INFORME DE AUDITORÍA TI-15-10 12 de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia

INFORME DE AUDITORÍA TI-15-10 12 de mayo de 2015 Departamento de Educación Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (Unidad 5260 - Auditoría 13850) Período auditado: 12 de junio de 2013 al 30 de octubre de 2014

TI-15-10 1 CONTENIDO Página ALCANCE Y METODOLOGÍA... 2 CONTENIDO DEL INFORME... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA... 3 COMUNICACIÓN CON LA GERENCIA... 5 OPINIÓN Y HALLAZGOS... 5 1 - Falta de un informe de análisis de riesgos de los sistemas de información computadorizados... 6 2 - Falta de un plan de continuidad de negocios y de un centro alterno para la recuperación de las operaciones computadorizadas... 9 3 - Deficiencias relacionadas con la configuración del firewall y falta de normas para detectar, reportar y responder a incidentes de seguridad relacionados con los sistemas de información computadorizados del DE... 12 4 - Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal para las cuentas con acceso a la red del DE... 14 5 - Falta de documentación relacionada con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador de los sistemas operativos, y del otorgamiento de privilegios de conexión remota a los sistemas de información... 15 6 - Falta de un registro de programas instalados en cada computadora... 18 RECOMENDACIONES... 20 AGRADECIMIENTO... 22 ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO... 23

2 TI-15-10 Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 12 de mayo de 2015 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información y Apoyo Tecnológico a la Docencia (OSIATD) del Departamento de Educación (DE), para determinar si se efectuaron de acuerdo con las normas generalmente aceptadas en este campo, y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 12 de junio de 2013 al 30 de octubre de 2014. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este es el primer informe y contiene seis hallazgos sobre el resultado del examen que realizamos de los controles internos establecidos para la administración del programa de seguridad, el acceso lógico, la configuración de los sistemas de información, la continuidad del servicio, y el uso y la seguridad de las computadoras. El mismo está disponible en nuestra página en Internet: www.ocpr.gov.pr.

TI-15-10 3 INFORMACIÓN SOBRE LA UNIDAD AUDITADA El DE es uno de los departamentos ejecutivos establecidos por el Artículo IV, Sección 6 de la Constitución. Este se rige por la Ley 149-1999, Ley Orgánica del Departamento de Educación de Puerto Rico, según enmendada. El DE se rige, además, por otros estatutos legales, entre estos: la Resolución Conjunta 3 del 28 de agosto de 1990, que adscribe la Oficina para el Mejoramiento de las Escuelas Públicas (OMEP) al DE; la Ley 51-1996, que creó la Secretaría Auxiliar de Servicios Educativos Integrales para Personas con Impedimentos (SASEIPI), ahora Secretaría Asociada de Educación Especial (SAEE); la Ley 158-1999, Ley de Carrera Magisterial; y la Ley 68-2002, Ley de Nombramientos Magisteriales de Emergencia, para autorizar al Secretario de Educación (Secretario) a reclutar maestros retirados. Por otro lado, el DE está sujeto a la legislación y a la reglamentación sobre educación que promulgue el Gobierno Federal de los Estados Unidos de América, y del Estado Libre Asociado de Puerto Rico, y a la reglamentación vigente que haya emitido el Secretario. El propósito primordial del DE es alcanzar el nivel más alto posible de excelencia educativa. Es la entidad gubernamental responsable de impartir la educación pública, sin ninguna inclinación sectaria, y gratuita en los niveles primario y secundario en Puerto Rico. Además, es responsable de brindar igualdad de oportunidades educativas de alta calidad; atender debidamente el nivel de educación preescolar; convertir la escuela en el objetivo principal hacia el cual apunten todos los recursos que el Estado asigne a la educación; y estimular la mayor participación de todos los componentes del sistema educativo en las decisiones que afectan la escuela. Las operaciones del DE son administradas por el Secretario, nombrado por el Gobernador, con el consejo y el consentimiento del Senado de Puerto Rico. Este es responsable, entre otras cosas, de implantar la política pública que la Asamblea Legislativa de Puerto Rico y el Gobernador

4 TI-15-10 adopten, con el fin de realizar los propósitos que la Constitución y la Ley 149-1999 pautan para el Sistema de Educación Pública, y de organizar, planificar, dirigir, supervisar y evaluar las actividades académicas y administrativas del DE. El DE cuenta con 1 Subsecretario para Asuntos Académicos y 1 Subsecretario de Administración para manejar los asuntos relacionados con la docencia y con la administración. La estructura organizacional la integran, además, la Secretaría Asociada de Educación Especial, 7 secretarías auxiliares 1, 7 oficinas administrativas 2, la Junta de Apelaciones, el Centro de Investigaciones Educativas e Innovaciones Educativas y Etnográfica, el Instituto Nacional para el Desarrollo Curricular, el Instituto de Capacitación Administrativa y Asesoramiento a Escuelas, la División Legal, el Instituto para el Desarrollo Profesional del Maestro, la Autoridad Escolar de Alimentos, y la Agencia Estatal y Servicios de Alimentos y Nutrición. Además, al 5 de agosto de 2014, el DE contaba con 7 regiones educativas 3, 28 distritos escolares y 1,461 escuelas. La OSIATD la dirige una Ayudante Especial del Secretario. Esta Oficina tiene la obligación de liderar el desarrollo y la utilización de los sistemas de información. Además, debe velar por la adquisición del equipo tecnológico apropiado para las gestiones cotidianas del DE, los servicios relacionados con estas herramientas, y el uso seguro y eficiente de la tecnología informática del DE. También tiene a su cargo la administración, el mantenimiento y el servicio de los sistemas de información computadorizados utilizados en el DE. Los fondos para financiar las actividades operacionales del DE provenían principalmente del presupuesto general, de fondos especiales y de fondos federales. Para el año fiscal 2013-14, el presupuesto asignado al DE 1 Educación Vocacional y Técnica, Finanzas, Planificación y Desarrollo Educativo, Recursos Humanos, Servicios Académicos y Servicios Educativos a la Comunidad, Servicios Auxiliares, y Servicios de Ayuda al Estudiante. 2 Las del Secretario, la OSIATD, Asuntos Federales, Auditoría Interna, Comunicaciones, Presupuesto y la Oficina para el Mejoramiento de Escuelas Públicas. 3 Estas están localizadas en Arecibo, Bayamón, Caguas, Humacao, Mayagüez, Ponce y San Juan.

TI-15-10 5 ascendía a $3,609,229,000. De acuerdo con la información suministrada por la Directora de Contabilidad de la Secretaría Auxiliar de Finanzas, para los años fiscales del 2010-11 al 2012-13, el DE efectuó desembolsos 4 relacionados con los sistemas de información computadorizados por $49,523,355, $48,972,352 y $68,941,645, respectivamente. El ANEJO contiene una relación de los funcionarios principales del DE que actuaron durante el período auditado. El DE cuenta con una página en Internet, a la cual se puede acceder mediante la siguiente dirección: www.de.gobierno.pr. Esta página provee información acerca del DE y de los servicios que presta. COMUNICACIÓN CON LA GERENCIA El borrador de los hallazgos de este Informe se remitió, para comentarios, al Hon. Rafael Román Meléndez, Secretario de Educación, por carta del 17 de marzo de 2015. En este se indicaron los nombres de sistemas o programas que por seguridad no se incluyen en este Informe. El 24 de marzo de 2015 el Secretario solicitó una prórroga para remitir sus comentarios al borrador de los hallazgos de este Informe. Ese mismo día le concedimos la prórroga hasta el 10 de abril de 2015. El Secretario contestó el borrador de los hallazgos de este Informe mediante carta del 10 de abril de 2015. Sus comentarios fueron considerados en la redacción final de este Informe. En los hallazgos se incluyeron algunos de sus comentarios. OPINIÓN Y HALLAZGOS Opinión favorable con excepciones Las pruebas efectuadas y la evidencia en nuestro poder revelaron que las operaciones de la OSIATD en lo que concierne a los controles internos establecidos para la administración de la seguridad, el acceso lógico, la configuración de los sistemas de información, la segregación de deberes, la continuidad del servicio, y el uso y la seguridad de las computadoras, se 4 En la certificación suministrada para examen se indica que la información correspondiente al año fiscal 2012-13 es preliminar porque aún no se ha emitido el Single Audit.

6 TI-15-10 realizaron sustancialmente conforme con las normas generalmente aceptadas en este campo, excepto por los hallazgos del 1 al 6 que se comentan a continuación. Hallazgo 1 - Falta de un informe de análisis de riesgos de los sistemas de información computadorizados Situación a. El DE mantenía sus operaciones en forma computadorizada mediante el uso de los siguientes sistemas de información: Sistema de Información Estudiantil (SIE) - En este sistema se documentaba la información demográfica de 392,635 estudiantes existentes al 28 de agosto de 2014. Esto, además de mantener información relacionada con el proceso de matrícula, el progreso académico y los incidentes de disciplina asociados a estos estudiantes. Mi Portal Especial (MiPE) - En este sistema se mantenían los datos relacionados con los estudiantes del Programa de Educación Especial. Al 11 de septiembre de 2014, existían 103,180 registros electrónicos relacionados con el Programa Educativo Individualizado (PEI). Sistema Financiero del Departamento de Educación (SIFDE) - En este se evidenciaba e informaba sobre la utilización y el manejo de los fondos federales y estatales del DE. Al 11 de septiembre de 2014, en este sistema se habían registrado 2,879 órdenes de compra por $81,537,258 y 83,094 pagos a proveedores por $1,211,664,791. Tiempo, Asistencia y Licencia (TAL) - En este se registraba la asistencia y se calculaban las licencias del personal, las cuales luego se procesaban a través del sistema de recursos humanos del DE (STAFF). Esto, con el propósito de mantener control sobre los datos del personal del DE. Al 26 de junio de 2013, la nómina mensual del personal activo del DE ascendió a $121,876,000.

TI-15-10 7 Además, el DE contaba con un data warehouse que le permitía tener acceso rápido a información necesaria para la toma de decisiones. Por otra parte, el DE mantenía una red administrativa y una red educativa, mediante las cuales se daba servicio a los usuarios de sistemas de información que laboraban en las secretarías y oficinas administrativas del DE distribuidas en 2 edificios; y a 7 oficinas regionales, a 28 distritos escolares y a 1,461 escuelas. Además, a través de la red se permitía a los usuarios conectarse a Internet e intercambiar información a través del correo electrónico. Al 28 de febrero de 2014, los equipos computadorizados del DE consistían de 175 servidores físicos y 181 servidores virtuales, 13,216 desktops, 15,045 laptops y 9,052 tablets. Los sistemas, el data warehouse y los equipos computadorizados formaban parte de los activos de sistemas de información computadorizados existentes en el DE. Sin embargo, al 4 de septiembre de 2014, en el DE no se había preparado un análisis de riesgos de los sistemas de información computadorizados. El análisis de riesgos de los sistemas de información computadorizados es un proceso a través del cual se identifican los activos de sistemas de información computadorizados existentes en una entidad, sus vulnerabilidades, y las amenazas a las que se encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas. Esto, con el fin de determinar las medidas de seguridad y los controles adecuados a ser implantados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, y proteger dichos activos, de manera que no se afecten adversamente las operaciones de la entidad. Mediante este proceso, se asegura que las medidas de seguridad y los controles a ser implantados sean costo-efectivos, pertinentes a las operaciones de la entidad y que respondan a las posibles amenazas identificadas.

8 TI-15-10 Criterios La situación comentada se aparta de lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico aprobada el 30 de julio de 2010 por el Director de la OSIATD. En esta se establece, entre otras cosas, que será necesario un inventario de activos de sistemas de información que incluya el equipo, los programas y los datos. Estos deberán ser clasificados de acuerdo con su nivel de confidencialidad. Además, será necesario identificar las posibles amenazas contra los sistemas de información, realizar un análisis de impacto en las operaciones y determinar la probabilidad de que ocurran esas amenazas. También es contraria a lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2014 por la Directora de la Oficina de Gerencia y Presupuesto (OGP); y de la Política TIG-015, Programa de Continuidad Gubernamental, aprobada el 22 de septiembre de 2011 por el Director de la OGP. Efectos La situación comentada impide al DE estimar el impacto que los elementos de riesgos tendrían sobre las áreas y los sistemas críticos de esta, y considerar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información. Además, dificulta desarrollar un plan de continuidad de negocios donde se establezcan las medidas de control que minimicen los riesgos previamente identificados a un nivel aceptable, y los pasos a seguir para restablecer las operaciones del DE, en caso de que surja alguna eventualidad. [Véase el Hallazgo 2-a.] Causa La situación comentada se atribuye a que el Secretario no había promulgado una directriz para la preparación y la documentación de un análisis de riesgos que incluya todos los activos de sistemas de información (internos y externos) del DE, como establecen las políticas TIG-003 y TIG-015.

TI-15-10 9 Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: El Departamento de Educación está realizando las acciones correspondientes para recibir el apoyo técnico necesario para desarrollar el análisis de riesgo de los sistemas, programas y equipos residentes en el centro de cómputos y otras facilidades del Departamento. Con relación a las aplicaciones del Sistema de Información Estudiantil (SIE) y del Sistema Financiero (SIFDE), los mismos residen con [ ] por lo que el Departamento descansa en el trabajo realizado por la firma de contabilidad pública [ ] como parte del Service Organization Controls (SOC) 1 Report. [sic] Véase la Recomendación 1. Hallazgo 2 - Falta de un plan de continuidad de negocios y de un centro alterno para la recuperación de las operaciones computadorizadas Situaciones a. Al 24 de junio de 2013, el DE carecía de un plan de continuidad de negocios que incluyera los planes específicos, completos y actualizados de la OSIATD. Esto era necesario para lograr el pronto funcionamiento de los sistemas de información computadorizados y restaurar las operaciones del DE, en caso de riesgos como: variaciones de voltaje, virus de computadoras, ataques maliciosos a la red, o desastres naturales, entre otros. Una situación similar se comentó en el Informe de Auditoría DA-09-20 del 24 de febrero de 2009. b. Al 8 de julio de 2013, el DE no contaba con un centro alterno para restaurar sus operaciones críticas computadorizadas en caso de emergencia. Tampoco había formalizado acuerdos escritos con otra entidad para establecer un centro alterno en las instalaciones de esta. Una situación similar se comentó en los informes de auditoría TI-01-9 del 19 de marzo de 2001 y DA-09-20.

10 TI-15-10 Criterios La situación comentada en el apartado a. es contraria a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que se prepare un Plan de Continuidad de Negocios que incluya un Plan para la Recuperación de Desastres y un Plan para la Continuidad de las Operaciones, basado en el análisis de riesgos de los sistemas de información computadorizados del DE. También se aparta de lo establecido en las políticas TIG-003 y TIG-004, Servicios de Tecnología de la Carta Circular 77-05; y de lo establecido en la Política TIG-015. Las mejores prácticas en el campo de la tecnología de información sugieren que, como parte integral del Plan de Continuidad de Negocios, deben existir convenios con otras entidades donde se estipulen las necesidades y los servicios requeridos para afrontar una emergencia. Debe incluirse, además, una cláusula que especifique el lugar o los lugares donde podrían ser requeridos dichos servicios. Estos lugares, de acuerdo con la capacidad de la agencia, podrían ser los siguientes: [Apartado b.] Una entidad pública o privada de similar configuración y tamaño Una compañía dedicada a servicios de restauración Un centro alterno de la propia entidad. Efectos La situación comentada en el apartado a. podría propiciar la improvisación y, que en casos de emergencia, se tomen medidas inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos y de interrupciones prolongadas de los servicios ofrecidos a los usuarios de los sistemas de información del DE.

TI-15-10 11 La situación comentada en el apartado b. podría afectar las operaciones del DE y los servicios de la OSIATD, ya que no tendrían disponibles unas instalaciones para operar después de una emergencia o de un evento que afectara su funcionamiento. Esto podría atrasar o impedir el proceso de restauración de archivos y el pronto restablecimiento de las operaciones normales de la OSIATD. Causas La situación comentada en el apartado a. se atribuye a la falta de un análisis de riesgos de los sistemas de información computadorizados del DE que sirviera de base para la preparación y la revisión de un plan de continuidad de negocios. [Véase el Hallazgo 1] Esto, con el propósito de garantizar la continuidad de las operaciones en caso de surgir algún desastre o emergencia. La situación comentada en el apartado b. se debía a que el Secretario tampoco le había requerido a la Directora de la OSIATD que realizara las gestiones necesarias para identificar un lugar disponible y adecuado como centro alterno, y para formalizar los acuerdos necesarios para la utilización del mismo en casos de emergencia. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Para el año fiscal 2015-16, el Departamento de Educación tiene como meta completar el Business Impact Analysis, realizar un análisis de riesgo de los sistemas de información, desarrollar el Plan de Recuperación de Desastre, evaluar y recomendar un Centro de Recuperación en caso de desastre, y preparar un Plan de Prueba con el fin de ejecutarlo, de acuerdo a las mejores prácticas en sistemas de información. [sic] Véanse las recomendaciones 2.a. y b., y 3.

12 TI-15-10 Hallazgo 3 - Deficiencias relacionadas con la configuración del firewall y falta de normas para detectar, reportar y responder a incidentes de seguridad relacionados con los sistemas de información computadorizados del DE Situaciones a. Al 28 de junio de 2013, el examen de la configuración del servidor principal del DE reveló que el firewall 5 estaba desactivado. b. Al 4 de septiembre de 2014, la OSIATD no tenía un procedimiento o plan para el manejo de incidentes que estableciera, entre otras cosas, una estrategia documentada para el manejo de los incidentes, un equipo de respuesta y la documentación de las actividades relacionadas con los mismos. Criterios Las situaciones comentadas son contrarias a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que: La comunicación con Internet desde adentro de la agencia deberá estar controlada por un firewall. [Apartado a.] El Administrador de Seguridad es responsable de desarrollar procedimientos para detectar, reportar y responder a incidentes de seguridad, incluidos límites para esos incidentes en términos de tiempo máximo y mínimo de respuesta, así como también debe investigar y documentar cualquier anomalía. [Apartado b.] Además, las situaciones comentadas se apartan de lo establecido en la Política TIG-003 de la Carta Circular 77-05. 5 Sistema que se coloca entre una red de comunicaciones e Internet. Esto, con el propósito de asegurar que todas las comunicaciones entre dicha red e Internet se realicen conforme a las políticas de seguridad de la organización que lo instala. Además, estos sistemas suelen incorporar elementos de privacidad y autenticación, entre otros.

TI-15-10 13 Efectos La situación comentada en el apartado a. podría facilitar que personas no autorizadas tengan acceso a los sistemas de información del DE y pudieran ocasionar daños a la computadora o a los datos procesados en esta, sin que se pudieran fijar responsabilidades. Lo comentado en el apartado b. le impide a la OSIATD tener un control eficaz y documentado sobre el manejo de incidentes. Además, puede provocar duplicidad de esfuerzo y tiempo ante situaciones inesperadas, lo que afectaría el restablecimiento de los sistemas con prontitud y aumentaría la extensión de los daños, si alguno. Causas La situación comentada en el apartado a. se debía, en parte, a que la Directora de la OSIATD no veló por que el Especialista en Tecnología Cibernética, quien realizaba las funciones relacionadas con la administración de seguridad de los sistemas computadorizados del DE, cumpliera con lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. Entre otros aspectos, no veló por que se instalara al servidor la actualización que permitiría que el firewall se mantuviera encendido. La situación comentada en el apartado b. se atribuye a que el Secretario no había impartido una directriz a la Directora de la OSIATD para el desarrollo y la aprobación de las normas y los procedimientos escritos para el manejo de incidentes. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Como consecuencia de que el programa [ ] no puede coexistir con el servicio de firewall del servidor, el servicio se apaga automáticamente. [sic] [Apartado a.]

14 TI-15-10 El Departamento de Educación actualmente se encuentra desarrollando un procedimiento por escrito para el manejo de incidentes de seguridad, con el fin de implementar el mismo para el año fiscal 2015-16. [sic] [Apartado b.] Véase la Recomendación 2.c.1) y 2). Hallazgo 4 - Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal para las cuentas con acceso a la red del DE Situaciones a. La OSIATD contaba con un servidor principal mediante el cual se controlaba el acceso a los recursos de la red del DE. El examen efectuado el 28 de junio de 2013 sobre los parámetros de seguridad configurados en el sistema operativo de este servidor para el control de las cuentas de acceso a la red, reveló las siguientes deficiencias: 1) El parámetro Account lockout threshold de la opción Account lockout policy no se había definido en, al menos, tres intentos de acceso sin éxito para que el sistema deshabilite automáticamente las cuentas de acceso. En su lugar, se configuró para bloquear las cuentas, luego de 10 intentos sin éxito. 2) No se había definido la política de seguridad para desactivar automáticamente del sistema al usuario una vez venciera el término de acceso a los recursos de la red, previamente establecido (Force logoff when logon hours expire). Criterios La situación comentada en el apartado a.1) es contraria a lo establecido en el Procedimiento para Creación de Cuentas de Usuario en el DE incluido en las Políticas de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que las contraseñas registradas luego de tres intentos fallidos quedarán desactivadas automáticamente. Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular 77-05. En esta se establece, entre otras cosas, que las entidades gubernamentales deberán implantar

TI-15-10 15 controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se establece, en parte, mediante la configuración adecuada de las opciones que restringen y controlan el acceso que proveen los distintos sistemas operativos, y la limitación del tiempo de acceso para todas las cuentas de acceso de acuerdo con las funciones de cada usuario. Efectos Las situaciones comentadas pueden propiciar que personas no autorizadas accedan a información confidencial mantenida en los sistemas computadorizados y puedan hacer uso indebido de esta. Además, pueden propiciar la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causa Las situaciones comentadas se debían a que la Directora de la OSIATD no veló por que el Especialista en Tecnología Cibernética pusiera en vigor todas las opciones de seguridad de acceso lógico que provee el sistema operativo del servidor principal. Véase la Recomendación 2.c.3) y 4). Hallazgo 5 - Falta de documentación relacionada con la justificación y la autorización de los accesos a las cuentas con privilegios de administrador de los sistemas operativos, y del otorgamiento de privilegios de conexión remota a los sistemas de información Situaciones a. Al 25 de noviembre de 2013, la Directora de la OSIATD no suministró para examen los documentos justificantes para otorgar privilegio de administrador a 142 cuentas de usuarios y a 64 cuentas genéricas que tenían acceso a los sistemas operativos instalados en los 215 servidores del DE.

16 TI-15-10 Las cuentas con privilegios de administrador permiten, entre otras cosas, realizar cambios a la configuración del sistema, instalar programas y equipos, acceder a todos los archivos de la computadora, y realizar cambios a las cuentas de otros usuarios. b. Al 4 de diciembre de 2013, la Directora de la OSIATD tampoco proveyó documentación justificante para otorgar privilegios para la conexión remota de 153 cuentas a través de una red privada virtual (VPN 6, en inglés) y de 39 cuentas a través de un servicio de acceso remoto (RAS 7, en inglés). Las cuentas con el privilegio de conexión remota les permiten acceder y utilizar la información computadorizada de una entidad desde un lugar distinto de donde está guardada la misma. Criterios Las situaciones comentadas se apartan de lo establecido en la Política TIG-003 de la Carta Circular 77-05. En esta se establece que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Además, se establece que: La información y los programas de aplicación utilizados en las operaciones de la entidad gubernamental deberán tener controles de acceso para su utilización, de tal manera que solamente el personal autorizado pueda ver los datos necesarios, o usar las aplicaciones (o la parte de las aplicaciones) que necesita. Estos controles deberán incluir mecanismos de autenticación y autorización. [Apartado a.] 6 Esta es una tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza a base de una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos. 7 Este se refiere a cualquier combinación de hardware y software que permite el acceso remoto a las herramientas o información que normalmente residen en una red de dispositivos de TI.

TI-15-10 17 Si existe la necesidad de acceder a la red interna desde afuera de las instalaciones de la entidad gubernamental (por ejemplo, para que un empleado realice un trabajo en un programa de aplicación desde Internet), deberán existir los controles de autenticación, confidencialidad, integridad y monitoreo necesarios para proteger los sistemas y la información. [Apartado b.] Esta norma se instrumenta, en parte, mediante el establecimiento de normas y procedimientos específicos para la asignación del privilegio de de administrador de los sistemas operativos y acceso remoto a los usuarios, donde se incluya, entre otras cosas, la justificación y la autorización para el otorgamiento de dichos privilegios. La situación comentada en el apartado b. es contraria a lo establecido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico. En esta se establece que todos los usuarios con acceso remoto a la red deben ser autorizados por su Director de área y por el Principal Oficial de Informática o por el Director del Centro de Cómputos. Además, el Administrador de Seguridad evalúa las peticiones y determina su viabilidad. Efectos Las situaciones comentadas impiden mantener la evidencia requerida para determinar si las cuentas de acceso con los privilegios de administrador de los sistemas y las cuentas de acceso remoto están debidamente autorizadas, y si estas son asignadas conforme a las funciones y a los deberes de los usuarios que utilizan las mismas. También pueden propiciar que personas no autorizadas puedan lograr acceso a información confidencial y hacer uso indebido de esta; y la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causa Las situaciones comentadas se debían a que la Directora de la OSIATD no había incluido en la Política de Seguridad Informática del Departamento de Educación de Puerto Rico, directrices que permitieran documentar la

18 TI-15-10 creación, la modificación y la cancelación de las cuentas con privilegios de administrador de los sistemas operativos y de conexión remota a los sistemas computadorizados del DE. Comentarios de la Gerencia En la carta del Secretario de Educación, este nos indicó, entre otras cosas, lo siguiente: Según establecido en el Procedimiento de Seguridad, el Formulario para Autorización de Cuenta de Usuario se utiliza para justificar solicitudes de acceso remoto a la red (VPN) y el otorgamiento de privilegios de administrador. Dicho formulario debe ser aprobado por el Director de área o supervisor inmediato, y por el Principal Oficial de Informática o por el Director del Centro de Cómputos. Sin embargo, no se nos suministró evidencia de haber completado dicho formulario para justificar y autorizar los privilegios de administrador de las cuentas indicadas y el acceso remoto a la red. Véase la Recomendación 2.d. Hallazgo 6 - Falta de un registro de programas instalados en cada computadora Situación a. Al 28 de junio de 2013, el DE contaba con un inventario de 60,331 equipos computadorizados adquiridos por $62,367,124. De estos, 10,739 eran computadoras de escritorios (desktop), 26,015 eran computadoras portátiles (laptops) y 13,029 eran tabletas (tablets) que eran utilizadas por empleados y estudiantes del DE localizados en la Oficina Central, las 7 oficinas regionales, los 28 distritos escolares y las 1,461 escuelas. Además, contaba con 147 servidores físicos, a los cuales se les habían instalado varios sistemas operativos. A las computadoras de escritorio y a las portátiles del DE, se les instalaba una imagen que incluía varias aplicaciones, tales como: el sistema operativo; el antivirus; el lenguaje de programación; la aplicación para visualizar, imprimir y añadir documentos PDF; y múltiples herramientas para uso de oficina.