Beruflich Dokumente
Kultur Dokumente
A)
Informe Final.
San José, 29 de Agosto del 2011
Señores
INSTITUTO DE DESARROLLO AGRARIO
Presente
Estimados señores:
Según nuestro contrato de servicios, efectuamos la visita de auditoría externa del período 2010 al
Instituto de Desarrollo Agrario (I.D.A) y con base en el examen efectuado, observamos ciertos
aspectos referentes al sistema de control interno y procedimientos de Tecnología de Información ,
basados en el manual de “Normas Técnicas para la Gestión y el Control de las Tecnologías de
Información (N-2-2007-CO-DFOE)” emitido por la Contraloría General de la República y los
estándares establecidos según los Objetivos de Control para Información y Tecnología
Relacionada – CobiT®, los cuales sometemos a consideración de ustedes en esta carta de gerencia
CG -1-2010.
Considerando el carácter de pruebas selectivas en que se basa nuestro examen, ustedes pueden
apreciar que se debe confiar en métodos adecuados de comprobación y de control interno, como
principal protección contra posibles irregularidades que un examen basado en pruebas selectivas
puede no revelar, si es que existiesen. Las observaciones no van dirigidas a funcionarios o
empleados en particular, sino únicamente tienden a fortalecer el sistema de control interno y los
procedimientos relacionados con las Tecnologías de Información.
1. Introducción
Como parte a la evaluación de los estados financieros del Instituto de Desarrollo Agrario (de
ahora en adelante, IDA), realizamos la evaluación de los controles generales de la gestión de
tecnología de información, con el objetivo de medir el grado de riesgo de la información en lo que
respecta a seguridad, integridad, efectividad, eficiencia, confidencialidad, confiabilidad,
disponibilidad y continuidad de la plataforma tecnológica.
1.3. Alcance
El estudio se realizó durante el mes de Agosto del 2011 y corresponde a la auditoría del periodo
del 2010.
1.5. Limitaciones del estudio
1.6. Metodología
Para llevar a cabo este trabajo utilizamos una modalidad de análisis de la información suministrada
por el área de Tecnología de Información, aplicamos cuestionarios de control interno relacionados
con la administración del Departamento, seguridad física y lógica de los sistemas de información,
continuidad de las operaciones del negocio, políticas en cuanto al uso adecuado del equipo de
cómputo, Internet y correo, planes de capacitación, procesos de mantenimiento y reparación del
equipo de cómputo, bitácoras de los sistemas, manuales de puestos, plan operativo anual y
sistemas de Información que posee el Instituto.
Además, se formularon preguntas sobre la existencia de controles informáticos, en todos los casos
necesarios solicitamos a los funcionarios las evidencias en documentos escritos o en formato
digital que respaldaran sus afirmaciones.
Dimos lectura a los manuales de puestos presentados por el área de Tecnología de Información,
políticas en el uso de los recursos informáticos (computadoras, Internet y correo electrónico),
estándares de desarrollo, procedimientos para el mantenimiento y reparación del equipo de
cómputo, inventario del hardware y dimos lectura a los manuales de procedimientos operativos del
Instituto, con el fin de evaluar el cumplimiento de los mismos.
2. VALORACIÓN DE LAS NORMAS TÉCNICAS
Para cada una de las normas técnicas para la gestión y control de tecnología de información emitidas por
la Contraloría General de la República, procedimos a realizar un análisis respecto a su cumplimiento.
Con respecto al cumplimiento de las Normas Técnicas se estableció una clasificación para determinar el
nivel de cumplimiento de cada una de las normas técnicas, la cual se presenta a continuación:
El detalle de la evaluación de cada una de las normas técnicas para la gestión y control de tecnología de
información emitidas por la Contraloría General de la República, se muestra a continuación:
Normativa Evaluación de
cumplimiento
1.1 Marco estratégico de TI Avanzada
1.2 Gestión de la calidad Planificada
1.3 Gestión de riesgos Iniciada
1.4 Gestión de la seguridad de la información Planificada
1.4.1 Implementación de un marco de seguridad de la información Planificada
1.4.2 Compromiso del personal con la seguridad de la información Planificada
1.4.3 Seguridad física y ambiental Iniciada
1.4.4 Seguridad en las operaciones y comunicaciones Iniciada
1.4.5 Control de acceso Iniciada
1.4.6 Seguridad en la implementación y mantenimiento de software e Iniciada
infraestructura tecnológica
1.4.7 Continuidad de los servicios de TI Avanzada
1.5 Gestión de proyectos Iniciada
1.6 Decisiones sobre asuntos estratégicos de TI Planificada
1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI Iniciada
2.1 Planificación de las tecnologías de información Iniciada
2.2 Modelo de arquitectura de información Iniciada
2.3 Infraestructura tecnológica Iniciada
2.4 Independencia y recurso humano de la Función de TI Iniciada
2.5 Administración de recursos financieros Avanzada
3.1 Consideraciones generales de la implementación de TI Avanzada
3.2 Implementación de software Avanzada
3.3 Implementación de infraestructura tecnológica Iniciada
3.4 Contratación de terceros para la implementación y mantenimiento de Avanzada
software e infraestructura
4.1 Definición y administración de acuerdos de servicio Avanzada
4.2 Administración y operación de la plataforma tecnológica Avanzada
4.3 Administración de los datos Planificada
4.4 Atención de requerimientos de los usuarios de TI Avanzada
4.5 Manejo de incidentes Avanzada
4.6 Administración de servicios prestados por terceros Avanzada
5.1 Seguimiento de los procesos de TI Iniciada
5.2 Seguimiento y evaluación del control interno en TI Planificada
5.3 Participación de la Auditoría Interna Iniciada
3. OPORTUNIDADES DE MEJORA IDENTIFICADAS EN LA EVALUACIÓN
CONDICIÓN:
Al realizar un estudio sobre los usuarios que se encuentran activos en el Active Directory
institucional, se identificó la existencia de cuentas activas de ex funcionarios, así como la existencia
de usuarios genéricos como se muestra a continuación:
FECHA DE
NOMBRE UBICACIÓN FISÍCA SALIDA DEPARTAMENTO
Gerardo Espinoza Suarez Oficina de Siquirres 26/08/2010 Fallecimiento
Pedro Gutiérrez Rojas Área Servicios Generales 30/11/2010 Pensión C.C.S.S
Álvaro Torres Guerrero Dirección Región Central 15/08/2011 Pensión C.C.S.S
Norman Montes Moraga Oficina Sub. Laurel 12/08/2011 Despido sin responsabilidad patronal
Área Contabilidad.
Área Infraestructura Rural.
Área Organización y Gestión Empresarial.
Área Presupuesto
Área Seguridad Alimentaria
Área Selección de Familias.
Área Tesorería.
Asociación Solidarista de Empleados del IDA.
Auditoria SMTP.
Babel.
BPROINDER.
Cooperativa de Empleados del IDA.
Departamento Administrativo.
Dirección Central.
Dirección Chorotega.
Dirección de Planificación.
Dirección Región Brunca.
Dirección Región Heredia
Presidencia Ejecutiva.
Recursos Humanos.
Tecnología de Información.
Uneida.
Unidad de Ingresos.
Unidad de odontología.
Unidad Planillas.
Lo anterior provoca que en una misma terminal varios funcionarios puedan acceder a los
sistemas de información con un mismo usuario, lo cual podría dificultar la determinación del
responsable ante un posible mal manejo de información.
CRITERIO:
RECOMENDACIONES:
1. Deshabilitar las cuentas de ingreso a la red de los ex funcionarios del IDA, acatando lo
que indica el manual de políticas del IDA, específicamente la política denominada “Fin de
la Relación Laboral” con el objetivo que el departamento de Recursos Humanos
comunique lo antes posible al Departamento de Tecnologías de Información cualquier
despido, renuncia o cambio laboral de algún funcionarios y así tomar las medidas
correspondientes.
3. Documentar la necesidad de crear usuarios genéricos, situación que permitirá conocer con
precisión, entre otra información, el nombre del funcionario que autorizó dicho usuario, la
dependencia y los funcionarios que tienen acceso a los respectivos equipos, así como la
justificación respectiva.
CONDICIÓN:
Definición de prioridades.
CRITERIO:
2. Finalizar el “sistema de soporte técnico” que fue desarrollado por el Área de Tecnologías
de Información del IDA incluyendo todos los aspectos que se mencionan en el
procedimiento sobre la administración de incidentes y problemas o en su defecto adquirir
un software que cumpla dichas funciones realizando un estudio de factibilidad técnica,
operativa y económica para dicho desarrollo.
CONDICIÓN:
CRITERIO:
RECOMENDACIÓN:
CONDICIÓN:
Al evaluar los módulos del “Sistema de Control de Fincas y Arrendamientos de tierras” los
cuales no fueron desarrollados por el área de Tecnologías de Información del IDA, sino que fue
un desarrollo llevado a cabo por las áreas usuarias, se observaron las siguientes situaciones:
CRITERIO:
RECOMENDACIÓN:
1- Restaurar los formularios dañados del sistema SIGADES a la mayor brevedad posible, por
parte del desarrollador del sistema, centralizando futuros desarrollos en el área informática de
la institución.
2- Realizar una revisión de los permisos, privilegios y roles de los usuarios del sistema
SIGADES, documentando los resultado de la revisión y procediendo a realizar los cambios
necesarios para asegurar la información.
3- Realizar una revisión de los permisos asignados a los recursos compartidos en los servidores
del IDA, documentando los resultados y tomando las medidas necesarias para fomentar la
integridad, disponibilidad y seguridad de la información, limitando la utilización de los
permisos de control total y en el caso que se deban dar debe haber una debida autorización y
justificación del por qué se deben asignar esos privilegios.
OPORTUNIDAD DE MEJORA 5: NO SE OBSERVA AL PROCESO DE TECNOLOGÍAS
DE INFORMACIÓN EN EL ORGANIGRAMA INSTITUCIONAL DEL IDA.
CONDICIÓN
CRITERIO
Definir a la Unidad de Tecnologías de Información como una estructura independiente con una
jerarquía establecida, tomando en cuenta requerimientos de personal, funciones, delegación,
autoridad, roles, responsabilidades y supervisión, con el fin de cumplir con lo estipulado por la
Contraloría General de La Republica en el apartado de “Independencia y Recurso Humano de
la Función de TI” apoyando además el proyecto de “Implantación de las Normas Técnicas para
la Gestión y Control de las T.I. de la Contraloría”.
CONDICIÓN
CRITERIO:
RECOMENDACIÓN:
1. Realizar una conciliación de los datos correspondientes a los activos del IDA que se
encuentran en ambas bases de datos.
2. Unificar en una sola base de datos la administración de los activos del IDA.
OTROS ASUNTO A INFORMAR
Al momento de realizar la auditoría externa se determino que no existe evidencia formal sobre
capacitaciones impartidas a nivel institucional en materia de seguridad, confidencialidad y los riesgos
asociados con el uso de las tecnologías de información por lo que se recomienda realizar campañas
de capacitación y divulgación fomentando la importancia y las medidas de seguridad informática
establecidas en el IDA como medidas para salvaguardar la información.
Contabilidad.
Presupuesto
Activos
Selección de familias
Sistemas de control de fincas
Sistemas de información de asentamientos
Contabilidad.
o Estados financieros históricos.
o Integrado Institucional.
Presupuesto.
o Algunos desean otro tipo de información, pero desde lo óptico del área de presupuesto
el sistema ofrece lo que necesitamos.
o Con respecto al tiempo real la información en el sistema interno está desfasada pero
con respecto al Fondo Fijo de cada oficina está a tiempo real, si lo han alimentado
regularmente.
o Para los que lo utilizamos está bien pero para los que no lo han utilizado se les
presenta un cierto nivel de dificultad.
o No tiene un manual especifico, si no de operación.
o Tiene una conversión de filtros y a veces nos manda datos erróneos lo que dificulta la
obtención de los resultados, por ejemplo el sistema interno códigos sin estar en el
sistema o códigos incompletos.
o La integración de la existencia de dos sistemas uno interno que se alimenta de los
registros contables y el otro alimenta el sistema interno por medio de contabilidad y
este es auxiliar que ofrece los datos en tiempo real.
Activos
o Se requiere más información debido a que la administrada por el usuario es muy
básica.
o Faltan reportes y actualización debido a que esta en un ambiente de D.O.S
o Reportes muy estáticos, poca información.
o Desconocimiento de los funcionarios en varias áreas de informática.
o Sistemas no son integrados por lo que provoca perdida de datos e información
incorrecta en auxiliares.
o Integración de sistemas, personal profesional con conocimiento en sistemas,
aplicaciones en cuanto a hardware, periféricos en general.
o Comunicación eficiente entre departamentos y personal en general.
o Se debe contar con personal capacitado para la ejecución de las tareas.
Selección de familias
o Con la ampliación prevista se soluciona en gran medida lo faltante.
o Valida usuarios contra Active Directory
o Depende disponibilidad acceso red institucional.
COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
HALLAZGO 1: AUSENCIA DE POLÍTICAS Y El Departamento de Tecnologías de Se han realizado esfuerzos CORREGIDO
PROCEDIMIENTOS FORMALES PARA LA Información debe establecer una estrategia significativos y a la fecha se cuenta con
GESTIÓN DE LA CONFIGURACIÓN formal para la gestión de la configuración de un Manual de Políticas para
la plataforma tecnológica, la cual tome en
Tecnologías de Información. También
cuenta entre otros factores los siguientes:
existe un resumen ejecutivo de las
políticas debidamente aprobado por la
CONDICIÓN:
Identificar elementos de configuración y Junta Directiva.
El Departamento de Tecnologías de Información del IDA, ha sus atributos.
realizado un esfuerzo significativo por formalizar la gestión de Registrar elementos de configuración Adicionalmente se tienen los
la configuración de la plataforma tecnológica que soporta las nuevos, modificados y eliminados. documentos: “Modelo de Arquitectura”,
transacciones de la Institución, sin embargo actualmente no Identificar y mantener las relaciones entre “Administración de la Configuración de
cuenta con un procedimiento formalmente establecido que los elementos de configuración y el Hardware y Software - Proceso” y
permita la administración de la configuración de los equipos repositorio de configuraciones. “Administración del Desempeño y
que forma la plataforma tecnológica, según el nivel de detalle Actualizar los elementos de configuración Capacidad de la Infraestructura de TI -
que establecen los estándares internacionales y mejores existentes en el repositorio de
Proceso”.
prácticas de la industria. configuraciones.
Prevenir la inclusión de software no-
autorizado.
HALLAZGO 2: NO SE CUENTA CON UNA Establecer una política de aseguramiento Se han realizado esfuerzos PENDIENTE
METODOLOGÍA PARA LA GESTIÓN DE LA de la calidad a nivel del Departamento de
COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
CALIDAD. Tecnologías de Información del IDA, que significativos y a la fecha se cuenta con
considere entre otros aspectos lo siguiente: un Manual de Políticas para
CONDICIÓN: Tecnologías de Información. También El IDA se encuentra
Definición de objetivos de calidad. existe un resumen ejecutivo de las actualmente con un
Implementación de un sistema de proyecto de
políticas debidamente aprobado por la
Actualmente el Departamento de Tecnologías de Información administración de la “calidad implementación de las
del IDA no cuenta con una metodología para la gestión de la estándar”, con enfoque en el cliente y Junta Directiva.
calidad en procesos informáticos. Se determinó que dicho normas técnicas para la
sus necesidades.
Departamento para comprobar la calidad y el buen Establecimiento de estándares Sin embargo, aún la consultoría gestión y el control de
funcionamiento de los sistemas y procesos en general, basa su actualizados para todo el desarrollo y adjudicada en la Licitación Pública No. TI., sin embargo aún
gestión únicamente en pruebas satisfactorias y en la adquisición de software, durante todo 2009LN-000004-01 para la no se ha establecido
información de los contratos. su ciclo de vida. implementación de las Normas una metodología que
Técnicas para la Gestión y el Control de gestione la calidad.
las Tecnología de Información, emitidas
por la Contraloría General de la
República, cuya adjudicación recayó en
la empresa PriceWaterHouseCoopers
S.A. le falta prácticamente un año para
concluir; razón por la cual, se tiene
previsto dar cumplimiento al Hallazgo,
durante la que resta de la consultoría y a
través del paquete No. 13 Metodología
para la Implementación del Software.
HALLAZGO 3: INEXISTENCIA DE UN SITIO Valorar la posibilidad de dotar al Se contempló en el Presupuesto 2012 la EN PROCESO
ALTERNO PARA LOS SERVIDORES Departamento de Informática del IDA, del estimación de recursos para la
PRINCIPALES DEL IDA equipo necesario para poder implementar contratación del sitio alterno. Se evidencio que para
un mecanismo de replicación automática el 2012 se tiene
en un sitio alterno (bajo un enfoque de Se envió la estimación, a través del contemplado
CONDICIÓN: costo-beneficio), para que en caso de fallas
Oficio TI-147-2012. presupuestariamente el
del servidor principal, el equipo de
Al efectuar la revisión de los respaldos de la información respaldo entre a funcionar de forma desarrollo de un sitio
COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
almacenada en los servidores del IDA, se determinó que inmediata impidiendo la paralización de alterno para
no se cuenta con un mecanismo de replicación automática las operaciones. Para la efectividad de lo tecnologías de
en un lugar externo a las instalaciones principales del IDA. recomendado, se debe contar además con información.
un ancho de banda adecuado y una
Dicha situación no estaría permitiendo garantizar la
infraestructura de comunicaciones
continuidad de las operaciones en forma inmediata en caso apropiada para evitar caídas de la red.
de falla del servidor principal localizado en oficinas
centrales. Además, una vez que se cuente con el
equipo necesario, se debe agregar al plan
de contingencia integral los
procedimientos para realizar el respaldo,
implementar un plan de pruebas y
ejecutarlo cada cierto periodo de tiempo
para garantizar que el equipo va a
funcionar adecuadamente en caso de un
contingente.
COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
HALLAZGO 4: NO EXISTE UNA EJECUTORÍA Acordar reuniones periódicas y mantener La consultoría adjudicada en la PENDIENTE
ACTIVA DEL COMITÉ DE TECNOLOGIA DE una asesoría activa por parte de los Licitación Pública No. 2009LN-
INFORMACION DEL IDA miembros que conforman el Comité de 000004-01 para la implementación de Se evidencio la
Tecnologías de Información del IDA, con existencia del
las Normas Técnicas para la Gestión y
el fin de asegurar las actividades de control reglamento para el
CONDICIÓN: interno en materia tecnológica, para que el el Control de las Tecnología de
Información, emitidas por la comité de Tecnologías
jerarca pueda apoyar sus decisiones sobre
De acuerdo con la revisión efectuada a la estructura asuntos estratégicos de T.I en Contraloría General de la República, de información del
organizacional para la administración de los recursos concordancia con la estrategia cuya adjudicación recayó en la empresa IDA, sin embargo este
informáticos, se observó que el IDA no cuenta con un Comité institucional, estableciendo prioridades, y PriceWaterHouseCoopers S.A; retomó se encuentra pendiente
de Tecnologías de Información para la gestión informática un equilibrio en la asignación de recursos. el tema y realizó una revisión al de aprobación.
activa. Incumpliendo con lo mencionado en el plan estratégico
Reglamento para la creación del Comité
de tecnologías de información aprobado por Junta Directiva Aprobar por parte de la Administración
mediante acuerdo N° 4 de la Sesión Ordinaria No. 013-2010 de Superior el reglamento, en el cual se de Tecnologías de Información. A la
Junta Directiva, el plan menciona: establecen entre otros aspectos la razón de fecha aún queda pendiente la revisión
ser del Comité, conformación y estructura por parte de la Dirección de Asuntos
“Reestructurar de acuerdo a las normativas vigentes, las de operación, funciones, integrantes y Jurídicos y una vez se tenga, la
funciones de la Comisión de Tecnologías de Información la responsabilidades. Administración Superior elevaría el
cual se convierte ahora en el ente encargado de la toma de Reglamento para aprobación de la Junta
decisiones de todos los aspectos relacionados con la ejecución
Directiva del Instituto y posterior
del Plan Estratégico aquí planteado. La participación de la
Gerencia General en esta Comisión es fundamental por la publicación en el diario oficial La
naturaleza de las decisiones y las acciones que deben ser Gaceta.
llevadas a cabo. Esta Comisión debe operar bajo la normativa
que al respecto ha emitido la Contraloría general de la La última gestión al respecto, se puede
República. ” observar en el oficio GG-165-2011.
HALLAZGO 5: NO SE CUENTA CON UNA Elaborar, aprobar y divulgar una política, CORREGIDO
POLÍTICA CON EL FIN DE COMUNICAR EN por parte de las máximas autoridades del
FORMA PERIÓDICA Y CONSTANTE CAMBIOS IDA mediante la cual el Departamento de Actualmente se
DE PERSONAL EN EL IDA AL DEPARTAMENTO Recursos Humanos remita en forma encuentra en el manual
DE INFORMÁTICA. periódica información al Departamento de de políticas den la
Tecnología de Información relacionada
política denominada
con movimientos de personal (que han
COMENTARIOS DE
RECOMENDACIONES ADMINISTRACIÓN ESTADO
HALLAZGO
CONDICIÓN: cambiado de puestos, gozan de periodos de “Fin de relación
vacaciones o incapacidades prolongadas - laboral”
mayores a 15 días-, renuncias o despidos,
Actualmente no se cuenta a nivel institucional con una etc), con el fin de que el Departamento de
política en donde se defina que el Departamento de Tecnología de Información tome las
Recursos Humanos del IDA debe suministrar medidas pertinentes con respecto a la
definición de roles y privilegios de los
periódicamente al Departamento de Tecnologías de
sistemas de información y de la red del
Información un listado de las personas que han tenido IDA.
alguna rotación en los distintos puestos de la Institución
(renuncias, despidos o vacaciones prolongadas, etc), con el
fin de realizar los respectivos cambios de roles y
privilegios en los sistemas de información y la red.
HALLAZGO 6: EL IDA NO CUENTA CON UNA Acatar las recomendaciones por parte del CORREGIDO
PLANTA ELÉCTRICA PARA LA CONTINUIDAD Área de Servicios Generales sobre las
DE LAS OPERACIONES. recomendaciones emitidas por la empresa
Conelt de Costa Rica, S.A., sobre la
instalación eléctrica del cuarto de
servidores del IDA la cual menciona:
CONDICIÓN:
ASUNTO 1: AUTOMATIZAR EL MANEJO DE Se recomienda implementar una metodología La consultoría adjudicada en la EN PROCESO
INCIDENTES EN EL IDA. automatizada para el manejo de incidentes en Licitación Pública No. 2009LN-
el IDA, que incluya una mesa de servicios, un 000004-01 para la implementación de
monitoreo y reporte de tendencias de los
las Normas Técnicas para la Gestión y
incidentes, la definición de procedimientos y
criterios de escalamiento claros, así como el el Control de las Tecnología de
cierre de incidentes y la detección de la causa Información, emitidas por la
del incidente. Contraloría General de la República,
cuya adjudicación recayó en la empresa
PriceWaterHouseCoopers S.A; retomó
el tema y realizó una revisión y se
elaboraron los documentos
“Administración de Incidentes y
Problemas. Proceso –Procedimiento y
“Atención de Usuarios Proceso-
Procedimiento”.
A. CUMPLIMIENTO DE LAS NORMAS Cumplir las recomendaciones de la Auditoría A la fecha se tienen grandes avances con la EN PROCESO
TÉCNICAS PARA LA GESTIÓN Y EL Interna, tanto para la Gerencia como para la definición de Políticas para Tecnologías de
CONTROL DE LAS TECNOLOGÍAS DE Unidad de Tecnologías de Información. Información y con la aprobación por parte de la En el IDA se
Es conveniente y necesario que la Presidencia encuentra en
INFORMACIÓN EMITIDAS POR LA Junta Directiva al Resumen de Políticas en TI y
del IDA, ejecute acciones para que la desarrollo el
CONTRALORÍA GENERAL DE LA contratación de los servicios profesionales en con la elaboración del Manual de Políticas. Sin
REPÚBLICA embargo, aún la consultoría adjudicada en la proyecto de
consultoría, se ejecute a la brevedad posible y
se asegure el contenido económico que Licitación Pública No. 2009LN-000004-01 para implementación
garantice a la empresa contratada, la la implementación de las Normas Técnicas para de las normas
continuidad de la implementación. El plan de la Gestión y el Control de las Tecnología de técnicas para la
acción incluye evitar las barreras que existan Información, emitidas por la Contraloría General gestión y el
para que la contratación se concrete y asegurar control de TI.
de la República, cuya adjudicación recayó en la
el contenido presupuestario para el desarrollo
del proyecto para el año 2010 y los que se empresa PriceWaterHouseCoopers S.A. le falta
proyecten puede durar el mismo. prácticamente un año para concluir; razón por la
cual, este hallazgo se dará por cumplido con la
finalización de la misma.
HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO
C. LAS APLICACIONES O VENTANAS NO Es conveniente considerar para la aplicación actual o A la fecha se tienen grandes avances con la EN PROCESO
DISPONEN DE MECANISMOS DE futura, el definir como medida de seguridad del definición de Políticas para Tecnologías de
SEGURIDAD, ANTE LA FALTA DE USO sistema, que las ventanas o aplicaciones se bloque o Información y con la aprobación por parte de la
DEL USUARIO DESPUÉS DE UN TIEMPO cierren después de un determinado tiempo de Junta Directiva al Resumen de Políticas en TI y
DE NO UTILIZAR LA APLICACIÓN. inactividad por parte del usuario. con la elaboración del Manual de Políticas. Sin
embargo, aún la consultoría adjudicada en la
Licitación Pública No. 2009LN-000004-01 para
la implementación de las Normas Técnicas para
la Gestión y el Control de las Tecnología de
Información, emitidas por la Contraloría General
de la República, cuya adjudicación recayó en la
empresa PriceWaterHouseCoopers S.A. le falta
prácticamente un año para concluir; razón por la
cual, las políticas se irán implementando
conforme existan los recursos suficientes para
realizarlo.
D. EXISTEN FUNCIONARIOS DE Atender las recomendaciones de periodos anteriores, y En Tecnología de Información se cuenta con PENDIENTE
INFORMÁTICA CON FUNCIONES Y como medida contingente o provisional considerar poco personal para implementar una adecuada
ACCESOS DE ANALISTAS, definir una segregación de funciones temporal que segregación de funciones. Esta situación
PROGRAMADORES Y separe las funciones y accesos de Analista, Programar continuará permanentemente hasta tanto no se
ADMINISTRADORES DE BASES DE y Administrar de la Base de Datos entre los cuente con el personal suficiente.
DATOS. funcionarios actuales, definiendo la atención de
requerimientos únicamente por medio escrito donde
conste la firma del usuario que plantea el
requerimiento al sistema y la autorización de su
respectiva jefatura o superior.
HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO
H. LOS SISTEMAS DEL IDA NO Considerar para el presente como para futuros sistemas A la fecha se tienen grandes avances con la EN PROCESO
REQUIEREN CAMBIAR LA CONTRASEÑA de la entidad, la medida de seguridad de solicitarle al definición de Políticas para Tecnologías de
DE LAS APLICACIONES CON usuario del sistema cada cierta periodicidad cambiar su Información y con la aprobación por parte de la
DETERMINADA PERIODICIDAD. contraseña de acceso. Junta Directiva al Resumen de Políticas en TI y
con la elaboración del Manual de Políticas. Sin
embargo, aún la consultoría adjudicada en la
Licitación Pública No. 2009LN-000004-01 para
la implementación de las Normas Técnicas para
la Gestión y el Control de las Tecnología de
Información, emitidas por la Contraloría General
de la República, cuya adjudicación recayó en la
empresa PriceWaterHouseCoopers S.A. le falta
prácticamente un año para concluir; razón por la
cual, las políticas se irán implementando
conforme existan los recursos suficientes para
realizarlo.
I. NO SE DISPONE DE UN MECANISMO DE Considerar en el sistema actual o por adquirir, el A la fecha se tienen grandes avances con la EN PROCESO
CONTROL AUTOMÁTICO O MANUAL requerimiento de inactivar claves después de un tiempo definición de Políticas para Tecnologías de
(PROCEDIMIENTO INSTITUCIONAL) QUE definido de falta de uso, como contingencia se Información y con la aprobación por parte de la
INACTIVE A USUARIOS QUE POR UN recomienda definir la política de comunicar de parte de Junta Directiva al Resumen de Políticas en TI y
DETERMINADO TIEMPO DEJAN DE todas las dependencias del IDA al Departamento de con la elaboración del Manual de Políticas. Sin
UTILIZAR LOS SISTEMAS. Informática, la inactivación de usuarios que por alguna embargo, aún la consultoría adjudicada en la
circunstancia se ausentan de su trabajo en un periodo Licitación Pública No. 2009LN-000004-01 para
considerable (tiempo a definir por la Administración) la implementación de las Normas Técnicas para
la Gestión y el Control de las Tecnología de
HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO
Que la Administración Superior del IDA considere En Tecnología de Información se cuenta PENDIENTE
HALLAZGO 2: PERSONAL INSUFICIENTE EN LA
la aprobación de las plazas requeridas para la con poco personal para implementar una
UNIDAD DE TECNOLOGÍAS DE En la evaluación
Unidad de TI para poder cubrir de la mejor manera adecuada segregación de funciones. Esta
LA INFORMACIÓN.
los procesos tecnológicos que requiere el Instituto situación continuará permanentemente hasta realizada el área de
en la actualidad, especialmente en las áreas de tanto no se cuente con el personal Tecnologías de
desarrollo y mantenimiento de Sistemas, soporte suficiente. Información tiene
técnico, administración de bases de datos, redes y como gran
telecomunicaciones, administración de proyectos limitante la
tecnológicos y analizar la posibilidad de poder directriz del poder
implementar el puesto de Oficial de Seguridad o ejecutivo número
algún puesto similar, el cual es deseable cumpla 013-H en donde su
con las siguientes tareas: artículo primero
menciona que no se
Brindar los servicios de seguridad en la crearán plazas en el
organización, a través de la planeación, sector público.
coordinación y administración de los
HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO
HALLAZGO 4: NO SE CUENTAN CON POLÍTICAS Establecer políticas o procedimientos relacionados A la fecha se tienen grandes avances con la CORREGIDA
NI PROCEDIMIENTOS con los cambios o mejoras a los sistemas de definición de Políticas para Tecnologías de
RELACIONADOS CON LA información implantados en el IDA, comunicar al Información y con la aprobación por parte Se evidencio la
SOLICITUD DE CAMBIOS O personal dichas políticas o procedimientos para su de la Junta Directiva al Resumen de existencia de el
MEJORAS A LOS SISTEMAS. cumplimiento con el fin de determinar la Políticas en TI y con la elaboración del procedimiento
procedencia y prioridades de los cambios o Manual de Políticas. Sin embargo, aún la denominado
mejoras, implementando una evaluación técnica consultoría adjudicada en la Licitación “Administración y
para garantizar la calidad y el debido Pública No. 2009LN-000004-01 para la liberación de
cumplimiento de los requerimientos que implementación de las Normas Técnicas cambios (PRC-
previamente fueron entendidos y solicitados. para la Gestión y el Control de las DTI-011 Versión
Además sería de gran utilidad contar con una Tecnología de Información, emitidas por la 1.0)”
herramienta automatizada para poder llevar las Contraloría General de la República, cuya
estadísticas de los cambios o mejoras a los adjudicación recayó en la empresa
sistemas, permitiendo además agilizar este proceso PriceWaterHouseCoopers S.A. le falta
tanto para la parte usuaria como para la Unidad de prácticamente un año para concluir; razón
TI. por la cual, las políticas se irán
implementando conforme existan los
recursos suficientes para realizarlo.
HALLAZGO 7: POCO ESPACIO FÍSICO EN EL Dotar a la Unidad de TI del IDA de un área que PENDIENTE
ÁREA DE TI. cuente con un diseño y espacio necesario para
poder administrar los recursos de TI de la mejor
manera, permitiendo al personal realizar gestiones
administrativas y de servicio de los funcionarios
del Instituto, también es recomendable asignar una
zona específica con acceso restringido para ubicar
los equipos, herramientas y otros dispositivos
requeridos para la instalación, revisión y/o
reparación de hardware, así como mobiliario
apropiado que asegure la prevención de accidentes
y posibles daños a los activos que en esta área se
ubiquen, así como la adecuada comodidad para
que los funcionarios desarrollen sus labores en
forma segura y saludable. Además se recomienda
el establecimiento de un plan a largo plazo para
que las instalaciones de la Unidad de TI puedan
soportar adecuadamente los requerimientos
actuales y futuros de la Institución, tomando en
cuenta aspectos de construcción, vigilancia,
seguridad personal, sistemas eléctricos y
mecánicos, protección contra factores ambientales,
HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO
HALLAZGO 8: FALTA DOCUMENTAR LOS Documentar el proceso de asignación de roles y La consultoría adjudicada en la Licitación CORREGIDO
PROCEDIMIENTOS PARA privilegios que actualmente lleva la Unidad de Pública No. 2009LN-000004-01 para la
DEFINIR PERFILES, ROLES Y Tecnologías de Información del IDA, para que los implementación de las Normas Técnicas Se evidencio la
NIVELES DE PRIVILEGIO A LOS usuarios de los sistemas cuenten con los debidos para la Gestión y el Control de las existencia del
USUARIOS DE LOS SISTEMAS privilegios previo estudio o asignación por parte Tecnología de Información, emitidas por la documento de
IMPLANTADOS EN EL IDA. de los responsables de manipular la información. Contraloría General de la República, cuya Administración de
adjudicación recayó en la empresa Roles con el código
PriceWaterHouseCoopers S.A; retomó el de PRC-DTI-020.
tema y realizó una revisión y se elaboró el
documento “Modelo de Arquitectura” y se
encuentra un Preliminar y en revisión por
parte de los miembros de la Comisión de
Normas Técnicas el documento “Roles y
responsabilidades Sistemas de
información”.
HALLAZGO 9: LOS SISTEMAS DE INFORMACIÓN Implementar en los nuevos desarrollos y Las contrataciones para desarrollar nuevos EN PROCESO
DEL IDA NO CUMPLEN migraciones de sistemas los estándares internos del sistemas de información para sustituir los
CON LAS POLÍTICAS O Instituto de Desarrollo Agrario relacionados con el actuales, contemplan los estándares Los módulos
ESTÁNDARES DEFINIDOS EN desarrollo de sistemas, para poder unificar la existentes en los manuales de desarrollo. Se revisados algunos
LOS MANUALES DE arquitectura computacional y facilitar la encuentran en proceso de desarrollo los cumplían ya que se
DESARROLLO. mantenibilidad de los sistemas de información. sistemas: Módulos de Cuentas por Cobrar, está en etapa de
Sistema Integrado Agrario-SIGA, Sistema definición de los
Integrado de Recursos Humanos-SIRH. nuevos estándares
HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO
de desarrollo.
HALLAZGO 10: INCONSISTENCIAS EN LAS Depurar las bases de datos de los sistemas que Las contrataciones para desarrollar nuevos EN PROCESO
BASES DE DATOS DE LOS actualmente están en producción en el IDA, esta sistemas de información para sustituir los
SISTEMAS IMPLANTADOS EN labor debe ser coordinada entre la Unidad de actuales, contemplan la etapa de migración
EL IDA. Tecnologías de la Información y los diferentes y depuración de información. Se
Departamentos del Instituto, con el fin de que la encuentran en proceso de depuración de
información almacenada sea confiable y exacta, en información los sistemas: Módulos de
el punto D “Sistemas de Información” del presente Cuentas por Cobrar, Sistema Integrado
documento se detallan algunas de las Agrario-SIGA, Sistema Integrado de
inconsistencias encontradas en las bases de datos. Recursos Humanos-SIRH.
HALLAZGO 3: LOS MANUALES, POLÍTICAS, A la fecha se tienen grandes avances con la EN PROCESO
REGLAMENTOS Y definición de Políticas para Tecnologías de
DOCUMENTOS GENERADOS Información y con la aprobación por parte
POR LA UNIDAD DE de la Junta Directiva al Resumen de
INFORMÁTICA NO CUENTAN Políticas en TI y con la elaboración del
CON EL VISTO BUENO DE LA Manual de Políticas. Sin embargo, aún la
JUNTA DIRECTIVA DEL IDA. consultoría adjudicada en la Licitación
Pública No. 2009LN-000004-01 para la
implementación de las Normas Técnicas
HALLAZGO RECOMENDACIÓN COMENTARIO ADMINISTRACIÓN ESTADO
CONDICIÓN:
Humanos de cara gráfica, por lo cual debe nuevos sistemas aún se encuentran en etapa
utilizarse para tal fin el Sistema de Relación de de desarrollo y serán sustituidos conforme
Puestos en el AS/400. los mismos se concluyan.
No se almacena histórico de acciones de personal
en el nuevo Sistema de Recursos Humanos de cara
gráfica.
No es posible generar reportes de movimientos por
rangos de fechas en el Sistema Financiero
Contable
No es posible visualizar información histórica en
el nuevo Sistema de Ingresos.
A continuación se resume el cumplimiento de las recomendaciones emitidas en informes de
auditorías anteriores de manera gráfica:
CORREGIDAS 8
PENDIENTES 8
PROCESO 11
29.63%
40.74%
29.63%