Concejo Municipal, Municipalidad de San José©... · ... Gerencia y otros dentro de la...

16 de noviembre del 2015.

Señores

Concejo Municipal, Municipalidad de San José

Presente

Durante nuestra visita de análisis y evaluación del área de Tecnología de Información,

realizado con el fin de emitir una opinión de los estados financieros de Municipalidad de San

José por el año terminará el 31 de diciembre del 2015, notamos ciertos aspectos referentes

al área de Tecnología de Información, los cuales sometemos a su consideración en conjunto

con las recomendaciones diseñadas para ayudar a la entidad a mejorar y lograr eficiencia

operacional. Nuestros comentarios reflejan el deseo de brindar asistencia continua a la

Municipalidad de San José.

La administración de Municipalidad de San José es responsable del establecimiento y

mantenimiento de un sistema adecuado de control interno del área de Tecnología de

Información. En el cumplimiento de esa responsabilidad, se requieren juicios y estimaciones

de la administración para evaluar los beneficios esperados y los costos correlativos.

Los comentarios incluidos no se refieren a funcionarios o empleados en particular, ya que su

objetivo es señalar sanas medidas para fortalecer el Control Interno de Municipalidad de San

José. Los comentarios y recomendaciones adjuntos son destinados únicamente para la

información y uso de los órganos directivos, Gerencia y otros dentro de la organización.

Atentamente,

Lic. Jorge Arturo Castillo Bermúdez, Socio.

Despacho Castillo, Dávila y Asociados.

Municipalidad de San José 2015

CONTENIDO

INTRODUCCIÓN .................................................................................................................. 4

OBJETIVOS Y ALCANCE DEL ESTUDIO ........................................................................ 4

EVALUACION DE CONTROLES ....................................................................................... 5

1. ORGANIZACIÓN Y OPERACION .............................................................................. 6

CRITERIO ....................................................................................................................... 6

CONDICIÓN ................................................................................................................... 6

RECOMENDACIONES ................................................................................................ 10

2. DESARROLLO Y MANTENIMIENTO...................................................................... 11

CRITERIO ..................................................................................................................... 11

CONDICION ................................................................................................................. 11


3. EQUIPOS Y PROGRAMAS ........................................................................................ 14

CRITERIO ..................................................................................................................... 14

CONDICION ................................................................................................................. 14


4. SEGURIDAD ................................................................................................................ 16

CRITERIO ..................................................................................................................... 16

CONDICIÓN ................................................................................................................. 17



5. SISTEMAS DE OPERACION ..................................................................................... 19

CRITERIO ..................................................................................................................... 19

CONDICIÓN ................................................................................................................. 20


6. CONTINGENCIAS ...................................................................................................... 21

CRITERIO ..................................................................................................................... 21

CONDICIÓN ................................................................................................................. 21


SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE GERENCIA 2014 .... 23








INTRODUCCIÓN

El presente informe contiene el resultado de la Auditoría realizada en la Dirección de

Tecnología de Información y Comunicaciones de la Municipalidad de San José

específicamente una evaluación de los controles generales del área de Tecnologías de

Información.

La evaluación se realizó considerando las prácticas de Control del marco referencial CobiT.

OBJETIVOS Y ALCANCE DEL ESTUDIO

Objetivo – Realizar una evaluación de los controles generales del área de Tecnologías de

Información de la Dirección de Tecnologías de Información y Comunicaciones de la


Alcance - La evaluación incluyó los controles generales en:

1. Organización y Operación

a. Segregación de funciones.

b. Normas para la aprobación transacciones.

2. Desarrollo y Mantenimiento

c. Políticas, estándares y procedimientos.

d. Aplicación de metodologías estándar, objetivas y estructuradas.

e. Uso de técnicas modernas en el desarrollo de sistemas de información.

f. Controles incorporados

g. Administración de proyectos.

3. Equipo y Programas

h. Aplicación de controles.

i. Documentación.

j. Software de base.

4. Seguridad

k. Seguridad física.

l. Seguridad lógica.


5. Sistemas de Operación

m. Controles de entrada.

n. Controles de proceso.

o. Controles de salida.

6. Contingencias

q. Plan Estratégico de Tecnologías de Información.

r. Seguimiento de recomendaciones de la carta de gerencia anterior.

Para el desarrollo de la evaluación se coordinaron reuniones con los diferentes involucrados,

principalmente personal de la Dirección TI y personal de los procesos críticos de la

organización: Jefe de Plataforma de Servicios, Encargado del Proceso de Valoraciones y el

Contador Municipal

Se llevaron a cabo entrevistas con funcionarios de la Dirección de TI, específicamente con

los jefes de: Departamento Desarrollo de Sistemas, Departamento de Soporte Técnico y

Departamento de Servicios Informáticos.

Se realizó la revisión de la documentación proporcionada, la cual incluye políticas, manuales,

procedimientos, diagramas, y otros elementos utilizados por la Dirección de TI para el

desarrollo de sus labores. Se hizo la verificación en sitio de la operación y los controles de

los Sistemas de Información, contratos a terceros, herramienta de mesa de ayuda, expedientes

de proyectos, entre otros.

El trabajo de auditoría fue realizado en el periodo comprendido entre el 1 al 30 de octubre

del 2015.

EVALUACION DE CONTROLES

La evaluación de los controles solicitados se realiza desde la perspectiva de las Prácticas de

Control COBIT, valorando el cumplimiento de los procesos que correspondan. Los

resultados de la valoración se presentan para cada uno de los controles solicitados.


1. ORGANIZACIÓN Y OPERACION

CRITERIO

Se realiza la evaluación de los controles generales existentes relativos a:

a. Segregación de funciones.

b. Normas para la aprobación transacciones.

Valorando del cumplimiento de las prácticas de control CobiT asociadas a:

Definir los Procesos, Organización y Relaciones de TI

Comité Directivo del TI

Ubicación organizacional de la función de TI

Estructura Organizacional de TI

Establecer roles y responsabilidades

Supervisión Informal

Segregación de funciones

Administración de Operaciones

Procedimientos e instrucciones de operación.

CONDICIÓN

Tal y como se muestra en el Organigrama Institucional de la Municipalidad de San José, la

Dirección de Tecnologías de Información y Comunicaciones depende directamente de la

Alcaldía, esta posición le permite el nivel de autoridad suficiente para gestionar

adecuadamente las tecnologías de información y comunicación en la institución; se cuenta

con presupuesto asignado directamente, el cual al igual que los procesos de contratación de

personal y adquisición de bienes y servicios, se deben desarrollar conforme los

procedimientos institucionales definidos por las Direcciones Financiera, Recursos Humanos

y Administrativa respectivamente.

La Dirección de TI está organizada en tres departamentos: Desarrollo de Sistemas, Soporte

Técnico y Servicios Informáticos. Los departamentos a su vez se han organizado en procesos

de acuerdo a los servicios que brindan, como se muestra en el siguiente diagrama:


A nivel de la Dirección de TI se cuenta con el Director, un asistente, dos administradores de

Proyectos y un funcionario encargado de la Gestión Documental.

El Departamento de Desarrollo de Sistemas, cuenta con la jefatura y una secretaria que

comparte con el Departamento de Servicios Informáticos; el personal se organiza de acuerdo

al servicio que brinda en: programadores.Net, programadores Unisys, programadores Web y

administradores de base de datos.

El Departamento Soporte Técnico tiene la Jefatura, una secretaria y se organiza en los

procesos de redes, telefonía, soporte técnico (hardware y software) y servidores.

El Departamento de Servicios Informáticos cuenta con la jefatura y se organiza en

Operaciones y Gestión de la Mesa de Ayuda (Help Desk).

El Manual de Puesto de la Municipalidad de San José, establece la naturaleza del trabajo,

funciones y responsabilidades, características generales de la clase, los requisitos y las

habilidades y las aptitudes de los puestos; no obstante las mismas no definen en forma exacta

las funciones reales que ejecutan los funcionarios de la Dirección de TIC.

Dirección de TIC

5 funcionarios

Departamento Desarrollo de

Sistemas14 funcionarios

Departamento Soporte Técnico

14 funcionarios

Departamento Servicios

Informáticos9 funcionarios


Las responsabilidades de los funcionarios son asignadas informalmente de acuerdo a las

actividades que se llevan a cabo, por las jefaturas correspondientes.

La Dirección de TI utiliza mecanismos de rendición de cuentas informales, la práctica usual

es solicitar verbalmente a los funcionarios informes del estado de las actividades que están

desarrollando; por su parte los jefes de Departamentos, presentan informes escritos que

detallan la cantidad de solicitudes atendidas. En general, las jefaturas pueden dar seguimiento

a los casos asignados a cada funcionario en el Help Desk, además de utilizar otros

mecanismos de seguimiento y control informales a su criterio. No se pudo corroborar la

existencia de un proceso formal de asignación de responsabilidades y rendición de cuentas.

Las reuniones que se realizan de coordinación de actividades y seguimiento de proyectos no

son documentadas formalmente.

La indagación realizada comprueba la existencia del Comité de Gerencial de Tecnologías de

la Información (CGTIC), coordinado por la Alcaldía Municipal. Dicho Comité fue

establecido en marzo 2014, cumpliendo con lo establecido por la Contraloría General de la

República, en las Normas Técnicas para la Gestión y Control de las Tecnologías de

Información.

De acuerdo a lo establecido en el Reglamento General que la CGTIC, éste “constituye un

órgano asesor de la administración Municipal en las decisiones sobre asuntos estratégicos de

Tecnologías de Información y Comunicaciones”. Se define además la conformación y

funcionamiento del Comité.

Adicionalmente con el fin de gestionar estratégicamente los proyectos relacionados con

Gobierno local en Línea y Ciudad Digital a nivel Municipal se establecen:

La Sub-Comisión de San José Digital (Gobierno Electrónico y Ciudad Digital), que es

permanente y está adscrita al CGTIC.

El Comité Técnico de Tecnologías de Información, conformado por el Director de TIC –

como coordinador- y las jefaturas del Departamento Desarrollo de Sistemas,

Departamento de Soporte Técnico y Departamento de Servicios Informáticos cuyas


responsabilidades son implementar y dar seguimiento al proceso de Investigación y

Desarrollo y la ejecución de los proyectos de tecnologías de información a nivel

institucional conforme a lo dispuesto en la Transformación Organizacional de la


La revisión de las Minutas de las reuniones realizadas en el año en curso, permite comprobar

la participación de la Alcaldesa, el Director de TIC y las Gerencias Administrativa

Financiera, de Gestión Municipal y de Provisión de Servicios, cumpliendo con lo establecido

en el Manual, además participan en las reuniones los asistentes de la Alcaldía.

En las sesiones se atiende temas referentes al seguimiento de proyectos y presentación de

temas tecnológicos, en general para la toma de decisiones en temas de TIC. No obstante, en

las minutas no se describe en forma detallada los temas discutidos, únicamente los asuntos

tratados y los acuerdos. De acuerdo a la indagación realizada, la agenda es definida por el

Director de TIC, y se realizaron reuniones en los meses de febrero, mayo y junio

incumpliendo con lo establecido en el Reglamento de realizar reuniones mensuales. Cabe

destacar que el Director de TIC indica que mantiene una comunicación directa con la

Alcaldesa sobre el avance de proyectos y toma de decisiones en temas de TIC.

Se cuenta con un Plan de Capacitación, el cual define el Director de TIC en conjunto con las

Jefaturas de Departamento, considerando las necesidades de cada área; este Plan es aprobado

y el presupuesto asignado directamente a la Dirección, lo que facilita el proceso de

contratación de estas actividades; en general cuentan con los recursos para recibir los cursos

de capacitación que necesita el personal.

En la referente a la Administración de las Operaciones que se realizan en la Dirección, se

pudo comprobar la existencia procedimientos relacionados con esta gestión, no obstante los

documentos facilitados, presentan diferentes formatos, no tiene fecha de aprobación y otros

elementos que les restan formalidad. No todas las operaciones cuentan con procedimientos

definidos.


RECOMENDACIONES

A la Alcaldía

1. Desarrollar la descripción de puestos de TI que establezca al menos las habilidades, la

experiencia, la autoridad, las responsabilidades que deben cumplir los funcionarios, así

como los mecanismos de rendición de cuentas.

Al Comité Gerencial de TIC

2. Revisar y actualizar el Reglamento General de la CGTIC, en lo referente a periodicidad

de las reuniones y formato de las minutas, este último punto debe asegurar que se

documente adecuadamente los aspectos analizados y considerados en la toma de

decisiones.

3. Asegurar que la agenda de las reuniones incluya la revisión de al menos los siguientes

temas:

Seguimiento del Plan Estratégico de TIC

El alineamiento de los proyectos con el Plan Estratégico Organizacional,

Las inversiones que realiza TI,

El desarrollo de sistemas,

El mantenimiento y actualización de plataforma tecnológica,

La revisión del plan de contingencias,

Servicios brindados por medio de la Mesa de Ayuda (Help Desk).

A la Dirección de TI

4. Definir e implementar un marco de trabajo que facilite la definición, seguimiento y

control de las actividades realizadas en la Dirección de TIC, de forma que se pueda

evaluar y dar seguimiento al trabajo realizado por los funcionarios y establecer

mecanismos de mejoras en el desempeño.

5. Estandarizar el formato de los procedimientos, políticas, guías, metodologías y otros

mecanismos documentales utilizados para administrar las operaciones de la Dirección de

TI, de forma que incluyan elementos formales como son logos oficiales, fecha de

vigencia, responsables, fechas de actualización, entre otros.


6. Asegurar que todas las operaciones que se realizan en la Dirección se encuentren

formalmente documentadas y sean conocidas y aplicadas por todo el personal.

2. DESARROLLO Y MANTENIMIENTO

CRITERIO


c. Políticas, estándares y procedimientos.

d. Aplicación de metodologías estándar, objetivas y estructuradas.

e. Uso de técnicas modernas en el desarrollo de Sistemas de información.

f. Controles incorporados

g. Administración de proyectos.


Adquirir y mantener software aplicativo

Diseño de alto nivel

Diseño detallado

Configuración e implantación de software aplicativo adquirido

Actualizaciones importantes en sistemas existentes.

Desarrollo de software aplicativo

Administración de los requerimientos de las aplicaciones

Mantenimiento de software aplicativo

Administrar Proyectos

Marco de trabajo para la administración de proyectos

Enfoque de administración de proyectos

Compromiso de los interesados

CONDICION

Actualmente, la Municipalidad de San José cuenta con sistemas de información desarrollados

en LINC de Unisys y sistemas en .NET de Microsoft.

De acuerdo a la indagación realizada los sistemas principales y críticos son: Servicios

Urbanos, Bienes inmuebles, Patentes y Monitoreo de Alarmas, que apoyan la recaudación.

Estos son sistemas Unisys que fueron adquiridos hace más de20 años y que se han ido

actualizando conforme el proveedor introduce nuevas versiones; no obstante el sistema es


cerrado, lo que hace que su mantenimiento no permita hacer mejoras significativas en sus

funcionalidades y requiera soporte constante debido a los problemas que presenta en su

operación, la mayoría son atribuidos a la poca calidad de la información.

De acuerdo a las entrevistas realizadas al personal, se han realizado en el pasado muchos

esfuerzos para realizar el cambio o migración de estos sistemas, pero por razones económicas

no se han concretado. Para el año en curso se va iniciar con la migración del sistema Patentes.

Por otra parte se han desarrollado sistemas en .NET para apoyar aplicaciones menos críticas,

o para la creación de conexiones que permitan ofrecer al usuario una interfaz más gráfica.

Actualmente el Departamento de Desarrollo de Sistemas, cuenta con programadores con

amplia experiencia en LINC y conocimiento de los sistemas desarrollados en este lenguaje,

lo que facilita la atención de incidentes relacionados, aunque la respuesta no siempre es

inmediata por las limitaciones de la herramienta; los programadores con experiencia en .NET

son funcionarios que no tienen un amplio conocimiento de los sistemas críticos, por lo que

no tienen la experticia requerida para llevar a cabo un proceso de migración o cambio de

estos sistemas.

La metodología para el desarrollo de sistemas LINC, proporcionada a esta Auditoría para su

valoración, -de acuerdo a lo indicado por el Jefe del Departamento de Sistemas-, fue

proporcionada por la empresa proveedora hace muchos años, y se ha mantenido vigente; el

documento hace una amplia y detallada descripción del proceso de desarrollo de sistemas;

no obstante, en la práctica no se ejecuta ya que no se hacen nuevos desarrollos, únicamente

se atiende nuevos requerimientos.

Se pudo corroborar que el Procedimiento General de la Sección de Mantenimiento de

Sistemas, es utilizado en la práctica para la atención de nuevos requerimientos de sistemas

LINC, no obstante, debe mejorarse la documentación para reflejar todos los pasos definidos

o en su defecto actualizar el procedimiento de acuerdo a la práctica.


Para el desarrollo de las aplicaciones en .NET se utiliza la metodología de administración de

proyectos, la cual fue proporcionada y se pudo verificar que considera las actividades

recomendadas para el desarrollo de sistemas de información.

En general, se pudo corroborar que los controles de autorización, entrada, procesamiento y

salida de datos son suficientes en el desarrollo de sistemas en .NET. En el caso de las

aplicaciones LINC existe la limitante de la antigüedad del sistema que no facilita la mejora

en los controles actuales.

Se proporcionaron los siguientes documentos relacionados con el desarrollo de sistemas:

Procedimiento General del Área de Desarrollos en Plataforma Net

Procedimiento General de la Sección de Mantenimiento de Sistemas

Procedimiento Atención de Solicitudes de Servicios de Mantenimiento o Nuevos

Trabajos en Plataforma Unisys

Manual de Procedimientos: Administración Base de Datos

La valoración realizada al proceso de administración de proyectos definido por la Dirección

de TIC, determinó que se ha establecido y mantenido una metodología que define el alcance

y los límites de la gestión de proyectos; se cuenta con dos funcionarios quienes cumplen la

función de administración de proyectos. Los proyectos se encuentran documentados en

expedientes conforme lo establecido en la metodología.

La metodología fue desarrollada a lo interno de la Dirección, y cumple en general con las

buenas prácticas de gestión de proyectos.

Adicionalmente, de acuerdo a lo indicado por el Director de TI, la Municipalidad de San

José está en proceso de definir la metodología de administración de proyectos a nivel

institucional, razón por la cual, se encuentran a la espera de los lineamientos que se definan

y de ser necesarios ajustar su metodología.


RECOMENDACIONES

Al Departamento Desarrollo de Sistemas

1. Revisar y actualizar el procedimiento de mantenimiento de sistemas para que refleje la

práctica actual de atención de nuevos requerimientos, tanto para sistemas en LINC como

los sistemas desarrollados en .NET.

2. Asegurar que todos los procesos de desarrollo de nuevos sistemas de información, así

como el mantenimiento a los sistemas (modificaciones y mejoras) sean debidamente

documentados, conforme lo establecido en los procedimientos.

3. EQUIPOS Y PROGRAMAS

CRITERIO


h. Aplicación de controles.

i. Documentación.

j. Software de base.


Adquirir y Mantener la infraestructura tecnológica

Plan de adquisición de la infraestructura tecnológica

Mantenimiento de la infraestructura

CONDICION

No se identifica un proceso formal de planificación de las adquisiciones de infraestructura

tecnológica a largo plazo; en el Plan Operativo Anual se hace la planificación anual y se

definen los requerimientos de infraestructura tecnológica y el presupuesto asociado.

Adicionalmente, en los proyectos se incluyen los requerimientos de infraestructura.


La indagación realizada no evidencia la existencia de un proceso formal de revisión del

desempeño y la capacidad de la infraestructura de TI (hardware y software) que aseguren la

disponibilidad y operación de los servicios que brinda TI. Se cuenta con la herramienta

Microsoft System Center, mediante la cual el personal da seguimiento únicamente a las

alertas que se emiten. Se pudo verificar la existencia del inventario de equipos de la

Municipalidad.

A fin de garantizar la protección y disponibilidad de la plataforma tecnológica se sigue la

práctica de una vez vencida la garantía de los equipos, establecer un contrato de servicios de

mantenimiento correctivo y soporte técnico con el proveedor del equipo.

En lo que se refiere a las actualizaciones de aplicaciones, en el caso de Microsoft, no se

aplican automáticamente, previamente se hace un proceso de verificación del impacto de las

mismas a fin de asegurar que no afecten los servicios, además las actualizaciones se hacen

fuera del horario laboral. En el caso de las actualizaciones de Unisys, junto con el proveedor

se hace un plan de migración que permita a la Municipalidad hacer la transición de acuerdo

a los procesos internos, en caso de requerir contrataciones específicas.

Se tienen contratos similares para los servidores Hewlett Packard, equipo de comunicación

CISCO, aplicaciones .NET, etc.

Todas las compras de bienes y servicios de TI son realizados cumpliendo los procedimientos

definidos por la Proveeduría; previa aprobación de la Dirección de TI que define las

especificaciones técnicas y otras condiciones técnicas requeridas.

La Dirección de TI define anualmente un plan de sustitución de equipos, con base en el cual

solicita presupuesto y establece las compras; si una dependencia requiere un nuevo equipo o

programa de cómputo debe solicitarlo a la Dirección para que se autorice la compra.


RECOMENDACIONES


1. Desarrollar y mantener un plan para la adquisición, implementación y actualización de

infraestructura tecnológica (hardware y software), este plan debe considerar las mejoras

a la capacidad actual, costo de migración, tiempo de vida útil de la plataforma y debe

estar integrado con los procesos de planificación estratégica de TI y de la institución.

2. Implementar un proceso formal para la gestión de la capacidad y desempeño actual que

permita determinar en forma oportuna los nuevos requerimientos de los recursos de TI,

minimizar los riesgos de interrupciones de los servicios por falta de capacidad o

desempeño insuficiente. Se debe incluir el monitoreo y reporte continuo de los resultados

a la CGTIC, para que sean atendidas en forma oportuna los nuevos requerimientos, mi

4. SEGURIDAD

CRITERIO


k. Seguridad física.

l. Seguridad lógica.


Garantizar la seguridad de los sistemas

Administración de la seguridad de TI

Plan de Seguridad de TI

Administrar la identidad

Administrar cuentas de usuarios

Seguridad Física y Lógica

Selección y diseño de centros de datos

Medidas de seguridad física

Acceso físico

Protección contra factores ambientales

Administración de instalaciones físicas


CONDICIÓN

Se cuenta con el documento Políticas Institucionales de Seguridad Informática que establece

los lineamientos para normar las actividades de la Municipalidad de San José cuando se

requiere el acceso y uso a las tecnologías de información. El documento establece la

obligatoriedad de todos los funcionarios de acatar las políticas sin excepción.

Adicionalmente, las políticas están apoyadas por las Normas Generales de Seguridad

Informática de la Municipalidad de San José. Se indica que la Dirección de TIC es la

responsable de velar por la correcta aplicación de las políticas, así como de su validez y

control. Las políticas definidas son:

Política de concientización en seguridad informática

Política sobre el uso aceptable de recursos

Política de Controles de acceso recursos institucionales

Política Desarrollo, Mantenimiento y Actualización de Aplicaciones

Política de Desecho de Equipo de Cómputo

Política para la elaboración de Planes de Continuidad de la Gestión.

En la entrevista realizada al Director de TI, manifiesta que a pesar de los esfuerzos de

divulgación (intranet y correo electrónico), los funcionarios no se han interesado conocer y

entender la importancia de las Políticas. Este tema ha sido informado y analizado con la

Alcaldía determinándose que es necesario que intervenga el Departamento de Recursos

Humanos para definir e implementar un plan de comunicación y capacitación a los

funcionarios. La Dirección de TI ha colaborado elaborando un extracto de las políticas para

que el Departamento de Recursos Humanos establezca las sanciones en caso de

incumplimiento. Las políticas son actualizadas por el Director de TI y cuentan con la

aprobación de la Alcaldía.

Por otra parte, se indicó a esta Auditoría que se cuenta con políticas internas para la Dirección

de TI que norman aspectos relacionados con el acceso al Centro de Datos, destrucción de

respaldos, etc.; no obstante no se pudo realizar la valoración de las mismas ya que no fueron

suministradas.


Se identifican prácticas informales de gestión de la seguridad, se cuenta con herramientas

automatizadas mediante las cuales se establecen controles; no obstante no se ha formalizado

un Plan de Seguridad de TI por cuanto no cuentan con el personal especializado en el tema.

La gestión de cuentas de usuarios no se hace mediante un proceso formalmente definido, la

práctica indica que las jefaturas deben enviar la solicitud de creación de una cuenta de

usuarios, ya sea mediante un oficio o correo electrónico; el Departamento de Soporte Técnico

asigna el usuario institucional y la cuenta de correo electrónico; para el acceso a los sistemas

de información debe gestionar la solicitud al Jefe del Departamento de Desarrollo de

Sistemas. En caso de que un funcionario deja de laborar el Departamento de Recursos

Humanos informa a la Dirección para que se deshabilite.

En la valoración realizada se pudo comprobar la existencia de controles de acceso al Centro

de Datos, así como el uso de una bitácora para registrar la entrada de visitantes; el sitio

cuenta con cámaras de seguridad, detector de humos, extintores, equipos de aire

acondicionado, ups. La ubicación no es visible a otras dependencias.

Las instalaciones de la Dirección de TIC a pesar de contar con mecanismos de acceso

automatizados, presenta el inconveniente, de ubicar dentro de sus instalaciones las oficinas

del Director Financiero, lo que representa un riesgo de seguridad, que se acentúa aún más

cuando se pudo comprobar en una de las visitas realizadas que este funcionario debe atender

la visita de personal ajeno a la Dirección de TI dentro de las instalaciones de la Dirección de

TI.

En lo que corresponde a controles para la protección de redes; la Dirección de TI es

responsable de asegurar y monitorear las redes de accesos no autorizados, cuenta con los

dispositivos Fortinet para regular la seguridad perimetral, con doble redundancia y con

contrato de licenciamiento por un año; no se ha presentado incidentes de seguridad. Se cuenta

con software de detección de virus de Microsoft Symantec.


RECOMENDACIONES

A la Alcaldía

1. Asegurar que en las instalaciones de la Dirección de TIC únicamente se ubiquen oficinas

para personal asignado formalmente a esta dependencia.


2. Definir e implementar mecanismos de concientización de las Políticas Institucionales de

Seguridad Informática, priorizando los temas que resulten de relevancia para la

institución.

3. Documentar las políticas internas y las prácticas actuales de gestión de seguridad que se

desarrollan en la Dirección de TI.

4. Definir e implementar un plan de seguridad de TI que incluya los procedimientos

necesarios para implementar y hacer cumplir las políticas, roles y responsabilidades,

requerimientos de personal, concientización y entrenamiento en seguridad, inversiones

en recursos de seguridad requeridos.

5. Establecer y comunicar un procedimiento para autorización y autenticación de usuarios,

y responsables de la definición de los perfiles de acceso.

5. SISTEMAS DE OPERACION

CRITERIO


m. Controles de entrada.

n. Controles de proceso.

o. Controles de salida.


Adquirir y Mantener Software Aplicativo

Control y posibilidad de Auditar las aplicaciones


CONDICIÓN

Los sistemas principales de la Municipalidad de San José desarrollados en LINC de Unisys,

de acuerdo a lo indicado por los usuarios entrevistados cuentan con las funcionalidades

requeridas, pero lo califican como “tieso” a referirse a la poca flexibilidad que tiene. Además

de que presenta muchos errores debido a que la información de la base de datos es poco

confiable, ya que tiene mucha información errónea.

En general los usuarios coinciden en que el Sistema ya no cumple con los objetivos y se

encuentra obsoleto; son constantes los errores e interrupciones mientras se brindan servicios

a los contribuyentes. Los tiempos de respuesta ofrecidos por la Dirección de TI no siempre

pueden ser inmediatos debido a las limitaciones de las herramientas, que requieren un

proceso de recuperación que toman algunos minutos; además aunque los funcionarios de la

Dirección de TI lo consideran muy seguro por ser un sistema cerrado, a lo interno los

mecanismos de seguridad no son suficientes para asegurar que no se den manipulaciones

indebidas a los datos; los entrevistados mencionan situaciones de errores que se presentan

un día y se resuelven posteriormente sin mayor explicación. Al respecto se cuenta con las

bitácoras de todas las transacciones realizadas, no obstante, los controles son establecidos

por las dependencias usuarios, y sale del ámbito de acción de la Dirección de TI.

La mayoría de los funcionarios entrevistados coinciden en que la información del sistema es

confiable, no obstante, se mencionan casos de inconsistencias en la ejecución de procesos;

se indica que los controles de entrada y salida de datos no son adecuados ya que el sistema

permite el ingreso de información errónea; esto se atribuye a las debilidades que tiene el

sistema desde su creación.

El funcionamiento del Sistema presenta inconvenientes, sobre todo en las fechas de cierre

de pagos trimestrales, ya que la atención de usuarios para pago de servicio en cajas aumentan

significativamente, se puede atender más de 1000 personas en el último día de pago, en

comparación a los 430 que se atienden en promedio en días normales. Los usuarios reconocen

que durante esos días, son constante las caídas del sistema y lo atribuyen a que aumento el


acceso simultáneo de los funcionarios, lo que afecta el servicio que se brinda al

contribuyente.

Los usuarios muestran un gran dominio en su uso, además de estar satisfechos con su

desempeño.

En general, aunque todos los usuarios entrevistados y la verificación en sitio, indica que los

sistemas incluyen los controles requeridos en la entrada y salida de datos, y durante el proceso

en sí, no se pudo corroborar la existencia de un proceso formal de incorporación de controles

y la documentación de los mismos.

RECOMENDACIONES


1. Establecer e implementar un procedimiento formal para definir todos los controles de

aplicación automatizados (autorización, entrada, procesamiento y salida) en base a los

requerimientos de control previstos por el usuario.

2. Incorporar en la metodología de desarrollo de sistemas de información, como parte del

diseño, la definición de los controles automatizados a ser incluidos, relativos a la

seguridad, integridad de datos y pistas de auditoría, incluyendo mecanismos de control

de acceso y controles de integridad de base de datos.

6. CONTINGENCIAS

CRITERIO


Plan Estratégico de Tecnologías de Información


Plan Estratégico de TI

CONDICIÓN


La Municipalidad de San José cuenta con el Plan de Desarrollo Municipal 2012-2016, donde

se define el Programa San José Digital, cuyos proyectos son responsabilidad de la Dirección

de TIC. A fin de cumplir con este Programa la Dirección desarrolló el Plan Estratégico de

Tecnologías de Información y Comunicaciones que lo denomino Visión Estratégica de San

José Digital. Para el cumplimiento de los objetivos estratégicos y proyectos, se establece el

Plan Operativo Anual.

La Dirección de TI presenta un informe de labores anual, donde se detalla los trabajos

realizados por cada uno de los departamentos, como son proyectos, mantenimiento de

desarrollo Unisys, desarrollo .NET, servicios web, administración de base de datos, soporte

técnico, entre otros.

No se identifica un proceso formal para el desarrollo del Plan Estratégico de TI, que considere

los mecanismos requeridos para la implementación, seguimiento, control y actualización del

mismo.

De acuerdo a la entrevista realizada al Director de TI, la alcaldía solicita de manera informal,

informes sobre el estado de proyectos de su interés.

RECOMENDACIONES


1. Definir e implementar las políticas y procedimientos necesarios para asegurar que el

desarrollo del Plan Estratégico de TI, defina las estrategias de TI para contribuir al logro

de los objetivos estratégicos institucionales, considerando la capacidad de TI actual y

requerida; debe definirse un proceso formal para su desarrollo, implementación y

seguimiento; considerar el impacto de cambios organizacionales y evolución tecnológica.


SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE

GERENCIA 2014

RECOMENDACIÓN ESTADO

HALLAZGO 1: AUSENCIA DE PRUEBAS DE

FUNCIONALIDAD DE LOS RESPALDOS EFECTUADOS.

Recomendación: Ejecutar pruebas de funcionalidad como se

establece en el manual de procedimientos de los respaldos.

En proceso

Debe modificarse el

procedimiento para

ajustar la periodicidad

de las pruebas.

HALLAZGO 02: NO SE HAN TRASLADADO LOS

RESPALDOS DE LA INFORMACIÓN AL SITIO

ALTERNO DESDE JULIO 2014.

Recomendación: Trasladar los respaldos al lugar externo como lo

establece el procedimiento para el manejo de medios de

almacenamiento de los respaldos. Además se debe verificar

periódicamente que estos envíos se estén realizados.

Atendida

HALLAZGO 03: NO UTILIZACIÓN DEL SISTEMA CRM

POR ALGUNOS DEPARTAMENTOS DE LA

MUNICIPALIDAD.

Recomendación: Utilizar de forma completa el CRM por parte de

las áreas de plataforma de servicios, permisos, catastro (cómputo

y gráfica) y bienes inmuebles. En conjunto con T.I. valorar los

requerimientos adicionales solicitados para cumplir con el

objetivo de mejorar los procesos llevados en la Municipalidad.

En proceso

Mejoras el proceso 65%

HALLAZGO 04: AUSENCIA DE UN MANTENIMIENTO

PREVENTIVO AL AIRE ACONDICIONADO Y UPS

UBICADOS EN EL CUARTO DE SERVIDORES.

Recomendación: Brindar por parte del departamento de

mantenimiento de edificios el mantenimiento preventivo

periódicamente y correctivo cuando lo amerite a las UPS y aires

acondicionados presentes en el cuarto de servidores.

Atendida

Se cuenta con el

contrato, responsable la

sección de

Mantenimiento del

Edificio.

HALLAZGO 05: AUSENCIA DE UN MANUAL DE

FUNCIONES PARA LOS COLABORADORES DE T.I.

Recomendación: Desarrollar por parte de Recursos Humanos un

manual de funciones para cada puesto del Departamento de T.I.,

Pendiente

Responsable: Recursos

Humanos


para la actividad anterior se debe considerar entre otros aspectos

puestos, las funciones de cada puesto así como los requisitos del

personal para asumir el puesto.

HALLAZGO 06: NO EJECUCIÓN DE LA ACCIÓN DE

MITIGACIÓN DE RIESGO DE ALTO IMPACTO

Recomendación: La alta gerencia debe de velar por la correcta

ejecución del plan de acción para la mitigación del riesgo "Para

que se encuentre definido el Plan de contingencia de TI para

garantizar la continuidad de los servicios institucionales ",

tomando en cuenta que el riesgo es alto para la Municipalidad.

Esto es una tarea interdisciplinaria que debe ser liderada por la

alcaldía.

En Proceso

Se encuentra en proceso

de contratación


GERENCIA 2013


ASUNTO 01: PARA EL PERIODO 2013 NO SE

REALIZÓ LA EVALUACIÓN DE LOS RIESGOS

INFORMÁTICOS.

CORREGIDO


GERENCIA 2012


ASUNTO 01: PARA EL PERIODO 2013 NO SE

REALIZÓ LA EVALUACIÓN DE LOS RIESGOS

INFORMÁTICOS.

Atendida


HALLAZGO 01: INCONSISTENCIAS EN ROLES

Y PERFILES ASIGNADOS EN EL SISTEMA DE

TESORERÍA

Responsable: Tesorería

En proceso

HALLAZGO 02: EXISTENCIA DE CUENTAS DE

EXFUNCIONARIOS HABILITADAS EN LA RED

Atendida

HALLAZGO 03: INCUMPLIMIENTO DE LA

METODOLOGÍA DE ADMINISTRACIÓN DE

PROYECTOS DE T.I.

En Proceso

A la espera de la metodología de

proyectos institucional.

Atendida

Se lleva a cabo la revisión de los

proyectos periódicamente.

HALLAZGO 04: INCONSISTENCIA EN LA

ENTRADA DE DATOS DEL SISTEMA DE

URBANOS Y BIENES INMUEBLES

Atendida

El sistema controla el ingreso de

la cédula, permite la cantidad de

dígitos dependiendo del tipo de

cédula (Jurídica, física, etc.).

En Proceso

En proceso de ejecución el Plan

Depuración y de Homologación

de la Base de Datos Municipal.

HALLAZGO 05: INCONSISTENCIAS EN EL

REPORTE DE CONECTIVIDAD SOBRE EL

COBRO DE COMISIÓN DE IMPUESTOS

MUNICIPALES

Responsable: Depto. Tesorería

En Proceso

HALLAZGO 06: INCONSISTENCIAS EN LOS

REGISTROS ALMACENADOS EN LAS BASES

DE DATOS DE LA MUNICIPALIDAD DE SAN

JOSE.

Responsable: Comisión de la depuración de datos

En Proceso


ASUNTO 1: INCONSISTENCIAS EN EL

FORMATO UTILIZADO PARA EL SISTEMA DE

MERCADOS

Atendida

ASUNTO 2: AUSENCIA DE UN SISTEMA PARA

INGRESAR INFORMACIÓN

CORRESPONDIENTE A CEMENTERIOS

En Proceso

Se cuenta con Sistema

Cementerios, pendiente la

integración con Cajas que incluye

en la segunda etapa del proyecto.

ASUNTO 3: REVISIÓN INCOMPLETA DE

CUENTAS EN EL PROCESO DE

FISCALIZACIÓN


En Proceso

ASUNTO 4: POCO ESPACIO FÍSICO EN

DIRECCIÓN DE TI

Responsable: Alcaldesa

Equipos en los pasillos

En Proceso

T.I. ha realizado las peticiones

correspondientes, no se ha

obtenido respuesta por parte de la

alcaldía.


GERENCIA 2011


HALLAZGO 2: NO SE CUENTA CON UN

PROCEDIMIENTO DEBIDAMENTE

DOCUMENTADO PARA LA REALIZACIÓN DE

PLANES DE PRUEBAS PARA LOS RESPALDOS

DE LA INFORMACION

Atendida

Cuentan con procedimiento para

la recuperación de los respaldos.

HALLAZGO 3: INCONSISTENCIAS EN LOS

REGISTROS ALMACENADOS EN LAS BASES En Proceso


DE DATOS DE LA MUNICIPALIDAD DE SAN

JOSE.


ASUNTO 2: NO SE ADAPTA LA

METODOLOGÍA DE ADMINISTRACIÓN DE

PROYECTOS ELABORADA POR LA

DIRECCIÓN DE T.I. DE LA MSJ A PROYECTOS

MEDIANOS Y PEQUEÑOS.

Responsable: Gerencia de Gestión Municipal

En Proceso

La metodología de proyectos

institucional

ASUNTO 3: NO EXISTE UN PROCESO FORMAL

PARA EL RESPALDO DE LA INFORMACIÓN

ALMACENADA EN LA MAQUINA UTILIZADA

PARA DESARROLLO DE APLICACIONES EN

LA DIRECCIÓN DE T.I.

Atendida


GERENCIA 2010


OPORTUNIDAD DE MEJORA 1:

INCONSISTENCIAS EN LAS BASES DE DATOS

IMPLANTADOS EN LA MUNICIPALIDAD DE

SAN JOSÉ.

Atendida

ASUNTO 2: EL MÓDULO DE CATASTRO NO SE

ENCUENTRA INTEGRADO CON EL MÓDULO

DE URBANOS

Atendida

ASUNTO 4: INCONSISTENCIA EN EL MÓDULO

DE INGRESOS Atendida



GERENCIA 2009


OPORTUNIDAD DE MEJORA 1: AUSENCIA DE

PROCEDIMIENTOS DOCUMENTADOS PARA

LA MEDICIÓN DE LA CAPACIDAD Y

DESEMPEÑO DE LA PLATAFORMA

TECNOLÓGICA

Atendida

El procedimiento para la

administración de la capacidad y

desempeño de la base de datos se

aprobó el 13-12-2013.

OPORTUNIDAD DE MEJORA 3: CARENCIA DE

MONITOREO FORMAL RESPECTO A LAS

POLÍTICAS ESTABLECIDAS PARA LA

GESTIÓN Y SEGURIDAD DE LA

PLATAFORMA TECNOLÓGICA.

En Proceso

OPORTUNIDAD DE MEJORA 4: AUSENCIA DE

POLÍTICAS Y PROCEDIMIENTOS FORMALES

PARA LA GESTIÓN DE LA CONFIGURACIÓN.

Atendida

OPORTUNIDAD DE MEJORA 5: NO EXISTE UN

SITIO ALTERNO DE REPLICACIÓN

AUTOMÁTICA PARA LOS SERVIDORES

PRINCIPALES DE LA MUNICIPALIDAD DE

SAN JOSÉ.

En Proceso


PLAN DE CONTINGENCIAS INTEGRAL QUE

AYUDE A SALVAGUARDAR LOS RECURSOS

INFORMÁTICOS DE LA MSJ, ASÍ COMO

GARANTIZAR LA CONTINUIDAD DE LAS

OPERACIONES.

Responsable: Alcaldía

En Proceso



GERENCIA 2003


CG-2-2003 (1)

Sistemas de información de la Municipalidad con

deficiencias en su estructura.

En Proceso

CG-2-2003 (1)

Sistemas de información de la Municipalidad con

deficiencias en su estructura.

En Proceso

CG-2-2003 (2)

Falta de una adecuada integración de los sistemas de

la Municipalidad hasta no contar con una

actualización en los sistemas de la entidad.

En Proceso


SITIO ALTERNO DE REPLICACIÓN

AUTOMÁTICA PARA LOS SERVIDORES

PRINCIPALES DE LA MUNICIPALIDAD DE

SAN JOSÉ.

En Proceso

Se estima que para este año esté

en funcionamiento


PLAN DE CONTINGENCIAS INTEGRAL QUE

AYUDE A SALVAGUARDAR LOS RECURSOS

INFORMÁTICOS DE LA MSJ, ASÍ COMO

GARANTIZAR LA CONTINUIDAD DE LAS

OPERACIONES.

Responsable: Alcaldía

En Proceso

Concejo Municipal, Municipalidad de San José©... · ... Gerencia y otros dentro de la...

Documents

Transcript of Concejo Municipal, Municipalidad de San José©... · ... Gerencia y otros dentro de la...