INSTITUTO DE DESARROLLO AGRARIO (I.D.

A)

Informe de Auditoría de Sistemas y Tecnologías de Información

Carta de Gerencia CG1-2010

Informe Final.
 San José, 29 de Agosto del 2011

Señores
INSTITUTO DE DESARROLLO AGRARIO

Presente

Estimados señores:

Según nuestro contrato de servicios, efectuamos la visita de auditoría externa del período 2010 al
Instituto de Desarrollo Agrario (I.D.A) y con base en el examen efectuado, observamos ciertos
aspectos referentes al sistema de control interno y procedimientos de Tecnología de Información ,
basados en el manual de “Normas Técnicas para la Gestión y el Control de las Tecnologías de
Información (N-2-2007-CO-DFOE)” emitido por la Contraloría General de la República y los
estándares establecidos según los Objetivos de Control para Información y Tecnología
Relacionada – CobiT®, los cuales sometemos a consideración de ustedes en esta carta de gerencia
CG -1-2010.

Considerando el carácter de pruebas selectivas en que se basa nuestro examen, ustedes pueden
apreciar que se debe confiar en métodos adecuados de comprobación y de control interno, como
principal protección contra posibles irregularidades que un examen basado en pruebas selectivas
puede no revelar, si es que existiesen. Las observaciones no van dirigidas a funcionarios o
empleados en particular, sino únicamente tienden a fortalecer el sistema de control interno y los
procedimientos relacionados con las Tecnologías de Información.

DESPACHO CARVAJAL & COLEGIADOS

CONTADORES PÚBLICOS AUTORIZADOS

Lic. Gerardo Montero Martínez

Contador Público Autorizado Nº 1649
Póliza de Fidelidad Nº R-1153
Vence el 30 de setiembre del 2011.
 INFORME DE CUMPLIMIENTO Y CONTROL INTERNO DE TECNOLOGÍAS DE
INFORMACIÓN AGOSTO, 2011

1. Introducción

1.1. Origen del estudio

Como parte a la evaluación de los estados financieros del Instituto de Desarrollo Agrario (de
ahora en adelante, IDA), realizamos la evaluación de los controles generales de la gestión de
tecnología de información, con el objetivo de medir el grado de riesgo de la información en lo que
respecta a seguridad, integridad, efectividad, eficiencia, confidencialidad, confiabilidad,
disponibilidad y continuidad de la plataforma tecnológica.

La evaluación la realizamos basados en el manual de “Normas Técnicas para la Gestión y el

Control de las Tecnologías de la Información (N-2-2007-CO-DFOE)” emitidas por la Contraloría
General de la República, los Objetivos de Control de Tecnologías de Información (COBIT por sus
siglas en inglés) emitidos por la “Information Systems Audit and Control Association” (ISACA
por sus siglas en inglés) y en general las mejores prácticas de la industria de tecnología de
información.

1.2. Objetivo del estudio

Con el propósito de cumplir con los requerimientos estipulados en la Norma Internacional de

Auditoría 315, Entendiendo de la realidad y su entorno y evaluación de representación errónea de
importancia relativa y en la Norma Internacional de Auditoría 330, Procedimientos del auditor en
respuesta a los riesgos evaluados, evaluamos la gestión de las de las tecnologías de información
del IDA.

1.3. Alcance

En esta visita el trabajo fue enfocado principalmente a las siguientes áreas:

1. Seguimiento a recomendaciones anteriores.

2. Valoración de la implementación de los puntos de control mencionados en las normas
técnicas de la Contraloría General de la República.
3. Oportunidades de mejora identificadas en la evaluación.

1.4. Periodo del estudio

El estudio se realizó durante el mes de Agosto del 2011 y corresponde a la auditoría del periodo
del 2010.
 1.5. Limitaciones del estudio

En esta visita de auditoría no se dieron limitaciones al estudio.

1.6. Metodología

Para llevar a cabo este trabajo utilizamos una modalidad de análisis de la información suministrada
por el área de Tecnología de Información, aplicamos cuestionarios de control interno relacionados
con la administración del Departamento, seguridad física y lógica de los sistemas de información,
continuidad de las operaciones del negocio, políticas en cuanto al uso adecuado del equipo de
cómputo, Internet y correo, planes de capacitación, procesos de mantenimiento y reparación del
equipo de cómputo, bitácoras de los sistemas, manuales de puestos, plan operativo anual y
sistemas de Información que posee el Instituto.

Además, se formularon preguntas sobre la existencia de controles informáticos, en todos los casos
necesarios solicitamos a los funcionarios las evidencias en documentos escritos o en formato
digital que respaldaran sus afirmaciones.

Dimos lectura a los manuales de puestos presentados por el área de Tecnología de Información,
políticas en el uso de los recursos informáticos (computadoras, Internet y correo electrónico),
estándares de desarrollo, procedimientos para el mantenimiento y reparación del equipo de
cómputo, inventario del hardware y dimos lectura a los manuales de procedimientos operativos del
Instituto, con el fin de evaluar el cumplimiento de los mismos.
 2. VALORACIÓN DE LAS NORMAS TÉCNICAS

Para cada una de las normas técnicas para la gestión y control de tecnología de información emitidas por
la Contraloría General de la República, procedimos a realizar un análisis respecto a su cumplimiento.

Con respecto al cumplimiento de las Normas Técnicas se estableció una clasificación para determinar el
nivel de cumplimiento de cada una de las normas técnicas, la cual se presenta a continuación:

1. No Iniciada: La administración no ha realizado acción alguna para poder implementar las

normas técnicas.
2. Planificada: Existe evidencia formal de un plan de trabajo, cronograma de trabajo, asignación
de recursos, tiempos estimados, entre otras actividades para poder planificar adecuadamente el
cumplimiento de las normas técnicas.
3. Iniciada: Las actividades definidas en la etapa anterior se han empezado a ejecutar y existe
evidencia formal sobre el inicio de la implementación de las normas técnicas.
4. Avanzada: Las actividades iniciadas en la etapa anterior presentan un avance significativo y se
evidencia un porcentaje alto de la implementación y cumplimiento de las normas técnicas.
5. Implementada: La administración ha logrado ejecutar con éxito actividades previamente
definidas, para poder cumplir con las acciones mínimas de implementación según lo
mencionado en las normas técnicas de una manera aceptable, disminuyendo el riesgo asociado a
la no implementación de la normativa. Cabe mencionar que este estado no excluye a la
administración de poder llevar a cabo acciones de mejora constante en la aplicación e
implementación de las normas técnicas, según lo establecido en las mejores prácticas a nivel
internacional en la materia (COBIT, ITIL, ISO 27001, PMBOOK, VAL IT, CMMI, entre otros),
así mismo este estado no garantiza un adecuado nivel de madurez a nivel institucional.

El detalle de la evaluación de cada una de las normas técnicas para la gestión y control de tecnología de
información emitidas por la Contraloría General de la República, se muestra a continuación:
Normativa Evaluación de
cumplimiento
1.1 Marco estratégico de TI Avanzada
1.2 Gestión de la calidad Planificada
1.3 Gestión de riesgos Iniciada
1.4 Gestión de la seguridad de la información Planificada
1.4.1 Implementación de un marco de seguridad de la información Planificada
1.4.2 Compromiso del personal con la seguridad de la información Planificada
1.4.3 Seguridad física y ambiental Iniciada
1.4.4 Seguridad en las operaciones y comunicaciones Iniciada
1.4.5 Control de acceso Iniciada
1.4.6 Seguridad en la implementación y mantenimiento de software e Iniciada
infraestructura tecnológica
1.4.7 Continuidad de los servicios de TI Avanzada
1.5 Gestión de proyectos Iniciada
1.6 Decisiones sobre asuntos estratégicos de TI Planificada
1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI Iniciada
2.1 Planificación de las tecnologías de información Iniciada
2.2 Modelo de arquitectura de información Iniciada
2.3 Infraestructura tecnológica Iniciada
2.4 Independencia y recurso humano de la Función de TI Iniciada
2.5 Administración de recursos financieros Avanzada
3.1 Consideraciones generales de la implementación de TI Avanzada
3.2 Implementación de software Avanzada
3.3 Implementación de infraestructura tecnológica Iniciada
3.4 Contratación de terceros para la implementación y mantenimiento de Avanzada
software e infraestructura
4.1 Definición y administración de acuerdos de servicio Avanzada
4.2 Administración y operación de la plataforma tecnológica Avanzada
4.3 Administración de los datos Planificada
4.4 Atención de requerimientos de los usuarios de TI Avanzada
4.5 Manejo de incidentes Avanzada
4.6 Administración de servicios prestados por terceros Avanzada
5.1 Seguimiento de los procesos de TI Iniciada
5.2 Seguimiento y evaluación del control interno en TI Planificada
5.3 Participación de la Auditoría Interna Iniciada
 3. OPORTUNIDADES DE MEJORA IDENTIFICADAS EN LA EVALUACIÓN

OPORTUNIDAD DE MEJORA 1: EXISTENCIA DE CUENTAS DE USUARIO

HABILITADAS EN LA RED DE FUNCIONARIOS QUE YA NO LABORAN PARA EL
IDA, ASÍ COMO LA EXISTENCIA DE CUENTAS GENÉRICAS.

CONDICIÓN:

Al realizar un estudio sobre los usuarios que se encuentran activos en el Active Directory
institucional, se identificó la existencia de cuentas activas de ex funcionarios, así como la existencia
de usuarios genéricos como se muestra a continuación:

FECHA DE
NOMBRE UBICACIÓN FISÍCA SALIDA DEPARTAMENTO
Gerardo Espinoza Suarez Oficina de Siquirres 26/08/2010 Fallecimiento
Pedro Gutiérrez Rojas Área Servicios Generales 30/11/2010 Pensión C.C.S.S
Álvaro Torres Guerrero Dirección Región Central 15/08/2011 Pensión C.C.S.S
Norman Montes Moraga Oficina Sub. Laurel 12/08/2011 Despido sin responsabilidad patronal

En cuanto a cuentas genéricas se determinaron:

Área Contabilidad.
Área Infraestructura Rural.
Área Organización y Gestión Empresarial.
Área Presupuesto
Área Seguridad Alimentaria
Área Selección de Familias.
Área Tesorería.
Asociación Solidarista de Empleados del IDA.
Auditoria SMTP.
Babel.
BPROINDER.
Cooperativa de Empleados del IDA.
Departamento Administrativo.
Dirección Central.
Dirección Chorotega.
Dirección de Planificación.
Dirección Región Brunca.
Dirección Región Heredia
Presidencia Ejecutiva.
Recursos Humanos.
Tecnología de Información.
 Uneida.
Unidad de Ingresos.
Unidad de odontología.
Unidad Planillas.

Lo anterior provoca que en una misma terminal varios funcionarios puedan acceder a los
sistemas de información con un mismo usuario, lo cual podría dificultar la determinación del
responsable ante un posible mal manejo de información.

CRITERIO:

La Normativa “Control de Acceso” presente en el documento “Normas Técnicas para la

Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” de la
Contraloría General de la República, dice: “La organización debe proteger la información de
accesos no autorizados.

Para dicho propósito debe:

a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a la

información, al software de base y de aplicación, a las bases de datos y a las terminales y otros
recursos de comunicación.
b. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con términos
de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.
d. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y para la
identificación y autenticación para el acceso a la información, tanto para usuarios como para
recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con las
políticas de la organización bajo el principio de necesidad de saber o menor privilegio. Los
propietarios de la información son responsables de definir quiénes tienen acceso a la
información y con qué limitaciones o restricciones.
f. Implementar el uso y control de medios de autenticación (identificación de usuario,
contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los
recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición,
aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación, así
como para su revisión y actualización periódica y atención de usos irregulares.
i. Establecer controles de acceso a la información impresa, visible en pantallas o almacenada en
medios físicos y proteger adecuadamente dichos medios.
j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y
periódico seguimiento al acceso a las TI.
k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI”.
A la vez a nivel institucional se tienen la siguiente política:

El Departamento de Recursos Humanos debe informar al Departamento de TI y a las Unidades

Administrativas responsables de los Sistemas de Información, por medio de un correo electrónico y
ratificado por medio de un oficio, acerca de cualquier cambio en la relación laboral o contractual de
un funcionario o tercero con el IDA, de manera que el área encargada, proceda a la modificación,
eliminación o suspensión de los privilegios a los sistemas y red.

RECOMENDACIONES:

1. Deshabilitar las cuentas de ingreso a la red de los ex funcionarios del IDA, acatando lo
que indica el manual de políticas del IDA, específicamente la política denominada “Fin de
la Relación Laboral” con el objetivo que el departamento de Recursos Humanos
comunique lo antes posible al Departamento de Tecnologías de Información cualquier
despido, renuncia o cambio laboral de algún funcionarios y así tomar las medidas
correspondientes.

2. Restringir la práctica de implementar el uso de usuarios genéricos, en aquellas

dependencias del IDA donde las circunstancias posibilitan la definición de usuarios
específicos para cada funcionario.

3. Documentar la necesidad de crear usuarios genéricos, situación que permitirá conocer con
precisión, entre otra información, el nombre del funcionario que autorizó dicho usuario, la
dependencia y los funcionarios que tienen acceso a los respectivos equipos, así como la
justificación respectiva.

OPORTUNIDAD DE MEJORA 2: NO SE CUMPLE CON EL PROCEDIMIENTO

ESTABLECIDO POR EL ÁREA DE TECNOLOGÍAS DE INFORMACIÓN DEL IDA
PARA EL MANEJO DE INCIDENTES.

CONDICIÓN:

De acuerdo al análisis efectuado se determinó que actualmente el Área de Tecnologías de

Información del IDA cuenta con un procedimiento debidamente documentado sobre la
administración de incidentes y problemas, sin embargo en la práctica no se está llevando a cabo, ya
que a pesar que se cuenta con una herramienta automatizada está no se utiliza, además no se toman
en cuenta aspectos como los siguientes:

Definición de prioridades.

Monitoreo para verificar si un incidente se encuentra en etapa de: pendiente, proceso o

corregido.
 Mediciones para medir la satisfacción del usuario final respecto a la calidad de la mesa de
servicios y de los servicios de TI.

Escalabilidad de los incidentes.

Emisión de los reportes de la actividad de la mesa de servicios para permitir a la gerencia

medir el desempeño del servicio y los tiempos de respuesta, así como para identificar
tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma
continúa.

Actualmente se utiliza un archivo en Excel donde se registran los siguientes campos:

No. Orden Fecha Orden Responsable TI Usuario

ORD-TI-001-2011 06/06/2011 Marcela Flores De la Fuente Rigoberto Vargas Alfaro
ORD-TI-002-2011 06/06/2011 Marcela Flores De la Fuente Rigoberto Vargas Alfaro
ORD-TI-003-2011 07/06/2011 María Ocampo Ramírez Carmen Chinchilla
ORD-TI-004-2011 06/06/2011 María Ocampo Ramírez Victor Araya
ORD-TI-005-2011 06/06/2011 María Ocampo Ramírez Fidel Bejarano
ORD-TI-006-2011 06/06/2011 María Ocampo Ramírez Ingrid Kessler
ORD-TI-007-2011 01/06/2011 María Ocampo Ramírez Roxana Vargas
ORD-TI-008-2011 01/06/2011 María Ocampo Ramírez Roxana Vargas
ORD-TI-009-2011 06/06/2011 Carmen Zúñiga Córdoba Shirley Rojas
ORD-TI-009-2011 08/06/2011 María Ocampo Ramírez Jorge Campos Araya
ORD-TI-010-2011 06/06/2011 Carmen Zúñiga Córdoba Lilliana Prado
ORD-TI-010-2011 08/06/2011 María Ocampo Ramírez María Orozco Borbón
ORD-TI-011-2011 06/06/2011 Carmen Zúñiga Córdoba Wendy Yesca
ORD-TI-011-2011 08/06/2011 María Ocampo Ramírez Cinthia Guillen González
ORD-TI-012-2011 08/06/2011 María Ocampo Ramírez Dahianna Monge (Digitadora)

CRITERIO:

La Normativa “Manejo de Incidentes” presente en el documento “Normas Técnicas para la

Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” de la
Contraloría General de la República, menciona: “La organización debe identificar, analizar y
resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten
con las T.I. Además, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y
procurar el aprendizaje necesario.”
RECOMENDACIONES:

1. Cumplir con lo estipulado en el procedimiento de administración de incidentes y

problemas, manejando de una manera estándar todas las solicitudes referentes a las
solicitudes de incidentes.

2. Finalizar el “sistema de soporte técnico” que fue desarrollado por el Área de Tecnologías
de Información del IDA incluyendo todos los aspectos que se mencionan en el
procedimiento sobre la administración de incidentes y problemas o en su defecto adquirir
un software que cumpla dichas funciones realizando un estudio de factibilidad técnica,
operativa y económica para dicho desarrollo.

OPORTUNIDAD DE MEJORA 3: NO SE CUENTA CON PLANES DE PRUEBAS

PARA LOS RESPALDOS DE LA INFORMACIÓN.

CONDICIÓN:

De la revisión efectuada se determinó que actualmente la metodología de respaldos de datos no

contempla planes de pruebas para los respaldos de la información del IDA.

CRITERIO:

La Normativa “Administración de los datos” presente en el documento “Normas Técnicas para

la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE)” de la
Contraloría General de la República, menciona: “La organización debe asegurarse de que los
datos que son procesados mediante TI corresponden a transacciones válidas y debidamente
autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos,
almacenados y desechados en forma íntegra y segura.”

RECOMENDACIÓN:

Incluir dentro de la metodología de respaldos de datos del IDA un procedimiento de prueba de

los respaldos de la información a un nivel detallado que contemplen entre otros los factores
siguientes:

 Definición del procedimiento para realizar las pruebas a los respaldos.

 Política formal que especifique la periodicidad para realizar las pruebas.
 Definición de políticas y procedimientos relacionados con la vida útil de los medios utilizados
para almacenar los respaldos.
  Procedimientos detallados para la clasificación de las cintas y control de inventarios.
 Requerimientos ambientales y técnicos para el almacenamiento de los respaldos y las
respectivas pruebas.
 Administración de la capacidad de los medios físicos utilizados para el respaldo y las pruebas.
 Identificación clara del software, aplicaciones y datos a probar.

OPORTUNIDAD DE MEJORA 4: NO SE CUENTA CON UNA ADECUADA

ASIGNACIÓN DE PERMISOS EN LAS CARPETAS COMPARTIDAS DEL SERVIDOR
DENOMINADO SISTEMASIG NI EN EL SISTEMA SIGADES.

CONDICIÓN:

Al evaluar los módulos del “Sistema de Control de Fincas y Arrendamientos de tierras” los
cuales no fueron desarrollados por el área de Tecnologías de Información del IDA, sino que fue
un desarrollo llevado a cabo por las áreas usuarias, se observaron las siguientes situaciones:

1- No se están utilizando los módulos de “Sistema de Control de Fincas y Arrendamientos de

tierras” de SIGADES debido a que dentro del sistema por razones aun no conocidas algunos
formularios del sistema se modificaron y no trabajan como es debido.

2- No se cuenta con una adecuada asignación de permisos en el sistema SIGADES, se observo

que desde un equipo de usuario se puede acceder a la base de datos del sistema, tal y como se
muestra a continuación:
Acceso a la Base de Datos SIGADES
 Acceso a Formularios del SIGADES

3- Inadecuada asignación de permisos en carpetas compartidas dentro del servidor llamado

“Sistemasig”, por ejemplo la carpeta vehículos en la cual se observó que se tiene permisos de
control total para los Usuarios del Dominio (IDA.GO.CR), los cuales dan privilegios de
eliminado, borrado, modificación, creación y ejecución de todos aquellos archivos que se
encuentren dentro de la carpeta “Vehículos”.
 Permisos del Servidor Sistemasig

CRITERIO:

La Normativa “Gestión de la seguridad de la información” presente en el documento “Normas

Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-
DFOE)” de la Contraloría General de la República, menciona:
La organización debe garantizar, de manera razonable, la confidencialidad, integridad y
disponibilidad de la información, lo que implica protegerla contra uso, divulgación o
modificación no autorizados, daño o pérdida u otros factores disfuncionales. Para ello
debe documentar e implementar una política de seguridad de la información y los
procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles
de seguridad requeridos y considerar lo que establece la presente normativa en relación
con los siguientes aspectos:
o La implementación de un marco de seguridad de la información.
 o El compromiso del personal con la seguridad de la información.
o La seguridad física y ambiental.
o La seguridad en las operaciones y comunicaciones.
o El control de acceso.
o La seguridad en la implementación y mantenimiento de software e infraestructura
tecnológica.
o La continuidad de los servicios de TI.

Además debe establecer las medidas de seguridad relacionadas con:

o El acceso a la información por parte de terceros y la contratación de servicios

prestados por éstos.
o El manejo de la documentación.
o La terminación normal de contratos, su rescisión o resolución.
o La salud y seguridad del personal.

Las medidas o mecanismos de protección que se establezcan deben mantener una

proporción razonable entre su costo y los riesgos asociados.

RECOMENDACIÓN:

De acuerdo a la norma de la contraloría “Gestión de la seguridad de la información” y lo

expuesto en el apartado de condición de la presente Oportunidad de Mejora se recomienda:

1- Restaurar los formularios dañados del sistema SIGADES a la mayor brevedad posible, por
parte del desarrollador del sistema, centralizando futuros desarrollos en el área informática de
la institución.

2- Realizar una revisión de los permisos, privilegios y roles de los usuarios del sistema
SIGADES, documentando los resultado de la revisión y procediendo a realizar los cambios
necesarios para asegurar la información.

3- Realizar una revisión de los permisos asignados a los recursos compartidos en los servidores
del IDA, documentando los resultados y tomando las medidas necesarias para fomentar la
integridad, disponibilidad y seguridad de la información, limitando la utilización de los
permisos de control total y en el caso que se deban dar debe haber una debida autorización y
justificación del por qué se deben asignar esos privilegios.
OPORTUNIDAD DE MEJORA 5: NO SE OBSERVA AL PROCESO DE TECNOLOGÍAS
DE INFORMACIÓN EN EL ORGANIGRAMA INSTITUCIONAL DEL IDA.

CONDICIÓN

Al evaluar el organigrama institucional vigente aprobado por la autoridad presupuestaria de

acuerdo a un correo enviado el 6 de abril del 2011 por la jefa de Recursos Humanos, se define
como organigrama vigente el establecido en el 2006 en el cual no se contempla el área de
tecnologías de información, cabe mencionar que analizando los organigramas anteriores por
ejemplo: organigrama 2010, el área de tecnologías de información se contempla como una
unidad formalmente constituida. Por otra parte cabe mencionar que el organigrama aprobado en
el 2010 no se ha derogado oficialmente por la Junta Directiva de la institución.

Organigrama 2006, Vigente

 Organigrama 2010

CRITERIO

La Normativa “Independencia y recurso humano de la Función de TI” presente en el

documento “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información
(N-2-2007-CO-DFOE)” de la Contraloría General de la República, menciona: “El jerarca debe
asegurar la independencia de la Función de TI respecto de las áreas usuarias y que ésta
mantenga la coordinación y comunicación con las demás dependencias tanto internas y como
externas. Además, debe brindar el apoyo necesario para que dicha Función de TI cuente con
una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de manera
clara y formal, su responsabilidad, autoridad y funciones.”
RECOMENDACIÓN

Definir a la Unidad de Tecnologías de Información como una estructura independiente con una
jerarquía establecida, tomando en cuenta requerimientos de personal, funciones, delegación,
autoridad, roles, responsabilidades y supervisión, con el fin de cumplir con lo estipulado por la
Contraloría General de La Republica en el apartado de “Independencia y Recurso Humano de
la Función de TI” apoyando además el proyecto de “Implantación de las Normas Técnicas para
la Gestión y Control de las T.I. de la Contraloría”.

OPORTUNIDAD DE MEJORA 6: NO SE CUENTA CON UNA BASE DE DATOS

INTEGRADA QUE CONTENGA LA INFORMACIÓN DE LOS ACTIVOS DEL IDA.

CONDICIÓN

Al evaluar el modulo de activos, se identifico la existencia de dos sistemas en producción uno

en el área de contabilidad el cual administra los costos y depreciaciones de los activos y otro en
la unidad de activos que se encarga de administrar los responsables a los que se les ha asignado
un activo, sin embargo estos sistemas cuentan con bases de datos independientes y sin un medio
automatizado que permita conciliar automáticamente la información de ambas bases de datos
una vez que se ingresa o modifica información referente a los activos.

Administración de Activos Contabilidad

 Administración de Activos Unidad de Activos

CRITERIO:

La Normativa “Modelo de arquitectura de información” presente en el documento “Normas

Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-
DFOE)” de la Contraloría General de la República, menciona: “La organización debe optimizar
la integración, uso y estandarización de sus sistemas de información de manera que se
identifique, capture y comunique, en forma completa, exacta y oportuna, sólo la información
que sus procesos requieren.”

RECOMENDACIÓN:

Para solventar lo expuesto en el apartado de “Condición” de la presente oportunidad de mejora

se recomienda:

1. Realizar una conciliación de los datos correspondientes a los activos del IDA que se
encuentran en ambas bases de datos.
2. Unificar en una sola base de datos la administración de los activos del IDA.
 OTROS ASUNTO A INFORMAR

ASUNTO 1: NO SE IMPARTEN CAPACITACIONES EN MATERIA DE SEGURIDAD

INFORMÁTICA A NIVEL INSTITUCIONAL.

Al momento de realizar la auditoría externa se determino que no existe evidencia formal sobre
capacitaciones impartidas a nivel institucional en materia de seguridad, confidencialidad y los riesgos
asociados con el uso de las tecnologías de información por lo que se recomienda realizar campañas
de capacitación y divulgación fomentando la importancia y las medidas de seguridad informática
establecidas en el IDA como medidas para salvaguardar la información.

ASUNTO 2: EVALUACIÓN DE LA CALIDAD FUNCIONAL Y DEL ÁREA DE

TECNOLOGÍA DE INFORMACIÓN

En esta sección se muestra el resultado de la evaluación realizada respecto a la calidad funcional de

los sistemas de información del IDA según funcionarios de la institución.

Los módulos o sistemas de información analizados son:

 Contabilidad.
 Presupuesto
 Activos
 Selección de familias
 Sistemas de control de fincas
 Sistemas de información de asentamientos

El nombre de los principales módulos y la persona entrevistada en el proceso de evaluación de la

calidad funcional se muestran en la tabla siguiente:

NOMBRE DEL PRINCIPALES MÓDULOS USUARIO FINAL

SISTEMA ENTREVISTADO
Sistemas del Contabilidad Rita Delgado
IDA Presupuesto Ricardo Mora
Activos Alexander Mora
Selección de Familias Marvin Ramirez
Sistema de Control de Fincas Rodolfo Schmith
Sistemas de Información de Cecilia Villalobos
Asentamientos
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN IMPLANTADOS EN EL IDA.

El detalle de la evaluación de la calidad funcional del sistema que se encuentra actualmente en

producción según los usuarios, se muestran en el gráfico siguiente:

Resumen de los comentarios realizados por los usuarios entrevistados:

 Contabilidad.
o Estados financieros históricos.
o Integrado Institucional.

 Presupuesto.
 o Algunos desean otro tipo de información, pero desde lo óptico del área de presupuesto
el sistema ofrece lo que necesitamos.
o Con respecto al tiempo real la información en el sistema interno está desfasada pero
con respecto al Fondo Fijo de cada oficina está a tiempo real, si lo han alimentado
regularmente.
o Para los que lo utilizamos está bien pero para los que no lo han utilizado se les
presenta un cierto nivel de dificultad.
o No tiene un manual especifico, si no de operación.
o Tiene una conversión de filtros y a veces nos manda datos erróneos lo que dificulta la
obtención de los resultados, por ejemplo el sistema interno códigos sin estar en el
sistema o códigos incompletos.
o La integración de la existencia de dos sistemas uno interno que se alimenta de los
registros contables y el otro alimenta el sistema interno por medio de contabilidad y
este es auxiliar que ofrece los datos en tiempo real.

 Activos
o Se requiere más información debido a que la administrada por el usuario es muy
básica.
o Faltan reportes y actualización debido a que esta en un ambiente de D.O.S
o Reportes muy estáticos, poca información.
o Desconocimiento de los funcionarios en varias áreas de informática.
o Sistemas no son integrados por lo que provoca perdida de datos e información
incorrecta en auxiliares.
o Integración de sistemas, personal profesional con conocimiento en sistemas,
aplicaciones en cuanto a hardware, periféricos en general.
o Comunicación eficiente entre departamentos y personal en general.
o Se debe contar con personal capacitado para la ejecución de las tareas.

 Selección de familias
o Con la ampliación prevista se soluciona en gran medida lo faltante.
o Valida usuarios contra Active Directory
o Depende disponibilidad acceso red institucional.

 Sistema control de fincas.

o En la entrevista con el encargado el sistema no se encontraba en funcionamiento
debido a problemas con los formularios internos del sistema.

 Sistema de información de asentamientos.

o Algunos reportes necesitan modificación
o Bueno si se conoce el programa de Access
o El mantenimiento del sistema fue oportuno cuando el diseñador mismo estuvo
ubicado en oficinas centrales
o Es necesario recuperar el daño en el sistema, provocado por la pérdida de una parte de
los formularios.
PERCEPCIÓN DE LOS USUARIOS FINALES RESPECTO AL SERVICIO RECIBIDO
DEL PROCESO DE TECNOLOGÍAS DE INFORMACIÓN EN EL IDA.

El detalle de la evaluación de la percepción de los usuarios finales mencionados en la página 19

de este documento, respecto al servicio recibido del proceso de Tecnología de Información se
muestra en el gráfico siguiente:
 SEGUIMIENTO A AUDITORIAS ANTERIORES

SEGUIMIENTO A LA CARTA DE SISTEMAS IDA 2009

COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
HALLAZGO 1: AUSENCIA DE POLÍTICAS Y El Departamento de Tecnologías de Se han realizado esfuerzos CORREGIDO
PROCEDIMIENTOS FORMALES PARA LA Información debe establecer una estrategia significativos y a la fecha se cuenta con
GESTIÓN DE LA CONFIGURACIÓN formal para la gestión de la configuración de un Manual de Políticas para
la plataforma tecnológica, la cual tome en
Tecnologías de Información. También
cuenta entre otros factores los siguientes:
existe un resumen ejecutivo de las
políticas debidamente aprobado por la
CONDICIÓN:
 Identificar elementos de configuración y Junta Directiva.
El Departamento de Tecnologías de Información del IDA, ha sus atributos.
realizado un esfuerzo significativo por formalizar la gestión de  Registrar elementos de configuración Adicionalmente se tienen los
la configuración de la plataforma tecnológica que soporta las nuevos, modificados y eliminados. documentos: “Modelo de Arquitectura”,
transacciones de la Institución, sin embargo actualmente no  Identificar y mantener las relaciones entre “Administración de la Configuración de
cuenta con un procedimiento formalmente establecido que los elementos de configuración y el Hardware y Software - Proceso” y
permita la administración de la configuración de los equipos repositorio de configuraciones. “Administración del Desempeño y
que forma la plataforma tecnológica, según el nivel de detalle  Actualizar los elementos de configuración Capacidad de la Infraestructura de TI -
que establecen los estándares internacionales y mejores existentes en el repositorio de
Proceso”.
prácticas de la industria. configuraciones.
 Prevenir la inclusión de software no-
autorizado.

HALLAZGO 2: NO SE CUENTA CON UNA Establecer una política de aseguramiento Se han realizado esfuerzos PENDIENTE
METODOLOGÍA PARA LA GESTIÓN DE LA de la calidad a nivel del Departamento de
 COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
CALIDAD. Tecnologías de Información del IDA, que significativos y a la fecha se cuenta con
considere entre otros aspectos lo siguiente: un Manual de Políticas para
CONDICIÓN: Tecnologías de Información. También El IDA se encuentra
 Definición de objetivos de calidad. existe un resumen ejecutivo de las actualmente con un
 Implementación de un sistema de proyecto de
políticas debidamente aprobado por la
Actualmente el Departamento de Tecnologías de Información administración de la “calidad implementación de las
del IDA no cuenta con una metodología para la gestión de la estándar”, con enfoque en el cliente y Junta Directiva.
calidad en procesos informáticos. Se determinó que dicho normas técnicas para la
sus necesidades.
Departamento para comprobar la calidad y el buen  Establecimiento de estándares Sin embargo, aún la consultoría gestión y el control de
funcionamiento de los sistemas y procesos en general, basa su actualizados para todo el desarrollo y adjudicada en la Licitación Pública No. TI., sin embargo aún
gestión únicamente en pruebas satisfactorias y en la adquisición de software, durante todo 2009LN-000004-01 para la no se ha establecido
información de los contratos. su ciclo de vida. implementación de las Normas una metodología que
Técnicas para la Gestión y el Control de gestione la calidad.
las Tecnología de Información, emitidas
por la Contraloría General de la
República, cuya adjudicación recayó en
la empresa PriceWaterHouseCoopers
S.A. le falta prácticamente un año para
concluir; razón por la cual, se tiene
previsto dar cumplimiento al Hallazgo,
durante la que resta de la consultoría y a
través del paquete No. 13 Metodología
para la Implementación del Software.

HALLAZGO 3: INEXISTENCIA DE UN SITIO Valorar la posibilidad de dotar al Se contempló en el Presupuesto 2012 la EN PROCESO
ALTERNO PARA LOS SERVIDORES Departamento de Informática del IDA, del estimación de recursos para la
PRINCIPALES DEL IDA equipo necesario para poder implementar contratación del sitio alterno. Se evidencio que para
un mecanismo de replicación automática el 2012 se tiene
en un sitio alterno (bajo un enfoque de Se envió la estimación, a través del contemplado
CONDICIÓN: costo-beneficio), para que en caso de fallas
Oficio TI-147-2012. presupuestariamente el
del servidor principal, el equipo de
Al efectuar la revisión de los respaldos de la información respaldo entre a funcionar de forma desarrollo de un sitio
 COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
almacenada en los servidores del IDA, se determinó que inmediata impidiendo la paralización de alterno para
no se cuenta con un mecanismo de replicación automática las operaciones. Para la efectividad de lo tecnologías de
en un lugar externo a las instalaciones principales del IDA. recomendado, se debe contar además con información.
un ancho de banda adecuado y una
Dicha situación no estaría permitiendo garantizar la
infraestructura de comunicaciones
continuidad de las operaciones en forma inmediata en caso apropiada para evitar caídas de la red.
de falla del servidor principal localizado en oficinas
centrales. Además, una vez que se cuente con el
equipo necesario, se debe agregar al plan
de contingencia integral los
procedimientos para realizar el respaldo,
implementar un plan de pruebas y
ejecutarlo cada cierto periodo de tiempo
para garantizar que el equipo va a
funcionar adecuadamente en caso de un
contingente.

RECOMENDACIONES
HALLAZGO
HALLAZGO 4: NO EXISTE UNA EJECUTORÍA Acordar reuniones periódicas y mantener
ACTIVA DEL COMITÉ DE TECNOLOGIA DE una asesoría activa por parte de los
INFORMACION DEL IDA miembros que conforman el Comité de
Tecnologías de Información del IDA, con
el fin de asegurar las actividades de control
CONDICIÓN: interno en materia tecnológica, para que el
jerarca pueda apoyar sus decisiones sobre
De acuerdo con la revisión efectuada a la estructura asuntos estratégicos de T.I en
organizacional para la administración de los recursos concordancia con la estrategia
informáticos, se observó que el IDA no cuenta con un Comité institucional, estableciendo prioridades, y
de Tecnologías de Información para la gestión informática un equilibrio en la asignación de recursos.
activa. Incumpliendo con lo mencionado en el plan estratégico
de tecnologías de información aprobado por Junta Directiva Aprobar por parte de la Administración
mediante acuerdo N° 4 de la Sesión Ordinaria No. 013-2010 de Superior el reglamento, en el cual se
Junta Directiva, el plan menciona: establecen entre otros aspectos la razón de
ser del Comité, conformación y estructura
“Reestructurar de acuerdo a las normativas vigentes, las de operación, funciones, integrantes y
funciones de la Comisión de Tecnologías de Información la responsabilidades.
cual se convierte ahora en el ente encargado de la toma de
decisiones de todos los aspectos relacionados con la ejecución
del Plan Estratégico aquí planteado. La participación de la
Gerencia General en esta Comisión es fundamental por la
naturaleza de las decisiones y las acciones que deben ser
llevadas a cabo. Esta Comisión debe operar bajo la normativa
que al respecto ha emitido la Contraloría general de la
República. ”
COMENTARIOS DE
ADMINISTRACIÓN ESTADO
La consultoría adjudicada en la PENDIENTE
Licitación Pública No. 2009LN-
000004-01 para la implementación de Se evidencio la
existencia del
las Normas Técnicas para la Gestión y
reglamento para el
el Control de las Tecnología de
Información, emitidas por la comité de Tecnologías
Contraloría General de la República, de información del
cuya adjudicación recayó en la empresa IDA, sin embargo este
PriceWaterHouseCoopers S.A; retomó se encuentra pendiente
el tema y realizó una revisión al de aprobación.
Reglamento para la creación del Comité
de Tecnologías de Información. A la
fecha aún queda pendiente la revisión
por parte de la Dirección de Asuntos
Jurídicos y una vez se tenga, la
Administración Superior elevaría el
Reglamento para aprobación de la Junta
Directiva del Instituto y posterior
publicación en el diario oficial La
Gaceta.
La última gestión al respecto, se puede
observar en el oficio GG-165-2011.

HALLAZGO 5: NO SE CUENTA CON UNA Elaborar, aprobar y divulgar una política, CORREGIDO
POLÍTICA CON EL FIN DE COMUNICAR EN por parte de las máximas autoridades del
FORMA PERIÓDICA Y CONSTANTE CAMBIOS IDA mediante la cual el Departamento de Actualmente se
DE PERSONAL EN EL IDA AL DEPARTAMENTO Recursos Humanos remita en forma encuentra en el manual
DE INFORMÁTICA. periódica información al Departamento de de políticas den la
Tecnología de Información relacionada
política denominada
con movimientos de personal (que han
 COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
CONDICIÓN: cambiado de puestos, gozan de periodos de “Fin de relación
vacaciones o incapacidades prolongadas - laboral”
mayores a 15 días-, renuncias o despidos,
Actualmente no se cuenta a nivel institucional con una etc), con el fin de que el Departamento de
política en donde se defina que el Departamento de Tecnología de Información tome las
Recursos Humanos del IDA debe suministrar medidas pertinentes con respecto a la
definición de roles y privilegios de los
periódicamente al Departamento de Tecnologías de
sistemas de información y de la red del
Información un listado de las personas que han tenido IDA.
alguna rotación en los distintos puestos de la Institución
(renuncias, despidos o vacaciones prolongadas, etc), con el
fin de realizar los respectivos cambios de roles y
privilegios en los sistemas de información y la red.

HALLAZGO 6: EL IDA NO CUENTA CON UNA Acatar las recomendaciones por parte del CORREGIDO
PLANTA ELÉCTRICA PARA LA CONTINUIDAD Área de Servicios Generales sobre las
DE LAS OPERACIONES. recomendaciones emitidas por la empresa
Conelt de Costa Rica, S.A., sobre la
instalación eléctrica del cuarto de
servidores del IDA la cual menciona:
CONDICIÓN:

 Ampliar el estudio de graficación.

Al efectuar la revisión de la continuidad de las operaciones
 Adquirir una planta generadora de
en el IDA se determinó que no se cuenta con una planta electricidad.
eléctrica que ayude a la continuidad de las operaciones al  Corregir el desbalance de cargas.
presentarse cortes de fluido eléctrico tal y como ya se han  Debe conectarse la tierra de la
presentado. UPS a la tierra principal.
 Cambiar los breakers de la
transferencia manual y poner de
tres polos con el fin de
Además según informe presentado por la empresa interrumpir el neutro.

HALLAZGO
CONELT de Costa Rica, S.A., solicitado por la auditoría
Interna del IDA en donde se realiza un diagnóstico del
sistema eléctrico del cuarto de servidores del
Departamento de Tecnologías de Información, se
mencionan fallas en la parte eléctrica que deben ser
atendidas a fin de normalizar el servicio prestado por el
Departamento de T.I.
ASUNTO 1: AUTOMATIZAR EL MANEJO DE
INCIDENTES EN EL IDA.
RECOMENDACIONES
 Realizar una medición y revisión
del sistema de tierras, y sistema
de pararrayos, para descartar
problemas producidos por las
descargas atmosféricas.
Se recomienda implementar una metodología
automatizada para el manejo de incidentes en
el IDA, que incluya una mesa de servicios, un
monitoreo y reporte de tendencias de los
incidentes, la definición de procedimientos y
criterios de escalamiento claros, así como el
cierre de incidentes y la detección de la causa
del incidente.
COMENTARIOS DE
ADMINISTRACIÓN ESTADO
La consultoría adjudicada en la EN PROCESO
Licitación Pública No. 2009LN-
000004-01 para la implementación de
las Normas Técnicas para la Gestión y
el Control de las Tecnología de
Información, emitidas por la
Contraloría General de la República,
cuya adjudicación recayó en la empresa
PriceWaterHouseCoopers S.A; retomó
el tema y realizó una revisión y se
elaboraron los documentos
“Administración de Incidentes y
Problemas. Proceso –Procedimiento y
“Atención de Usuarios Proceso-
Procedimiento”.
Con dichos insumos el sistema
desarrollado deberá adaptarse a los
requerimientos incorporados en los
documentos mencionados o bien
adquirir uno que cumpla con lo
 COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
indicado.

SEGUIMIENTO A LA CARTA DE GERENCIA CG-1-2009

HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

A. CUMPLIMIENTO DE LAS NORMAS  Cumplir las recomendaciones de la Auditoría
TÉCNICAS PARA LA GESTIÓN Y EL Interna, tanto para la Gerencia como para la
CONTROL DE LAS TECNOLOGÍAS DE Unidad de Tecnologías de Información.
 Es conveniente y necesario que la Presidencia
INFORMACIÓN EMITIDAS POR LA
del IDA, ejecute acciones para que la
CONTRALORÍA GENERAL DE LA contratación de los servicios profesionales en
REPÚBLICA
consultoría, se ejecute a la brevedad posible y
se asegure el contenido económico que
garantice a la empresa contratada, la
continuidad de la implementación. El plan de
acción incluye evitar las barreras que existan
para que la contratación se concrete y asegurar
el contenido presupuestario para el desarrollo
del proyecto para el año 2010 y los que se
proyecten puede durar el mismo.
A la fecha se tienen grandes avances con la EN PROCESO
definición de Políticas para Tecnologías de
Información y con la aprobación por parte de la En el IDA se
encuentra en
Junta Directiva al Resumen de Políticas en TI y
desarrollo el
con la elaboración del Manual de Políticas. Sin
embargo, aún la consultoría adjudicada en la proyecto de
Licitación Pública No. 2009LN-000004-01 para implementación
la implementación de las Normas Técnicas para de las normas
la Gestión y el Control de las Tecnología de técnicas para la
Información, emitidas por la Contraloría General gestión y el
control de TI.
de la República, cuya adjudicación recayó en la
empresa PriceWaterHouseCoopers S.A. le falta
prácticamente un año para concluir; razón por la
cual, este hallazgo se dará por cumplido con la
finalización de la misma.
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

C. LAS APLICACIONES O VENTANAS NO
DISPONEN DE MECANISMOS DE
SEGURIDAD, ANTE LA FALTA DE USO
DEL USUARIO DESPUÉS DE UN TIEMPO
DE NO UTILIZAR LA APLICACIÓN.
Es conveniente considerar para la aplicación actual o
futura, el definir como medida de seguridad del
sistema, que las ventanas o aplicaciones se bloque o
cierren después de un determinado tiempo de
inactividad por parte del usuario.
A la fecha se tienen grandes avances con la EN PROCESO
definición de Políticas para Tecnologías de
Información y con la aprobación por parte de la
Junta Directiva al Resumen de Políticas en TI y
con la elaboración del Manual de Políticas. Sin
embargo, aún la consultoría adjudicada en la
Licitación Pública No. 2009LN-000004-01 para
la implementación de las Normas Técnicas para
la Gestión y el Control de las Tecnología de
Información, emitidas por la Contraloría General
de la República, cuya adjudicación recayó en la
empresa PriceWaterHouseCoopers S.A. le falta
prácticamente un año para concluir; razón por la
cual, las políticas se irán implementando
conforme existan los recursos suficientes para
realizarlo.

D. EXISTEN FUNCIONARIOS DE Atender las recomendaciones de periodos anteriores, y En Tecnología de Información se cuenta con PENDIENTE
INFORMÁTICA CON FUNCIONES Y como medida contingente o provisional considerar poco personal para implementar una adecuada
ACCESOS DE ANALISTAS, definir una segregación de funciones temporal que segregación de funciones. Esta situación
PROGRAMADORES Y separe las funciones y accesos de Analista, Programar continuará permanentemente hasta tanto no se
ADMINISTRADORES DE BASES DE y Administrar de la Base de Datos entre los cuente con el personal suficiente.
DATOS. funcionarios actuales, definiendo la atención de
requerimientos únicamente por medio escrito donde
conste la firma del usuario que plantea el
requerimiento al sistema y la autorización de su
respectiva jefatura o superior.
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

F. EQUIPO DE CÓMPUTO Y Disponer de un espacio adecuado para almacenar y PENDIENTE

MANTENIMIENTO DE EQUIPO SIN custodiar equipo y suministros de cómputo.
ALMACENAR.

H. LOS SISTEMAS DEL IDA NO Considerar para el presente como para futuros sistemas A la fecha se tienen grandes avances con la EN PROCESO
REQUIEREN CAMBIAR LA CONTRASEÑA de la entidad, la medida de seguridad de solicitarle al definición de Políticas para Tecnologías de
DE LAS APLICACIONES CON usuario del sistema cada cierta periodicidad cambiar su Información y con la aprobación por parte de la
DETERMINADA PERIODICIDAD. contraseña de acceso. Junta Directiva al Resumen de Políticas en TI y
con la elaboración del Manual de Políticas. Sin
embargo, aún la consultoría adjudicada en la
Licitación Pública No. 2009LN-000004-01 para
la implementación de las Normas Técnicas para
la Gestión y el Control de las Tecnología de
Información, emitidas por la Contraloría General
de la República, cuya adjudicación recayó en la
empresa PriceWaterHouseCoopers S.A. le falta
prácticamente un año para concluir; razón por la
cual, las políticas se irán implementando
conforme existan los recursos suficientes para
realizarlo.

I. NO SE DISPONE DE UN MECANISMO DE
CONTROL AUTOMÁTICO O MANUAL
(PROCEDIMIENTO INSTITUCIONAL) QUE
INACTIVE A USUARIOS QUE POR UN
DETERMINADO TIEMPO DEJAN DE
UTILIZAR LOS SISTEMAS.
Considerar en el sistema actual o por adquirir, el
requerimiento de inactivar claves después de un tiempo
definido de falta de uso, como contingencia se
recomienda definir la política de comunicar de parte de
todas las dependencias del IDA al Departamento de
Informática, la inactivación de usuarios que por alguna
circunstancia se ausentan de su trabajo en un periodo
considerable (tiempo a definir por la Administración)
A la fecha se tienen grandes avances con la EN PROCESO
definición de Políticas para Tecnologías de
Información y con la aprobación por parte de la
Junta Directiva al Resumen de Políticas en TI y
con la elaboración del Manual de Políticas. Sin
embargo, aún la consultoría adjudicada en la
Licitación Pública No. 2009LN-000004-01 para
la implementación de las Normas Técnicas para
la Gestión y el Control de las Tecnología de
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

Información, emitidas por la Contraloría General

de la República, cuya adjudicación recayó en la
empresa PriceWaterHouseCoopers S.A. le falta
prácticamente un año para concluir; razón por la
cual, las políticas se irán implementando
conforme existan los recursos suficientes para
realizarlo.

SEGUIMIENTO A LA CARTA DE GERENCIA CG-1-2008

HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

HALLAZGO 1: DEFINIR E IMPLANTAR Definir, implantar y documentar las políticas CORREGIDO

POLÍTICAS PARA EL ÁREA necesarias para regular el cumplimiento en el uso
DE TECNOLOGÍAS DE LA de las Tecnologías de la información, y de la
INFORMACIÓN DEL IDA. seguridad de los datos, tomando en cuenta tópicas
como calidad, seguridad, confidencialidad,
controles internos. Además se deben definir
responsables para la administración de las
políticas, se debe definir la frecuencia de revisión
y actualización de las políticas e indicadores de
cumplimiento, entre las políticas que se
recomiendan definir están:

 Política para el Tratamiento de los

Riesgos de Seguridad.
 Política para la Organización de la
Seguridad de la Información.
 Política para Clasificación de la
Información.
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

 Política para el Intercambio de información.

 Política para el Reporte de Eventos en la
Seguridad de la Información.
 Política para el Cumplimiento de los
Requerimientos Legales.
 Política para la Administración de medios
removibles.
 Política para la administración de la
Seguridad Física.

Cabe mencionar que la Administración Superior del

IDA en conjunto con la encargada de la Unidad de TI
debe aprobar y divulgar las políticas definidas.
Para la elaboración de esta tarea se recomienda
utilizar como referencia la norma ISO 27002 de
seguridad de la información.

Que la Administración Superior del IDA considere En Tecnología de Información se cuenta PENDIENTE
HALLAZGO 2: PERSONAL INSUFICIENTE EN LA
la aprobación de las plazas requeridas para la con poco personal para implementar una
UNIDAD DE TECNOLOGÍAS DE En la evaluación
Unidad de TI para poder cubrir de la mejor manera adecuada segregación de funciones. Esta
LA INFORMACIÓN.
los procesos tecnológicos que requiere el Instituto situación continuará permanentemente hasta realizada el área de
en la actualidad, especialmente en las áreas de tanto no se cuente con el personal Tecnologías de
desarrollo y mantenimiento de Sistemas, soporte suficiente. Información tiene
técnico, administración de bases de datos, redes y como gran
telecomunicaciones, administración de proyectos limitante la
tecnológicos y analizar la posibilidad de poder directriz del poder
implementar el puesto de Oficial de Seguridad o ejecutivo número
algún puesto similar, el cual es deseable cumpla 013-H en donde su
con las siguientes tareas: artículo primero
menciona que no se
 Brindar los servicios de seguridad en la crearán plazas en el
organización, a través de la planeación, sector público.
coordinación y administración de los
HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

procesos de seguridad informática, así

como difundir la cultura de seguridad
informática entre todos los miembros de
la organización.

 Definir la misión de la seguridad

informática de la organización.
 Aplicar una metodología de análisis de
riesgo.
 Definir la Política de seguridad
informática.
 Definir los procedimientos para aplicar la
Política de seguridad informática.
 Seleccionar los mecanismos y
herramientas adecuados que permitan
aplicar las políticas dentro de la misión
del IDA.
 Crear un grupo de respuesta a incidentes
de seguridad.
 Promover la aplicación de auditorías
enfocadas a la seguridad
 Crear y vigilar los lineamientos
necesarios que coadyuven a tener los
servicios de seguridad en la Institución.
 Crear un grupo de seguridad informática
en la organización.

Es recomendable que el encargado de Seguridad

Informática sea independiente a la Unidad de TI, y
que responda directamente a la Gerencia, y al
Comité de Tecnologías de la Información.
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

HALLAZGO 4: NO SE CUENTAN CON POLÍTICAS Establecer políticas o procedimientos relacionados
NI PROCEDIMIENTOS con los cambios o mejoras a los sistemas de
RELACIONADOS CON LA información implantados en el IDA, comunicar al
SOLICITUD DE CAMBIOS O personal dichas políticas o procedimientos para su
MEJORAS A LOS SISTEMAS. cumplimiento con el fin de determinar la
procedencia y prioridades de los cambios o
mejoras, implementando una evaluación técnica
para garantizar la calidad y el debido
cumplimiento de los requerimientos que
previamente fueron entendidos y solicitados.
Además sería de gran utilidad contar con una
herramienta automatizada para poder llevar las
estadísticas de los cambios o mejoras a los
sistemas, permitiendo además agilizar este proceso
tanto para la parte usuaria como para la Unidad de
TI.
A la fecha se tienen grandes avances con la CORREGIDA
definición de Políticas para Tecnologías de
Información y con la aprobación por parte Se evidencio la
de la Junta Directiva al Resumen de existencia de el
Políticas en TI y con la elaboración del procedimiento
Manual de Políticas. Sin embargo, aún la denominado
consultoría adjudicada en la Licitación “Administración y
Pública No. 2009LN-000004-01 para la liberación de
implementación de las Normas Técnicas cambios (PRC-
para la Gestión y el Control de las DTI-011 Versión
Tecnología de Información, emitidas por la 1.0)”
Contraloría General de la República, cuya
adjudicación recayó en la empresa
PriceWaterHouseCoopers S.A. le falta
prácticamente un año para concluir; razón
por la cual, las políticas se irán
implementando conforme existan los
recursos suficientes para realizarlo.

HALLAZGO 6: NO ESTA DOCUMENTADA LA Documentar la metodología empleada en la CORREGIDO

METODOLOGÍA PARA LA administración de proyectos informáticos llevados
ADMINISTRACIÓN DE a cabo por el Instituto de Desarrollo Agrario, Se nos brindo la
PROYECTOS INFORMÁTICOS. definiendo claramente las etapas del proyecto, la Metodología de
conformación y administración del equipo de Administración de
trabajo, herramientas utilizadas por ejemplo Proyectos (PRC-
diagramas de hitos, Gantt, etc. Técnicas utilizas DTI-008), en la
por ejemplo PERT, modelos de estimación cual se definen las
empleados, entre otros aspectos relevantes para la etapas de
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

adecuada administración de proyectos desarrollo de salida

informáticos. y especifica cuáles
son las entradas y
salidas para cada
una de ellas entre
otras cosas.

HALLAZGO 7: POCO ESPACIO FÍSICO EN EL
ÁREA DE TI.
Dotar a la Unidad de TI del IDA de un área que PENDIENTE
cuente con un diseño y espacio necesario para
poder administrar los recursos de TI de la mejor
manera, permitiendo al personal realizar gestiones
administrativas y de servicio de los funcionarios
del Instituto, también es recomendable asignar una
zona específica con acceso restringido para ubicar
los equipos, herramientas y otros dispositivos
requeridos para la instalación, revisión y/o
reparación de hardware, así como mobiliario
apropiado que asegure la prevención de accidentes
y posibles daños a los activos que en esta área se
ubiquen, así como la adecuada comodidad para
que los funcionarios desarrollen sus labores en
forma segura y saludable. Además se recomienda
el establecimiento de un plan a largo plazo para
que las instalaciones de la Unidad de TI puedan
soportar adecuadamente los requerimientos
actuales y futuros de la Institución, tomando en
cuenta aspectos de construcción, vigilancia,
seguridad personal, sistemas eléctricos y
mecánicos, protección contra factores ambientales,
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

con el fin de disminuir los posibles riesgos

ocasionados por fuego, rayos, inundaciones, etc.

HALLAZGO 8: FALTA DOCUMENTAR LOS
PROCEDIMIENTOS PARA
DEFINIR PERFILES, ROLES Y
NIVELES DE PRIVILEGIO A LOS
USUARIOS DE LOS SISTEMAS
IMPLANTADOS EN EL IDA.
Documentar el proceso de asignación de roles y La consultoría adjudicada en la Licitación CORREGIDO
privilegios que actualmente lleva la Unidad de Pública No. 2009LN-000004-01 para la
Tecnologías de Información del IDA, para que los implementación de las Normas Técnicas Se evidencio la
usuarios de los sistemas cuenten con los debidos para la Gestión y el Control de las existencia del
privilegios previo estudio o asignación por parte Tecnología de Información, emitidas por la documento de
de los responsables de manipular la información. Contraloría General de la República, cuya Administración de
adjudicación recayó en la empresa Roles con el código
PriceWaterHouseCoopers S.A; retomó el de PRC-DTI-020.
tema y realizó una revisión y se elaboró el
documento “Modelo de Arquitectura” y se
encuentra un Preliminar y en revisión por
parte de los miembros de la Comisión de
Normas Técnicas el documento “Roles y
responsabilidades Sistemas de
información”.

HALLAZGO 9: LOS SISTEMAS DE INFORMACIÓN Implementar en los nuevos desarrollos y Las contrataciones para desarrollar nuevos EN PROCESO
DEL IDA NO CUMPLEN migraciones de sistemas los estándares internos del sistemas de información para sustituir los
CON LAS POLÍTICAS O Instituto de Desarrollo Agrario relacionados con el actuales, contemplan los estándares Los módulos
ESTÁNDARES DEFINIDOS EN desarrollo de sistemas, para poder unificar la existentes en los manuales de desarrollo. Se revisados algunos
LOS MANUALES DE arquitectura computacional y facilitar la encuentran en proceso de desarrollo los cumplían ya que se
DESARROLLO. mantenibilidad de los sistemas de información. sistemas: Módulos de Cuentas por Cobrar, está en etapa de
Sistema Integrado Agrario-SIGA, Sistema definición de los
Integrado de Recursos Humanos-SIRH. nuevos estándares
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

de desarrollo.

HALLAZGO 10: INCONSISTENCIAS EN LAS Depurar las bases de datos de los sistemas que
BASES DE DATOS DE LOS actualmente están en producción en el IDA, esta
SISTEMAS IMPLANTADOS EN labor debe ser coordinada entre la Unidad de
EL IDA. Tecnologías de la Información y los diferentes
Departamentos del Instituto, con el fin de que la
información almacenada sea confiable y exacta, en
el punto D “Sistemas de Información” del presente
documento se detallan algunas de las
inconsistencias encontradas en las bases de datos.
Las contrataciones para desarrollar nuevos EN PROCESO
sistemas de información para sustituir los
actuales, contemplan la etapa de migración
y depuración de información. Se
encuentran en proceso de depuración de
información los sistemas: Módulos de
Cuentas por Cobrar, Sistema Integrado
Agrario-SIGA, Sistema Integrado de
Recursos Humanos-SIRH.

SEGUIMIENTO A LA CARTA DE GERENCIA CG-1-2007

HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

HALLAZGO 3: LOS MANUALES, POLÍTICAS, A la fecha se tienen grandes avances con la EN PROCESO
REGLAMENTOS Y definición de Políticas para Tecnologías de
DOCUMENTOS GENERADOS Información y con la aprobación por parte
POR LA UNIDAD DE de la Junta Directiva al Resumen de
INFORMÁTICA NO CUENTAN Políticas en TI y con la elaboración del
CON EL VISTO BUENO DE LA Manual de Políticas. Sin embargo, aún la
JUNTA DIRECTIVA DEL IDA. consultoría adjudicada en la Licitación
Pública No. 2009LN-000004-01 para la
implementación de las Normas Técnicas
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

CONDICIÓN: para la Gestión y el Control de las

Tecnología de Información, emitidas por la
Al efectuar la revisión de la administración de la Unidad de Contraloría General de la República, cuya
Informática del IDA se determinó que los manuales, adjudicación recayó en la empresa
políticas reglamentos y documentos generados por esta PriceWaterHouseCoopers S.A. le falta
unidad son borradores ya que no cuentan con la aprobación prácticamente un año para concluir.
de la Junta Directiva del IDA. Entre los documentos que se
pueden mencionar están: “Organización Técnica”, “Plan de
Contingencias”, “Estándares para Adquisición de Equipo de
Cómputo”, “Manual de Estándares para el Ciclo de Vida
del Desarrollo de Sistemas”, “Manual de Estándares de
Programación N-Capas”, “Reglamento de Uso interno de
Redes, Respaldos, Seguridad, Internet y Correos”,
“Términos de Referencia para la Contratación de Servicios
Profesionales en el área de Mantenimiento Preventivo-
Correctivo y Soporte Técnico de Equipos de Cómputo en
Oficinas Centrales y Direcciones Regionales del Instituto”,
“Políticas de Instalación de Hardware” y “Manual de
Tecnologías de Información”.

HALLAZGO 4: INCONSISTENCIAS EN EL Las contrataciones para desarrollar nuevos EN PROCESO

MODELO DE ARQUITECTURA DE sistemas de información para sustituir los
INFORMACIÓN DEL IDA. actuales, vendrán a estandarizar el modelo
de arquitectura del Instituto y con base en el
CONDICIÓN: Plan Estratégico de Tecnologías de
Información. Los sistemas son: Módulos de
Al efectuar la revisión de los Sistemas de Información del
Cuentas por Cobrar, Sistema Integrado
IDA se determinó que la información está almacenada en
Agrario-SIGA, Sistema Integrado de
diferentes bases de datos como ORACLE, CLEEPER Y
Recursos Humanos-SIRH, Sistema
ACCES, lo cual provoca que no exista un modelo de datos
Integrado Financiero Administrativo.
institucional consistente e integrado.
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

HALLAZGO 9: INCONSISTENCIAS EN EL La contratación para desarrollar el nuevo PENDIENTE

SISTEMA DE INGRESOS. sistema de información para sustituir el
actual, vendrá a solventar los problemas de
inconsistencias del Sistema actual de
Se evidencio el
Ingresos. El nuevo sistema se estima que
CONDICIÓN: desarrollo de un
finaliza en diciembre 2011. Se adjunta
nuevo sistema
informe de avance No. 14 del Proyecto
denomina SIFA
que involucra el
Al efectuar la auditoría de sistemas al IDA se determinó que el
sistema de ingresos presenta múltiples inconsistencias, por lo proceso de
que según lo constatado por esta auditoría se torna un sistema ingresos. Sin
inexacto y poco confiable. embargo durante el
proceso de
1- Cuando se imprime una constancia de cancelación, la auditoría se
misma indica nombre del beneficiario, número de mantienen las
predio, proyecto donde se ubica, fecha y comprobante
deficiencias en el
de cancelación; para verificar los pagos realizados y
efectuar la cancelación, se solicita un proceso sistema.
denominado SII690, el cual muestra el detalle de
pagos, número de comprobante y fecha de
cancelación. No obstante; en algunos casos, este
proceso no está sustentado en la realidad.

2- Al solicitar en el menú, la opción de consulta por

número de cédula, de las operaciones que tiene
registradas un beneficiario; algunas veces, el sistema
reporta una sola operación, cuando en realidad tiene
varias. Cuando los funcionarios regionales señalan en
la solicitud de constancias que el beneficiario tiene más
operaciones, buscamos formas alternativas para
ubicarlas. Una vez ubicadas y verificado que el
número de cédula sea el mismo, se realiza de nuevo la
consulta y aparecen las operaciones que no se habían
reflejado anteriormente.
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

3- Al solicitar constancias de deuda por operación, la

opción muestra si esta se encuentra pendiente y el
saldo requerido para cancelarla, sin embargo; al iniciar
el proceso de aplicación del monto depositado por el
beneficiario, este ya no coincide con el señalado
anteriormente, porque se alteraron los saldos sin razón
alguna. Algunas veces se refleja que falta más dinero
que el depositado y en otras ocasiones más bien sobra,
a pesar de que es el monto completo que indicó el
sistema, al consultarlo y el mismo que se aplicará.
Esta situación es muy preocupante porque al deudor se
le da falsas expectativas de que sus operaciones
quedaran canceladas, lo cual no ocurre y por el
contrario necesita pagar una suma adicional.

a- Caso de faltante: En la constancia de la

señora Ana Isabel Castro Segura, beneficiaria
del predio No. 12 ubicado en el
Asentamiento Las Vegas, a la cual se le
indicó que el saldo que adeudaba de esta
operación era ¢152.592.90, sin embargo, la
señora realizó un depósito por ¢152.592.00,
quedando después en la aplicación un saldo
de ¢20.796.20 al 03 de abril del 2007, cosa
que con solo realizar una simple operación
aritmética, se visualiza que no es correcto.
b- Caso de sobrante: La señora Rafaela Marín
Durán, beneficiaria del lote 62 del
asentamiento El Ceibo, a la cual se le indicó
que adeudaba la suma de ¢22.401.20 y
depositó la misma suma, al efectuar la
aplicación en el sistema, resultó un sobrante
de ¢5.974.75, sin hacer ninguna
modificación de los pagos realizados
anteriormente.
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

4- Cuando se emiten reportes de endeudamiento por

asentamiento, se observa operaciones que muestran
saldo a la fecha, sin embargo, al solicitar la operación
en forma individual, algunas se encuentran canceladas.
Esta situación perjudica la labor de los funcionarios
regionales que realizan fiscalización en los
asentamientos, porque se desplazan a las parcelas para
ejercer el cobro de los saldos, pero estos ya están
cancelados.
5- Al generar las constancias de cancelación, se presenta
una inconsistencia, porque algunas operaciones que
están pendientes, por error, se emiten como canceladas
y el sistema lo ejecuta. Esto ocurre porque en el
historial de pagos de la operación, existe un número de
comprobante de un abono efectuado, que
automáticamente procesa, considerándolo como si
fuera el comprobante de cancelación final. Esto da
como resultado una constancia de deuda cancelada.
Además, el sistema no dispone de ningún bloqueo que
limite este procedimiento.

6- La falta de mantenimiento del sistema electrónico

durante muchos años, no ha permitido la depuración
de los datos registrados y de los reportes emitidos, de
acuerdo a los nuevos requerimientos y necesidades de
usuarios internos y externos.

7- La inhabilitación de los usuarios por períodos de

tiempo, que no permite la utilización del sistema y por
ende la evacuación de consultas de los usuarios,
porque la desconexión se presenta en cualquier
momento, algunas veces de todos los usuarios y otras
solamente de uno, sin motivo aparente; aunado a la
falta de personal que conozcan el sistema AS-400, ya
que se dispone únicamente de una persona que conoce
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

el manejo del sistema.

8- Por otra parte, la gran cantidad de saldos por montos
inferiores a los ¢1.000.00 que no pueden ser
cancelados de oficio, porque no existe un
procedimiento establecido, incrementan el porcentaje
de mora, a pesar de que no son significativos.

Por lo anteriormente mencionado se recomienda la

implantación de un nuevo sistema de ingresos a nivel
institucional.
 SEGUIMIENTO A LA CARTA DE GERENCIA CG-1-2002

HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

HALLAZGO 5: NO EXISTE AUDITOR DE PENDIENTE

SISTEMAS.
CONDICIÓN:

La Auditoría Interna del Instituto de Desarrollo Agrario no

cuenta con un auditor de sistemas

HALLAZGO 6: INEXISTENCIA DE UN PLAN DE CORREGIDO

CONTINGENCIAS.

CONDICIÓN:

No existe un plan de contingencias que ayude a subsanar

inconvenientes presentados en los sistemas o equipos.

HALLAZGO 7: INEFICIENCIAS EN ALGUNOS Las contrataciones para desarrollar nuevos PROCESO

SISTEMAS DE INFORMACIÓN. sistemas de información para sustituir los
actuales, vendrán a estandarizar el modelo Cumplido para los
de arquitectura del Instituto y con base en el sistemas de
CONDICIÓN: recursos humanos
Plan Estratégico de Tecnologías de
Se encontraron los siguientes inconvenientes con algunos Información. Los sistemas mencionados en
En proceso para los
sistemas de información: este hallazgo referente a vacaciones,
sistemas Financiero
recursos humanos y relación de puestos en
Contable y el de
AS/400, han sido sustituidos por el nuevo
 Inconsistencias en reporte de vacaciones del nuevo Ingresos
Sistema Integrado de Recursos Humanos-
Sistema de Recursos Humanos de cara gráfica SIRH. Para el caso de los sistemas
 No es posible generar acciones de personal financiero contable y el de Ingresos los
masivas en el nuevo Sistema de Recursos
 HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO

Humanos de cara gráfica, por lo cual debe nuevos sistemas aún se encuentran en etapa
utilizarse para tal fin el Sistema de Relación de de desarrollo y serán sustituidos conforme
Puestos en el AS/400. los mismos se concluyan.
 No se almacena histórico de acciones de personal
en el nuevo Sistema de Recursos Humanos de cara
gráfica.
 No es posible generar reportes de movimientos por
rangos de fechas en el Sistema Financiero
Contable
 No es posible visualizar información histórica en
el nuevo Sistema de Ingresos.
A continuación se resume el cumplimiento de las recomendaciones emitidas en informes de
auditorías anteriores de manera gráfica:

CORREGIDAS 8
PENDIENTES 8
PROCESO 11

Cumplimiento a las recomendaciones emitidas en

CG anteriores
CORREGIDAS PENDIENTES PROCESO

29.63%

40.74%

29.63%