DIRECCIÓN GENERAL DE AUDITORÍA INTERNA

INFORME PARCIAL Fecha: Junio 29 2015 Número:

INF-2015-05

Licenciada Cristina Ramírez Chavarría Ministra de Justicia

Estimada señora: Me permito someter a su estimable atención el Informe Parcial INF-2015-05, sobre los resultados del Estudio Especial del Licenciamiento del software adquirido por el Ministerio de Justicia y Paz, específicamente Procuraduría General de la República. Cabe señalar, que de conformidad con el Artículo 37 de la Ley General de Control Interno, Informes dirigidos al jerarca este deberá ordenar al titular subordinado que corresponda en un plazo improrrogable de treinta días hábiles, contados a partir de la fecha de recibido el informe la implantación de las recomendaciones. Si discrepa de tales recomendaciones dentro del plazo indicado, deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. Sin otro particular suscribe,

Licda. Ivette Rojas Ovares Auditora Interna

PSL/SSO/SMR/* ADJ: INF-2015-05


Lic. Carlos Alberto Rodríguez Pérez, Viceministro de Justicia




Master Marianella Granados Saavedra, Jefe de Informática




Licda. Ana Lorena Brenes, Procuradora General de la Re pública




Licda. Maribel Salazar Valverde, Directora de Desarrollo Institucional, Procuraduría General de la República

@

Lic. Pablo Siles Loaiza, Encargado del estudio

Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

INFORME PARCIAL Estudio: EE-EE-001-2015 Nombre del estudio: Estudio Especial del Licenciamiento del software adquirido por el Ministerio de Justicia y Paz Tipo: Programado Gerencia Auditoria: Auditoría Operativa Unidad Auditada: Procuraduría General de la República Fecha de inicio: 15-04-2015 Fecha de finalización: 15-06-2015 Encargado del estudio: Lic. Pablo Siles Loaiza Objetivo General: Determinar el cumplimiento de las disposiciones tendientes a la protección de los derechos de autor, relativos a los programas de cómputo. Objetivos Específicos: 1. Verificar los equipos existentes y los programas que tengan las computadoras. 2. Comprobar la fecha de instalación y versión de cada uno de los programas. 3. Determinar si la información recopilada sobre equipos y programas, se ajusta a los términos de licenciamiento. 4. Proveer al Núcleo de Informática de la Procuraduría General de la República la información pertinente para la presentación del Informe anual, ante el Registro de Derechos de Autor y Conexos Esta gestión se realizó de conformidad con la normativa aplicable al ejercicio de la auditoria interna, específicamente, las disposiciones contenidas en las Normas Generales de Auditoría para el Sector PúblicoNGASP (R-DC-064-2014), publicadas en La Gaceta N° 184 del 25-09-2014 y las Normas para el Ejercicio de la Auditoría Interna en el Sector Público (Norma 1.3.3 de la R-DC-119-2009), publicadas en La Gaceta N° 28 del 10-02-2010. 1. INTRODUCCION 1.1. Antecedentes El presente estudio a cargo de la Lic. Pablo Siles Loaiza, se realizó en atención al Plan Anual de la Dirección General de Auditoría y de acuerdo con el documento denominado Asignación Estudio de Auditoría con fecha del 15-04-2015, con el fin de determinar el cumplimiento de las disposiciones tendientes a la protección de los derechos de autor, relativos a los programas de cómputo.

2 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

DIRECCIÓN GENERAL DE AUDITORÍA

2015-05

1.2. Alcance del estudio Los procedimientos de auditoría se aplicaron sobre los equipos y programas del Ministerio de Justicia y Paz. El presente informe abarca los resultados de los procedimientos aplicados a los equipos y programas administrados por el Núcleo de Informática de la Procuraduría General de la República. 1.3. Disposiciones de la Ley General de Control Interno Con el fin de prevenir al jerarca o a los titulares subordinados (según corresponda) de sus deberes en el trámite de informes y en especial de los plazos que deben observarse, así como advertir sobre posibles responsabilidades en que pueden incurrir por incumplir injustificadamente los deberes de la Ley General de Control Interno, se incorporan en el informe de auditoría la trascripción de los artículos de dicha Ley que se detallan a continuación: Artículo 36. -Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados. b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda. Artículo 37. -Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. Artículo 38. -Planteamiento de conflictos ante la Contraloría General de la República. Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoria interna, esta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a la Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de inconformidad indicadas. La Contraloría General de la República dirimirá el conflicto en última instancia, a solicitud del jerarca, de la auditoría interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor, dará lugar a la aplicación de las sanciones previstas en el capítulo V de la Ley Orgánica de la Contraloría General de la República, Nº 7428, de 7 de setiembre de 1994.

3 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

DIRECCIÓN GENERAL DE AUDITORÍA

2015-05

Artículo 39.-Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios. 1.4

Limitaciones Durante el desarrollo del estudio se presentaron situaciones que afectaron el cumplimiento de los plazos establecidos para la ejecución del estudio; entre los que se destacan los siguientes: • Falta de un inventario actualizado de equipos y programas de cómputo. • Se requirió la asistencia técnica del Departamento de Informática, sujeto a cambios en la programación. • Licencia OEM instaladas diferentes a las que indican los stickers COA de las máquinas. 2.

COMENTARIOS

2.1. Marco Legal Las actividades consideradas en el estudio realizado se evaluaron con amparo a las disposiciones detalladas en el Anexo N° 1. De la evaluación realizada se desprende que la Administración Activa cuenta con disposiciones y normativa específica y procedimientos que guíen de forma efectiva las actividades desarrolladas en la Procuraduría General de la República, asociadas al control del equipo, instalación y control de licencias. 2.2. COMPETENCIAS Las competencias asociadas a la responsabilidad para el seguimiento de las disposiciones contenidas en el Decreto Ejecutivo N° 37549-JP, Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central, así como las principales atribuciones y/o facultades que le corresponden a cada unidad, se encuentran claramente definidas y formalmente asignadas. En materia de licenciamiento de software corresponde al Núcleo de Informática de la Procuraduría General de la República, velar por el cumplimiento de las disposiciones tendientes a la protección de los derechos de autor y protección de los programas de cómputo instalados en los equipos informáticos y la presentación del Informe Anual de cumplimiento. En el citado Decreto se establece: Artículo 2º—Cada Ministerio e Instituciones adscritas al Gobierno Central, tendrán las siguientes obligaciones: a) Establecer sistemas y controles para garantizar la utilización en sus computadoras, única y exclusivamente, de aquellos programas de cómputo que cumplan con los derechos de autor correspondientes. Cualquier programa que exceda el número autorizado o que no cuente con la licencia correspondiente deberá removerse inmediatamente. b) Garantizar que se tengan suficientes autorizaciones para cubrir todos los equipos y los programas en uso, guardándose la documentación correspondiente en un solo lugar con la custodia necesaria. c) El Ministro o Jerarca de la respectiva Institución, designará a una persona como responsable, entre otras cosas, de presentar el resultado de la auditoria y un informe anual ante el Registro Nacional de Derechos de Autor y Derechos Conexos. d) Garantizar que el respectivo Ministerio o Institución adscrita al Gobierno Central cumple con la protección del derecho de autor de los programas de cómputo. Ante lo anterior, en el tercer trimestre de cada año, deberá presentar constancia al Registro de Derechos de Autor y Derechos Conexos.

4 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

DIRECCIÓN GENERAL DE AUDITORÍA

2015-05

e) Mantener un sistema de información que registre los resultados del inventario de equipos y licencias adquiridas, e instalaciones (equipos donde se tienen instaladas las licencias permitidas bajo tales autorizaciones), sistema que permitirá determinar si tienen suficientes autorizaciones para cubrir todos los equipos y los programas en uso, ello permitirá establecer que el respectivo Ministerio cumple con la protección de los derechos de autor relativos a los programas de cómputo. En el sistema deberá constar la fecha de instalación y funcionario que autoriza la instalación de la licencia. Artículo 3º—Cada Ministerio e Institución adscrita al Gobierno Central, deberá realizar anualmente una auditoría interna o externa según las propias posibilidades presupuestarias y organizacionales para determinar el cumplimiento de las disposiciones tendientes a la protección de los derechos de autor, relativos a los programas de cómputo; mediante la auditoria se deberá verificar los equipos existentes y los programas que tengan las computadoras, así como el número de copias autorizadas de cada programa, comprobando la fecha de instalación, versión de cada uno y ajustado a los términos de licenciamiento. Artículo 4º—Posterior a la auditoria mencionada en el artículo anterior, cada Ministerio e Institución adscrita al Gobierno Central, a través de la persona designada como responsable deberá presentar un informe anual dentro del primer semestre de cada año ante el Registro de Derechos de Autor y Derechos Conexos. Este informe pondrá en conocimiento del citado Registro los resultados del auditoraje efectuado por el respectivo Ministerio o Institución adscrita al Gobierno Central, así como las acciones aplicadas; en el mismo deberán indicar el grado de cumplimiento y cantidad de equipos existentes, se deberá adjuntar el informe de la auditoria. Dentro del mismo cada Ministerio e Institución adscrita al Gobierno Central, deberá hacer constar que cumple con la protección de los derechos de autor relativos a los programas de cómputo. También, deberá presentar el inventario. Artículo 8º—Queda totalmente prohibido la instalación de programas de cómputo que no cuenten con la respectiva licencia de uso legal en ninguna oficina del Gobierno Central e instituciones adscritas. Los programas solamente podrán ser instalados por el experto en informática autorizado o por quien este determine para el buen desempeño de las funciones designadas. Cualquier violación a las normas de derechos de autor por parte de los funcionarios de los Ministerios e Instituciones adscritas al Gobierno Central, se procederá con la apertura del debido proceso con el fin de aplicar la sanción de carácter administrativo disciplinario que corresponda. Artículo 9º—En la etapa de evaluación para la contratación, todas las solicitudes de compra para programas de cómputo, que realicen los diferentes Ministerios e Instituciones adscritas al Gobierno Central, deberán ser consultadas con el experto en informática que se tenga designado en cada institución. Artículo 10. —Para los efectos de las adquisiciones y la utilización de programas de cómputo de acuerdo con las disposiciones de este Decreto, el experto en informática (Jefe Informática o quién este designe) de cada Ministerio o Institución adscrita al Gobierno Central deberá cumplir con las siguientes reglas: a) b)

c)

Establecer y mantener una política comprensiva de manejo de programas de cómputo y un sistema efectivo, para garantizar la adquisición y uso adecuado de todos los programas de cómputo. Establecer medidas para evaluar el cumplimiento del respectivo Ministerio o Institución adscrita al Gobierno Central, de las disposiciones en materia de derechos de autor, en lo concerniente a la adquisición y uso de programas de cómputo, de conformidad con las disposiciones de este Decreto. Dirigir y ofrecer apoyo institucional al entrenamiento apropiado del personal de servicio público en materia de Derechos de Autor y Derechos Conexos relacionado con los programas de cómputo, las políticas y procedimientos adoptados para cumplir con ellos.

5 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

DIRECCIÓN GENERAL DE AUDITORÍA d) e)

f)

2015-05

Llevar el control de licenciamiento e instalación de licencias en los equipos que dispone el Ministerio o Institución adscrita al Gobierno Central. Para cada equipo deberá llevar un expediente u hoja de vida donde conste el funcionario responsable que autoriza la instalación, fecha de instalación y la persona responsable de hacer la instalación. Esta información deberá constar en el sistema indicado en el artículo 2°. Exhortar a todos los contratistas y proveedores del Gobierno Central a cumplir con las normas sobre derechos de autor, a adquirir y utilizar programas de cómputo con sus respectivas licencias de uso.

Artículo 11. —Cada Ministerio o Institución adscrita al Gobierno Central, elaborará manuales para el uso e instalación de programas de ordenador y velarán por el entrenamiento de todos los funcionarios de su dependencia, de acuerdo con las necesidades y el uso legal de los programas de cómputo, incluyendo la expedición de notas de advertencia, el establecimiento y la aplicación de medidas disciplinarias por incumplimiento de las disposiciones del presente Decreto. Artículo 12.—Los Ministerios e Instituciones adscritas al Gobierno Central, deberán adoptar las medidas necesarias para asegurarse que los proyectos de presupuestos para programas de cómputo y los requerimientos para el procesamiento de datos, incluyan recursos adecuados para la adquisición de las licencias correspondientes de los programas de cómputo que necesiten. Así mismo, mediante oficio RNDADC-72-2013 del 23-04-2013, suscrito por la Licda. Vanessa Cohen, Directora Registro Derechos de Autora y conexos, se hacen señalamientos asociados a las responsabilidades del responsable asignado del seguimiento de las disposiciones contenidas en el Decreto citado, en las que se resalta: • El informe anual que debe remitir la persona designada, debe incluir detalles del informe de auditoría y hacer constar que se cumple con la protección de los derechos de Autor relativos a los programas de cómputo, debiendo adjuntar documentación probatoria de licenciamiento (contratos de licenciamiento de cada programa), la cual se puede presentar en forma digitalizada. • El informe debe dar claridad del grado de cumplimiento, las justificaciones pertinentes en caso que no sea de un 100%, las gestiones y medidas correctivas para solventar el faltante de licencias y las razones por las que no se ha removido el software de los equipos, se debe señalar el software instalado que no requiere licenciamiento. Se debe anexar además, en el formato suministrado por el Registro, el inventario existente. • Se debe presentar constancia ante el Registro de que el Ministerio cumple con la protección de Derechos de Autor en relación a los programas de cómputo, en el tercer trimestre de cada año, debiendo informar en forma inmediata y formal, sobre los cambios que se realizan. • Se debe dar respuesta, a la brevedad, a cuestionario remitido en el oficio de cita y • Se debe completar la encuesta remitida en el oficio de cita, el cual se debe ser enviada al Registro de Derechos de Autor con el informe anual. En lo que respecta a gestiones realizadas por las autoridades de la Institución, asociadas al cumplimiento del Decreto Ejecutivo N° 37549-JP, Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central, se determina que compete a esta Dirección General de Auditoria Interna el estudio de licenciamiento de la Procuraduría General de la República, bajo la responsabilidad de la Licda. Xenia Guerrero. En asocio con las disposiciones contenidas en el Decreto Ejecutivo-37549-JP, se determina la existencia en la Procuraduría General de la República de un Plan Estratégico de Tecnologías de Información y Comunicación para el período 2015–2018, una Guía detallada de instalación de software, la emisión de una Política sobre Adquisición de Software, una Política sobre Uso de Software, un Procedimiento de

6 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

instalación de software y equipos de Cómputo y un procedimiento para el Control de uso no autorizado y copias de Software. En relación con el proceso objeto de estudio el Plan Estratégico de Tecnologías de Información y Comunicación establece: “(…) La gestión de las TICs, en la PGR se visualiza sin perder de vista que las herramientas derivadas de las TICs, son fundamentales para optimizar procesos y como consecuencia mejorar tanto la función sustantiva como la administrativa permitiendo rendición de cuentas y facilitando la gestión de control interno. Como se mencionó anteriormente este PETIC, se desprende del Plan Estratégico Institucional que aunque no se ha oficializado, es una herramienta que orienta sobre los objetivos que persigue la Institución. Aunque no existe un Comité Gerencial de Tecnologías de Información, las decisiones sobre TICs, son tomadas en las reuniones semanales donde asisten la Procuradora General y Procuradora Adjunta, además del equipo administrativo (Directora de Desarrollo Institucional, Director Administrativo, Núcleo de Recursos Humanos, Área Servicios Generales y Núcleo de Informática). Como seguimiento se realiza lo siguiente: • Reuniones quincenales administrativas donde se da seguimiento al avance en relación con la ejecución presupuestaria. • Reuniones quincenales técnicas, donde se da seguimiento al avance de cada uno de los proyectos que se están desarrollando (…)”

Se indica además en el Plan Estratégico que el Núcleo de Informática administra el siguiente equipo de cómputo, el cual permite la operación general de la PGR. Equipo Computadoras de escritorio Computadoras portátiles Servidores Físicos Servidores Virtuales Switch de voz Switch de datos Routers Firewall IPS Acces Point Impresoras de Inyección de tinta Impresoras Láser Multifuncionales

Cantidad 200 92 12 16 18 19 5 2 1 9 36 35 3

En el citado Plan se señala que la PGR cuenta con varios sistemas que soportan la función sustantiva y administrativa, la mayoría de estos sistemas han sido desarrollados por el Núcleo de Informática. Los desarrollos son soportados por una arquitectura base que permite la estandarización: Los sistemas que se encuentran en funcionando y en operación son los siguientes: Sistema Litigioso: Sistema de gestión de notificaciones

Herramienta de desarrollo

Usuarios

Visual Basic 6.0 / SQL SERVER

Todas las áreas sustantivas

Escritos y Oficios: Gestión de documentos, control de consecutivos SIG, sistema de control de correspondencia entrantes

Visual Basic 6.0 / SQL SERVER

Todas las áreas sustantivas

Visual Basic 6.0 / SQL SERVER

ARD: Sistema de Archivo de Referencia Digital. Gestión digital de escrituras. Sistema de gestión de denuncia. Ética Pública

ASP .NET - SQL SERVER Visual Basic.Net – SQL SERVER

Secretarias, recepción de documentos. Notaria del Estado y Procuradora General y Adjunta Área de la Ética Pública

Sistema de recepción de denuncia WEB

ASP .NET - SQL SERVER

Ciudadanía en General

7 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA Gestión de Recursos Humanos: Este sistema integra la gestión de vacaciones, evaluaciones de desempeño y carrera profesional. Utiliza firma digital Control Vehicular: Control de kilometraje, consumo de combustible, salidas, asignación por chofer

ASP .NET - SQL SERVER

Mercadería, control de mercadería que ingresa a la bodega, además del control de entregas a los funcionarios. Utiliza firma digital Visión 2020. Esta es la plataforma de gestión de documentos digitalizados,

ASP.NET - SQL SERVER

ASP.NET - SQL SERVER

Producto externamente

contratado

Sistema Administrativo, utilizado por todos los funcionarios de la institución Sistema Administrativo, utilizado por todos los funcionarios de la institución Sistema Administrativo, utilizado por todos los funcionarios de la institución Todos los funcionarios. (Áreas, Administrativa y Sustantiva)

Las funciones y actividades asociadas al proceso de licenciamiento de software que realiza el Núcleo de Informática, según la información recopilada son las siguientes: • • • • • • • • •

Analizar el estado de las licencias que requiere la institución. Presupuestar los recursos necesarios para actualizar o adquirir licenciamiento. Preparar los requerimientos necesarios para tramitar las compras respectivas. Realizar los análisis de las compras. Registrar las licencias cuando ingresan a la institución. Instalar los programas y licencias en los equipos de cómputo de la institución. Llevar el control del licenciamiento instalado en los equipos de cómputo de los usuarios. Verificar fechas de vencimiento, autorizaciones, y versiones del licenciamiento adquirido Generar y presentar el informe anual respectivo ante el Registro de Derechos de Autor y Derechos Conexos.

2.3. ESTRUCTURA ORGANIZACIONAL DEL NÚCLEO DE INFORMÁTICA El Núcleo de Informática, según la estructura jerárquica de la Procuraduría General de la República depende de la Dirección de Desarrollo Institucional. Dicho Núcleo cuenta con un total de 11 funcionarios, de los cuales 4 son interinos. El organigrama se presenta en el Anexo N° 2. La descripción de plazas según el Servicio Civil es la siguiente: Cantidad 1 5 5

Descripción según Servicio Civil Profesional Jefe de Informática 2 Profesional en Informática 1 Profesional en Informática 2

Fuente: Plan Estratégico de Tecnologías de Información y Comunicación

De acuerdo con los resultados obtenidos, en el siguiente cuadro se presenta el detalle de las actividades de los funcionarios, asociadas al proceso de licenciamiento de software: Funcionario Clasificación Cargo Funciones Xenia Guerrero

Puesto: Jefe de Informática Correo: [email protected] Teléfono: 22-43-84-87

Responsable General

* * * *

Marcela Hernández

Analista

Responsable de soporte técnico

Analistas

Soporte técnico

* * * * * *

Eleyte Morales Glend Muñoz

Responsable de licenciamiento Gestión de compras Verificación de inventarios Actualización de documentos, políticas, procedimientos y planes Mantener actualizados los inventarios Control de instalaciones Control de archivo de contratos y licencias Instalar software general Instalar software Instalación de equipos en general

Fuente: Información suministrada por la Licda. Xenia Guerrero Arias mediante oficio NIN-23-2015 del 08-05-2015

8 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

2.4. PROCEDIMIENTOS En el caso del Departamento de Informática de la Procuraduría General de la República, se cuenta con un documento denominado Procedimientos establecidos para la instalación del software; el cual se presenta en el Anexo N° 3. 2.5. EVALUACION Una vez analizada la cantidad y el tipo de aplicaciones que se detectaron instaladas en la infraestructura de la Procuraduría General de la Republica, se concluye: 1.

Los usuarios mantienen habilitados permisos de administradores locales de sus equipos, esto les permite instalar cualquier tipo de aplicación. En este sentido, se pudo determinar que los usuarios instalan aplicaciones que no cumplen con las políticas internas y que no están relacionadas con las labores normales de los funcionarios.

2.

Existe un riesgo inminente de fuga de información, producto de aplicaciones P2P (para compartir archivos en línea) y aplicaciones que comparten archivos en la nube (Internet).

3.

Se pudo determinar la existencia de herramientas utilitarias de diversa índole, que han sido descargadas desde Internet sin ningún tipo de control, por ejemplo: aplicaciones para teléfonos celulares, aplicaciones para administrar descargas masivas de archivos, software para escuchar música o para visualizar videos, etc. Como estas descargas se han realizado sin verificar las fuentes de descarga, es altamente probable que estas herramientas contengan virus, troyanos, gusanos, etc., que pueden ser utilizados por un atacante desde el exterior (entiéndase Internet) o desde el interior (desde la red institucional), para acceder, destruir o modificar información confidencial que administra la Procuraduría General de la República.

4.

Se utilizan páginas tales como YouTube para ver videos en horas laborales lo cual genera que haya un tráfico alto de ancho de banda lo cual degrada el nivel de servicio de la red institucional y los enlaces de Internet para subida y descarga de información. Esta afectación atenta contra la disponibilidad de la información, ya que las aplicaciones y comunicaciones legítimas se verían perjudicadas o del todo bloqueadas, para dar paso a las aplicaciones no autorizadas que no agregan ningún tipo de valor a los procesos institucionales.

A continuación se detalla el grado de cumplimiento por parte de las unidades administrativas de las disposiciones asociadas a licenciamiento, contenidas en el Decreto Ejecutivo N° 37549-JP, Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central. Objetivo

Procuraduría General de la República

El establecimiento de procedimientos y controles para garantizar el licenciamiento e instalación de licencias en los equipos que dispone el Ministerio, utilización de programas de cómputo que cumplan con los derechos de autor correspondientes, la remoción de programas que exceden el número autorizado o que no cuente con la licencia correspondiente, la custodia de la documentación correspondiente.

Cumple parcialmente. No obstante se cuenta con un procedimiento establecido para la instalación de software y equipos de cómputo, un procedimiento para el control de uso no autorizado y copias de software, una guía detallada de instalación de software, una política sobre adquisición de software y una política sobre uso de software, no se documenta su oficialización y divulgación. Las licencias son resguardadas en un lugar seguro bajo llave.

9 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA Objetivo

Procuraduría General de la República

La existencia de un sistema de información que registre los resultados del inventario de equipos y licencias adquiridas, e instalaciones (equipos donde se tienen instaladas las licencias permitidas bajo tales autorizaciones, en el cual se debe registrar la fecha de instalación y funcionario que autoriza la instalación de la licencia.

La participación del experto en informática en los procesos de compra para programas de cómputo. La confección de expedientes u hojas de vida donde conste el funcionario responsable que autoriza la instalación, fecha de instalación y la persona responsable de hacer la instalación.

La elaboración de manuales para el uso e instalación de programas. La emisión de notas de advertencia, el establecimiento y la aplicación de medidas disciplinarias por incumplimiento de las disposiciones vigentes.

Cumple parcialmente. Se tiene un detalle de las licencias, programas instalados y autorizaciones pero no detallan las fechas de instalación y el funcionario que autoriza la instalación de la licencia. En las pruebas de inventario se encontraron diferencias. Actualmente se utiliza el sistema OCS Inventory para tal función. Si cumple. A cargo de la Licda. Xenia Guerrero No cumple. Según lo señalado por la Licda. Guerrero, se está implementando un sistema de información para tener el control indicado. Cumple No cumple No obstante en su oficio NIN-076-2014 la Licda. Guerrero señala que la Procuraduría no cuenta con equipos que tengan programas y aplicaciones no permitidos, los cuales deban ser desinstalados, en el presente estudio se documentan los hallazgos pertinentes.

2.5.1. ESTADO ACTUAL DE LICENCIAMIENTO EN PROCURADURÍA GENERAL DE LA REPÚBLICA Como parte de la revisión se realizaron una serie de procedimientos para obtener los resultados correspondientes. Dichos procedimientos se indican a continuación:    

Verificar que los programas que tienen instalados las computadoras cuenten con las licencias bajo los términos de derechos de autor. Verificar que las licencias de los programas de cómputo concuerden con la información reportada en el sistema y los respaldos físicos. Utilización de la herramienta Belarc Advisor para obtener información de las licencias y otras características de las maquinas evaluadas. Verificar cada uno de los programas que tiene instalados los equipos de cómputo y su clasificación de la siguiente manera:

TIPO DE SOFTWARE No licenciado

DEFINICIÓN El software no licenciado está asociado a la distribución de malware, freeware instalado sin conocimiento del personal del Núcleo de Informática, como por ejemplo quemadores de DVD, reproductores de música, convertidores de texto e imágenes, programas de chats, editores de fotos, barras de herramientas, programas para guardar información en la nube, entre otros.

10 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA Para celulares

Para accesos remotos Antivirus distintos al institucional

Aplicaciones que se cargan a las computadoras relacionadas con dispositivos móviles, que no forma parte de las herramientas requeridas para la realización de las labores de la institución. Aplicaciones que permiten el control remoto externo de los equipos de la Institución. Software gratuito que ha sido bajado para dar protección a los equipos informáticos pero son distintos a los establecidos para la Institución.

Mediante la información suministrada por la Licda. Xenia Granados, se determinó que el inventario de la institución está compuesto por equipos de cómputo propio y alquilado. El estado de las licencias autorizadas e instaladas se detalla en el Anexo 4. La programación de las visitas para realizar las inspecciones de auditoría en las instalaciones de la Procuraduría General de la República se presenta en el siguiente cuadro: Fecha 27-05-2015 al 28-05-2015

Procedimiento

Personal involucrado

Se procede a iniciar el inventario en las instalaciones de la Procuraduría General de la República para verificar los programas instalados en los equipos de cómputo y verificar las licencias contra los respaldos físicos, para lo cual se obtuvo una muestra de la totalidad de equipos. Dicha revisión de realiza en ambos días.

Ronald Sequeira, Informática MJP. Pablo Siles Loaiza, Auditoria MJP Marcela Hernández - Informática PGR Glen Muñoz - Informática PGR Xenia Guerrero –Jefatura Informática PGR

De la verificación realizada a los equipos de cómputo que conforman la muestra seleccionada de la Procuraduría General de la República, se obtuvieron los siguientes resultados: 2.5.1 Hallazgo 1, Plan estratégico de TI Condición: A pesar de que existe un plan estratégico de Tecnologías de Información, el mismo no es medible con el Plan Institucional ya que el mismo no se ha oficializado. Criterio: De acuerdo con Cobti 4.1 (PO1 Definir un plan estratégico de TI), establece que: debe existir una alienación estratégica para garantizar la vinculación de los planes Institucionales con los de TI, definiendo, manteniendo y validando la propuesta de valor de TI; y alineando operaciones de TI con operaciones Institucionales. Causa: El Plan Institucional no se ha oficializado. Efecto: Documentos que carecen de oficialización y divulgación. 2.5.2 Hallazgo 2, Seguridad en las operaciones y comunicaciones Condición: En la revisión de las políticas y procedimientos existentes de la Procuraduría General de la Republica, no se determinó la existencia de políticas de seguridad debidamente implementadas y puestas en práctica para prevenir instalaciones indebidas, presencia de software no legal, entre otros. Criterio: De acuerdo con Cobit 4.1 (DS5 Garantizar la seguridad de los sistemas), una política de seguridad de la información provee la dirección y respaldo para la seguridad de la información de acuerdo con los requerimientos Institucionales, leyes y regulaciones relevantes.

11 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

Causa: Ausencia de una política de seguridad de información debidamente establecida e informada a los funcionarios. Efecto: Al no existir una política de seguridad de información no hay una guía documentada para definir en que protegerse, así como la definición de los responsables de esa protección y la estrategia a seguir para cumplir con esa protección. 2.5.3 Hallazgo 3, Ausencia o ineficiencia de controles para evitar instalación de programas de cómputo Condición: Se determinó que existen equipos de cómputo que tienen instalados programas y aplicaciones que por su naturaleza deberían estar restringidos al no ser consideradas herramientas de trabajo, situación que se detalla a continuación: Equipos de cómputo y laptops TIPO DE SOFTWARE CANTIDAD No licenciado 37 Para celulares 7 Ver Anexo 5

Criterio: De acuerdo con la Política de Uso de Software, en el punto 6, inciso 3 se indica que únicamente los técnicos del Núcleo de Informática son los autorizados para instalar software en el equipo institucional. Causa: Los funcionarios en general tienen perfil de administradores, por una situación técnica con dos sistemas sustantivos que se ejecutan en la Procuraduría. Efecto: Se genera un abuso de estos privilegios, al instalar aplicaciones que no cumplen con las políticas internas de la Procuraduría y que no están relacionadas con las labores normales de los funcionarios. 2.5.4 Hallazgo 4, Verificación y conciliación de los registros de programas y licencias Condición: De determinó que de acuerdo con el detalle de hardware y licenciamiento, algunas licencias asignadas a un determinado funcionario no corresponde, es decir la licencia que indica el programa de inventario no es la que indica el documento soporte. Ver anexo 6. Criterio: El Decreto 37549-JP en el artículo 1, inciso E, establece: Mantener un sistema de información que registre los resultados del inventario de licencias permitidas y licencias adquiridas, e instalaciones (…)” Causa: Se verifica visualmente la licencia del equipo con lo que indica el detalle de licenciamiento sin verificar a nivel de sistema si es la licencia realmente instalada. Efecto: Se mantiene desactualizado el detalle de inventarios de equipos y sus respectivas licencias, debido a una revisión superficial de las mismas. Ejemplo: al verificar la licencia de office 2010 del equipo de cómputo asignado al funcionario Julio Reyes Chacón, se determinó que la licencia registrada en el sistema no concuerda con la licencia asignada en el respaldo físico. 2.5.5 Hallazgo 5, Definición y administración de acuerdos de servicio Condición: De acuerdo con los contratos revisados e información recopilada, el Núcleo de informática de la Procuraduría no tiene claro cuáles son los niveles de servicio de las contrataciones.

12 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

Criterio: En Cobit 4.1, DS 2 Administrar los servicios de terceros establece: La Institución debe asegurar que los controles de seguridad, las definiciones de servicio y los niveles de entrega incluidos en el contrato de prestación de servicios por un tercero sean implementados, operados y mantenidos por el tercero. Causa: No existen lineamientos que permitan establecer un marco de trabajo para el cual se administren los acuerdos de nivel de servicio, tanto para los servicios internos que presta TI a la Institución, como para los servicios externos que se contratan para satisfacer necesidades específicas. Efecto: Principalmente genera que la Procuraduría no pueda monitorear y darle seguimiento al cumplimiento de dichos acuerdos de servicio. 2.5.6 Hallazgo 6, Gestión de Riegos Condición: No obstante el Núcleo de Informática de la Procuraduría General de la Republica, ha identificado riesgos, los cuales se presentan en el Anexo N° 7, no cuenta con un proceso de gestión de riesgo debidamente implementada. Criterio: De acuerdo con Cobit 4.1 (PO9 Evaluar y administrar riesgos de TI), establece que la gestión de riesgos es el proceso que identifica las vulnerabilidades y las amenazas para lograr los objetivos de negocio, y decidir que contramedidas tomar, si hubiera alguna, para reducir el riesgo a un nivel aceptable. Causa: Ausencia de una política de seguridad establecida que permita controlar algunos riesgos a nivel Institucional. Efecto: Para efectos del estudio lo más relevante consiste en el desconocimiento de las implicaciones legales de mantener software instalado que no cuente con la debida licencia y sus implicaciones financieras en caso de verse involucrado en una demanda. 2.5.7 Hallazgo 7, Expediente electrónico de los equipos Condición: Actualmente no se cuenta con un expediente electrónico que cuente con información referente a los programas instalados, licencias, fechas de instalación, y el personal responsable de su administración e instalación de programas. Criterio: De acuerdo con el Decreto Ejecutivo N° 37549-JP, Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central, el cual entro a regir el 31-03-2013, articulo 10, inciso E establece: “Para cada equipo deberá llevar un expediente u hoja de vida

donde conste el funcionario responsable que autoriza la instalación, fecha de instalación y la persona responsable de hacer la instalación. Esta información deberá constar en el sistema indicado en el artículo 2°.” Causa: Atrasos en el proceso. Efecto: Incumplimiento de la Normativa vigente. 2.6. SEGUIMIENTO DE RECOMENDACIONES De acuerdo con el informe de auditoría interna 2014-02, se establecieron las siguientes recomendaciones para la Procuraduría:

13 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA Número

INF-2014-09

Al Despacho 4 Girar instrucciones a las unidades de informática consideradas en el estudio para que se proceda a actualizar los inventarios requeridos en las disposiciones aplicables al proceso de licenciamiento. 6 Girar las instrucciones necesarias para que la Procuraduría General de la Republica adjunte en el informe entregado al Registro de Derechos de Autor y Derechos Conexos, las observaciones realizadas por la Auditoria del Ministerio de Justicia en cuanto al análisis realizado del proceso de licenciamiento de la institución, en cumplimiento de las directrices establecidas en el Decreto Ejecutivo N° 37549-JP, Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central y se reflejen los ajustes pertinentes. 8 Girar instrucciones necesarias para que las instituciones procedan a la actualización periódica e inventarios, que permitan llevar un adecuado control de los programas y aplicaciones que son instalados en los equipos de cómputo que por parte de los usuarios y evitar el uso ilícito de programas y aplicaciones no permitidos que violen la protección de derechos de autor. 9 Proceder a desinstalar inmediatamente de los equipos aquellos programas y aplicaciones que no son permitidos y no posean las licencias bajo los términos de derechos de autor. 10 Girar instrucciones necesarias para que se cambien los privilegios de administrador asignados a los responsables de

Fecha Límite

Unidad responsable

Estado-Ver oficios NIN076-2014 y 023-2015

Procuraduría: 30-10-2014

Departamento de informática del Ministerio, Procuraduría y Viceministerio de Paz

Cumple parcialmente: Actualizar inventarios.

Procuraduría: 15-11-2014

Procuraduría

Cumple: Implementación de un sistema de información desarrollado internamente por personal de Informática de la Procuraduría. Dicho sistema tiene la funcionalidad de llevar trazabilidad del licenciamiento de todos los equipos de cómputo de la institución. Además genera de manera automática, el archivo que debe ser presentado cada año, a la oficina de derechos de autor.

Procuraduría: 30-11-2014

Departamento de informática del Ministerio, Procuraduría y Viceministerio de Paz.

Cumple parcialmente. Con la ejecución del sistema mencionado anteriormente, el control recomendado en este punto será automático, sin embargo se presentan discrepancias en la información suministrada.

Procuraduría:

Departamento de informática del Ministerio, Procuraduría y Viceministerio de Paz

La Licda. Guerrero indica que no aplica, no obstante se documentan hallazgos que determinan la procedencia de esta recomendación.

Procuraduría: 30-11-2014

Departamento de informática del Ministerio, Procuraduría y

No cumple. Aún se mantienen perfiles de administrador local en las computadoras por requerimientos de sistemas

14 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA los equipos de cómputo de las diferentes instancias del Ministerio, a un perfil de usuario adecuado para garantizar la seguridad y confidencialidad del equipo de la institución.

Viceministerio de Paz

utilizados, se prevé un cambio a mediano plazo.

3.

CONCLUSIONES Las competencias, las principales atribuciones y/o facultades asociadas a la responsabilidad para el seguimiento de las disposiciones establecidas en el Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central, se encuentran claramente definidas y formalmente asignadas. En materia de licenciamiento de software corresponde al Núcleo de Informática de la Procuraduría General de la República, velar por el cumplimiento de las disposiciones contenidas en el reglamento de cita. El Núcleo de Informática no cuenta con un expediente u hoja de vida donde se detalle información sobre el equipo, detalle de los programas instalados, fecha de instalación y personal responsable de hacer la instalación entre otros. Se determinó que los equipos de cómputo de la Procuraduría General de la República tienen instalados programas y aplicaciones que no cumplen con los términos bajo la protección de derechos de autor. 4.

RECOMENDACIONES En razón de las situaciones señaladas por esta Dirección, en el presente estudio y con la finalidad de que las mismas sean consideradas, se plantean las siguientes recomendaciones:

Al Despacho de la señora Ministra:

1.

2.

3.

4. 5.

Girar instrucciones a las instancias correspondientes a fin de alinear, oficializar y divulgar el plan estratégico de TI con el plan estratégico Institucional de la Procuraduría General de la Republica; para garantizar que tanto la Dirección como el área de Informática lleven un mismo rumbo para el logro de los objetivos institucionales. (Hallazgo 1). Girar instrucciones para que se proceda a documentar políticas, procedimientos de seguridad debidamente implementadas y puestas en práctica para prevenir instalaciones indebidas, presencia de software no legal, entre otros, se uniformen, aprueben, oficialicen y divulguen en forma adecuada. (Hallazgo 2). Girar las instrucciones necesarias para que se cambien los privilegios de administrador asignados a los responsables de los equipos de cómputo de las diferentes instancias de la Procuraduría, a un perfil de usuario adecuado para garantizar la seguridad y confidencialidad del equipo de la institución. (Hallazgo 3) Actualizar aplicaciones obsoletas, para las cuales se tienen versiones recientes disponibles dentro del convenio que mantiene la Procuraduría General de la República con Microsoft. (Hallazgo 3) Girar las instrucciones necesarias para que se proceda a la actualización periódica de inventarios, que permita llevar un adecuado control de los programas y aplicaciones que son instalados en los equipos de cómputo por parte de los usuarios y evitar el uso ilícito de programas y aplicaciones no permitidas que violen la protección de derechos de autor. (Hallazgo 4)

15 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

DIRECCIÓN GENERAL DE AUDITORÍA

2015-05

Proceder a desinstalar inmediatamente de los equipos aquellos programas y aplicaciones que no son permitidos y no posean las licencias bajo los términos de derechos de autor. (Hallazgo 4) 7. Realizar un estudio profundo del software malicioso, que ayude a determinar si las aplicaciones instaladas de forma ingenua por los usuarios, permiten el jaqueo. (Hallazgo 4) 8. Implementar un control para realizar la revisión periódica de software no autorizado a las estaciones de trabajo como lo dicta la política. (Hallazgo 4) 9. Definir lineamientos que permitan establecer un marco de trabajo para el cual se administren los acuerdos de nivel de servicio, tanto para los servicios internos que presta TI a la institución, como para los servicios externos que se contratan para satisfacer necesidades específicas. (Hallazgo 5) 10. Implementar una política y procedimientos para la Gestión de Riesgos de Tecnologías de Información y que se actualicen al menos una vez al año. (Hallazgo 6) 11. Girar las instrucciones necesarias para que el Núcleo de informática proceda a confeccionar expedientes electrónicos para cada uno de los equipos donde se detalle información referente a los programas instalados, licencias, fechas de instalación, y el personal responsable de su administración e instalación de programas. (Hallazgo 7) 12. Informar a esta Auditoría en un plazo no mayor a 30 días, de un cronograma dispuesto para la atención de las recomendaciones emitidas.

6.

16 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA ANEXO Nº 1 MARCO LEGAL

El estudio sobre el licenciamiento del software adquirido por el Ministerio de Justicia, se realizará con amparo a las siguientes disposiciones: Constitución Política de la República de Costa Rica, del 07-11-1949. Artículo 140, inciso 8. Ley General de la Administración Pública, Nº 6227 del 30-11-1978, artículos, 3, 10, 11. Ley Nº 8292, Ley General de Control Interno, del 31-07-2002. Gaceta Nº 169 del 04-09- 2002. Ley Nº 8422, Ley contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública, del 06-102004, Gaceta Nº 212, del 29 -10-2004, artículos 1, 2, 3, 4. Ley Nº 8630, Gaceta Nº 33, del 15-02- 2008, modifica la Ley 8422, los artículos 8 y 55 y; se adiciona un artículo 44 bis. Ley Nº 7494. Ley de Contratación Administrativa, del 02-05-1995. Gaceta Nº 110 del 08 -06-1995 y sus modificaciones. Ley Nº 8131 Ley de la Administración Financiera de la República y Presupuestos Públicos, del 18-092001, artículos 1 inciso a), 2, 3, 61, inciso h), 66, 79 y 82. Ley Nº 6815, Ley Orgánica de la Procuraduría General de la República, del 27-09-1982. Ley N° 6683, Ley de Derechos de Autor y Derechos Conexos, del 14-10-1982, Gaceta Nº 112 del 411-1982. Ley N° 8039, Ley sobre Procedimientos de Observancia de los Derechos de Propiedad Intelectual, del 31-01-2000, Gaceta Nº 206 del 27-10-2012. Decreto Ejecutivo N°. 37549-JP, Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central. del 26-11-2012. Decreto Ejecutivo Nº 33411-H. Reglamento a la Ley de Contratación Administrativa, del 27-09-2006, Gaceta Nº 210 del 02-11-2006, con vigencia a partir del 04-01-2007 y sus modificaciones Decreto Ejecutivo Nº 33758-H, del 02-05-2007 y el Decreto Ejecutivo Nº 33860, del 29-05-2007. Decreto Ejecutivo Nº 32988-H-MP-PLAN, Reglamento de la Ley de Administración Financiera de la República y Presupuestos Públicos, del 31-01-06. Artículos 79 y 82. Reglamento para el Registro y Control de Bienes de la Administración Central, Decreto Ejecutivo N° 30720-H de 26-08- 2002 del Gaceta N° 188 de 01-102002, reformado por Decreto Ejecutivo 31194-H de 03-04-2003. Decreto N° 34695-J. Reglamento de Organización y Funcionamiento de la Dirección General de Auditoria del Ministerio de Justicia. Gaceta N° 163 del 25-08-2008. Normas para el Ejercicio de la Auditoría Interna en el Sector Público, R-DC-119-2009 del 16-12-2009 emitido por la Contraloría General de la República, Gaceta Nº 28 del 10-02-2010. Normas Generales de Auditoría para el Sector Público, NGASP (R-DC-064-2014), Gaceta 184 del 25 de setiembre de 2014, vigente a partir del 01-01-2015. Normas de Control Interno para el Sector Público, contenidas en la resolución R-CO-9-2009, del 2601-2009. Decreto N° 34695-J, Reglamento de Organización y Funcionamiento de la Dirección General de Auditoria del Ministerio de Justicia del 25-08-2008. Directrices para la implementación del Sistema Específico de Valoración del Riesgo Institucional. Gaceta N° 134 del 12-07-2005. Parámetros de implementación de las Directrices Generales para el establecimiento y funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI). DFOE-68 (1741). Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, N-2-2007-CO-DFOE, del 31 de julio de 2007.

17 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

DIRECCIÓN GENERAL DE AUDITORÍA

2015-05

Plan Estratégico de Tecnologías de Información y Comunicación, 2015–2018. Procuraduría General de la República. Guía detallada de instalación de software. Procuraduría General de la República. Política sobre Adquisición de Software. Procuraduría General de la República. Política sobre Uso de Software. Procuraduría General de la República. Procedimiento de instalación de software equipos de Cómputo en la Procuraduría General de la República. Control de uso no autorizado y copias de Software. Procuraduría General de la República. Contrato para el Alquiler de los Equipos Activos que integran la infraestructura in comunicaciones de la Procuraduría General de la República (Prestación de servicios según demanda) Número 001-2015LFCG, Licitación Pública N° 2014LN-000002-78100, entre la Procuraduría General de la República y el Consorcio conformado por Central de Servicios Pc, S.A. y Quicknet F R L & J J Solutions, S.A. Contrato de Alquiler de equipo de cómputo (Prestación de servicios según demanda) Número 0082012-LFCG, Licitación Abreviada N° 2012LA-000096-78100, entre la Procuraduría General de la República y Central de Servicios Pc, Sociedad Anónima. Contratos de software Adobe, Antivirus, Office, Telerik, Vision 2020 y Windows-SQL-Visual-Project Cobit 4.1. Objetivos de Control de las Tecnologías de Información. ISACA. ISO 17799, Seguridad de la Información

18 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA ANEXO Nº 2

ORGANIGRAMA DE LA PROCURADURÍA GENERAL DE LA REPÚBLICA

19 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA ORGANIGRAMA DEL NÚCLEO DE INFORMÁTICA

20 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA ANEXO Nº 3

Procedimiento de instalación de software equipos de Cómputo En el presente documento se describe la forma en que los técnicos del Núcleo de Informática de la Procuraduría General de la República, en adelante PGR, deben realizar la instalación de software en los equipos de cómputo, dicho documento está alineado a la política institucional denominada Política sobre uso de Software, además existe como apoyo a la instalación, el documento denominado Guía de Instalación de Software donde se describe el paso a paso para cada instalación. La instalación de software se puede dar por las siguientes razones: 1. Equipo nuevo 2. Formateo de equipos en uso 3. Solicitud de nuevo software 4. Reasignación de equipos 5. Instalación de software en servidores

1. Instalación de equipos nuevos: Cuando se realizan compras o se incluyen dentro del contrato de alquiler equipos de cómputo se debe tener claro el perfil de usuario que utilizará el mencionado equipo esto determina el software que se requiere. El detalle de la instalación de uno de esos equipos es el siguiente: 1.1. Se enciende el equipo para verificar cuáles programas vienen preinstalados 1.2. Si el Windows viene preinstalado pero no se ha activado se procede a activar la licencia correspondiente 1.3. Se habilita el administrador local del equipo y se define la contraseña para proceder con la instalación de los programas 1.4. Autenticado en el administrador local el técnico asignado procede a instalar y activar el office con la respectiva licencia, además de la licencia de Acrobat si el usuario requiere esa versión 1.5. Luego se instala el software autorizado necesario (ver apartado 6 de este documento) 1.6. Una vez instalados los programas de oficina, se procede a instalar los sistemas de información que se requieren según el perfil del usuario, estos programas son: • Sistema Litigioso • Sistema Escritos y Oficios • Sistema Ética Pública • SIG Línea • Visión 2020 1.7. Una vez finalizada la instalación de los sistemas se procede a instalar y actualizar el antivirus de la siguiente manera: a. Ingreso del equipo al dominio, esta tarea la realiza el encargado de soporte técnico b. Registro del usuario en el equipo para que a la hora de iniciar se le asignen los permisos correspondientes según el tipo de usuario de Windows 1.8. Entrega el equipo al usuario y una vez autenticado se instala lo siguiente: • Plantilla de Office • Impresora • Acceso directo a los sistemas de la institución, según el perfil del funcionario • Correo Electrónico • Página de inicio de la institución La entrega se realiza por medio de una boleta que se pasa luego a la sección de control de bienes de la institución para el registro correspondiente.

2. Formateo de equipos Los equipos de cómputo se formatean solo bajo las siguientes premisas:

21 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

DIRECCIÓN GENERAL DE AUDITORÍA 2.1.

2015-05

Cuando se ejecuta la herramienta de reparación de Windows y éste identifica un problema con el sistema operativo, en estos casos el proceso es el siguiente: a. Verificación de licencias de software que tiene instalado ese equipo b. Verificación el perfil de usuario que utiliza el equipo c. Respaldo de los datos del usuario d. Formateo del equipo e. Instalación de los programas de oficina que sean necesarios, el software autorizado para ser utilizado en la institución, se muestra en el apartado 6, de este documento

2.2. Cuando se debe actualizar la versión del sistema operativo, el procedimiento es el siguiente: 2.3. Verificación de licencias de software que tiene instalado ese equipo 2.4. Verificación el perfil de usuario que utiliza el equipo 2.5. Verificación de las nuevas licencias a instalar 2.6. Registro del cambio de licencias relacionadas con el equipo 2.7. Respaldo de los datos del usuario 2.8. Formateo del equipo 2.9. Instalación del nuevo Software 2.10. Instalación de los programas de oficina que sean necesarios, el software autorizado para ser utilizado en la institución, se muestra en el apartado 6, de este documento

3. Solicitud de nuevo software El software adicional se instala en los equipos por dos razones a saber la primera porque se detecta por parte de Informática la necesidad de que un usuario tenga un software adicional para una labor específica y la otra razón es por solicitud de usuario, en ambos casos el procedimiento es el siguiente: 3.1. Se evalúa si realmente el usuario requiere un software adicional si es así se procede con el trámite, de lo contrario se le informa la forma en que puede solventar su situación con el software que tiene. 3.2. Se verifica que la institución cuente con licenciamiento respectivo, si es afirmativa la verificación se procede a realizar lo siguiente:  Se solicita al encargado de soporte técnico el número de licencia que corresponde  El encargado de soporte anota a qué equipo se asignará esa licencia y deduce se deduce de la cantidad total disponible la licencia asignada.  Se Registra de la licencia en el inventario del equipo  Se realiza la instalación respectiva.

4. Reasignación de equipos Dentro del inventario de equipos de la Institución, existe equipos sin asignar, estos equipos están en buen estado y con las licencias originales básicas instaladas (Windows y office) cuando se va a reasignar uno de estos equipos se realiza lo siguiente: 4.1. Se verifica el perfil usuario que lo utilizará el equipo 4.2. Se sigue lo especificado en el punto 3 Solicitud de nuevo software

5. Instalación de software en servidores En el caso de instalación de software en servidores el procedimiento es el siguiente: 5.1. Verificar que el software se encuentre a derecho, revisando facturas y registros del mismo, en caso de ser software libre se investiga las posibles implicaciones de dicha instalación. 5.2. Se Verifica que el servidor tenga capacidad para instalar y si la instalación no afectará otros procesos que están ejecutándose en ese servidor. 5.3. Se comunica a los usuarios que se verán afectados en los servicios ofrecidos por ese servidor, si fuera el caso, durante la instalación. 5.4. El administrador correspondiente, procede a realizar la instalación respectiva. 5.5. Se habilitan los servicios correspondientes.

6. Software Autorizado por la institución La PGR realizó una clasificación de software por tipo y autoriza para tener instalado en los equipos lo siguiente:

22 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA 6.1. Software Licenciado • Microsoft Office • Microsoft Windows • Microsoft Project • Adobe Acrobat • Visual Studio .Net • Telerik • GoogleDrive (Herramienta dotada por correo) • Microsoft Windows Server • SQL SERVER • VISION2020 • Polycom 6.2. Software Libre • Open Office • Open Project

6.3. Software No Licenciado • Skype (Se autoriza en equipos portátiles de procuradores que realizan teletrabajo y personal que requiere ese medio de comunicación para asuntos laborales) • Dropbox (Se autoriza en equipos portátiles de procuradores que realizan teletrabajo y personal que requiere ese medio de comunicación para asuntos laborales) • Team Viewer (Se autoriza para el equipo utilizado por el personal informática, para asuntos laborales) • Readiris • Kodak Capture • Safari • Opera • Putty (Se autoriza para el equipo utilizado por el personal informática, para asuntos laborales) • Omnikey • Microsoft Expressions • Go to meeting • Samsung Keys • Apple Mobile • Icloud • Jabber • Wbs – Chart - Pro 6.4. Software utilitario • Power DVD • Roxio • CCleaner • Adobe Reader • Roxio • Ciberlink • Corel DVD • VG Player

• • • • • • • •

Sonic Player Winamp Quiktime Defragger VLC media player Epson Photo QUOMO JAVA

Documento remitido por la Licda. Xenia Guerrero Arias en fecha 08-05-2015, mediante oficio NIN-23-2015

23 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA ANEXO Nº 4 Estado de licencias autorizadas e instaladas Contratación

2013CD-000087-78100

2013CD-000087-78100

2013CD-000087-78100

Licencia Microsoft Proyect Professional Software Assurance Government OPEN 1 License N° Level w/1 ProjectSvr Cal Microsoft Windows Server Standar License/Software Assurance Pack Government OPEN 1 License N° Level 2 PROC Microsoft Windows server CAL R18-01633

Incluido en la contratación SCIJ, 2013LA-000012-78100

Microsoft Office License/Software Assurance Pack Open Value 1 License Level D Microsoft Windows Professional Upgrade/Software Assurance Pack Open Value 1 License Level O Microsoft SQL Svr Standar Core 2012 Government OPEN 2 License N° Level Core License Qualified

Incluido en la contratación SCIJ, 2013LA Incluido en la contratación SCIJ, 2013LA

Microsoft Visual Studio Professional 2012 Government OPEN 1 License No Level Microsoft Windows Server Standar 2012 Government OPEN 1 License N° Level 2 PROC

2013CD-000063-78100

2013CD-000063-78100

2013CD-000095-78100

ORDEN DE COMPRA No. 4500168457

Acrobat XI Acrobat 11.0 Win AOO License LAS Acrobat 10.0 win AOO LAS Eset Smart Security Businees Microsoft SQL Server Standar Edition Assurance Government OPEN No Level Microsoft Windows Server CAL Software Assurance Government OPEN Microsoft Windows Server Standar Software 4Assurance Government OPEN Microsoft SQL CAL Software Assurance Government OPEN Level D User Cal Microsoft Office License Software Assurance Pack Government OLP Microsoft Windows Professional 801 Sngl OLP Telerik Licensing DouCraft complete developer NL

Cantidad autorizaciones

Cantidades instaladas

1

1

5 físicos o 10 virtuales

7 equipos virtuales

130

130

90

90

90

90

4

3

5

5

2 físicos o 4 virtuales 50 22

3 equipos virtuales 50 22

18 312

18 280

4

4

137 5 físicos o 10 virtuales

137 4 equipos virtuales

105 57

47

57

47

4

4

24 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA ANEXO Nº 5 SOFTWARE NO AUTORIZADO Nombre del equipo Alejandro-AO

Software detectado Garmin - Core Update Service Version 2.9.6.108.045f018 c:\Program Files (x86)\Garmin\Express TrayGarmin - Express Tray Version 3.2.29.0.4b61d73 Garmin - Express Version 3.2.29.0.4b61d73

AliciaJV

No Company Name - Samsung Kies Piriform - CCleaner Version 2, 29, 0, 1111 Samsung - Kies Version 1.0.0.1328 Samsung - KiesPDLR Version 1.0.0.1 Samsung Electronics - Kies TrayAgent Version 0.0.0.23

AnayansiAB

Piriform - CCleaner Version 2, 22, 0, 968

CristinaCM

Piriform - CCleaner Version 2, 29, 0, 1111

FedericoQS

Piriform - CCleaner Version 2, 29, 0, 1111 VideoLAN - VLC media player Version 2,2,0,0

JeanetteCV

MicroVision Development - SureThing CD Labeler Version 1.2.573 MicroVision Development - Express Labeler Version 3.2

JoseEnriqueCM

Ericsson - GPS Utility Version 6.1.12.1 Ericsson - SMS Utility Version 6.1.12.1 Ericsson - Wireless Manager Version 6.1.12.1 Lavasoft - Ad-Aware Admin Application Version 9, 0, 0, 0 Lavasoft - Ad-Aware Application Version 9, 0, 1, 0 Lavasoft - Ad-Aware Installation Package Version 8.3.0.0 Lavasoft - Ad-Aware Service Application Version 9, 0, 0, 0 Lavasoft - Ad-Aware Version 8.1.0.0 Lavasoft - Download Guard for Internet Explorer Installer Version 1.0.0.0 Lavasoft - Startup Manager Version 1, 0, 0, 236 Lavasoft - ThreatWork Application Version 9, 0, 1, 0

JUANJOSESC

Apple - Bonjour Version 3,0,0,10 Apple - iTunes Version 12.1.2.27 Apple - MobileDeviceService Version 3.3.0.0 Apple - Software Update Version 2.1.3 Avanquest Software - Sony PC Companion Version 2.0.0 Igor Pavlov - 7-Zip Version 9.20

PatriciaPM

Lavasoft Lavasoft Lavasoft Lavasoft Lavasoft Lavasoft Lavasoft Lavasoft Lavasoft

AnaVanessaMC

-

Ad-Aware Admin Version 9, 0, 1, 0 Ad-Aware Application Version 9, 0, 1, 0 Ad-Aware Installation Package Version 9.0.0.0 Ad-Aware Service Application Version 9, 0, 0, 0 Ad-Aware Version 8.1.0.0 Download Guard for Internet Explorer Installer Version 1.0.0.0 Startup Manager Version 1, 0, 0, 236 ThreatWork Application Version 9, 0, 1, 0 Ad-Aware Admin Application Version 9, 0, 0, 0

25 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

Lavasoft - Ad-Aware Application Version 9, 0, 1, 0 Lavasoft - Ad-Aware Installation Package Version 8.3.0.0 Lavasoft - Ad-Aware Service Application Version 9, 0, 0, 0 Lavasoft - Ad-Aware Version 8.1.0.0 Lavasoft - Download Guard for Internet Explorer Installer Version 1.0.0.0 Lavasoft - Startup Manager Version 1, 0, 0, 236 Lavasoft - ThreatWork Application Version 9, 0, 1, 0 Piriform - CCleaner Version 2, 29, 0, 1111 VS Revo Group - Revo Uninstaller Version 1, 9, 2, 0 EstefaniaVO

Piriform - CCleaner Version 2, 29, 0, 1111 Piriform - Defraggler Version 1.20.0.201 S-Com - PJComTest Version 1.00.0004 SGC - Edición Variables Version 1.03

GuiselaBR

Apple - Bonjour Version 3,0,0,10 Apple - iTunes Version 12.1.2.27 Apple - MobileDeviceService Version 3.3.0.0 Apple - Push Version 2.4.3.81 Apple - Software Update Version 2.1.3 AT&T Laboratories Cambridge - vncviewer Version 3, 3, 3, 2 AT&T Research Labs Cambridge - - WinVNC Versi Lavasoft - Ad-Aware Admin Application Version 9, 0, 0, 0 Lavasoft - Ad-Aware Application Version 9, 0, 1, 0 Lavasoft - Ad-Aware Installation Package Version 8.3.0.0 Lavasoft - Ad-Aware Service Application Version 9, 0, 0, 0 Lavasoft - Ad-Aware Version 8.1.0.0 Lavasoft - Download Guard for Internet Explorer Installer Version 1.0.0.0 Lavasoft - Startup Manager Version 1, 0, 0, 236 Lavasoft - ThreatWork Application Version 9, 0, 1, 0

JessicaLH

MPC-HC Team - Media Player Classic - Home Cinema Version 1.6.4.5830 (release_v1_6_3-12-gf0aca7c) Piriform - CCleaner Version 2, 29, 0, 1111

MariaMarcelaRJ MayeVM RandallSS

Piriform - CCleaner Version 2, 29, 0, 1111 Spotify - Spotify Version 0.9.14.13 Apple - Bonjour Version 3,0,0,10 Apple - iCloud for Windows Version 4.0.1.0 Apple - iCloud for Windows Version 4.1.0.0 Apple - iCloud for Windows Version 7.17.8.30 Apple - iCloud Version 3.2.26.2 Apple - iTunes Version 12.1.2.27 Apple - MobileDeviceService Version 3.3.0.0 Apple - Push Version 2.4.3.81 Apple - QuickTime QuickTime 7.7.6 (1680.95.31) Apple - Software Update Version 2.1.3 Garmin - Core Update Service Version 2.9.6.40.5733467 Garmin - Express Tray Version 3.2.27.0.f99ec17 Garmin - Express Version 3.2.27.0.f99ec17 Piriform - CCleaner Version 2, 29, 0, 1111

YeseniaMD

Observaciones: Señala la Licda. Xenia Guerrero que los programas asociados a teléfonos, si están autorizados por cuanto se utilizan para descargar información fotografiada.

26 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA ANEXO Nº 6 LICENCIAS ASIGNADAS A OTRAS PERSONAS

1. Ernesto Barboza Quirós Licencia office 2010: 4CVKG-3F2Q6-3DWFQ-C3QVX-4WMR8, asignada a KassandraMS

2.

Sandra Ulate Matamoros Licencia office 2010: MJJF3-MWBMH-WRW62-HHBVJ-2YFQV, asignada a ArturoCV

3. Ana Patricia Arias Mora Licencia office 2010: PM4V4-KH4GK-F3TPT-MQ62R-3XGH8, asignada a MayelaVM

4. Luz Argentina Zúñiga Mesén

27 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA Licencia office 2010: XGTBY-8TT2B-8HVMD-FQ2MY-VMCYH, asignada a MayelaVM

5.

Jonathan Bonilla Córdoba Licencia office 2010: W3X87-6JQ9H-B3JDD-3D6MQ-7WKGM, asignada a PriscilaPC

28 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA LICENCIAS ERRÓNEAS 1. Daniel Calvo Castro Licencia office 2010: MBQ9C-W39G7-GHJ74-BKTGT-6DKG4 Licencia correcta: MBK9C-W39G7-GHJ74-BKTGT-6DKG4

2. Jessica Lara Hidalgo Licencia office 2010: GVHVC-VWD7X-3BV7J-2K44T-428RH Licencia correcta: V7QKV-4XVVR-XYV4D-F7DFM-8R6BM

3. Sandra Morales Mora Licencia office 2010: HWBD2-4X4MH-YWQPG-PGKYF-XRVM6 Licencia correcta Office Standard 2013: KBKQT-2NMXY-JJWGP-M62JB-92CD4

4. Maikol Andrade Fernández Licencia office 2010: 6Q2HP-JYBKC-CTBHX-YTDVG-6KFV9 Licencia correcta: C6KYV-RCG9B-J99KC-3GCD4-29DQK

29 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

5. Guisella Valverde Monge Licencia office 2010: BTQV3-RMCTM-8QFR3-384FC-WYB2Q Licencia correcta: MKXVG-RHPDK-MQWP6-89F8C-FJJPJ

6. Estefanía Villalta Orozco Licencia office 2010 4NC4F-2MXT6-QFXQ2-MYPMQ-PYQ7T Licencia correcta Office Standard 2013 KBKQT-2NMXY-JJWGP-M62JB-92CD4

7. Cristina Guadamuz Blanco Licencia office 2010: 2PM72-G73RD-2FHC2-YYK8Q-BKCMJ Licencia correcta: 4DCY3-G9QY7-KM9FJ-JT6H7-KRG66

30 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

8. Carlos Valverde Arley Licencia office 2010: GVHVC-VWD7X-3BV7J-2K44T-428RH Licencia correcta: 2PM72-G73RD-2FHC2-YYK8Q-BKCMJ

9. Edgar Valverde Segura Licencia office 2010: C6KYV-RCG9B-J99KC-3GCD4-29DQK Licencia correcta: 6Q2HP-JYBCK-CTBHX-YTDVG-6KFV9

10. Julio Reyes Chacón Licencia office 2010: GWJTK-P73TJ-QJYP2-PD8MK-YKHMQ Licencia correcta: TKBBY-F7D4G-RKHTM-6YDMP-D6QK7

31 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

11. Mayela Villarevia Marín Licencia office 2010: T7CN6-MQ8VW-VY4PD-YC4BC-KWYHT Licencia correcta: KBKQT-2NMXY-JJWGP-M62JB-92CD4

12. Vilma Chavarría Vargas Licencia office 2010: FN4P4-Q4828-BC7TP-TKCC4-CR2DH Licencia correcta: BTQV3-RMCTM-8QFR3-384FC-WYB2Q

13. Beatriz Sarmiento Chaves Licencia office 2010: W2YKD-HFFRD-7FPHV-2XKRT-4DH6R Licencia correcta: 49XVY-KYDXK-BXFD4-WM2QR-JPW3G

32 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

14. Juan José Soto Cervantes

Licencia office 2007: WBWDW-7KY4T-92QMJ-YJH2H-4Y9GY Licencia correcta 2010: 9CRFG-VD8PF-QMG4Q-8RMDD-XMXR7

15. Lydiana Rodríguez Paniagua

Licencia office 2010: 4CMKJ-BV6K3-24CUJ-6JGB9-P64K2 Licencia correcta 2010: 4CMKJ-BV6K3-24CUJ-6JGB9-P64KJ

16. Andrea Calderón Gassmann

Licencia office 2010: TKK9D-VPRQX-C78DW-CR4KB-97BIP Licencia correcta 2010: TKK9D-VPRQX-C78DW-CR4KB-97BJP

33 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

17. Guillermo Fernández Lizano

Licencia office 2010: CM2MF-TMPCC-WFB4D-73W7R-9WMP8 Licencia correcta 2010: VYBBJ-TRJPB-QFQRF-QFT4D-H3GVB

18. Bertha Marín González

Licencia office 2010: MDCTV-YF44X-BTMCG-QHCWT-B9VYK Licencia correcta 2010: XHFXC-V3WGY-TCFMM-TB4PY-W2QJ3

19. Eleyte Morales Fuentes

Licencia office 2010: GGR7G-TNMF7-4MFKR-7CGV7-VT7T7 Tiene asignada otra computadora T1500 con otra licencia GPRG8-9P7XH-H4G4M-DF96Y-K38JM

34 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

20. Xenia Guerrero Arias

Licencia office 2013: BKK8T-9N8XR-3PW4H-7VQTV-VT7VT Se indica que la licencia es 2010: XGFRK-VPVKC-P3RH2-KQ29C-GM9G4

21. Nancy Morales Alvarado

Licencia office 2010: TGQVX-KXWWP-B2KXW-F4FWB-72HMB Licencia es 2010: 7Y3RY-JFC73-GFJC8-8KH93-YWDR7

35 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA 22. Marianella Barrantes Zamora

Licencia office 2010: 4DTFH-R9BX4-XXGWB-B3TGF-XWXFH Licencia es 2010: W2YKD-HFFRD-7FPHV-2XKRT-4DH6R

23. Grettel Rodríguez Fernández

Licencia office 2013: T7CN6-MQ8VW-VY4PD-YC4BC-KWYHT Licencia es 2010: KGXP3-V4Y97-R9XVJ-P7H9R-R3VGM

24. Ana Cecilia Arguedas Chen Apuy

Licencia office 2013: T7CN6-MQ8VW-VY4PD-YC4BC-KWYHT Licencia es 2010: J72HX-B4Y8B-F24PQ-DMPW4-D4QXV

25. Randall Salazar Solórzano

Licencia office 2010: 624KR-MTDRW-HGCBJ-WR437-BP7B2 Licencia es 2010: 6J4KR-MTDRW-HGCBJ-WR437-BP7B2

36 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

26. Yansi Arias Valverde

Licencia office 2010: 7WJT6-98JBM-BHFYB-V6V3Q-FCF9X Licencia es 2010: 7MJT6-98JBM-BHFYB-V6V3Q-FCF9X

27. Maureen Vega Sánchez

Licencia office 2010: 4B6YK-BPJ62-9CGPJ-PCDC2-8TDK Licencia es 2010: 4B6YK-BPJ62-9CGPJ-PCDC2-8TDJK

28. Magda I. Rojas Chaves

Licencia office 2010: KJ63K-98Y6T-CP86T-9FYVW-CHKP2 Licencia es 2010: KJ63K-98Y6T-CP86T-9F4VW-CHKP2

37 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

29. Laura Rodríguez Benavides

Licencia office 2010: 8GG-TCP4X-6BW8D-TYWWD-Q347P Licencia es 2010: HM8GG-TCP4X-6BW8D-TYWWD-Q347P

30. Guisell Jiménez Gómez

Licencia office 2010: MKQ3K-VY9MP-2RYFV-BX2TX-RQTMB Licencia es 2010: MKQ3K-VY9MP-2RYFV-BX2TX-RQTM8

31. Guillermo Bonilla Herrera

Licencia office 2010: KFVKT-44KDB-CRVFX-67XP6-R3T92 Licencia es 2010: KFVKT-44KDB-CRVFX-G7XP6-R3T92

38 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA

OFFICE 2013 Las siguientes personas tienen office 2013 en lugar del 2010 que indica el archivo digital suministrado: 1. Rodolfo Corrales Rodríguez 2. Minor Gómez Matamoros 3. Luis Humberto Pérez 4. Sakima Doyle Arguedas

39 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr

2015-05

DIRECCIÓN GENERAL DE AUDITORÍA ANEXO N° 7 IDENTIFICACION DE RIESGOS

Fuente: Plan Estratégico de Tecnologías de Información y Comunicaciones

40 Teléfono: 2256-6700 Apartado Postal: 5685-1000 website: www.mjp.go.cr