Story Transcript
CONTRALORIA GENERAL DE LA REPUBLICA Contraloria Regional de Atacama
Informe Final Sobre Auditoria de Ambiente InformAtico Municipalidad de Copiapei
Fecha 04 Enero de 2012 N° Informe : 39/2011
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORÍA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
REMITE INFORME FINAL, SOBRE FISCALIZACIÓN EFECTUADA EN LA MUNICIPALIDAD DE COPIAPÓ, REGIÓN DE ATACAMA.-
EMP/kti -
COPIAPÓ, 04. 01.2012 0 0 0 0 3 5Se remite a esa entidad para su conocimiento y fines legales pertinentes, copia del Informe Final de Fiscalización sobre "Auditoría de ambiente informático" el cual ha sido debidamente aprobado por esta Jefatura. /-n
Finalmente, se informa que el presente Informe Final es público a partir de su entrega a esa Autoridad.
Saluda atentamente a Ud.,
e CRoon tdr ra go ro sRPubro
A
tacamaa
AL SEÑOR ALCALDE DE LA MUNICIPALIDAD DE COPIAPÓ - REGIÓN DE ATACAMA PR E S E N TE ( Vallejo N° 450 - Fono Fax 202000 - Copiapó
it
\ CONTRALORÍA GENERAL DE LA REPÚBLICA
.1?
CONTRALORÍA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
REMITE INFORME FINAL SOBRE FISCALIZACIÓN QUE INDICA.-
EMP/ktl.-
COPIAPÓ,
04. 012012 0 0 0
0 3 6-
El Contralor Regional (S) que suscribe, en cumplimiento a lo dispuesto en el artículo 55° de la Ley N° 18.695, Orgánica Constitucional de Municipalidades, cumple con remitir, para conocimiento del Concejo Municipal, copia del "Informe Final" Sobre "Auditoría de ambiente informático", contenida en el oficio N° 35 de fecha 04 de enero del año 2012. Finalmente, corresponde hacer presente que este Informe y sus antecedentes, deberán ser puestos en conocimiento de los Sres. Concejales, en la Sesión inmediatamente posterior a la fecha del presente documento, lo que deberá ser informado a este Organismo Superior de Control, en un plazo de tres (3) días hábiles, luego de ocurrida la mencionada comunicación. Transcríbase a la Sra. Encargada de Control de la Municipalidad de Copiapó. Saluda atentamente a Ud.,
lgo Peralta Morales
ntrelor Regional de Atacama
&erogante
AL SEÑOR SECRETARIO MUNICIPAL MUNICIPALIDAD DE COPIAPÓ REGIÓN DE ATACAMA PR E S E N TE
Val lejo N° 450 - Fono Fax 202000 - Copiapó
CONTRALORÍA GENERAL DE LA REPÚBLICA
CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
PREG 3006/2011
INFORME FINAL DE OBSERVACIONES N° 39 DE 2011, SOBRE AUDITORIA DE AMBIENTE INFORMÁTICO EN LA MUNICIPALIDAD DE COPIAPÓ.
COPIAPÓ, 0 4 ENE 2012 En cumplimiento del Plan Anual de Fiscalización de esta Contraloría Regional de Atacama para el año 2011, se efectuó una auditoría sobre el ambiente informático al área de gestión en la Municipalidad de Copiapó.
r.
Objetivo La auditoria tuvo por finalidad realizar una revisión del ambiente informático, para verificar la seguridad de la información utilizada por la entidad en términos de confidencialidad y disponibilidad de la información, conforme a la Norma Chilena de Seguridad N 2.777, la que fue declarada norma oficial de la República de Chile por resolución exenta N° 92, de 7 de marzo de 2003, del Ministerio de Economía, Fomento y Reconstrucción y reemplazada por la norma NCh ISO 27002, mediante la resolución exenta N° 1.535, de 27 de agosto de 2009, de la citada cartera ministerial.
Metodología
r
El examen se realizó de acuerdo con la metodología de auditoría de ambiente informático de este Organismo Superior de Control, el cual incluyó el análisis de procesos, pruebas selectivas de los registros y documentos, como asimismo la aplicación de otros medios técnicos en la medida que se estimaron necesarios. Esta auditoría utiliza algunos de los artículos de la normativa aplicable a las Tecnologías de Información y Comunicaciones, "TIC", de conformidad con lo dispuesto en los decretos supremos del Ministerio Secretaría General de la Presidencia, que a continuación se indican: N° 83/2004: Norma técnica para los órganos de la Administración del Estado, la cual lista las condiciones mínimas para tener seguridad y confidencialidad en los documentos electrónicos. N° 93/2006: Norma técnica, la cual señala requisitos mínimos para reducir la recepción de mensajes electrónicos masivos no deseados, en las casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios.
fu
1 5 DE 7 E,
AL SEÑOR RODRIGO PERALTA MORALES CONTRALOR REGIONAL DE ATACAMA (S) CONTRALORÍA GENERAL DE LA REPÚBLICA
PRESENTE PHA
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
Por otra parte, se define a lo que se entiende por los objetivos de confidencialidad y disponibilidad de la información, sujetos de esta revisión, los siguientes: Confidencialidad: medidas de protección de la información, para asegurar que ésta sea conocida sólo por quienes están autorizados para ello, es decir, quienes poseen los permisos y responsabilidades correspondientes. Disponibilidad: infraestructura tecnológica que asegure que los usuarios tengan un acceso adecuado de los sistemas y oportunidad en la entrega de información, esto es un tiempo de desfase apropiado en la entrega de información con respecto a las reglas de negocio. COBERTURA. La revisión incluyó a las siguientes áreas: Controles generales de tecnologías de la información, TI. Controles de bienes de TI Incidentes de seguridad. Plan de contingencia. Política de seguridad. Seguridad del personal. Control de Cambios Seguridad física. Seguridad organizacional. Recepción de mensajes no deseados. Licenciamiento de software Contratos vigentes. Antecedentes Generales. La municipalidad de Copiapó es una corporación autónoma de derecho público, con personalidad jurídica y patrimonio propio, que se relaciona con el Gobierno a través del Ministerio del Interior, cuya finalidad es satisfacer las necesidades de la comunidad local y asegurar el progreso social y cultural, a través de la coordinación, integración y control en la ejecución de iniciativas entre las instituciones públicas, privadas y sociales de la comuna y su entorno, incorporando el sentir de sus pobladores en la búsqueda de soluciones de desarrollo económico, social, cultural y ambiental sustentables. Los actos municipales son regulados por la ley No. 18.695, orgánica constitucional de municipalidades, cuyo texto refundido se encuentra fijado en el decreto con fuerza de ley N° 1, de 2006, del Ministerio Interior, teniendo como principales funciones privativas la confección del plan del regulador, promoción del desarrollo comunitario, disposiciones sobre transporte y construcción, aseo y ornato, educación y salud. De la fiscalización efectuada se emitió el preinforme de observaciones N° 39, de 2011, el cual fue puesto en conocimiento del Sr. Alcalde de la Municipalidad de Copiapó, mediante oficio N° 2831 de 2011, quien respondió a través de oficio ordinario N° 871, de 22 de diciembre de 2011, exponiéndose a continuación el alcance de la fiscalización, las observaciones, respuestas formuladas y las conclusiones respectivas.
2
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
DESCRIPCIÓN DEL ÁREA DE INFORMÁTICA. La Municipalidad de Copiapó, crea la Unidad de Informática, a través del decreto alcaldicio N° 2903, del 31 de diciembre de 2009, que modifica el reglamento interno municipal, la referida Unidad depende orgánicamente de la administración Municipal. La organización interna de la Unidad, es dirigida operacionalmente por el Encargado de Informática; bajo este cargo se han definido informalmente las áreas de Mantención, Redes y Comunicaciones y Soporte, las que permiten ejecutar el plan de trabajo y servicios que la Unidad de Informática proporciona a la Entidad Edilicia y a la comunidad. Sobre el particular, es preciso mencionar que la Unidad de Informática, cuenta con una dotación de tres funcionarios, uno de ellos pertenece a la planta cuya profesión es Contador y dos a honoraríos, a saber un Egresado en Ingeniería en Computación e Informática y un Secretario Ejecutivo. De acuerdo a la información proporcionada por la unidad, la entidad, mantiene los siguientes sistemas de información computacionales en explotación, tal como se muestra en el anexo N°1.
CONTROLES GENERALES DE TECNOLOGÍA DE LA INFORMACIÓN (TI). 1. Control de Bienes de Tecnología de la Información. Se constató que la entidad no ha dado cumplimiento a lo establecido en los artículos 13° y 37 letra c), del decreto supremo N° 83, de 2004, del Ministerio Secretaría General de la Presidencia, en relación a lo siguiente: No existe un registro consolidado a nivel municipal de los bienes de TI, generando una limitación al alcance de la presente fiscalización, toda vez que no fue posible determinar la cantidad total de computadores y periféricos que la entidad posee, por cuanto los registros contenidos en el sistema denominado activo fijo, que contiene el inventario municipal, no se encuentran actualizados. Sin perjuicio de ello, se seleccionaron doce bienes considerando el respaldo documental que presentaban, es decir N° de factura y comprobante de egreso, de lo cual se detectaron bienes sin identificación de placa o número de inventario y bienes que no fueron ubicados, tal como se indica en el anexo N°2. En relación a la presente observación, la autoridad del municipio señala que, los ingresos de los equipos computacionales eran registrados con un código distinto al establecido para estos efectos, situación por la cual se compromete a efectuar un plan de trabajo a contar de enero del año 2012, lo que conlleva realizar un nuevo catastro de todos los equipos computacionales existentes en el municipio.
kr"'
Sobre el sistema ya señalado, se observa que una vez distribuido el bien a una dirección, dependiente de la entidad municipal, esta última no informa a la Unidad de Bienes e Inventario el cambio de la física de los bienes, no quedando registro de las ubicaciones definitivas de Has especies.
6 Cr \te
3
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
En la respuesta se expone, que efectivamente la Unidad de bienes e Inventarios no cuenta con la información necesaria para detectar el traslado de equipos computacionales entre una dirección y otra, por lo que se ha instruido a la Unidad de Bodega Municipal recepcionar, registrar, inventariar y distribuir el bien a cada una de las unidades con su certificado de alta debidamente firmado, como asimismo se oficiará a cada una de las Direcciones con el objeto de que informen oportunamente el traslado de los bienes bajo su responsabilidad. c. Es preciso indicar que el sistema de Activo Fijo no entrega información detallada de los bienes, es decir, una individualización con la descripción técnica del bien que permita su identificación como por ejemplo el número de serie de la especie. Al respecto el Edil informa, que la Unidad de bienes e inventarios registra toda la información detallada del bien adquirido, tales como modelo, número de serie y otros, pero el software con el cual se cuenta para estos efectos no muestra detalladamente dicha información, por lo que se requerirá a la brevedad a la unidad de informática se contacte con el empresa CASCHILE, con el objeto de subsanar en el corto plazo la situación descrita.
/-`
Respecto de las observaciones formuladas en el presente numeral, este Organismo de Control ha dispuesto mantener en todos sus términos, mientras no se efectúen las acciones comprometidas por el edil.
2. Incidentes de Seguridad. En atención a la materia, sobre todo acto que atente contra la confidencialidad y disponibilidad de la información, se determinó que la municipalidad, no da cumplimiento a lo establecido en el articulo 37 letra d) del decreto supremo N° 83, de 2004, respecto de los siguientes aspectos: a. No existen instrucciones sobre la obligación de informar incidentes de seguridad, careciendo además de un procedimiento sobre el mismo, en el cual se establezca explícitamente, que el informe debe ser elaborado a la brevedad, tal como lo señala el numeral 13 de la Norma Chilena N° 27002. Además, no se han impartido instrucciones formales para la realización de monitoreo y almacenamiento estadístico de los incidentes ocurridos, sus características, frecuencia, tipo, costos asociados y procedimientos de contingencia efectuados. Al respecto la Autoridad informa que se solicitará por escrito a la unidad respectiva tomar las medidas necesarias tendientes a corregir la forma de proceder frente a los incidentes de seguridad, formalizando por escrito la obligación de informar todos los incidentes y a su vez implementar políticas, procedimientos y controles que permitan velar por la integridad, disponibilidad y confidencialidad de la información que mantiene el municipio. No existen antecedentes que den cuenta que los funcionarios que acceden a los sistemas, fueron informados y/o notificados, sobre la restricción de efectuar pruebas sobre cualquier deficiencia sospechosa en los sistemas, conforme lo establece la norma ya señalada. o L
4
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
En su oficio de respuesta, el Alcalde informa que será enviado formalmente por escrito a todas las direcciones la documentación necesaria que permita instruir en lo relacionado a materias concernientes a políticas de seguridad, a través de correo electrónico y/o charlas de inducción. En lo referido a Incidentes de Seguridad se procede a mantener lo observado mientras no se concrete lo comprometido por la autoridad edilicia.
3. Plan de Contingencia. La Municipalidad ha transgredido el artículo 35, del decreto supremo N° 83, de 2004, del Ministerio Secretaría General de la Presidencia, por cuanto, carece de un plan de contingencia debidamente formalizado y aprobado en lo que dice relación a: "El encargado de seguridad deberá formular un plan de contingencia para asegurar la continuidad de operaciones críticas para la institución." Adicionalmente, es dable indicar, que dicho documento debe ser oficial y debe incluir la coordinación con la policía, bomberos, autoridades directivas, entre otros, debiendo ser elaborado por el encargado de seguridad, cargo inexistente al momento de la presente visita. En su respuesta el municipio manifiesta, que se designará un responsable de la seguridad de la información, el cual deberá formular un plan de contingencia aplicado al departamento de informática, este deberá contemplar medidas técnicas, humanas y organizativas que permitan mantener operativo los servicios de misión critica de la municipalidad. Se constató que la entidad carece de instrucciones, que disponga el respaldo de la información de los computadores personales asignados a usuarios, por lo menos una vez al año, conforme lo establece el artículo 24 letra a) del decreto ya señalado. La entidad alcaldicia señala que dado el alto costo y recursos escasos no es posible realizar el respaldo de la información de todos los computadores asignados a los usuarios, por cuanto se realiza un respaldo cada vez que se realiza una mantención correctiva que involucre reinstalar el sistema operativo, sin perjuicio de ello, el edil informa que se evaluará la factibilidad económica para adquirir los dispositivos necesarios para llevar a cabo este proceso a lo menos una vez al año tal como lo dispone la normativa señalada. c. En relación con lo anterior, se detectó que los respaldos realizados a los sistemas de información, no se efectúan diariamente (de lunes a viernes) según lo descrito en las medidas organizativas señaladas por la Unidad de Informática, por cuanto se advirtió durante la presente fiscalización que los respaldos han sido efectuados los días 11, 14 y 16 del mes de noviembre de 2011.
CONTRALORIA GENERAL DE LA REPUBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
El Alcalde reconoce los hechos representados e informa que efectivamente estos respaldos no fueron realizados debido a la alta demanda de requerimientos que tiene la unidad y la escasa disponibilidad de tiempo y recurso humano, ademâs seriala que uno de los funcionarios de la unidad de informâtica se encontraba de vacaciones, situaciOn que fue corregida a partir del mes de diciembre. Cabe hacer presente que igual situaciOn se advierte sobre el sitio web institucional, por cuanto no existen respaldos durante los meses de enero, febrero, marzo, abril, agosto y octubre del ario 2011, hecho que vulnera el articulo 24 letra b) del decreto supremo N° 83, de 2004, del Ministerio Secretaria General de la Presidencia, en atención a que este senala que los respaldos no podrân ser menos a un respaldo mensual. En su oficio de respuesta el Alcalde indica, que existen respaldos de los meses de mayo, junio, julio, septiembre y noviembre, adernàs informa que el sitio web no necesita actualizaciones mensuales, producto de que no existe modificaciones de contenido que involucre necesariamente realizar respaldos en forma mensual. En relaciOn al proceso de almacenamiento de los respaldos de los sistemas, se advirtiO que estos se mantienen en un disco duro externo, el cual, durante la presente fiscalizaciOn, se encontraba conectado al computador en donde se realizan los respaldos, el cual se ubica en un lugar de fàcil acceso, sin seguridad y expuestos a pêrdidas o uso indebido de la informaci6n.
Sobre el particular, la autoridad indica que, se esta en proceso de adquirir discos para respaldo de mayor capacidad y seguridad, los cuales seràn instalados dentro de la sala de servidores limitando asi que estos se encuentren expuestos a perdidas o uso indebido de la informaciOn. f. Adernàs, se constatO que no se almacenan los respaldos de la informaci6n critica junto con los procedimientos para su restablecimiento en una instalaciOn emplazada fuera del edificio donde se encuentra la sala de servidores, segOn indicaciones senaladas en el numeral 10.5.1 de la Norma Chilena N° 27002. La Autoridad Comunal, informa que se están tomando medidas para corregir lo observado, a travês de la construcciOn de una bodega la cual sera ubicada fuera del edificio, junto a ello se está realizando el proceso para adquirir una caja fuerte para albergar de forma segura los respaldos.
6
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
En cuanto a las observaciones que dicen relación con el Plan de Contingencia, este Organismo de Control procede a mantener en todos sus términos, mientras no se concreten las medidas informadas por el edil sobre la materia.
4. Política de Seguridad. Se verificó que la entidad ha incurrido en incumplimientos a lo contemplado en el del decreto supremo N° 83, de 2004, del Ministerio Secretaria General de la Presidencia en cuanto a lo siguiente: No existe una política formal, que sea aprobada por el Alcalde de la Municipalidad, que se señale la seguridad del documento electrónico, mecanismos de difusión de contenidos al interior del organismo, que considere reevaluaciones periódicas, incluya consecuencias en caso de no cumplirla, que defina responsables de la generación de informes ante incidentes de seguridad, según lo establece los artículo 11 y 37 a) decreto supremo N° 83, de 2004 del Ministerio Secretaría General de la Presidencia y numeral 5° de la Norma Chilena de Seguridad N° 27002. La entidad alcaldicia responde señalando, que se instruirá a quién corresponda la tarea de generar las instancias que permitan elaborar una política formal respecto de la seguridad de la información, difundiendo su contenido, aplicación de sanciones respectivas, evaluaciones periódicas y la definición de un responsable de generar informes ante incidentes de seguridad. No se advierten instrucciones sobre la conveniencia de que los usuarios tengan cuentas de correo electrónico distintas para efectos de su uso personal, tal como lo indica el artículo 25 letra f) . del decreto supremo indicado precedentemente. Además, se constató que no existe procedimiento formal sobre el uso de casillas de correo electrónico institucional. El Alcalde expone que se impartirán instrucciones para informar formalmente el procedimiento sobre el uso de las casillas electrónicas. La Unidad de informática, no ha impartido instrucción sobre la prohibición de instalación de software no autorizados; lo cual pone en riesgo el equipo y la información contenida en él, vulnerando con ello, lo señalado en articulo 37 a) del decreto en comento. La Autoridad en su respuesta señala, que las instrucciones se han impartido en forma verbal, sin embargo se tomarán las medidas para corregir esta situación a través de un documento que dé cuenta sobre la prohibición de la instalación de software no autorizado No existen antecedentes que precisen las responsabilidades que les corresponden a los usuarios en caso de comprometer a la Institución enviando correos electrónicos difamatorios, uso para hostigamiento y acoso, compras no autorizadas, entre otros, conforme lo indica el artículo 25 letra i) del decreto supremo N°83.
7
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
En la respuesta se indica que se solicitará a la dirección de control junto a la unidad de informática, la responsabilidad de generar el documento que precise la responsabilidad que le corresponde al usuario en el uso de los servicios que se prestan a través de internet. e. No se promueven buenas prácticas para reducir el riesgo de acceso no autorizado a documentos electrónicos o sistemas informáticos, a modo de ejemplo una política pantalla limpia, tal como lo indica el artículo 31 decreto supremo N° 83, y numeral 11.3.3 de la Norma Chilena de Seguridad N° 27002. Sobre lo anterior, se responde que esta situación se ha planteado en forma verbal a algunos usuarios no en forma masiva, por lo que se tomarán las medidas para promover y/o difundir al interior del municipio las buenas prácticas en el uso de las TI. Respecto de lo observado en Políticas de Seguridad, se procede a mantener en todos sus términos por cuanto, si bien la entidad ha informado acciones sobre la materia, no se proporcionaron antecedentes que den cuenta de la acción comprometida
5. Seguridad del Personal. La Municipalidad de Copiapó, respecto a materias de seguridad del personal, no ha dado cumplimiento a lo señalado en los artículos 21, 37 letra d) y g), del decreto supremo N° 83, de 2004, del Ministerio Secretaría General de la Presidencia, en relación a lo siguiente: Los actos administrativos de nombramiento de recursos humanos y sus respectivos contratos de la Unidad de Informática, tanto en calidad de planta y contrata, no incluyen cláusulas que expliciten responsabilidades de seguridad sobre la información, uso de los sistemas informáticos, protección de los datos e información, conforme lo señala el artículo 21 del decreto supremo N° 83, de 2004, del Ministerio Secretaría General de la Presidencia. Respecto a lo expuesto precedentemente, el Alcalde indica que el departamento de recursos humanos, adoptará las medidas tendientes a corregir esta situación. Cabe hacer presente que el Encargado de la Unidad de Informática, Sr. Gilberto Rojas González se encuentra contratado a Honorarios, realizando labores habituales y permanentes en la entidad, lo cual resulta improcedentes en virtud de la jurisprudencia administrativa de este Organismo de Control, aplica dictamen N°47.792 de 2009. En su respuesta, la municipalidad señala, que se revisará la situación de acuerdo a lo indicado. c. En cuanto a los nombramientos y/o contrataciones, se constató que no se indica las responsabilidades de seguridad electrónica del personal, ni cláusulas que especifiquen sanciones, en caso que un funcionario intente un acceso no autorizado en los sistemas informáticos, conforme lo establece numeral 11.2.1 de la Norma Chilena de Seguridad N° 27002 respectivamente. 8
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
La Autoridad manifiesta que solicitará al departamento de recursos humanos la revisión de esta situación. d. Además, es dable señalar que los funcionarios de planta y honorarios que conforman la Unidad de Informática, no han firmado acuerdos de confidencialidad o de no divulgación, vulnerando con ello lo establecido en numeral 8.1.3 de la Norma Chilena de Seguridad N° 27002. El edil indica, departamento de recursos humanos revisar lo observado.
que
solicitará
al
En cuanto a Seguridad del Personal, se procede a mantener lo observado, toda vez que la entidad edilicia no hace más que confirmar los hechos descritos. Además, es preciso indicar que el oficio de respuesta por parte de la autoridad, no adjuntó antecedentes que den cuenta de las acciones informadas.
6. Control de Cambios. Sobre el particular, se constató que no existen políticas y procedimientos formales que regulen la administración de las versiones de los sistemas, lo cual vulnera el numeral 10.1.2 de la Norma Chilena de Seguridad N° 27002, en donde señala que se debieran considerar los controles siguientes: Identificación y registro de cambios significativos. Evaluación del impacto potencial de tales cambios. Procedimiento formal de aprobación de los cambios propuestos. Comunicación de los detalles de los cambios a todas las personas que sea pertinente. Procedimientos que identifiquen las responsabilidades para recuperar la condición inicial y abortar los cambios no exitosos. Sobre el particular, el edil manifiesta que se solicitará a la empresa formalizar los procedimientos a fin de regular la administración de las versiones. Al respecto, se mantiene el hecho descrito, mientras el municipio no informe fundadamente los procedimientos para regularizar la observación.
7. Seguridad Física. En la sala de Servidores de la Unidad de Informática, se detectó el incumplimiento de lo señalado en el decreto supremo N° 83, de 2004, del Ministerio Secretaría General de la Presidencia, en lo que dice relación con los siguientes aspectos: a. Los servidores de dominio, web, y aplicaciones, ubicados en la sala de servidores de la Unidad de Informática, no se encuentran conectados a un suministro ininterrumpido de energía eléctrica, U.P.S., en circunstancia que la municipalidad adquirió tales equipos y bancos de batería para la
9
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
sala de servidores el año 2009, según consta en la Orden de Compra N° 2948/2009, la cual se pago a la empresa Deira Computación y Servicios Ltda. a través de la factura electrónica N° 118369, de fecha 20 de noviembre del año 2009, por un monto de $4.379.912, los cuales a la fecha de la visita aún no se encontraban instalados, tal como lo indica el numeral 9.2.2 de la Norma Chilena de Seguridad N° 27002. La autoridad comunal expresa que se encuentra en proceso la instalación de la U.P.S. y bancos de baterías una vez que el servicio eléctrico contratado para tal efecto, termine la revisión e instalación de los circuitos e interruptores eléctricos. Sobre el particular, se mantiene la observación formulada, por cuanto la Autoridad Municipal no argumenta fundadamente la no utilización de los equipos señalados, por cuanto se procede a mantener en todos sus términos mientras no se constate la instalación de éstas. r
La sala no tiene un interruptor de energía eléctrica de emergencia cerca de la salida de la puerta de acceso, conforme lo establece la norma señalada precedentemente.
La autoridad informa que la instalación del interruptor está contemplado dentro del servicio eléctrico contratado, ante lo cual se procede a mantener en todos sus términos, por cuanto no se adjuntan antecedentes que den cuenta de la instalación del interruptor. No se han publicado instrucciones relativas al no consumo de alimentos, bebidas y tabaco en las cercanías de los sistemas informáticos, según lo estipulado en el articulo 18 del decreto supremo N° 83, de 2004. La entidad municipal informa que será instruido el personal para que publique información referente al consumo de alimentos. Sobre lo expuesto se procede a mantener lo observado, mientras no se efectúe las acciones informadas. El perímetro de seguridad físico de la sala de servidores no se encuentra claramente definido, ni restringido en forma adecuada para el acceso de personal no autorizado, según lo señalado en el numeral 9.1.1 de la Norma Chilena de Seguridad N° 27002. En cuanto a este punto, el municipio indica que se evaluará la factibilidad técnica y económica para mejorar el perímetro físico de la sala de servidores. En atención a que la entidad no informa de una medida fundada para regularizar lo objetado, por cuanto se ha resuelto mantener la presente observación. Carece de implementación de controles físicos de entrada al perímetro de dicha sala y no dispone de luces de emergencia vulnerando lo estipulado en el numeral 7.2.2 de la Norma Chilena ya indicada.
—
y
el municipio lo observado, Sobre responde, que se dispondrá de la adquisición de luces de emergencia una vez que esté disponible el presupuesto del año 2012; por cuanto se procede a mantener lo observado, toda vez no se ha aportan antecedentes suficientes para subsanar lo observado. 10
64"
CONTRALORIA GENERAL DE LA REPOBLICA
‘37 \:.?5 1n111
CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
No dispone de sistemas de detecciOn de intrusos que cubran todas las puertas y ventanas, como lo indica el numeral 7.1.3 de la Norma Chilena precedentemente. En su respuesta, el municipio indica que se evaluara la factibifidad tecnica y econOrnica de implementar una solucidn de detecciOn de intrusos, ante lo cual se procede a mantener lo observado, toda vez que no se adjuntan antecedentes sustentatorios de lo informado. No mantienen una bitacora donde se registren las reparaciones correctivas y preventivas realizadas a los equipos de la sala de servidores, segim lo estipulado en el numeral 7.2.4 de la Norma Chilena ya senala. En cuanto a esta observacidn, el municipio indicd que sera publicada la bitacora con las mantenciones preventivas y correctivas realizadas a los equipos de la sala de servidores, una vez que se corrijan los detalles que presenta la sala actualmente. En su oficio de respuesta, la autoridad no hace mas que confirmar lo descrito, por lo cual este Organismo de Control mantiene lo observado. h. En la sala de servidores y oficina de la Unidad de Informatica, se encuentran almacenados diversos equipos, toda vez que estas son utilizadas como bodegas, lo cual pone en riesgo el desplazamiento de los funcionarios y los mismos equipos. Oficina de Informatica
Sala de Servidores
El municipio manifiesta que la situaciOn sera corregida una vez que se haya instalado la bodega que actualmente esta en proceso de construccidn, por cuanto corresponde mantener la observacidn, mientras no se implemente la instalacidn de la bodega descrita.
8. Seguridad Organizacional. Al respecto, es preciso observar que no se ha dado cumplimiento a lo estipulado por los articulos 12 y 37 letra b) del decreto supremo N° 83, de 2004, del Ministerio Secretaria General de la Presidencia, en relacidn a los siguientes aspectos:
11
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
No se ha designado un encargado en materias relativas a seguridad de los documentos electrónicos, mediante un acto administrativo, en el que se consignen las siguientes responsabilidades: Desarrollo inicial de las políticas de seguridad al interior de la organización y el control de su implementación y velar por su correcta aplicación. Coordinar respuestas a incidentes computacionales. Establecer puntos de enlace con encargados de seguridad de otros organismos públicos y especialistas externos para estar en conocimiento de las tendencias, normas y métodos de seguridad pertinentes. No existe un comité de gestión de seguridad de la información que revise y monitoree los incidentes de seguridad de la información. El edil, en su oficio respuesta indica que se analizará en el mediano plazo la forma de implementar políticas claras relacionadas con la seguridad de los documentos electrónicos. En virtud de la respuesta proporcionada, se mantiene la observación hasta que se implementen las políticas comprometidas sobre documentos electrónicos.
9. Recepción de Mensajes Masivos no Solicitados. Cabe mencionar que la plataforma de correos electrónicos utilizada para estos fines es Outlook de Microsoft Office, el cual no se encuentra licenciado, de lo anterior, se aprecia el incumplimiento de los artículos 2°, 3° y 9° del decreto supremo N° 93, de 2006, del Ministerio Secretaría General de la Presidencia y que se individualizan a continuación: No se han desarrollado, documentado ni difundido políticas de uso, almacenamiento, acceso y distribución de mensajes electrónicos. En su oficio de respuesta, el Edil informa, que se encuentra en proceso de adquirir licencias de uso del cliente de correo Outl000k (Microsoft Office), además indica que solicitará un plan de trabajo que involucre desarrollar las políticas de uso, almacenamiento y distribución de mensajes electrónicos a través de un responsable que será el encargado de aplicar y controlar las políticas de mensajes electrónicos. Sobre lo expuesto, se reitera lo observado, en cuanto a la improcedencia de mantener software carente de licencia. De igual forma se mantiene lo observado en lo que dice relación a que no se encuentran definidas políticas de uso, almacenamiento, acceso y distribución de mensajes electrónicos, toda vez que la respuesta proporcionada carece de antecedentes capaces de desvirtuar lo indicado. No está implementada y adoptada una guía de protección de casillas ni se han individualizado públicamente a los responsables de la implementación, aplicación y control del mismo.
12
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORÍA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
Carece de un procedimiento oficial para dar de baja de manera inmediata las casillas de correos electrónicos de funcionarios desvinculados de la Institución, a modo de ejemplo los funcionarios Sra. Nery Vidal, fecha de retiro voluntario 31 de diciembre del año 2010 y Sr. Sergio Zarricueta Astorga, fecha de renuncia 1 de julio del año 2011. No implementación de existe procedimientos de rechazo de correos entrantes en la casilla de correo electrónico de un funcionario desvinculado. Las bases de datos que contienen los correos de los usuarios no son respaldadas por la Unidad de informática. Sobre los cuatro puntos precedentes, la Autoridad no proporcionó respuesta alguna, por cuanto se procede a mantener en todos sus términos lo observado, lo cual será validado en una próxima visita inspectiva. La totalidad de los funcionarios de la Municipalidad no tienen asignada una casilla de correo electrónica institucional, toda vez que, existen sólo 172 casillas de correos institucionales en uso, en circunstancias que existen 422 equipos en uso aproximadamente, según lo informado por el Encargado de Informática. En relación al párrafo anterior, se detectó la utilización de casillas de correos electrónicas particulares con fines institucionales, situación que puede afectar la confidencialidad de la información del municipio debido a que la administración de ellas pertenece a proveedores de correos externos, a modo de ejemplo gmail. El municipio señala en su oficio de respuesta, que las cuentas de correo de los usuarios exceden la capacidad que tiene el servidor para gestionarlas debido a que ha cumplido su vida útil, además indica que está en proceso de adquisición de una máquina que tenga las prestaciones necesarias para operar con todas las cuentas que tiene el municipio. En razón de lo expuesto, se mantiene la observación hasta que se concreten las medidas informadas para dar solución a lo descrito.
10. Licenciamiento de Software. En cuanto al software o aplicaciones informáticas, se detectaron las siguientes situaciones: La entidad no mantiene un registro certero de la cantidad de licencias originales de software que la municipalidad posee; ni de software no licenciado que se encuentra en uso, además de no poseer una política de adquisición de los mismos. No obstante lo indicado, y según lo informado por el encargado de la Unidad de Informática, existen doscientos veinte dos equipos computacionales en donde se encuentra instalado el software Microsoft Office no licenciado, vulnerando así lo estipulado en el artículo N° 20 y 22 del decreto supremo N° 83, de 2004 y artículo 19 de la ley N° 17.336, de Propiedad Intelectual.
13
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
En su respuesta, el edil informa que en lo que respecta a las letras a) y b), solamente se dispone de información de los equipos que han sido solicitados y se hacen entrega a través de la unidad de informática, en donde se configura y activa el sistema operativo, se instala y actualiza el antivirus corporativo. Sin perjuicio de ello, informa que se está evaluando la manera de asignar anualmente y en forma permanente recursos para adquirir licencias de uso de los programas que actualmente no tienen licencia como la Suite Microsoft Office, todo esto producto del alto costo que involucra su adquisición. En virtud de lo anterior, se procede a mantener la observación, toda vez que los argumentos expuestos por la entidad edilicia, no hacen más que confirmar lo descrito, por lo que se deberán adoptar las medidas correctivas necesarias para dar solución a lo observado. c. Sin perjuicio de lo ya indicado, se efectuó una revisión de 45 equipos computacionales, detectándose las siguientes observaciones:
Cuenta de inicio de sesión
Sistema Operativo
Antivirus Avira Regulación de internet, revisión de acceso a redes sociales
Cantidad
Hallazgos
Software/Otros
Equipos que disponen de cuenta de inicio de sesión Genérica (La cuenta es de conocimiento público)
14
Equipos que no disponen de cuenta de inicio de sesión
19
Equipos que tienen instalado sistema operativo Microsoft Windows sin licencia original
21
Equipos que no tienen instalado un antivirus
6
Equipos que tienen instalado antivirus no autorizados, 1. ESET NOD32, 2. Avast! Free Antivirus, 3- Viruscan y 4. Kapersky
13
Equipos en los cuales se puede acceder a redes sociales
El detalle
de las
30
observaciones se
muestra en el anexo N°3. referido Acerca del punto precedentemente, es pertinente señalar que la municipalidad no ha dado respuesta a las observaciones, razón por la cual se mantienen en todos sus términos, debiendo la Autoridad adoptar las medidas correctivas que las subsanen, lo que será controlado en futuras visitas de fiscalización que realice esta Contraloría Regional.
11. Contratos Vigentes. En cuanto a contratos relacionados con las tecnologías de la información, suscritos entre la entidad auditada con los proveedores, se puede identificar y observar lo siguiente:
14
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
11.1 La Municipalidad de Copiapó suscribió un contrato con la empresa CAS Chile S.A., el 4 de enero de 2010, para mantenimiento, actualización y licencia de uso temporal de programas computacionales, lo cual fue aprobado por Decreto Alcaldicio N° 731, del 16 de marzo del año 2010. En cuanto al decreto señalado cabe advertir que la cláusula II, establece que: "Desígnese como Unidad Técnica responsable de la adecuada y oportuna prestación de los servicios materia del contrato que se viene aprobando a la Unidad de Informática de éste Municipio dependiente de la Administración Municipal, la que deberá velar por el estricto cumplimiento de las obligaciones pactadas en la referida convención", en circunstancias que dicha labor no fue realizada en su totalidad por la referida Unidad, en : Capítulo IV "Actualización de algunos programas computacionales", que dice relación con actualización de los programas computacionales a una plataforma NET.: Tesorería, contabilidad, conciliación bancaria, permisos de circulación, órdenes de ingreso, permisos de edificación y adquisiciones, además del proceso de diagnóstico de las condiciones de funcionamiento de los restantes sistemas computacionales puestos a disposición del municipio, dentro de 180 días a contar de la firma del contrato. Capítulo V "Autorización y plazo para el uso de él o los códigos objeto o ejecutables de él o los programas computacionales", en cuanto a que el proveedor debió entregar los soportes magnéticos u ópticos de los programas y su descripción. c. Capítulo VIII "De las obligaciones genéricas" la empresa debió capacitar a usuarios municipales en las dependencias de Cas-Chile, cada vez que éste lo haya solicitado. Sin perjuicio de lo ya observado, el referido contrato no considera cláusulas sobre operaciones orientadas a: Controles para asegurar la protección contra software malicioso. Procedimientos para determinar si ha ocurrido algún compromiso en los datos municipales. Plan de contingencia para accesos indebidos, siniestros físicos y lógicos. Posibilidad de auditar módulos del sistema administrativo municipal y los datos. La Autoridad informa que en cuanto a lo observado en la letra b), existen soportes de los programas computacionales, los cuales se encuentran en el servidor de prueba, el cual contiene las últimas versiones publicadas de los sistemas. 11.2 La Entidad Municipal, suscribió un contrato con la Empresa Cas Chile, el 14 de febrero del año 2011, en el cual se suscriben servicios de "Provisión de servicios tecnológicos E-Com In House uso de servicios automatizados a través de la red internet", lo cual fue aprobado por Decretos Nos 145 del 17 de enero y 940 del 24 de marzo, ambos del año 2011. •
15
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
Sobre el particular, es dable observar que el referido contrato no considera cláusulas sobre operaciones orientadas a: Controles para asegurar la protección contra software malicioso. Procedimientos para determinar si ha ocurrido algún compromiso en los datos municipales. Plan de contingencia para accesos indebidos, siniestros físicos y lógicos. Posibilidad de auditar módulos del sistema administrativo municipal y los datos. 11.3 Sobre la materia, es preciso señalar que durante el transcurso de la presente fiscalización no se proporcionaron los antecedentes relacionados con los contratos de Telefonía e Internet y nuevo portal web municipal. En relación a las observaciones efectuadas sobre Contratos Vigentes, la municipalidad sólo efectuó alcances a lo descrito en la letra b) del numeral 11.1, sin perjuicio de ello, esta se mantiene, toda vez que la entidad no proporcionó los soportes magnéticos u ópticos de los programas y su descripción; por cuanto este Organismo de Control ha dispuesto mantener en todos sus términos las observaciones formuladas del presente acápite, debiendo la entidad efectuar las acciones respectivas a fin de dar cumplimiento con las normativas vigentes en materias de contratos, lo cual será validado en una próxima fiscalización.
CONCLUSIONES: Atendidas las consideraciones expuestas durante el desarrollo del presente trabajo, corresponde concluir que: En lo que respecta a Control de Bienes de Tecnología de la Información, Incidentes de Seguridad, Plan de Contingencia, Política de Seguridad, Seguridad del Personal, Control de Cambios, Seguridad Física, Seguridad Organizacional, Recepción de Mensajes Masivos no Solicitados, Licenciamiento de Software y Contratos Vigentes, este Organismo de Control ha resuelto mantener en todos sus términos lo observado, por cuanto la autoridad alcaldicia no proporcionó antecedentes sustentatorios capaces de desvirtuar cada una de las materias objetadas, por ello el municipio deberá adoptar las medidas correctivas y dar cumplimiento a las acciones comprometidas en su oficio de respuesta, a fin de ajustarse a las normativas vigentes que regulan la presente materia, lo cual será validado en futuras visitas que realice este Organismo Superior de Control. SALUDA ATENTAMENTE A UD.,
ANDA PEÑA,,,,,04 RAL ON ROL EXTERNO,(S) ‘, 1
CONTRALOR', :?) REGIONAL DF ATACAMA
16
85). ~.1 ;5
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
ANEXO N°1
Sistema
Descripción
Proveedor
Activo Fijo
Inventario Municipal
Empresa Cas Chile
Aseo
Cobro de aseo Domiciliario
Empresa Cas Chile
Bodega
Ingreso y salida de productos
Empresa Cas Chile
Conciliación
Registro de los Ingresos al banco
Empresa Cas Chile
Sistema contable
Empresa Cas Chile
Contabilidad
Convenios Generador de Exámenes Honorarios Juzgados 1 y 2 Licencia de conducir
Realización de Convenios de pago de las Deudas existente con el Municipio Permite generar los exámenes teóricos de conducir
Empresa Cas Chile
Control de los Funcionarios a Honorarios Empresa Cas Chile Control de multas emitidas por carabineros Control e ingresos de datos para los distinta clases de conducción
Oficina de Partes Aplicación Web recepción documentos Ordenes de Servicios Organizaciones Comunitarias Patentes Comerciales Patentes Comerciales In House Permiso de Circulación Permiso de Circulación In House
Empresa Cas Chile
Aplicación Web Generación y Aprobación de Ordenes de Servicios Aplicación Web ingreso y Mantención Organizaciones Ingreso para el cálculo de los patentes comerciales
Empresa Cas Chile Empresa Cas Chile Desarrollada Local Desarrollador Local Desarrollador Local Empresa Cas Chile
Patentes Comerciales que se pagan por Internet
Empresa Cas Chile
Pagos y registro de los permisos de circulación
Empresa Cas Chile
Pagos de los permisos de circulación por
17
Empresa Cas Chile
CONTRALORÍA GENERAL DE LA REPÚBLICA CONTRALORIA REGIONAL DE ATACAMA UNIDAD DE CONTROL EXTERNO
Sistema
Descripción
Proveedor
Permisos provisorios Personal Educación Personal municipal
ingresos para el cálculo de Patentes provisorios Control de las fichas para los funcionario del DAEM Control de las fichas para los funcionarios de planta y contrata Control de las fichas personales de los Personal Salud funcionario del Área Salud Controla la entrada y salida como Reloj Control también las horas extras Remuneraciones Emite las liquidaciones de los Educación funcionarios de planta y contrata Remuneraciones Emite las liquidaciones de los funcionarios de planta y contrata Municipal Remuneraciones Emite las liquidaciones de los funcionarios de planta y contrata Salud Sistema para enviar mensajes a los SMS Vecino teléfonos celulares Aplicación Web entrega y seguimiento Solicitud de beneficios entregados (Dirección de Beneficio Desarrollo Comunitario)
Empresa Cas Chile Empresa Cas Chile Empresa Cas Chile Empresa Cas Chile Empresa Cas Chile Empresa Cas Chile Empresa Cas Chile Empresa Cas Chile Empresa Cas Chile Desarrollador Local
Tesorería
Registro de los ingresos del municipio
Empresa Cas Chile
Ventanilla Única
Ingreso de los diferentes trámites que tienen enen relación con el municipio
Empresa Cas Chile
18
o a o o 11 oE 21z o 8
D
oá >
o GEL< z-
z
<
o
4O 2 O 2a 2 e
oC , g
W o Lu o° O < V) 01 tcl, CLW o o w
1o _J E > -I
z o o 1o 1 u Ew ccE ou
0
W
<
5 o7:¿ y a
o < M OM
w ni O< GE uU W1
n3 52 2
> 1
N
o
o
r
oW 2
6
oe W<
z
� W w o
2
2< 0--
E u
3
P G
L I
<
2
2
HD
, 1z z 2 u , z
N O
2
u
-
0
2 <
)
w
Y> cn
0a 9 oo eo E
1
8
O
o
E
oz> U O 2 w< wz ld OCC o E < E' --, E E< E
en W0. _J< O w In Z < u Z
c
00 W