INFORME DE AUDITORÍA TI de mayo de 2007 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INFORME DE AUDITORÍA TI-07-08 24 de mayo de 2007 AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE"

Transcripción

1 INFORME DE AUDITORÍA TI AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO OFICINA DE INFORMÁTICA CORPORATIVA Y OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS () Período auditado: 16 de febrero al 17 de agosto de 2006

2

3 Informe de Auditoría TI CONTENIDO Página INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 RESPONSABILIDAD DE LA GERENCIA... 5 ALCANCE Y METODOLOGÍA... 6 OPINIÓN... 6 RECOMENDACIONES... 7 A LA JUNTA DE GOBIERNO DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO... 7 AL DIRECTOR EJECUTIVO DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO... 7 CARTAS A LA GERENCIA COMENTARIOS DE LA GERENCIA AGRADECIMIENTO RELACIÓN DETALLADA DE HALLAZGOS CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO HALLAZGOS EN LA OFICINA DE INFORMÁTICA CORPORATIVA Y EN LAS OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO Falta de un plan de seguridad Deficiencias relacionadas con la creación y el mantenimiento de las cuentas de acceso lógico en la computadora principal de la AEE Deficiencias relacionadas con los controles de acceso lógico Deficiencias relacionadas con los controles físicos y ambientales de los centros de cómputos de la AEE Falta de controles adecuados sobre el equipo computadorizado... 26

4 2 Informe de Auditoría TI Sistema operativo del mainframe de la AEE que no tenía instalada la versión mínima requerida para recibir mantenimiento del proveedor Falta de integración y coordinación efectiva entre la OIC, el Comité Timón y el Concilio de Informática Ausencia de un Plan de Continuidad de Negocios Corporativo y deficiencias relacionadas con el Plan General de Emergencias de la OIC Falta de normas y procedimientos escritos para la administración, la seguridad y el uso de los sistemas de información computadorizados de la AEE...35 ANEJO 1 - MIEMBROS DE LA JUNTA DE GOBIERNO QUE ACTUARON DURANTE EL PERÍODO AUDITADO...42 ANEJO 2 - FUNCIONARIOS PRINCIPALES DEL NIVEL EJECUTIVO QUE ACTUARON DURANTE EL PERÍODO AUDITADO...43

5 Informe de Auditoría TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico Al Gobernador y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Informática Corporativa (OIC) y de las oficinas de Informática adscritas a ocho directorados de la Autoridad de Energía Eléctrica de Puerto Rico (AEE) para determinar si se hicieron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Efectuamos la misma a base de la facultad que se nos confiere en la Sección 22 del Artículo III de la Constitución del Estado Libre Asociado de Puerto Rico y en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. Determinamos emitir varios informes de esta auditoría. Este primer informe contiene el resultado de nuestro examen de los controles internos relacionados con la evaluación del riesgo y el plan de seguridad, el desarrollo y control de cambios de las aplicaciones, los controles de acceso lógico y físico y los sistemas operativos de la AEE. INFORMACIÓN SOBRE LA UNIDAD AUDITADA La AEE fue creada por disposición de la Ley Núm. 83 del 2 de mayo de 1941, según enmendada, para conservar, desarrollar y utilizar las fuentes fluviales y de energía de la Isla y hacer accesible el servicio de electricidad a los habitantes de ésta en la forma más amplia y económica posible. Los poderes corporativos de la AEE son ejercidos por una Junta de Gobierno (Junta) compuesta por nueve miembros. Siete de éstos son nombrados por el Gobernador con el

6 4 Informe de Auditoría TI consentimiento del Senado; los otros dos representan el interés público y son electos mediante referéndum. La administración y supervisión de las operaciones son ejercidas por un Director Ejecutivo nombrado por la Junta. El ANEJO 1 contiene una relación de los miembros de la Junta que actuaron durante el período auditado. El ANEJO 2 contiene una relación de los funcionarios principales de la AEE que actuaron durante dicho período. La AEE está estructurada en diez directorados. La Oficina del Director Ejecutivo, en el desempeño de su responsabilidad, cuenta con los siguientes tres directorados que componen la fase operacional: Sistema Eléctrico, Transmisión y Distribución, y Servicio al Cliente. Este último tiene 7 oficinas regionales ubicadas en San Juan, Caguas, Ponce, Carolina, Mayagüez, Bayamón y Arecibo, y 33 oficinas comerciales ubicadas en varios pueblos de la Isla. Los siguientes siete directorados le sirven de apoyo a la fase operacional: Planificación y Protección Ambiental, Ingeniería, Finanzas, Recursos Humanos, Asuntos Laborales, Asuntos Jurídicos, y Servicios Administrativos. De los 10 directorados, 8 contaban con oficinas de Informática. La Oficina de Informática del Directorado de Recursos Humanos proveía apoyo tecnológico a los directorados de Asuntos Laborales y Asuntos Jurídicos. La OIC era dirigida por una Administradora, que respondía al Director Ejecutivo de la AEE. A la fecha de nuestra auditoría, la AEE tenía una computadora principal, que operaba en plataforma de mainframe, para procesar la información del Sistema de Facturación Customer Service System (CSS) y de los sistemas de Nóminas y Materiales. Además, contaba con una red de datos con 3 componentes: una Red de Servicios Externos para acceder a Internet y al comercio electrónico, un backbone 1 que permitía la interconexión de todas las oficinas de la AEE desde 28 puntos en la Isla y redes de área local que daban servicio en las diversas oficinas de la AEE. Éstas estaban compuestas por 263 servidores y sus equipos periferales correspondientes. En éstos se procesaban el Sistema de Administración de Energía (SAE) y el Enterprise Maintenance Planning and Control (EMPAC) del Directorado de Sistema 1 Línea de transmisión más grande que transporta la información recopilada de líneas más pequeñas que están interconectadas con ella.

7 Informe de Auditoría TI Eléctrico; y Severe Trent Operational Resource Management System (STORMS), Geographic Information System (GIS) y Outage Management System (OMS), conocidos como el Proyecto de Administración Integrada de Recursos (Proyecto AIRe) del Directorado de Transmisión y Distribución, entre otros. La AEE estaba en el proceso de migrar sus aplicaciones financieras a una base de datos de Oracle. Además, tenía en operación aproximadamente 4,419 microcomputadoras y ofrecía servicios a 4,251 usuarios conectados a su red corporativa. Los ingresos para financiar las actividades operacionales de la AEE provienen primordialmente de la venta de energía eléctrica, los servicios de instalación de líneas y los intereses de sus inversiones. El presupuesto de la AEE para el año fiscal ascendió a $2,264,936,000. El presupuesto de la OIC y de las oficinas de informática de los directorados para el año fiscal ascendió a $26,180,319. La AEE cuenta con una página de Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca de la entidad y de los servicios que presta. RESPONSABILIDAD DE LA GERENCIA La gerencia de todo organismo gubernamental debe considerar los siguientes Diez Principios para Lograr una Administración Pública de Excelencia. Éstos se rigen por principios de calidad y por los valores institucionales: 1. Adoptar normas y procedimientos escritos que contengan controles internos de administración y de contabilidad eficaces, y observar que se cumpla con los mismos. 2. Mantener una oficina de auditoría interna competente. 3. Cumplir con los requisitos impuestos por las agencias reguladoras. 4. Adoptar un plan estratégico para las operaciones. 5. Mantener el control presupuestario. 6. Mantenerse al día con los avances tecnológicos.

8 6 Informe de Auditoría TI Mantener sistemas adecuados de archivo y de control de documentos. 8. Cumplir con el Plan de Acción Correctiva de la Oficina del Contralor de Puerto Rico, y atender las recomendaciones de los auditores externos. 9. Mantener un sistema adecuado de administración de personal que incluya la evaluación del desempeño, y un programa de educación continua para todo el personal. 10. Cumplir con la Ley de Ética Gubernamental, lo cual incluye divulgar sus disposiciones a todo el personal. En nuestra Carta Circular OC del 14 de abril de 1998 se ofrece información adicional sobre dichos principios. Se puede acceder a esta Carta Circular a través de nuestra página de Internet: ALCANCE Y METODOLOGÍA La auditoría cubrió del 16 de febrero al 17 de agosto de El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias. Para efectuar la auditoría utilizamos la siguiente metodología: Entrevistas a funcionarios, a empleados y a particulares Inspecciones físicas Examen y análisis de informes y de documentos generados por la unidad auditada Análisis de información suministrada por fuentes externas Pruebas y análisis de procedimientos de control interno y de otros procesos Confirmaciones de cuentas y de otra información pertinente OPINIÓN Las pruebas efectuadas demostraron que las operaciones de la OIC y de las oficinas de Informática de los directorados de la AEE, en lo que concierne a los controles internos

9 Informe de Auditoría TI relacionados con la evaluación del riesgo y el plan de seguridad, el desarrollo y control de cambios de las aplicaciones, los controles de acceso lógico y físico y los sistemas operativos de la AEE, no se realizaron conforme a las normas generalmente aceptadas en este campo. En la parte de este Informe titulada RELACIÓN DETALLADA DE HALLAZGOS se comentan los hallazgos del 1 al 9, clasificados como principales. RECOMENDACIONES A LA JUNTA DE GOBIERNO DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO 1. Ver que el Director Ejecutivo de la AEE cumpla con las recomendaciones de la 2 a la 9 de este Informe. [Hallazgos del 1 al 9] AL DIRECTOR EJECUTIVO DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO 2. Ejercer una supervisión eficaz sobre la Administradora de la OIC para asegurarse de que: a. Prepare, en coordinación con el Administrador de la Oficina de Seguridad Corporativa, un plan de seguridad para la OIC y las oficinas de Informática de los directorados y someta el mismo para su consideración y aprobación. Una vez aprobado, asegurarse de que se realicen pruebas periódicas y se divulgue a los empleados y funcionarios concernidos. [Hallazgos 1, 3 y 4] b. El Administrador del Centro de Cómputos vele por que: 1) Todas las cuentas de acceso a la computadora principal incluyan en el perfil del usuario el nombre de éste. Esto ayudaría al Especialista en Seguridad de Datos a mantener un buen control y mejor documentado el sistema de seguridad. [Hallazgo 2-a.1)] 2) El atributo de OPERATIONS sea otorgado sólo a los usuarios que tengan la necesidad de acceder datos de las aplicaciones en producción o tengan a su cargo el

10 8 Informe de Auditoría TI manejo de espacio en disco, tales como: programadores de sistemas operativos y administradores de bases de datos. [Hallazgo del 2-a.1) al 3)] 3) Se eliminen las cuentas de acceso expiradas y revocadas que no han sido utilizadas en un período prolongado y se revisen las cuentas activas para que se asignen a los usuarios los atributos necesarios para llevar a cabo sus funciones. [Hallazgo 2-a.3) y 4)] 4) El atributo de AUDITOR sea otorgado sólo al funcionario encargado de auditar de forma rutinaria el uso de los sistemas de información. [Hallazgo 2-a.3) y 4)] 5) Actualice los sistemas operativos a sus versiones más recientes para asegurar un funcionamiento más efectivo y eficaz de los sistemas de información. [Hallazgo 6] c. Desarrolle las medidas de control necesarias, en coordinación con el Administrador de la Oficina de Seguridad Corporativa, para corregir las situaciones comentadas y las someta para su consideración y aprobación. Implante dichas medidas tan pronto sean aprobadas, y vea que se cumpla con las mismas. [Hallazgo 4-a.2) y 3)] d. Prepare un Plan de Continuidad de Negocios, que incluya un Plan para la Recuperación de Desastres y un Plan para la Continuidad de las Operaciones, y los someta para su consideración y aprobación. Una vez éstos sean aprobados, tomar las medidas necesarias para asegurarse de que el mismo se mantenga actualizado y se conserve copia en un lugar seguro fuera de los predios de la AEE. Además, asegurarse de que sea distribuido a los funcionarios y empleados concernientes y que se realicen pruebas periódicas para garantizar la efectividad del mismo. [Hallazgo 8] e. Prepare, en coordinación con los directores de los directorados y el personal a cargo de la seguridad, las normas y los procedimientos necesarios para corregir las deficiencias comentadas en el Hallazgo 9 y someta los mismos para su consideración y aprobación. Una vez aprobados, asegurarse de que se mantengan actualizados y se cumpla con éstos.

11 Informe de Auditoría TI Asegurarse de que el Director de Recursos Humanos vele por que se notifique oportunamente: a. Al Especialista en Seguridad de Datos de la OIC las cesantías de empleados y funcionarios de la AEE con acceso al mainframe, para que el acceso otorgado a éstos sea eliminado inmediatamente. [Hallazgo 2-a.2)] b. Al personal a cargo de la seguridad de la División de Operación del Directorado de Sistema Eléctrico, las cesantías de empleados y funcionarios de la AEE con acceso al sistema mencionado en el Hallazgo 3-a.1). 4. Tomar las medidas necesarias para asegurarse de que: a. El Director de Servicio Eléctrico: 1) Designe a un funcionario a cargo de la seguridad del Sistema EMPAC. Dicho funcionario y el encargado de la seguridad del SAE serán responsables, entre otras cosas, de establecer los controles de acceso en dichos sistemas. [Hallazgo 3-a.2) y 3)] 2) En coordinación con la Administradora de la OIC y el Administrador de Seguridad Corporativa, logren redistribuir el espacio utilizado por el personal que labora en la División de Operación y se garantice la protección y seguridad de los recursos de informática allí localizados. [Hallazgo 4-a.4) y 6)] 3) Realice las gestiones necesarias para que se corrijan las situaciones comentadas en el Hallazgo 4-a.5) y 8). b. El Director de Transmisión y Distribución realice las gestiones necesarias para que se corrija la situación comentada en el Hallazgo 4-a.7).

12 10 Informe de Auditoría TI c. El Director de Ingeniería realice las gestiones necesarias para que se corrijan las situaciones comentadas en el Hallazgo 4-a.9). 5. Considerar la posibilidad de reubicar la OIC a un lugar que provea mayor seguridad contra inundaciones. [Hallazgo 4-a.1)] 6. Instruir al Director de Finanzas para que vele por que la Supervisora de la Oficina de Inventario Continuo de Propiedad Mueble se asegure de obtener de los responsables de la Propiedad Mueble la información completa y confiable que sea necesaria para mantener actualizado el Inventario Continuo de la Propiedad Mueble. [Hallazgo 5] 7. Instruir a los directores de los departamentos para que ejerzan una supervisión eficaz de los responsables de la Propiedad Mueble. Ello, de manera que se aseguren de que éstos provean la información necesaria a la Supervisora de la Oficina de Inventario Continuo de Propiedad Mueble y que no se repitan situaciones como las comentadas en el Apartado del a.3) al 5) y se cumpla con las disposiciones reglamentarias mencionadas en el Hallazgo 5. Además, una vez aprobado el Procedimiento para el Control y Disposición de la Propiedad Mueble, revisado desde mayo de 2005, se aseguren de su cumplimiento. 8. Impartir instrucciones al Director de Servicios Administrativos para que instruya a la Gerente del Departamento de Estudios y Procedimientos Corporativos para que someta para su consideración y aprobación el Procedimiento para el Control y Disposición de la Propiedad Mueble. [Hallazgo 5] 9. Tomar las medidas correspondientes para que la Administradora de la OIC, el Comité Timón y los miembros del Concilio de Informática se reúnan periódicamente y se aseguren de que las metas, los objetivos y las necesidades de los directorados están alineados con las metas organizacionales de la Corporación y con las necesidades de sus clientes internos y externos. [Hallazgo 7]

13 Informe de Auditoría TI CARTAS A LA GERENCIA El borrador de los hallazgos de este Informe fue sometido para comentarios al Director Ejecutivo de la AEE, Ing. Jorge A. Rodríguez Ruiz, en carta del 23 de marzo de Con el mismo propósito, sometimos el borrador de los hallazgos de este Informe al ex Director Ejecutivo de la AEE, Ing. Edwin Rivera Serrano, en carta de esa misma fecha, por correo certificado con acuse de recibo, a una dirección provista por la AEE. El 24 de abril de 2007 se recibió en la Oficina, devuelta por el correo, la carta con el borrador de los hallazgos de este Informe que le fueron referidos al ex Director Ejecutivo de la AEE debido a que la misma no fue reclamada. COMENTARIOS DE LA GERENCIA El 27 de marzo de 2007 el Administrador de la Oficina de Auditoría Interna solicitó una prórroga hasta el 23 de abril de 2007 para someter los comentarios al borrador de los hallazgos de este Informe. El 29 de marzo de 2007 le concedimos al Director Ejecutivo la prórroga solicitada. El Director Ejecutivo de la AEE, en carta del 23 de abril de 2007 firmada por el Ing. Valeriano Otero Chacón, Subdirector Ejecutivo, en su representación, sometió sus comentarios sobre los hallazgos del 1 al 4 y del 6 al 9 del borrador de este Informe. El 24 de abril de 2007 el Administrador de la Oficina de Auditoría Interna de la AEE solicitó otra prórroga hasta el 4 de mayo de 2007 para someter los comentarios referentes al Hallazgo 5. Esta Oficina denegó dicha petición y el Director Ejecutivo de la AEE, en carta del 25 de abril de 2007 firmada por el Subdirector Ejecutivo en su representación, sometió sus comentarios sobre el Hallazgo 5-a.1) y 3). Los comentarios del Director Ejecutivo fueron considerados en la redacción final del informe y se incluyen en la parte de este Informe titulada HALLAZGOS EN LA OFICINA DE INFORMÁTICA CORPORATIVA Y EN LAS OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO.

14 12 Infonne de Auditoria TI Unidad Auditoria AGRADECIMIENTO A los funcionarios y emp1eados de 1a AEE 1es agradecemos 1a cooperaci6n que nos prestaron durante nuestra auditoria.

15 Informe de Auditoría TI RELACIÓN DETALLADA DE HALLAZGOS CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO En nuestros informes de auditoría se incluyen los hallazgos significativos determinados por las pruebas realizadas. Éstos se clasifican como principales o secundarios. Los principales incluyen desviaciones de disposiciones sobre las operaciones de la unidad auditada que tienen un efecto material, tanto en el aspecto cuantitativo como en el cualitativo. Los secundarios son los que consisten en faltas o errores que no han tenido consecuencias graves. Los hallazgos del informe se presentan según los atributos establecidos conforme a las normas de redacción de informes de nuestra Oficina. El propósito es facilitar al lector una mejor comprensión de la información ofrecida. Cada uno de ellos consta de las siguientes partes: Situación - Los hechos encontrados en la auditoría indicativos de que no se cumplió con uno o más criterios. Criterio - El marco de referencia para evaluar la situación. Es principalmente una ley, reglamento, carta circular, memorando, procedimiento, norma de control interno, norma de sana administración, principio de contabilidad generalmente aceptado, opinión de un experto o juicio del auditor. Efecto - Lo que significa, real o potencialmente, no cumplir con el criterio. Causa - La razón fundamental por la cual ocurrió la situación. Al final de cada hallazgo se hace referencia a las recomendaciones que se incluyen en el informe para que se tomen las medidas necesarias sobre los errores, irregularidades o actos ilegales señalados. En la sección sobre los COMENTARIOS DE LA GERENCIA se indica si el funcionario principal y los ex funcionarios de la unidad auditada efectuaron comentarios sobre los hallazgos incluidos en el borrador del informe que les envía nuestra Oficina. Dichos comentarios se consideran al revisar el borrador del informe y se incluyen al final del hallazgo

16 14 Informe de Auditoría TI correspondiente en la sección de HALLAZGOS EN LA OFICINA DE INFORMÁTICA CORPORATIVA Y EN LAS OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO, de forma objetiva y conforme a las normas de nuestra Oficina. Cuando la gerencia no provee evidencia competente, suficiente y relevante para refutar un hallazgo, éste prevalece y se añade al final del mismo la siguiente aseveración: Consideramos las alegaciones de la gerencia, pero determinamos que el hallazgo prevalece. HALLAZGOS EN LA OFICINA DE INFORMÁTICA CORPORATIVA Y EN LAS OFICINAS DE INFORMÁTICA DE LOS DIRECTORADOS DE LA AUTORIDAD DE ENERGÍA ELÉCTRICA DE PUERTO RICO Los hallazgos de este Informe se clasifican como principales. Hallazgo 1 - Falta de un plan de seguridad a. Al 29 de junio de 2006 la AEE no había preparado un plan de seguridad que incluyera, entre otras cosas: Documentación de la validación de las normas de seguridad. Evidencia de la existencia de un análisis de riesgo actualizado, que sea la base del plan. Responsabilidad de la gerencia y de los demás componentes de la unidad. Programa de adiestramiento especializado al personal que compone el equipo clave de seguridad. Programa de adiestramiento continuo sobre seguridad que incluya adiestramientos para los nuevos empleados, contratistas y usuarios que permita mantener los conocimientos actualizados. Documentación de los controles administrativos, técnicos y físicos de los activos de información (datos, programación, equipos y personal, entre otros). Documentación de la interconexión de los sistemas.

17 Informe de Auditoría TI La AEE carecía del plan de seguridad mencionado, a pesar de que desde el 2002 contaba con los informes Qualitative Risk Assessment Report, Business Impact Analysis Report y Recoverability Assessment Report, preparados por una compañía contratada. Éstos contenían información para preparar dicho plan. En la Política Núm. TIG-003, Seguridad de los Sistemas de Información de la Carta Circular Núm , Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la Oficina de Gerencia y Presupuesto, se establece, como política pública, que las entidades gubernamentales tendrán la responsabilidad de desarrollar políticas específicas de seguridad de acuerdo con las características propias de los ambientes de tecnología de la agencia, particularmente sus sistemas de misión crítica. También se establece que las entidades gubernamentales son responsables de: Proveer adiestramientos a toda la gerencia y a los supervisores de la entidad gubernamental para que estén al tanto de los controles de seguridad y los beneficios correspondientes. Asegurarse de que el personal de sistemas de información y telecomunicaciones esté adiestrado y con conocimientos actualizados sobre los aspectos de seguridad de sus áreas. Crear mecanismos de capacitación para que todos los empleados conozcan los procedimientos de seguridad que le apliquen. De ocurrir una emergencia, la falta de un Plan, y de adiestramientos y de simulacros del mismo podría dar lugar a: Pérdidas irreparables de vidas humanas. Daños materiales a los equipos de sistemas de información, así como la pérdida de datos de suma importancia.

18 16 Informe de Auditoría TI Atraso en el proceso de reconstrucción de datos y programas, y en el pronto restablecimiento y continuidad de las operaciones normales. La situación comentada se atribuye a que el Director Ejecutivo de la AEE no veló por que la Administradora de la OIC, en coordinación con el Administrador de la Oficina de Seguridad Corporativa, desarrollara y sometiera para su aprobación un Plan que incluyera, entre otros, los aspectos mencionados. El Director Ejecutivo, en la carta que nos envió, informó que a finales del 2006 se desarrolló un borrador del plan de seguridad y que considerarán las observaciones del informe para que el nuevo plan cumpla con todos los requisitos. Véanse las recomendaciones 1 y 2.a. Hallazgo 2 - Deficiencias relacionadas con la creación y el mantenimiento de las cuentas de acceso lógico en la computadora principal de la AEE a. Al 5 de julio de 2006 el archivo de usuarios de la computadora principal (mainframe), contenido en la base de datos del Sistema Resource Access Control Facility (RACF) tenía 1,715 cuentas de usuarios. De éstas, 1,329 cuentas (77 por ciento) estaban activas 2 y 386 (23 por ciento) eran cuentas que tenían sus contraseñas expiradas 3 o tenían indicación de revocadas 4. 2 Para propósitos de este Informe, las cuentas activas son aquéllas que al momento de la evaluación habían sido utilizadas durante un período no mayor de 60 días antes del 5 de julio de El período de 60 días se obtuvo del informe SETROPTS producido el 5 de mayo de Para propósitos de este Informe, son aquellas cuentas que al momento de la evaluación no habían sido utilizadas en un período mayor de 60 días antes del 5 de julio de El período de 60 días para la expiración de las contraseñas se obtuvo del informe SETROPTS producido el 5 de mayo de Las cuentas de usuarios con contraseñas expiradas podrían ser utilizadas por ex empleados, por empleados que posean privilegios para reactivar las cuentas con una nueva contraseña y por personas que debido a la falta de control de las contraseñas obtengan las mismas sin autorización. 4 En el manual OS/390 v2r10.0 SecureWay Security Server, RACF Auditor s Guide se indica que una cuenta con el atributo de revocada evita que un usuario definido bajo el Sistema RACF acceda el sistema. Una cuenta de usuario puede ser revocada por las siguientes razones: manualmente por el Encargado de la Seguridad, automáticamente (SETROPTS INACTIVE) e intentos fallidos (SETROPTS PASSWORD REVOKE). Se requiere la intervención de un usuario con el atributo de SPECIAL para activar la cuenta revocada.

19 Informe de Auditoría TI El examen del control y el mantenimiento de las referidas cuentas de acceso reveló las siguientes deficiencias: 1) No se había registrado en el Sistema RACF el nombre del usuario de 28 cuentas de acceso activas que tenían asignado el atributo de OPERATIONS 5. 2) No se había eliminado la cuenta de usuario asignada al ex Supervisor de Sistemas Operativos, quien falleció en diciembre de Dicha cuenta fue utilizada para acceder a los sistemas el 21 de junio de 2006, lo que denota que personal no autorizado utilizó dicha cuenta. La cuenta tenía asignado el atributo de OPERATIONS 5. 3) No se había revocado ni eliminado el acceso a 119 cuentas de usuarios que tenían sus contraseñas expiradas y no se habían utilizado por más de 90 días, según se indica: PERÍODO TRANSCURRIDO DESDE EL ÚLTIMO ACCESO CANTIDAD DE CUENTAS CON CONTRASEÑAS EXPIRADAS 91 a 180 días a 270 días a 360 días a 450 días 3 Más de 450 días 10 TOTAL 119 De las 119 cuentas, 5 tenían atributo de OPERATIONS y 1 tenía atributo de AUDITOR 6. 4) No se habían eliminado 223 cuentas de usuario con atributo de revocada que habían sido creadas entre el 9 de agosto de 2001 y el 28 de junio de Según la fecha 5 El usuario con atributo de OPERATIONS posee la autoridad para leer y escribir cualquier archivo bajo el sistema operativo. Este atributo debe ser otorgado sólo a usuarios que necesiten acceder datos de las aplicaciones que están en producción. 6 El atributo de AUDITOR otorga al usuario autoridad completa sobre los controles de auditoría y el uso de los recursos del sistema. Este usuario puede manejar los eventos de seguridad grabados en los archivos del System Management Facility (SMF) y de esta forma comprometer la integridad de la información necesaria para completar el rastro de auditoría (audit trail).

20 18 Informe de Auditoría TI del último acceso registrada en el Sistema, una de estas cuentas, la cual tenía asignado el atributo de AUDITOR, no se había utilizado desde hacía 517 días y 9 cuentas de usuario nunca se utilizaron. Una situación similar fue comentada en el informe OAI-AUD del 6 de mayo de 2005 de la Oficina de Auditoría Interna de la AEE. En la Política Núm. TIG-003 de la Carta Circular Núm se establece como política pública que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se instrumenta, en parte, mediante lo siguiente: El uso de todas las opciones para restringir y controlar los accesos que proveen los distintos sistemas operativos. La asignación de códigos y contraseñas de autorización únicas y confidenciales para cada usuario que garantice un nivel óptimo de seguridad en los sistemas computadorizados. La notificación inmediata al encargado de la seguridad de datos del cese de un usuario en sus funciones por motivo de renuncia, separación o traslado para la cancelación de su cuenta de acceso. La renovación periódica de la contraseña de cada usuario, según las necesidades de la entidad gubernamental y los procedimientos establecidos. La asignación de privilegios a las cuentas de usuarios basados en las necesidades de los trabajos que éstos realizan. En dicha norma también se establece que cada entidad gubernamental deberá establecer controles para el manejo de la terminación de empleados en la agencia, de tal manera que estas circunstancias no afecten la seguridad de la información ni de los sistemas. Para esto,

21 Informe de Auditoría TI deberán establecerse procedimientos que incluyan una comunicación efectiva entre el área de Recursos Humanos, el área en que trabaja el empleado y el área de Sistemas de Información. En el Procedimiento 6F2, Solicitud, Creación, Asignación y Mantenimiento de las Claves de Acceso al Computador Central, aprobado el 15 de noviembre de 2000 por el Director Ejecutivo de la AEE, se dispone que el supervisor inmediato es responsable de notificar a la Oficina de Auditoría Interna y a su jefe inmediato cualquier irregularidad o evento sospechoso en el uso de las claves de acceso. También es responsable de notificar al Especialista de Seguridad de cualquier cambio en la condición del empleado. Las situaciones comentadas ponen en riesgo la seguridad e integridad de los sistemas que operan en la computadora principal. Las cuentas de usuario sin identificar y las cuentas cuyas contraseñas estaban expiradas o revocadas pueden dar lugar a que éstas sean utilizadas por usuarios no autorizados o malintencionados para acceder a los sistemas con la intención de hacer daño o alterar los archivos, sin que se puedan fijar responsabilidades. Las situaciones comentadas se debían, en parte, a que el Supervisor de la Sección de Seguridad y los supervisores inmediatos de los ex funcionarios y empleados concernidos no cumplieron con las disposiciones reglamentarias mencionadas. El Director Ejecutivo, en la carta que nos envió informó, entre otras cosas, las medidas adoptadas o que se proponía adoptar para corregir las situaciones comentadas en el Apartado del a.2) al 4). Además, informó lo siguiente: El atributo de Operations se asigna a los usuarios que se usan como started task para activar las aplicaciones o por el personal responsable por el mantenimiento del sistema operativo. Tenemos 28 usuarios definidos para manejar los started task y ninguna persona puede utilizarlos para obtener acceso a alguna aplicación o subsistema. [Apartado a.1)] Consideramos las alegaciones del Director Ejecutivo de la AEE respecto al Apartado a.1) del Hallazgo, pero determinamos que el mismo prevalece. Véanse las recomendaciones 1, de la 2.b.1) a la 4) y 3.a.

22 20 Informe de Auditoría TI Hallazgo 3 - Deficiencias relacionadas con los controles de acceso lógico a. Al 28 de junio de 2006 la AEE tenía los siguientes sistemas para administrar las operaciones críticas de ésta: EMPAC y SAE del Directorado de Sistema Eléctrico; STORMS, GIS y OMS, conocidos como el Proyecto AIRe del Directorado de Transmisión y Distribución y CSS del Directorado de Servicio al Cliente. Mediante entrevistas realizadas al personal a cargo de la seguridad de los mencionados sistemas detectamos las siguientes deficiencias en el uso y control de las cuentas de acceso y de las contraseñas utilizadas por los usuarios de dichos sistemas: 1) La División de Operación del Directorado de Sistema Eléctrico a cargo del SAE, no recibía del Directorado de Recursos Humanos la información sobre las cesantías o transferencias de empleados para efectuar la eliminación o modificación de las cuentas de acceso asignadas a éstos. 2) Las oficinas de Informática del Directorado de Sistema Eléctrico, a cargo de los sistemas EMPAC y SAE, desconocían si se habían establecido en éstos para que se controlara el número de oportunidades que tenía un usuario para ingresar su contraseña de manera incorrecta. 3) La Oficina de Informática del Directorado de Sistema Eléctrico, a cargo del Sistema EMPAC, no contaba con personal a cargo de la seguridad de éste. Las tareas relacionadas con la seguridad del Sistema las realizaban el Jefe de la División de Conservación y Servicios Técnicos de Centrales Generatrices Interino, y dos supervisores de Planificación de Conservación. En la Política Núm. TIG-003 de la Carta Circular Núm se establece como política pública que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la

23 Informe de Auditoría TI información sea accedida de forma no autorizada. Esta norma se instrumenta, en parte, mediante lo siguiente: El establecimiento de normas y procedimientos que permitan controlar el acceso lógico de los sistemas en producción. La asignación de un personal responsable de la seguridad del sistema. El uso de todas las opciones para restringir y controlar los accesos que proveen los distintos sistemas. La asignación de códigos y contraseñas de autorización únicas y confidenciales para cada usuario que garantice un nivel óptimo de seguridad en los sistemas computadorizados. La asignación de privilegios a las cuentas de usuarios basados en las necesidades de los trabajos que éstos realizan. La renovación periódica de la contraseña de cada usuario, según las necesidades de la entidad gubernamental y los procedimientos establecidos. La notificación inmediata al encargado de la seguridad de datos del cese de un usuario en sus funciones por motivo de renuncia, separación o traslado para la cancelación de su cuenta de acceso. Las situaciones que se comentan en este Hallazgo pueden propiciar que personas no autorizadas logren acceso a información confidencial y hagan uso indebido de ésta. Además, pueden propiciar la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Las situaciones comentadas se debían, en parte, a la falta de un plan de seguridad que estableciera las medidas necesarias para mantener un control sobre las cuentas de acceso

24 22 Informe de Auditoría TI utilizadas por los usuarios de los mencionados sistemas (Véase el Hallazgo 1) y al incumplimiento de las normas citadas. El Director Ejecutivo, en la carta que nos envió informó, entre otras cosas, lo siguiente: Desde diciembre de 2006, la Oficina de Informática Corporativa envía mensualmente una lista del personal que se jubila o renuncia a la AEE a las distintas oficinas de informática. Estas oficinas son responsables de eliminar los accesos relacionados a estos empleados y enviar a la OIC una certificación sobre la misma. [Apartado a.1)] En EMPAC, la seguridad de la base de datos se configuró desde enero de 2007 para que permita sólo cinco intentos de acceso. Por otro lado, el SAE no permite este tipo de control debido a su diseño. Sin embargo, sí se implementará en los sistemas de apoyo y PCs utilizando una herramienta que está en proceso de adquisición: Policy Manager. [Apartado a.2)] La AEE está en un proceso de reestructuración de informática. Como parte del mismo se reevaluará el proceso de administrar la seguridad de EMPAC. [Apartado a.3)] Véanse las recomendaciones 1, 2.a., 3.b. y 4.a.1). Hallazgo 4 - Deficiencias relacionadas con los controles físicos y ambientales de los centros de cómputos de la AEE a. El examen de los controles de acceso físicos y ambientales del Centro de Cómputos de la OIC y de los centros de cómputos de las oficinas de Informática de los directorados de Sistema Eléctrico, Transmisión y Distribución e Ingeniería reveló las siguientes faltas de control: 1) El Centro de Cómputos de la OIC estaba ubicado en un sótano, expuesto al riesgo de inundaciones. En el Centro estaba instalado el mainframe adquirido en junio de 2001 por $5,202,125, en el cual se procesaba mensualmente la facturación de los abonados de la AEE, mediante el CSS, ascendente a $299 millones. También estaban instalados los servidores de los directorados de Finanzas y de Recursos Humanos, entre otros equipos. 2) El acceso físico al Centro de Cómputos de la OIC no estaba debidamente controlado. Una lista provista el 27 de junio de 2006 por la Oficina de Seguridad Corporativa de la AEE reveló que 131 empleados tenían acceso al Centro mediante tarjeta magnética. De

25 Informe de Auditoría TI éstos, 70 podían acceder a todas las áreas del mismo y sus funciones no requerían tener dicho acceso. 3) En inspecciones realizadas el 16 de marzo y el 1 de junio de 2006 se observó que el área donde se almacenaban los informes a ser distribuidos a los usuarios, ubicada en una oficina cercana a la entrada del Centro de Cómputos de la OIC, se encontraba con las puertas abiertas y sin personal que custodiara los mismos. 4) Los servidores utilizados para procesar las transacciones del SAE estaban ubicados en el Centro de Cómputos de la Oficina de Informática del Directorado de Sistema Eléctrico en un área donde no se restringía el acceso a los mismos. En dicha área estaban los espacios de oficina y cubículos ocupados por los 15 empleados que laboraban en la División de Operación del Directorado de Sistema Eléctrico, cuyas funciones no requerían tener acceso a los servidores. 5) El sistema de supresión de incendios utilizado en el Centro de Cómputos de la Oficina de Informática del Directorado de Sistema Eléctrico era el Sistema Halon, cuyos gases son nocivos para los seres humanos, por lo que se pone en riesgo al personal que trabaja en esta área. 6) En visitas realizadas el 21 de marzo y el 31 de mayo de 2006 al Centro de Cómputos de la Oficina de Informática del Directorado de Sistema Eléctrico se observó que los servidores y las computadoras fuera de uso se mantenían de forma visible y no estaban en un lugar cerrado. Los mismos estaban expuestos a que sus piezas fueran hurtadas o a que la información almacenada en éstos fuera utilizada por personal no autorizado previo a que el equipo fuera decomisado o reutilizado mediante un proceso de reciclaje. 7) En inspección física realizada el 1 de junio de 2006 al Centro de Cómputos de la Oficina de Informática del Directorado de Transmisión y Distribución se encontraron cajas de cartón, bolsas plásticas y cableado al descubierto, en las áreas cercanas a los servidores, lo que expone a dichos equipos al riesgo de incendios por ser material inflamable.

26 24 Informe de Auditoría TI ) El Centro de Cómputos de la División de Conservación Preventiva del Directorado de Sistema Eléctrico no contaba con pisos falsos y no tenían una rotulación para indicar que el lugar estaba protegido con el sistema de supresión de incendios FM200. Además, tenían rociadores de agua ubicados en el techo, que de activarse provocaría daños a los equipos computadorizados. 9) El Centro de Cómputos del Directorado de Ingeniería no contaba con cámaras de vigilancia, pisos falsos, ni sistemas contra incendios FM200. El lugar tenía rociadores de agua ubicados en el techo, que de activarse provocaría daños a los equipos computadorizados. También se determinó que el detector de humo instalado estaba roto. En la Política Núm. TIG-003 de la Carta Circular Núm se establece que las facilidades de sistemas de información deberán estar colocadas en un área donde sea menor la probabilidad de daños por fuego, inundaciones, explosiones, disturbios civiles y otras formas de desastres. Además, en dicha Política se dispone que cada agencia será responsable de desarrollar políticas específicas de seguridad tomando en cuenta las características propias de los ambientes de tecnología de la entidad gubernamental, particularmente sus sistemas críticos. Ello implica que, como norma de sana administración, éstas deberán tomar los cuidados necesarios para proteger y mantener funcionando en óptimas condiciones los equipos electrónicos para evitar daños y averías. El propósito es asegurar la integridad, la exactitud y la disponibilidad de la información y protegerla contra la destrucción accidental, entre otras cosas. Para garantizar razonablemente la seguridad de los equipos y sistemas computadorizados, es necesario tener un salón de computadoras que reúna las condiciones de seguridad y los equipos de detección y protección adecuados. También, se deben ofrecer conferencias periódicas sobre las medidas a tomar en caso de una emergencia. Ambas prácticas tienen el objetivo de proteger tanto al personal como al equipo y otras propiedades. Las situaciones comentadas pueden poner en riesgo la seguridad de los empleados y de los sistemas computadorizados. Además, podría impedir la disponibilidad de los sistemas y, por consiguiente, limitar los servicios que presta la AEE.

27 Informe de Auditoría TI Las situaciones comentadas se atribuyen, en parte, a la falta de un plan de seguridad que establezca las medidas de control necesarias para la protección física y ambiental de la OIC y de las oficinas de Informática de los directorados (Véase el Hallazgo 1) y al incumplimiento de las normas citadas. El Director Ejecutivo, en la carta que nos envió informó, entre otras cosas, lo siguiente: Existe un proyecto para la construcción de un edificio para el Centro de Cómputos y las oficinas administrativas y técnicas de sistemas de información fuera del área inundable actual. [Apartado a.1)] Los accesos se programan mediante una lista requerida a través del supervisor de cada área que tiene equipos en el Centro de Cómputo, los cuales requieren intervención. Además, se impartieron instrucciones al Gerente del Departamento de Operaciones para que solicite a la Oficina de Seguridad Corporativa la lista de accesos al Centro, para depurar la misma. [Apartado a.2)] La Oficina de Recibo y Despacho de documentos fue relocalizada el pasado mes de octubre de 2006 en las nuevas facilidades del Correo Mecanizado del Centro de Cómputos. Las nuevas facilidades tienen control de acceso por tarjeta magnética y sistema de supresión de incendios FM-200. [Apartado a.3)] El acceso al Centro de Cómputos de SCADA está restringido por un sistema de seguridad de tarjetas magnéticas administrado por la División de Operación y su Subdivisión Sistema de Administración de Energía y por un guardia de seguridad en la entrada del edificio. Durante la auditoría existían cubículos con personal de la Subdivisión de Operaciones, el mismo fue reubicado fuera del Centro. Los empleados restantes son administradores de los sistemas. [Apartado a.4)] Actualmente se adjudicó una subasta para el reemplazo total de éste. [Apartado a.5)] En el momento de la auditoría, estábamos efectuando un proyecto de reemplazo de los servidores de todas las consolas del Sistema. Los servidores estaban allí para efecto de inventario. Luego fueron removidos como parte del proceso para decomisar. [Apartado a.6)] En el Centro de Cómputos de Transmisión y Distribución las cajas de cartón, bolsas plásticas y cajas de cables fueron removidas y el área fue despejada. [Apartado a.7)] Estamos en proceso de migrar nuestro Centro de Cómputos a las instalaciones del SAE en Torre. Por otro lado, se procederá de forma inmediata a rotular el sistema FM-200 y remover los rociadores de agua del centro. [Apartado a.8)]

28 26 Informe de Auditoría TI Se planifica adquirir cámaras de vigilancia para la seguridad y el sistema contra incendios FM200. El detector se instaló nuevamente en marzo de Está en evaluación a largo plazo mudar este equipo al nuevo Centro de Cómputos. [Apartado a.9)] Véanse las recomendaciones 1, 2.a. y c., 4.a.2) y 3), b. y c. y 5. Hallazgo 5 - Falta de controles adecuados sobre el equipo computadorizado La estructura organizacional de la AEE consistía de 10 directorados 7 que respondían al Subdirector Ejecutivo. En los directorados de Sistema Eléctrico, Transmisión y Distribución, y Servicio al Cliente se ejercían las funciones operacionales de la AEE. En los otros siete directorados se ejercían funciones de apoyo a los directorados operacionales. Ocho directorados 8 tenían sus propias oficinas de Informática. Además, la AEE tenía la OIC, la cual respondía al Director Ejecutivo. a. La AEE no mantenían un control adecuado del equipo computadorizado adquirido y utilizado por ésta. Mediante el examen de los inventarios de equipos computadorizados provistos por las ocho oficinas de Informática, la OIC y la Sección de Inventario Continuo de la Propiedad, determinamos lo siguiente: 1) La Sección de Inventario Continuo de la Propiedad mantenía en su inventario de equipos computadorizados un total de 24,264 equipos cuyo costo de adquisición era de $20,850,071. En este inventario se incluían 1,560 equipos inservibles 9 cuyo costo de adquisición era de $2,803,970 y 173 equipos que no fueron localizados al momento de tomar el inventario cuyo costo de adquisición era de $316, Éstos son: Sistema Eléctrico, Transmisión y Distribución, Servicio al Cliente, Planificación y Protección Ambiental, Ingeniería, Recursos Humanos, Asuntos Jurídicos, Asuntos Laborales, Finanzas y Servicios Administrativos. 8 Los directorados de Asuntos Jurídicos y de Asuntos Laborales no tenían Oficina de Informática. 9 Se refiere a equipo clasificado como retirado en el inventario de la AEE.

29 Informe de Auditoría TI ) La cantidad de servidores y computadoras indicada en los inventarios de las ocho oficinas de Informática y de la OIC no coincidía con la indicada en el inventario de la Sección de Inventario Continuo de la Propiedad, según se indica: EQUIPO OFICINAS DE INFORMÁTICA Y OIC SECCIÓN DE INVENTARIO CONTINUO DE LA PROPIEDAD Computadoras 3,039 4,528 Servidores ) Entre los equipos computadorizados que no estaban registrados en el inventario de la Sección de Inventario Continuo de la Propiedad se encontraba el mainframe adquirido en junio de 2001 por $5,202,125. [Véase el Hallazgo 4-a.1)] 4) La información de los inventarios provistos por las oficinas de Informática de los directorados de Sistema Eléctrico y Transmisión y Distribución no estaba completa. A 488 y 46 equipos incluidos en los inventarios provistos por las oficinas de Informática de los directorados de Sistema Eléctrico y Transmisión y Distribución, respectivamente, les faltaba el número de propiedad. En la Ley Núm. 230 del 23 de julio de 1974, Ley de Contabilidad del Gobierno de Puerto Rico, según enmendada, se establece como política pública que la custodia, el cuidado y el control físico de la propiedad pública será responsabilidad del jefe de la propia dependencia o entidad corporativa o su representante autorizado. Ello implica, que como norma de sana administración, las corporaciones públicas deben establecer los controles internos que sean necesarios para proteger sus activos. En el Procedimiento Para Adquirir, Controlar y Disponer de la Propiedad Mueble, aprobado el 16 de octubre de 1991 por el Director Ejecutivo de la AEE, se dispone que la Sección de Inventario Continuo de la Propiedad asignará un número de responsabilidad a los custodios de la propiedad mueble, asignará el número a la propiedad mueble y controlará el inventario de propiedad mueble mediante registros e informes. Se establece, además, que los responsables y custodios de la Propiedad Mueble efectuarán el inventario físico anualmente, tan pronto reciban el Informe de Propiedad Mueble, contestarán el Informe

30 28 Informe de Auditoría TI no más tarde de 30 días laborables, aunque no haya discrepancias en el mismo, y prepararán las transacciones para añadir o retirar la propiedad mueble en el Informe, entre otros. 5) En el inventario provisto por la Sección de Inventario Continuo de la Propiedad se indicaba la existencia de cinco equipos hurtados, los cuales fueron adquiridos por $9,505. A la fecha de nuestro examen no se habían efectuado las gestiones para notificar dicha situación al Contralor de Puerto Rico. En la Ley Núm. 96 del 26 de junio de 1964, según enmendada por la Ley Núm. 86 del 13 de julio de 1988 se establece, entre otras cosas, que todo organismo del Gobierno deberá notificar prontamente al Contralor de Puerto Rico todo asunto relacionado con la pérdida de fondos o bienes públicos. En el Reglamento Núm. 41 promulgado el 10 de noviembre de 1999 por el Contralor de Puerto Rico, en virtud de la Ley Núm. 96, se dispone que las agencias serán responsables de notificar a la Oficina del Contralor de Puerto Rico las irregularidades en el manejo de fondos y bienes públicos que surjan, dentro de un término de 30 días a partir de haberse descubierto la irregularidad. Las situaciones comentadas impiden mantener un control adecuado de la propiedad y pueden propiciar el uso indebido o la pérdida de la misma, sin que se puedan detectar a tiempo para fijar responsabilidades. Además, dificultan la identificación y la localización de los equipos y le resta confiabilidad a la información existente en el sistema de Inventario de Equipo de Computadoras de la AEE. También dificultan nuestra gestión fiscalizadora. Además, la falta de un inventario confiable de los activos de sistemas de información priva a la AEE de una herramienta indispensable para hacer los análisis de riesgo, que le permitan implantar controles para minimizar los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada y maliciosa. Las situaciones comentadas se debían a que el personal supervisor de las oficinas de Informática encargado de mantener el inventario y la Supervisora de la Sección de

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento

Más detalles

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

LINEAMIENTOS GENERALES Y RECOMENDACIONES PARA LA CUSTODIA Y PROTECCIÓN DE DATOS PERSONALES, INFORMACIÓN

LINEAMIENTOS GENERALES Y RECOMENDACIONES PARA LA CUSTODIA Y PROTECCIÓN DE DATOS PERSONALES, INFORMACIÓN LINEAMIENTOS GENERALES Y RECOMENDACIONES PARA LA CUSTODIA Y PROTECCIÓN DE DATOS PERSONALES, INFORMACIÓN RESERVADA Y CONFIDENCIAL EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE CHIAPAS. CONSIDERANDO 1.

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7 PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR. Proceso de Compras en los municipios

Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR. Proceso de Compras en los municipios Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Proceso de Compras en los municipios. Esta presentación tiene el propósito primordial, entre otras cosas, de compartir información y estrategias

Más detalles

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero. ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE

Más detalles

Metodología básica de gestión de proyectos. Octubre de 2003

Metodología básica de gestión de proyectos. Octubre de 2003 Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución

Más detalles

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO OBJETO. El presente Documento de Especificaciones Técnicas tiene por objeto establecer los requisitos que debe cumplir el proceso de Atención

Más detalles

COL-ADM-011 PROCEDIMIENTO DE SISTEMAS

COL-ADM-011 PROCEDIMIENTO DE SISTEMAS PROCEDIMIENTO DE SISTEMAS Edna Yineth Claudia Claudia 1 28/07/2015 Piquetero Romero Romero REV. PREPARO REVISO APROBO FECHA HOJA 2 de 6 PROCEDIMIENTO DE SISTEMAS 1. OBJETIVO Establecer la metodología para

Más detalles

Master en Gestion de la Calidad

Master en Gestion de la Calidad Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO

ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO EJECUTADO POR LA UNIDAD EJECUTORA CENTRAL DURANTE EL PERÍODO DEL [Fecha] AL [Fecha] 1- Consideraciones básicas Estos Términos de Referencia

Más detalles

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A Bogotá D.C. 2011 CONTENIDO I. Aspectos Generales 1.1 Objetivo del Comité de Auditoría 1.2 Normatividad Vigente para el Comité de Auditoría

Más detalles

Política de la base datos WHOIS para nombres de dominio.eu

Política de la base datos WHOIS para nombres de dominio.eu Política de la base datos WHOIS para nombres de dominio.eu 1/7 DEFINICIONES En este documento se usan los mismos términos definidos en los Términos y Condiciones y/o las normas para la solución de controversias

Más detalles

Su conducción recaerá sobre el Coordinador del Proyecto, quien será el representante de éste ante la CNBS y el Comité de Alto Nivel.

Su conducción recaerá sobre el Coordinador del Proyecto, quien será el representante de éste ante la CNBS y el Comité de Alto Nivel. Unidad Coordinadora del Proyecto (UCP) La Unidad Coordinadora del Proyecto es el órgano de Línea del Comité de Alto Nivel en la ejecución del Proyecto y reporta a la presidencia de la Comisión, por encontrarse

Más detalles

GLOSARIO DE TÉRMINOS

GLOSARIO DE TÉRMINOS GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados

Más detalles

Instituto Nacional de Conservación y Desarrollo Forestal, Áreas Protegidas y Vida Silvestre

Instituto Nacional de Conservación y Desarrollo Forestal, Áreas Protegidas y Vida Silvestre 1.-PROPOSITO DEL MANUAL El presente manual de Auditoria Técnica tiene como propósito el de proveer al Departamento un sistema que le permita realizar actividades de Fiscalización de Regionales. Por medio

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría 13359) Período auditado: 9 de septiembre de 2009 al 28

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro INFORME DE AUDITORÍA TI-10-12 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro de Sistemas de Información () Período auditado: 17 de marzo al 28 de octubre

Más detalles

COPEG 4. SISTEMA DE GESTIÓN DE CALIDAD

COPEG 4. SISTEMA DE GESTIÓN DE CALIDAD 4.1 Requisitos Generales COPEG ha establecido, documentado, implementado y mantiene un Sistema de Gestión de Calidad con el objetivo de mejorar continuamente la eficacia del sistema y de sus procesos basados

Más detalles

Norma ISO 14001: 2004

Norma ISO 14001: 2004 Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información INFORME DE AUDITORÍA TI-12-08 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información () Período auditado: 23 de diciembre de 2008 al 18 de noviembre de 2009 1

Más detalles

Guía para la Administración de Software

Guía para la Administración de Software UNIVERSIDAD INTERAMERICANA DE PUERTO RICO RECINTO DE PONCE CENTRO DE SISTEMAS DE INFORMACION Y TELECOMUNICACIONES Guía para la Administración de Software VERSION 1.0 REVISADA JULIO DE 1999 CSAS-D001-07/99

Más detalles

MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009

MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009 MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA MANUAL DE PROCESOS OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009 ENERO 2009 INDICE PÁGINA PORTADA 01 ÍNDICE 02 INTRODUCCIÓN 03 MANUAL DE PROCESOS

Más detalles

3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire.

3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire. 3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire. 3.1 Descripción general de los pasos de la auditoría. Las auditorías comprenderán tres etapas

Más detalles

Instructivo Servicios de Celular

Instructivo Servicios de Celular 1. Objeto Dar a conocer las políticas de manejo de la comunicación móvil en la SOCIEDAD NACIONAL DE LA CRUZ ROJA para los usuarios que por razón de su función, cargos o lineamientos de la Institución requieren

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

AUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP

AUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación

Más detalles

entidad mexicana de acreditación, a. c.

entidad mexicana de acreditación, a. c. MANUAL DE PROCEDIMIENTOS CONFIDENCIALIDAD PROCEDIMIENTO 0 INTRODUCCIÓN En este documento se establecen los requisitos de confidencialidad que debe cumplir todo el personal de ema, auditores externos, evaluadores

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Tribunal Registral Administrativo

Tribunal Registral Administrativo Tribunal Registral Administrativo MANUAL DE USO E INSTALACIÓN DE PROGRAMAS DE CÓMPUTO 18 JUNIO 2015 (APROBADO EN SESIÓN N. 26-2015 DEL 1 DE JULIO DE 2015) Contenido 1. INTRODUCCIÓN... 3 2. ALCANCE... 3

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Norma ISO 14001: 2015

Norma ISO 14001: 2015 Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

Procedimiento General Auditorías Internas (PG 02)

Procedimiento General Auditorías Internas (PG 02) (PG 02) Elaborado por: Jaime Larraín Responsable de calidad Revisado por: Felipe Boetsch Gerente técnico Aprobado por: Gonzalo Lira Gerente general Firma: Firma: Firma: Página: 2 de 7 ÍNDICE 1. OBJETO...

Más detalles

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,

Más detalles

Política de Control de Hojas de Cálculo. Prorrectoría

Política de Control de Hojas de Cálculo. Prorrectoría Política de Control de Hojas de Cálculo Prorrectoría ÍNDICE O CONTENIDO 1. PROPOSITO DE LA POLÍTICA... 3 2. ALCANCE... 3 3. GLOSARIO... 3 4. DESCRIPCIÓN DE LA POLÍTICA... 5 Control de cambios... 5 Control

Más detalles

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011 INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011 CONTENIDO RESUMEN EJECUTIVO... 01 OBJETIVOS Y ALCANCE... 03 1. Objetivos de la auto-evaluación. 03 2. Alcance 03 RESULTADOS...

Más detalles

8. MEDICIÓN, ANÁLISIS Y MEJORA

8. MEDICIÓN, ANÁLISIS Y MEJORA Página 1 de 12 8.1 Generalidades La Alta Gerencia de La ADMINISTRACIÓN DE LA ZONA LIBRE DE COLÓN planea e implementa los procesos de seguimiento, medición, análisis y mejoras necesarias para: Demostrar

Más detalles

El Informe de Auditoría y la Redacción de Hallazgos

El Informe de Auditoría y la Redacción de Hallazgos Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR El Informe de Auditoría y la Redacción de Hallazgos Sr. Edwin H. Rodríguez Hernández, CFE, CFS, CICA, CBM Subdirector División de Asistencia en

Más detalles

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software Preliminares Para efectos del presente documento, a la Entidad de Tecnología e Informática (Dirección

Más detalles

GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO

GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO Artículo 1.- Título Este reglamento se conocerá como Reglamento para Garantizar la Accesibilidad

Más detalles

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para

Más detalles

ALCALDIA DE MONTERIA SECRETARIA DE EDUCACION PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD CONTENIDO

ALCALDIA DE MONTERIA SECRETARIA DE EDUCACION PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD CONTENIDO PAGINA 1/14 CONTENIDO 1. INTRODUCCIÓN...2 2. OBJETIVO...3 3. ALCANCE...3 4. EXPLICACIÓN DETALLADA DEL SUBPROCESO N01.01 AUDITORÍAS INTERNAS...4 5. ÁREAS INVOLUCRADAS EN SU EJECUCIÓN Y ROLES DE CADA UNA...10

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

Medidas de seguridad ficheros automatizados

Medidas de seguridad ficheros automatizados RECOMENDACIÓN SOBRE MEDIDAS DE SEGURIDAD A APLICAR A LOS DATOS DE CARÁCTER PERSONAL RECOGIDOS POR LOS PSICÓLOGOS Para poder tratar datos de carácter personal en una base de datos adecuándose a la Ley 15/1999,

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

RP-CSG-027.00. Fecha de aprobación 2012-03-08

RP-CSG-027.00. Fecha de aprobación 2012-03-08 Reglamento Particular para la Auditoría Reglamentaria de Prevención de Riesgos Laborales según el Reglamento de los Servicios de Prevención (R.D. 39/1997) RP-CSG-027.00 Fecha de aprobación 2012-03-08 ÍNDICE

Más detalles

Condiciones de servicio de Portal Expreso RSA

Condiciones de servicio de Portal Expreso RSA Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

Aviso Legal. Entorno Digital, S.A.

Aviso Legal. Entorno Digital, S.A. Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

Estatuto de Auditoría Interna

Estatuto de Auditoría Interna Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo

Más detalles

Firma: Fecha: Marzo de 2008

Firma: Fecha: Marzo de 2008 Procedimiento General Tratamiento de No Conformidades, Producto no conforme, Acciones Correctivas y Acciones Preventivas (PG 03) Elaborado por: Jaime Larraín Responsable de calidad Revisado por: Felipe

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

SEMANA 12 SEGURIDAD EN UNA RED

SEMANA 12 SEGURIDAD EN UNA RED SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO 1. 2. 3. 4. 5. Ambiente de Control. Evaluación de Riesgos. Actividades de Control

Más detalles

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad

Más detalles

INSTITUCIÓN EDUCATIVA LA ESPERANZA AUDITORIAS INTERNAS. CÓDIGO: A1-IN01 VERSIÓN: 1 PÁGINA 1 de 6

INSTITUCIÓN EDUCATIVA LA ESPERANZA AUDITORIAS INTERNAS. CÓDIGO: A1-IN01 VERSIÓN: 1 PÁGINA 1 de 6 CÓDIGO: A1-IN01 VERSIÓN: 1 PÁGINA 1 de 6 1. ESPECIFICACIONES GENERALES NOMBRE: AUDITORÌAS INTERNAS OBJETIVO: Evaluar el nivel de implementación y eficacia del S.G.C RESPONSABLE: Líder de la Gestión de

Más detalles

Curso de Seguridad de la Carga Aérea

Curso de Seguridad de la Carga Aérea Administración de seguridad del transporte Curso de Seguridad de la Carga Aérea Lección 5 Seguridad de servicio de comida y tiendas de limpieza y suministros 1 Objetivos de aprendizaje 1. Determinar las

Más detalles

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO 1 METODOLOGIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO INES SIERRA RUIZ JEFE OFICINA Bucaramanga, 2008 2 CONTENIDO

Más detalles

MANUAL DE PROCEDIMIENTO PARA EL CONTROL DE INVENTARIOS

MANUAL DE PROCEDIMIENTO PARA EL CONTROL DE INVENTARIOS MANUAL DE PROCEDIMIENTO PARA EL CONTROL DE INVENTARIOS Elaborado por: Área de Almacén e inventarios Código Versión Fecha Contenido 1. Introducción... 4 2. Objetivo General... 4 3. Alcance del Manual de

Más detalles

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 -

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - Auditoría 13826) Período auditado: 1 de abril al 6 de diciembre

Más detalles

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS

Más detalles

IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN

IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN Introducción 1. Las Normas Internacionales de Auditoría (NIA) se aplican a la auditoría de la información

Más detalles

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales

Más detalles

Defensoría del Pueblo C O L O M B 1 A. Verificar antes del uso la vigencia de este documento en el Listado Maestro de Documentos

Defensoría del Pueblo C O L O M B 1 A. Verificar antes del uso la vigencia de este documento en el Listado Maestro de Documentos 0 Defensoría C O L O M B 1 A Código: GADINS01 lolé Defensoria INSTRUCTIVO OFICINA DE INVENTARIOS. Versión: 01 delpueblo Página: 2 de 11 Contenido CAPÍTULO 1. TOMA FÍSICA DE BIENES DEVOLUTIVOS E IDENTIFICACIÓN

Más detalles

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: Cloud Security Alliance Política de Privacidad Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: La información

Más detalles

Nombre del Puesto. Jefe Departamento de Presupuesto. Jefe Departamento de Presupuesto. Director Financiero. Dirección Financiera

Nombre del Puesto. Jefe Departamento de Presupuesto. Jefe Departamento de Presupuesto. Director Financiero. Dirección Financiera Nombre del Puesto Jefe Departamento de Presupuesto IDENTIFICACIÓN Nombre / Título del Puesto: Puesto Superior Inmediato: Dirección / Gerencia Departamento: Jefe Departamento de Presupuesto Director Financiero

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

LEY NUM. 136 DE 27 DE JULIO DE 2015

LEY NUM. 136 DE 27 DE JULIO DE 2015 Para enmendar el Artículo 2, Artículo 3, Artículo 4, los Artículos 5 y 6 y añadir un nuevo Artículo 7 a la Ley Núm. 293 de 1999, Ley de la Junta Interagencial para el Manejo de las Playas de Puerto Rico.

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD

PROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD GG-PRD-007 Página 1 de 9 1. OBJETIVO: Establecer las responsabilidades y los requisitos necesarios para la planeación y ejecución de auditorías internas al sistema de gestión de (S.G.C.) de la Cámara de

Más detalles

Política de Privacidad. Política de Protección de Datos de Carácter Personal

Política de Privacidad. Política de Protección de Datos de Carácter Personal Política de Privacidad Política de Protección de Datos de Carácter Personal En cumplimiento con lo establecido por la Ley 1581 de 2012, Gestión y Auditoria Especializada Ltda GAE, le informa que los datos

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

POLÍTICA DE TRATAMIENTO DE DATOS

POLÍTICA DE TRATAMIENTO DE DATOS Aplicable a Clientes. Versión 1 POLÍTICA DE TRATAMIENTO DE DATOS ALARMAS DISSEL LTDA., como empresa socialmente responsable, actuando en concordancia con sus valores corporativos y en observancia a los

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

ESTADO LIBRE ASOCIADO DE PUERTO RICO SENADO DE PUERTO RICO. P. del S. 238

ESTADO LIBRE ASOCIADO DE PUERTO RICO SENADO DE PUERTO RICO. P. del S. 238 ESTADO LIBRE ASOCIADO DE PUERTO RICO 16 ta Asamblea 1 ra Sesión Legislativa Ordinaria SENADO DE PUERTO RICO P. del S. 238 15 de enero de 2009 Presentado por el señor Dalmau Santiago Referido a las Comisiones

Más detalles

El monto de recursos examinados corresponde al de los saldos de títulos de crédito de la Dirección Regional Norte, que fueron los siguientes:

El monto de recursos examinados corresponde al de los saldos de títulos de crédito de la Dirección Regional Norte, que fueron los siguientes: Informe: Examen Especial a Títulos de Crédito de la Dirección Regional Norte. Período: 30 de junio de 2002 al 30 de julio de 2004. Código: AISRI-001-2005 Oficio de Aprobación por la Contraloría General

Más detalles

El USUARIO manifiesta que es jurídicamente capaz de realizar el procedimiento a utilizar y que está facultado para hacer uso del mismo.

El USUARIO manifiesta que es jurídicamente capaz de realizar el procedimiento a utilizar y que está facultado para hacer uso del mismo. A continuación se detallan los términos y condiciones bajo las cuales se regirá el servicio de pagos en línea del Municipio de Itagüí, para ello se proveerá la plataforma tecnológica con el fin de prestar

Más detalles

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD Rafael Bernal, CISA Universidad Politécnica de Valencia El Reglamento de medidas de seguridad exige para los ficheros de nivel

Más detalles

SERVICIO DE DESARROLLO DE LAS EMPRESAS PÚBLICAS PRODUCTIVAS SEDEM REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO

SERVICIO DE DESARROLLO DE LAS EMPRESAS PÚBLICAS PRODUCTIVAS SEDEM REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO SERVICIO DE DESARROLLO DE LAS EMPRESAS PÚBLICAS PRODUCTIVAS SEDEM REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO La Paz, Noviembre 2010 SERVICIO DE DESARROLLO DE LAS EMPRESAS PÚBLICAS PRODUCTIVAS - SEDEM

Más detalles

LISTA DE CONTROL INTERNO INVENTARIO

LISTA DE CONTROL INTERNO INVENTARIO 1. Se preparan informes gerenciales y de excepciones para controlar, entre otros puntos, los siguientes: Cantidades en existencia y costo de producción. Precios de compra, mano de obra y otras variaciones.

Más detalles

ACUERDO 018- CG - 2015 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO:

ACUERDO 018- CG - 2015 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO: ACUERDO 018- CG - 2015 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO: Que, el artículo 211 de la Constitución de la República del Ecuador establece que la Contraloría General del Estado es un organismo

Más detalles

PROCEDIMIENTO PARA EL CONTROL DE REGISTROS. GESTIÓN DE CALIDAD Versión: 01

PROCEDIMIENTO PARA EL CONTROL DE REGISTROS. GESTIÓN DE CALIDAD Versión: 01 1. OBJETIVO Asegurar que los registros que constituyen una evidencia de la conformidad del Sistema de Gestión de la Fundación Universitaria de Popayán con los requisitos de la norma NTC-ISO 9001: 2008,

Más detalles