El análisis abarcó el período comprendido entre setiembre del año 2006 y marzo del 2007, ampliándose cuando se consideró necesario.

Transcripción

1 AUDITORÍA INTERNA RESUMEN EJECUTIVO ESTUDIO SOBRE LA ADMINISTRACIÓN DE LOS RESPALDOS DE LAS BASES DE DATOS DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA OBJETIVO Determinar si los procedimientos de los respaldos de información garantizan razonablemente, su almacenamiento, actualización, y custodia, así como, la eficiente restauración de las bases de datos Institucionales. ALCANCE DEL ESTUDIO El estudio está dirigido a evaluar los procedimientos y actividades llevadas a cabo por la Unidad de Sistemas y Tecnologías de Información (USTI) para asegurar la disponibilidad, integridad y confiabilidad de la información mediante la obtención de respaldos de información. El análisis abarcó el período comprendido entre setiembre del año 2006 y marzo del 2007, ampliándose cuando se consideró necesario. La ejecución del presente estudio se llevó a cabo de conformidad con lo establecido en el Manual sobre normas técnicas de auditoría para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización y con el Manual de normas para el ejercicio de la auditoría interna en el Sector Público. CONSIDERACIONES GENERALES ACERCA DEL ESTUDIO La continuidad de los servicios informáticos, se apoya principalmente en la disponibilidad de las bases de datos; en función de esa necesidad esta Contraloría General en su Manual Institucional de Políticas de Seguridad en Tecnologías de Información, emitido por la USTI el 18 de noviembre del 2003, en el numeral indica que La administración de las bases de datos institucionales será responsabilidad de la USTI, mediante una persona que figure como DBA (Administrador de la Base de Datos) (El subrayado no es del original). A la luz de esa continuidad de servicios, reviste vital importancia la obtención de respaldos continuos y funcionales, adecuadamente custodiados y administrados; de lo cual debe dar parte la USTI en cumplimiento de la normativa aplicable. RESULTADOS La administración encomendada a la USTI respecto de la información contenida en las bases de datos conlleva una serie de medidas y gestiones que deben realizarse para preservar los datos, dentro de ellas una de las más importantes es la obtención y administración de los respaldos de manera segura, continua y adecuadamente definida. En ese sentido la USTI ha realizado importantes esfuerzos producto de los cuales mantiene en operación rutinas de trabajo para la generación, actualización, custodia y almacenamiento de respaldos. No obstante, mediante el presente estudio se identificaron aspectos que deben ser objeto de mejora por parte de esa Unidad a fin de fortalecer la estructura de control interno y, con ello minimizar los riesgos derivados de la ocurrencia de eventos negativos; de manera que se asegure razonablemente el cumplimiento de criterios de seguridad de la información relativos a disponibilidad, integridad y confiabilidad. Esas oportunidades de mejora se sustentan en los siguientes resultados:

2 RESUMEN EJECUTIVO INFORME NO. I-AIG El 36% de los procedimientos relacionados en forma directa con los respaldos de información están desactualizados. Además, para la recuperación de los equipos principales y las bases de datos que residen en los mismos no se han redactado procedimientos, cuando menos en términos generales, que minimicen la posibilidad de generación de dependencia sobre funcionarios clave. Si bien se mantiene un respaldo semanal de toda la información de la Institución, custodiado en un lugar externo a la ésta, se cuenta con el equipo necesario para generar respaldos diarios de los cambios que se presenten en las bases de datos principales, no obstante, éstos no se almacenan fuera de la USTI, cuando menos una vez al día, por el contrario las cintas se mantienen insertas en el equipo que genera el respaldo, lo cual deviene en un riesgo importante ante la ocurrencia de una situación no deseada que pudiera afectar tales cintas, ya que se contaría únicamente con el respaldo externo el cual puede presentar hasta una semana de atraso. Una de las medidas que garantiza la funcionalidad de los respaldos es la ejecución de pruebas de recuperación integral a partir de éstos, actividad que no realiza la USTI. Al respecto, se considera importante mencionar que aún cuando el espacio en los discos y la disponibilidad de equipos es un factor adverso para esa ejecución, éste no deviene en excluyente de la toma de medidas alternativas para probar la funcionalidad de los respaldos y documentar adecuadamente los resultados. El archivo de la documentación contentiva del detalle de los respaldos que semanalmente se envían a custodia al Poder Judicial no es congruente con sanas prácticas de control, pues tal documentación -única en su naturaleza- no se archiva de manera centralizada e integral por parte de la USTI; se mantiene dividida dentro de las tres cajas de seguridad dispuestas por la Institución, que transitan con ocasión del envío a custodia externa de las cintas contentivas de los respaldos. RECOMENDACIONES A LA JEFATURA DE LA USTI En razón de lo comentado, esta Auditoría Interna recomienda: 4.1. Realizar una revisión exhaustiva de los procedimientos consignados en la aplicación denominada Sistema de Administración de Contingencias y Lineamientos a efecto de asegurar su vigencia a la luz de la infraestructura tecnológica que actualmente administra la USTI y proceder a su inclusión en la aplicación antes mencionada Definir formalmente la periodicidad con la cual, en adelante, serán revisados tales procedimientos para mantener su actualización Establecer formalmente los procedimientos, cuando menos generales, sobre la recuperación de los sistemas y bases de datos de los equipos principales y, proceder a su inclusión en la aplicación denominada Sistema de Administración de Contingencias y Lineamientos antes mencionada Mantener almacenados fuera de la USTI los respaldos diarios, cuando menos, de los movimientos o cambios en las bases de datos. Para tal efecto considerar que el lugar seleccionado para el almacenamiento externo deberá reunir las condiciones mínimas para la conservación de los dispositivos contentivos de la información Tomar las medidas que se estimen pertinentes para que se establezcan: Los procedimientos que permitan llevar a cabo pruebas periódicas a la información que se preserva en las cintas contentivas de los respaldos de la información institucional. 2

3 RESUMEN EJECUTIVO INFORME NO. I-AIG La periodicidad de su ejecución La documentación que deberá generarse sobre el resultado de las pruebas en comentario, sean éstas positivas o no, así como el plazo de preservación de dicha documentación. Lo anterior, en aras de confirmar que los respaldos efectivamente permiten la recuperación de las bases de datos y, cumplen y mantienen los criterios de integridad y confiabilidad Llevar a cabo las acciones necesarias para que tanto los formularios completos existentes como los que se realicen a futuro respecto de los dispositivos que son enviados a custodia externa, se archiven de manera integral, ordenada y centralizada de manera que ante requerimientos técnicos o administrativos su disponibilidad inmediata esté asegurada Informar a la Auditoría Interna lo ordenado por esa Jefatura respecto de la implantación de las recomendaciones, en el plazo improrrogable de diez días hábiles contados a partir de la fecha de recibo de este informe, tal como lo establece expresamente el artículo 36 de la Ley General de Control Interno Remitir a esta Auditoría Interna, en un plazo de veinte días hábiles contados a partir de la fecha de recibo de este informe, en el formato que se adjunta, el plazo establecido por esa Jefatura para la debida puesta en operación de las recomendaciones comprendidas de la 4.1 a la 4.6 inclusive, para que de conformidad con la normativa esta Auditoría lleve a cabo, cuando así lo disponga, el seguimiento de esas recomendaciones, cuyo cabal cumplimiento es responsabilidad primaria de esa Jefatura. OBSERVACIONES DE LA ADMINISTRACIÓN El borrador del presente Informe y la norma del Manual de Normas Generales de Auditoría para el Sector Público, se hicieron del conocimiento de Lic. Miguel Aguilar Zamora, Jefe de la USTI y de los Licenciados Johnny Umaña Alfaro y Jorge Garnier Rovira, funcionarios de esa Unidad, para propósitos de realizar la conferencia final. Dicha conferencia se realizó el 18 de mayo del presente año, con los citados funcionarios, en la cual se aceptaron los resultados expuestos y las recomendaciones contenidas en este informe. 3

4 CONTENIDO 1. INTRODUCCIÓN ORIGEN DEL ESTUDIO OBJETIVO DEL ESTUDIO ALCANCE DEL ESTUDIO CONSIDERACIONES GENERALES ACERCA DEL ESTUDIO RESULTADOS DESACTUALIZACIÓN DE PROCEDIMIENTOS PROCEDIMIENTO DE REESTABLECIMIENTO DE EQUIPOS PRINCIPALES CUSTODIA DE RESPALDOS PRUEBAS DE RESPALDOS ARCHIVO FÍSICO DE FORMULARIOS DE RESPALDOS ENVIADOS AL PODER JUDICIAL CONCLUSIÓN RECOMENDACIONES A LA JEFATURA DE LA USTI OBSERVACIONES DE LA ADMINISTRACIÓN i

5 1. INTRODUCCIÓN 1.1 ORIGEN DEL ESTUDIO El presente estudio se efectuó de conformidad con el Plan Anual de la Auditoría Interna para el 2007 y es un producto de su Proceso de Auditoría. 1.2 OBJETIVO DEL ESTUDIO Determinar si los procedimientos de los respaldos de información garantizan razonablemente, su almacenamiento, actualización, y custodia, así como, la eficiente restauración de las bases de datos Institucionales. 1.3 ALCANCE DEL ESTUDIO El estudio está dirigido a evaluar los procedimientos y actividades llevadas a cabo por la Unidad de Sistemas y Tecnologías de Información (USTI) para asegurar la disponibilidad, integridad y confiabilidad de la información mediante la obtención de respaldos de información. El análisis abarcó el período comprendido entre setiembre del año 2006 y marzo del 2007, ampliándose cuando se consideró necesario. La ejecución del presente estudio se llevó a cabo de conformidad con lo establecido en el Manual sobre normas técnicas de auditoría para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización y con el Manual de normas para el ejercicio de la auditoría interna en el Sector Público. 1.4 CONSIDERACIONES GENERALES ACERCA DEL ESTUDIO La continuidad de los servicios informáticos, se apoya principalmente en la disponibilidad de las bases de datos; en función de esa necesidad esta Contraloría General en su Manual Institucional de Políticas de Seguridad en Tecnologías de Información, emitido por la USTI el 18 de noviembre del 2003, en el numeral indica que La administración de las bases de 1

6 datos institucionales será responsabilidad de la USTI, mediante una persona que figure como DBA (Administrador de la Base de Datos) (El subrayado no es del original). A la luz de esa continuidad de servicios, reviste vital importancia la obtención de respaldos continuos y funcionales, adecuadamente custodiados y administrados; de lo cual debe dar parte la USTI en cumplimiento de la normativa aplicable. 2

7 2. RESULTADOS De seguido se presentan los resultados de nuestro estudio que deben ser objeto de atención a efecto minimizar el riesgo inherente a la información contenida en ambientes de bases de datos. Conviene resaltar la disposición de los funcionarios de la USTI para brindar la información solicitada por esta Auditoría Interna durante la ejecución del presente estudio. 2.1 DESACTUALIZACIÓN DE PROCEDIMIENTOS En la aplicación denominada Sistema de Administración de Contingencias y Lineamientos se consignan una serie de procedimientos diseñados por la USTI, entre ellos los atinentes a la información almacenada en las bases de datos. Para propósitos del presente estudio se consideraron once, a saber: Respaldo de información de usuarios locales Envío de información de respaldos a sitio alterno en el Poder Judicial Respaldo en frío de la Base de Datos CGR1 Respaldo en caliente de la Base de Datos CGR1 Respaldo en frío de la Base de Datos CGR3 Respaldo en caliente de la Base de Datos CGR3 Respaldo del servicio de WebSense Respaldo de información del Servidor de Antivirus EPO. Respaldo de Información y configuraciones de Pix Firewall 525 Respaldo de configuraciones de servidor de autenticación AAA Respaldo y recuperación de la información de los servidores principales La revisión de tales procedimientos determinó que el 36 % de ellos, sean los cuatro primeros antes mencionados, están desactualizados. Asimismo, no se observó la existencia de una política u otro tipo de lineamiento o directriz relativo a la revisión periódica de los procedimientos para mantener su vigencia. 3

8 En relación con lo anterior, el Manual Institucional de Políticas de Seguridad en Tecnologías de Información en el numeral establece que La USTI deberá contar con procedimientos de respaldo y recuperación, documentados e implementados, que permitan una óptima recaptura de la información. Adicionalmente, el Manual de normas generales de control interno para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización 1 en la norma 4.5, Instrucciones por escrito, en lo de interés apunta: Las instrucciones que se impartan a todos y cada uno de los funcionarios de la institución deben darse por escrito y mantenerse en un compendio ordenado, actualizado y de fácil acceso que sea de conocimiento general./... (El subrayado es nuestro). La situación en comentario deviene en una afectación de sanas prácticas de control, pues el objetivo de este tipo de procedimientos es el de guiar de manera efectiva a los funcionarios que se encargarán de realizar los respaldos en un momento determinado, a fin de minimizar el riesgo de pérdida de información ante un evento no deseado que afecte los sistemas y bases de datos institucionales y, por ende, el criterio de disponibilidad de la información. 2.2 PROCEDIMIENTO DE REESTABLECIMIENTO DE EQUIPOS PRINCIPALES En los procedimientos almacenados en el Sistema de Administración de Contingencias y Lineamientos no se advirtió la existencia de los relacionados con la restauración de los equipos principales y sus bases de datos, que brinden una orientación cuando menos de manera general, acerca del ciclo de las actividades que se deben realizar. Al respecto, es pertinente indicar que el Manual de normas generales de control interno, antes referido, establece en punto a los procedimientos, lo siguiente: 1 Publicado en la Gaceta No. 107 del 05/06/02. 4

9 4.8 Documentación de procesos y transacciones / Los controles vigentes para los diferentes procesos y actividades de la institución, así como todas las transacciones y hechos significativos que se produzcan, deben documentarse como mínimo en cuanto a la descripción de los hechos sucedidos, el efecto o impacto recibido sobre el control interno y los objetivos institucionales, las medidas tomadas para su corrección y los responsables en cada caso; asimismo, la documentación correspondiente debe estar disponible para su verificación. (El subrayado no es del original). Asimismo en la declaración interpretativa de dicha norma se comenta que: Los objetivos institucionales, los controles y los aspectos pertinentes sobre transacciones y hechos significativos que se produzcan como resultado de la gestión, deben respaldarse adecuadamente con la documentación de sustento pertinente. El primer requerimiento puede quedar satisfecho en los planes estratégicos y operativos de la organización y en la normativa interna vigente (manuales de puestos y procedimientos; circulares; disposiciones; acuerdos que consten en actas y se comuniquen a quien corresponda, etc.). (El subrayado no consta en el original). Es importante acotar, que en materia de información y dada la relevancia de ese bien institucional, el establecimiento de los procedimientos de manera formal resulta de vital importancia, puesto que dicha documentación a la postre constituirá parte del acervo de procedimientos institucionales, lo cual minimiza, a su vez, la exposición al riesgo de dependencias críticas de funcionarios claves, derivadas éstas de una posible captura del conocimiento. 2.3 CUSTODIA DE RESPALDOS Con el propósito de mantener respaldos de la información almacenada en las bases de datos, la USTI genera diariamente cintas con dicha información, las cuales permanecen dentro del equipo que las genera, con excepción, de un juego que se envía semanalmente, los miércoles, a custodia externa en el Poder Judicial. 5

10 Al respecto, es pertinente indicar que el mantener todas las cintas dentro del equipo generador no es una práctica de control adecuada, pues en caso de que un evento negativo afecte las en él almacenadas, no se dispondría de otro respaldo en cinta más que el custodiado externamente, el cual puede presentar hasta una semana de atraso. Si bien el método de respaldo externo empleado por la USTI a la fecha constituye actividad relevante para la seguridad de la información, es fundamental que en el ínterin semanal entre un respaldo y otro enviado al Poder Judicial se disponga de uno con información más actualizada, cuando menos de la relativa a los movimientos diarios realizados en las bases de datos y custodiado en un lugar distinto al equipo generador de los mismos. Ello devendría en fortalecimiento de sanas prácticas de control y de la implementación del Manual Institucional de Políticas de Seguridad en Tecnologías de Información, respecto de su numeral que señala La USTI deberá contar con procedimientos de respaldo y recuperación, documentados e implementados, que permitan una óptima recaptura de la información. 2.4 PRUEBAS DE RESPALDOS En la ejecución del presente estudio no se obtuvo evidencia respecto de la planificación y ejecución de pruebas integrales a los respaldos que garanticen su funcionalidad en la recuperación de las bases de datos. Aún cuando se han realizado importantes esfuerzos para minimizar el impacto negativo sobre la continuidad de las operaciones y pronta recuperación de las aplicaciones y datos de la institución ante eventos no deseados, esa comprobación periódica de la funcionalidad de los respaldos reviste vital importancia, pues es el medio que permite asegurar su efectividad, confiabilidad y pertinencia. Es conocido por esta Auditoría Interna que para la ejecución de dichas pruebas, la disponibilidad de espacio en disco o equipo es un factor crítico, sin embargo, dicha condición no excluye la determinación de las posibles alternativas para cumplir con este requerimiento de control, cuando menos, en las bases de datos que se cataloguen como sensibles para la organización. 6

11 Dichas comprobaciones procuran, entre otros, minimizar el riesgo de eventuales fallas en los respaldos que afecten negativamente la recuperación de datos. 2.5 ARCHIVO FÍSICO DE FORMULARIOS DE RESPALDOS ENVIADOS AL PODER JUDICIAL Los formularios que enlistan el contenido de las cajas de seguridad utilizadas para el traslado al Poder Judicial de las cintas de respaldos, los cuales proporcionan, entre otros datos, el número de cartucho, la fecha de corte, el programa de respaldo y el número de placa de la caja de seguridad; se mantienen almacenados en la caja para la cual se completó dicho formulario y van y vienen en éstas de acuerdo con el turno de custodia. Esos formularios constituyen el único soporte documental disponible de la información que se ha enviado a custodiar en forma externa a la institución. Al respecto, el Manual de normas generales de control interno antes señalado en el numeral 5.6. establece lo siguiente: 5.6. Archivo institucional / La institución deberá implantar y aplicar políticas y procedimientos de archivo apropiados para la preservación de los documentos e información que deba conservar en virtud de su utilidad o por requerimiento técnico o jurídico, incluyendo los informes y registros contables, administrativos y de gestión con sus fuentes de sustento. Igualmente en su declaración interpretativa comenta que: La importancia del mantenimiento de archivos institucionales se pone de manifiesto en la necesidad de contar con material de referencia sobre la gestión, y particularmente cuando se considera la eventual responsabilidad de los servidores públicos y, por ende, la obligación de contar con evidencia cuando ella se requiera. (El subrayado no es del original). Sobre el particular, es menester acotar que ya sea porque se ha considerado que el historial de cada caja pertenece a éstas, o se estime seguro el sitio de resguardo de tales documentos u otra razón, lo cierto es que cuando sea necesario recurrir al historial documental de los respaldos obtenidos los mismos deben estar 7

12 disponibles en el momento que se requieran, centralizados y de manera integral y, no como en la actualidad sucede que generalmente se encuentran dos cajas fuera de la Institución con sus respectivos registros en su interior. Esa situación va en detrimento de la integridad de la información consignada en tales documentos pues se exponen al riesgo de pérdidas o destrucción desvirtuando su propósito fundamental cual es el de mantener un histórico de los respaldos obtenidos para ser enviados a la custodia externa de la Institución. 8

13 3. CONCLUSIÓN La administración encomendada a la USTI respecto de la información contenida en las bases de datos conlleva una serie de medidas y gestiones que deben realizarse para preservar los datos, dentro de ellas una de las más importantes es la obtención y administración de los respaldos de manera segura, continua y adecuadamente definida. En ese sentido la USTI ha realizado importantes esfuerzos producto de los cuales mantiene en operación rutinas de trabajo para la generación, actualización, custodia y almacenamiento de respaldos. No obstante, mediante el presente estudio se identificaron aspectos que deben ser objeto de mejora por parte de esa Unidad a fin de fortalecer la estructura de control interno y, con ello minimizar los riesgos derivados de la ocurrencia de eventos negativos; de manera que se asegure razonablemente el cumplimiento de criterios de seguridad de la información relativos a disponibilidad, integridad y confiabilidad. Esas oportunidades de mejora se sustentan en los siguientes resultados: El 36% de los procedimientos relacionados en forma directa con los respaldos de información están desactualizados. Además, para la recuperación de los equipos principales y las bases de datos que residen en los mismos no se han redactado procedimientos, cuando menos en términos generales, que minimicen la posibilidad de generación de dependencia sobre funcionarios clave. Si bien se mantiene un respaldo semanal de toda la información de la Institución, custodiado en un lugar externo a la ésta, se cuenta con el equipo necesario para generar respaldos diarios de los cambios que se presenten en las bases de datos principales, no obstante, éstos no se almacenan fuera de la USTI, cuando menos una vez al día, por el contrario las cintas se mantienen insertas en el equipo que genera el respaldo, lo cual deviene en un riesgo importante ante la ocurrencia de una situación no deseada que pudiera afectar tales cintas, ya que se contaría únicamente con el respaldo externo el cual puede presentar hasta una semana de atraso. 9

14 Una de las medidas que garantiza la funcionalidad de los respaldos es la ejecución de pruebas de recuperación integral a partir de éstos, actividad que no realiza la USTI. Al respecto, se considera importante mencionar que aún cuando el espacio en los discos y la disponibilidad de equipos es un factor adverso para esa ejecución, éste no deviene en excluyente de la toma de medidas alternativas para probar la funcionalidad de los respaldos y documentar adecuadamente los resultados. El archivo de la documentación contentiva del detalle de los respaldos que semanalmente se envían a custodia al Poder Judicial no es congruente con sanas prácticas de control, pues tal documentación -única en su naturaleza- no se archiva de manera centralizada e integral por parte de la USTI; se mantiene dividida dentro de las tres cajas de seguridad dispuestas por la Institución, que transitan con ocasión del envío a custodia externa de las cintas contentivas de los respaldos. 10

15 4. RECOMENDACIONES A LA JEFATURA DE LA USTI En razón de lo comentado, esta Auditoría Interna recomienda: 4.1. Realizar una revisión exhaustiva de los procedimientos consignados en la aplicación denominada Sistema de Administración de Contingencias y Lineamientos a efecto de asegurar su vigencia a la luz de la infraestructura tecnológica que actualmente administra la USTI y proceder a su inclusión en la aplicación antes mencionada Definir formalmente la periodicidad con la cual, en adelante, serán revisados tales procedimientos para mantener su actualización Establecer formalmente los procedimientos, cuando menos generales, sobre la recuperación de los sistemas y bases de datos de los equipos principales y, proceder a su inclusión en la aplicación denominada Sistema de Administración de Contingencias y Lineamientos antes mencionada Mantener almacenados fuera de la USTI los respaldos diarios, cuando menos, de los movimientos o cambios en las bases de datos. Para tal efecto considerar que el lugar seleccionado para el almacenamiento externo deberá reunir las condiciones mínimas para la conservación de los dispositivos contentivos de la información Tomar las medidas que se estimen pertinentes para que se establezcan: Los procedimientos que permitan llevar a cabo pruebas periódicas a la información que se preserva en las cintas contentivas de los respaldos de la información institucional La periodicidad de su ejecución La documentación que deberá generarse sobre el resultado de las pruebas en comentario, sean éstas positivas o no, así como el plazo de preservación de dicha documentación. Lo anterior, en aras de confirmar que los respaldos efectivamente permiten la recuperación de las bases de datos y, cumplen y mantienen los criterios de integridad y confiabilidad. 11

16 4.6. Llevar a cabo las acciones necesarias para que tanto los formularios completos existentes como los que se realicen a futuro respecto de los dispositivos que son enviados a custodia externa, se archiven de manera integral, ordenada y centralizada de manera que ante requerimientos técnicos o administrativos su disponibilidad inmediata esté asegurada Informar a la Auditoría Interna lo ordenado por esa Jefatura respecto de la implantación de las recomendaciones, en el plazo improrrogable de diez días hábiles contados a partir de la fecha de recibo de este informe, tal como lo establece expresamente el artículo 36 de la Ley General de Control Interno Remitir a esta Auditoría Interna, en un plazo de veinte días hábiles contados a partir de la fecha de recibo de este informe, en el formato que se adjunta, el plazo establecido por esa Jefatura para la debida puesta en operación de las recomendaciones comprendidas de la 4.1 a la 4.6 inclusive, para que de conformidad con la normativa esta Auditoría lleve a cabo, cuando así lo disponga, el seguimiento de esas recomendaciones, cuyo cabal cumplimiento es responsabilidad primaria de esa Jefatura. 12

17 5. OBSERVACIONES DE LA ADMINISTRACIÓN El borrador del presente Informe y la norma del Manual de Normas Generales de Auditoría para el Sector Público, se hicieron del conocimiento del Lic. Miguel Aguilar Zamora, Jefe de la USTI y los Licenciados Johnny Umaña Alfaro y Jorge Garnier Rovira, funcionarios de esa Unidad, para propósitos de realizar la conferencia final. Dicha conferencia se realizó el 18 de mayo del presente año, con los citados funcionarios, en la cual se aceptaron los resultados expuestos y las recomendaciones contenidas en este informe. 13

18 ANEXO 14

19 AUDITORIA INTERNA PLAZO ESTABLECIDO POR LA JEFATURA DE LA USTI PARA LA IMPLEMENTACIÓN DE LAS RECOMENDACIONES DEL INFORME I-AIG RECOMENDACIÓN 4.1 Realizar una revisión exhaustiva de los procedimientos consignados en la aplicación denominada Sistema de Administración de Contingencias y Lineamientos a efecto de asegurar su vigencia a la luz de la infraestructura tecnológica que actualmente administra la USTI y proceder a su inclusión en la aplicación antes mencionada. 4.2 Definir formalmente la periodicidad con la cual, en adelante, serán revisados tales procedimientos para mantener su actualización. 4.3 Establecer formalmente los procedimientos, cuando menos generales, sobre la recuperación de los sistemas y bases de datos de los equipos principales y, proceder a su inclusión en la aplicación denominada Sistema de Administración de Contingencias y Lineamientos antes mencionada. 4.4 Mantener almacenados fuera de la USTI los respaldos diarios, cuando menos, de los movimientos o cambios en las bases de datos. Para tal efecto considerar que el lugar seleccionado para el almacenamiento externo deberá reunir las condiciones mínimas para la conservación de los dispositivos contentivos de la información. 4.5 Tomar las medidas que se estimen pertinentes para que se establezcan: Los procedimientos que permitan llevar a cabo pruebas periódicas a la información que se preserva en las cintas contentivas de los respaldos de la información institucional La periodicidad de su ejecución. PLAZO FECHA FINAL DE CUMPLIMIENTO 1

20 RECOMENDACIÓN La documentación que deberá generarse sobre el resultado de las pruebas en comentario, sean éstas positivas o no, así como el plazo de preservación de dicha documentación. Lo anterior, en aras de confirmar que los respaldos efectivamente permiten la recuperación de las bases de datos y, cumplen y mantienen los criterios de integridad y confiabilidad. 4.6 Llevar a cabo las acciones necesarias para que tanto los formularios completos existentes como los que se realicen a futuro respecto de los dispositivos que son enviados a custodia externa, se archiven de manera integral, ordenada y centralizada de manera que ante requerimientos técnicos o administrativos su disponibilidad inmediata esté asegurada. 4.7 Informar a la Auditoría Interna lo ordenado por esa Jefatura respecto de la implantación de las recomendaciones, en el plazo improrrogable de diez días hábiles contados a partir de la fecha de recibo de este informe, tal como lo establece expresamente el artículo 36 de la Ley General de Control Interno. 4.8 Remitir a esta Auditoría Interna, en un plazo de veinte días hábiles contados a partir de la fecha de recibo de este informe, en el formato que se adjunta, el plazo establecido por esa Jefatura para la debida puesta en operación de las recomendaciones comprendidas de la 4.1 a la 4.6 inclusive, para que de conformidad con la normativa esta Auditoría lleve a cabo, cuando así lo disponga, el seguimiento de esas recomendaciones, cuyo cabal cumplimiento es responsabilidad primaria de esa Jefatura. PLAZO FECHA FINAL DE CUMPLIMIENTO 2