Tendencias en las tecnologías de información - ina.ac.cr Estrategicos/IN-DAI-03-2011_Plan... ·...

Auditoría Interna Instituto Nacional de Aprendizaje

Informe DAI-03-2011 Tecnologías de la Información y Comunicación

INFORME DAI-03-2011

AUDITORÍA INTERNA PROCESO DE FISCALIZACIÓN DE TECNOLOGÍAS DE LA

INFORMACIÓN Y COMUNICACIÓN (PFTIC) PLAN ESTRATÉGICO 2011-2013 (INFORME DE USO INTERNO)

RESUMEN EJECUTIVO ....................................................................................... 2

1. INTRODUCCIÓN .......................................................................................... 3

1.1 Terminología usada en el Informe .......................................................... 4

1.2 Bases sobre las que se sustenta el PETIC ............................................... 5

1.3 Antecedentes ........................................................................................ 6

1.4 Marco Estratégico ................................................................................. 6

2. ANÁLISIS DE LA SITUACIÓN ACTUAL ........................................................... 8

3. PROPUESTA .............................................................................................. 10

3.1 Objetivos Estratégicos Generales .......................................................... 10

3.2 Objetivos Estratégicos Específicos ........................................................ 10

3.3 Visión Estratégica de TI ....................................................................... 11

3.4 Proyectos generados de la visión estratégica ........................................ 14

3.5 Cronograma de implantación del PETIC ................................................ 15

3.6 Costos del Plan ................................................................................... 16

3.7 Seguimiento y Actualización del PETIC ................................................. 17

4. Conclusión ................................................................................................ 19

5. Responsables del estudio ........................................................................... 20

6. Anexos ..................................................................................................... 21

6.1 Anexo #1: Actualización Universo Fiscalizable PFTIC ............................. 21

6.2 Anexo #2: Sistema Integrado de Auditoría (SIA) ................................... 24

6.3 Anexo #3: Perfil referente a TICS ........................................................ 29



Página 2 de 30

RESUMEN EJECUTIVO

PROCESO DE FISCALIZACIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN (PFTIC)

PLAN ESTRATÉGICO 2011-2013 Los cambios constantes en materia de tecnología informática y de computación, el establecimiento de una Estrategia Institucional (PEI), para los próximos seis años, sean del 2011 al 2016 y el consecuente vencimiento del plan estratégico de la Auditoria Interna (PEAI) 2006-2010, impulsa la creación de este planteamiento estratégico en materia de Tecnología de Información y Comunicación (PFTIC), en el que se expone la planificación estratégica de la Auditoria Interna (AI) en esta materia, para el período comprendido entre los años 2011 al 2013. El PETIC / PFTIC pretende orientar los esfuerzos relacionados con la función de fiscalización y de apoyo en TIC’s para apoyo de la AI del INA en el proceso de fiscalización. La planeación, ejecución y consecuentes proyectos deben ser congruentes con el contenido del PEAI, en la medida de lo posible, para orientar los esfuerzos a nivel interno de la AI hacia un mismo norte. El PETIC / PFTIC incluye lo siguiente:

La metodología de planificación aplicada. Un análisis de la situación actual del INA en materia tecnológica. Una estrategia de alineamiento del PETIC / PFTIC con la estrategia de la

Dirección de Auditoría y con la situación deseada a mediano plazo. Los factores críticos de éxito.

La identificación de riesgos. Es importante mencionar que se han previsto en el presente proyecto, una serie de puntos de control para observar su cumplimiento, los cuales serán sujeto de análisis por la Dirección de Auditoría Interna. Los procedimientos de control, junto con ciertas actividades de gestión, nos ayudarán a evitar o a minimizar que los riesgos a los que se pueda exponer la Auditoría Interna en materia de las TIC’s se lleguen a materializar y produzcan efectos negativos en ésta. Las actividades de control se traducen en políticas (lo que debe de hacerse) y procedimientos con mecanismos concretos de control (cómo debe hacerse).



Página 3 de 30

INFORME DAI-XX-2011

AUDITORÍA INTERNA PROCESO DE FISCALIZACIÓN DE TECNOLOGÍAS DE LA

INFORMACIÓN Y COMUNICACIÓN (PFTIC) PLAN ESTRATÉGICO 2011-2013 (INFORME DE USO INTERNO)

1. INTRODUCCIÓN Hoy en día y más que nunca antes, las TIC’s no solo están presentes en todas las áreas de gestión de las organizaciones, sino que sin ellas las organizaciones no podrían operar, este es el caso del Instituto Nacional de Aprendizaje (INA) y la AI no es la excepción. Esta adopción generalizada y globalizada de las TIC’s se ha realizado en muchos casos sin la necesaria planificación, en parte porque los modelos, estándares necesarios y metodologías no estuvieron oportunamente desarrollados y disponibles para su adopción. La tendencia hacia los sistemas abiertos, la interconexión global a través de redes de comunicaciones cada vez más seguras y rápidas, aunado al requerimiento de los usuarios por sistemas y formas de comunicaciones cada vez más amigables y menos dependientes de la parte técnica, traen consigo la adquisición dispersa de nuevas tecnologías a veces por tendencia o hasta por moda. Por lo tanto, se hace necesario mejorar la infraestructura de soporte informático que servirá de apoyo a la ejecución de los estudios de fiscalización, evaluando la compatibilidad, la comunicación entre sistemas, la necesaria capacitación del personal, pero más importante, lo necesario para garantizar razonablemente que la Institución cuente con una alta disponibilidad de su plataforma de servicios de auditoría.



Página 4 de 30

El propósito a alcanzar por el PFTIC es la revisión y evaluación del cumplimiento de los controles internos, de los planes de desarrollo, de la correcta utilización del parque tecnológico, de la eficiencia, confidencialidad y seguridad con que se registra y almacena la información de la auditoría. Es una constante que las TIC’s seguirán con su evolución acelerada, realidad ésta que nos obliga a mantener adicionalmente una revisión periódica de este Plan para asegurar su vigencia tecnológica y evitar la obsolescencia del mismo. Lo anterior demanda por parte de la PFTIC una gestión en constante actualización para aprovechar las oportunidades que las nuevas tecnologías nos puedan ofrecer. 1.1 Terminología usada en el Informe AI: Auditoría Interna COBIT: Objetivos de Control para Tecnologías de información y relacionadas DAI: Dirección de Auditoría Interna GTIC: Gestión de Tecnologías de la Información y Comunicación INA: Instituto Nacional de Aprendizaje ISACA: Asociación para la Auditoría y Control de Sistemas de Información

(Information Systems Audit and Control Association) PAT: Plan Anual de Trabajo PETIC: Plan Estratégico de Tecnologías de la Información y Comunicación PFTIC: Proceso de Fiscalización de Tecnologías de la Información y

Comunicación SIC: Sistemas de Información Computarizados TIC’s: Tecnologías de Información y Comunicación



Página 5 de 30

1.2 Bases sobre las que se sustenta el PETIC Aunque los avances tecnológicos en TIC’s de la última década han sido constantes y espectaculares, en los últimos cinco años se ha producido una verdadera revolución tecnológica de gran envergadura e impacto para la propia industria informática; así como, de consecuencias importantes para el resto de sectores usuarios de tecnología informática y de comunicaciones. Es ya un nuevo paradigma mundial el considerar que la información y la tecnología asociada a ella representan el activo más importante de cualquier organización, implicando que se exige de los mismos requerimientos de calidad, controles y seguridad para la información. Ante este panorama, la Organización ISACA diseñó el estándar COBIT, como resultado de su investigación y experiencias, con la participación de un gran equipo de expertos internacionales. Esta metodología nos brinda el marco de definición de estándares y conducta profesional para la gestión y el control de las TICs, en todos sus aspectos, unificando diferentes estándares, métodos de evaluación y controles internos. Adicionalmente, esta metodología fue apropiada e incorporada por la Contraloría General de la República mediante la publicación del Manual de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, (N-2-2007-CO-DFOE). Este manual, inspirado en el Modelo de metodología COBIT, tiene la misión y objetivo principal de investigar, desarrollar, publicar y promocionar objetivos de control interno actualizados a la realidad costarricense, por lo que en una unidad organizacional donde el nivel de madurez de implementación es incipiente, conforma una buena base para la definición de un plan de estratégico que mejore la gestión y el uso de los recursos tecnológicos.



Página 6 de 30

1.3 Antecedentes En el Manual de Normas para el Ejercicio de la Auditoría Interna en el Sector Público, en su capítulo 2. “NORMAS SOBRE EL DESEMPEÑO”, se establece: “2.1.1 Planificación. El Auditor Interno debe establecer planes basados en criterios razonables y fundamentados, especialmente en una valoración del riesgo, a fin de determinar las prioridades de la actividad de Auditoría Interna. Dichos planes deberán ser consistentes con los objetivos de la organización. 2.1.1.1 Planificación estratégica: El Auditor Interno debe establecer una planificación estratégica congruente con su universo fiscalizable actualizado, la valoración del riesgo y los objetivos de la

organización.”, el subrayado no es del original.”. Extrapolando este mandato al Proceso de Fiscalización de las Tecnologías de Información y Comunicación (PFTIC), se presenta a continuación el plan estratégico de las TIC’s para la Auditoría Interna. Atendiendo el Universo Auditable definido, basado en el Manual de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, N-2-2007-CO-DFOE, (Ver Anexo# 1 “Universo Auditable AI / PFTIC”), la Auditoría Interna encuentra en la aplicación de las Tecnologías de Información y Comunicación un bastión importante en su esfuerzo por alcanzar mayores y mejores niveles de eficacia y eficiencia en su labores de fiscalización, particularmente, por el grado de automatización que exhibe a la fecha el INA y por el costo y el alto volumen de sus operaciones. 1.4 Marco Estratégico De acuerdo con las sanas prácticas de gestión, el plan estratégico de fiscalización de las TIC’S en la Auditoría interna del INA, está directamente relacionado con las orientaciones y campos de acción de la estrategia de la DAI. El PETIC / PFTIC en este sentido para el período 2011-2013, se alinea de acuerdo con las siguientes orientaciones estratégicas: 1. Focalización en lo estratégico (fiscalización basada en riesgos).

2. Especial atención en los procedimientos y soluciones que garanticen la

continuidad de la operación de la plataforma tecnológica de la Auditoría Interna.



Página 7 de 30

3. Enfoque en el interés sustantivo del usuario de los servicios de las TIC’s. 4. Control como medio y no como fin (razonabilidad, proporcionalidad y costo

del control).

5. Mayor productividad, presencia, impacto y oportunidad (pertinencia profesional).

6. Enfoque preventivo y coadyuvante (diferente del control previo).

7. Recurso Humano capaz y motivado (Identificación con los objetivos de

fiscalización institucionales y claridad en lo que se espera de él).

8. Tecnología y Sistemas de Información propios como herramienta esencial para apoyar el trabajo de la Auditoría Interna.

9. Rendición de cuentas interna en forma periódica y metódica. A continuación se presentan los campos de acción estratégicos, los cuales serán apoyados por el Recurso Humano propio del PFTIC:

Gestión interna de la Información y Comunicación: Promover el mejoramiento continuo en la disponibilidad de la información y comunicación a lo interno mediante el SIA, con el fin de apoyar el cumplimiento de los objetivos de la Dirección de Auditoría.

Fortalecimiento de la imagen institucional, a través de la comunicación dirigida a los diferentes usuarios de los productos de fiscalización de la AI.

Fortalecimiento de la comunicación organizacional orientada hacia el logro de

los objetivos internos.

Utilización intensiva de los sistemas de información institucionales, incluyendo el SIA para los miembros auditores y administrativos de la AI.

Disponibilidad tecnológica para la atención oportuna de necesidades de

información interna.

Reducción progresiva de tiempos y costos en la confección de Informes de Auditoría, por medio del uso de tecnologías de información y comunicación.



Página 8 de 30

Dentro del marco de la planificación de los servicios de auditoría en las TIC’s para los próximos tres años, se requiere impulsar el modelo de auditoría digital para aprovechar los beneficios que otorga la tecnología por lo que se hace necesario un proceso de planificación estratégica que oriente a la Auditoria hacia ese fin. Los objetivos estratégicos se definieron siguiendo los siguientes postulados:

Gestionar en forma razonable y racional los recursos financieros, materiales, tecnológicos, de formación y capacitación y de otra índole necesaria, en cantidad y calidad, de manera que permitan y faciliten el cumplimiento de los deberes encomendados a la Auditoría Interna por disposición legal y normativa jurídica y técnica.

Formular mecanismos de calidad que faciliten la prestación del servicio de manera oportuna y funcional y que propicien la satisfacción de las expectativas de los usuarios.

Mantener un proceso de mejora continua en los servicios que brinda mediante la implementación de mejoras al SIA y la adicción de paquetes de software de apoyo estadístico, manipulación de archivos en formato PDF, y de estaciones móviles de apoyo al auditor (portátil tipo netbook + proyector móvil + impresora móvil).

2. ANÁLISIS DE LA SITUACIÓN ACTUAL El diagnóstico comprendió la revisión tanto del hardware como del software existente, con el propósito de obtener el estado real de la situación actual de la Auditoría Interna, con respecto a las Tecnologías de Información y Comunicación. Lo anterior a efectos de determinar las necesidades de equipamiento, actualización o sustitución del equipo utilizado para la ejecución de las labores diarias. Además, conocer los productos de software utilizados y la base instalada de algunos otros programas accesorios para el mismo fin.

Arquitectura tecnológica: Los principales componentes de la arquitectura tecnológica son los Servidores de Aplicaciones y los dispositivos de almacenamiento donde residen las bases de datos de la AI, la infraestructura de comunicaciones, el software de apoyo (SIA) y los sistemas de información que se integran a través de su Intranet.



Página 9 de 30

Equipo: La auditoría posee un parque de cuatro servidores y 27 PC’s de uso personal instaladas como estaciones de trabajo, 3 impresoras de mediana capacidad y un scanner dedicado. Para el almacenamiento de bases de datos se tienen discos individuales y de capacidades muy limitadas, con un promedio de 36 GB, con una ocupación total cercana al 90%., evidentemente la disponibilidad de equipo debe ajustarse a las necesidades que se deriven de la inserción tecnológica deseada.

Comunicaciones: Se cuenta con infraestructura local, con equipos de poca tolerancia a fallas y capacidad para enlazar a los funcionarios con sistemas de información automatizados, correo electrónico, intranet e internet. Ahora bien, en vista de la importancia que reviste la conectividad y las nuevas tendencias móviles de la comunicación tecnológica, resulta necesario evolucionar hacia la implementación de esas potencialidades tecnológicas en la gestión de la Auditoría Interna.

Software de apoyo: Las computadoras personales cuentan con sistema

operativo Windows 7, paquetes de automatización de oficina, browsers, y acceso a sistemas de información. Además, el INA posee software de filtro de contenido, software de antivirus, un software de firewall institucional, certificados de firma digital, software para registro de atención de averías (Service Desk), el directorio activo de todos los funcionarios del INA y la administración de la central telefónica.

Centro de Procesamiento de Datos: El PFTIC de la AI cuenta con su

propio Centro de Proceso de Datos y con un sistema especializado en Auditoría denominado Sistema Integrado de Auditoría (SIA). Ver Anexo #2.

Potencial humano: En la actualidad, el PFTIC cuenta con tres funcionarios capacitados en materia de auditorías de las TIC, lo cual, en sí mismo es un factor limitante para la ejecución del plan estratégico y las metas requeridas, aunado a que además del trabajo de fiscalización se realizan funciones de soporte técnico y desarrollo implementación de sistemas.



Página 10 de 30

3. PROPUESTA 3.1 Objetivos Estratégicos Generales 1. Utilizar las Tecnologías de Información como medio para facilitar las

funciones y apoyar la gestión del auditor.

2. Automatizar la mayor cantidad de procesos a fin de obtener mayores niveles de eficiencia en la gestión.

3. Brindar una mayor cobertura a los riesgos asociados a TI de la auditoría y

brindar el seguimiento al plan estratégico de TI. 3.2 Objetivos Estratégicos Específicos 1. Asegurar la integración y operación eficiente de los diferentes sistemas de

información de la Auditoría. 2. Consolidar y continuar modernizando la plataforma tecnológica.

3. Mantener la confiabilidad, oportunidad y seguridad de la información.

4. Capacitar a los auditores en todas las áreas de conocimiento asociadas a TI.

5. Capacitar a los funcionarios de TI de la Auditoría.

6. Generar una metodología de desarrollo de sistemas para la Auditoría Interna.

7. Mejorar el tiempo de entrega del producto final al cliente-usuario, a través de

la automatización de los diferentes servicios.



Página 11 de 30

3.3 Visión Estratégica de TI Centro de Proceso y Almacenamiento de Datos (Centro de Cómputo) Si bien es cierto que la Auditoría Interna cuenta con su propia infraestructura tecnológica con equipos, software y sistemas, que le permite cierta independencia y disponibilidad en sus operaciones con respecto a la red institucional del INA, existe dependencia de la administración del Active Directory institucional, el cual podría comprometer la seguridad de los equipos y la información procesada en la auditoría interna, por lo que se debe:

Implementar cableado estructurado, para aumentar la cantidad de accesos a red disponibles y para tener control sobre las configuraciones de los equipos activos de comunicaciones entre la auditoría y el resto de la institución.

Diseñar e implementar el sistema de seguridad a través de sub redes para separar la red de la auditoría.

Implementar sistema de aire acondicionado en el cuarto de servidores, para la adecuada protección del centro de datos.

Aumentar el espacio de almacenamiento en los servidores en concordancia las necesidades de crecimiento proyectadas.

Aumentar los niveles de seguridad y continuidad de los servidores a través de la implementación de arreglos en disco con metodología RAID 5 (“REDUNDANT ARRAY INDEPENDENT DISK”).

Plataforma tecnológica (Hardware)

A nivel de equipo de trabajo se vislumbran los siguientes elementos estratégicos para aumentar el nivel de eficiencia en la labor de la auditoria interna con apoyo de las TIC’s:

Fortalecer la infraestructura tecnológica en términos de capacidad, disponibilidad, eficiencia, y actualización a nivel de equipos de trabajo.



Página 12 de 30

Proveer a la auditoria de una UPS general para todos los equipos de trabajo de los auditores, y así aumentar la continuidad de las operaciones. Lo anterior debido al grado de deterioro de las UPS individuales y el pobre rendimiento obtenido.

Proveer a la Auditoría de equipos móviles de apoyo: PC Tablet ó Portátiles que apoyen al auditor en la labor de campo, tanto para el caso de estudios que estén fuera de la Sede Central como dentro de ésta.

Mantener la política de actualización del equipo de cómputo cada 3 años.

Evaluar anualmente los avances en TIC’s que puedan coadyuvar en la labor de fiscalización.

Recurso Humano De acuerdo al más reciente diagnóstico realizado por el encargado del PFTIC en coordinación con la DAI para determinar requerimientos de apoyo tecnológico, se definió la necesidad de contar con un Administrador del Recurso Informático (ARI). Además, la Dirección ha solicitado capacitación en materia informática para el resto del personal auditor de la AI y así proveer una capacitación integral de los diferentes procesos institucionales, de acuerdo la creciente modernización e implementación de TIC’s en las diferentes áreas a ser sujetas de fiscalización. Sistema de Información SIA A la fecha se ha detectado y definido una importante serie de procedimientos de mejora en los módulos del SIFI, que van a requerir semanas de programación por parte del personal del PFTIC.

Se ha determinado que aunque se han realizado esfuerzos importantes en materia de la documentación interna del SIA y de su código, es necesario establecer una metodología que permita estandarizar las diferentes fases del proceso de este nuevo desarrollo, a fin de facilitar su posterior mantenimiento y soporte, así como la activación de un comité conformado por las jefaturas de la Auditoría que permita sugerir, aprobar y conocer las actualizaciones detectadas para el mejoramiento del SIA.



Página 13 de 30

Así se ha identificado la debilidad de la no disponibilidad en web del SIA por lo que la incorporación de tecnologías de comunicación inalámbrica y equipos móviles de computación de alto desempeño, combinado con la disponibilidad vía WEB del SIA representa una oportunidad de mejora en cuanto a portabilidad y utilización del recurso. Procesos por Automatizar 1. Implementación Sistema de Control de Correspondencia recibida: Se

trata de un repositorio de archivos (oficios) que permite administrar toda la documentación recibida por la Auditoría Interna. Con su automatización, se podrá obtener información en línea sobre la correspondencia en mención, con lo cual se disminuirá la cantidad de fotocopias requeridas hoy día, en virtud de que los documentos estarán disponibles de manera electrónica para el usuario, además de facilitar las labores de búsqueda y selección de documentos.

2. Implementación Sistema de Creación de Cubos de Datos para

consulta: Extracciones de datos con la tecnología de “cubos de datos” para generación de información, con el objetivo principal de administrar consultas utilizadas para la extracción de datos de las bases de datos institucionales, de forma tal que los auditores puedan hacer uso de ellas, en el formato que requieran, de una manera flexible, ágil y confiable, logrando con ello disminuir los tiempos y los recursos humanos invertidos en dichos procesos de extracción. Además, se evita que personal informático de la auditoría participe en los procesos citados.

3. Página Web de la Auditoría Interna: Aunque se cuenta con una intranet

institucional, la página de la Auditoria está en desuso y exhibe un total nivel de desactualización, dado que no ha sido objeto de mantenimiento periódico, lo que impide la posibilidad de coadyuvar en la labor de los usuarios internos del SIA y en general de los funcionarios del INA que requieran información sobre aspectos relevantes de su quehacer.



Página 14 de 30

La posibilidad de prestar servicios de auditoría por esta vía, como la consulta de informes, recomendaciones pendientes, en proceso o cumplidas por parte de las unidades organizacionales, acceso a la normativa vigente, información sobre los funcionarios de la AI, y otros servicios que el usuario interno y externo pueda requerir, como el servicio de Atención de Denuncias, el que permitirá al interesado ingresar los datos relacionados a denuncias por medio de intranet del INA, representan ventajas estratégicas para facilitar la labor de la unidad de auditoría.

4. Control de préstamo de documentos: Dada la importancia de la

documentación existente en la Auditoría Interna, es fundamental contar con el control respectivo, que permita identificar la ubicación de tal documentación, la fecha, hora y usuario solicitante; así como, registrar tales datos al momento de su devolución; lo anterior, con el fin de contar con la trazabilidad mínima aceptable requerida para estos casos.

5. Evaluación de riesgos: Debido a que el proceso de valoración de riesgos requiere de un amplio y complejo manejo de datos para su ejecución, se considera fundamental el diseño de un sistema de información para la administración de los datos relacionados con la evaluación de los riesgos, como herramienta principal para determinar el orden de prioridades en la definición de los estudios a realizar por la Auditoría Interna en un período dado.

3.4 Proyectos generados de la visión estratégica A continuación se listan sucintamente los proyectos obtenidos a partir de la visión estratégica de la Auditoría Interna en materia de TIC’s: Implementación Sistema de Control de Correspondencia. Implementación Sistema de creación de cubos de Información para

extracción de datos.

Implementación Cableado Estructurado.

Diseño e Implementación del Sistema de Seguridad a través de sub redes.



Página 15 de 30

Implementación del Sistema de Aire Acondicionado en el cuarto de

Servidores. Modernizar el SIA para hacerlo accesible por medio de la WEB.

Implementación de un nuevo sitio Web de la Auditoría Interna.

Implementación de Arreglos de Discos para aumentar la disponibilidad de las

Bases de Datos de la AI.

Implementación de una UPS centralizada.

Cambio de las PC de trabajo de la auditoría por equipos de PCs All in one.

Certificación CISA para todo el personal del PFTIC.

Servidor propio de Exchange. 3.5 Cronograma de implantación del PETIC Año 2011 Concluir con la implementación de la nueva versión del SIA. Adquirir los sistemas de enfriamiento del Centro de Cómputo. Implementación de la Página WEB de la AI. Actualizar el parque estaciones de trabajo para cada auditor Instalación de los puertos adicionales para la conexión a la red institucional Rediseñar e implementar la seguridad de acceso a las bases de datos de la

AI. Adquirir el nuevo parque de estaciones de trabajo. Adquirir equipos de apoyo (scanner, video proyectores, portátiles, licencias de

software: ACL, Adobe, Antivirus, fotocopiadoras, etc.) Implementar un modelo redundante de almacenamiento. Certificación CISA de un auditor del PFTIC. Dotación de nuevas UPS a las estaciones de trabajo que así lo requieran.



Página 16 de 30

Año 2012 Alinear los riesgos del Universo Auditable de las áreas: Sustantiva, Adjetiva y

TIC’s. Implementación de la Auditoria Digital. Implementación del SIA a través de la WEB. Capacitación continua del personal de la Auditoría Interna en materia de

TIC´s. Análisis de Brecha entre el PETIC de la AI y de la GTIC. Actualizar la página web Revisar el procedimiento “Procesamiento de la Información” Certificación CISA de un auditor del PFTIC. Año 2013

Certificación ISO 9000/2008 a los procedimientos del SIA. Capacitación del personal de la Auditoría Interna en materia de TI. Desarrollar los proyectos de software según la prioridad asignada. Programar la sustitución de los equipos de infraestructura que así lo

requieran.

Certificación CISA de un auditor del PFTIC.

3.6 Costos del Plan

El cuadro siguiente resume los costos estimados del plan y su distribución por año, según el cronograma anterior.

2011 Cantidad Monto en $

2011 Concluir con la implementación de la nueva versión del SIA.

1 N/D

2011 Adquirir los sistemas de enfriamiento del Centro de Cómputo.

1 5,000

2011 Implementación de la Pagina WEB de la AI. 1 1,500

2011 Actualizar el parque estaciones de trabajo para cada auditor

27 27,000

2011 Instalación de los puertos adicionales para la conexión a la red institucional

1 2,000



Página 17 de 30

2011 Rediseñar e implementar la seguridad de acceso a las bases de datos de la AI.

1 8,500

2011 Desarrollar el sistema de seguimiento de recomendaciones

1 N/D

2011 Adquirir los equipos de apoyo necesarios como nuevos scanners y video proyectores.

3 3,000

2011 Implementar un modelo redundante de almacenamiento.

1 4,500

2011 Certificación CISA de un auditor del PFTIC. 2 2,600

2011 Dotación de UPS central para el parque de estaciones de trabajo.

1

1,500


2012 Alinear los riesgos del Universo Auditable de las áreas: Sustantiva, Adjetiva y TIC’s.

1 N/D

2012 Implementación de la Auditoria Digital. 1 2,000

2012 Implementación del SIA a través de la WEB. 1 4,000

2012 Capacitación continua del personal de la Auditoría Interna en materia de TIC´s.

1 3,000

2012 Análisis de Brecha entre el PETIC de la AI y de la GTIC.

1 N/D

2012 Actualizar la página web 1 N/D

2012 Revisar el procedimiento “Procesamiento de la Información”

1 N/D



2013 Certificación ISO 9000/2008 a los procedimientos del SIA.

1 3,000

2013 Capacitación del personal de la Auditoría Interna en materia de TI.

1 2,000

2013 Desarrollar los proyectos de software según la prioridad asignada.

1 N/D

2013 Programar la sustitución de los equipos de infraestructura que así lo requieran.

1 N/D


TOTAL INVERSIÓN 1 72,200$

3.7 Seguimiento y Actualización del PETIC Un Plan Estratégico Informático, como cualquier otro plan de la misma naturaleza debe ser dinámico y adaptable, en función del desarrollo del estado del arte en tecnología aplicable al medio y las necesidades de la Auditoría Interna de INA, por lo que su control y administración debe considerar esta realidad constantemente.



Página 18 de 30

Este Plan puede ser modificado y ajustado a partir de nuevas normativas que deba acatar la Auditoría Interna en los próximos meses y años. Lo esencial es la forma de administrar e implementar los ajustes y cambios en forma oportuna. Para ello se recomienda que el PETIC sea revisado al menos una vez al año o sea actualizado cuando así lo disponga la DAI, para incluir nuevos proyectos necesarios en los procesos de fiscalización superior o producto del desarrollo de innovaciones tecnológicas que puedan fortalecer la gestión de la auditoría interna. Para una mayor especificidad en cuanto a un adecuado seguimiento a este plan, a continuación se realiza una enumeración de los resultados esperados de la estrategia, y se plantean los respectivos indicadores para su evaluación:

Fortalecimiento de la imagen de la auditoría a través de la comunicación

dirigida a los diferentes usuarios de los productos informáticos de fiscalización. Se refiere tanto a la imagen interna como externa. Se basa tanto en la divulgación y consolidación de la identidad de la unidad organizacional, como de una comunicación eficiente de sus productos de fiscalización hacia lo externo.

Fortalecimiento de la comunicación interna orientada hacia el logro de los objetivos de gestión de la AI. Aunque este resultado esperado abarca más allá de la gestión en tecnologías de información y comunicación, en el marco del PETIC se comprende como la contribución de las TIC’s para apoyar y alinear el desempeño de la AI hacia el logro de los objetivos institucionales.

Indicador de gestión: Grado de alineamiento. Se mide por medio de encuesta a los auditores usuarios de los sistemas de información del PFTIC, durante las cuales el evaluador aplica una lista de chequeo para determinar, a partir de sus resultados, la contribución del SIA al logro de objetivos estratégicos.

Disponibilidad tecnológica para la atención oportuna de las necesidades de información interna y externa. Se refiere a la agilidad y la flexibilidad de las herramientas tecnológicas para la atención de necesidades puntuales de información y comunicación. Indicador de gestión Percepción del usuario interno: Encuesta electrónica anual. Coordinará la DAI.



Página 19 de 30

Reducción progresiva de tiempos y costos de los procesos de fiscalización por medio del uso del SIA. Se refiere a que mediante la mejora continua de los SIC, se produzca disminución del tiempo y costo de los procesos de fiscalización de la AI.

Indicadores de Gestión: Eficiencia: Comparación de la relación productos/costo total de horas persona para períodos definidos, medido por la proporción de disminución de costos en procesos específicos, atribuido al uso de aplicaciones tecnológicas.

La evaluación del comportamiento de los indicadores anteriormente enunciados la realizará PFTIC / DAI a partir de este año 2011.

4. Conclusión El proceso de planificación estratégica de TIC’s de la auditoría interna, se desarrolló tomando como base lo establecido en las Normas Técnicas de Control Interno para la Gestión y Control de Tecnologías de Información, emitidas por la Contraloría General de la República; así como, el Plan Estratégico de la Auditoría Interna y el institucional.

Para el desarrollo del PETIC se siguieron las siguientes etapas generales: Preparación preliminar del proceso, que incluyó la revisión de un borrador de

este Plan Estratégico realizado por el personal del PFTIC.

Ejecución de un proceso de análisis situacional e integración de nuevos componentes tecnológicos.

Planteamiento de una situación deseada a mediano plazo. (Metas)

Identificación y definición de las líneas de acción estratégicas, sobre la base de los resultados esperados de la estrategia general de la Dirección de Auditoría Interna y su alineamiento con la situación deseada.

Integración del Plan y sus componentes de gestión.



Página 20 de 30

La ejecución y resultados de este plan estratégico dependen de un conjunto de factores críticos de éxito, tales como:

Potencial humano. Es necesario contar con un potencial humano con vasto conocimiento y experiencia en materia de tecnología. Lo anterior en función de un perfil de competencias claramente definido para cumplir con esta meta.

Riesgos Relacionados con el PETIC. El proceso de planificación estratégica de las TIC’s enfrenta riesgos que requieren medidas de administración para aprovechar las probables oportunidades y mitigar las potenciales consecuencias negativas. El proceso del PETIC y su cumplimiento están expuestos a riesgos tanto externos como internos a la organización, tales como los siguientes:

EXTERNOS: Contenido presupuestario y la gran tramitología que

impera en la Institución.

INTERNOS: Alineación del PEI con el PETIC / PFTIC, actualización del SIA y crecimiento y actualización de su plataforma tecnológica.

5. Responsables del estudio Este plan estratégico trianual fue realizado por las personas funcionarias de esta Auditoría Interna, Didier Chavarría Chaves, Ana Mirlen Gómez Morera y Luis Humberto Villalobos Oviedo, en coordinación con el señor Roberto Alfaro Bolaños, Encargado del Proceso de Fiscalización de Tecnologías de la Información y Comunicación.



Página 21 de 30

6. Anexos 6.1 Anexo #1: Actualización Universo Fiscalizable PFTIC

Cuadro #2

Actualización del Universo Fiscalizable del Proceso de Fiscalización de Tecnologías de Información y Comunicación

UNIVERSO FISCALIZABLE DEL PFTIC (VIGENTE)

(PROPUESTA) UNIVERSO FISCALIZABLE DEL PFTIC

PTI-01-USIT-01- Marco estratégico de TI PTI-01-GTIC-01- Marco estratégico de TI

PTI-01-USIT-02-Gestión de la calidad PTI-01-CGI-01-01- Marco estratégico de TI

PTI-01-USIT-03-Gestión de riesgos PTI-01-GTIC-02-Gestión de la calidad

PTI-01-USIT-04- Gestión de la seguridad de la información

PTI-01-CGI-02-01-Gestión de la calidad

PTI-01-USIT-04-01-Implementación de un marco de seguridad de la información

PTI-01-GTIC-03-Gestión de riesgos

PTI-01-USIT-04-02-Compromiso del personal con la seguridad de la información

PTI-01-USIT-03-01-Gestión de riesgos

PTI-01-USIT-04-03- seguridad física y ambiental

PTI-01-USEVI-03-02-Gestión de riesgos

PTI-01-USIT-04-04-seguridad en las operaciones y comunicaciones

PTI-01-USST-03-03-Gestión de riesgos

PTI-01-USIT-04-05-Control de acceso PTI-01-UAP-03-04-Gestión de riesgos

PTI-01-USIT-04-06-Seguridad en la implementación y mantenimiento de SW e infraestructura tánica

PTI-01-GTIC-04- Gestión de la seguridad de la información

PTI-01-USIT-04-07-Continuidad de los servicios de TI

PTI-01-GTIC-04-01-Implementación de un marco de seguridad de la información

PTI-01-USIT-05-Gestión de proyectos PTI-01-GTIC-04-02-Compromiso del personal con la seguridad de la información

PTI-01-USIT-06-Desiciones sobre asuntos estratégicos de TI

PTI-01-GTIC-04-03- seguridad física y ambiental

PTI-01-USIT-07-Cumplimiento de obligaciones relacionadas con la gestión de TI

PTI-01-USIT-04-03-01 seguridad física y ambiental

PTI-02-USIT-01-Planificación de las tecnologías de información

PTI-01-UAP-04-03-02-seguridad física y ambiental

PTI-02-USIT-02-Modelo de arquitectura de la información

PTI-01-USST-04-03-03-seguridad física y ambiental



Página 22 de 30



PTI-02-USIT-03-Infrestructura tecnológica PTI-01-USEVI-04-03-04-seguridad física y ambiental

PTI-02-USIT-04-independencia y recurso humano de la función de TI

PTI-01-UR-04-03-05-seguridad física y ambiental

PTI-02-USIT-05-Administración de recursos financieros

PTI-01-NU-04-03-06-seguridad física y ambiental

PTI-03-USIT-01-Consideraciones generales de la implementación de TI

PTI-01-GTIC-04-04-seguridad en las operaciones y comunicaciones

PTI-03-USIT-02-Implementación de software

PTI-01-GTIC-04-05-Control de acceso

PTI-03-USIT-03-Implementación de infraestructura tecnológica

PTI-01-GTIC-04-06-Seguridad en la implementación y mantenimiento de SW e infraestructura técnica

PTI-03-USIT-04-Contratación de terceros implementación y mantenimiento de software e infraestructura

PTI-01-USIT-04-07-Continuidad de los servicios de TI

PTI-04-USIT-01-Definición y administración de acuerdos de servicio

PTI-01-USST-04-08-Continuidad de los servicios de TI

PTI-04-USIT-02-Administración y operación de la plataforma de servicios

PTI-01-USEVI-04-09-Continuidad de los servicios de TI

PTI-04-USIT-02-01-internet PTI-01-UAP-05-Gestión de proyectos

PTI-04-USIT-02-02-Firewall PTI-01-GTIC-06-Desiciones sobre asuntos estratégicos de TI

PTI-04-USIT-02-03-Correo electrónico PTI-01-CGI-06-01-Desiciones sobre asuntos estratégicos de TI

PTI-04-USIT-02-04-Red LAN PTI-01-GTIC-07-Cumplimiento de obligaciones relacionadas con la gestión de TI

PTI-04-USIT-02-05-Red Wan PTI-02-GTIC-01-Planificación de las tecnologías de información

PTI-04-USIT-02-06-Antivirus PTI-02-CGI-01-01-Planificación de las tecnologías de información

PTI-04-USIT-02-07-Sistema administrador de base de datos

PTI-02-GTIC-02-Modelo de arquitectura de la información

PTI-04-USIT-03-Administración de los datos PTI-02-CGI-02-01-Modelo de arquitectura de la información

PTI-04-USIT-04-Atención de requerimientos de los usuarios de TI

PTI-02-GTIC-03-Infrestructura tecnológica

PTI-04-USIT-05-Manejo de incidentes PTI-02-CGI-03-01-Infrestructura tecnológica

PTI-04-USIT-06-Administración se servicios prestados por terceros

PTI-02-GTIC-04-Independencia y recurso humano de la función de TI

PTI-05-USIT-01-Seguimiento de los procesos de TI

PTI-02-GTIC-05-Administración de recursos financieros



Página 23 de 30



PTI-05-USIT-02-Seguimiento y evaluación del control interno de TI

PTI-02-USIT-05-01-Administración de recursos financieros

PTI-05-USIT-03-Planificación de la Auditoría Interna

PTI-02-USST-05-02-Administración de recursos financieros

PTI-02-UAP-05-03-Administración de recursos financieros

PTI-02-USEVI-05-04-Administración de recursos financieros

PTI-03-USIT-01-Consideraciones generales de la implementación de TI

PTI-03-USIT-02-Implementación de software

PTI-03-GTIC-03-Implementación de infraestructura tecnológica

PTI-03-CGI-03-01-Implementación de infraestructura tecnológica

PTI-03-USIT-04-Contratación de terceros implementación y mantenimiento de software e infraestructura

PTI-04-USIT-01-Definición y administración de acuerdos de servicio

PTI-04-USIT-02-Administración y operación de la plataforma de servicios

PTI-04-USIT-02-07-Sistema administrador de base de datos

PTI-04-USIT-03-Administración de los datos

PTI-04-GTIC-04-Atención a las solicitudes de servicios y soporte a los usuarios de TI

PTI-04-USIT-04-01-Atención a las solicitudes de servicios y soporte a los usuarios de TI

PTI-04-USST-04-02-Atención a las solicitudes de servicios y soporte a los usuarios de TI



Página 24 de 30

6.2 Anexo #2: Sistema Integrado de Auditoría (SIA) La Auditoría Interna cuenta con su propio Sistema Integrado de Información, el cual apoya en gran medida el desarrollo de su labor y ha sido desarrollado y programado bajo la normativa del Manual de Normas Generales de Auditoría para el Sector Público (M-2-2006-CO-DFOE) y en específico congruente con los siguientes apartados: 201. Administración de la auditoría. 202. Etapas del proceso de auditoría. 203. Planificación de la auditoría. 204. Examen. 205. Comunicación de resultados. 206. Seguimiento de disposiciones o recomendaciones. 207. Evidencia de auditoría. 208. Documentación de la auditoría. 209. Archivo permanente. 210. Calidad en la auditoría. Módulo Plan Anual de Trabajo: Este permite incluir y generar los estudios a realizarse en el Plan Anual de Trabajo de la Auditoría Interna del año siguiente, con la ventaja que se emite en forma automática el reporte tal y como lo solicita el Ente Contralor y esto en cumplimiento de las normas 2.2.2 y 2.2.3 de las Normas para el Ejercicio de la Auditoría Interna en el Sector Público.

Esta información es tomada de insumo posteriormente para la asignación de los estudios, con el fin de ejecutar lo planificado en el Plan Anual de Trabajo, haciendo el proceso más eficiente y unificado de tal manera que se estandariza la forma de trabajo en la Auditoría. Módulo Fase de Planificación: Permite la gestión de la planificación del trabajo de auditoría a llevar a cabo, en cumplimiento de la norma 2.7 del Manual de Normas para el ejercicio de la Auditoría Interna en el Sector Público y de los puntos solicitados en la norma 203 del Manual de Normas Generales de Auditoría para el Sector Público.



Página 25 de 30

Entre los puntos que considera el sistema automatizado, están los siguientes aspectos, los cuales se respaldan en las normas 203.03 a 203.07: Plan Preliminar:

Comprensión de la actividad Comprensión del sistema de control interno Los resultados de la valoración de riesgo institucional Los objetivos planeados en el estudio de auditoría por realizar El Plan General:

Objetivos de la auditoría Naturaleza, alcance, oportunidad y plazo de los procedimientos

Elementos de coordinación, dirección, supervisión y revisión de requeridos Recursos para el desarrollo del trabajo El Programa de trabajo:

Objetivos Alcance Tiempos establecidos Naturaleza, oportunidad y alcance de los procedimientos de auditoría

requeridos para implementar el plan general de auditoría Módulo Fase de Examen: Este módulo permite la gestión de la fase de examen de cada estudio de auditoría, en cumplimiento de la norma 204, 204.01 y 204.02, del Manual de Normas Generales de Auditoría para el Sector Público, y de la norma 2.8 de las Normas para el ejercicio de la Auditoría Interna en el Sector Público.



Página 26 de 30

Además, este módulo permite al auditor encargado del estudio ingresar los hallazgos de auditoría con una guía de sus atributos de criterio, condición, causa y efecto. Asimismo, permite anexar en forma digital las evidencias y las cédulas de trabajo, en cumplimiento de los procedimientos de auditoría establecidos en el programa de trabajo, tal como lo solicita las normas 207 y 208. Con lo anterior, se logra centralizar la documentación del estudio disminuyendo el consumo en recursos de papel, impresoras y la generación de múltiples versiones de un mismo documento impreso producto de las revisiones llevadas a cabo por cada jefatura permitiendo que esta sea llevada de una manera más ágil y oportuna. Otra fortaleza que se tiene es que los auditores involucrados en el mismo estudio pueden acceder la misma información en tiempo real y permitir una real distribución del trabajo, favoreciendo el trabajo en equipo. Una última ventaja de este módulo, es que estandariza el trabajo de auditoría, al guiar al auditor en los elementos que debe documentar para ser utilizados en la fase de comunicación. Módulo Fase de Comunicación: Con esta característica el sistema estandariza la generación del informe final de control interno, producto del estudio de auditoría llevado a cabo, asimismo el acta de conferencia final y el resumen ejecutivo, en cumplimiento de las normas 205.01, 205.04, 205.06 y 205.07 del Manual de Normas Generales de Auditoría para el Sector Público y de la norma 2.10 de las Normas para el ejercicio de la Auditoría Interna en el Sector Público.

También existe un apartado en el sistema automatizado que permite incluir y general el informe de relación de hechos cuando los resultados lo ameritan.

Asimismo, permite crear opciones para incluir la documentación de archivo permanente y de supervisión, en cumplimiento de las normas 209 y 210, inciso e) del Manual de Normas Generales de Auditoría para el Sector Público y de la norma 2.9 de las Normas para el ejercicio de la Auditoría Interna en el Sector Público.



Página 27 de 30

Módulo Fase de Seguimiento: Cumpliendo con lo estipulado en la norma 206 del Manual de Normas Generales de Auditoría para el Sector Público y la norma 2.11 de las Normas para el ejercicio de la Auditoría Interna en el Sector Público.

El sistema permite gestión del seguimiento de las recomendaciones emitidas por la Auditoría Interna y disposiciones emanadas de la Contraloría General de la República, Autoridad Presupuestaria y otros entes externos. Para ello este módulo, mensualmente emite recordatorio a las unidades auditadas de sus recomendaciones pendientes de cumplimiento y que están próximas a vencer. Al auditor encargado del seguimiento le permite documentar las acciones llevadas a cabo por los auditados para el cumplimiento de las recomendaciones, y respaldar digitalmente acciones en el seguimiento realizado. Módulo de Advertencias: Este permite cumplir con lo indicado en la norma 1.1.4 de las Normas para el ejercicio de la Auditoría Interna en el Sector Público. Modulo Control de Tiempo: Para cumplir con la norma 210 del Manual de Normas Generales de Auditoría para el Sector Público y la norma 2.2.4 de las Normas para el ejercicio de la Auditoría Interna en el Sector Público, se cuenta con el módulo de control de tiempo que permite registrar los tiempos diarios ejecutados en cada fase del proceso de auditoría, así como otros tiempos de actividades complementarias, como seguimiento, valoración de denuncias, permisos, incapacidades, vacaciones, entre otros. Esto permite generar informes para ejercer un control continuo de la ejecución del plan de trabajo anual, en procura de la debida medición de resultados, la detección oportuna de eventuales desviaciones y la adopción de las medidas correctivas pertinentes para la mejora continua.



Página 28 de 30

Módulo de Procedimientos e Instructivos de Trabajo: El sistema automatizado permite manejar las versiones de estos diferentes elementos para mantener actualizadas las metodologías de trabajo que se deben aplicar en los diferentes tipos de auditoría en cumplimiento de la norma 210.01 inciso a) del Manual de Normas Generales de Auditoría para el Sector Público y la norma 2.5 las Normas para el ejercicio de la Auditoría Interna en el Sector Público. Módulo de Legalización de libros: En lo referente al control de legalización de libros, este registro se encuentra automatizado permitiendo obtener información actualizada y ágil de esta labor de la auditoría interna mediante la Resolución R-DC-119-2009 del 16/12/2009, apartado 1.1.1 Servicios de la Auditoría Interna. Control de informes y oficios emitidos: Este módulo permite hacer búsquedas y contar con una base de datos actualizada de los productos generados por la auditoría interna referente a los oficios e informes emitidos. Módulo de Archivo Permanente: Para mantener un archivo permanente actualizado que contenga la información relevante sobre la institución, el sistema automatizado cuenta con el módulo en el que se gestiona digitalmente la normativa aplicable, permitiendo el control de la normativa vigente e histórica con sus respectivas fechas de aplicación. Lo anterior en cumplimiento de la norma 209.01 del Manual de Normas Generales de Auditoría para el Sector Público. Módulo de Capacitación: Como parte del proceso de mejoramiento de la calidad en los servicios prestados por la auditoría se cuenta con un presupuesto de capacitación, el cual es gestionado para una oportuna asignación de los recursos a través de un módulo en el sistema automatizado, lo anterior permite el cumplimiento de la norma 210.01 inciso b) del Manual de Normas Generales de Auditoría para el Sector Público.



Página 29 de 30

6.3 Anexo #3: Perfil referente a TICS Perfil del Auditor de TI Conforme a la plataforma tecnológica estandarizada del INA, y la normativa que rige el sector público costarricense se procede a definir un perfil para los Auditores de TI a fin de cumplir con dichos aspectos.

Áreas de conocimiento Justificación

COBIT

Por ser el estándar institucional para el desarrollo de sistemas y para las bases de datos.

ITIL

La USIT adoptó como estándar la metodología de administración de proyectos del PMI, por lo que resulta necesario tener conocimientos al respecto para poder ejercer la labor fiscalizadora de la Auditoría.

INFO COMUNICACIONES Plataforma de comunicación utilizada por el INA para dar soporte su infraestructura de red WAN. Telecomunicaciones (encriptación de datos, routers cisco, redes LAN, redes WAN, ISA Server, Exchange)

INFO SEGURIDAD Conocimiento de la infraestructura Tecnológica del INA en sus partes principales: procesamiento de los datos, almacenamiento masivo (SAN), respaldos y recuperación, Comunicaciones, contingencia

NORMATIVA DE AUDITORÍA EN TIC’s Actualización permanente en las diferentes normas internacionales relacionadas con las tecnologías de información: CGR, COBIT, ITIL, y Normativa conexa



Página 30 de 30

Perfil de los conocimientos en TI que deben tener los auditores En consecuencia, con las automatizaciones que se han realizado y las que se piensan realizar, los auditores son los usuarios primarios de la mayoría de los sistemas automatizados, por lo que se hace necesario establecer un perfil a fin de considerar aspectos relacionados con TI. De esta forma, se podrán detectar debilidades para ser subsanadas mediante capacitaciones y realizar con éxito la implementación de los procesos identificados, en mejora del servicio brindado por la Auditoría Interna.

Seguidamente se presenta una lista de los conocimientos que deberían tener los Auditores: Dominio profesional de Windows y paquetes de Office (Word, Excel,

PowerPoint y Outlook). Uso de scanner y documentos PDF.

Uso de PDA’s ó Tablet.

Conocimientos de ACL.

Domino del sistema SIA.

Dominio del uso de los SIC institucionales, a nivel de aplicación y extracción

de datos.

Conocimientos y uso de la firma digital.

Conocimientos y uso de Internet e Intranet.

Dominio del Manual de Normas Técnicas para la Gestión y Control de las TI.

Conocimientos en seguridad informática.

Cursos formales de COBIT, CISA y de ITIL, correspondientes a las últimas versiones existentes.

Tendencias en las tecnologías de información - ina.ac.cr Estrategicos/IN-DAI-03-2011_Plan... ·...

Documents

Transcript of Tendencias en las tecnologías de información - ina.ac.cr Estrategicos/IN-DAI-03-2011_Plan... ·...