11 de mayo de 1959, Ley de la Autoridad Metropolitana de Autobuses, según enmendada, con el propósito de poseer, desarrollar, mejorar y administrar cualquier tipo de transportación de pasajeros en el territorio que comprende la Capital de Puerto Rico y el Área Metropolitana, según esta ha sido definida por la Junta de Planificación de Puerto Rico. Mediante la Ley Núm. 5, se faculta a la AMA para brindar servicios de transportación al resto de la Isla, siempre que estos sean fletados. También se dispone que todos los servicios de transportación serán en la forma económica más amplia para impulsar y promover el bienestar general de la comunidad y el comercio. La AMA quedó adscrita, efectivo el 2 de enero de 1973, al Departamento de Transportación y Obras Públicas (DTOP) en virtud del Plan de Reorganización 6 aprobado en armonía con las disposiciones de la Ley Núm. 113 del 21 de junio de Conforme con dicho Plan, la Junta de Directores de la AMA fue suprimida y sus facultades, poderes y responsabilidades le fueron transferidos al Secretario de Transportación y Obras Públicas (Secretario). La administración y la operación de la AMA las ejerce un Presidente y Gerente General nombrado por el Secretario. La OSI contaba con un Director de Sistemas de Información que le respondía directamente al Presidente y Gerente General 1, y estaba compuesta por un Administrador de Bancos de Datos, un Administrador de Red de Comunicaciones, y un Especialista en Tecnología y Sistemas de Información. 1 Durante el período del 1 de octubre de 2009 al 15 de diciembre de 2012 el Director de Sistemas de Información le respondió a un Ayudante Especial del Presidente a cargo de la OSI.

6 4 TI A la fecha de nuestra auditoría, la OSI tenía en operación una red de área local (LAN, por sus siglas en inglés) y una red de área amplia (WAN, por sus siglas en inglés) 2. La comunicación del área local se hacía a través de los switches 3 establecidos en las siete áreas donde se encontraban equipos de comunicación en el edificio principal. La comunicación de los datos de la red WAN utilizada para los 11 terminales 4 de la AMA, se hacía mediante una arquitectura frame relay, a través de líneas T1. La AMA contaba, además, con 433 equipos computadorizados que incluían 235 computadoras, 15 servidores (físicos) y otros equipos periferales y de comunicación. De los 15 servidores físicos, 3 eran utilizados para albergar (host) 22 servidores virtuales 5. En estos servidores operaban los programas Microsoft Dynamics GP, Exchange Server 2010, Microsoft Office 2010, Kronos, Cubic y Trapeze. Los recursos para financiar las actividades operacionales de la AMA provienen de asignaciones legislativas, fondos federales e ingresos propios. Para los años fiscales y , el presupuesto de la AMA ascendió a $88,667,000 y $90,358,000, y el de la OSI ascendió a $227,500 y $222,500. El ANEJO contiene una relación de los funcionarios principales de la AMA que actuaron durante el período auditado. La AMA cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca de la entidad y de los servicios que presta. 2 Es una red de comunicación que se conecta con diferentes lugares remotos que puede incluir desde distancias cortas, como por ejemplo un piso o un edificio, hasta transmisiones extremadamente largas que abarcan una región grande o varios países. 3 Dispositivo de comunicación central que conecta dos o más segmentos de red y que permite que ocurran transmisiones simultáneas, sin afectar el ancho de banda de la red para lograr una comunicación más eficiente. 4 Los terminales estaban ubicados en Bayamón, Capetillo, Carolina, Cataño, Covadonga en el Viejo San Juan, Iturregui, Martínez Nadal, Parada 18 en Santurce, Piñero, Sagrado Corazón y San Patricio. 5 Partición de un servidor que habilita varias máquinas virtuales dentro de este, por medio de diversas tecnologías.

7 TI COMUNICACIÓN CON LA GERENCIA Las situaciones comentadas en los hallazgos de este Informe y otra situación determinada durante la auditoría, relacionadas con los controles establecidos para la administración del programa de seguridad; el acceso lógico y físico; y la continuidad del servicio, y con el cumplimiento de los acuerdos para el recobro por el uso de la tarjeta magnética del Tren Urbano en los autobuses de la AMA, fueron remitidas al Dr. Alberto M. Figueroa Medina, Presidente y Gerente General de la AMA, mediante carta de nuestros auditores, del 11 de abril de En la referida carta se incluyó un anejo con detalles sobre las situaciones comentadas. Mediante carta del 30 de abril de 2013, el Presidente y Gerente General remitió sus comentarios a los hallazgos incluidos en la carta de nuestros auditores. Sus comentarios se consideraron al redactar el borrador de este Informe. El borrador de los hallazgos de este Informe se remitió para comentarios al doctor Figueroa Medina, y al Ing. Edgar I. Rodríguez Pérez, ex-presidente y Gerente General, por cartas del 5 de diciembre de Con el mismo propósito, remitimos el borrador de los hallazgos de este Informe a la Lcda. Denise F. Rodríguez Flores, ex-presidenta y Gerente General Interina y al Sr. Mike O Neill Rosa, ex-presidente y Gerente General, mediante cartas de esa misma fecha, por correo certificado con acuse de recibo, a una dirección provista por la AMA. En el borrador de los hallazgos se indicaron datos específicos, tales como: nombres, cuentas de acceso y localizaciones, que por seguridad no se incluyen en este Informe. El 19 de diciembre de 2013 el Sr. Juan A. Vázquez Acevedo, Vicepresidente de Administración de la AMA, y el ingeniero Rodríguez Pérez solicitaron prórrogas para remitir los comentarios al borrador de los hallazgos de este Informe. Ese mismo día, le concedimos las prórrogas hasta el 7 de enero de El 20 de diciembre de 2013 se enviaron cartas de seguimiento a la licenciada Rodríguez Flores y al señor O Neill Rosa, y se les concedió hasta el 7 de enero de 2014 para remitir los comentarios al borrador de los hallazgos de este Informe. El 9 de enero de 2014 se recibió en la Oficina,

8 6 TI devuelta por el correo, la carta con el borrador de los hallazgos de este Informe que le fue referido a la licenciada Rodríguez Flores, debido a que la misma no fue reclamada. La carta de seguimiento no fue devuelta por el correo. La licenciada Rodríguez Flores y el señor O Neill Rosa no contestaron el borrador de los hallazgos de este Informe. El señor Vázquez Acevedo contestó el borrador de los hallazgos de este Informe mediante carta del 2 de enero de Sus comentarios fueron considerados en la redacción final de este Informe. En los hallazgos se incluyeron algunos de sus comentarios. El ingeniero Rodríguez Pérez contestó el borrador de los hallazgos de este Informe mediante carta del 7 de enero de Este indicó, entre otras cosas, lo siguiente: [ ] del borrador suministrado, no surge algún hallazgo del cual este servidor pueda proveer información alguna de propio y personal conocimiento. OPINIÓN Y HALLAZGOS Las pruebas efectuadas revelaron que las operaciones de la OSI, en lo que concierne a los controles establecidos para la administración del programa de seguridad; el acceso lógico y físico; y la continuidad del servicio, se realizaron sustancialmente conforme a las normas generalmente aceptadas en este campo, excepto por los hallazgos del 1 al 8 que se comentan a continuación. Hallazgo 1 - Deficiencias relacionadas con el análisis de riesgos de los sistemas de información computadorizados y falta de un análisis de impacto de negocio Situaciones a. Un análisis de riesgos de los sistemas de información computadorizados es un método para identificar las vulnerabilidades y las amenazas a los recursos de dichos sistemas. Mediante este se identifican los posibles daños para determinar dónde implantar las medidas de seguridad para proteger dichos recursos, de manera que no se afecten adversamente las operaciones. Este método se utiliza para asegurar que las medidas de seguridad a ser implantadas sean

9 TI costo-efectivas, pertinentes a las operaciones de la entidad gubernamental y respondan a las posibles amenazas identificadas. El análisis de riesgos tiene cuatro objetivos: Identificar los activos y el valor monetario asignado a los mismos. Identificar las vulnerabilidades y las amenazas de los recursos de sistemas de información. Cuantificar la probabilidad y el impacto de las amenazas potenciales en las operaciones de la entidad gubernamental. Proveer un balance económico entre el impacto de las amenazas y el costo de las medidas de seguridad a implantarse. El 18 de junio de 2012 se les suministró a nuestros auditores el Avalúo de Riesgos para los sistemas de información de la AMA. El examen realizado reveló que el mismo carecía de lo siguiente: Un inventario de todos los activos de sistemas de información que detallara los equipos, los programas y los datos; y la valoración y la clasificación de acuerdo con la misión y los servicios de la AMA Las conclusiones de la gerencia en respuesta a su evaluación del riesgo (aceptación, transferencia, reducción o asumir el riesgo) La aprobación por la alta gerencia. b. Un análisis de impacto de negocio tiene como objetivo cuantificar y calificar el impacto de negocio por pérdida o interrupción de las operaciones, y de las vulnerabilidades y las amenazas que fueron identificadas y clasificadas en el análisis de riesgos. Además, debe proveer información para determinar las estrategias de recuperación más apropiadas. Al 7 de septiembre de 2012, en la AMA no se había realizado un análisis de impacto de negocio sobre los sistemas de información computadorizados.

10 8 TI Criterio Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la Oficina de Gerencia y Presupuesto. Efecto Las situaciones comentadas impidieron a la AMA estimar el impacto que los elementos de riesgos tendrían sobre las áreas y los sistemas críticos de esta, y considerar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información. Causas La situación comentada en el apartado a. se debía a que para la preparación del Avalúo de Riesgos se utilizó como modelo el análisis de otra agencia, sin tomar en consideración lo establecido en la Política TIG-003 de la Carta Circular La situación comentada en el apartado b. se debía, en parte, a que el Ayudante Especial a cargo de la OSI desconocía que tenía que preparar un análisis de impacto de negocio para los sistemas de información de la AMA. Comentarios de la Gerencia En la carta del Vicepresidente de Administración, este nos indicó, entre otras cosas, que se revisará el Avalúo de Riesgos para completar las partes pendientes (apartado a.), y que se trabajará para crear un análisis de impacto de negocio (apartado b.). Véanse las recomendaciones 1, 4 y 5.

11 TI Hallazgo 2 - Falta de un plan de seguridad Situación a. Al 18 de junio de 2012, la AMA no tenía un plan de seguridad aprobado por el Presidente y Gerente General que incluyera, entre otras cosas, disposiciones en cuanto a: La documentación de la validación de las normas de seguridad 6 La evidencia de un análisis de riesgos actualizado, que sea la base del plan Un programa de adiestramiento especializado al personal clave de seguridad Los procedimientos para informar y responder a incidentes, tales como ataques externos e internos, virus y vulnerabilidades que puedan afectar la seguridad de los activos de información de la organización La documentación de la interconexión de los sistemas. Criterio Esta situación es contraria a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que las entidades gubernamentales tendrán la responsabilidad de desarrollar políticas específicas de seguridad de acuerdo con las características propias de los ambientes de tecnología de la agencia, particularmente sus sistemas de misión crítica. Efecto La situación comentada podría provocar la inversión de recursos en medidas de control inadecuadas, el desconocimiento y la falta de entendimiento de las responsabilidades relacionadas con la seguridad, y la protección inadecuada de los recursos críticos. 6 La validación de las normas de seguridad se efectúa mediante la prueba de los controles para eliminar o mitigar las amenazas y las vulnerabilidades detectadas en el análisis de riesgos.

12 10 TI Causa La situación comentada se atribuye a que el Presidente y Gerente General no había promulgado una directriz para la preparación, la implantación y la actualización continua del plan de seguridad. Comentarios de la Gerencia En la carta del Vicepresidente de Administración, este nos indicó, entre otras cosas, que no tienen un plan de seguridad y que trabajarán para crear el mismo. Véanse las recomendaciones 1 y 6. Hallazgo 3 - Deficiencias relacionadas con el Disaster Recovery Plan Situaciones a. El 18 de junio de 2012 se le suministró a nuestros auditores el documento Disaster Recovery Plan. El examen del mismo reveló las siguientes deficiencias: 1) No incluía la fecha de preparación y de aprobación. 2) No incluía los siguientes requisitos que son importantes para atender situaciones de emergencia: La identificación de los archivos críticos de la OSI El nombre del encargado de activar el plan y del personal de reserva, de forma que pueda ser activado sin depender de individuos específicos La identificación de los integrantes del grupo de recuperación y la responsabilidad asignada a cada uno de estos El inventario de los equipos, los sistemas operativos y las aplicaciones El detalle de la configuración de los equipos críticos (equipos de comunicaciones y servidores) y del contenido de los respaldos, así como los nombres de las librerías y de los archivos

13 TI Un itinerario de restauración que incluya el orden de las aplicaciones a restaurar Una lista de los proveedores principales que incluya el número de teléfono y el nombre del personal de enlace con la entidad Una hoja de cotejo para verificar los daños ocasionados. Una situación similar se comentó en nuestro Informe de Auditoría TI del 4 de abril de Criterio Las mejores prácticas en el campo de la tecnología de información utilizadas para garantizar la confiabilidad, la integridad y la disponibilidad de los sistemas de información computadorizados sugieren que como parte del plan de continuidad de negocios se deberá preparar un Plan de Contingencias. Este es una guía que garantiza la continuidad de las operaciones normales de los sistemas de información computadorizados cuando se presentan eventualidades inesperadas que afectan su funcionamiento. El mismo deberá estar aprobado por el funcionario de máxima autoridad de la entidad y deberá incluir todos los procesos necesarios para recuperar cualquier segmento de la operación del centro de cómputos o, si fuera necesario, relocalizar las operaciones en el menor tiempo posible y de la forma más ordenada y confiable. Efecto Las situaciones comentadas podrían propiciar la improvisación y, que en casos de emergencia, se tomen medidas inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos. Causa Las situaciones comentadas se atribuyen a que el Disaster Recovery Plan no fue desarrollado a base de un análisis de riesgos, que sirviera como base para el mismo. El Avalúo de Riesgos existente en la AMA fue preparado luego de la creación del Disaster Recovery Plan.

14 12 TI Comentarios de la Gerencia En la carta del Vicepresidente de Administración, este nos indicó, entre otras cosas, que se revisará el Disaster Recovery Plan para actualizar la información faltante. Véanse las recomendaciones 1 y 7.a. Hallazgo 4 - Falta de almacenamiento de los respaldos de la información de los sistemas computadorizados en un lugar seguro fuera de los predios de la AMA, y de un centro alterno para la recuperación de las operaciones computadorizadas Situaciones a. Al 6 de agosto de 2012, las copias de los respaldos realizados diariamente a la información contenida en los servidores de la AMA no se mantenían en un lugar seguro fuera de los predios de esta. Los respaldos se almacenaban en un Storage Area Network (SAN) que formaba parte de los equipos computadorizados de la OSI, por lo que estaban expuestos a las mismas posibles amenazas de desastres que la información almacenada en los servidores. b. Al 6 de agosto de 2012, la AMA no contaba con un centro alterno Criterios para restaurar sus operaciones críticas computadorizadas en caso de emergencia. Tampoco había formalizado acuerdos escritos con otra entidad para establecer un centro alterno en las instalaciones de esta. Situaciones similares se comentaron en nuestro Informe de Auditoría TI La situación comentada en el apartado a. es contraria a lo establecido en el Artículo 6.7 de las Normas y Procedimientos Área de Tecnología y Sistemas de Información 7 aprobado el 17 de febrero de 2005 por la Presidenta y Gerente General de la AMA. En estos se establece que la 7 Esta área se refiere a la Oficina de Sistemas de Información.

15 TI copia del respaldo del viernes se guardará semanalmente en unas instalaciones externas al ámbito de procesamiento, que cumpla con todos los requerimientos y con una distancia tal que la ocurrencia de cualquier contingencia en uno no afecte al otro. Las mejores prácticas en el campo de la tecnología de información sugieren que como parte integral del plan de continuidad de negocios, deben existir convenios donde se estipulen las necesidades y los servicios requeridos para afrontar una emergencia. Debe incluirse, además, una cláusula que especifique el lugar o los lugares donde podrían ser requeridos dichos servicios. Estos lugares, de acuerdo con la capacidad de la agencia, podrían ser los siguientes: [Apartado b.] Una entidad pública o privada de similar configuración y tamaño Una compañía dedicada a servicios de restauración Un centro alterno de la propia entidad. Efectos La situación comentada en el apartado a. puede ocasionar que, en casos de emergencias, la AMA no pueda disponer de los respaldos de información necesarios para la continuidad de sus operaciones. La situación comentada en el apartado b. podría afectar las funciones de la AMA y los servicios de la OSI, ya que no tendrían disponibles unas instalaciones para operar después de una emergencia o evento que afectara su funcionamiento. Esto podría atrasar o impedir el proceso de restauración de archivos y el pronto restablecimiento de las operaciones normales de la OSI. Causas La situación comentada en el apartado a. se debía a que el Ayudante Especial a cargo de la OSI entendía que para mantener las copias de los respaldos fuera de los predios de la AMA tendrían que utilizar varias cintas, lo que hacía el proceso uno oneroso para la entidad.

16 14 TI La situación comentada en el apartado b. se atribuye a que el Presidente y Gerente General de la AMA no había realizado las gestiones necesarias para identificar un lugar disponible y adecuado como centro alterno, y formalizar los acuerdos necesarios para la utilización del mismo en casos de emergencia. Comentarios de la Gerencia En la carta del Vicepresidente de Administración, este nos indicó, entre otras cosas, que la AMA cuenta con un servicio de Microsoft conocido como Windows Azure que se paga anualmente para el almacenamiento y centro alterno de recuperación de las operaciones de la AMA. Sin embargo, no nos suministraron evidencia de las acciones correctivas efectuadas. Véanse las recomendaciones 1, 7.b. y 8. Hallazgo 5 - Deficiencias relacionadas con los parámetros de seguridad de los servidores de la red, con la administración de cuentas de acceso y con el proceso de desactivar las cuentas de los exempleados Situaciones a. La AMA contaba con 37 servidores 8 para las operaciones de sus sistemas de información computadorizados. El examen sobre los parámetros de seguridad definidos en cuatro de estos servidores reveló lo siguiente: 1) Existían deficiencias en la activación de las políticas de las cuentas de acceso (Account Policy), según se indica: a) No se requería un mínimo de seis caracteres para la utilización de las contraseñas (Minimum Password Length). b) No se requería un mínimo de cinco contraseñas diferentes antes de volver a utilizar la misma (Password History). 8 Quince servidores físicos, 3 de los cuales albergaban (host) 22 servidores virtuales.

17 TI c) No se había configurado el parámetro para desactivar automáticamente del sistema al usuario una vez venciera el término de acceso a los recursos de la red, previamente establecidos (Do not force logoff when logon hours expire). d) En tres de los cuatro servidores no se había definido un término fijo de intentos de acceso sin éxito a los recursos de la red para que el sistema deshabilitara automáticamente las cuentas de acceso (No account lockout). 2) En los cuatro servidores identificamos deficiencias en la configuración de los parámetros relacionados con las políticas de auditoría (Audit Policy), según se indica: a) En tres de los servidores las políticas de auditoría estaban configuradas para que no se produjera un registro (no auditing) de los accesos a los archivos y objetos (File/Object Access), del uso de los privilegios de los usuarios (Use of User Right), del seguimiento de los procesos (Process Tracking) y del acceso al directorio de servicio (Directory Service Access). b) En dos de los servidores las políticas de auditoría estaban configuradas para que no se produjera un registro del encendido y el apagado de la computadora (Restart and Shutdown), de la conexión y la desconexión de las cuentas (Logon and Logoff), de los cambios a las políticas de seguridad (Security Policy Changes), de la administración de usuarios o grupos (User/Group Management) y de la conexión de cuentas con privilegios (Privileged Account Logon). c) En un servidor no se había activado la opción para el registro de auditoría (All Auditing Disabled). b. La AMA tenía un servidor configurado como Primary Domain Controller (PDC), el cual al 12 de septiembre de 2012, tenía 438 cuentas de acceso de usuarios. Diez de estas cuentas de usuarios

18 16 TI pertenecían al grupo de administrador. Las cuentas asignadas a este grupo tienen privilegios que les permiten conectarse a cualquier computadora, acceder a cualquier archivo, instalar aplicaciones, remover y otorgar accesos, y modificar las políticas de seguridad, entre otros. El examen de estas cuentas reveló que dos estaban asignadas a usuarios que no pertenecían a la OSI y por las funciones que realizaban no se justificaba que tuviesen una cuenta de administrador. c. Al 12 de septiembre de 2012, no se habían eliminado del PDC las cuentas de acceso de 3 exempleados. Estos cesaron sus funciones entre el 15 de febrero de 2010 y el 23 de agosto de 2011, por lo que habían transcurrido entre 385 y 940 días desde la fecha del cese. Situaciones similares se comentaron en nuestro Informe de Auditoría TI Criterios Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establecen las directrices generales que permitirán a las agencias mantener la confidencialidad, la integridad y la disponibilidad de la información que manejan. Además, se establece que será responsabilidad de cada agencia desarrollar políticas específicas de seguridad de acuerdo con las características propias de los ambientes de tecnología de la agencia, particularmente sus sistemas de misión crítica. Las situaciones comentadas en los apartados b. y c. son contrarias a lo establecido en el Artículo 6.4 de las Normas y Procedimientos Área de Tecnología y Sistemas de Información. En estos se establece que: El personal autorizado de velar por la administración de la seguridad de los sistemas electrónicos deberá asegurarse de que los controles son adecuados para prevenir acceso no autorizado a los datos, los programas y el equipo del área. [Apartado b.] Cada seis meses se actualizará y verificará la tabla de usuarios con el propósito de mantenerla al día. [Apartado c.]

19 TI Efectos Las situaciones comentadas en el apartado a. impiden la detección temprana de errores críticos o problemas con los servidores, que permitiera tomar de inmediato las medidas preventivas y correctivas necesarias. Además, privan a la gerencia de las herramientas necesarias para supervisar eficientemente los trabajos realizados por los usuarios, y detectar el acceso y el uso indebido de los sistemas computadorizados. Las situaciones comentadas en los apartados b. y c. pueden propiciar que personas no autorizadas puedan lograr acceso a información confidencial y hacer uso indebido de esta. Además, pueden propiciar la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causas Las situaciones comentadas se debían, principalmente, a que el Director de Sistemas de Información no se había asegurado de: Activar todas las opciones de seguridad de acceso lógico que proveen los sistemas operativos. [Apartado a.] Establecer los controles adecuados para la administración y el mantenimiento de las cuentas de acceso a la red, y para limitar el acceso a los sistemas de información de la AMA. [Apartados b. y c.] Comentarios de la Gerencia En la carta del Vicepresidente de Administración, este nos indicó, entre otras cosas, que se cumplimentaron unas acciones correctivas para los apartados a.1)a) y b), y b. Además, que se habían desactivado las cuentas de los empleados que no trabajan en la AMA. [Apartado c.] Véanse las recomendaciones 1 y 7 de la c. a la e.

20 18 TI Hallazgo 6 - Falta de controles físicos y ambientales en el centro de cómputos y en las áreas de distribución de cableado Situaciones a. En el centro de cómputos de la OSI se mantenía, entre otros, el servidor configurado como PDC. El examen efectuado el 12 de septiembre de 2012 sobre los controles físicos y ambientales existentes en el centro de cómputos reveló lo siguiente: 1) El personal ajeno a la OSI accedía al centro de cómputos sin firmar el registro de visitantes. 2) La puerta del cuarto donde se encontraban los servidores estaba abierta. 3) El centro de cómputos no contaba con dispositivos para la detección de agua y de humedad. 4) El acondicionador de aire y la consola que servía como la línea redundante del mismo estaban dañadas. 5) Los equipos computadorizados localizados en el centro de cómputos tenían polvo acumulado. b. La red de comunicaciones de la OSI contaba con siete áreas de distribución de cableado ubicados en el edificio de la AMA. En estas áreas se habían instalado gabinetes para proteger los equipos de comunicaciones que mantenían las conexiones necesarias para interconectar las computadoras que recibían servicio de la red. El examen efectuado el 12 de septiembre de 2012 sobre los controles físicos y ambientales existentes en dichas áreas reveló lo siguiente: 1) En las siete áreas no habían extintores localizados cerca de estas. 2) En 5 áreas (71%) los equipos de comunicación ubicados en los gabinetes tenían partículas de polvo. 3) En 4 áreas (57%) las puertas que daban acceso a las mismas estaban sin seguro.

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 -

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - Auditoría 13826) Período auditado: 1 de abril al 6 de diciembre

Más detalles

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría 13359) Período auditado: 9 de septiembre de 2009 al 28

Más detalles

INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría

INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría INFORME DE AUDITORÍA TI-16-02 11 de agosto de 2015 Cuerpo de Bomberos de Puerto Rico Oficina de Sistemas de Información (Unidad 5224 - Auditoría 13964) Período auditado: 17 de septiembre de 2014 al 16

Más detalles

INFORME DE AUDITORÍA TI-12-07 13 de febrero de 2012 Departamento del Trabajo y Recursos Humanos Administración del Derecho al Trabajo Oficina de

INFORME DE AUDITORÍA TI-12-07 13 de febrero de 2012 Departamento del Trabajo y Recursos Humanos Administración del Derecho al Trabajo Oficina de INFORME DE AUDITORÍA TI-12-07 Departamento del Trabajo y Recursos Humanos Administración del Derecho al Trabajo Oficina de Informática () Período auditado: 13 de abril al 15 de septiembre de 2009 Informe

Más detalles

INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría

INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría 13751) Período auditado: 18 de junio de 2012 al 30 de

Más detalles

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información INFORME DE AUDITORÍA TI-12-08 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información () Período auditado: 23 de diciembre de 2008 al 18 de noviembre de 2009 1

Más detalles

INFORME DE AUDITORÍA TI-14-13 4 de abril de 2014 Departamento de Hacienda Negociado de la Lotería de Puerto Rico - Lotería Tradicional Sistema de

INFORME DE AUDITORÍA TI-14-13 4 de abril de 2014 Departamento de Hacienda Negociado de la Lotería de Puerto Rico - Lotería Tradicional Sistema de INFORME DE AUDITORÍA TI-14-13 4 de abril de 2014 Departamento de Hacienda Negociado de la Lotería de Puerto Rico - Lotería Tradicional Sistema de Información Computadorizado (Unidad 5251 - Auditoría 13641)

Más detalles

INFORME DE AUDITORÍA DA-13-25 14 de diciembre de 2012 Tribunal General de Justicia Tribunal de Primera Instancia Centro Judicial de Carolina (Unidad

INFORME DE AUDITORÍA DA-13-25 14 de diciembre de 2012 Tribunal General de Justicia Tribunal de Primera Instancia Centro Judicial de Carolina (Unidad INFORME DE AUDITORÍA DA-13-25 14 de diciembre de 2012 Tribunal General de Justicia Tribunal de Primera Instancia Centro Judicial de Carolina (Unidad 2384 - Auditoría 13599) Período auditado: 1 de enero

Más detalles

INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 -

INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 - INFORME DE AUDITORÍA TI-16-05 4 de marzo de 2016 Administración de Seguros de Salud de Puerto Rico Oficina de Sistemas de Información (Unidad 5032 - Auditoría 13896) Período auditado: 7 de marzo al 19

Más detalles

INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información

INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información Computadorizados (Unidad 5181 - Auditoría 13897) Período

Más detalles

INFORME DE AUDITORÍA TI-10-04 14 de agosto de 2009 DEPARTAMENTO DE CORRECCIÓN Y REHABILITACIÓN OFICINA DE SERVICIOS CON ANTELACIÓN AL JUICIO OFICINA

INFORME DE AUDITORÍA TI-10-04 14 de agosto de 2009 DEPARTAMENTO DE CORRECCIÓN Y REHABILITACIÓN OFICINA DE SERVICIOS CON ANTELACIÓN AL JUICIO OFICINA INFORME DE AUDITORÍA TI-10-04 DEPARTAMENTO DE CORRECCIÓN Y REHABILITACIÓN OFICINA DE SERVICIOS CON ANTELACIÓN AL JUICIO OFICINA DE SISTEMAS DE INFORMACIÓN () Período auditado: 6 de junio de 2007 al 15

Más detalles

INFORME DE AUDITORÍA TI-15-10 12 de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia

INFORME DE AUDITORÍA TI-15-10 12 de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia INFORME DE AUDITORÍA TI-15-10 12 de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (Unidad 5260 - Auditoría 13850) Período auditado: 12 de junio

Más detalles

INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811)

INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811) INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811) Período auditado: 18 de febrero de 2013 al 19 de febrero

Más detalles

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro INFORME DE AUDITORÍA TI-10-12 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro de Sistemas de Información () Período auditado: 17 de marzo al 28 de octubre

Más detalles

INFORME DE AUDITORÍA DA-16-02 17 de agosto de 2015 Tribunal General de Justicia Región Judicial de Ponce (Unidad 2313 - Auditoría 13980)

INFORME DE AUDITORÍA DA-16-02 17 de agosto de 2015 Tribunal General de Justicia Región Judicial de Ponce (Unidad 2313 - Auditoría 13980) INFORME DE AUDITORÍA DA-16-02 17 de agosto de 2015 Tribunal General de Justicia Región Judicial de Ponce (Unidad 2313 - Auditoría 13980) Período auditado: 1 de julio de 2011 al 30 de junio de 2015 DA-16-02

Más detalles

INFORME DE AUDITORÍA DA-14-31 29 de enero de 2014 Administración de la Industria y el Deporte Hípico (Unidad 1401 - Auditoría 13705)

INFORME DE AUDITORÍA DA-14-31 29 de enero de 2014 Administración de la Industria y el Deporte Hípico (Unidad 1401 - Auditoría 13705) INFORME DE AUDITORÍA DA-14-31 29 de enero de 2014 Administración de la Industria y el Deporte Hípico (Unidad 1401 - Auditoría 13705) Período auditado: 1 de enero de 2009 al 31 de diciembre de 2012 DA-14-31

Más detalles

INFORME DE AUDITORÍA TI-14-19 16 de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información

INFORME DE AUDITORÍA TI-14-19 16 de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información INFORME DE AUDITORÍA TI-14-19 16 de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información Gubernamental (Unidad 5385 - Auditoría 13752) Período auditado:

Más detalles

Informe de Auditoría DB-98-1. 1 de diciembre de 1997

Informe de Auditoría DB-98-1. 1 de diciembre de 1997 Informe de Auditoría DB-98-1 1 de diciembre de 1997 TRIBUNAL GENERAL DE JUSTICIA DE PUERTO RICO TRIBUNAL DE PRIMERA INSTANCIA SUBSECCION DE DISTRITO - SALA DE GUAYNABO (Unidad 2346) Periodo auditado :

Más detalles

INFORME DE AUDITORÍA TI-05-05 17 de noviembre de 2004 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información

INFORME DE AUDITORÍA TI-05-05 17 de noviembre de 2004 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información INFORME DE AUDITORÍA TI-05-05 Oficina del Procurador de las Personas con Impedimentos Oficina de Sistemas de Información () Período auditado: 21 de octubre de 2003 al 15 de julio de 2004 Informe de Auditoría

Más detalles

Informe de Auditoría DA-00-27. 8 de mayo de 2000. DEPARTAMENTO DE HACIENDA AREA DE SEGUROS PÚBLICOS (Unidad 1042)

Informe de Auditoría DA-00-27. 8 de mayo de 2000. DEPARTAMENTO DE HACIENDA AREA DE SEGUROS PÚBLICOS (Unidad 1042) Informe de Auditoría DA-00-27 8 de mayo de 2000 DEPARTAMENTO DE HACIENDA AREA DE SEGUROS PÚBLICOS (Unidad 1042) Período auditado : 1 de julio de 1993 al 31 de diciembre de 1999 CONTENIDO Información sobre

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

Informe de Auditoría DA-00-13. 30 de diciembre de 1999. DEPARTAMENTO DE HACIENDA NEGOCIADO DE RECAUDACIONES (Unidad 1041)

Informe de Auditoría DA-00-13. 30 de diciembre de 1999. DEPARTAMENTO DE HACIENDA NEGOCIADO DE RECAUDACIONES (Unidad 1041) Informe de Auditoría DA-00-13 30 de diciembre de 1999 DEPARTAMENTO DE HACIENDA NEGOCIADO DE RECAUDACIONES (Unidad 1041) Período auditado : 1 de diciembre de 1992 al 31 de diciembre de 1998 CONTENIDO Página

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

INFORME DE AUDITORÍA TI-14-09 9 de febrero de 2014 Universidad de Puerto Rico Administración Central (Unidad 5485 - Auditoría 13600)

INFORME DE AUDITORÍA TI-14-09 9 de febrero de 2014 Universidad de Puerto Rico Administración Central (Unidad 5485 - Auditoría 13600) INFORME DE AUDITORÍA TI-14-09 9 de febrero de 2014 Universidad de Puerto Rico Administración Central (Unidad 5485 - Auditoría 13600) Período auditado: 1 de julio de 2000 al 3 de febrero de 2012 TI-14-09

Más detalles

INFORME DE AUDITORÍA TI-05-04 12 de noviembre de 2004 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información (Unidad

INFORME DE AUDITORÍA TI-05-04 12 de noviembre de 2004 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información (Unidad INFORME DE AUDITORÍA TI-05-04 Administración de Seguros de Salud de Puerto Rico Directoría de Sistemas de Información () Período auditado: 8 de octubre de 2002 al 15 de mayo de 2003 Informe de Auditoría

Más detalles

INFORME DE AUDITORÍA CP-14-04 11 de octubre de 2013 Universidad de Puerto Rico en Cayey (Unidad 3057 - Auditoría 13774)

INFORME DE AUDITORÍA CP-14-04 11 de octubre de 2013 Universidad de Puerto Rico en Cayey (Unidad 3057 - Auditoría 13774) INFORME DE AUDITORÍA CP-14-04 11 de octubre de 2013 Universidad de Puerto Rico en Cayey (Unidad 3057 - Auditoría 13774) Período auditado: 1 de enero de 2009 al 31 de diciembre de 2012 CP-14-04 1 CONTENIDO

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

INFORME DE AUDITORÍA TI-14-07 25 de enero de 2014 Departamento de Estado Sistemas de Información Computadorizados (Unidad 5265 - Auditoría 13657)

INFORME DE AUDITORÍA TI-14-07 25 de enero de 2014 Departamento de Estado Sistemas de Información Computadorizados (Unidad 5265 - Auditoría 13657) INFORME DE AUDITORÍA TI-14-07 25 de enero de 2014 Departamento de Estado Sistemas de Información Computadorizados (Unidad 5265 - Auditoría 13657) Período auditado: 1 de septiembre de 2011 al 9 de marzo

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

INFORME DE AUDITORÍA CP-07-14 5 de marzo de 2007 AUTORIDAD DE CARRETERAS Y TRANSPORTACI~N DE PUERTO RICO (TREN URBANO)

INFORME DE AUDITORÍA CP-07-14 5 de marzo de 2007 AUTORIDAD DE CARRETERAS Y TRANSPORTACI~N DE PUERTO RICO (TREN URBANO) INFORME DE AUDITORÍA CP-07-14 AUTORIDAD DE CARRETERAS Y TRANSPORTACI~N DE PUERTO RICO (TREN URBANO) (Unidad 3126 - Auditoría 12885) Período auditado: 1 de enero de 2001 al 30 de junio de 2006 Informe de

Más detalles

INFORME DE AUDITORÍA DA-15-42 29 de mayo de 2015 Departamento de Salud Hospital Pediátrico Universitario Dr. Antonio Ortiz (Unidad 2243 - Auditoría

INFORME DE AUDITORÍA DA-15-42 29 de mayo de 2015 Departamento de Salud Hospital Pediátrico Universitario Dr. Antonio Ortiz (Unidad 2243 - Auditoría INFORME DE AUDITORÍA DA-15-42 29 de mayo de 2015 Departamento de Salud Hospital Pediátrico Universitario Dr. Antonio Ortiz (Unidad 2243 - Auditoría 13925) Período auditado: 1 de enero de 2011 al 30 de

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Universidad de Puerto Rico Recinto de Ciencias Médicas

Universidad de Puerto Rico Recinto de Ciencias Médicas Universidad de Puerto Rico Recinto de Ciencias Médicas Política de Seguridad de Tecnologías de Información del RCM 1 Base Legal 1.1 Ley Federal Family Education Rights and Privacy Act (FERPA) de 1974 1.2

Más detalles

ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Patricia Eugenia Gómez Escobar Rafael López Hoyos Rafael López Hoyos Cargo: Cargo:

Más detalles

INFORME DE AUDITORÍA TI-07-08 24 de mayo de 2007 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE

INFORME DE AUDITORÍA TI-07-08 24 de mayo de 2007 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE INFORME DE AUDITORÍA TI-07-08 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS () Período auditado: 16 de febrero al 17 de

Más detalles

UNIVERSIDAD DE PUERTO RICO JUNTA DE SÍDICOS

UNIVERSIDAD DE PUERTO RICO JUNTA DE SÍDICOS UNIVERSIDAD DE PUERTO RICO JUNTA DE SÍDICOS DEPARTAMENTO DE ESTADO Núm. Reglamento 7471 Fecha Rad: 5 de marzo de 2008 Aprobado: Hon. Fernando J. Bonilla Política Institncional sobre el Uso Aceptable de

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

Estado Libre Asociado de Puerto Rico Oficina del Contralor

Estado Libre Asociado de Puerto Rico Oficina del Contralor Estado Libre Asociado de Puerto Rico Oficina del Contralor Manuel Díaz Saldaña Contra/or Carta Circular OC-lO-OS Año Fiscal 2009-10 Gobernador, presidentes del Senado de Puerto Rico y de la Cámara de Representantes,

Más detalles

INFORME DE AUDITORÍA DA-15-33 17 de abril de 2015 Departamento de Educación Unidad Secretarial del Procedimiento de Querellas y Remedio Provisional

INFORME DE AUDITORÍA DA-15-33 17 de abril de 2015 Departamento de Educación Unidad Secretarial del Procedimiento de Querellas y Remedio Provisional INFORME DE AUDITORÍA DA-15-33 17 de abril de 2015 Departamento de Educación Unidad Secretarial del Procedimiento de Querellas y Remedio Provisional (Unidad 1201 - Auditoría 13937) Período auditado: 1 de

Más detalles

INFORME DE AUDITORIA DB-02-35 17 de mayo de 2002. Departamento de Transportación y Obras Públicas. Oficina Regional de Humacao (Unidad 2290)

INFORME DE AUDITORIA DB-02-35 17 de mayo de 2002. Departamento de Transportación y Obras Públicas. Oficina Regional de Humacao (Unidad 2290) INFORME DE AUDITORIA DB-02-35 Departamento de Transportación y Obras Públicas Oficina Regional de Humacao () Período auditado: 1 de julio de 1998 al 30 de junio de 2001 1 CONTENIDO Página INFORMACIÓN

Más detalles

INFORME DE AUDITORÍA TI-15-05 20 de enero de 2015 Departamento de la Familia Administración para el Sustento de Menores Oficina de Sistemas y

INFORME DE AUDITORÍA TI-15-05 20 de enero de 2015 Departamento de la Familia Administración para el Sustento de Menores Oficina de Sistemas y INFORME DE AUDITORÍA TI-15-05 20 de enero de 2015 Departamento de la Familia Administración para el Sustento de Menores Oficina de Sistemas y Tecnología (Unidad 5075 - Auditoría 13865) Período auditado:

Más detalles

INFORME DE AUDITORÍA M-15-09 14 de octubre de 2014 Municipio de Aguadilla Programa Head Start (Unidad 4003 - Auditoría 13787)

INFORME DE AUDITORÍA M-15-09 14 de octubre de 2014 Municipio de Aguadilla Programa Head Start (Unidad 4003 - Auditoría 13787) INFORME DE AUDITORÍA M-15-09 14 de octubre de 2014 Municipio de Aguadilla Programa Head Start (Unidad 4003 - Auditoría 13787) Período auditado: 1 de julio de 2009 al 31 de diciembre de 2012 M-15-09 1

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

INFORME DE AUDITORÍA CP-14-15 3 de mayo de 2014 Autoridad del Distrito del Centro de Convenciones de Puerto Rico (Unidad 3159 - Auditoría 13475)

INFORME DE AUDITORÍA CP-14-15 3 de mayo de 2014 Autoridad del Distrito del Centro de Convenciones de Puerto Rico (Unidad 3159 - Auditoría 13475) INFORME DE AUDITORÍA CP-14-15 3 de mayo de 2014 Autoridad del Distrito del Centro de Convenciones de Puerto Rico (Unidad 3159 - Auditoría 13475) Período auditado: 4 de octubre de 2001 al 31 de diciembre

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Informe de Auditoria DA-00-22. 16 de marzo de 2000. DEPARTAMENTO DE HACIENDA NEGOCIADO DE BEBIDAS ALCOHOLICAS Y LICENCIAS (Unidad 1034)

Informe de Auditoria DA-00-22. 16 de marzo de 2000. DEPARTAMENTO DE HACIENDA NEGOCIADO DE BEBIDAS ALCOHOLICAS Y LICENCIAS (Unidad 1034) Informe de Auditoria DA-00-22 16 de marzo de 2000 DEPARTAMENTO DE HACIENDA NEGOCIADO DE BEBIDAS ALCOHOLICAS Y LICENCIAS (Unidad 1034) Período auditado : 1 de julio de 1989 al 30 de junio de 1999 CONTENIDO

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

INFORME DE AUDITORÍA CP-08-12 4 de febrero de 2008 ADMINISTRACIÓN DE TERRENOS DE PUERTO RICO (Unidad 3045 - Auditoría 12866)

INFORME DE AUDITORÍA CP-08-12 4 de febrero de 2008 ADMINISTRACIÓN DE TERRENOS DE PUERTO RICO (Unidad 3045 - Auditoría 12866) INFORME DE AUDITORÍA CP-08-12 ADMINISTRACIÓN DE TERRENOS DE PUERTO RICO () Período auditado: 1 de julio de 2004 al 30 de junio de 2006 1 CONTENIDO Página INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 RESPONSABILIDAD

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Estado Libre Asociado de Puerto Rico Oficina d e l Contralor

Estado Libre Asociado de Puerto Rico Oficina d e l Contralor Estado Libre Asociado de Puerto Rico Oficina d e l Contralor Ycsmín M. Va ldivieso Conmilora Carta Circular OC-15-25 Afio Fiscal 2014-2015 18 de junio de 20 15 Gobernador, presidentes del Senado de Puerto

Más detalles

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MUNICIPIO DE GAMA 1 CONTENIDO 1. INTRODUCCION 2. OBJETIVOS 3. AMBITO DE APLICACIÓN 4. NORMAS DE USO DE LOS EQUIPOS DE CÓMPUTO 5.

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

IT/Servicio de Apoyo Técnico

IT/Servicio de Apoyo Técnico Calle Isabel #44, Ponce, Puerto Rico 00730 Teléfono: 787-848-3073 Fax: 787-812-0301 www.coaliciondecoaliciones.org coaliciondecoaliciones@gmail.com Solicitud de Propuestas IT/Servicio de Apoyo Técnico

Más detalles

REGLAMENTO SOBRE EL USO Y MANEJO DEL SISTEMA DE VIGILANCIA ELECTRÓNICA DE LAS INSTALACIONES DE LA AUTORIDAD PARA EL FINANCIAMIENTO DE LA VIVIENDA

REGLAMENTO SOBRE EL USO Y MANEJO DEL SISTEMA DE VIGILANCIA ELECTRÓNICA DE LAS INSTALACIONES DE LA AUTORIDAD PARA EL FINANCIAMIENTO DE LA VIVIENDA REGLAMENTO SOBRE EL USO Y MANEJO DEL SISTEMA DE VIGILANCIA ELECTRÓNICA DE LAS INSTALACIONES DE LA AUTORIDAD PARA EL FINANCIAMIENTO DE LA VIVIENDA 24 DE ABRIL DE 2014 Reglamento sobre el uso y manejo del

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Artículo 2 - La presente Resolución Directoral entrará en vigencia al día siguiente de su publicación en el Diario Oficial El Peruano.

Artículo 2 - La presente Resolución Directoral entrará en vigencia al día siguiente de su publicación en el Diario Oficial El Peruano. Nº -2012-MINCETUR/VMT/DGJCMT Lima, CONSIDERANDO: Que, mediante Ley Nº 27153 y normas modificatorias, y el Reglamento aprobado mediante Decreto Supremo Nº 009-2002-MINCETUR, se regularon las normas que

Más detalles

2. MARCO DE REFERENCIA

2. MARCO DE REFERENCIA 2. MARCO DE REFERENCIA 2.1. MARCO NORMATIVO Las leyes han hecho cambiar el fenómeno en el tiempo; se puede decir que antes de la vigencia del Código Tributario, la auditoría financiera le era de utilidad

Más detalles

INFORME DE AUDITORÍA TI-02-15 28 de mayo de 2002 Administración para el Sustento de Menores Oficina de Sistemas y Tecnología (Unidad 5075)

INFORME DE AUDITORÍA TI-02-15 28 de mayo de 2002 Administración para el Sustento de Menores Oficina de Sistemas y Tecnología (Unidad 5075) INFORME DE AUDITORÍA TI-02-15 Administración para el Sustento de Menores Oficina de Sistemas y Tecnología () Período auditado: 23 de marzo de 2000 al 31 de enero de 2001 Informe de Auditoría TI-02-15

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

INFORME DE AUDITORÍA TI-06-06 8 de mayo de 2006 Departamento del Trabajo y Recursos Humanos Administración de Rehabilitación Vocacional (Unidad 5305

INFORME DE AUDITORÍA TI-06-06 8 de mayo de 2006 Departamento del Trabajo y Recursos Humanos Administración de Rehabilitación Vocacional (Unidad 5305 INFORME DE AUDITORÍA TI-06-06 Departamento del Trabajo y Recursos Humanos Administración de Rehabilitación Vocacional () Período auditado: 28 de julio de 1995 al 31 de agosto de 2005 Informe de Auditoría

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Estado Libre Asociado de Puerto Rico DEPARTAMENTO DE HACIENDA Área de Contabilidad Central de Gobierno San Juan, Puerto Rico

Estado Libre Asociado de Puerto Rico DEPARTAMENTO DE HACIENDA Área de Contabilidad Central de Gobierno San Juan, Puerto Rico Estado Libre Asociado de Puerto Rico DEPARTAMENTO DE HACIENDA Área de Contabilidad Central de Gobierno San Juan, Puerto Rico Carta Circular Año Fiscal 2012-2013 Núm. 1300-08-13 A los Secretarios de Gobierno

Más detalles

El Informe de Auditoría y la Redacción de Hallazgos

El Informe de Auditoría y la Redacción de Hallazgos Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR El Informe de Auditoría y la Redacción de Hallazgos Sr. Edwin H. Rodríguez Hernández, CFE, CFS, CICA, CBM Subdirector División de Asistencia en

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

INVITACIÓN A COTIZAR VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS INVITACIÓN A COTIZAR CONTENIDO 1. ALCANCE 3 2. CONDICIONES TÉCNICAS 3

INVITACIÓN A COTIZAR VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS INVITACIÓN A COTIZAR CONTENIDO 1. ALCANCE 3 2. CONDICIONES TÉCNICAS 3 VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS INVITACIÓN A COTIZAR CONTENIDO 1. ALCANCE 3 2. CONDICIONES TÉCNICAS 3 2.1 Modelo de servicio 4 2.2 Talento humano 5 2.3 Horario 5 2.4 Operación diaria

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

INFORME DE AUDITORÍA M-15-29 11 de mayo de 2015 Municipio de Hatillo (Unidad 4034 - Auditoría 13772)

INFORME DE AUDITORÍA M-15-29 11 de mayo de 2015 Municipio de Hatillo (Unidad 4034 - Auditoría 13772) INFORME DE AUDITORÍA M-15-29 11 de mayo de 2015 Municipio de Hatillo (Unidad 4034 - Auditoría 13772) Período auditado: 1 de enero de 2011 al 30 de junio de 2013 M-15-29 1 CONTENIDO Página ALCANCE Y METODOLOGÍA...

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna)

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) Guatemala, Junio de 2006 1 PRESENTACIÓN Según el artículo 232 de

Más detalles

Normas Generales de Auditoría Gubernamental

Normas Generales de Auditoría Gubernamental Normas Generales de Auditoría Gubernamental Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-011 N O R M A D E C O N T R O L E X T E R N O NORMAS GENERALES DE AUDITORÍA GUBERNAMENTAL DISPOSICIONES

Más detalles

Corporación de Puerto Rico para la Difusión Pública

Corporación de Puerto Rico para la Difusión Pública Corporación de Puerto Rico para la Difusión Pública Ley Núm. 216 de 12 de Septiembre de 1996 Para crear una nueva Corporación de Puerto Rico para la Difusión Pública como instrumentalidad del Estado Libre

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

REGLAMENTO PARA OPERAR SISTEMAS ELECTRÓNICOS DE PAGO TIPO ACH

REGLAMENTO PARA OPERAR SISTEMAS ELECTRÓNICOS DE PAGO TIPO ACH REGLAMENTO PARA OPERAR SISTEMAS ELECTRÓNICOS DE PAGO TIPO ACH 1. GENERALIDADES 1.1 ANTECEDENTES La estrategia para la modernización del sistema de pagos de El Salvador contempla dentro de sus componentes

Más detalles

Artículo 2 - La presente Resolución Directoral entrará en vigencia al día siguiente de su publicación en el Diario Oficial El Peruano.

Artículo 2 - La presente Resolución Directoral entrará en vigencia al día siguiente de su publicación en el Diario Oficial El Peruano. Nº -2012-MINCETUR/VMT/DGJCMT Lima, CONSIDERANDO: Que, mediante Ley Nº 27153 y normas modificatorias y el Reglamento aprobado mediante Decreto Supremo Nº 009-2002-MINCETUR, se regularon las normas que rigen

Más detalles

GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO

GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO Artículo 1.- Título Este reglamento se conocerá como Reglamento para Garantizar la Accesibilidad

Más detalles

Informe de Auditoría DB-98-13. 13 de abril de 1998

Informe de Auditoría DB-98-13. 13 de abril de 1998 Informe de Auditoría DB-98-13 13 de abril de 1998 DEPARTAMENTO DE CORRECCION Y REHABILITACION ADMINISTRACION DE CORRECCION CENTRO DE DETENCION DE BAYAMON 1072 (UNIDAD 2110) Período auditado : 19 de enero

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

13 de septiembre de 2011. Lcda. Olga M. de la Torre Maldonado Directora Asuntos Legales y Legislativos Cámara de Comercio de Puerto Rico

13 de septiembre de 2011. Lcda. Olga M. de la Torre Maldonado Directora Asuntos Legales y Legislativos Cámara de Comercio de Puerto Rico 13 de septiembre de 2011 Hon. José Luis Nuno López Presidente Comisión de Desarrollo Económico, Planificación, Comercio, Industria y Telecomunicaciones Cámara de Representantes Lcda. Olga M. de la Torre

Más detalles

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS POLITICAS Y NORMAS PARA EL USO DEL 1 INDICE I. Descripción del Servicio 3 II Propósito de las políticas de acceso y uso de Internet 4 III Disposiciones Generales 4 De la Dirección General de Informática

Más detalles

Informe de Auditoría M-01-22. I9 de enero de 200I. MUNICIPIO DE LUQUILLO (Unidad 4046)

Informe de Auditoría M-01-22. I9 de enero de 200I. MUNICIPIO DE LUQUILLO (Unidad 4046) Informe de Auditoría M-01-22 I9 de enero de 200I MUNICIPIO DE LUQUILLO (Unidad 4046) Período auditado : I de julio de I996 al 30 de junio de I999 CONTENIDO Página Información sobre la unidad auditada I

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

INFORME DE AUDITORÍA CP-06-31 5 de junio de 2006 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO (Unidad 3075- Auditoría 12483)

INFORME DE AUDITORÍA CP-06-31 5 de junio de 2006 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO (Unidad 3075- Auditoría 12483) INFORME DE AUDITORÍA CP-06-31 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO (Unidad 3075- Auditoría 12483) Período auditado: 1 de enero de 1998 al 31 de diciembre 2004 Informe de Auditoría CP-06-31 1

Más detalles

Política y Procedimiento del uso de Firewalls

Política y Procedimiento del uso de Firewalls Fecha de aprobación: 27/mayo/2008 Página: 2 de 11 Control de Cambios Fecha Versión Descripción Autor 14/Enero/2008 1.0 Comenzando el desarrollo de las secciones Roberto García 21/Febrero/2008 1.0 Revisión

Más detalles

Informe de Auditoría M-00-39. I3 de junio de 2000. MUNICIPIO DE GURABO (Unidad 4033)

Informe de Auditoría M-00-39. I3 de junio de 2000. MUNICIPIO DE GURABO (Unidad 4033) Informe de Auditoría M-00-39 I3 de junio de 2000 MUNICIPIO DE GURABO (Unidad 4033) Período auditado : I de julio de I996 al 3I de diciembre de I998 CONTENIDO Página Información sobre la unidad auditada

Más detalles

INFORME DE AUDITORÍA M-13-35 8 de junio de 2013 Municipio de Mayagüez (Unidad 4050 - Auditoría 13276)

INFORME DE AUDITORÍA M-13-35 8 de junio de 2013 Municipio de Mayagüez (Unidad 4050 - Auditoría 13276) INFORME DE AUDITORÍA M-13-35 8 de junio de 2013 Municipio de Mayagüez (Unidad 4050 - Auditoría 13276) Período auditado: 1 de julio de 2006 al 30 de junio de 2010 M-13-35 1 CONTENIDO Página ALCANCE Y METODOLOGÍA...

Más detalles