Informe I.AI.ATI Aplicación de la Ley 8968 dentro del Consejo de Seguridad Vial

Transcripción

1 Aplicación de la Ley 8968 dentro del Consejo de Seguridad Vial 1. INTRODUCCIÓN: 1.1. Origen El presente estudio se encuentra dentro del Plan anual de la Auditoría Objetivo Identificar si la Ley de Protección de la Persona frente al Tratamiento de su Datos Personales, No 8968 del 7 de Julio del 2011 se debe de aplicar o no dentro del Consejo De Seguridad Vial Alcance del estudio Bases de Datos del COSEVI Disposiciones de la Ley General de Control Interno Sobre la implantación de recomendaciones : Artículo 36. Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados. b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de Página 1 de 23

2 ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda. Artículo 37. Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. Artículo 38. Planteamiento de conflictos ante la Contraloría General de la República. Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoría interna, esta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a la Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de inconformidad indicadas. La Contraloría General de la República dirimirá el conflicto en última instancia, a solicitud del jerarca, de la auditoría interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor, dará lugar a la aplicación de las sanciones previstas en el capítulo V de la Ley Orgánica de la Contraloría General de la República, N 7428, de 7 de setiembre de Sobre responsabilidad : Artículo 39. Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios. El jerarca, los titulares subordinados y los demás funcionarios públicos incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable. Asimismo, cabrá responsabilidad administrativa contra el jerarca que injustificadamente no asigne los recursos a la auditoría interna en los términos del artículo 27 de esta Ley. Página 2 de 23

3 Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente. El jerarca, los titulares subordinados y los demás funcionarios públicos también incurrirán en responsabilidad administrativa y civil, cuando corresponda, por obstaculizar o retrasar el cumplimiento de las potestades del auditor, el subauditor y los demás funcionarios de la auditoría interna, establecidas en esta Ley. Cuando se trate de actos u omisiones de órganos colegiados, la responsabilidad será atribuida a todos sus integrantes, salvo que conste, de manera expresa, el voto negativo. 2. ANTECEDENTES. La ley 8968 de la Protección de la Persona frente al Tratamiento de su Datos Personales publicada el 7 de Julio del 2011 de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes. Las legislaciones sobre Bases de Datos ofrecen protección a todo aquel que invierta en la recopilación de material y en la elaboración de una base de datos. Para lograr la protección no se exige que la base de datos contenga contenido original o constituya una obra original por el contrario es aquella recopilación de información necesaria para el correcto funcionamiento de la institución. La naturaleza de los sistemas de información digital también ha contribuido a que existan motivos para dar protección jurídica a las Bases de Datos. Esto se debe principalmente a la facilidad de acceder a la información digital publicada y de poder copiarla. Por lo tanto en el estudio efectuado se enlistan todas las Bases de Datos de la Institución. Ante lo descrito es importante el concepto de Base de Datos el cual según la Contraloría General de la República indica lo siguiente: Página 3 de 23

4 Base de datos: Colección de datos almacenados en un computador, los cuales pueden ser accedidos de diversas formas para apoyar los sistemas de información de la organización (Glosario, Normas Técnicas para la Gestión y el Control de las Tecnologías de la Información N CO-DFOE) Propiamente la Agencia de Protección de datos de los Habitantes mediante la Ley 8968 define en su Artículo 2 inciso b lo siguiente: Base de datos: Cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales públicos o privados, que sean objeto de tratamiento, automatizado o manual, en el sitio o en la nube, bajo control o dirección de un responsable, cualquiera que sea la modalidad de su elaboración, organización o acceso. Partiendo de lo anterior, esta Auditoria a realizado un inventario físico de todos aquellos documentos digitales que se puedan considerar como Base de Datos para el Consejo de Seguridad Vial. Determinando un total de treinta y seis Bases de Datos (36), las cuales se dividieron en tres grupos: Diagrama #1 División de las Bases de Datos de COSEVI. Fuente: Auditoría Interna. Ya con las Bases de Datos agrupadas, se procedió a realizar un análisis de los riesgos existentes para la gestión de la información, determinándose los resultados que a continuación se detallan. Página 4 de 23

5 3. RESULTADOS. 3.1 Ausencia de la definición de Base de Datos. Se determinó que la Asesoría de Tecnologías de Información (ATI), no cuenta con una definición oficial sobre el concepto de Bases de Datos ya que mediante consulta realizada al Lic. Johnny Wong Ma; encargado de la Bases de Datos y Servidores, informo lo siguiente: Actualmente esta Asesoría no cuenta con una definición oficial del concepto de base de datos de ATI. Lo que nosotros utilizamos como concepto de base de datos es la definición que utilizan los proveedores de software en sus productos tales como Microsoft, Oracle entre otros, los cuales han sufrido una evolución en el tiempo de ATI. Actualmente en el Plan Estratégico-Táctico , existe una iniciativa para formalizar el modelo de base de datos institucional. (El subrayado y resaltado no es del original). Aspecto que incumple con el Manual llamado Normas técnicas para la gestión y el control de las Tecnologías de Información (N CO-DFOE), que dicta lo siguiente: 3.1 Consideraciones generales de la implementación de TI. La organización debe implementar y mantener las TI requeridas en concordancia con su marco estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica. Para esa implementación y mantenimiento debe: ( ) f. Contar con una definición clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo un contexto de costo beneficio. 3.3 Implementación de infraestructura tecnológica La organización debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de información e infraestructura tecnológica y demás criterios establecidos. Como parte de ello debe considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a la infraestructura actual. (El subrayado y resaltado no es del original). La ausencia de la definición de Base de Datos debido al incumplimiento normativo, afecta los intereses de la Institución, el utilizar definiciones externas que pueden variar según la fuente consultada, genera descontrol, así mismo se corre el riesgo de Página 5 de 23

6 dejar por fuera las Bases de Datos institucionales que podrían albergar información sensible. 3.2 Inventario de Base de datos. ATI tiene un inventario limitado de Bases de Datos, consecuentemente no se tienen identificadas ni protegidas todas las Bases de Datos institucionales; se indago en ATI sobre el inventario Total de las Bases de Datos que se encuentran en custodia y bajo el amparo de dicha Asesoría, los cuales suministraron la siguiente información: Cuadro # 1 Inventario de Bases de Datos del Consejo de Seguridad Vial, Clasificadas por servidor en el Data Center. CSV Produccion CSV Integra Csv-srv-I portal Csv-srv-dambd 1. BnConec 8. Accidentes 18. csvportal 22. SNTRSRV 2. HH_Seguridad 9. Audinet 19. csvportaltramites 3. Infracciones 10. Auditoria 20. SGFilas 4. PC_HH_Cosevi 11. CitasMedicas 21. SGFilas_logs 5. Proveedor 12. DBAudinet 6. SIACA 13. EmpresasDataDB1 7. Transf_Municipalidad 14. Licencias 15. MasterTAS 16. Presupuesto 17. SIGAT Fuente: ATI Las Bases de Datos suman un total de veintidós (22) agrupadas en cuatro servidores (resaltados en color rojo), mismas que se menciono iban a estar segmentadas en el grupo Data Center. Partiendo de esto se evidencia que quince (15) Bases de Datos que no se encuentran custodiadas en el Data Center, de igual Página 6 de 23

7 forma quedan fuera del inventario proporcionado por parte de ATI según se muestra en el siguiente cuadro: Cuadro # 2 Base de Datos Fuera de ATI # Identificación de la BD Lugar 1 Acuerdos de JD para la DE Dirección Ejecutiva 2 Conductores y Vehículos Servicios Generales 3 Control de Acuerdos Edificio Auditorio, Junta Directiva 4 SIAF Contabilidad 5 BOS7 Recursos Humanos 6 Denuncias de la CS Oficina Contraloría 7 Registro de Libros Tesorería 8 Control de Egresos Tesorería 9 Arqueo de caja chica Tesorería 10 Garantías Tesorería 11 Bodega Bodega 12 Accidentes, Estadísticas Proyectos 13 Accidentes, geográficas Proyectos 14 Expedientes de personal Recursos Humanos 15 Hojas de Diario Gastos 2015 Contabilidad Fuente: Trabajo de campo del Área de T.I. de la A.I. Con lo cual se incumple con el Manual Normas técnicas para la gestión y el control de las Tecnologías de Información (N CO-DFOE), el cual en la Norma 4.3 dice lo siguiente: Página 7 de 23

8 Administración de los datos La organización debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones válidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma íntegra y segura (El subrayado no es del original). Ante esa situación la confiabilidad y el control podría verse afectados, aspecto que está descrito en las Normas de Control Interno para el Sector Público, emitidas por la Contraloría General de la República, según se transcribe a continuación: Confiabilidad. La información debe poseer las cualidades necesarias que la acrediten como confiable, de modo que se encuentre libre de errores, defectos, omisiones y modificaciones no autorizadas, y sea emitida por la instancia competente. 5.8 Control de sistemas de información. El jerarca y los titulares subordinados, según sus competencias, deben disponer los controles pertinentes para que los sistemas de información garanticen razonablemente la calidad de la información y de la comunicación, la seguridad y una clara asignación de responsabilidades y administración de los niveles de acceso a la información y datos sensibles, así como la garantía de confidencialidad de la información que ostente ese carácter. En este sentido la distribución de la información en los diferentes Departamentos y Unidades del COSEVI sin los respectivos controles se ve reflejada en las quince bases de datos mencionadas. Asimismo estas Bases de Datos que estarían quedando fuera del Data Center son propensas a que se pierda la información o sean manipuladas erróneamente. 3.3 Análisis de riesgos de las Base de datos. Se indago sobre la existencia de un análisis de riesgo de las Bases de Datos el cual no se encontró al momento de iniciar el estudio, respecto a las Bases de Datos identificadas esta Auditoría Interna procedió a realizar un análisis de riesgos de cada una de ellas. Se procede a trabajar con los tres grupos que se mencionaron en los Antecedentes de este informe (Base de datos en Data Center, Base de Datos en Excel, Otras Base de Datos). Y para mayor entendimiento en el Anexo 1 se detallan los parámetros que se utilizaron para el análisis de los riesgos. Página 8 de 23

9 A. Base de datos de Data Center: A nivel general las Bases de Datos que encontramos dentro del Data Center no presentan riesgos altos, esto debido a que el especio físico donde se encuentran las mismas cuentan con todas las medidas de seguridad adecuadas según la norma N CO-DFOE, tales como: 3.3 Implementación de infraestructura tecnológica. 4.2 Administración y operación de la plataforma tecnológica 4.3 Administración de datos Los riesgos moderados del análisis corresponden a las actividades de Manejo de Datos, Confidencialidad, Seguridad y Disponibilidad de datos; las cuales están estrictamente relacionadas con la ausencia de una definición clara de Base de Datos por parte de la Asesoría (como bien se menciono en el resultado 3.1). B. Otras Bases de Datos: Tal y como lo muestra el análisis de riegos (Cuadro #3) para otras Bases de Datos dentro de la cuales se incluye la base de datos de la Unidad de Administración de Materiales, SIAF 1 del Departamento de Contabilidad y BOS7 de la Unidad de Sostenimiento se tienen tres actividades con un nivel alto de riesgos según se detalla a continuación: 1 Sistema de Información Administrativo Financiero Página 9 de 23

10 Cuadro # 3 Valoración de riesgos Otras Bases de Datos Fuente: Análisis de Riesgos Otras Base de Datos, Área de T.I. A.I. Página 10 de 23

11 Estos tres riesgos que se enmarcan en rojo se definieron de la siguiente forma: Responsabilidad: Estaría asignada a los encargados de las Unidades Administrativas descritas, cuando deberían de ser asumida dentro de la Asesoría Técnica de Información, según la norma N CO-DFOE en su punto 4.2 misma que indica lo siguiente: La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Seguridad: Existe una ausencia de políticas claras, no se tiene documentación de las mismas, esto pesar de que existen medidas de seguridad tales como los respaldos en dispositivos externos, como lo menciona en la norma N CO- DFOE en su punto La organización debe proteger la información de accesos no autorizados Pistas de Auditoria: No se tiene consideradas estas pistas para la detección de fallos o incidencias en estos sistemas, por tal razón se califica como un riesgo alto. Esto se ve reflejado en la norma N CO-DFOE en su punto Inciso J : Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y periódico seguimiento al acceso a las TI. La evaluación de riesgo nos señala la importancia de tener un control de todas las Bases de Datos, con relación a las actividades que se marcan en un riesgo moderado se pueden agrupar y resaltar que al estar fuera de ATI es donde se da la incidencia en el riesgo aunado a esto carecen de políticas y procedimientos propios que garanticen su seguridad, disponibilidad, confidencialidad tanto física como digitalmente se ve reflejado de esta forma. C. Bases de Datos Excel: Se agruparon las Base de Datos conformadas por libros de Excel, al ser Base de Datos tan singulares se aplicó la cédula de riesgos para cada una de estas, según se detalla en el Cuadro # 4. Página 11 de 23

12 # Cuadro # 4 Bases de Datos en Excel Identificación de la BD por parte de la A.I. Ubicación Descripción 1 Acuerdos de JD para la DE 2 Conductores y Vehículos 3 Control de Acuerdos 6 Denuncias de la CS 7 Registro de Libros 8 Control de Egresos 9 Arqueo de caja chica 10 Garantías 12 Accidentes, Estadísticas 13 Accidentes, geográficas 14 Expedientes de personal Dirección Ejecutiva Servicios Generales Edificio Auditorio, Junta Directiva Oficina Contraloría Edificio Tesorería Edificio Tesorería Edificio Tesorería Edificio Tesorería Edificio Proyectos Edificio Proyectos Administrativo, Administrativo, Administrativo, Administrativo, Administrativo, Administrativo, Recursos Humanos Hojas de Diario Gastos Contabilidad Fuente: Trabajo de campo del Área de T.I. de la A.I. Control del seguimiento de los acuerdos para la dirección ejecutiva Inventario de la flotilla de vehículos del MOPT Control del seguimiento de los acuerdos que se toman en la Junta Directiva Listado de seguimiento de las denuncias que realizan los usuarios en la Contraloría de Servicios Control de ingresos de las recaudaciones para los Bancos Estatales Control de egresos para cada una de las sub-partidas del Consejo Información de los reintegros, registros correspondientes a la caja chica del Consejo. Información de las garantías sea en colones, dólares Información numérica de los accidentes que se dan a nivel nacional Información geográfica de los accidentes que se dan a nivel nacional Información de los funcionarios relacionada con los expedientes. Información presupuestaria por cada una de las unidades ejecutoras Página 12 de 23

13 Se detectaron dos puntos altos en los análisis de riesgos, uno para la Base de Datos del Departamento de Presupuesto relacionado con la actividad del Manejo de Datos Sensibles, así como en la Base de Datos de la Contraloría de Servicios de igual forma en la actividad de manejo de datos sensibles. A pesar de manejar información muy diferente entre ambas bases de datos, la información que se maneja en ambas base de datos corresponde a información administrativa importante de personas físicas o jurídicas, así como datos sensibles propios de la institución. Tal y como se mencionó una vez realizado el análisis de riesgo se proceden a compilar los resultados de acuerdo a las actividades que se definieron, obteniendo un promedio para cada una de las actividades en relación con riesgos que se reflejan a continuación: Página 13 de 23

14 Cuadro # 5 Valoración de riesgos Bases de Datos en Excel Reflejándose las actividades que se muestran los riegos moderados a nivel general, según el cuadro siguiente: Página 14 de 23

15 Cuadro # 6 Resumen de riesgos Bases de Datos en Excel Fuente: Trabajo de campo del Área de T.I. de la A.I., Riesgos De acuerdo al Manual Normas técnicas para la gestión y el control de las Tecnologías de Información (N CO-DFOE) donde dice lo siguiente: 2.2 Modelo de arquitectura de información La organización debe optimizar la integración, uso y estandarización de sus sistemas de información de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, sólo la información que sus procesos requieren (El subrayado no es del original). 4.2 Administración y operación de la plataforma tecnológica. La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. f. Mantener separados y controlados los ambientes de desarrollo y producción (El subrayado no es del original). 4.3 Administración de los datos La organización debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones válidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma íntegra y segura (El subrayado no es del original). Página 15 de 23

16 Por su parte las Normas de Control Interno para el Sector Público, emitidas por la Contraloría General de la República, establecen en cuanto a la calidad de la información, lo siguiente: 5.8 Control de sistemas de información. El jerarca y los titulares subordinados, según sus competencias, deben disponer los controles pertinentes para que los sistemas de información garanticen razonablemente la calidad de la información y de la comunicación, la seguridad En este sentido el desconocimiento de las normativas en el manejo de datos que seda dentro de la Institución se ven afectados, producto los cinco riesgos moderados (Responsabilidad, Manejo de Datos Sensibles, Confiabilidad, Seguridad, Control de Cambios), según valoración efectuada por esta Auditoría Interna a los cuales se debe de brindar atención. La evaluación de los riesgos moderados se le debe de prestar atención, dentro de este grupo encontramos a todas aquellas Bases de Datos con información sensible fuera del alcance y resguardo de las políticas de seguridad de ATI. Esto hace que exista el riesgos llegar a perder la información que se encuentra en estas Bases de Datos, siendo esta un insumo de vital importancia para el Consejo de Seguridad Vial y sus diferentes Unidades Administrativas. 3.4 Cumplimiento de la Ley Actualmente en el Consejo de Seguridad Vial no se tiene ninguna Base de Datos inscrita ante la PRODHAB, existe la obligatoriedad de inscribir todas las base de datos que contengan información sensible ante la PRODHAB, agencia que se encarga de velar por el cumplimiento de la normativa en materia de protección de datos, tanto por parte de personas físicas o jurídicas privadas, conforme a la ley publicada mediante Decreto Ejecutivo No JP del 30 de octubre del 2012 (publicado en el Alcance No. 42 de Diario Oficial La Gaceta, No. 45 del 05 de marzo del 2013). En consultas realizadas a la Asesoría Legal de la Institución sobre criterio legal en cuanto al proceso de registro de las Bases de Datos de la Institución ante la agencia indicó lo siguiente: Página 16 de 23

17 la Asesoría Legal a petición de la Dirección Ejecutiva, consultó sobre la necesidad o no de la institución de inscribirse en ese régimen, en razón del tipo de información que se custodia, así como el uso que se le da a la misma. Tal solicitud fue remitida a la agencia mediante oficio AL de fecha 11 de diciembre del año en curso Esa solicitud pudo formularse, una vez que se conto con la información recibida de la Asesoría de Tecnología de la Información, que era un insumo necesario para tales efectos. Por otro parte, le indico que esta oficina ha mantenido reuniones desde el mes de agosto del año en curso (2015) con la Asesoría en Tecnologías de Información, a fin de conocer los tipos de bases de datos existentes en la institución, la información que contiene, su extensión y uso, como paso previo a iniciar su registro ante la agencia. No obstante, de tales reuniones surgió la duda respecto de la procedencia o no de registrar las bases de datos (El subrayado no es del original). Luego de un análisis de las Bases de Datos del Consejo de Seguridad Vial aunado a esto una entrevista al Director Nacional de la PRODHAB Msc. Mauricio Garro Guillen se pudo determinar lo siguiente: 3. Deben las bases de datos gubernamentales ser inscritas en la PRODHAB, partiendo del hecho de que los datos que en ella se encuentran son necesarios para la Seguridad del Estado y los mismos no son comercializados? Si hay divulgación o distribución de datos se deben de ser inscritas. Un ejemplo es el sitio web de la consulta que tiene el COSEVI, con lo cual ya se está divulgando la información. ((El subrayado no es del origina, entrevista original del pasado 16 de diciembre del 2015) Msc. Mauricio Garro Guillen: Desde el 6 de junio del 2014 ya se debía de haber iniciado con el trámite de inclusión de las base de datos, nosotros como agencia estaremos trabajando a la mayor brevedad posible para que se haga de oficio este trámite, hemos sido un poco flexibles pero debemos procurar resguardar la información sensible del ciudadano costarricense. ((El subrayado no es del origina, entrevista original del pasado 16 de diciembre del 2015) Página 17 de 23

18 Como bien se menciona en el Artículo 21 de la ley No. 8968: Toda base de datos, pública o privada, administrada con fines de distribución, difusión o comercialización, debe inscribirse en el registro que al efecto habilite la Prodhab. La inscripción no implica el trasbase o la transferencia de los datos. Deberá inscribir cualesquiera otras informaciones que las normas de rango legal le impongan y los protocolos de actuación a que hacen referencia el artículo 12 y el inciso c) del artículo 16 de esta ley. En este sentido el no identificar las Bases de Datos del Consejo de Seguridad Vial que deben de inscribirse ante la PRODHAB es una falta a la ley que se ve evidenciada, partiendo de esto podría existir denuncias de parte de los usuarios en caso de que exista perdida de información o mal uso de la misma. 4. CONCLUSIONES 4.1 En la Unidad de Asesoría de Tecnología de la Información no se cuenta actualmente con una definición Institucional de Base de Datos. (Resultado 3.1) 4.2 ATI no tienen identificadas ni protegidas todas la Bases de Datos de la Institución ya que existe un inventario de Bases de Datos, pero dentro del mismos no se encuentran inventariadas al menos quince Bases de Datos (bases de datos que están en Excel, aquellas otras que utilizan programas en maquinas locales) de acuerdo a la definición de la PRODHAB y la CGR. (Resultado 3.2) 4.3 Del análisis de riesgo hecho por esta Auditoría Interna se determino que las de las quince bases de datos fuera del inventario de ATI, presentan riegos moderados para los puntos de Responsabilidad, Manejo de Datos Sensibles, Confidencialidad, Seguridad y Control de Cambios. (Resultado 3.3) 4.4 Existen al menos tres base de datos que debieran de estar inscritas ante la Agencia de Protección de Datos, en cuenta la Bases de Datos de Infracciones, Accidentes, y Licencias; debido al tipo de información sensible que se maneja dentro de ellas y ser las mismas compartidas con otras instituciones. (Resultado 3.3) Página 18 de 23

19 5. RECOMENDACIONES A la Dirección Ejecutiva que gire Instrucciones a: La Asesoría de Tecnologías de Información: 5.1Realizar una Definición de Base de Datos que contenga los aspectos necesarios que incluyan todos conceptos, estructuras, manejo de los datos sensibles; esto para el resguardo y el respaldo de la información en el Consejo de Seguridad Vial. 5.2 Dar protección y asesoría a todas las Unidades del Consejo de Seguridad Vial con respecto al manejo de la información y resguardo de la misma, que se incluya las medidas de seguridad suficientes para que no se llegue a perder la información sensible del Consejo de Seguridad Vial. A todas las Unidades del Consejo de Seguridad Vial: 5.3 Coordinar con la Asesoría de Tecnologías de Información el manejo de la información y resguardo de la misma (Bases de Datos) que se tiene en cada uno de las Unidades, que se incluya las medidas de seguridad suficientes para que no se llegue a perder la información sensible del Consejo de Seguridad Vial. A la Asesoría Legal: 5.4 Agilizar las acciones correspondientes con el fin de continuar el proceso de registro de Bases de Datos ante la PRODHAB. Página 19 de 23

20 Anexo 1 Riesgos de la Base de Datos del COSEVI No es ninguna novedad el valor que tiene la información y los datos para las instituciones. Los que resulta increíble de esto es la falta de precauciones que solemos tener al confiar al núcleo de nuestras instituciones al sistema de almacenamiento de lo que en la mayoría de los casos resulta ser una computadora pobremente armada tanto del punto de vista de hardware como de software, con lo cual tomando en cuenta la importancia de las Base de Datos y su implicación en funcionamiento diario para el COSEVI se han definido los siguientes riesgos. Desconocimiento de normas: Las normas son el punto de partida sobre el cual debemos de procurar que la información en torno a las Tecnologías de información se traten de la mejor forma posible, en este caso se refiere a la probabilidad de que no se estén cumpliendo ciertas normas. Desconocimiento de las políticas: El desconocimiento supone un riesgo potencial para la seguridad de las organizaciones. Las políticas establecen las normas necesarias para minimizar los riesgos. Desconocimiento de la seguridad necesaria: El desconocimiento deriva en un uso inadecuado e ineficaz de los recursos, pero sobre todo, es fuente de todo tipo de incidentes de seguridad, la seguridad necesaria para respaldar la información de forma adecuada es un riesgo potencial que deriva en la perdida de información. Debilidad de la plataforma: Es el riesgo en donde las deficiencias de los sistemas de información (software inadecuado) y comunicación afecten la actividad. Página 20 de 23

21 Respaldos: Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos de electricidad, errores de hardware y software, caídas de red, hackers, errores humanos, incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de estas interrupciones, el COSEVI como institución debe de prepararse para evitar las consecuencias que éstas puedan tener sobre la línea de trabajo, con lo cual los respaldos son de primordial importancia. Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que cumpla con una serie de exigencias. Potencial Humano: Se refiere a la probabilidad donde el empleado por sí mismo, es el que debe verificar los pasos adecuados y realizar las actividades de la mejor forma posible, procurando no poner en riesgo la seguridad de las base de datos. Decisiones externas: Incluye la posibilidad en donde aquellas decisiones externas del gobierno (reestructuraciones, restricciones presupuestarias, etc) afecten el buen funcionamiento de las tecnologías de información en su amplio espectro por ende las base de datos se verán afectadas. Actividades que se medirán en los diferentes riesgos: Responsabilidad: persona física o jurídica que administre, gerencia o se encargue de la base de datos, ya sea esta una entidad pública o privada, competente, con arreglo a la ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrase y qué tipo de tratamiento se les aplicarán. (Articulo 3 Definiciones, PRODHAB). Administrador de la Base de Datos: Súper usuario de las Base de Datos, con roles de administrador global. (Glosario normativa N CO-DFOE). Página 21 de 23

22 Factores físicos: Protección física del hardware, software, instalaciones y personal relacionado con los sistemas de información. (Norma Seguridad Física y ambiental). Factores digitales: Los programas y documentación que los soporta que permiten y que facilitan el uso de la computadora. El software controla la operación del hardware (Norma Seguridad Física y ambiental). Datos sensibles: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros. (Articulo 3 Definiciones, PRODHAB). Datos: Objetos en su sentido más amplio (es decir, internos y externos), estructurados y no estructurados, gráficos, sonido, entre otros (Glosario normativa N CO-DFOE). Confidencialidad: Protección de información sensible contra divulgación no autorizada (Glosario normativa N CO-DFOE). Seguridad: Refiérase al conjunto de políticas, reglas y procedimientos relacionados con el acceso a la información, el software de base y aplicación, a las bases de datos y a las terminales y otros recursos de comunicación. (Norma Control de Acceso, Punto a). Pistas de Auditoria: Información que se registra como parte de la ejecución de una aplicación o sistema de información y que puede ser utilizada posteriormente para detectar incidencias o fallos. Esta información puede estar constituida por atributos como: la fecha de creación, última modificación o eliminación de un registro, los datos del responsable de dichos cambios o cualquier otro dato relevante que permita dar seguimiento a las transacciones u operaciones efectuadas. Las pistas de auditoría permiten el rastreo de datos y procesos; pueden aplicarse progresivamente (de los datos fuente hacia los resultados), o Página 22 de 23

23 bien regresivamente (de los resultados hacia los datos fuente). (Glosario normativa N CO-DFOE). Disponibilidad de los datos: Contar con una definición clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditoria (Norma 3.1 Consideraciones generales de la implementación de TI, Punto F) Actualizaciones: Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar periódicamente acciones para su actualización. (Norma Implementación de un marco de seguridad de la información) Control de cambios: Contar con una definición clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditoria (Norma 3.1 Consideraciones generales de la implementación de TI, Punto F) Página 23 de 23