6.- Los procedimientos de seguridad para el ingreso al Data Center por la noche o en fin de semana no han sido documentados (410-10,8).

Transcripción

1 PROCESOS DE APOYO TECNOLOGIA INFORMACION Y COMUNICACIONES Tecnología Información y Comunicaciones 6.- Los procedimientos de seguridad para el ingreso al Data Center por la noche o en fin de semana no han sido documentados (410-10,8). No. No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Responsable 13 IAI - Informes de Auditoría Interna AI /08/ /08/2012 Tecnología de Información y Comunicaciones Medio Gerente de Planificación, Director de Tecnología de Información y Comunicaciones Hallazgos Recomendación Fecha Tope Debido a las necesidades operativas del Data Center, existen funcionarios autorizados que ingresan a este sitio en las noches o fines de semana, para solucionar problemas que se presentan en el mismo; sin embargo no existen procedimientos de seguridad escritos que regulen este ingreso. La Norma de Control Interno de "Seguridad de Tecnología de Información" numeral 8 estipula que: "La unidad de tecnología de información, establecerá mecanismos que protejan y salvaguarden contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas informáticos, para ello se aplicarán al menos las siguientes medidas: 8. Definición de procedimientos de seguridad a observarse por parte del personal que trabaja en turnos por la noche o en fin de semana." Lo comentado se debe a que las políticas y procedimientos de seguridad que regulan el ingreso al Data Center no han sido documentados para los casos en que se necesite ingresar por la noche o en fines de semana. Conclusión La Dirección de Tecnología de la Información y Comunicaciones no dispone de procedimientos de seguridad escritos a observarse por parte del personal El Gerente General dispondrá al Gerente de Planificación y éste al Director de Tecnología de la Información y Comunicaciones que se incorporen procedimientos de seguridad escritos a observarse por parte del personal que necesita ingresar por la noche o en fines de semana. 31/12/2012

2 Hallazgos Recomendación Fecha Tope que necesita ingresar por la noche o en fin de semana, por lo que eventualmente podrían producirse incidentes de la seguridad en el Data Center.

3 6.- Los procedimientos de seguridad para el ingreso al Data Center por la noche o en fin de semana no han sido documentados (410-10,8). ESTADO % Status COMENTARIOS Fecha Esperada Terminación 100 Actualización del seguimiento de recomendaciones al 23 de agosto de 2012: El Gerente General mediante memorando núm del 23 de agosto de 2012, dirigido a la Gerencia de Planificación y con copia a Auditoría Interna, manifestó lo siguiente: "Para su conocimiento y atención, remito copia del Informe de Auditoría No. AI denominado "Examen Especial a la Evaluación del Sistema de Control Interno relacionado con la Norma 410-Tecnología de la Información". Agradeceré se digne arbitrar las medidas necesarias para que, en estricto apego a la normativa aplicable y dentro de los plazos establecidos, se proceda al análisis, implementación y cumplimiento de las observaciones, conclusiones y recomendaciones constantes en dicho documento e informe a la Gerencia General sobre las acciones y resultados obtenidos..." 28/02/2013 En adjunto del memorando núm del 23 de agosto de 2012, consta un documento emitido por el Alcalde del Distrito Metropolitano de Quito dirigido al Gerente de la Empresa Eléctrica Quito, mediante memorando núm. 0639, el cual menciona lo siguiente: "Adjunto encontrará el oficio No A.I., que contiene un ejemplar del Informe de Auditoría No. AI , denominado "Examen especial a la evaluación del Sistema de Control Interno relacionado con la Norma 410 Tecnología de la Información".

4 De conformidad a la información remitida, se servirá aplicar de forma inmediata todas las recomendaciones y acciones solicitadas en el referido Examen especial, de conformidad con lo establecido en los artículos 92 de la Ley Orgánica de la Contraloría General del Estado y 28 de su Reglamento de aplicación; así como disponer su cumplimiento obligatorio por parte de los funcionarios que corresponda."" Actualización del seguimiento de recomendaciones al 27 de febrero de 2013: La Dirección de TIC, con oficio GPL-DTIC del 28 de enero de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización Con el propósito de atender al momento personal se encuentra elaborando el procedimiento requerido para normar el ingreso del personal en horarios nocturnos o fines de semana, se ha establecido como fecha limite de atención el 28 de febrero 2013." Actualización del seguimiento de recomendaciones al 03 de junio de 2013: La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: "Actualización a 30 de Mayo 2013 de la DTIC: Se ha elaborado el procedimiento, "Procedimiento de Seguridad del Data Center", está publicado en la intranet en gestión de la calidad con Código: TI-GBD-P006, en este documento la dirección de TIC ha definido las actividades o acciones a seguir por parte del personal para ingreso por la noche y fines de semana a los Data Center. Por lo indicado, se atiende esta recomendación en el 100%, se adjunta Procedimiento de

5 Seguridad del data Center en Anexo 1."

6 1.- El Comité Informático no ha sido creado (410-16). No. No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Responsable 7 IAI - Informes de Auditoría Interna AI /08/ /08/2012 Tecnología de la Información y Comunicaciones Medio Gerente General Hallazgos Recomendación Fecha Tope La EEQSA no ha creado el Comité Informático. Actualmente, la Dirección de Tecnología de Información y Comunicaciones y los dueños de los procesos de cada área realizan reuniones en las cuales se toman las decisiones relacionadas a la tecnología de la información de sus respectivas áreas. Existe un documento denominado "Creación Comité de Tecnología", generado por la DTIC, en el que se definen los siguientes aspectos: conformación, objetivo y funciones generales del Comité, sin embargo éste documento no ha sido revisado ni aprobado por los niveles jerárquicos correspondientes, por lo que tampoco se encuentra declarado en el Sistema de Gestión de la Calidad de la Empresa. La Norma de Control Interno referente a Comité Informático, determina que: "Para la creación de un comité informático institucional, se considerarán los siguientes aspectos: - El tamaño y complejidad de la entidad y su interrelación con entidades adscritas" - La definición clara de los objetivos que persigue la creación de un comité de informática tiene como propósito fundamental definir, conducir y evaluar las políticas internas para el crecimiento ordenado y progresivo de la tecnología de la información y la calidad de los servicios informáticos, así como apoyar en esta materia a las unidades administrativas que conforman la entidad." Según explicación verbal del Director de Tecnología de Información y Comunicaciones una de las causas para que hasta la presente fecha no se El Gerente General creará el Comité Informático para lo cual servirá de base el documento denominado Creación Comité de Tecnología desarrollado por la DTIC; también coordinará con las distintas gerencias la designación y las funciones de los miembros de dicho Comité, y dispondrá su funcionamiento inmediato. 31/12/2012

7 Hallazgos Recomendación Fecha Tope haya creado el Comité Informático de la EEQSA es que el documento denominado "Creación Comité de Tecnología" no ha sido sometido a los procesos de revisión y aprobación correspondientes. Conclusión El no haberse creado un Comité Informático para la Empresa no asegura el adecuado alineamiento entre el Plan estratégico de la organización y las actividades que realiza el área de Tecnología.

8 1.- El Comité Informático no ha sido creado (410-16). ESTADO % Status COMENTARIOS Fecha Esperada Terminación 10 Actualización del seguimiento de recomendaciones al 23 de agosto de 2012: El Gerente General mediante memorando núm del 23 de agosto de 2012, dirigido a la Gerencia de Planificación y con copia a Auditoría Interna, manifestó lo siguiente: "El Gerente General, mediante memorando núm del 23 de agosto de Para su conocimiento y atención, remito copia del Informe de Auditoría No. AI denominado "Examen Especial a la Evaluación del Sistema de Control Interno relacionado con la Norma 410-Tecnología de la Información". Agradeceré se digne arbirtrar las medidas necesarias para que, en estricto apego a la normativa aplicable y dentro de los plazos establecidos, se proceda al análisis, implementación y cumplimiento de las observaciones, conclusiones y recomendaciones constantes en dicho documento e informe a la Gerencia General sobre las acciones y resultados obtenidos. 31/07/2013 Adicionalmente, se servirá disponer a la Dirección de Tecnología de la Información y Comunicación remita a esta Gerencia la propuesta para la "Creación del Comité de Tecnología", desarrollada por dicha área." En adjunto del memorando núm del 23 de agosto de 2012, consta un documento emitido por el Alcalde del Distrito Metropolitano de Quito dirigido al Gerente de la Empresa Eléctrica Quito, mediante memorando núm. 0639, el cual menciona lo siguiente:

9 "Adjunto encontrará el oficio No A.I., que contiene un ejemplar del Informe de Auditoría No. AI , denominado "Examen especial a la evaluación del Sistema de Control Interno relacionado con la Norma 410 Tecnología de la Información". De conformidad a la información remitida, se servirá aplicar de forma inmediata todas las recomendaciones y acciones solicitadas en el referido Examen especial, de conformidad con lo establecido en los artículos 92 de la Ley Orgánica de la Contraloría General del Estado y 28 de su Reglamento de aplicación; así como disponer su cumplimiento obligatorio por parte de los funcionarios que corresponda."" Actualización del seguimiento de recomendaciones al 31 de agosto de 2012: El Gerente General mediante memorando núm del 31 de agosto de 2012, dirigido a la Gerencia de Planificación y con copia a Auditoría Interna, manifestó lo siguiente: "Para su conocimiento y atención, remito copia del oficio No. A 0639 suscrito por el Dr. Augusto Barrera Guarderas, Alcalde del Distrito Metropolitano de quito y Presidente de la Empresa Eléctrica Quito S.A., que hace relación al Informe de Auditoría Núm. AI denominado "Examen especial a la evaluación del Sistema de Control Interno relacionado con la Norma de Tecnología de la Información." Conforme se indicó en el Memorando GG-01172, de 23 de agosto del presente año, agradeceré se digne arbitrar las medidas necesarias para que, en escrito apego a la normativa aplicable y dentro de los plazos respectivos, se proceda al análisis, implementación y cumplimiento de las observaciones y recomendaciones constantes en dicho documento; adicionalmente, se servirá informar a esta Gerencia sobre las acciones y resultados obtenidos. Adicionalmente, en forma específica solicito su coordinación con la Dirección de Tecnología de Información y Comunicaciones y la Dirección de Desarrollo Organizacional, a fin de atender oportunamente la Recomendación de la Observación 1, relacionada con la creación del Comité Informático. Para este efecto, requiero el envío del documento denominado "Creación Comité

10 de Tecnología" con las revisiones y actualizaciones. " Actualización del seguimiento de recomendaciones al 27 de febrero de 2013: La Dirección de TIC, con oficio GPL-DTIC del 28 de enero de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización al : Se ha venido trabajando en la conformación del mencionado comité, elaborándose resolución de creación para revisión y aprobación de la misma, se estima que para el 31 de marzo se oficialice la creación del Comité Informático." Actualización del seguimiento de recomendaciones al 03 de junio de 2013: La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización al 30 de Mayo de 2013 DTIC: Se esta trabajando en la coordinación con Gerencia General a fin de programar reunión en la cual se proceda con la revisión, aprobación de la resolución para la creación del Comité Informático, se estima que hasta el 31 de julio cumplir con esta recomendación."

11 3.- Falta un procedimiento explícito respecto a la dependencia sobre personal clave (410-02,5). No. No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Responsable 9 IAI - Informes de Auditoría Interna AI /08/ /08/2012 Tecnología de Información y Comunicaciones Bajo Gerente de Planificación, Director de Tecnología de Información y Comunicaciones Hallazgos Recomendación Fecha Tope La Dirección de Tecnología de Información y Comunicaciones ha desarrollado una tabla denominada Remplazos por Competencias en la que se han identificado a los cargos claves y los candidatos que reemplazarían a los titulares de éstos, así como también se han valorado las competencias, sin embargo ésta no ha sido complementada con un procedimiento que instrumente la aplicabilidad de estos remplazos. La Norma de Control Interno referente a Segregación de Funciones menciona lo siguiente: Las funciones y responsabilidades del personal de tecnología de información y de los usuarios de los sistemas de información serán claramente definidas y formalmente comunicadas para permitir que los roles y responsabilidades asignados se ejerzan con suficiente autoridad y respaldo. La descripción documentada y aprobada de los puestos de trabajo que conforman la unidad de tecnología de información, contemplará los deberes y responsabilidades, así como las habilidades y experiencia necesarias en cada posición, a base de las cuales se realizará la evaluación del desempeño. Dicha descripción considerará procedimientos que eliminen la dependencia de personal clave. Cuando DTIC realizó la tabla denominada Remplazos por Competencias no se consideró la incorporación de un procedimiento que instrumente la aplicabilidad de estos remplazos, por lo que hay el riesgo que exista personal sobre quienes haya una excesiva dependencia por ser los únicos El Gerente General dispondrá al Gerente de Planificación y éste a su vez al Director de Tecnología de la Información y Comunicaciones que se complemente de manera explícita la tabla denominada Remplazos por Competencias con: a) un procedimiento que instrumente la aplicabilidad de estos remplazos y b) la denominación de los cargos de los remplazantes. 31/12/2012

12 Hallazgos Recomendación Fecha Tope en tener ciertos conocimientos; exponiendo de esta manera a la organización a un vacío de estos conocimientos en caso de ausencia temporal o definitiva de ese personal. Conclusión No se consideró la incorporación de un procedimiento que complemente e instrumente la aplicabilidad de la tabla denominada Remplazos por Competencias por lo que no está asegurado que todos los puestos clave de Dirección de Tecnología de la Información y Comunicaciones cuenten con personal alterno en caso de contingencia.

13 3.- Falta un procedimiento explícito respecto a la dependencia sobre personal clave (410-02,5). ESTADO % Status COMENTARIOS Fecha Esperada Terminación 10 Actualización del seguimiento de recomendaciones al 23 de agosto de 2012: El Gerente General mediante memorando núm del 23 de agosto de 2012, dirigido a la Gerencia de Planificación y con copia a Auditoría Interna, manifestó lo siguiente: "Para su conocimiento y atención, remito copia del Informe de Auditoría No. AI denominado "Examen Especial a la Evaluación del Sistema de Control Interno relacionado con la Norma 410-Tecnología de la Información". Agradeceré se digne arbirtrar las medidas necesarias para que, en estricto apego a la normativa aplicable y dentro de los plazos establecidos, se proceda al análisis, implementación y cumplimiento de las observaciones, conclusiones y recomendaciones constantes en dicho documento e informe a la Gerencia General sobre las acciones y resultados obtenidos..." 31/07/2013 En adjunto del memorando núm del 23 de agosto de 2012, consta un documento emitido por el Alcalde del Distrito Metropolitano de Quito dirigido al Gerente de la Empresa Eléctrica Quito, mediante memorando núm. 0639, el cual menciona lo siguiente: "Adjunto encontrará el oficio No A.I., que contiene un ejemplar del Informe de Auditoría No. AI , denominado "Examen especial a la evaluación del Sistema de Control Interno relacionado con la Norma 410 Tecnología de la Información".

14 De conformidad a la información remitida, se servirá aplicar de forma inmediata todas las recomendaciones y acciones solicitadas en el referido Examen especial, de conformidad con lo establecido en los artículos 92 de la Ley Orgánica de la Contraloría General del Estado y 28 de su Reglamento de aplicación; así como disponer su cumplimiento obligatorio por parte de los funcionarios que corresponda."" Actualización del seguimiento de recomendaciones al 27 de febrero de 2013: La Dirección de TIC, con oficio GPL-DTIC del 28 de enero de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización Con el propósito de atender al momento personal se encuentra desarrollando el documento del procedimiento que tratra la dependencia de personal clave, fijándose como fecha de finalización de esta tarea el " Actualización del seguimiento de recomendaciones al 03 de junio de 2013: La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización 30 de Mayo de 2013 de la DTIC: Personal administrativo se encuentra elaborando el documento en referencia, para revisión y aprobación de la Dirección, no se pudo cumplir con la fecha prevista principalmente por razones de cambio de prioridades, determinándose como fecha de cumplimiento de esta tarea al 31 de julio de 2013."

15 4.- La implementación de los procedimientos y medios técnicos para el uso de Firmas Electrónicas no se ha concluido (410-17). No. No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Responsable 10 IAI - Informes de Auditoría Interna AI /08/ /08/2012 Tecnología de Información y Comunicaciones Bajo Gerente de Planificación, Director de Tecnología de Información y Comunicaciones Hallazgos Recomendación Fecha Tope La EEQSA ha buscado los mecanismos para la implementación de los procedimientos y medios técnicos necesarios para permitir el uso de Firmas Electrónicas, sin embargo la implementación de esta herramienta tecnológica no ha concluido. La Norma de Control Interno referente a Firmas Electrónicas estipula que: "Las entidades, organismos y dependencias del sector público, así como las personas jurídicas que actúen en virtud de una potestad estatal, ajustarán sus procedimientos y operaciones e incorporarán los medios técnicos necesarios, para permitir el uso de la firma electrónica de conformidad con la Ley de Comercio Electrónico, Firmas y Mensajes de Datos y su Reglamento" El Gerente de Planificación de la EEQSA con del 26-jul-12 informó a Auditoría lo siguiente: "La Gerencia de Planificación ha realizado acciones con personeros de la Secretaría Nacional de la Administración Pública SNAP, a efecto de lograr nuestra incorporación al Proyecto Gobierno por Resultados - GpR, quienes nos manifestaron que eso solo será posible cuando la EEQ termine la fase de transición de S. A. a Empresa Pública." "Así también con el Sistema de Gestión Documental, que tiene a cargo la gestión del sistema documental denominado QUIPUX, y el cual se gestiona con el uso de firma electrónica a ciertos niveles, respecto de lo cual y por alineamiento institucional que los sustenta, también demanda de que la EEQ El Gerente General dispondrá al Gerente de Planificación que en coordinación con todas las Gerencias de la empresa, continúen el desarrollo de las acciones administrativas necesarias para procurar la implementación del uso de la firma electrónica en la entidad. 31/12/2012

16 Hallazgos Recomendación Fecha Tope sea una Empresa Pública." Esta situación no ha permitido generar las condiciones interinstitucionales que hagan posible la implantación de la Firma Electrónica en la EEQSA. Conclusión El no haber concluido con la implementación de los procedimientos y medios técnicos necesarios para permitir el uso de Firmas Electrónicas no facilita el intercambio de documentos firmados por este medio con otras entidades públicas, así como tampoco la celeridad en la tramitación formal de documentos.

17 4.- La implementación de los procedimientos y medios técnicos para el uso de Firmas Electrónicas no se ha concluido (410-17). ESTADO % Status COMENTARIOS Fecha Esperada Terminación 10 Actualización del seguimiento de recomendaciones al 23 de agosto de 2012: El Gerente General mediante memorando núm del 23 de agosto de 2012, dirigido a la Gerencia de Planificación y con copia a Auditoría Interna, manifestó lo siguiente: "Para su conocimiento y atención, remito copia del Informe de Auditoría No. AI denominado "Examen Especial a la Evaluación del Sistema de Control Interno relacionado con la Norma 410-Tecnología de la Información". Agradeceré se digne arbirtrar las medidas necesarias para que, en estricto apego a la normativa aplicable y dentro de los plazos establecidos, se proceda al análisis, implementación y cumplimiento de las observaciones, conclusiones y recomendaciones constantes en dicho documento e informe a la Gerencia General sobre las acciones y resultados obtenidos..." 15/02/2014 En adjunto del memorando núm del 23 de agosto de 2012, consta un documento emitido por el Alcalde del Distrito Metropolitano de Quito dirigido al Gerente de la Empresa Eléctrica Quito, mediante memorando núm. 0639, el cual menciona lo siguiente: "Adjunto encontrará el oficio No A.I., que contiene un ejemplar del Informe de Auditoría No. AI , denominado "Examen especial a la evaluación del Sistema de Control Interno relacionado con la Norma 410 Tecnología de la Información".

18 De conformidad a la información remitida, se servirá aplicar de forma inmediata todas las recomendaciones y acciones solicitadas en el referido Examen especial, de conformidad con lo establecido en los artículos 92 de la Ley Orgánica de la Contraloría General del Estado y 28 de su Reglamento de aplicación; así como disponer su cumplimiento obligatorio por parte de los funcionarios que corresponda."" Actualización del seguimiento de recomendaciones al 27 de febrero de 2013: La Dirección de TIC, con oficio GPL-DTIC del 28 de enero de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización Con el propósito de atender esta recomendación, se está realizando un análisis de las iniciativas y estrategias a seguir para la implementación de firma electrónica a dentro de la EEQ. Se estima que para el mes de marzo contar con las definiciones y ruta a seguir." Actualización del seguimiento de recomendaciones al 03 de junio de 2013: La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización 30 de mayo de 2013 de la DTIC: Realizado el análisis respectivo y considerando la coyuntura del proyecto adquisición e implementación de un ERP definido dentro del marco del SIGDE por el MEER, se ha contemplado como una de las funcionalidades del ERP en su modulo documental el manejo de firmas electrónicas. Por lo indicado el cierre de esta observación estará sujeta a la fechas definidas en el proyecto de implementación del ERP, conociéndose al momento que la adjudicación del contrato para la Implantación del Sistema de Recurso Empresariales se estima será el 15 de febrero de 2014."

19 8.- Registro de software como propiedad intelectual (410-07,15). No. No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Responsable 15 IAI - Informes de Auditoría Interna AI /08/ /08/2012 Tecnología de Información y Comunicaciones Medio Gerente de Planificación, Director de Tecnología de Información y Comunicaciones Hallazgos Recomendación Fecha Tope El software que ha sido desarrollado por la EEQSA no se encuentra registrado como propiedad intelectual, en el organismo competente. La Norma de Control Interno denominada "Desarrollo y Adquisición de Software Aplicativo" estipula que: "La unidad de tecnología de información regulará los procesos de desarrollo y adquisición de software aplicativo con lineamientos, metodologías y procedimientos. Los aspectos a considerar son: 9. Los derechos de autor del software desarrollado a la medida pertenecerán a la entidad y serán registrados en el organismo competente. Para el caso de software adquirido se obtendrá las respectivas licencias de uso." Lo comentado se debe a anteriormente no existió una norma que obligue a la EEQSA el registro como propiedad intelectual del software desarrollado por la Empresa. Conclusión Al no estar registrado como propiedad intelectual el software desarrollado por la EEQ S.A. no se podría asegurar sus derechos sobre éste. El Gerente General dispondrá al Gerente de Planificación, y éste a su vez al Director de Tecnología de la Información y Comunicaciones que coordine con el Procurador de la EEQSA el asesoramiento legal respectivo para el registro en el organismo competente del software de la EEQSA, para lo cual realizará un análisis e identificación previa del software que cumpla con los requisitos correspondientes. 31/12/2013

20 8.- Registro de software como propiedad intelectual (410-07,15). ESTADO % Status COMENTARIOS Fecha Esperada Terminación 30 Actualización del seguimiento de recomendaciones al 23 de agosto de 2012: El Gerente General mediante memorando núm del 23 de agosto de 2012, dirigido a la Gerencia de Planificación y con copia a Auditoría Interna, manifestó lo siguiente: "Para su conocimiento y atención, remito copia del Informe de Auditoría No. AI denominado "Examen Especial a la Evaluación del Sistema de Control Interno relacionado con la Norma 410-Tecnología de la Información". Agradeceré se digne arbitrar las medidas necesarias para que, en estricto apego a la normativa aplicable y dentro de los plazos establecidos, se proceda al análisis, implementación y cumplimiento de las observaciones, conclusiones y recomendaciones constantes en dicho documento e informe a la Gerencia General sobre las acciones y resultados obtenidos..." 31/12/2013 En adjunto del memorando núm del 23 de agosto de 2012, consta un documento emitido por el Alcalde del Distrito Metropolitano de Quito dirigido al Gerente de la Empresa Eléctrica Quito, mediante memorando núm. 0639, el cual menciona lo siguiente: "Adjunto encontrará el oficio No A.I., que contiene un ejemplar del Informe de Auditoría No. AI , denominado "Examen especial a la evaluación del Sistema de Control Interno relacionado con la Norma 410 Tecnología de la Información".

21 De conformidad a la información remitida, se servirá aplicar de forma inmediata todas las recomendaciones y acciones solicitadas en el referido Examen especial, de conformidad con lo establecido en los artículos 92 de la Ley Orgánica de la Contraloría General del Estado y 28 de su Reglamento de aplicación; así como disponer su cumplimiento obligatorio por parte de los funcionarios que corresponda."" Actualización del seguimiento de recomendaciones al 27 de febrero de 2013: La Dirección de TIC, con oficio GPL-DTIC del 28 de enero de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización Con el propósito de atender esta recomendación, se está realizando un análisis e identificación del software que cumpla con los requisitos requeridos dentro del proceso de registro de propiedad intelectual, se fija como fecha de finalización de esta actividad el " Actualización del seguimiento de recomendaciones al 03 de junio de 2013: La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización al 30 de Mayo de 2013 de la DTIC: La dirección de TIC, ha emprendido el trámite para el registro de propiedad intelectual, del aplicativo de Control de Asistencia, el formulario para iniciar el trámite de registro en el IEPI, para registro de firma, se remitió a Procuraduría mediante memorando GLP-DTIC , trámite , en este memorando también se solicita la elaboración de minuta de cesión de derechos de actor. Al momento no se ha tenido respuesta por parte de Procuraduría. Por lo indicado, determinar una fecha exacta de atención no es factible, sin embargo se espera poder concluir hasta fines de este año. Se adjunta memorando GLP-DTIC Anexo 3."

22

23 9.- Los procedimientos de desarrollo de software no han sido actualizados para contemplar los casos relacionados a cambios en las disposiciones legales y normativas (410-09,1). No. No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Responsable 16 IAI - Informes de Auditoría Interna AI /08/ /08/2012 Tecnología de Información y Comunicaciones Bajo Gerente de Planificación, Director de Tecnología de Información y Comunicaciones Hallazgos Recomendación Fecha Tope Actualmente existen los siguientes documentos para cuando se realizan cambios a los programas: Procedimiento de Ingeniería del Software - Código DS.IS.751.PRO.01 y la Metodología de Desarrollo de Sistemas; pero éstos no han sido actualizados con procedimientos escritos relacionados al mantenimiento y liberación de software de aplicación para los casos en que ocurran cambios a las disposiciones legales y normativas. La Norma de Control Interno relacionada con el Mantenimiento y Control de la Infraestructura Tecnológica establece que: "La unidad de tecnología de información de cada organización definirá y regulará los procedimientos que garanticen el mantenimiento y uso adecuado de la infraestructura tecnológica de las entidades. Los temas a considerar son: 1. Definición de procedimientos para mantenimiento y liberación de software de aplicación por planeación, por cambios a las disposiciones legales y normativas, por corrección y mejoramiento de los mismos o por requerimientos de los usuarios." Cuando se realizaron los documentos anteriormente mencionados, no se contempló la incorporación de procedimientos específicos para estos casos. Conclusión El Gerente General dispondrá al Gerente de Planificación y éste al Director de Tecnología de la Información y Comunicaciones que se actualicen los procedimientos de desarrollo de software existentes, para contemplar los casos en que por nuevas disposiciones legales y cambios a las normas se deban modificar los programas, y se incluya en los requisitos la documentación legal que respaldan los cambios. 31/08/2012

24 Hallazgos Recomendación Fecha Tope El no contar con procedimientos específicos para mantenimiento y liberación de software de aplicación para los casos en que ocurran cambios a las disposiciones legales y normativas puede ocasionar que se presenten incidentes de seguridad e incumplimiento de leyes y normas.

25 9.- Los procedimientos de desarrollo de software no han sido actualizados para contemplar los casos relacionados a cambios en las disposiciones legales y normativas (410-09,1). ESTADO % Status COMENTARIOS Fecha Esperada Terminación 100 Actualización del seguimiento de recomendaciones al 23 de agosto de 2012: El Gerente General mediante memorando núm del 23 de agosto de 2012, dirigido a la Gerencia de Planificación y con copia a Auditoría Interna, manifestó lo siguiente: "Para su conocimiento y atención, remito copia del Informe de Auditoría No. AI denominado "Examen Especial a la Evaluación del Sistema de Control Interno relacionado con la Norma 410-Tecnología de la Información". Agradeceré se digne arbitrar las medidas necesarias para que, en estricto apego a la normativa aplicable y dentro de los plazos establecidos, se proceda al análisis, implementación y cumplimiento de las observaciones, conclusiones y recomendaciones constantes en dicho documento e informe a la Gerencia General sobre las acciones y resultados obtenidos..." 31/07/2013 En adjunto del memorando núm del 23 de agosto de 2012, consta un documento emitido por el Alcalde del Distrito Metropolitano de Quito dirigido al Gerente de la Empresa Eléctrica Quito, mediante memorando núm. 0639, el cual menciona lo siguiente: "Adjunto encontrará el oficio No A.I., que contiene un ejemplar del Informe de Auditoría No. AI , denominado "Examen especial a la evaluación del Sistema de Control Interno relacionado con la Norma 410 Tecnología de la Información".

26 De conformidad a la información remitida, se servirá aplicar de forma inmediata todas las recomendaciones y acciones solicitadas en el referido Examen especial, de conformidad con lo establecido en los artículos 92 de la Ley Orgánica de la Contraloría General del Estado y 28 de su Reglamento de aplicación; así como disponer su cumplimiento obligatorio por parte de los funcionarios que corresponda."" Actualización del seguimiento de recomendaciones al 27 de febrero de 2013: La Dirección de TIC, con oficio GPL-DTIC del 28 de enero de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización Con el propósito de atender esta recomendación, se está realizando un análisis y elaboración de la documentación de los procedimientos requeridos considerando el tratamiento de cambios, fecha de finalización de esta actividad el " Actualización del seguimiento de recomendaciones al 03 de junio de 2013: La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización al 30 de Mayo de 2013 de la DTIC: Se procedió con la elaboración del procedimiento para el Desarrollo de Software, el mismo ha sido revisado por la jefaturas de desarrollo planteándose ajustes y cambios que están siendo implementados en documento final para proceder con registro de firmas requeridas para publicación dentro del SGC. Se ha fijado como fecha de finalización el 31 de julio de 2013." Actualización al 12 de julio del 2013: Con fecha 8 de julio de 2013, el Director de TIC informa a Auditoría Interna mediante oficio

27 GPL-DTIC , se ha realizado la actualización al Procedimiento Gestión de desarrollo de Sistemas que contempla la aplicación de la legislación vigente y más disposiciones y normas que regulan el accionar del sector público y los organismos seccionales, para lo cual envian un documento GPL DTIC con fecha 8 de julio de 2014 al SGC para su publicación. Con fecha 23 de julio de 2013, el Director de TIC informa a Auditoría Interna mediante oficio GPL-DTIC , lo siguiente: "Se ha elaborado una nueva versión del Procedimiento Gestión de Desarrollo de Sistemas en cual se han definido e incluido el tratamiento de modificaciones o cambios a programas por nuevas disposiciones legales. El procedimiento referido ha sido publicado el 22 de julio en el SGC, con código: TI-GDS-P001" Por lo indicado, se atiende esta recomendación en el 100%.

28 10.- No existe una política que regule el acceso remoto de computadoras personales en la red (410-12,4). No. No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Responsable 17 IAI - Informes de Auditoría Interna AI /08/ /08/2012 Tecnología de Información y Comunicaciones Medio Gerente de Planificación, Director de Tecnología de Información y Comunicaciones Hallazgos Recomendación Fecha Tope No existe una política que regule el 'acceso remoto' cuando se usa herramientas como Virtual Network Computing (VNC) de computadoras personales en la red, lo que se pudo evidenciar en una muestra revisada a varios equipos del área de Auditoría, en los que no se encuentra configurada la opción de aceptación de inicio del monitoreo o notificación de conexión. La Norma de Control Interno numeral relacionada con "Administración de Soporte de Tecnología de Información" menciona que: "La unidad de tecnología de información definirá, aprobará y difundirá procedimientos de operación que faciliten una adecuada administración del soporte tecnológico y garanticen la seguridad, integridad, confiabilidad y disponibilidad de los recursos y datos, tanto como la oportunidad de los servicios tecnológicos que se ofrecen. Los aspectos a considerar son: 4. Revisiones regulares de todas las cuentas de usuarios y los privilegios asociados a cargo de los dueños de los procesos y administradores de los sistemas de tecnología de información." Lo comentado se debe a que no se consideró incluir una política que regule el 'inicio de monitoreo' que incluya el parámetro de "notificar conexión" en las computadoras personales de la red. Conclusión El Gerente General dispondrá al Gerente de Planificación y éste al Director de Tecnología de la Información y Comunicaciones que establezca políticas y procedimientos que regulen el acceso remoto cuando se usa herramientas de monitoreo, para computadoras personales en la red. 31/12/2012

29 Hallazgos Recomendación Fecha Tope El que no exista una política que regule el 'acceso remoto' cuando se usa herramientas Virtual Network Computing (VNC), compromete la confidencialidad y seguridad de la información de las computadoras personales.

30 10.- No existe una política que regule el acceso remoto de computadoras personales en la red (410-12,4). ESTADO % Status COMENTARIOS Fecha Esperada Terminación 100 Actualización del seguimiento de recomendaciones al 23 de agosto de 2012: El Gerente General mediante memorando núm del 23 de agosto de 2012, dirigido a la Gerencia de Planificación y con copia a Auditoría Interna, manifestó lo siguiente: "Para su conocimiento y atención, remito copia del Informe de Auditoría No. AI denominado "Examen Especial a la Evaluación del Sistema de Control Interno relacionado con la Norma 410-Tecnología de la Información". Agradeceré se digne arbitrar las medidas necesarias para que, en estricto apego a la normativa aplicable y dentro de los plazos establecidos, se proceda al análisis, implementación y cumplimiento de las observaciones, conclusiones y recomendaciones constantes en dicho documento e informe a la Gerencia General sobre las acciones y resultados obtenidos..." 31/07/2013 En adjunto del memorando núm del 23 de agosto de 2012, consta un documento emitido por el Alcalde del Distrito Metropolitano de Quito dirigido al Gerente de la Empresa Eléctrica Quito, mediante memorando núm. 0639, el cual menciona lo siguiente: "Adjunto encontrará el oficio No A.I., que contiene un ejemplar del Informe de Auditoría No. AI , denominado "Examen especial a la evaluación del Sistema de Control Interno relacionado con la Norma 410 Tecnología de la Información".

31 De conformidad a la información remitida, se servirá aplicar de forma inmediata todas las recomendaciones y acciones solicitadas en el referido Examen especial, de conformidad con lo establecido en los artículos 92 de la Ley Orgánica de la Contraloría General del Estado y 28 de su Reglamento de aplicación; así como disponer su cumplimiento obligatorio por parte de los funcionarios que corresponda."" Actualización del seguimiento de recomendaciones al 27 de febrero de 2013: La Dirección de TIC, con oficio GPL-DTIC del 28 de enero de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización , con el propósito de atender esta recomendación, se está realizando elaboración de la documentación de la política requerida que norme el uso del acceso remoto, sin embargo actualmente el acceso remoto se lo realiza bajo la autorización (vía aplicación) del usuario. Se fija como fecha de finalización de esta actividad el " Actualización del seguimiento de recomendaciones al 03 de junio de 2013: La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización al 30 de Mayo de 2013 de la DTIC: Se procedió con la elaboración de cambios y ajuste a procedimiento respectivos para incluir políticas para el uso de acceso remoto, los documentos pertinentes están siendo revisado por las jefaturas correspondientes, una vez revisados se procederá con registro de firmas y publicación en SGC. Se ha fijado como fecha de finalización el 31 de julio de 2013." Actualización al 12 de julio de 2013: Con fecha 7 de junio de 2013, el Director de TIC (E) informa a Auditoría Interna mediante oficio

32 GLP-DTIC , acerca de está recomendación que se ha elaborado una nueva versión del procedimiento, "Procedimiento para Soporte Informático de Software", en cual se han definido e incluido la política para regular el 'Acceso Remoto', a los computadores personales. El procedimiento referido ha sido publicado dentro del SGC, con código TI-GSI-P002. Por lo indicado esta recomendación está atendida en un 100%.

33 11.- No existen políticas que regulen el uso del perfil de administrador de computadoras personales en la red y para revisiones regulares formales de todas las cuentas de usuarios y los privilegios asociados (410-12,4). No. No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Responsable 18 IAI - Informes de Auditoría Interna AI /08/ /08/2012 Tecnología de Información y Comunicaciones Medio Gerente de Planificación, Director de Tecnología de Información y Comunicaciones Hallazgos Recomendación Fecha Tope No existe una política que regule el uso del perfil de administrador para los usuarios de computadoras personales en la red, lo cual se evidenció al verificar los perfiles de usuario de algunos computadores personales de la red, la Dirección de Tecnología de la Información y Comunicaciones ha estado otorgando dicho perfil, según los requerimientos de los usuarios. Adicionalmente no se ha definido una política para revisiones regulares formales de todas las cuentas de usuarios y los privilegios asociados, a cargo de los dueños de los procesos y administradores de los sistemas de tecnología de información. Actualmente la Dirección de Tecnología de la Información y Comunicaciones, realiza revisiones ocasionales e informales de las cuentas de los usuarios y privilegios asociados a cargo de los dueños de los procesos y administradores de los sistemas de tecnología de información, pero no se ha establecido un procedimiento escrito que obligue a realizar estas revisiones de manera formal y periódica por parte de los administradores responsables de cada uno de los sistemas. La Norma de Control Interno denominada "Administración de soporte de tecnología de información" estipula que: "La unidad de tecnología de información definirá, aprobará y difundirá procedimientos de operación que faciliten una adecuada administración del soporte tecnológico y garanticen la seguridad, integridad, confiabilidad y disponibilidad de los recursos y datos, tanto como la oportunidad de los servicios tecnológicos que se ofrecen. El Gerente General dispondrá al Gerente de Planificación y éste al Director de Tecnología de la Información y Comunicaciones que establezca políticas y procedimientos escritos que regulen: a) el uso del perfil de administrador para los usuarios de computadoras personales en la red y b) las revisiones regulares de todas las cuentas de usuarios y los privilegios asociados, a cargo de los dueños de los procesos y administradores de los sistemas de tecnología de información. 31/10/2012

34 Hallazgos Recomendación Fecha Tope Los aspectos a considerar son: 4. Revisiones regulares de todas las cuentas de usuarios y los privilegios asociados a cargo de los dueños de los procesos y administradores de los sistemas de tecnología de información. 5. Medidas de prevención, detección y corrección que protejan a los sistemas de información y a la tecnología de la organización de software malicioso y virus informáticos." Lo comentado se debe a que no se ha considerado la inclusión de políticas que regulen el uso del perfil de administrador y para revisiones regulares de todas las cuentas de usuarios y privilegios asociados, existiendo el riesgo de que se instale software no autorizado, malware o que se altere indebidamente la configuración del computador personal. Conclusión El no contar con políticas que regulen el uso del perfil de administrador para los usuarios de computadoras personales en la red y para revisiones regulares de todas las cuentas de usuarios y los privilegios asociados, puede ocasionar la instalación de software no autorizado, malware o que se altere a la configuración del computador personal y que se presenten brechas entre los permisos y accesos autorizados por los dueños de los procesos y los permisos y accesos actuales que tengan los usuarios de los sistemas de información.

35 11.- No existen políticas que regulen el uso del perfil de administrador de computadoras personales en la red y para revisiones regulares formales de todas las cuentas de usuarios y los privilegios asociados (410-12,4). ESTADO % Status COMENTARIOS Fecha Esperada Terminación 100 Actualización del seguimiento de recomendaciones al 23 de agosto de 2012: El Gerente General mediante memorando núm del 23 de agosto de 2012, dirigido a la Gerencia de Planificación y con copia a Auditoría Interna, manifestó lo siguiente: "Para su conocimiento y atención, remito copia del Informe de Auditoría No. AI denominado "Examen Especial a la Evaluación del Sistema de Control Interno relacionado con la Norma 410-Tecnología de la Información". Agradeceré se digne arbitrar las medidas necesarias para que, en estricto apego a la normativa aplicable y dentro de los plazos establecidos, se proceda al análisis, implementación y cumplimiento de las observaciones, conclusiones y recomendaciones constantes en dicho documento e informe a la Gerencia General sobre las acciones y resultados obtenidos..." 31/07/2013 En adjunto del memorando núm del 23 de agosto de 2012, consta un documento emitido por el Alcalde del Distrito Metropolitano de Quito dirigido al Gerente de la Empresa Eléctrica Quito, mediante memorando núm. 0639, el cual menciona lo siguiente: "Adjunto encontrará el oficio No A.I., que contiene un ejemplar del Informe de Auditoría No. AI , denominado "Examen especial a la evaluación del Sistema de Control Interno relacionado con la Norma 410 Tecnología de la Información".

36 De conformidad a la información remitida, se servirá aplicar de forma inmediata todas las recomendaciones y acciones solicitadas en el referido Examen especial, de conformidad con lo establecido en los artículos 92 de la Ley Orgánica de la Contraloría General del Estado y 28 de su Reglamento de aplicación; así como disponer su cumplimiento obligatorio por parte de los funcionarios que corresponda."" Actualización del seguimiento de recomendaciones al 27 de febrero de 2013: La Dirección de TIC, con oficio GPL-DTIC del 28 de enero de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización Con el propósito de atender esta recomendación, se está realizando elaboración de la documentación de la política requerida que norme el uso del perfil de administrador de computadoras de la red. Se fija como fecha de finalización de esta actividad el " Actualización del seguimiento de recomendaciones al 03 de junio de 2013: La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación: Razones por las que no se ha cumplido totalmente esta recomendación: "Actualización al 30 de Mayo de 2013: Se procedió con la elaboración de cambios y ajuste a procedimiento respectivos para incluir políticas para el uso de perfil de administrador, los documentos pertinentes están siendo revisado por las jefaturas correspondientes, una vez revisados se procederá con registro de firmas y publicación en SGC. Se ha fijado como fecha de finalización el 31 de julio de 2013." Actualización al 12 de julio de 2013: