INFORME DE AUDITORÍA TI de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información

Transcripción

1 INFORME DE AUDITORÍA TI de mayo de 2014 Oficina del Gobernador Oficina de Gerencia y Presupuesto Área de Tecnología de Información Gubernamental (Unidad Auditoría 13752) Período auditado: 18 de junio de 2012 al 30 de abril de 2013

2

3 TI CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 3 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 6 OPINIÓN Y HALLAZGOS Deficiencias relacionadas con el otorgamiento y la administración de los contratos para el desarrollo y la implantación de la Aplicación de Control del Gasto Público - Budget vs Actual y de la Aplicación de Procesamiento de Planteamientos Falta de reglamentación, estándares y requerimientos de cumplimiento relacionados con las transacciones electrónicas; de reglamentación relacionada con los certificados y los comprobantes; de inspecciones y seguimientos periódicos para asegurar el acceso de información a las personas con impedimentos; y de seguimiento a las agencias para lograr que cumplieran con remitir el PAART Falta de acuerdos interagenciales sobre los servicios provistos por la OGP a las agencias Deficiencias relacionadas con los parámetros de seguridad de los servidores Falta de adiestramientos relacionados con la seguridad de los sistemas de información computadorizados y de acuerdos de confidencialidad firmados por los usuarios RECOMENDACIONES AGRADECIMIENTO ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 40

4 2 TI Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 16 de mayo de 2014 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones del Área de Tecnología de Información Gubernamental 1 (Área de TIG) de la Oficina de Gerencia y Presupuesto (OGP), adscrita a la Oficina del Gobernador, para determinar si se efectuaron de acuerdo con las normas generalmente aceptadas en este campo, y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 18 de junio de 2012 al 30 de abril de En algunos aspectos examinamos transacciones de fechas anteriores. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. 1 Las oficinas del Área de TIG de la OGP estaban localizadas en la Torre Norte del Centro Gubernamental Minillas en Santurce. Debido a la emergencia ocurrida por la contaminación con asbesto, dichas instalaciones estaban clausuradas desde mayo de Por esto, no tuvimos acceso a los documentos, los servidores y demás equipos computadorizados que se mantenían en dichas instalaciones.

5 TI CONTENIDO DEL INFORME Este Informe contiene cinco hallazgos sobre el resultado del examen que realizamos de los controles internos establecidos para la administración del programa de seguridad, el acceso lógico y los servicios profesionales para la implantación y el desarrollo de aplicaciones, y de las iniciativas para la consecución de la política pública de gobierno electrónico. El mismo está disponible en nuestra página en Internet: INFORMACIÓN SOBRE LA UNIDAD AUDITADA La OGP fue creada mediante la Ley Núm. 147 del 18 de junio de 1980, Ley Orgánica de la Oficina de Gerencia y Presupuesto, según enmendada, y está adscrita a la Oficina del Gobernador. La OGP se creó como un organismo asesor y auxiliar para ayudar al Gobernador en el descargue de sus funciones y responsabilidades relacionadas con la dirección y la administración general. Esta asesora al Gobernador, a la Asamblea Legislativa de Puerto Rico (Asamblea Legislativa) y a los organismos gubernamentales en los asuntos de índole presupuestario, programáticos y de gerencia administrativa, así como en asuntos de naturaleza fiscal relativos a sus funciones. La OGP tiene la función de velar por que la ejecución y la administración del presupuesto, por parte de los organismos públicos, se conduzcan de acuerdo con las leyes y las normas de sana administración fiscal, y en armonía con los propósitos programáticos para los cuales se asignan o proveen los fondos públicos. Además, tiene la responsabilidad de llevar a cabo las funciones necesarias para que el Gobernador remita a la Asamblea Legislativa el Presupuesto Anual de Mejoras Capitales y Gastos de Funcionamiento del Gobierno de Puerto Rico. También tiene que evaluar los programas y las actividades de los organismos públicos en términos de economía, eficiencia y efectividad para remitir al Gobernador informes con recomendaciones para la implantación de las mismas. Entre las facultades relacionadas con la formulación del presupuesto, la OGP tiene la facultad de requerir a los organismos del Gobierno que

6 4 TI remitan informes periódicos sobre el estado de las asignaciones que reflejen los desembolsos, las obligaciones, los balances disponibles y las proyecciones de gastos. Además, la OGP es responsable de adoptar la política pública para administrar los sistemas de información, implantar las normas y los procedimientos relativos al uso de las tecnologías de la información a nivel gubernamental y ofrecer asesoramiento a las agencias para actualizar y desarrollar las transacciones gubernamentales electrónicas para asegurar el funcionamiento de las mismas. Mediante la Ley , Ley de Gobierno Electrónico, según enmendada, se le otorgó a la OGP la encomienda de facilitar el acceso a la información y a los servicios gubernamentales de acuerdo con las disposiciones aplicables relativas a la protección de la privacidad, la seguridad, las políticas de disponibilidad de información y con garantías de acceso a personas con impedimentos. La OGP es dirigida por un Director nombrado por el Gobernador. Está compuesta por la Oficina del Director y las siguientes áreas organizacionales: Administración, Manejo de Recursos, Legislación, Tecnología de Información Gubernamental, Oficina del Representante del Gobernador (GAR, por sus siglas en inglés) ante la Agencia Federal para el Manejo de Emergencias (FEMA, por sus siglas en inglés) y la Oficina de Servicios a los Exgobernadores. El Área de TIG es responsable del desarrollo de los sistemas de información del Gobierno, de acuerdo con los objetivos que se establecen en la Ley Está a cargo de la incorporación de tecnologías de información en las instituciones públicas y de agilizar los procesos de administración gubernamental mediante la utilización de mecanismos tecnológicos. El Boletín Administrativo OE del 24 de febrero de 2009, mediante Orden Ejecutiva, creó la Oficina del Principal Ejecutivo de Información de Puerto Rico (OPEI), adscrita a la Oficina del Gobernador, a la cual se le ha encomendado el objetivo de unificar los sistemas de

7 TI tecnología del Gobierno. En dicha Orden Ejecutiva se estableció que la OPEI asistiría a la OGP con el desarrollo de presupuestos de tecnología de información y comunicación para la Rama Ejecutiva. Mediante la Orden Administrativa del 15 de abril de 2013, el Director de la OGP aprobó una nueva estructuración del Área de TIG. Con esta se creó el Área de Tecnología de Información Central que se encarga de las comunicaciones y los esfuerzos de eficiencia y desarrollo tecnológico del Gobierno, el portal, las comunicaciones interagenciales y los sistemas de información geográfica. Esta área es coordinada por la OPEI en lo funcional y estratégico; y por la OGP en lo administrativo. También se creó el Área de Tecnología de Información Gerencial y Presupuestaria la cual atenderá las necesidades y los objetivos programáticos de la OGP. En los años fiscales del al , la OGP contó con recursos provenientes de resoluciones conjuntas del presupuesto general y del Fondo de Estabilización Fiscal 2 por $48,166,000. De estos, $10,228,000 fueron asignados al Área de TIG. Los recursos presupuestarios asignados al Área de TIG se destinan, entre otras cosas, para el pago de licencias de todos los organismos gubernamentales, el pago de líneas telefónicas dedicadas a sistemas tecnológicos, la realización de proyectos para mejorar los servicios en diversas agencias, y para ampliar y mejorar los servicios en línea a través del portal del Gobierno. El ANEJO contiene una relación de los funcionarios principales de la OGP que actuaron durante el período auditado. La OGP cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: Esta página provee información acerca de la entidad, los servicios que presta y el acceso a las aplicaciones principales que están disponibles para los usuarios de las agencias. Además, la OGP administra el portal del Gobierno Este provee acceso a los servicios en línea que provee el Gobierno a la 2 Los recursos del Fondo de Estabilización Fiscal son producto de la Ley , Ley del Fondo de Interés Apremiante, según enmendada.

8 6 TI ciudadanía. La administración de este portal es compartida con el OPEI quien coordina junto con el Área de TIG los servicios que se han de incluir en dicho portal. COMUNICACIÓN CON LA GERENCIA Las situaciones comentadas en los hallazgos de este Informe fueron remitidas al Lcdo. Carlos D. Rivas Quiñones, Director de la OGP, mediante cartas de nuestros auditores del 22 de mayo y del 3 de junio de En las referidas cartas se incluyeron detalles sobre las situaciones comentadas. Mediante cartas del 7 y 12 de junio de 2013, la Sra. Marie F. López Soto, Asesora en Gerencia Gubernamental, y el Sr. Andrés Colón Pérez, Director de Tecnología de Información Central, remitieron sus comentarios sobre las situaciones incluidas en las cartas de nuestros auditores. Sus comentarios fueron considerados en la redacción del borrador de este Informe. El borrador de los hallazgos de este Informe se remitió al Director de la OGP por carta del 11 de marzo de Con el mismo propósito, remitimos dicho borrador al Sr. Juan C. Pavía Vidal, ex-director de la OGP. Además, mediante cartas de la misma fecha, remitimos el borrador de los hallazgos 1 y 2 a la CPA María Sánchez Brás, ex-directora de la OGP, y del Hallazgo 2 a la Ing. Ileana I. Fas Pacheco, al CPA José G. Dávila Matos y al CPA Armando Valdés Prieto, exdirectores de la OGP, por correo certificado con acuse de recibo, a las direcciones provistas por la OGP. En el borrador de los hallazgos se indicaron datos específicos, tales como: nombres de servidores y su localización, que por seguridad no se incluyen en este Informe. El 26 de marzo de 2014 el Lcdo. Luis D. Rosa Velázquez, Subdirector de la OGP, solicitó una prórroga para remitir los comentarios a dicho borrador. El 27 de marzo le concedimos la prórroga para remitir sus comentarios hasta el 7 de abril. Ese mismo día, el licenciado Rosa Velázquez solicitó una prórroga adicional la cual se le concedió hasta

9 TI el 14 de abril. El licenciado Rosa Velázquez contestó el borrador mediante carta del 14 de abril recibida por correo electrónico el 22 de abril. En los hallazgos se incluyeron algunos de sus comentarios. El señor Pavía Vidal, ex-director de la OGP, contestó el referido borrador mediante carta del 26 de marzo de 2014, recibida por correo electrónico el 31 de marzo. En los hallazgos del 1 al 4 se incluyeron algunos de sus comentarios. La ingeniera Fas Pacheco, ex-directora de la OGP, contestó el borrador del Hallazgo 2 mediante carta del 24 de marzo de El 1 de abril de 2014 se enviaron cartas de seguimiento a la señora Sánchez Brás, y a los señores Dávila Matos y Valdés Prieto, y se les concedió hasta el 8 de abril para remitir sus comentarios. El 23 de abril se recibió en la Oficina, devuelta por el correo, la carta con el borrador del Hallazgo 2 que le fue remitido al señor Dávila Matos, debido a que la misma no fue reclamada. La señora Sánchez Brás y el señor Valdés Prieto no contestaron el borrador de los hallazgos remitidos. OPINIÓN Y HALLAZGOS Las pruebas efectuadas revelaron las operaciones del Área de TIG, en lo que concierne a los controles internos establecidos para la administración del programa de seguridad, el acceso lógico, los servicios profesionales para la implantación y el desarrollo de aplicaciones, y de las iniciativas para la consecución de la política pública de gobierno electrónico, se realizaron sustancialmente conforme a las normas generalmente aceptadas en este campo, excepto por las situaciones que se comentan en los hallazgos del 1 al 5 que se comentan a continuación. Hallazgo 1 - Deficiencias relacionadas con el otorgamiento y la administración de los contratos para el desarrollo y la implantación de la Aplicación de Control del Gasto Público - Budget vs Actual y de la Aplicación de Procesamiento de Planteamientos Situaciones a. El 15 de julio de 2010 la OGP otorgó el Contrato a una compañía para la implantación de la Aplicación de Control del Gasto Público - Budget vs Actual (Aplicación BvA) y el servicio de apoyo a

10 8 TI esta por $10, La vigencia del contrato era del 15 de julio al 14 de agosto de Los servicios a ser prestados por la compañía fueron descritos en una propuesta de esta que se incluyó como Anejo I del Contrato. La fecha de la propuesta era del 14 de julio, un día antes de otorgar el contrato. El propósito de dicha aplicación es mantener un control del presupuesto anual otorgado a las agencias. Para esto BvA utiliza información del Puerto Rico Integrated Financial Accounting System (Sistema PRIFAS), la cual se transfiere diariamente del Departamento de Hacienda a la OGP. Del 13 de agosto al 28 de diciembre de 2010 la OGP otorgó cuatro enmiendas al Contrato para lo siguiente: La Enmienda A formalizada el 13 de agosto de 2010 para extender la vigencia del contrato hasta el 17 de septiembre. La Enmienda B formalizada el 16 de septiembre de 2010 para añadir 680 horas y extender la vigencia del contrato hasta el 31 de diciembre. Con esta enmienda se aumentó el importe del contrato a $68,000. La Enmienda C formalizada el 8 de noviembre de 2010 para añadir 318 horas y extender la vigencia del contrato hasta el 30 de junio de Con esta enmienda se aumentó el importe del contrato a $95,030. La Enmienda D formalizada el 28 de diciembre de 2010 para añadir 368 horas. Con esta cuarta y última enmienda se aumentó el importe del contrato a $126,310. La vigencia se mantuvo como se estableció en la Enmienda C (hasta el 30 de junio de 2011). 3 En dicho Contrato se estipuló que la OGP pagaría los servicios contratados de un consultor a $85 por hora hasta un máximo de 120 horas por la vigencia del mismo.

11 TI La compañía facturó 1,484 horas para un total de $126,140. Los pagos emitidos por la OGP para este contrato ascendieron a $123,546 cuya diferencia de $2,594 corresponde a la retención en el origen por servicios prestados. El 28 de abril de 2011, durante la vigencia del Contrato , la OGP otorgó el Contrato a la compañía para servicios de apoyo para la integración de las cinco agencias con sistemas financieros autónomos (agencias que no utilizaban el Sistema PRIFAS) a la Aplicación BvA por $88, La vigencia del contrato era del 2 de mayo al 30 de julio de Del 16 de junio al 26 de agosto de 2011, la OGP otorgó tres enmiendas al Contrato para lo siguiente: La Enmienda A otorgada el 16 de junio para el desarrollo de la Aplicación Procesamiento de Planteamiento (Aplicación PP) para la creación, el manejo y la administración de los planteamientos presupuestarios. Estos servicios fueron descritos en la propuesta Desarrollo Web Sistema de Planteamiento de esa misma fecha que se incluyó como anejo de la enmienda. Por estos servicios se añadieron 224 horas, lo que aumentó el importe del contrato a $107,440. La Enmienda B otorgada el 28 de junio para añadir tareas relacionadas con la creación, el manejo y la administración de los planteamientos presupuestarios. Los servicios fueron descritos en una segunda propuesta Desarrollo Web Sistema de Planteamiento con fecha del 16 de junio, la cual se incluyó como anejo de la enmienda. Por estos servicios se añadieron 375 horas, lo que aumentó el importe del contrato a $139,315. También se extendió la vigencia del contrato hasta el 30 de septiembre de En dicho Contrato se estipuló que la OGP pagaría los servicios contratados de un consultor a $85 por hora hasta un máximo de 1,040 horas por la vigencia del mismo.

12 10 TI La Enmienda C otorgada el 26 de agosto fue para dos propósitos. El primero, la creación de un mecanismo que permitiera realizar una revisión a la proyección de gastos de presupuesto de las agencias al finalizar el primer semestre del año fiscal, en la Aplicación BvA. Estos servicios fueron descritos en una propuesta de la compañía del 19 de julio (Implementación Aplicación Budget Vs Actual BvA), la cual se incluyó como anejo de la enmienda. Por estos servicios se añadieron 840 horas, lo que representa $71,400. El segundo, la Implementación de la Aplicación PP. Para esto se añadieron 420 horas, lo que representa $35,700. Con esta tercera y última Enmienda el importe del contrato aumentó a $246,415. También se extendió la vigencia del contrato hasta el 31 de diciembre de Los pagos emitidos por la OGP para este contrato ascendieron a $246,415. El examen efectuado sobre el otorgamiento y la administración de los contratos y , y sus respectivas enmiendas, reveló las siguientes deficiencias: 1) Los estudios de necesidades provistos para examen sobre el desarrollo de las aplicaciones BvA y PP no incluían un estudio de requisitos y de viabilidad con el propósito de: Analizar los beneficios estratégicos de implementar la aplicación. Identificar y cuantificar los ahorros en costos. Estimar un plan de reembolsos de los costos incurridos o el retorno de la inversión. Establecer tiempo de implementación. Identificar la necesidad de recursos económicos, personal y equipo.

13 TI Establecer los indicadores claves para medir el desempeño del proyecto. Establecer la estrategia de comunicación. Evaluar la capacidad de interconectividad y la compatibilidad con otros sistemas existentes. 2) En los mencionados contratos no se incluyeron cláusulas para requerir que la compañía entregara la documentación de las aplicaciones BvA y PP, brindara el mantenimiento a estas y ofreciera los adiestramientos sobre el uso de las mismas a los usuarios. Criterios Las situaciones comentadas se apartan de lo establecido en la Política TIG-11, Mejores Prácticas de Infraestructura Tecnológica, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la OGP. También se apartan de lo establecido en la Política TIG-013, Marco Referencial de Adquisición Tecnológica Gubernamental, promulgada mediante la Carta Circular del 30 de junio de 2006 por la Directora de la OGP. Las mejores prácticas en el campo de la tecnología de información sugieren que el proceso de adquisición tecnológica consista de varios pasos dirigidos a obtener los equipos y los programas de tecnología de información que puedan satisfacer las necesidades de la entidad gubernamental, a un costo razonable. Mediante este proceso se analizan y se identifican las necesidades a ser atendidas y la forma de atender las mismas. Esto se implementa, en parte, con lo siguiente: [Apartado a.1)] Estudio de Necesidades - El estudio de las necesidades de la entidad gubernamental es el primer paso que se debe considerar en los procesos de adquisición de equipos y programas, y de desarrollo de aplicaciones. Dicho estudio debe estar enmarcado en la misión,

14 12 TI las responsabilidades y los servicios de la entidad gubernamental y, estar de acuerdo con la política de interconexión de los organismos para facilitar y agilizar los servicios al pueblo. Es importante que los gerentes y los usuarios participen activamente en este proceso para evitar la inversión en un sistema que no cumplirá con los requisitos de la entidad gubernamental. Dicha participación es necesaria para identificar todos los requerimientos o especificaciones del sistema, de manera que se logren los objetivos y los beneficios esperados. Como parte del proceso de evaluación de las necesidades de la entidad gubernamental se efectúa un estudio preliminar y un estudio de viabilidad. Estudio de Requisitos y Viabilidad - Los requisitos específicos y detallados de los usuarios es tal vez el aspecto más importante de un proyecto de computadorización. Se debe definir o identificar tanto lo que se va a proveer como lo que no estará disponible. Los errores que se cometan en este proceso y las expectativas que se dejen de identificar podrían propiciar el fracaso o el sobrecosto del proyecto. Una vez se identifican los requisitos, se evalúan los beneficios y los costos asociados a cada una de las soluciones potenciales identificadas en el estudio preliminar. El estudio de viabilidad determinará si la inversión propuesta en el desarrollo o la adquisición está de acuerdo con las metas y los objetivos de la entidad. Para determinar la mejor opción entre el desarrollo interno de la programación del sistema computadorizado, la contratación de servicios o la adquisición de programas computadorizados disponibles comercialmente (COTS, por sus siglas en inglés), se recomienda considerar los siguientes factores: [Apartado a.1)] Los recursos tecnológicos y humanos que se requieren para desarrollar el sistema, incluida la evaluación del conocimiento y la experiencia del personal disponible La fecha en que se requiere que el sistema esté en funciones El costo del desarrollo versus el costo de la contratación

15 TI La disponibilidad de fondos necesarios para el proyecto La compatibilidad con los planes estratégicos de la entidad gubernamental La compatibilidad con la infraestructura tecnológica de la entidad gubernamental Los probables requerimientos de cambios futuros al funcionamiento del sistema. Las mejores prácticas en campo de la tecnología de información sugieren que los contratos para el desarrollo de sistemas y de programas deben contener lo siguiente: [Apartado a.1)] Descripción específica de los productos que se van a entregar y sus costos Fechas para la entrega de los productos Compromiso de documentación, mantenimiento, actualizaciones y adiestramientos Descripción del apoyo que se brindará durante la instalación Criterios para la aceptación por el usuario Disposición para permitir un período razonable de pruebas de aceptación Programa de pagos vinculado con las fechas efectivas de entrega. Las normas generalmente aceptadas en el campo de la tecnología de información sugieren que las entidades deben mantener una documentación completa y actualizada de los sistemas en producción, así como copias actualizadas y aseguradas fuera del área de sistemas de información. Una documentación adecuada del funcionamiento de un sistema computadorizado y sus programas, provee información esencial para la implantación y la operación eficaz de este. Esta es de utilidad para

16 14 TI el desarrollo de programas complementarios y es fuente de información para el estudio y la evaluación de los controles internos y para el adiestramiento del personal nuevo. [Apartado a.2)] Efectos La situación comentada en el apartado a.1) ocasionó que la OGP pagara $273,146 5 por la Aplicación BvA y $67,575 6 por la Aplicación PP adicionales a lo contratado originalmente. Además, la implementación de la Aplicación BvA conllevó 1 año y 8 meses, lo que representa 19 meses adicionales a lo establecido en el contrato original. La implementación de la Aplicación PP conllevó 8 meses, lo que representa 5 meses adicionales a lo establecido en el contrato original. La situación comentada en el apartado a.2) podría ocasionar dificultades a los técnicos, usuarios, auditores y consultores externos para entender el funcionamiento de los procesos y los controles de las aplicaciones. Además, podría ocasionar que el personal del Área de TIG utilizara su propio criterio para realizar los trabajos relacionados con el mantenimiento de las aplicaciones; y la comisión de faltas, errores e irregularidades durante el registro de la información, y el procesamiento y la salida de los datos. Causa Las situaciones comentadas se debieron a que los directores que otorgaron los contratos y las enmiendas a estos no protegieron los mejores intereses de la OGP ni cumplieron con las mencionadas disposiciones reglamentarias. 5 Los $113,346 pagados mediante el Contrato adicionales a los $10,200 del contrato original más los $159,800 pagados mediante el Contrato En la Enmienda A del Contrato , se estipularon $19,040 para el desarrollo de la Aplicación PP y en las restantes enmiendas se aumentó dicho importe a $86,615.

17 TI Comentarios de la Gerencia En la carta del Subdirector de la OGP, este nos indicó, entre otras cosas, lo siguiente: Ambos señalamientos han sido tomados en consideración y esta oficina emitirá instrucciones para que se incluyan las cláusulas aplicables en contrataciones subsecuentes. En la carta del señor Pavía Vidal, ex-director de la OGP, este nos indicó, entre otras cosas, que el proyecto para la implantación de la Aplicación BvA comenzó antes de su incumbencia en la OGP, por lo que no tiene comentarios sobre el proceso inicial del mismo. También indicó que la Gerente de Proyecto llevaba un calendario del mismo, seguimiento de entregables y pruebas del producto final, y que el proyecto era de gran envergadura y conllevó un gran reto poder tener un sistema de monitoreo del presupuesto. Además, informó que la razón para contratar una firma externa para el procesamiento de los planteamientos fue debido a la falta de recursos internos de programación con la que contaba la OGP. Los recursos eran limitados y estaban dedicados al desarrollo de las aplicaciones de PR.gov. Véase la Recomendación 1. Hallazgo 2 - Falta de reglamentación, estándares y requerimientos de cumplimiento relacionados con las transacciones electrónicas; de reglamentación relacionada con los certificados y los comprobantes; de inspecciones y seguimientos periódicos para asegurar el acceso de información a las personas con impedimentos; y de seguimiento a las agencias para lograr que cumplieran con remitir el PAART Situaciones a. Mediante la Ley el Gobierno adoptó como política pública la incorporación de las tecnologías de información a los procedimientos gubernamentales, a la prestación de servicios y a la difusión de información, mediante una estrategia enfocada en el ciudadano, orientada a la obtención de logros y que fomente activamente la innovación.

18 16 TI Esta Ley le impuso a la OGP la responsabilidad de administrar los sistemas de información, implementar las normas y los procedimientos relacionados con el uso de las tecnologías de la información a nivel gubernamental, ofrecer asesoramiento a las agencias, actualizar y desarrollar las transacciones gubernamentales electrónicas, y asegurar el funcionamiento correcto de las mismas. A base de esto, se establecieron leyes y reglamentos específicos dirigidos a la consecución de la política pública de gobierno electrónico. En la Ley , Ley de Transacciones Electrónicas, según enmendada, se establece que la OGP: Aprobará la reglamentación necesaria para evaluar la capacidad de las agencias y sus funciones para participar de transacciones de forma electrónica. [Artículo 17] Promulgará reglamentación a los fines de organizar y coordinar con las agencias el acceso de los ciudadanos a los servicios que ofrece el Gobierno mediante transacciones electrónicas, así como el uso de firmas electrónicas, para garantizar la seguridad de las transacciones. [Artículo 17] Elaborará reglamentación para establecer requisitos de elegibilidad para ofrecer el servicio que brindarán las autoridades certificadoras 7 y las autoridades de registro 8. [Artículo 17] Determinará los estándares que serán utilizados por cada agencia gubernamental para crear y conservar expedientes electrónicos y convertir expedientes escritos a expedientes electrónicos. [Artículo 18] 7 Cualquier persona jurídica que puede producir, emitir, cancelar o revocar los certificados de firmas digitales utilizados en las firmas electrónicas. Estas se definen como la totalidad de datos en forma electrónica consignados en un mensaje, documento o transacción electrónica, o adjuntados o lógicamente asociados a dicho mensaje, documento o transacción, que puedan ser utilizados para identificar al que firma e indicar que este aprueba la información recogida en el mensaje, documento o transacción. 8 Cualquier persona jurídica que puede recibir y comprobar los datos personales de cualquier persona natural o jurídica que solicite a una autoridad certificadora la producción, la emisión, la cancelación o la revocación de un Certificado de Firmas Digitales.

19 TI Establecerá estrictos requerimientos de cumplimiento, métricas e informes semestrales al Gobernador y a la Asamblea Legislativa para medir la eficacia en la implementación. [Artículo 20] En la Ley , Ley de Certificados y Comprobantes, se dispone que el Gobierno adoptará como política pública que todas las certificaciones expedidas por cualquier agencia gubernamental sean solicitadas, tramitadas y expedidas a través del Internet. Además, se establece que la OGP y el Departamento de Hacienda promulgarán, dentro de 180 días luego de la aprobación de la misma, la reglamentación necesaria para la consecución de esta Ley. [Artículo 13] Mediante la Ley , Ley para Garantizar el Acceso de Información a las Personas con Impedimentos, se implantó la política pública dirigida a garantizar que las personas con impedimentos tengan acceso pleno a la información y puedan hacer uso de los servicios que ofrece el Gobierno del Estado Libre Asociado de Puerto Rico, a través de las páginas electrónicas de las entidades del Estado. En virtud de dicha Ley, se adoptó el Reglamento 8158, Reglamento para Garantizar la Accesibilidad de la Información a las Personas con Impedimentos mediante las Páginas Electrónicas de las Agencias del Gobierno de Puerto Rico, aprobado el 29 de junio de 2011 por el Director de la OGP y la Directora del Programa de Asistencia Tecnológica de Puerto Rico (PRATP), adscrito a la Universidad de Puerto Rico. En dicho Reglamento se establece que la OGP, en conjunto con el PRATP, realizarán inspecciones o evaluaciones periódicas, por lo menos una vez al año, para verificar si las agencias cumplen con la accesibilidad de sus páginas electrónicas. Se establece, además, que la OGP rendirá un informe de hallazgos a la agencia correspondiente

20 18 TI con los señalamientos y las recomendaciones de cambio que entienda pertinentes, de hallarse inaccesibles, en todo o en parte, sus páginas electrónicas 9. [Artículo 10] Por otro lado, en la Política TIG-001, Plan Anual de Administración de Recursos Tecnológicos (PAART) 10, de la Carta Circular se establecía, entre otras cosas, que cada Jefe de agencia, en colaboración con el Director de Sistemas de Información u Oficial Principal de Informática (OPI) de esta, era responsable de preparar el PAART en el que se expone la estrategia a seguir en el área tecnológica de acuerdo con la visión y misión de la agencia, y que a la vez estuviera orientado al desarrollo de un gobierno electrónico. La información debía ser recopilada a través de la aplicación del PAART que estaba accesible en el portal del Gobierno ( y debía ser remitida a la OGP no más tarde del 30 de junio de cada año. 1) Luego de evaluar el cumplimiento de parte de la OGP con las leyes y la reglamentación mencionadas, identificamos que: a) Al 16 de abril de 2013, la OGP no había promulgado la reglamentación, los estándares y los requerimientos establecidos en la Ley b) A dicha fecha tampoco había promulgado la reglamentación requerida por la Ley c) Al 2 de mayo de 2013, transcurridos casi dos años de la aprobación del Reglamento 8158, en la OGP no se efectuaban las inspecciones y los seguimientos periódicos 9 Las agencias tendrán un período de 20 días laborables para corregir las deficiencias indicadas. Si transcurrido el período la agencia no cumple, la OGP notificará a la Oficina del Procurador de las Personas con Impedimentos (OPPI) quien podrá imponer una multa de hasta $2,500 previa notificación y celebración de una vista administrativa, a cualquier Secretario, Jefe, Funcionario, Director o Encargado de la agencia en incumplimiento. 10 La Política TIG-001 fue enmendada el 4 de abril de 2013 con el propósito de remplazar el PAART por una nueva herramienta identificada como Legado Estratégico Anual Tecnológico (LEAN-TECH).

21 TI para asegurarse de que las páginas de las agencias estuvieran en cumplimiento con lo establecido en dicho reglamento. 2) Luego de solicitar a la OGP los PAART recibidos para los años fiscales y , determinamos que durante el año fiscal sólo tres agencias remitieron el PAART a la OGP y durante el año fiscal ninguna de las agencias lo remitió. Además, la OGP no dio seguimiento para lograr que las agencias cumplieran con lo establecido en la Política TIG-001 del 15 de diciembre de Criterios La situación comentada en el apartado a.1)a) es contraria a lo que se establece en los artículos 17, 18 y 20 de la Ley Lo comentado en el apartado a.1)b) es contrario a lo que se establece en el Artículo 13 de la Ley La situación comentada en el apartado a.1)c) es contraria a lo que se establece en el Artículo 10 del Reglamento Lo comentado en el apartado a.2) es contrario a lo que establecía en la Política TIG-001 del 15 de diciembre de En consonancia con dicha política, la OGP debía dar seguimiento a las agencias para lograr que cumplieran con remitir el PAART, de manera que pudiera determinar si los proyectos de tecnología de las mismas estaban alineados con lo dispuesto en la Ley de Gobierno Electrónico y enmarcados con los planes estratégicos y con sus políticas. Efectos Las situaciones comentadas afectan la consecución de la política pública gubernamental adoptada mediante la Ley para la incorporación de la tecnología de información en los procedimientos gubernamentales, y la prestación de servicios y la difusión de información a los ciudadanos.

22 20 TI Causas Atribuimos estas situaciones a que los directores de la OGP no velaron por el cumplimiento de las leyes y la reglamentación vigentes. Además, en lo que concierne al apartado a.1)c), el Director Asociado de Tecnología de Información entendía que la OGP sólo debía mantener la documentación de aquellas páginas que se encontraban en violación o requerían validación. Comentarios de la Gerencia En la carta del Subdirector de la OGP, este nos indicó, entre otras cosas, lo siguiente: Entendemos que este señalamiento, aunque pudiera afectar la aplicación de los objetivos de la Ley de Gobierno Electrónico no ha causado la paralización de la consecución de la política pública sobre tecnología de información gubernamental. Nuestra oficina en coordinación con la oficina del Principal Ejecutivo de Informática se encuentra revisando todos los procesos, guías, directrices y reglamentos que implementan esta política. No obstante, hemos tomado nota de estas adolescencias reglamentarias y continuaremos el proceso de revisión de guías y reglamentos de manera que se cumplan cabalmente las directrices de la Ley [sic] En la carta de la ingeniera Fas Pacheco, ex-directora de la OGP, esta nos indicó, entre otras cosas, lo siguiente: Durante mi incumbencia, como Directora de la OGP, se le dio seguimiento a las agencias para que cumpliesen con la Política TIG-001 del 15 de diciembre de Con fecha del 6 de diciembre de 2005 se estableció la Política TIG-001 la cual deroga la Política TIG-001 de diciembre de 2004, con el fin de integrar la información requerida para la preparación del Plan Anual de Administración de Recursos Tecnológicos (PAART). Como parte de la misma se desarrolló una aplicación que describía la situación actual de las agencias y los proyectos a ser desarrollados por año fiscal. [sic] En la carta del señor Pavía Vidal, ex-director de la OGP, este nos indicó, entre otras cosas, que la responsabilidad de la reglamentación descrita fue transferida a la Oficina del Principal Ejecutivo de Información de Puerto Rico, según la Orden Ejecutiva del Véase la Recomendación 2 de la a. a la c.

23 TI Hallazgo 3 - Falta de acuerdos interagenciales sobre los servicios provistos por la OGP a las agencias Situaciones a. La OGP provee a las agencias el servicio de un sistema de correo electrónico centralizado Hosted Message and Collaboration (HMC). Esta iniciativa le permite al Gobierno una plataforma centralizada de comunicación interagencial para asegurar la disponibilidad de la comunicación electrónica. Se habían migrado 61 agencias al HMC. Al 15 de marzo de 2013, no se habían establecido acuerdos de entendimiento entre la OGP y las agencias que recibían servicios de HMC, que detallaran, entre otras cosas, la responsabilidad sobre: el mantenimiento, el funcionamiento y el respaldo de los datos; así como de la configuración, la administración, y el monitoreo de los servidores y las cuentas de acceso. b. La OGP provee a las agencias servicio de alojamiento de aplicaciones (hosting) en sus servidores, así como espacio físico (collocation) para ubicar los servidores de las agencias en el Data Center localizado en las instalaciones arrendadas mediante un contrato. Al 17 de abril de 2013, la OGP le proveía servicios de hosting para aplicaciones y servicios, según identificadas por la Directora Asociada Interna del Área de TIG, a las siguientes agencias: Departamento de Asuntos al Consumidor (DACO), Departamento de Agricultura 11, Departamento de Salud, Administración de Servicios Generales (ASG) e Instituto de Ciencias Forenses. La OGP nos proveyó para examen los acuerdos de servicios interagenciales con el DACO, el Departamento de Agricultura y la ASG. 1) El examen efectuado a dichos acuerdos reveló que estos no detallaban, entre otras cosas, la responsabilidad sobre: La administración de las cuentas y los privilegios de acceso a los servidores 11 Este acuerdo era compartido con la Administración para el Desarrollo de Empresas Agropecuarias (ADEA).

24 22 TI La configuración de los parámetros de seguridad en los servidores utilizados por las agencias El mantenimiento, el funcionamiento y el respaldo de los datos y las aplicaciones sujetos al servicio de alojamiento La configuración, la administración y el monitoreo de los servidores y las aplicaciones. 2) La OGP no tenía acuerdo interagencial con el Departamento de Salud ni con el Instituto de Ciencias Forenses. Criterio Las normas de sana administración y de control interno establecen, entre otras cosas, que los jefes de los organismos gubernamentales deben asegurarse de formalizar acuerdos escritos para la prestación de servicios. Estos acuerdos permiten que consten todas las obligaciones de las partes en forma clara y precisa, resolver cualquier controversia en caso de incumplimiento por alguna de las partes y protegen el interés público. Efectos Las situaciones comentadas impiden que tanto el personal de las agencias como de la OGP tengan un entendimiento del detalle de sus respectivas responsabilidades en cuanto a los servicios tecnológicos que las agencias obtienen de la OGP. Además, impiden a esta Oficina evaluar el cumplimiento de las responsabilidades de cada agencia. Causas Atribuimos las situaciones comentadas en los apartados a. y b.2) a que los directores asociados del Área de TIG no estimaron la necesidad de preparar acuerdos de entendimiento sobre los servicios que ofrece la OGP a las agencias. La situación comentada en el apartado b.1) se debía, en parte, a la falta de reglamentación para establecer los acuerdos con las agencias y lograr uniformidad al formalizar los servicios ofrecidos por la OGP.

25 TI Comentarios de la Gerencia En la carta del Subdirector de la OGP, este nos indicó, entre otras cosas, lo siguiente: Entendemos que estos acuerdos, aunque deseables y hasta prudentes, no eran requeridos a la luz de las funciones y facultades que le fueran conferidas a nuestra oficina en la Ley de Gobierno Electrónico que dispone que la OGP tendrá entre sus funciones el proveer servicios de apoyo técnico, de almacenamiento de datos y de acceso a Internet a las agencias gubernamentales. [ ] No obstante, comenzaremos un proceso de revisión de los acuerdos existentes para asegurarnos, como mejor práctica, que los servicios detallados en el hallazgo se enmarquen en acuerdos con todas las agencias que reciban los mismos. [sic] En la carta del señor Pavía Vidal, ex-director de la OGP, este nos indicó, entre otras cosas, lo siguiente: Creo importante señalar que durante mi corta incumbencia como Director de la Oficina de Gerencia y Presupuesto por primera vez logramos comenzar a establecer acuerdos interagenciales entre la OGP y las Corporaciones Públicas, principalmente relacionado con los servicios de [ ] y licencias de [ ]. [sic] Véase la Recomendación 3.a. Hallazgo 4 - Deficiencias relacionadas con los parámetros de seguridad de los servidores Situaciones a. Al 7 de marzo de 2013, la OGP tenía 96 servidores ubicados en el Data Center localizado en instalaciones arrendadas mediante un contrato. De estos, 22 servidores albergan 85 servidores virtuales 12. Además, estaban los servidores que manejaban los servicios de la OGP y los servicios de tecnología de información gubernamental que la OGP ofrece a las agencias. Entre estos servicios estaba el correo electrónico que era provisto a 61 agencias. Seleccionamos una muestra de 10 de dichos servidores. De estos, examinamos la 12 Partición de un servidor que habilita varias máquinas con el uso de diversas tecnologías lo que simula a una computadora y que puede ejecutar programas como si fuese una computadora física.

26 24 TI configuración de los parámetros de seguridad del dominio y de los parámetros definidos a nivel local del sistema operativo en cada servidor. 1) El examen efectuado el 5 de abril de 2013 sobre los parámetros de seguridad establecidos en el sistema operativo de los servidores que manejan un dominio, reveló lo siguiente: a) No se habían definido las políticas relacionadas con las contraseñas de las cuentas de acceso (Account Password Policy) para: (1) Requerir a los usuarios que utilizaran, al menos, cinco contraseñas diferentes antes de repetir una utilizada anteriormente (Enforce Password History: 0). (2) Requerir, al menos, 10 días para que el sistema le permitiera al usuario cambiar la contraseña (Minimum Password Age: 0). (3) Requerir que las contraseñas utilizadas fueran combinaciones alfanuméricas (Password must meet complexity requirements). b) En la opción Account Lockout Policy no se habían definido las políticas de control de cuentas para establecer lo siguiente: (1) Un término, de al menos tres intentos de acceso a los recursos de la red sin éxito, para que el sistema deshabilitara automáticamente las cuentas de acceso (Account lockout threshold: 0). (2) El tiempo que debía permanecer la cuenta desactivada por intentos de acceso a los recursos de la red sin éxito (Account lockout duration). (3) El tiempo para reiniciar el conteo de intentos para acceder a los recursos de la red sin éxito (Reset account lockout counter after: Not Defined).

27 TI c) No se habían definido las políticas de auditoría (Audit Policy) para que el sistema produjera un registro cuando ocurrieran los siguientes eventos: Los accesos de las cuentas (Account logon events) y los eventos de acceso (Audit account logon events) La creación, la modificación o la eliminación de una cuenta o grupo de usuarios, el cambio de nombre o contraseña y la activación o desactivación de una cuenta o grupo de usuarios (Audit account management) El acceso al directorio de servicio (Audit directory service access) Los accesos a los archivos, cartapacios (folders) e impresoras (Audit object access) Los cambios efectuados a las opciones de seguridad, los privilegios de usuarios y las políticas de auditoría (Audit policy change) El uso de los privilegios de los usuarios (Audit privilege use) El seguimiento de los procesos (Audit process tracking) El reinicio y apagado, y los eventos que afectan al sistema de seguridad (Audit system events). d) No se habían definido las políticas de seguridad (Security Options Settings) para establecer lo siguiente: Requerir al usuario utilizar una contraseña para continuar con el uso de la red, luego de un período de inactividad (Idle time before suspending session).

28 26 TI Desactivar automáticamente al usuario del sistema una vez venciera el término de acceso a los recursos de la red, previamente establecido (Force logoff when logon hours expire). 2) El examen efectuado sobre los parámetros de seguridad definidos al 5 de abril de 2013 a nivel local del sistema operativo en cada servidor, reveló lo siguiente: a) No se habían definido las políticas relacionadas con las contraseñas de las cuentas de acceso (Account Password Policy) para: (1) Requerir a los usuarios que utilizaran, al menos, 5 contraseñas diferentes antes de repetir una utilizada anteriormente. En 2 servidores la opción Enforce password history indicaba Not Defined. En los 8 restantes se estableció 0 en dicha opción. (2) Requerir a los usuarios que cambiaran la contraseña de su cuenta de acceso en un término fijo. En dos de los servidores esta política no estaba definida (Max Password Age: Not Defined). (3) Requerir, al menos, 8 caracteres para establecer las contraseñas de las cuentas de acceso de los usuarios. En 3 de los servidores se estableció 0 caracteres en la opción Min password length. En 2 de los servidores se estableció Not Defined en dicha opción. (4) Requerir, al menos, 10 días para que el sistema le permitiera al usuario cambiar la contraseña. En dos de los servidores en la opción Min password age se indicaba Not Defined. (5) Requerir que las contraseñas utilizadas fueran combinaciones alfanuméricas (Password must meet complexity requirements).

29 TI b) En la opción Account Lockout Policy no se habían definido las políticas de control de cuentas para establecer lo siguiente: (1) Un término, de al menos tres intentos de acceso a los recursos de la red sin éxito, para que el sistema deshabilitara automáticamente las cuentas de acceso (Account lockout threshold: 0). (2) El tiempo que debía permanecer la cuenta desactivada por intentos de acceso a los recursos de la red sin éxito. En la opción Account lockout duration se indicaba Not Applicable. (3) El tiempo para reiniciar el conteo de intentos para acceder a los recursos de la red sin éxito. En la opción Reset account lockout counter after se indicaba Not Applicable. c) En los servidores identificamos las siguientes deficiencias en la definición de los parámetros relacionados con las políticas de auditoría (Audit Policy): (1) En los 10 servidores, la política de auditoría sobre el uso de los privilegios de los usuarios (Audit privilege use) estaba configurada para que no se produjera un registro (no auditing). (2) En nueve servidores, las políticas de auditoría estaban configuradas para que no se produjera un registro (no auditing) de los eventos que se describen a continuación: Los accesos a los archivos, cartapacios (folders) e impresoras (Audit object access) El seguimiento de los procesos (Audit process tracking).

30 28 TI (3) En siete servidores, las políticas de auditoría estaban configuradas para que no se produjera un registro (no auditing) de los eventos que se describen a continuación: La creación, modificación o eliminación de una cuenta o grupo de usuarios, el cambio de nombre o contraseña y la activación o desactivación de una cuenta o grupo de usuarios (Audit account management) El acceso al directorio de servicio (Audit directory service access) Los cambios efectuados a las opciones de seguridad, los privilegios de usuarios y las políticas de auditoría (Audit policy change) El reinicio y apagado, y los eventos que afectan al sistema de seguridad (Audit system events). d) No se habían definido las políticas de seguridad (Security Options Settings) en dos servidores, para establecer lo siguiente: Requerir al usuario utilizar una contraseña para continuar con el uso de la red, luego de un período de inactividad (Idle time before suspending session) Desactivar automáticamente del sistema al usuario una vez venciera el término de acceso a los recursos de la red, previamente establecidos (Force logoff when logon hours expire). b. Al 29 de abril de 2013, la OGP tenía 85 servidores virtualizados que, entre otras cosas, manejaban el control de acceso a los servicios que ofrece esta. Seleccionamos una muestra de cinco de servidores

31 TI virtuales de los cuales examinamos la configuración de los parámetros de seguridad de los dominios y de los parámetros definidos a nivel local del sistema operativo de cada uno. Los exámenes efectuados revelaron lo siguiente: 1) El examen efectuado sobre los parámetros de seguridad definidos al 29 de abril de 2013 en los servidores virtuales que manejan los dominios, reveló lo siguiente: a) En un servidor, no se requería a los usuarios que utilizaran una contraseña de combinaciones alfanuméricas. Este tenía deshabilitada la opción de requisitos de complejidad para la contraseña (Password must meet complexity requirements: Disabled) en los parámetros relacionados con la política de contraseña (Account Password Policy). b) Identificamos las siguientes deficiencias en la definición de los parámetros relacionados con las políticas de auditoría (Audit Policy): (1) En los tres servidores, no se habían definido las políticas de los eventos que se describen a continuación: La creación, la modificación o la eliminación de una cuenta o grupo de usuarios, el cambio de nombre o contraseña y la activación o desactivación de una cuenta o grupo de usuarios (Audit account management) El acceso al directorio de servicios (Audit directory service access) Los eventos del sistema relacionados con la activación y desactivación en las cuentas (Audit logon events)