ALGUN DIA
ÍNDICE Pág. Síntesis gerencial
3
I.
INTRODUCCIÓN
4
1
Origen del examen
4
2
Naturaleza y objetivos del examen
4
3
Alcance del examen
5
4
Otros aspectos de importancia
8
II.
OBSERVACIONES
9
III.
CONCLUSIONES
16
INFORME DEL EXAMEN ESPECIAL AL DEPARTAMENTO DE INFORMATICA Período del 01.01.09 al 31.03.10 Síntesis gerencial El presente Examen Especial comprende la evaluación de los Sistemas Informáticos con los que cuenta la Entidad, los mecanismos de seguridad informáticos, los mecanismos de contingencias y recuperación de desastres y la implantación del control interno en el departamento de Informática dentro del período del 01.01.09 al 31.03.10. Las principales conclusiones del trabajo realizado son las siguientes: 1. El departamento de Informática realiza básicamente labores de soporte a los usuarios, no habiendo actividades de desarrollo de Sistemas. 2. El departamento de Informática no cuenta con normatividad esencial para su funcionamiento. Específicamente no cuenta con una Plan de Contingencias adecuado
ALGUN DIA
I.
Informe N.º 006-2010-2-3620
INTRODUCCIÓN
A continuación se presenta información general sobre el presente Examen Especial al Departamento de Informática de la Federación Peruana de Cajas Municipales de Ahorro y Crédito, ALGUN DIA.
1. Origen del examen El Examen Especial al Departamento de Informática, por el período comprendido entre el 01.01.09 y 30.03.10, se realiza en cumplimiento del Plan Anual de Control para el 2010 del Órgano de Control Institucional de la ALGUN DIA, aprobado mediante Resolución de Contraloría N.º xxx-xxx-CG publicada en el diario oficial El Peruano el xx de xxxx de 200x. Cabe señalar que, de acuerdo con los lineamientos de política del Sistema Nacional de Control, dentro de esta acción de control se ha considerado el control presupuestal,
la
implantación
de
mecanismos
de
control
interno
y,
ALGUN DIA
Informe N.º 006-2010-2-3620
Objetivos específicos a) Evaluar el Sistema Informático con el que cuenta la Entidad, determinando
si los aplicativos actuales satisfacen las necesidades de la Entidad, la interrelación de sus aplicativos, su grado de funcionamiento y los controles implementados. b) Evaluar los mecanismos de Seguridad Informáticos implantados en la Entidad para asegurar la integridad de la información y de los recursos informáticos de la Entidad. c) Evaluar los mecanismos de Contingencias y recuperación de desastres de la Oficina de Informática para minimizar los riesgos de interrupciones y/o paralizaciones en el servicio..
ALGUN DIA
Informe N.º 006-2010-2-3620
El examen fue realizado de acuerdo con las Normas de Auditoria Gubernamental – NAGUs y el Manual de Auditoria Gubernamental – MAGU; y comprendió la revisión y análisis, en forma selectiva, de la información que obra en el Departamento de Informática y en otras áreas de la Entidad, relacionada con los hechos y actividades materia de examen, según la materialidad, mediante la aplicación de procedimientos analíticos, con la profundidad necesaria para obtener la evidencia suficiente y competente correspondiente, sin afectar a los principios de eficiencia, efectividad y economía que rigen el control gubernamental. El presente examen especial se desarrolló en la cuidad de Lima, en las instalaciones del local institucional de la ALGUN DIA. El plazo inicialmente estimado para el desarrollo de este examen se vio ampliado debido a la solicitud de ampliación de plazo presentada por el Gerente Técnico y la Directora de Informática para la presentación de sus comentarios y aclaraciones en relación con los hallazgos comunicados; así como al plazo adicional otorgado a los mencionado funcionarios según se indica en el numeral 5 Comunicación de Hallazgos.
ALGUN DIA
Informe N.º 006-2010-2-3620
Servidores no contaban con una contraseña de protección de la consola que proteja el acceso a dichos Servidores. Sin embargo durante el transcurso de nuestra revisión, se pudo comprobar que dicho control ya había sido implementado.
II.
OBSERVACIONES
Durante el desarrollo de esta acción de control se determinaron las siguientes observaciones, las cuales incluyen los comentarios y aclaraciones de los funcionarios de la Entidad.
1. ALGUNAS TABLAS DEL SISTEMA CMACSI NO CUENTAN CON LLAVE PRIMARIA De la revisión a la estructura de la Base de Datos del Sistema GERCSI (Sistema de Información Gerencial), se evidenció que de un total de 90 tablas, 18 tablas no contenían llaves primarias (es la que permite identificar cada registro individual de los demás registros en una determinada tabla).
ALGUN DIA
Informe N.º 006-2010-2-3620
Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) aprobados por ITGI (Information Technology Governance Institute), 3° Edición, mencionan lo siguiente: Objetivo Planeamiento y Organización, N° 2.1 Modelo de Arquitectura de Información: “La función de sistemas de información deberá crear y actualizar regularmente un
modelo de arquitectura de información, abarcando el modelo de datos corporativo y los sistemas de información asociados. El modelo de arquitectura de información deberá conservar consistencia con el plan a largo plazo de tecnología de información”.
Esto se debe a que en el Departamento no existen procedimientos de monitoreo que permitan asegurar la integridad referencial de la Base de Datos del Sistema CMACSI. Esta situación podría conllevar a que los registros de información presenten duplicidad en información, incrementa el riesgo de que la Base de Datos del Sistema CMACSI contenga información no validada o información sujeta
ALGUN DIA
Informe N.º 006-2010-2-3620
Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de Contraloría N°. 072-98-CG del 18.DIC.98, código 500 para Sistemas Computarizados, señala en su numeral 06 sobre Plan de Contingencias que: “0 1.
El área de Informática debe elaborar el Plan de Contingencias de la entidad que establezca los procedimientos a utilizarse para evitar interrupciones en la operación del sistema de cómputo.
Los Objetivos de Control para la información y tecnologías relacionadas (COBIT) –
Objetivo Entrega de Servicios y Soporte Nro. 4.1 Marco de Referencia de
Continuidad de Tecnología de Información indica que la Gerencia de TI, en cooperación con los propietarios de los procesos del negocio, deberá crear un marco de referencia de continuidad que defina los roles, responsabilidades, el enfoque / metodología basada en riesgo a seguir y las reglas y la estructura para documentar el plan de continuidad, así como los procedimientos de aprobación”.
Esto se debe a que el Departamento de Informática no ha priorizado dentro de su Plan de Actividades la definición de los procedimientos de recuperació
del Plan de
ALGUN DIA
Informe N.º 006-2010-2-3620
Al respecto, se advierte que:
Las Norma Técnicas Control Interno, aprobadas mediante Resolución de Contraloría N° 072-98-CG del 18.DIC.98, código 500-02 Plan de Sistemas de Información, señalan lo siguiente: “Toda entidad que disponga de un área de informática debe
implementar un plan de sistemas de información con el objeto que prever que el desarrollo de sus actividades contribuya al logro de sus objetivos institucionales”.
Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) aprobadas por ITGI (Information Technology Governance Institute) 3º Edición, mencionan lo siguiente: Objetivo: Planeación y Organización Nº 1.4 Cambios al Plan a largo Plazo de TI: “La Gerencia de TI y los dueños del proceso del negocio deberán asegurar que se establezca un proceso con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI. La gerencia Senior deberá establecer una política que requiera que se desarrollen y se mantengan planes de
ALGUN DIA
Informe N.º 006-2010-2-3620
manera quincenal son almacenados en cinta. Las cintas son luego, guardadas en la Gerencia de Administración, en un estante que no brinda ninguna seguridad ni protección para el buen estado de las cintas. Al respecto, se advierte que:
Las Norma Técnicas Control Interno, aprobadas mediante Resolución de Contraloría N°. 072-98-CG del 18.DIC.98, código 500 para Sistemas Computarizados, señala en su numeral 500-05 Seguridad de Programas, de datos y de equipos de cómputo, lo siguiente: “04 Corresponde a la Oficina de
Informática, en coordinación con la administración de la Entidad establecer los mecanismos de seguridad de los programas y datos del Sistema, que permitan asegurar la integridad, exactitud y acceso a las informaciones que se procesan internamente”.
Los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) aprobadas por ITGI (Information Technology Governance Institute) 3 º Edición,
ALGUN DIA
Informe N.º 006-2010-2-3620
5. EL DEPARTAMENTO DE INFORMÁTICA NO REALIZA PERIÓDICAMENTE UN MONITOREO DE LAS ACTIVIDADES DE USO Y ACCESO A LOS RECURSOS INFORMÁTICOS De la revisión a los procedimientos de monitoreo de la seguridad lógica, se evidenció que el Departamento de Informática no realiza ningún monitoreo periódico de actividades de uso y acceso a los recursos informáticos de la Entidad, con el fin de determinar el uso correcto de dichos recursos, así como detectar intentos de violación y/o acceso no autorizados a los recursos informáticos de la ALGUN DIA. Así tenemos que no se encontró evidencia de la realización de un monitoreo periódico a las actividades de uso de Internet, tráfico de correo, tráfico sospechoso por la red, actualización de cliente antivirus, cambio de passwords, ni de intentos de acceso o acceso no autorizado a los recursos informáticos administrados por el Departamento de Informática. Al respecto, se advierte que:
ALGUN DIA
Informe N.º 006-2010-2-3620
Esta situación origina que no se detecten los intentos de acceso o los accesos no autorizados a los recursos informáticos de la Entidad e incluso podría devenir en fuga de información sensitiva fuera de la Entidad.
6. NO EXISTE UN PROCEDIMIENTO FORMAL QUE REGULE EL ACCESO REMOTO A LOS SERVIDORES DE LA ENTIDAD Durante la inspección realizada para verificar
los controles de acceso
lógico
implementados en la Entidad, se pudo verificar que la Directora de Informática ha realizado en un par de ocasiones el acceso remoto a los recursos de la Entidad. Este acceso remoto se realiza a través de Internet. A la fecha de nuestra revisión, este acceso no se encontraba normado. Al respecto, se advierte que:
Las Normas Técnicas de Control Interno, aprobadas mediante Resolución de
ALGUN DIA
III.
Informe N.º 006-2010-2-3620
CONCLUSIONES
Como resultado del examen especial realizado, arribamos a las siguientes conclusiones: 1. El departamento de Informática no cuenta con un Plan de Contingencias actualizado y completo, debido a que no se ha priorizado la definición de los procedimientos de recuperación del Plan de Contingencias. (Observación N.º 2) 2. El departamento de Informática no cuenta con un Plan de Sistemas de Información, debido a que el Departamento de Informática basa la ejecución de sus actividades en un Plan de Actividades anual, el cual contiene la descripción y cronograma de ejecución de dichas actividades. (Observación N.º 3). 3. Los respaldos de información (backups) no son almacenados en un lugar seguro, debido a que no se han tomado todas las medidas necesarias para garantizar la disponibilidad, protecció y buen estado de las cintas, necesarias ante la ocurrencia
ALGUN DIA
IV.
Informe N.º 006-2010-2-3620
RECOMENDACIONES
Con el propósito de promover la superación de las causas y deficiencias evidenciadas se sugieren las siguientes recomendaciones: Al Departamento de Informática. 1. Actualizar el Plan de Contingencias, definiendo las siguientes actividades: a) Definir los procedimientos de recuperación a seguir ante la ocurrencia de una eventualidad. b) Contemplar diferentes escenarios de desastre por cada riesgo identificado. c) Definir un calendario para la realización de pruebas a los procedimientos del Plan. 2.
2. Elaborar el Plan de Sistemas de Información, el cual debe estar alineado con los Objetivos Institucionales trazados en el Plan Estratégico de la Entidad.
ALGUN DIA
Informe N.º 006-2010-2-3620
4. Elaborar un calendario periódico que permita def inir fechas de realización del monitoreo de las actividades de uso y acceso a los recursos informáticos de la ALGUN DIA. Asimismo como resultado de dicho monitoreo se debe informar a la Gerencia de las actividades encontradas en dicho monitoreo, con el objeto de realizar las acciones correctivas correspondientes contra el o los infractores. 5. Definir un procedimiento que regule el acceso a los recursos informáticas vía acceso remoto. Asimismo como parte de las actividades del procedimiento se debe emitir un informe a la Gerencia Mancomunada, informando las actividades realizadas para cada uno de los accesos remotos ocurridos.
Lima, 01 de diciembre de 2011
ALGUN DIA
Informe N.º 006-2010-2-3620
ANEXO N.º 1 RELACIÓN DE FUNCIONARIOS COMPRENDIDOS EN L AS OBSERVACIONES
Periodo de gestión Nombre Mora Flores, Marina
D.N.I. 12345678
Cargo Directora del
Desde
Hasta
Condición
Domicilio
laboral
xx.xx.04
A la fecha Permanente XXXXXXXXXXXXXX
xx.xx.04
A la fecha Permanente XXXXXXXXXXXXXX
Departamento de Informática Flores, Juan Diego
12345678
Órgano de Control Institucional – Confidencial
Gerente Técnico
Página 17 de 17