INFORME DE AUDITORÍA TI de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INFORME DE AUDITORÍA TI-15-11 20 de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información"

Transcripción

1 INFORME DE AUDITORÍA TI de junio de 2015 Autoridad para el Financiamiento de la Infraestructura de Puerto Rico Sistemas de Información Computadorizados (Unidad Auditoría 13897) Período auditado: 7 de marzo al 11 de agosto de 2014

2

3 TI CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 5 OPINIÓN Y HALLAZGOS Falta de un informe de análisis de riesgos sobre los sistemas de información computadorizados y de un análisis de impacto de negocio Falta de un plan de continuidad de negocios y de acuerdos escritos para la utilización de un centro alterno para la recuperación de las operaciones computadorizadas Deficiencias relacionadas con el informe de inventario de la AFI y de los programas instalados en las computadoras Deficiencias relacionadas con el otorgamiento de privilegios de acceso y con la segregación de funciones en el sistema Sage MIP Deficiencias relacionadas con los parámetros de seguridad, con la configuración de las cuentas de acceso, con el proceso de desactivar las cuentas de los exempleados, los excontratistas y otro personal externo, y con la falta de formularios para la solicitud y la autorización de acceso Falta de controles ambientales y físicos en los cuartos de servidores, y deficiencias relacionadas con el diagrama esquemático de la red Falta de instalación y actualización del programa de antivirus en computadoras y servidores y, de actualización del sistema operativo en el servidor principal RECOMENDACIONES AGRADECIMIENTO ANEJO 1 - MIEMBROS PRINCIPALES DE LA JUNTA DE DIRECTORES DURANTE EL PERÍODO AUDITADO ANEJO 2 - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 30

4 2 TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 20 de junio de 2015 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de los sistemas de información computadorizados de la Autoridad para el Financiamiento de la Infraestructura de Puerto Rico (AFI) para determinar si se efectuaron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 7 de marzo al 11 de agosto de En algunos aspectos examinamos transacciones de fechas anteriores. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este Informe contiene siete hallazgos sobre el resultado del examen que realizamos de los controles internos establecidos para la administración del programa de seguridad, la segregación de deberes, el acceso lógico y físico, la configuración de los sistemas de información, la continuidad del servicio, y los controles para las computadoras. El mismo está disponible en nuestra página en Internet:

5 TI INFORMACIÓN SOBRE LA UNIDAD AUDITADA La AFI es una corporación pública, afiliada al Banco Gubernamental de Fomento para Puerto Rico (BGF), creada mediante la Ley Núm. 44 del 21 de junio de 1988, Ley de la Autoridad para el Financiamiento de la Infraestructura de Puerto Rico, según enmendada. El propósito de la AFI es proveer asistencia financiera, administrativa, consultiva, técnica, de asesoramiento o de otra naturaleza a las corporaciones públicas, entidades gubernamentales, subdivisiones políticas y municipios que desarrollan y operan la infraestructura de Puerto Rico. La AFI puede tomar dinero a préstamo y emitir bonos para cualquiera de sus propósitos corporativos. Además, puede otorgar préstamos, subsidios y otros tipos de asistencia económica para llevar a cabo los propósitos indicados. Los poderes de la AFI son ejercidos por una Junta de Directores que está compuesta por cinco miembros de la Junta de Directores del BGF designados por el Gobernador de Puerto Rico, por el Secretario de Hacienda y por un miembro adicional nombrado por el Gobernador de Puerto Rico. Este también nombrará al Presidente de la Junta de la AFI de entre sus miembros. La administración operacional de la AFI está a cargo de un Director Ejecutivo, nombrado por la Junta de Directores de la AFI. La Ley facultó a la AFI como la agencia responsable del recibo, el desembolso y la administración de los fondos asignados a Puerto Rico provenientes del American Recovery and Reinvestment Act of 2009 (ARRA). Mediante esta Ley, la AFI asistió a las agencias, corporaciones públicas, municipios y otras entidades gubernamentales en la programación, el desarrollo y la supervisión de los fondos ARRA distribuidos y de los proyectos relacionados. La AFI se compone de las siguientes unidades organizacionales: las oficinas del Director Ejecutivo, del Subdirector Ejecutivo y de Comunicaciones 1 ; y los departamentos de Administración y Finanzas, de 1 El puesto de Director de la Oficina de Comunicaciones estaba vacante desde el 2003.

6 4 TI Servicios Legales y de Ingeniería. Al Departamento de Administración y Finanzas le responden las áreas de: Administración y Control de Documentos, Contabilidad, y Presupuesto e Intervención. La AFI no cuenta con una oficina de sistemas de información. La administración, la supervisión, y la coordinación de los servicios necesarios para el funcionamiento y el mantenimiento de los sistemas de información computadorizados de la AFI son responsabilidad del Gerente de Administración y Control de Documentos. Este también es responsable de evaluar y autorizar la compra de tecnología de bases de datos y de los programas computadorizados, y de contratar consultores externos para dar apoyo a los sistemas de información computadorizados de la AFI. El Gerente de Administración y Control de Documentos responde al Principal Oficial Financiero, funcionario a cargo del Departamento de Administración y Finanzas. Al 17 de julio de 2014, la AFI contaba con dos contratistas independientes que proveían servicios de apoyo técnico a los usuarios de los sistemas de información computadorizados. Además, estos ejercían las funciones de Administrador de Seguridad y Administrador de la Red de Comunicación. Ambos contratistas respondían al Gerente de Administración y Control de Documentos. Los anejos 1 y 2 contienen una relación de los miembros principales de la Junta de Directores y de los funcionarios principales de la AFI que actuaron durante el período auditado. Los recursos para financiar las actividades administrativas, operacionales y funcionales de la AFI provienen de los préstamos y las emisiones de bonos, del trámite de financiamiento y la gerencia de proyectos, y de los arrendamientos de las propiedades adquiridas que constituyen los ingresos propios de la AFI. Para los años fiscales y , el presupuesto de la AFI ascendió a $79,341,000 y $9,422, Los gastos 2 La disminución de $69,919,000 en comparación con los recursos asignados en el año fiscal es el efecto combinado de una reducción de $32,579,000 en los gastos con cargo al Fondo de Préstamos y Emisiones de Bonos que fueron asignados en el año fiscal para la construcción y remodelación propuesta para el edificio World Plaza, y $39,602,000 en gastos con cargo al Fondo de Mejoras Públicas asignados mediante la Resolución Conjunta , para el desarrollo de varios proyectos de mejoras, entre otros; y un aumento de $2,262,000 en los otros ingresos y en los ingresos propios.

7 TI operacionales relacionados con los sistemas de información de computadorizados eran sufragados del presupuesto consolidado de la AFI. La AFI cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca de los servicios que presta dicha entidad. COMUNICACIÓN CON LA GERENCIA El borrador de los hallazgos de este Informe se remitió para comentarios a la Lcda. Grace M. Santana Balado, Directora Ejecutiva de la AFI, por carta del 15 de abril de En el borrador de los hallazgos se indicaron datos específicos, tales como: nombres y cuentas de acceso, y programas computadorizados que por seguridad no se incluyen en este Informe. La Directora Ejecutiva, mediante carta del 30 de abril de 2015, informó que no emitiría comentarios al borrador de los hallazgos de este Informe y que elaboraban el plan de acción correctiva. OPINIÓN Y HALLAZGOS Opinión favorable con excepciones Las pruebas efectuadas y la evidencia en nuestro poder revelaron que las operaciones de los sistemas de información computadorizados de la AFI, en lo que concierne a los controles establecidos para la administración del programa de seguridad, la segregación de deberes, el acceso lógico y físico, la configuración de los sistemas de información, la continuidad del servicio, y los controles para las computadoras, se realizaron sustancialmente conforme a las normas generalmente aceptadas en este campo, excepto por los hallazgos del 1 al 7 que se comentan a continuación. Hallazgo 1 - Falta de un informe de análisis de riesgos sobre los sistemas de información computadorizados y de un análisis de impacto de negocio Situaciones a. La AFI mantenía de forma computadorizada las operaciones relacionadas con la administración de los fondos provistos por las emisiones de bonos y otros ingresos. Esto, mediante el sistema financiero Sage MIP Fund Accounting (sistema Sage MIP), en el que

8 6 TI se mantenía el registro financiero de las asignaciones realizadas a los proyectos de construcción, adquisición, reparación y mantenimiento de la infraestructura, y de los desembolsos realizados a los contratistas y a los proveedores de servicios. Además, utilizaba el sistema Questys, para administrar y digitalizar los contratos, las facturas, los cheques y otros documentos generados como parte de las operaciones de la AFI. También la AFI contaba con 91 computadoras conectadas a la red, 27 servidores (6 físicos y 21 virtuales) y equipos de comunicación mediante los cuales los usuarios accedían a sus aplicaciones y sistemas, incluidos el correo electrónico e Internet. Los sistemas Sage MIP, Questys, Internet y correo electrónico, los servidores y los equipos de comunicación de la red formaban parte de los activos de sistemas de información computadorizados existentes en la AFI. Sin embargo, al 12 de mayo de 2014, en la AFI no se había preparado el informe del análisis de riesgos de los sistemas de información computadorizados. El análisis de riesgos de los sistemas de información computadorizados es un proceso a través del cual se identifican los activos de sistemas de información computadorizados existentes en una entidad, sus vulnerabilidades, y las amenazas a las que se encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas. Esto, con el fin de determinar las medidas de seguridad y los controles adecuados a ser implantados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, y proteger dichos activos, de manera que no se afecten adversamente las operaciones de la entidad. Mediante este proceso se asegura que las medidas de seguridad y los controles a ser implantados sean costo-efectivos, pertinentes a las operaciones de la entidad y que respondan a las posibles amenazas identificadas. b. El análisis de impacto de negocio tiene como objetivo cuantificar y calificar el impacto de negocio por la pérdida o la interrupción de las

9 TI operaciones, y de las vulnerabilidades y las amenazas que fueron identificadas y clasificadas en el análisis de riesgos. Además, debe proveer información para determinar las estrategias de recuperación más apropiadas. Al 11 de abril de 2014, en la AFI no se había realizado un análisis de impacto de negocio sobre los sistemas de información computadorizados. Criterios Las situaciones comentadas se apartan de lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la Oficina de Gerencia y Presupuesto (OGP) y de la Política TIG-015, Programa de Continuidad Gubernamental, aprobada el 22 de septiembre de 2011 por el Director de la OGP. Efecto Las situaciones comentadas impiden a la AFI estimar el impacto que los elementos de riesgos tendrían sobre las áreas y los sistemas críticos de esta, y considerar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información. Causa Las situaciones comentadas se atribuyen a que la Directora Ejecutiva no había promulgado una directriz para la preparación, la implantación y la actualización continua de un análisis de riesgo de los sistemas de información y de un análisis de impacto de negocio. Véanse las recomendaciones de la 1 a la 3. Hallazgo 2 - Falta de un plan de continuidad de negocios y de acuerdos escritos para la utilización de un centro alterno para la recuperación de las operaciones computadorizadas Situaciones a. El 20 de agosto de 2013 el Gerente de Administración y Control de Documentos se reunió con la Gerente de Proyectos y la Oficial

10 8 TI Principal de Informática del BGF para discutir el alcance del proyecto de incorporación de la AFI en el plan de continuidad de negocios del BGF. Se discutieron, entre otros, los siguientes asuntos: La asignación a la AFI de varios servidores del BGF localizados en el sitio de replicación remota de datos en Ponce. La incorporación de la AFI en el servicio de acarreo de respaldos que mantenía el BGF con un proveedor en San Juan. La prueba anual del plan de recuperación de desastres a efectuarse en el año fiscal Además, uno de los dos servidores adquiridos en diciembre de 2012 sería utilizado para el plan de recuperación de desastres incluido en el proyecto del BGF. En el Plan de Trabajo Finanzas y Administración 2014 del 30 de diciembre de 2013 se indicó que el Departamento de Administración y Finanzas estaba en el proceso de evaluar los sistemas de información computadorizados de la AFI para establecer el Plan para Recuperación de Desastres con el propósito de aumentar la efectividad y garantizar la continuidad de estos. También se evaluaba incorporar a la AFI en el Plan para Continuidad de Negocios (Plan) del BGF. Sin embargo, al 5 de mayo de 2014, la AFI no había completado el proceso para incorporarse en el Plan del BGF. Tampoco había preparado un plan de continuidad de negocios, que incluyera un plan para la recuperación de desastres y un plan para la continuidad de las operaciones. b. El 5 de mayo de 2014 el Gerente de Administración y Control de Documentos certificó que varios de los cubículos asignados al BGF en un centro alterno, que mantenía este bajo contrato con una compañía, fueron destinados para el uso de la AFI. Sin embargo, al 11 de julio de 2014, la AFI no había formalizado acuerdos escritos con el BGF para esto. Tampoco había formalizado acuerdos escritos con otra entidad para establecer un centro alterno en las instalaciones de esta.

11 TI Criterios La situación comentada en el apartado a. es contraria a lo establecido en las políticas TIG-003 y TIG-004, Servicios de Tecnología, de la Carta Circular 77-05, y en la Política TIG-015. Las mejores prácticas en el campo de la tecnología de información utilizadas para garantizar la confiabilidad, la integridad y la disponibilidad de los sistemas de información sugieren que como parte integral del Plan de Continuidad de Negocios, deben existir convenios con otras entidades donde se estipulen las necesidades y los servicios requeridos para afrontar una emergencia. Debe incluirse, además, una cláusula que especifique el lugar o los lugares donde podrían ser requeridos dichos servicios. Estos lugares, de acuerdo con la capacidad de la entidad gubernamental, podrían ser los siguientes: [Apartado b.] Una entidad pública o privada de similar configuración y tamaño Una compañía dedicada a servicios de restauración Un centro alterno de la propia entidad. Efectos La situación comentada en el apartado a. podría propiciar la improvisación y que, en casos de emergencia, se tomen medidas inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos y de interrupciones prolongadas de los servicios a los usuarios de la AFI. Lo comentado en el apartado b. podría afectar las operaciones de la AFI y los servicios de los sistemas de información computadorizados, ya que no tendrían disponibles unas instalaciones para operar después de una emergencia o de un evento que afectara su funcionamiento. Esto podría atrasar o impedir el proceso de restauración de archivos y el pronto restablecimiento de las operaciones normales de los sistemas de información computadorizados. Causas Las situaciones comentadas se atribuyen, en parte, a que la Directora Ejecutiva no había promulgado una directriz para la preparación, la

12 10 TI aprobación y la implantación de un plan de continuidad de negocios. Tampoco había requerido que se estableciera por escrito el acuerdo para la utilización del centro alterno del BGF. Véanse las recomendaciones 1, 4 y 5. Hallazgo 3 - Deficiencias relacionadas con el informe de inventario de la AFI y de los programas instalados en las computadoras Situación a. El informe Inventario de Computadora (documento preparado en una hoja de Excel) fue provisto por el Gerente de Administración y Control de Documentos, quien funge como encargado de la propiedad de la AFI, como inventario físico de la propiedad de los sistemas de información computadorizados al 4 de marzo de Este informe contenía 156 computadoras, 4 servidores y los programas instalados en estos equipos. El examen de este informe realizado el 6 de junio de 2014 reveló lo siguiente: 1) No contenía el número de propiedad, la fecha de adquisición ni el precio unitario de los equipos y programas. 2) Dos computadoras estaban identificadas con el mismo nombre (1485-Opt745). Una de estas estaba localizada en el Departamento de Ingeniería y el nombre correcto era 1482-Opt745. La computadora 1485-Opt745 estaba localizada en el piso 20 del World Plaza. 3) Dos servidores virtuales estaban identificados como físicos. 4) No contenía la información de cuatro servidores físicos. 5) La AFI no mantenía un registro completo y actualizado de los programas adquiridos e instalados en los servidores y en las computadoras, que incluyera, entre otras cosas, el número de la licencia, el nombre del proveedor, la fecha de adquisición y el número de propiedad asignado. 6) No incluía los programas de antivirus, del sistema de contabilidad, de administración de proyectos, de servicios al

13 TI cliente, de respaldos, de administración de documentos, y de manejo de ambientes virtuales, entre otros, instalados en estos equipos. Criterios La situaciones comentadas en el apartado a. del 1) al 4) son contrarias a lo establecido en el Artículo 10(a) de la Ley Núm. 230 del 23 de julio de 1974, Ley de Contabilidad del Gobierno de Puerto Rico, según enmendada, y en el Procedimiento para el Control de la Propiedad Mueble, según emendado, aprobado el 17 de marzo de 2000 por el Director Ejecutivo de la AFI. Las situaciones comentadas en el apartado a.5) y 6) son contrarias a lo establecido en la Política TIG-008, Uso de Sistemas de Información, de la Internet y del Correo Electrónico, de la Carta Circular En esta se establece que los sistemas de información de las entidades gubernamentales, incluidos los programas, las aplicaciones y los archivos electrónicos, son propiedad del Estado Libre Asociado de Puerto Rico, por lo que debe constar en el inventario de las respectivas entidades gubernamentales. Las mejores prácticas de la tecnología de información sugieren que se mantenga un registro de todos los programas, en el cual se indique lo siguiente: el número de la licencia, el nombre del proveedor, el dueño de la licencia, la fecha de adquisición, el equipo donde está instalado (número de propiedad o de serie), la ubicación física de la licencia y de sus manuales, el nombre del usuario, el número de propiedad asignado, y el costo. Efectos Las situaciones comentadas le impiden a la AFI mantener un control efectivo sobre el equipo, la propiedad, los programas y las licencias correspondientes. Además, propician el ambiente para el uso indebido o la desaparición de la propiedad, y la instalación y el uso de programas no autorizados, sin que se puedan detectar estas situaciones a tiempo para fijar responsabilidades, con los consiguientes efectos adversos para la AFI. También dificultan nuestra gestión fiscalizadora.

14 12 TI Causas Las situaciones comentadas en el apartado a. del 1) al 4) se atribuyen a que el Principal Oficial Financiero no se aseguró de que el Gerente de Administración y Control de Documentos, a cargo de la propiedad de la AFI, cumpliera con su responsabilidad de mantener un inventario de equipo completo y actualizado. Lo comentado en el apartado a.5) y 6) se atribuye a que el Gerente de Administración y Control de Documentos no tomó las medidas necesarias para mantener un registro y un control adecuado de los programas adquiridos e instalados en los servidores y en las computadoras de la AFI. Véanse las recomendaciones 1 y 6.a.1) y 2). Hallazgo 4 - Deficiencias relacionadas con el otorgamiento de privilegios de acceso y con la segregación de funciones en el sistema Sage MIP Situaciones a. El sistema Sage MIP incluía los módulos: Cuentas por Pagar, Cuentas por Cobrar, Presupuesto, Obligaciones (Encumbrances), Reconciliación Bancaria, Mayor General y Reportes. Al 28 de mayo de 2014, el sistema Sage MIP tenía 68 cuentas de acceso, de las cuales 26 estaban activas. El acceso al sistema Sage MIP era controlado mediante la creación y el otorgamiento de cuentas de acceso, a las cuales se les asignaban perfiles o privilegios establecidos por grupos. Estos grupos eran: AR Receipt, Cheques, Contabilidad General, Cuentas por Pagar, Gerencia, Intervención, Post Transactions y Presupuesto, entre otros. Estos grupos que fueron configurados conforme a las tareas y a los puestos de los usuarios, permitían añadir, modificar, eliminar o procesar transacciones mediante los menús a los cuales se les habían otorgado acceso. El informe Security List contenía, entre otras cosas, los menús y los privilegios de acceso que se les habían otorgado a los usuarios del sistema Sage MIP al 28 de mayo de El examen de las cuentas de acceso activas, y de los privilegios otorgados a estas, reveló que una cuenta de acceso asignada al

15 TI Gerente de Administración y Control de Documentos tenía privilegios para añadir, modificar, eliminar y procesar (Add, Edit, Delete, Process / Transactions - Enter Budget) transacciones de presupuesto. También podía añadir, modificar y eliminar proveedores (Add, Edit, Delete / Maintain Vendors), y editar y modificar facturas y obligaciones (Add, Edit, Delete / Transactions Enter A/P Invoices, Enter Encumbrances, Enter Encumbrance Liquidations). Esto, a pesar de que dicho empleado no realizaba las mencionadas transacciones. b. El sistema Sage MIP generaba informes de las transacciones registradas por las cuentas asignadas a los usuarios en cada uno de los módulos. El examen realizado de 11,795 transacciones registradas entre el 1 de julio de 2013 y el 30 de mayo de 2014 por 11 cuentas de acceso otorgadas a 3 empleados y 8 contratistas reveló la asignación de privilegios a las cuentas de usuarios que les permitían realizar funciones que podían ser incompatibles y conflictivas al ser efectuadas por una misma persona, según se indica: 1) Diez cuentas (91%) fueron utilizadas para crear y modificar 4,062 transacciones (unposted) en el sistema, que posteriormente fueron registradas (posted) en el módulo Mayor General por las mismas cuentas que las originaron. 2) Dos cuentas de acceso asignadas a 2 contratistas que realizaban funciones de contadoras en la AFI fueron utilizadas para registrar 13 transacciones relacionadas con el pago de los servicios profesionales prestados por estas. Una de las cuentas de acceso se utilizó para registrar un pago por $1,943 y la otra se utilizó para registrar 12 pagos por $25,893. Esta situación se agravaba al no existir un control alterno de supervisión que evidenciara que el Principal Oficial Financiero verificaba el proceso de registrar en el módulo Mayor General las transacciones.

16 14 TI Situaciones similares a las incluidas en los apartados a. y b.1) fueron comentadas en el Informe de Auditoría A, emitido el 19 de diciembre de 2013 por la Oficina de Auditoría Interna del BGF. Criterios Las situaciones comentadas se apartan de lo establecido en la Política TIG-003 de la Carta Circular En esta se dispone que las entidades gubernamentales deberán establecer controles adecuados en sus sistemas de información computadorizados para garantizar la confidencialidad, la integridad y la disponibilidad de la información. Conforme a dicha política y como norma de sana administración, es necesario que se segreguen las funciones relacionadas con las operaciones de los sistemas de información de la entidad o se establezca la supervisión de las tareas conflictivas como control compensatorio. El objetivo primordial de dichas medidas de control es disminuir la probabilidad de que se cometan errores o irregularidades. Además, en dicha política se establece que la información y los programas de aplicación utilizados en las operaciones de las agencias deberán tener controles de acceso para su utilización, de tal manera que solamente el personal autorizado pueda ver los datos que necesita, o usar las aplicaciones (o la parte de las aplicaciones) que necesita utilizar. Esta norma se establece, en parte, mediante la asignación de privilegios a las cuentas de acceso de usuarios según las responsabilidades de estos. Los privilegios de acceso deberán ser reevaluados regularmente. Efectos Las situaciones comentadas pueden propiciar que se realicen modificaciones no autorizadas en los módulos del sistema Sage MIP. Además, pueden propiciar la comisión de errores o irregularidades sin que puedan ser detectados con prontitud para fijar responsabilidades con los consiguientes efectos adversos para la AFI. Causas Las situaciones comentadas se debían a que la AFI no contaba con personal capacitado y adiestrado en el campo de los sistemas de

17 TI información computadorizados para otorgar las cuentas de acceso y los privilegios del sistema Sage MIP. Además, la AFI no contaba con políticas y procedimientos, escritos y aprobados, para establecer los controles de acceso en el sistema. Las situaciones comentadas en el apartado b. se debían a que el Principal Oficial Financiero no veló por que los privilegios asignados a las cuentas de acceso de los usuarios no fueran incompatibles. Además, el sistema permitía que a las cuentas de acceso se les asignaran perfiles o privilegios correspondientes a más de un grupo. También se otorgaban privilegios de manera individual cuando el grupo al cual pertenecía la cuenta no incluía una tarea específica, lo que podía propiciar que se obviaran los controles establecidos para sólo un grupo. Véanse las recomendaciones 1, y 6.a.3) y b. Hallazgo 5 - Deficiencias relacionadas con los parámetros de seguridad, con la configuración de las cuentas de acceso, con el proceso de desactivar las cuentas de los exempleados, los excontratistas y otro personal externo, y con la falta de formularios para la solicitud y la autorización de acceso Situaciones a. El examen efectuado el 29 de abril de 2014 sobre los parámetros de seguridad y los controles de acceso establecidos en el sistema operativo del servidor principal reveló que no se habían configurado las políticas de contraseñas para requerir un mínimo de 10 días para que el sistema le permitiera al usuario cambiar la contraseña nuevamente (Minimum password age). b. En el servidor principal había 109 cuentas de usuarios activas para acceder a la red. El examen realizado el 29 de abril de 2014 a estas cuentas reveló las siguientes deficiencias: 1) Diecisiete cuentas (16%) estaban configuradas para que la contraseña no expirara (Password Expires No). Una de estas tenía privilegios de administración. 2) Existían tres cuentas (3%) asignadas a auditores externos que fueron configuradas para que sus contraseñas no fueran cambiadas (Password Can Be Changed - No).

18 16 TI ) Para 108 cuentas (99%), no se había restringido el tiempo de acceso a la red conforme a las responsabilidades y necesidades de servicio de los usuarios (Logon Hours All). Estos tenían acceso las 24 horas y los 7 días de la semana. 4) Dos empleados, 2 contratistas y 1 auditor externo tenían asignadas 2 cuentas de acceso. c. Al 29 de abril de 2014, no se habían desactivado las cuentas de acceso de una exempleada, un excontratista y un estudiante de abogacía que participó en un programa de internado en la AFI que cesaron en sus funciones entre el 30 de junio de 2012 y el 30 de mayo de Estas cuentas permanecían activas entre 334 y 668 días posteriores a la fecha del cese de sus funciones. Criterio Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece, entre otras cosas, que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se establece, en parte, mediante lo siguiente: El uso de todas las opciones para restringir y controlar los accesos que proveen los distintos sistemas operativos [Apartado a.] La renovación de la contraseña de cada usuario, según las necesidades de la entidad y de los procedimientos establecidos [Apartado b.1) y 2)] La limitación del tiempo de acceso para todas las cuentas de acceso de acuerdo con las funciones de cada usuario [Apartado b.3)] La eliminación de las cuentas de acceso duplicadas y las relacionadas con el personal que cesa funciones en la entidad, de manera que estas circunstancias no afecten la seguridad de la información ni de los sistemas. [Apartados b.4) y c.]

19 TI Efectos Las situaciones comentadas pueden propiciar que personas no autorizadas puedan lograr acceso a información confidencial mantenida en los sistemas computadorizados y hacer uso indebido de esta. También pueden propiciar la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas, sin que puedan ser detectados a tiempo para fijar responsabilidades. Causas Las situaciones comentadas se debían a que el Gerente de Administración y Control de Documentos no se aseguró de que el contratista responsable de administrar la seguridad hubiera puesto en vigor las opciones de seguridad de acceso lógico que provee el sistema operativo y que estableciera controles adecuados para el mantenimiento de las cuentas de acceso a la red. Tampoco ejerció la supervisión necesaria para asegurarse de que se creara una cuenta por usuario en el sistema. Véanse las recomendaciones 1 y 6.a.4)a). Hallazgo 6 - Falta de controles ambientales y físicos en los cuartos de servidores, y deficiencias relacionadas con el diagrama esquemático de la red Situaciones a. La AFI contaba con dos cuartos de servidores, uno localizado en la Torre Norte del Centro Gubernamental Minillas (Minillas) y el otro en el edificio World Plaza. En el cuarto de Minillas se encontraban cuatro servidores desde los que operaban los programas utilizados para la administración y la seguridad de la red, de los correos electrónicos, del sistema de digitalización de documentos y del sistema Sage MIP. En el cuarto localizado en el edificio World Plaza se encontraban dos servidores desde los que operaban el programa para preparar los respaldos de la información, y los programas y la plataforma para el manejo de ambientes virtuales. En ambos cuartos de servidores había un equipo de almacenamiento de discos Drobo, utilizado para almacenar los respaldos de los datos de la AFI.

20 18 TI En el examen realizado el 29 de abril y el 8 de mayo de 2014 relacionado con los controles ambientales 3 y físicos 4 existentes en ambos cuartos de servidores se identificaron las siguientes deficiencias: 1) Relacionado con los controles ambientales: a) El cuarto de servidores del edificio World Plaza carecía de controles de temperatura y de humedad. Esto, de manera que se evitara la disminución de la vida útil de los equipos por temperaturas mayores de las especificadas por el manufacturero de los equipos o por cambios drásticos de estas. Además, se reduzca la posibilidad de fallas en los servidores debido a la acumulación de electricidad estática en los puntos de humedad baja, o a la formación de condensación en los puntos de humedad alta. b) Los servidores y otros equipos localizados en Minillas tenían polvo acumulado. 2) Relacionado con los controles físicos: a) El cableado de los switches 5, localizado en el cuarto de servidores del edificio World Plaza, no estaba identificado. b) Los equipos mantenidos en ambos cuartos (6 servidores, 5 switches, 2 firewalls 6 y los 2 equipos de almacenamiento de discos) no estaban identificados con número de propiedad. 3 Controles diseñados para proteger las instalaciones y los equipos de eventos inesperados que ocurren naturalmente o son ocasionados por el hombre. Entre estos: tormentas, huracanes, ataques terroristas, vandalismo, descargas eléctricas y fallas de equipo. 4 Controles diseñados para proteger la organización y sus instalaciones contra accesos no autorizados por medio de sistemas de cerraduras, remoción de discos innecesarios y sistemas de protección del perímetro, entre otros. 5 Dispositivos de comunicación central que conectan dos o más segmentos de red y permiten que ocurran transmisiones simultáneas, sin afectar el ancho de banda de la red para una comunicación más eficiente. 6 Sistema que se coloca entre una red de comunicaciones e Internet. La regla básica es asegurar que todas las comunicaciones entre dicha red e Internet se realicen conforme a las políticas de seguridad de la organización que lo instala. Además, estos sistemas suelen incorporar elementos de privacidad y autenticación, entre otros.

21 TI b. El examen del diagrama esquemático de la infraestructura de la red de la AFI, suministrado para examen a nuestros auditores el 7 de marzo de 2014, reveló lo siguiente: 1) La información sobre los servidores estaba incompleta e incorrecta, según se indica: a) No incluía dos servidores físicos ubicados en el cuarto de servidores localizado en el edificio World Plaza. Tampoco incluía cinco servidores virtuales que residían en un servidor físico. b) Incluía dos servidores físicos, a pesar de que la AFI no mantenía servidores con estos nombres. c) Cinco servidores virtuales estaban incorrectamente incluidos en un servidor físico. Estos residían en otro servidor. d) Incluía cinco servidores virtuales que no existían en la red e indicaba que residían en tres servidores físicos. e) Un servidor virtual estaba identificado como servidor físico. 2) La información de los equipos de almacenamiento de discos Drobo estaba incorrecta, según se indica: a) Se incluyeron tres equipos cuando la AFI contaba sólo con dos. b) Todos los equipos estaban localizados en Minillas, según el diagrama; sin embargo, uno de estos estaba en el edificio World Plaza. c) Uno de los equipos era manejado desde un servidor físico, según el diagrama. Sin embargo, los dos equipos de almacenamiento de discos que mantenía la AFI eran manejados a través de dos servidores virtuales 7. 7 Ambos servidores tenían configurados una aplicación utilizada para la preparación de los respaldos que se mantenían en los equipos de almacenamiento de discos Drobo.

22 20 TI ) La localización de uno de los dos firewalls utilizados en la red de la AFI estaba incorrecta. Según el diagrama, ambos equipos estaban localizados en Minillas; sin embargo, uno de estos estaba ubicado en el cuarto de servidores que estaba localizado en el edificio World Plaza. 4) Carecía de la siguiente información importante: a) La configuración básica del equipo de comunicación conectado a la red (el nombre y el IP Address) b) Las interconexiones de los equipos a través de los switches, los firewalls, y los routers 8 instalados en el edificio World Plaza y en Minillas c) El detalle de las computadoras y las impresoras conectadas a la red con sus respectivas identificaciones y localizaciones. Criterios Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece que las entidades gubernamentales tendrán la responsabilidad de desarrollar políticas específicas de seguridad de acuerdo con las características propias de los ambientes de tecnología de la agencia, particularmente sus sistemas de misión crítica. Esto implica que, para garantizar la seguridad en los sistemas de información y la de los equipos computadorizados, es necesario que: Se mantengan los equipos de comunicaciones en un lugar seguro que provea las condiciones ambientales y de seguridad adecuadas. [Apartado a.1)] Se mantenga la documentación y la identificación adecuada del cableado de conexión a la red de forma que se puedan corregir a tiempo problemas de comunicación y detectar cualquier conexión no autorizada. [Apartado a.2)a)] 8 Dispositivo que distribuye tráfico entre redes. La decisión sobre a dónde enviar los datos se realiza a base de la información de nivel de red y tablas de direccionamiento.

23 TI La situación comentada en el apartado a.2)b) se aparta de lo establecido en el Artículo 10(a) de la Ley Núm. 230 y en el Procedimiento para el Control de la Propiedad Mueble, según enmendado, aprobado el 17 de marzo de 2000 por el Director Ejecutivo de la AFI. Las situaciones comentadas en el apartado b. se apartan de lo establecido en la Política TIG-011, Mejores Prácticas de Infraestructura Tecnológica, de la Carta Circular Efectos Las situaciones comentadas en el apartado a.1) pudieran ocasionar daños y deterioros prematuros a los equipos de la red y a los equipos de computadoras, lo que dificultaría obtener el rendimiento máximo en términos de los servicios que ofrecen estos equipos. Lo comentado en los apartados a.2)a) y b. pudiera dificultar la atención de problemas de conexión en un tiempo razonable. La situación comentada en el apartado a.2)b) impide mantener un control adecuado de la propiedad y puede propiciar el uso indebido o la pérdida de la misma, sin que se pueda detectar a tiempo para fijar responsabilidades. Además, dificulta la identificación y la localización de los equipos. También dificulta nuestra gestión fiscalizadora. Las situaciones comentadas en el apartado b. impiden a la AFI tener una comprensión clara y precisa de los componentes de la red, y dificulta mantener control eficiente y efectivo en la administración y en el mantenimiento a la misma. Causas Las situaciones comentadas se atribuyen a que el Gerente de Administración y Control de Documentos no había efectuado gestiones para: Establecer las medidas de control necesarias para la protección ambiental y física de los equipos computadorizados de la AFI y sus respectivas conexiones. [Apartado a.] Cumplir con lo establecido en la Ley Núm. 230 y en el Procedimiento para el Control de la Propiedad Mueble. [Apartado a.2)b)]

24 22 TI Actualizar periódicamente el diagrama esquemático de la infraestructura de la red. [Apartado b.] Véanse las recomendaciones 1, y 6.a.5) y 6). Hallazgo 7 - Falta de instalación y actualización del programa de antivirus en computadoras y servidores y, de actualización del sistema operativo en el servidor principal Situaciones a. El examen realizado entre el 6 y el 23 de junio de 2014 sobre el uso y el control del programa antivirus, en 5 computadoras y en 11 servidores (2 físicos y 9 virtuales) de la red de la AFI reveló que: 1) Una computadora y cinco servidores virtuales no tenían instalado un programa antivirus, que permitiera prevenir y detectar los programas no deseados. Esto, a pesar de que la computadora tenía instalada una herramienta de seguridad que incluía, entre sus opciones, la protección contra virus y spyware. Dicha opción no estaba activada. Además, uno de los servidores estaba configurado como servidor principal, dos albergaban réplicas del mismo, uno albergaba la aplicación principal de la AFI y el restante era utilizado para manejar las instalaciones del edificio World Plaza. 2) Cuatro computadoras y 6 servidores; 2 físicos y 4 virtuales no tenían actualizadas las definiciones 9 (virus definitions file) del programa antivirus instalado en estos. Habían transcurrido entre 40 y 336 días desde la última actualización. En dos de los servidores no se pudo determinar la fecha de la última actualización porque el programa de antivirus instalado no proveía esta información. b. Al 23 de junio de 2014, en el servidor principal no se habían instalado dos actualizaciones críticas de seguridad que corrigen dos vulnerabilidades, lo que podría permitir la ejecución remota 9 Archivos que contienen información sobre las características y el comportamiento de los virus que afectan los sistemas computadorizados.

25 TI de códigos contenidos en archivos o páginas web. El proveedor recomienda que los clientes apliquen estas actualizaciones inmediatamente. Criterios Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular En esta se establece, entre otras cosas, que las agencias deberán instalar controles automáticos para la prevención y la detección de programas no deseados, tales como: virus, spyware 10, adware 11 y actualizaciones (updates) automáticas. Esto implica que, como norma de sana administración, dichos programas deberán estar actualizados, de manera que los mismos puedan detectar y eliminar nuevas amenazas. Las mejores prácticas en el campo de la tecnología de información sugieren que se deben implantar controles que minimicen los riesgos de que los sistemas computadorizados dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Estos controles se establecen, en parte, mediante la instalación de las actualizaciones de seguridad, de manera que se puedan atender las vulnerabilidades descubiertas en los sistemas y evitar nuevas amenazas a los mismos. [Apartado b.] Efectos Las situaciones comentadas en el apartado a. pueden impedir la prevención y la detección de programas no deseados, y permitir que estos puedan propagarse a los sistemas de información. Esto afectaría la integridad, la confidencialidad y la disponibilidad de los sistemas de información computadorizados de la AFI. La situación comentada en el apartado b. puede propiciar que un intruso pueda acceder con privilegios administrativos y lograr el control 10 Programa que se instala inadvertidamente en una computadora y que propaga, sin autorización, información sobre el usuario de la computadora y sus hábitos de utilización de Internet. 11 Programa que se instala inadvertidamente en una computadora y su principal propósito es desplegar ante el usuario anuncios y propaganda.

26 24 TI completo (Full Control) del sistema afectado. De esta manera, podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios de usuario. Causas Las situaciones comentadas se atribuyen, en parte, a que el Gerente de Administración y Control de Documentos: Delegó estas tareas a dos consultores que no contaban con experiencia previa para administrar la seguridad y la red de comunicación de la AFI. No se aseguró de que los consultores revisaran periódicamente si el proceso de actualización del programa de antivirus incluido en la aplicación se efectuaba correctamente. Este proceso estaba automatizado 12. Tampoco se aseguró de que los consultores instalaran en los servidores de la AFI, las últimas actualizaciones de los sistemas operativos emitidas y requeridas por el proveedor. Además, la situación comentada en el apartado a.2) se debió, en parte, a que los consultores no pudieron acceder, durante junio y julio de 2014, la consola para la administración del programa de antivirus porque rechazaba la contraseña de administrador que estos ingresaban. Véanse las recomendaciones 1 y 6.a.4)b). RECOMENDACIONES A la Presidenta de la Junta de Directores de la Autoridad para el Financiamiento de la Infraestructura de Puerto Rico 1. Ver que la Directora Ejecutiva cumpla con las recomendaciones de la 2 a la 6 de este Informe. [Hallazgos del 1 al 7] A la Directora Ejecutiva de la Autoridad para el Financiamiento de la Infraestructura de Puerto Rico 2. Asegurarse de que se realice y se documente un análisis de riesgos que considere los sistemas de información computadorizados que 12 Los usuarios no podían efectuar la actualización del antivirus porque no tenían las opciones Liveupdate y Fix habilitadas.

27 TI operan en la AFI, según se establece en las políticas TIG-003 y TIG-015. El informe, producto de este análisis de riesgos, debe ser remitido para su revisión y aprobación. [Hallazgo 1-a.] 3. Asegurarse de que se realice y se documente un análisis de impacto de negocio según se establece en la Política TIG-015, y de que el mismo sea remitido para su revisión y aprobación. [Hallazgo 1-b.] 4. Formalizar un acuerdo escrito que incluya los términos y las condiciones bajo los cuales la AFI se incorporará al plan de continuidad de negocios del BGF. En este se deberán incluir, en detalle, los servicios para la continuidad de las operaciones que serán provistos, a través del BGF, o considerar desarrollar, aprobar e implantar su propio plan de continuidad de negocios. En caso de implantar su propio plan, una vez sea aprobado, tomar las medidas necesarias para asegurarse de que se mantenga actualizado y se conserve copia en un lugar seguro fuera de los predios de la AFI. Además, asegurarse de que se distribuya a los funcionarios y a los empleados concernientes, y de que se realicen pruebas periódicamente para garantizar su efectividad. [Hallazgo 2-a.] 5. Formalizar un acuerdo escrito que incluya los términos y las condiciones bajo los cuales la AFI utilizará los servicios de recuperación provistos por una compañía contratada por el BGF en caso de desastres o emergencias, o considerar formalizar acuerdos con otra entidad para establecer un centro alterno en las instalaciones de esta. [Hallazgo 2-b.] 6. Ejercer una supervisión efectiva sobre el Principal Oficial Financiero para que: a. Se asegure de que el Gerente de Administración y Control de Documentos: 1) Cumpla con lo establecido en el Procedimiento para el Control de la Propiedad Mueble y en la Ley 230 relacionado con el control y el manejo de los equipos de computadoras. [Hallazgo 3-a. del 1) al 4)]

28 26 TI ) Prepare y mantenga un registro completo y actualizado de los programas adquiridos por la AFI e instalados en los servidores y las computadoras de esta que contenga, entre otra información, el número de licencia y el costo de los programas instalados, el nombre del usuario, el número de propiedad y la descripción de la computadora donde están instalados los mismos. Esto, con el fin de mantener un inventario de estos y detectar la instalación de programas no autorizados. [Hallazgo 3-a.5) y 6)] 3) Prepare y remita para aprobación de la Directora Ejecutiva las normas o los procedimientos necesarios para reglamentar el proceso de crear, mantener y otorgar privilegios a las cuentas de acceso del sistema Sage MIP. [Hallazgo 4] 4) Imparta instrucciones a los contratistas responsables de administrar la seguridad de los sistemas de información computadorizados de la AFI para que: a) Efectúen las modificaciones en los parámetros de seguridad del sistema operativo de los servidores de la red para: (1) Requerir un término mínimo de días para que el sistema le permita a los usuarios cambiar la contraseña nuevamente. [Hallazgo 5-a.] (2) Modificar los parámetros del sistema para establecer que las contraseñas de las cuentas de acceso expiren y puedan ser cambiadas. [Hallazgo 5-b.1) y 2)] (3) Restringir el horario de acceso a los recursos de la red, según las funciones y las responsabilidades de cada usuario, y activar en los servidores la opción para desconectar automáticamente las cuentas de acceso cuando estas son utilizadas para acceder los recursos de la red fuera de horas laborales. [Hallazgo 5-b.3)]

29 TI (4) Efectuar las modificaciones necesarias a los sistemas, de manera que se corrija y no se repita la situación comentada en el Hallazgo 5-b.4). (5) Desactivar las cuentas de acceso de los exempleados, excontratistas y cualquier otro personal externo que concluya sus labores en la AFI, y ver que, en lo sucesivo, las cuentas se desactiven en el momento en que el usuario cese sus funciones. [Hallazgo 5-c.] b) Evalúen e instalen el programa de antivirus y las actualizaciones de seguridad, incluidas las emitidas y requeridas por el proveedor de los sistemas, para mantener los mismos actualizados, y así asegurar un funcionamiento más efectivo y eficaz de los sistemas de información. [Hallazgo 7] 5) Establezcan las medidas y los controles necesarios para corregir las situaciones indicadas en el Hallazgo 6-a. Esto, de manera que se asegure de que los servidores y los equipos de comunicaciones de la AFI se mantengan en lugares donde estén debidamente protegidos contra posibles daños causados por condiciones ambientales y físicas, que puedan afectar la disponibilidad y el rendimiento de estos equipos. 6) Actualicen el diagrama esquemático de la red de la ÀFI para corregir las situaciones comentadas, y se asegure de que el mismo incluya la interconexión de los equipos (switches, firewalls, servidores, entre otros), la descripción del equipo y su configuración básica (modelo, nombre, IP Address), y el sistema operativo de las computadoras conectadas a la red. Además, que periódicamente se revise el mismo para que se mantenga actualizado. [Hallazgo 6-b.] b. Se asegure de que en el sistema Sage MIP: 1) Se evalúen los controles de acceso otorgados a los usuarios del sistema y se efectúen las gestiones necesarias para

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 -

INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - INFORME DE AUDITORÍA TI-15-03 8 de diciembre de 2014 Oficina del Comisionado de Seguros de Puerto Rico División de Informática (Unidad 5363 - Auditoría 13826) Período auditado: 1 de abril al 6 de diciembre

Más detalles

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría

INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría INFORME DE AUDITORÍA TI-12-10 26 de marzo de 2012 Oficina del Comisionado de Asuntos Municipales División de Informática (Unidad 5374 - Auditoría 13359) Período auditado: 9 de septiembre de 2009 al 28

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

Estatuto de Auditoría Interna

Estatuto de Auditoría Interna Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo

Más detalles

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento

Más detalles

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,

Más detalles

Controles Internos Mínimos que Deben Adoptar las Cooperativas de Ahorro y Crédito

Controles Internos Mínimos que Deben Adoptar las Cooperativas de Ahorro y Crédito Mínimos que Deben Adoptar las Cooperativas de Ahorro y Crédito La Junta deberá adoptar medidas de controles internos que sean sometidas por el Presidente Ejecutivo y aquellas requeridas por la Corporación

Más detalles

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro

INFORME DE AUDITORÍA TI-10-12 16 de febrero de 2010 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro INFORME DE AUDITORÍA TI-10-12 Agencia Estatal para el Manejo de Emergencias y Administración de Desastres de Puerto Rico Centro de Sistemas de Información () Período auditado: 17 de marzo al 28 de octubre

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO

ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO EJECUTADO POR LA UNIDAD EJECUTORA CENTRAL DURANTE EL PERÍODO DEL [Fecha] AL [Fecha] 1- Consideraciones básicas Estos Términos de Referencia

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

GLOSARIO DE TÉRMINOS

GLOSARIO DE TÉRMINOS GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados

Más detalles

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información

INFORME DE AUDITORÍA TI-12-08 19 de marzo de 2012 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información INFORME DE AUDITORÍA TI-12-08 Instituto de Ciencias Forenses de Puerto Rico Centro de Procesamiento Electrónico de Información () Período auditado: 23 de diciembre de 2008 al 18 de noviembre de 2009 1

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Su conducción recaerá sobre el Coordinador del Proyecto, quien será el representante de éste ante la CNBS y el Comité de Alto Nivel.

Su conducción recaerá sobre el Coordinador del Proyecto, quien será el representante de éste ante la CNBS y el Comité de Alto Nivel. Unidad Coordinadora del Proyecto (UCP) La Unidad Coordinadora del Proyecto es el órgano de Línea del Comité de Alto Nivel en la ejecución del Proyecto y reporta a la presidencia de la Comisión, por encontrarse

Más detalles

SEMANA 12 SEGURIDAD EN UNA RED

SEMANA 12 SEGURIDAD EN UNA RED SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de

Más detalles

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales

Más detalles

INFORME Nº 023-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

INFORME Nº 023-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE INFORME Nº 023-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición de una solución de optimización WAN, es el Departamento

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

Master en Gestion de la Calidad

Master en Gestion de la Calidad Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro

Más detalles

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...

Más detalles

Política de la base datos WHOIS para nombres de dominio.eu

Política de la base datos WHOIS para nombres de dominio.eu Política de la base datos WHOIS para nombres de dominio.eu 1/7 DEFINICIONES En este documento se usan los mismos términos definidos en los Términos y Condiciones y/o las normas para la solución de controversias

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

Sistemas de información de laboratorio

Sistemas de información de laboratorio Sistemas de información de laboratorio Version 3.0, April 2009 2008 Pharmaceutical Product Development, Inc. Todos los derechos reservados. Sistemas de información de laboratorio También llamados SIL En

Más detalles

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

DECLARACIÓN DE PRIVACIDAD DE FONOWEB DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones

Más detalles

Haga clic en los recuadros donde indica la mano y regrese al inicio del capítulo al hacer clic en el título de la sección donde se encuentra

Haga clic en los recuadros donde indica la mano y regrese al inicio del capítulo al hacer clic en el título de la sección donde se encuentra Cómo gestiono el Plan Anual de Adquisiciones de mi Entidad en el SECOP II? Crear equipo Crear Plan Anual de Adquisiciones Publicar Plan Anual de Adquisiciones Modificar Plan Anual de Adquisiciones Buscar

Más detalles

Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR. Proceso de Compras en los municipios

Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR. Proceso de Compras en los municipios Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Proceso de Compras en los municipios. Esta presentación tiene el propósito primordial, entre otras cosas, de compartir información y estrategias

Más detalles

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.

Más detalles

Metodología básica de gestión de proyectos. Octubre de 2003

Metodología básica de gestión de proyectos. Octubre de 2003 Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución

Más detalles

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A Bogotá D.C. 2011 CONTENIDO I. Aspectos Generales 1.1 Objetivo del Comité de Auditoría 1.2 Normatividad Vigente para el Comité de Auditoría

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software Preliminares Para efectos del presente documento, a la Entidad de Tecnología e Informática (Dirección

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

NORMA INTERNACIONAL DE AUDITORÍA 265 COMUNICACIÓN DE DEFICIENCIAS EN EL CONTROL INTERNO A LOS ENCARGADOS DEL GOBIERNO CORPORATIVO Y A LA

NORMA INTERNACIONAL DE AUDITORÍA 265 COMUNICACIÓN DE DEFICIENCIAS EN EL CONTROL INTERNO A LOS ENCARGADOS DEL GOBIERNO CORPORATIVO Y A LA NORMA INTERNACIONAL DE AUDITORÍA 265 COMUNICACIÓN DE DEFICIENCIAS EN EL CONTROL INTERNO A LOS ENCARGADOS DEL GOBIERNO CORPORATIVO Y A LA ADMINISTRACIÓN (En vigor para auditorías de estados financieros

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

PROCEDIMIENTO PARA CONTROL DE REGISTROS

PROCEDIMIENTO PARA CONTROL DE REGISTROS Código: ES-MC-PR02 Página: 1 de 5 1. OBJETIVO Definir las actividades y controles necesarios para la identificación, el almacenamiento, la protección, la recuperación, el tiempo de retención y la disposición

Más detalles

Guía para la Administración de Software

Guía para la Administración de Software UNIVERSIDAD INTERAMERICANA DE PUERTO RICO RECINTO DE PONCE CENTRO DE SISTEMAS DE INFORMACION Y TELECOMUNICACIONES Guía para la Administración de Software VERSION 1.0 REVISADA JULIO DE 1999 CSAS-D001-07/99

Más detalles

INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811)

INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811) INFORME DE AUDITORÍA TI-15-07 17 de febrero de 2015 Administración de Terrenos de Puerto Rico Centro de Información (Unidad 5005 - Auditoría 13811) Período auditado: 18 de febrero de 2013 al 19 de febrero

Más detalles

SERVICIO DE DESARROLLO DE LAS EMPRESAS PÚBLICAS PRODUCTIVAS SEDEM REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO

SERVICIO DE DESARROLLO DE LAS EMPRESAS PÚBLICAS PRODUCTIVAS SEDEM REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO SERVICIO DE DESARROLLO DE LAS EMPRESAS PÚBLICAS PRODUCTIVAS SEDEM REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO La Paz, Noviembre 2010 SERVICIO DE DESARROLLO DE LAS EMPRESAS PÚBLICAS PRODUCTIVAS - SEDEM

Más detalles

COL-ADM-011 PROCEDIMIENTO DE SISTEMAS

COL-ADM-011 PROCEDIMIENTO DE SISTEMAS PROCEDIMIENTO DE SISTEMAS Edna Yineth Claudia Claudia 1 28/07/2015 Piquetero Romero Romero REV. PREPARO REVISO APROBO FECHA HOJA 2 de 6 PROCEDIMIENTO DE SISTEMAS 1. OBJETIVO Establecer la metodología para

Más detalles

INFORME Nº 033-2010-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

INFORME Nº 033-2010-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE INFORME Nº 033-2010-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la renovación del servicio de soporte, mantenimiento y actualización

Más detalles

SCT3000 95. Software para la calibración de transductores de fuerza. Versión 3.5. Microtest S.A. microtes@arrakis.es

SCT3000 95. Software para la calibración de transductores de fuerza. Versión 3.5. Microtest S.A. microtes@arrakis.es SCT3000 95 Versión 3.5 Software para la calibración de transductores de fuerza. Microtest S.A. microtes@arrakis.es Introducción El programa SCT3000 95, es un sistema diseñado para la calibración automática

Más detalles

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

COLEGIO DE CONTADORES PUBLICOS DEL DISTRITO CAPITAL DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA. No. 2

COLEGIO DE CONTADORES PUBLICOS DEL DISTRITO CAPITAL DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA. No. 2 DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA No. 2 SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE GENERADORES DE CONFIANZA!!! 1 SOLICITUD DE INFORMACION AL ABOGADO DEL CLIENTE INTRODUCCION 1.

Más detalles

DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE

DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE DECLARACIÓN SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA DNA 2. SOLICITUD DE INFORMACIÓN AL ABOGADO DEL CLIENTE INTRODUCCION 1. Esta declaración proporciona una guía de los procedimientos que un contador

Más detalles

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD Fecha última revisión: Diciembre 2010 Tareas Programadas TAREAS PROGRAMADAS... 3 LAS TAREAS PROGRAMADAS EN GOTELGEST.NET... 4 A) DAR DE ALTA UN USUARIO...

Más detalles

ATENCIÓN DE SOLICITUDES DE SERVICIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y SISTEMAS ESPECIALES

ATENCIÓN DE SOLICITUDES DE SERVICIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y SISTEMAS ESPECIALES Hoja: 1 de 9 ATENCIÓN DE SOLICITUDES DE SERVICIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y SISTEMAS Elaboró: Revisó: Autorizó: Puesto Coordinación de la Mesa de Servicio Jefatura de Gestión y

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC

ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC RESUMEN EJECUTIVO Es un método ideal para que cualquier departamento de TI logre realizar respaldos y restauraciones más rápidas

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

POLITICA DE PRIVACIDAD DE LA PAGINA WEB

POLITICA DE PRIVACIDAD DE LA PAGINA WEB POLITICA DE PRIVACIDAD DE LA PAGINA WEB operamos el website de Simple Solutions.com y respetamos la privacidad de los individuos que utilizan este website. A continuación detallamos cómo utilizamos la

Más detalles

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero. ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE

Más detalles

CASO PRÁCTICO EVALUACIÓN DEL PROCESO DE TESORERÍA

CASO PRÁCTICO EVALUACIÓN DEL PROCESO DE TESORERÍA CASO PRÁCTICO EVALUACIÓN DEL PROCESO DE TESORERÍA I. ALCANCE La Alta Gerencia de la Compañía ha determinado el proceso de Tesorería como uno de los procesos críticos para someter a evaluación el control

Más detalles

CONTABILIZACIÓN DE INVERSIONES EN ASOCIADAS. NEC 20 Norma Ecuatoriana de Contabilidad 20

CONTABILIZACIÓN DE INVERSIONES EN ASOCIADAS. NEC 20 Norma Ecuatoriana de Contabilidad 20 CONTABILIZACIÓN DE INVERSIONES EN ASOCIADAS CONTENIDO NEC 20 Norma Ecuatoriana de Contabilidad 20 Contabilización de Inversiones en Asociadas Alcance Definiciones Influencia significativa Métodos de contabilidad

Más detalles

DE VIDA PARA EL DESARROLLO DE SISTEMAS

DE VIDA PARA EL DESARROLLO DE SISTEMAS MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso

Más detalles

INFORME N 009-2015-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

INFORME N 009-2015-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE INFORME N 009-2015-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición de licencias de un software para el intercambio

Más detalles

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7 PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas

Más detalles

Política de Control de Hojas de Cálculo. Prorrectoría

Política de Control de Hojas de Cálculo. Prorrectoría Política de Control de Hojas de Cálculo Prorrectoría ÍNDICE O CONTENIDO 1. PROPOSITO DE LA POLÍTICA... 3 2. ALCANCE... 3 3. GLOSARIO... 3 4. DESCRIPCIÓN DE LA POLÍTICA... 5 Control de cambios... 5 Control

Más detalles

Infraestructura Tecnológica. Sesión 1: Infraestructura de servidores

Infraestructura Tecnológica. Sesión 1: Infraestructura de servidores Infraestructura Tecnológica Sesión 1: Infraestructura de servidores Contextualización La infraestructura de cualquier servicio o mecanismo es importante, define el funcionamiento de los elementos en que

Más detalles

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO OBJETO. El presente Documento de Especificaciones Técnicas tiene por objeto establecer los requisitos que debe cumplir el proceso de Atención

Más detalles

NORMA INTERNACIONAL DE AUDITORÍA 501 EVIDENCIA DE AUDITORÍA CONSIDERACIONES ESPECÍFICAS PARA DETERMINADAS ÁREAS

NORMA INTERNACIONAL DE AUDITORÍA 501 EVIDENCIA DE AUDITORÍA CONSIDERACIONES ESPECÍFICAS PARA DETERMINADAS ÁREAS NORMA INTERNACIONAL DE AUDITORÍA 501 EVIDENCIA DE AUDITORÍA CONSIDERACIONES ESPECÍFICAS PARA DETERMINADAS ÁREAS (NIA-ES 501) (adaptada para su aplicación en España mediante Resolución del Instituto de

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas. CAPITULO 1-7 (Bancos y Financieras) MATERIA: TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios

Más detalles

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad

Más detalles

GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO

GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO GOBIERNO DE PUERTO RICO OFICINA DE GERENCIA Y PRESUPUESTO PROGRAMA DE ASISTENCIA TECNOLÓGICA DE PUERTO RICO Artículo 1.- Título Este reglamento se conocerá como Reglamento para Garantizar la Accesibilidad

Más detalles

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS Objetivo Este subproceso establece las actividades que se realizan para la planeación y control de respaldos y desastres relacionados con los recursos informáticos existentes en el Senado de La República

Más detalles

INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría

INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría INFORME DE AUDITORÍA TI-14-18 2 de mayo de 2014 Administración de Servicios Generales de Puerto Rico Oficina de Informática (Unidad 5040 - Auditoría 13751) Período auditado: 18 de junio de 2012 al 30 de

Más detalles

OFICINA DEL ABOGADO GENERAL

OFICINA DEL ABOGADO GENERAL Lineamientos para la Asignación, Uso, Mantenimiento y Resguardo de los Vehículos Asignados a Funcionarios y Servicios de la Universidad Autónoma del Estado de México. Lineamientos para la Asignación, Uso,

Más detalles

Tribunal Registral Administrativo

Tribunal Registral Administrativo Tribunal Registral Administrativo MANUAL DE USO E INSTALACIÓN DE PROGRAMAS DE CÓMPUTO 18 JUNIO 2015 (APROBADO EN SESIÓN N. 26-2015 DEL 1 DE JULIO DE 2015) Contenido 1. INTRODUCCIÓN... 3 2. ALCANCE... 3

Más detalles

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS TABLA DE CONTENIDO

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS TABLA DE CONTENIDO Página 1 de 10 TABLA DE CONTENIDO 1. OBJETIVO... 2 2. ALCANCE... 2 3. DEFINICIONES Y ABREVIATURAS... 2 4. DOCUMENTOS APLICABLES... 3 5. DESCRIPCION DE ACTIVIDADES... 4 6. ANEXOS... 8 7. CONTROL DE CAMBIOS...

Más detalles

3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire.

3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire. 3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire. 3.1 Descripción general de los pasos de la auditoría. Las auditorías comprenderán tres etapas

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

PROCEDIMIENTO AUDITORÍA INTERNA

PROCEDIMIENTO AUDITORÍA INTERNA PROCEDIMIENTO AUDITORÍA INTERNA CONTENIDO 1. OBJETO... 2 2. ALCANCE... 2 3. DEFINICIONES... 2 5. PROCEDIMIENTO... 4 5.1 Planificación de la Auditoría... 4 5.2 Calificación de Auditores... 4 5.3 Preparación

Más detalles

IAP 1003 - ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS

IAP 1003 - ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS IAP 1003 - ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS Introducción 1. El propósito de esta Declaración es prestar apoyo al auditor a la implantación de la NIA 400, "Evaluación del Riesgo y

Más detalles

IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN

IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN Introducción 1. Las Normas Internacionales de Auditoría (NIA) se aplican a la auditoría de la información

Más detalles

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: Cloud Security Alliance Política de Privacidad Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: La información

Más detalles

POLITICA DE PRIVACIDAD. www.tuboleta.com

POLITICA DE PRIVACIDAD. www.tuboleta.com http://vive.tuboleta.com/content/privatepolicy.aspx POLITICA DE PRIVACIDAD Tu Boleta respeta la privacidad de todos sus clientes y contactos comerciales, y está comprometido a salvaguardar la información

Más detalles

AUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP

AUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación

Más detalles

POLÍTICAS DE USO DE LA RED INALÁMBRICA CETI

POLÍTICAS DE USO DE LA RED INALÁMBRICA CETI Generalidades. POLÍTICAS DE USO DE LA RED INALÁMBRICA CETI El CETI, a través de la Oficina de Tecnologías en Informática y Computación (OTIC), brinda a la comunidad académica y estudiantil el servicio

Más detalles

PROCEDIMIENTO VERSION: 01 ADMINISTRACIÓN DE HARDWARE, SOFTWARE Y COMUNICACIONES INFORMÁTICAS PROCESO GESTION DE LA EDUCACIÓN

PROCEDIMIENTO VERSION: 01 ADMINISTRACIÓN DE HARDWARE, SOFTWARE Y COMUNICACIONES INFORMÁTICAS PROCESO GESTION DE LA EDUCACIÓN PROCESO GESTION DE LA EDUCACIÓN PAGINA: 1 de 9 1 OBJETIVO Planear, desarrollar y controlar las actividades relacionadas con los recursos físicos de tecnología e informática para brindar el correcto, oportuno

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Instituto Nacional de Conservación y Desarrollo Forestal, Áreas Protegidas y Vida Silvestre

Instituto Nacional de Conservación y Desarrollo Forestal, Áreas Protegidas y Vida Silvestre 1.-PROPOSITO DEL MANUAL El presente manual de Auditoria Técnica tiene como propósito el de proveer al Departamento un sistema que le permita realizar actividades de Fiscalización de Regionales. Por medio

Más detalles

(TEXTO DE APROBACION FINAL POR LA CAMARA) (16 DE ABRIL DE 2015) ESTADO LIBRE ASOCIADO DE PUERTO RICO CÁMARA DE REPRESENTANTES. P. de la C.

(TEXTO DE APROBACION FINAL POR LA CAMARA) (16 DE ABRIL DE 2015) ESTADO LIBRE ASOCIADO DE PUERTO RICO CÁMARA DE REPRESENTANTES. P. de la C. (TEXTO DE APROBACION FINAL POR LA CAMARA) (6 DE ABRIL DE 0) ESTADO LIBRE ASOCIADO DE PUERTO RICO 7ma. Asamblea Legislativa ta. Sesión Ordinaria CÁMARA DE REPRESENTANTES P. de la C. DE NOVIEMBRE DE 0 Presentado

Más detalles

PROGRAMA CONSOLIDACIÓN DE LA GESTIÓN FISCAL Y MUNICIPAL CREDITO BID-2032/BL-HO

PROGRAMA CONSOLIDACIÓN DE LA GESTIÓN FISCAL Y MUNICIPAL CREDITO BID-2032/BL-HO PROGRAMA CONSOLIDACIÓN DE LA GESTIÓN FISCAL Y MUNICIPAL CREDITO BID-2032/BL-HO MESA DE AYUDA I. Antecedentes 1. Generales del Proyecto El Gobierno de la República a través de la Secretaria de Finanzas

Más detalles

Instructivo Servicios de Celular

Instructivo Servicios de Celular 1. Objeto Dar a conocer las políticas de manejo de la comunicación móvil en la SOCIEDAD NACIONAL DE LA CRUZ ROJA para los usuarios que por razón de su función, cargos o lineamientos de la Institución requieren

Más detalles

MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009

MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009 MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA MANUAL DE PROCESOS OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO.0062-2009 ENERO 2009 INDICE PÁGINA PORTADA 01 ÍNDICE 02 INTRODUCCIÓN 03 MANUAL DE PROCESOS

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

Firma: Fecha: Marzo de 2008

Firma: Fecha: Marzo de 2008 Procedimiento General Tratamiento de No Conformidades, Producto no conforme, Acciones Correctivas y Acciones Preventivas (PG 03) Elaborado por: Jaime Larraín Responsable de calidad Revisado por: Felipe

Más detalles

INEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública

INEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública INEI Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública RESOLUCION JEFATURAL Nº 386-2002-INEI Lima, 31 de diciembre

Más detalles