informe 013-2019 sistema internet municipal

de 1

MUNICIPALIDAD DE GOICOECHEA Cédula Jurídica 3-014-042051-23

__‘teaÍt r-a> r,ez

MG-Al-054-2020

Goicoechea, 18 de febrero de 2020

n Ni , „d.. ,y„.} Licenciado avs. • N -

.,

Sahid Salazar Castro Director Administrativo-Financiero

Señora Jenny Ulate Rojas Jefe de Cómputo

Asunto: Auditoría del Sistema de Internet Municipal.

Adjunto encontraran el Estudio de Auditoria del Sistema de Internet Municipal del Informe 013-2019.

El estudio de Auditoría se ejecutó de conformidad con, El Manual de Referencia para la Auditorías Internas (MARPAI), DFOE-0143, y las "Normas para el Ejercicio de Auditoría Interna en el Sector Público" dictadas por la Contraloría General de la República (Resolución R-DC-119-2009) y las "Normas Generales de Auditoría para el Sector Público" R-DC-064-2014.

Atentanyeldned Atada

Lic. Daniel Arce Astorga AUDITOR INTERNO

Lic. Daniel Arce Astorga, MATI Auditor Interno

:( MUNICIPALIDAD DE GOICOECHEA "-SI) ALCALDÍA MUNICIPAL

DAA/mbpiloa

LO Archivo de Auditoria

r Munícipakdad deGIS:Lita Drn,rhynentn do Informática

18 FER, 2020 (LLh00/1 jt'eCfr-1

Inrrehn A A 1 CA FEB20213 nowt, A c

RECIE31 O

Licenciada Ana Lucía Madrigal Faerron Alcaldesa Municipal

"TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"

Tels: (506) 2527-6618 • 2527-6631 • 2527-6688 • Fax: 2283-44641 Apdo: 1014-2100 GUADALUPE, SAN JOSÉ Correo electrónico: [email protected]

MUNICIPALIDAD DE GOICOECHEA

UNIDAD DE AUDITORIA INTERNA

INFORME 013-2019

"Informe de Auditoría de Internet Municipal"

Febrero 2020

i


Mr, ity, idey

INFORME DE AUDITORÍA 013-2019

AUDITORÍA DEL INTERNET MUNICIPAL

CONTENIDO

INTRODUCCIÓN 3 1.1. Origen 3 1.2. Objetivo(s) 3 1.3. Alcance 3 1.4. Responsabilidad de la Administración y la Auditoría 3 1.5. Limitaciones al alcance 3

RESULTADOS 5 2.1. Hallazgos o Procesos Susceptibles a Mejora 5 2.1.1. Insuficiencia de capacidad en el canal de conectividad a Internet 5 2.1.2. Participación limitada de Cómputo en proyectos de infraestructura municipal 7 2.1.3. Deficiencias en el aseguramiento de la continuidad de los servicios de Internet y red interna de telecomunicaciones 9 2.1.4. Ausencia de políticas y procedimientos de gestión de la plataforma de telecomunicaciones 10 2.1.5. Ausencia de portafolio de proyectos 12 2.1.6. Perfil interno de gestor de plataforma de telecomunicaciones ausente en Manuel de Puestos institucional 13 2.1.7. Ausencia de herramientas de monitoreo y administración de labores de soporte 14 2.1.8. Ausencia de metodología para control de la estructura de telecomunicaciones 16 2.1.9. Inexistencia de práctica periódica de revisión de herramienta antivirus 17 2.1.10. Certificación de red obsoleta 18

CONCLUSIÓN GENERAL 19 RECOMENDACIONES 19

4.1. A la Alcaldía Municipal 19 4.2. A la Dirección Administrativa Financiera 20 4.3. A la Jefatura de Cómputo 20

OTROS 22 FIRMAS DE ELABORACIÓN Y APROBACIÓN 22

Auditoria del Internet Municipal

Página 1 de 22

-TODOS COMPROMETIDOS CON EL MEI( )1: \ MIENTO DE NUESTRO CANTÓN"

Correo electrónico: [email protected]


t , .0 S,/ f, e

RESUMEN EJECUTIVO AUDITORIA DEL INTERNET MUNICIPAL

¿Qué se examinó?

En cumplimiento del plan anual de trabajo de la Auditoría para el período 2019, se realizó el estudio denominado Auditoría del Internet Municipal, con el objetivo de verificar el marco regulatorio y de control del sistema del Internet municipal.

El estudio se enfocó en la administración de la plataforma de redes interna y externa (Internet), a través de la gestión de suficiencia, disponibilidad y seguridad de la infraestructura de telecomunicaciones, además de la ejecución de actividades asociadas con el monitoreo, supervisión y planificación de mejoras sobre la plataforma de redes.

¿Por qué es importante?

Siendo la información el activo más importante de una institución, ésta requiere de una plataforma robusta de comunicación conforme a las capacidades financieras, estructurales y técnicas existentes, permitiendo el flujo continuo, eficiente y oportuno de los datos a lo largo de toda la organización, facilitando así su acceso no solamente por parte de los funcionarios municipales, sino también de los contribuyentes. Esta plataforma necesita un mantenimiento y valoración constante, en búsqueda de mejoras que ofrezcan servicios ágiles, modernos y confiables, ya que, ante los crecientes avances tecnológicos, se vuelve crucial la conectividad como herramienta diaria de trabajo y base para brindar accesibilidad simplificada a la ciudadanía.

¿Qué se encontró?

Se presentaron limitaciones en cuanto a la obtención de información para la realización de los procedimientos de ejecución del estudio, siendo que, a la fecha de finalización de la auditoría, se carece de respuesta para obtención de la documentación solicitada por parte de la Jefatura de Cómputo. Se identificaron diversas debilidades principalmente enfocadas en la suficiencia de capacidad del servicio de Internet municipal, la incorporación y participación del área de Cómputo en los proyectos de infraestructura municipal, la continuidad de servicios de telecomunicaciones, la definición y formalización de políticas y procedimientos en el ámbito del estudio, la implementación de herramientas y metodologías para el monitoreo y control del funcionamiento y estructuración de la plataforma de telecomunicaciones, así como el establecimiento de una práctica de gestión y supervisión de proyectos de tecnologías de información.

¿Qué sigue?

Conforme a los hallazgos encontrados en el desarrollo de este estudio, se emiten recomendaciones a fin de subsanar las situaciones identificadas, con lo cual se persigue un mejoramiento del Sistema de Control Interno, mismo que debe mantener un proceso de evolución y mejoramiento hacia una madurez que permita una administración razonable de los riesgos asociados al Internet municipal y la red interna institucional.

Auditoría del Internet Municipal

Página 2 de 22

"TODOS COMPROMETIDOS CON El , MEJORAMIENTO DE NUESTRO CANTÓN

Correo electrónico: daniel.arce@munigoicoechea,com


e_ A

1. INTRODUCCIÓN

1.1. Origen

Este estudio es de carácter tecnológico y obedece al cumplimiento de parte del Plan de Trabajo Anual de Auditoría para el año 2019, el cual ha sido puesto en conocimiento del Concejo Municipal y comunicado a la Contraloría General de la República.

El estudio se realizó con fundamento en las competencias que le confieren a la Auditoría Interna de la Municipalidad de Goicoechea el artículo 22 de la Ley General de Control Interno.

1.2. Objetivo(s)

El objetivo general es la verificación del marco regulatorio y de control del sistema del Internet municipal.

1.3. Alcance

El alcance del estudio comprendió la administración de la plataforma de redes interna y externa (Internet), a través de la gestión de suficiencia, disponibilidad y seguridad de la infraestructura de telecomunicaciones, además de la ejecución de actividades asociadas con el monitoreo, supervisión y planificación de mejoras sobre la plataforma de redes, para el periodo comprendido entre el 1 de enero de 2018 y el 31 de diciembre de 2018.

El estudio de Auditoría se ejecutó de conformidad con las "Normas para el Ejercicio de Auditoría Interna en el Sector Público" dictadas por la Contraloría General de la República (Resolución R-DC-119-2009), las "Normas Generales de Auditoría para el Sector Público" (R-DC-64-2014) y el "Manual de referencia para auditorías internas" MARPAI (DFOE-0143-2018).

1.4. Responsabilidad de la Administración y la Auditoría

La veracidad y exactitud de la información en la que se basó esta Auditoria para llegar a los resultados obtenidos en el presente informe, es responsabilidad de la Administración Activa.

La responsabilidad del profesional que realiza el estudio consiste en emitir una opinión sobre la efectividad de la gestión de los recursos de tecnología de información, así como el esfuerzo de implementación y articulación en sistemas activos tales como el Sistema de Control Interno y Sistema de Valoración de Riesgos.

1.5. Limitaciones al alcance

En reunión inicial efectuada con la Jefatura de Cómputo el día 15 de Enero 2019, se solicitó una serie de requerimientos documentales en torno a la ejecución del estudio, mismos que fueron ratificados en correo electrónico del día 23 de Enero 2019, y posteriormente emitido

Auditorio del Internet Municipal

Página 3 de 22

-TODOS CON] PROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"



&S:iba/do/Pf:o Sino

recordatorio en oficio MGAI-041-2019 del 30 de Enero 2019, para lo cual se recibe indicación por parte de la jefatura del área de Computo de que se ha presentado un problema significativo en la plataforma de servidores, el cual consumió una ardua dedicación del departamento, derivando en no poder contestar las petitorias. Posterior a esto, en fecha 18 de Febrero 2019, se envió correo electrónico a la jefatura, solicitando detalle de la información que se incluye en la actual metodología de respaldos y replicación efectuada en toda la infraestructura, conjuntamente con la emisión de nota MGAI-057-2019, en la que se remite recordatorio final sobre los pendientes acumulados, mismos que a la fecha de cierre de este estudio carecen de una respuesta recibida por este Despacho. Las requisitorias sin contestación se detallan a continuación:

. Inventario de servidores activos con sus características técnicas

. Inventario de dispositivos de telecomunicaciones vigentes (switches, routers, firewall, IPS/IDS, módems, antenas, etc.) con sus características técnicas

. Listado de computadoras conectadas a la red interna con su información técnica

. Pantallazos de firewall

. Copia de las órdenes de compra o reportes de visita relacionadas con la plataforma de telecomunicaciones para el 2018

. Diagrama o conformación de la DMZ y las VLANs existentes

. Capturas de pantalla del estado actual de la consola administrativa del antivirus

. Capturas de pantalla de las estaciones de trabajo incluidas en la herramienta antivirus

. Copia de la bitácora (log) de antivirus (Noviembre-Diciembre 2018)

. Listado de usuarios de correo con su respectivo perfil

. Capturas de pantalla de la consola administrativa del correo electrónico

. Copia de última certificación de red de la Municipalidad

. Características técnicas de aplicativo móvil

. Copia del oficio original con el que se comunicó propuesta de actualización de página web

. Copia del reporte de Bomberos donde se señalan deficiencias en el centro de datos

. Copia de documentación que evidencia la implementación de cableado categoría 6a en el segundo piso

. Copia de los oficios donde se propuso la ampliación del ancho de banda de internet (según oferta del ICE) y respuesta por parte de la Dirección Administrativa Financiera

. Copia de los oficios donde se comunica la situación presentada en las comunicaciones con el Mercado Libre ante la construcción de nueva estructura (techado)

. Copia de los oficios de comunicación referentes a la integración del nuevo edificio de Auditoría Interna a la red interna municipal

. Capacitaciones referentes a telecomunicaciones brindadas a personal de Cómputo


Página 4 de 22

- )s COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CAN I )N"



cittd;lioi",; 121~~ 2. RESULTADOS

A continuación, se presentan los resultados del estudio de auditoría. Asimismo, con fundamento en los resultados obtenidos, así como en las potestades conferidas en la Ley General de Control Interno artículos 12 inciso c), 36 y 37, se emiten recomendaciones a la entidad auditada, en virtud de las circunstancias encontradas, para mejorar los controles internos, la eficiencia operativa y los resultados institucionales en cada uno de los resultados en que aplique

2.1. Hallazgos o Procesos Susceptibles a Mejora

2.1.1. Insuficiencia de capacidad en el canal de conectividad a Internet

En entrevista el día 15 de Enero 2019 a la Jefatura de Cómputo, se expresó que se presentan constantes quejas de los usuarios sobre el pobre desempeño del Internet y el impacto reiterado que esta insuficiencia genera en las actividades municipales, lo cual se verificó en los comentarios brindadas vía correo electrónico por varios funcionarios, debido a la consulta planteada el día 8 de Febrero 2019. A raíz de ello, se procedió a ejecutar una prueba de conectividad a través del uso del comando ping (utilitario de diagnóstico que envía muy pequeños paquetes de datos de control para comprobar el estado de comunicación entre el equipo local y una dirección específica) del sistema operativo Windows, con el cual se observó la cantidad de pérdida de paquetes y el tiempo promedio de respuesta (latencia) ante solicitudes de conexión a Internet, lo cual se resume a continuación:

Área Dirección IP % paquetes perdidos

Latencia promedio

In eniería 129.222.20.90 17% 226ms Alcaldía 192.168.17.105 16% 274ms Cobros 129.222.20.143 17% 235ms Catastro 129.222.20.73 17% 241ms Auditoría 129.222.20.125 22% 246ms

Desarrollo Humano

192.168.22.185 18% 241ms

En los resultados expuestos se comprobó un promedio de 17.8% de paquetes perdidos al intentar efectuar la comunicación con la página web www.a000le.com, lo cual representa una cantidad considerable de caídas de Internet a lo largo de la jornada de trabajo, conjuntamente con un tiempo promedio de 243.8ms y máximo de 893ms (computadora de Ingeniería), indicando una importante latencia en la infraestructura de telecomunicaciones. De igual manera, se procedió a ejecutar una prueba de la velocidad de conexión de Internet a través de la herramienta web SpeedTest de Ookla (https://www.speedtest.net/es), la que arrojó los siguientes datos:


Página 5 de 22

"TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN'

Correo electrónico: daniel.arce nunigoicoechea.com


eyk,

Área Velocidad de descarga

Velocidad de carga

In eniería 1.21 Mb s 1.63 Mb s Alcaldía 0.95 Mb s 1.93 Mb s Cobros 0.59 Mb s 0.97 Mb s Catastro 0.48 Mb s 1.05 Mb s Auditoría 1.89 Mb s 2.64 Mb s

Desarrollo Humano 0.22 Mb s 1.29 Mbps

Dado lo anterior, se vislumbró una distribución heterogénea del ancho de banda en la institución, así como una experiencia de usuario degradada, donde la velocidad total de Internet contratada con el Instituto Costarricense de Electricidad (ICE) de 10MBPS, se erosiona en el trayecto hacia cada estación de trabajo, mostrando una disminución significativa de la misma.

En lo que interesa, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE) indican:

"1.2 Gestión de la calidad La organización debe generar los productos y servicios de TI de conformidad con los requerimientos de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo."

"1.4.7 Continuidad de los servicios de TI La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios."

12.3 Infraestructura tecnológica La organización debe tener una perspectiva clara de su dirección y condiciones en materia tecnológica, así como de la tendencia de las TI para que, conforme a ello, optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinámica y evolución de las TI."

"4.2 Administración y operación de la plataforma tecnológica La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Para ello debe:

c. Identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfacción y garantizar la oportuna adquisición de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnológicas"

Asimismo, las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE) exponen que:

"5.7 Calidad de la comunicación El jerarca y los titulares subordinados, según sus competencias, deben establecer los procesos necesarios para asegurar razonablemente que la comunicación de la información se da a las instancias pertinentes y en el tiempo propicio, de acuerdo con las necesidades de los usuarios, según


Página 6 de 22

"TODOS compROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"



los asuntos que se encuentran y son necesarios en su esfera de acción. Dichos procesos deben estar basados en un enfoque de efectividad y mejoramiento continuo."

"5.7.1 Canales y medios de comunicación Deben establecerse y funcionar adecuados canales y medios de comunicación, que permitan trasladar la información de manera transparente, ágil, segura, correcta y oportuna, a los destinatarios idóneos dentro y fuera de la institución."

"5.7.3 Oportunidad La información debe comunicarse al destinatario con la prontitud adecuada y en el momento en que se requiere, para el cumplimiento de sus responsabilidades."

La ausencia de un proceso de monitoreo y análisis sobre la utilización y desempeño de la plataforma de telecomunicaciones (lo que imposibilita la detección de altos niveles de congestión en la red o bajas capacidades del hardware), una rápida y constante evolución tecnológica que impulsa el uso de los recursos informáticos y su interconexión a nivel interno y externo de la organización, aunado a una descentralización de sus requerimientos y una faltante de planificación estratégica que permita una gestión proactiva y búsqueda del aprovechamiento óptimo de las tecnologías vigentes, así como un limitado apoyo en las propuestas de inversión para el ámbito de las telecomunicaciones, se presentan como los aspectos que han originado la deficiencia planteada.

Esta insuficiencia propicia la incursión en reprocesos debido a las restricciones de conectividad (información desfasada o incompleta, lentitud o interrupción en las cargas de datos, cierre de conexiones), uso ineficiente de los recursos de telecomunicaciones, retrasos en las diversas actividades municipales que requieren accesibilidad a Internet, afectación en la atención al público con el consecuente daño de imagen institucional, incumplimientos normativos debido a incapacidad de respuesta o remisión de información por medios electrónicos, y las consecuentes pérdidas económicas ante fallos operativos.

2.1.2. Participación limitada de Cómputo en proyectos de infraestructura municipal

Conforme a una revisión efectuada de los expedientes 2013LA-000015-01, 2017LN-000005-01, 2017LA-000020-01 y 2018LA-000008-01, así como lo señalado por la Jefatura de Cómputo en entrevista efectuada el día 15 de Enero 2019, los proyectos de infraestructura ejecutados en la Municipalidad carecen de una participación activa del área de Cómputo, tanto en su concepción, diseño, inspección y aprobación, por lo que, en los casos de los proyectos de "Construcción de Techo de Mercado Libre de Guadalupe" y "Construcción de oficina de la Auditoría Interna y Reconstrucción Área de la Secretaría Municipal" se suscitaron inconvenientes de conexión que debieron ser solventados como emergencia, ante el impacto materializado en las comunicaciones, la ausencia de una incorporación de necesidades tecnológicas coordinadas dentro de los estudios o desarrollo de las obras, y la exclusión del área de Cómputo en las notificaciones y procesos de seguimiento al avance de los proyectos.


Página 7 de 22

-TODOS COM 1)1:( II DOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"



,Mídito

Al respecto, las Normas de Control Interno para el Sector Público señalan lo siguiente:

"4.5.2 Gestión de proyectos El jerarca y los titulares subordinados, según sus competencias, deben establecer, vigilar el cumplimiento y perfeccionar las actividades de control necesarias para garantizar razonablemente la correcta planificación y gestión de los proyectos que la institución emprenda, incluyendo los proyectos de obra pública relativos a construcciones nuevas o al mejoramiento, adición, rehabilitación o reconstrucción de las ya existentes. Las actividades de control que se adopten para tales efectos deben contemplar al menos los siguientes asuntos: Il..1

La designación de un responsable del proyecto con competencias idóneas para que ejecute las labores de planear, organizar, dirigir, controlar y documentar el proyecto.

La planificación, la supervisión y el control de avance del proyecto, considerando los costos financieros y los recursos utilizados, de lo cual debe informarse en los reportes periódicos correspondientes. Asimismo, la definición de las consecuencias de eventuales desviaciones, y la ejecución de las acciones pertinentes.

e. La evaluación posterior, para analizar la efectividad del proyecto y retroalimentar esfuerzos futuros."

"5.3 Armonización de los sistemas de información con los objetivos La organización y el funcionamiento de los sistemas de información deben estar integrados a nivel organizacional y ser coherentes con los objetivos institucionales y, en consecuencia, con los objetivos del SCI."

De igual manera, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información estipulan que:

4.5.2 Gestión de proyectos El jerarca y los titulares subordinados, según sus competencias, deben establecer, vigilar el cumplimiento y perfeccionar las actividades de control necesarias para garantizar razonablemente la correcta planificación y gestión de los proyectos que la institución emprenda, incluyendo los proyectos de obra pública relativos a construcciones nuevas o al mejoramiento, adición, rehabilitación o reconstrucción de las ya existentes. Las actividades de control que se adopten para tales efectos deben contemplar al menos los siguientes asuntos: 1.1


La planificación, la supervisión y el control de avance del proyecto, considerando los costos financieros y los recursos utilizados, de lo cual debe informarse en los reportes periódicos correspondientes. Asimismo, la definición de las consecuencias de eventuales desviaciones, y la ejecución de las acciones pertinentes.

e. La evaluación posterior, para analizar la efectividad del proyecto y retroalimentar esfuerzos futuros."

"5.3 Armonización de los sistemas de información con los objetivos La organización y el funcionamiento de los sistemas de información deben estar integrados a nivel organizacional y ser coherentes con los objetivos institucionales y, en consecuencia, con los objetivos del SCI."


Página 8 de 22

"TODOS COMPROMETIDOS CON El, MEJORAMIENTO DE NUESTRO CANTÓN-



yez,

El área mayoritariamente encargada de los proyectos de infraestructura abarca de forma individualizada las actividades asociadas, brindando poca relevancia al impacto de las tecnologías de información en dichos proyectos, conjuntamente con una ausencia de política interna que regule la participación de todos los involucrados en la formulación y desarrollo de los proyectos, así como la creación de una figura de administrador de proyectos (PM), se consideran como causas de esta situación.

La situación expuesta conlleva a la incursión en erogaciones no planificadas ante requerimientos tecnológicos emergentes, implementación de soluciones de baja calidad, ineficientes o incompatibles con las necesidades de seguridad y escalabilidad, proyectos insatisfactorios en el cumplimiento de sus objetivos, denegación temporal de servicios tecnológicos o retrasos en la ejecución de procesos organizacionales.

2.1.3. Deficiencias en el aseguramiento de la continuidad de los servicios de Internet y red interna de telecomunicaciones

La plataforma de telecomunicaciones de la Municipalidad adolece de una planificación de continuidad de servicios o contingencia en caso de desastres, aspecto que se expone en cuestionario de control interno aplicado hacia la Jefatura de Cómputo el día 16 de Enero 2019, así como el documento adjunto al oficio DCE-004-2019 del 14 de Enero 2019, mismo que carece de una definición de actividades y controles aplicables en los distintos escenarios de interrupción del negocio y afectación a la prestación de servicios tecnológicos.

Aunado a lo anterior, según la información brindada en oficio DCE-006-2019 del 16 de Enero 2019 y los comentarios emitidos en entrevista a la señora jefa de Computo, el día 15 de Enero 2019, actualmente los dispositivos de comunicación más sensitivos (switches de distribución en este caso) así como los servidores en el centro de datos (entre lo que se encuentran el encargado de asignación dinámica de direcciones, resolución de nombres de dominio y controlador de dominio, además del anfitrión del Sistema de Cobro y Administración) adolecen de duplicación o replicación hacia otros recursos que permitan una rápida recuperación en caso de afectaciones importantes.

Las complicaciones ante ausencia de planes de contingencia, fueron evidenciadas en el suceso del día 17 de Enero 2019, momento en el cual se presentó un fallo en el servidor de dominio y DNS (Sistema de Nombres de Dominio por sus siglas en inglés) que impactó a toda la institución, y para el que fue necesaria una contratación de emergencia bajo orden de compra número 61925 del 30 de Enero 2019 por un monto de $4700, conforme a solicitud y visto bueno en oficio DCE-009-A-2019 del 21 de Enero 2019 proveniente del área de Cómputo, la cual requirió de un período de tiempo significativo para la resolución del caso

En este sentido, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, emitidas por la Contraloría General de la República, determinan lo siguiente:


Página 9 de 22

—TODOS COMPROMETIDOS CON El. MEJORAMIENTO DE NUESTRO CANTÓN"



s V , .0

"1.4.7 Continuidad dolos servicios de TI La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad."


c. Identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfacción y garantizar la oportuna adquisición de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnológicas."

Complementario a ello, las Normas de Control Interno para el Sector Público, añaden:

"5.7.3 Oportunidad La información debe comunicarse al destinatario con la prontitud adecuada y en el momento en que se requiere, para el cumplimiento de sus responsabilidades."

"5.9 Tecnologías de información El jerarca y los titulares subordinados, según sus competencias, deben propiciar el aprovechamiento de tecnologías de información que apoyen la gestión institucional mediante el manejo apropiado de la información y la implementación de soluciones ágiles y de amplio alcance. Para ello deben observar la normativa relacionada con las tecnologías de información, emitida por la CGR. En todo caso, deben instaurarse los mecanismos y procedimientos manuales que permitan garantizar razonablemente la operación continua y correcta de los sistemas de información."

El escenario encontrado tiene como causas la carencia de planificación estratégica que comprenda la creciente evolución tecnológica, una implementación de infraestructura basada en situaciones de emergencia, un faltante de políticas relacionadas con la contingencia y continuidad de negocios, aunado a un apoyo limitado a las inversiones de tecnologías de información.

Dadas estas circunstancias, la Municipalidad podría percibir sus efectos en la denegación de servicios con la consecuente afectación en la atención del contribuyente, incursión en erogaciones no proyectadas, pérdida parcial o total de información, incapacidad temporal de recuperación ante desastres, e incluso incumplimiento normativo ante una incapacidad de respuesta a entidades externas o requerimientos legales internos.

2.1.4. Ausencia de políticas y procedimientos de gestión de la plataforma de telecomunicaciones

Según entrevista inicial del día 15 de Enero 2019, las respuestas brindadas en cuestionario de control interno aplicado el 16 de Enero 2019, y la información contenida en oficio DCE-004-2019, la Jefatura de Cómputo indica que hay una ausencia de políticas y

Auditoria del -Internet Municipal

Página 10 de 22

IODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN



Plity h /e ri; ide4 4 ,

procedimientos referentes a la gestión, implementación, supervisión, mantenimiento y soporte de la infraestructura de telecomunicaciones, conjuntamente con el faltante de un plan de seguridad para la plataforma tecnológica de la Municipalidad, donde se refleje un análisis de los riesgos inherentes e implementación de controles asociados para garantizar los criterios de información.

A raíz de la ausencia de políticas de seguridad que delimiten los parámetros con los cuales serán implementados los diferentes dispositivos de telecomunicaciones, se presentan brechas de seguridad en las cuales se prescinde de restricciones de conectividad (limitación de acceso a equipos hacia red interna por identificación de dirección MAC u otro método que se considere apto) hacia la red institucional, carencia de un ordenamiento e identificación del cableado estructurado, así como deficiencias en la incorporación de medidas de continuidad y estabilidad eléctrica en los racks, lo cual se corroboró a través de pruebas físicas presenciales los días 8 y 11 de Febrero 2019.

Dado lo anterior, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, se refiere a esto en los siguientes apartados:

"1.1 Mamo estratégico de TI El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas de la organización, mediante un proceso continuo de promulgación y divulgación de un marco estratégico constituido por políticas organizacionales que el personal comprenda y con las que esté comprometido."

"3.1 Consideraciones generales de la implementación de TI La organización debe implementar y mantener las TI requeridas en concordancia con su marco estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica. Para esa implementación y mantenimiento debe:

Adoptar políticas sobre la justificación, autorización y documentación de solicitudes de implementación o mantenimiento de TI."

"3.4 Contratación de terceros para la implementación y mantenimiento de software e infraestructura La organización debe obtener satisfactoriamente el objeto contratado a terceros en procesos de implementación o mantenimiento de software e infraestructura. Para lo anterior, debe: 1..1

Establecer una política relativa a la contratación de productos de software e infraestructura."

"4.2 Administración y operación de la plataforma tecnológica La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Para ello debe: a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operación de la plataforma."

Aunado a esto, las Normas de Control Interno para el Sector Público regulan, en su sección 4.1 Actividades de control, el tema en cuestión, a saber:

"El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar, como parte del SCI, las actividades de control pertinentes, las que comprenden las políticas, los procedimientos y los mecanismos que contribuyen a asegurar razonablemente la operación y el fortalecimiento del SCI y el logro de los objetivos


Página 11 de 22

IODOS o:\ 1PROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"



g/, snc

institucionales. Dichas actividades deben ser dinámicas, a fin de introducirles las mejoras que procedan en virtud de los requisitos que deben cumplir para garantizar razonablemente su efectividad."

La principal causa de lo previamente enunciado radica en el faltante de una planificación estratégica y la definición de un marco de gestión, conjuntamente con el enfoque del área de Cómputo en actividades ajenas a los servicios tecnológicos, el desconocimiento sobre la importancia de un compendio de políticas internas para la estandarización de labores, así como la ausencia de un rol dentro del departamento cuya orientación se dirija hacia la conceptualización y supervisión del cumplimiento del control interno.

El hallazgo expuesto puede derivar en la existencia de procesos ambiguos, incongruentes con los objetivos institucionales, o alejados de los estándares y mejores prácticas, implementaciones tecnológicas infructuosas o con brechas de seguridad significativas, inadvertida obsolescencia de la plataforma, uso ineficiente de los recursos con el consecuente desgaste acelerado de los mismos, así como riesgos de pérdida, daño o hurto de información.

2.1.5. Ausencia de portafolio de proyectos

A través de la información obtenida en aplicación de cuestionario de control interno a la Jefatura de Cómputo, y lo expresado en nota DCE-004-2019 del día 14 de Enero 2019, el área bajo estudio adolece de un portafolio de proyectos documentado donde se plasmen antecedentes, alineación estratégica, objetivos, alcances, análisis de viabilidad y factibilidad, métricas de evaluación, y demás factores que sustenten técnica y económicamente la aprobación y ejecución de cada propuesta.

Sobre este particular, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE), exponen lo citado a continuación:

"1.5 Gestión de proyectos La organización debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y presupuesto óptimos preestablecidos."

"1.6 Decisiones sobre asuntos estratégicos de TI El jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoría de una representación razonable de la organización que coadyuve a mantener la concordancia con la estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio en la asignación de recursos y a la adecuada atención de los requerimientos de todas las unidades de la organización"

De igual manera, las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE) estipulan en su sección 4.5.2 Gestión de proyectos, que

"El jerarca y los titulares subordinados, según sus competencias, deben establecer, vigilar el cumplimiento y perfeccionar las actividades de control necesarias para garantizar razonablemente la correcta planificación y gestión de los proyectos que la institución emprenda,


Página 12 de 22

"TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN'.



(-/esr4o- A tete?m

incluyendo los proyectos de obra pública relativos a construcciones nuevas o al mejoramiento, adición, rehabilitación o reconstrucción de las ya existentes. Las actividades de control que se adopten para tales efectos deben contemplar al menos los siguientes asuntos:

La identificación de cada proyecto, con indicación de su nombre, sus objetivos y metas, recursos y las fechas de inicio y de terminación.


La planificación, la supervisión y el control de avance del proyecto, considerando los costos financieros y los recursos utilizados, de lo cual debe informarse en los reportes periódicos correspondientes. Asimismo, la definición de las consecuencias de eventuales desviaciones, y la ejecución de las acciones pertinentes."

Un enfoque de trabajo reactivo en el área de Cómputo, conjuntamente con una falta de planificación estratégica, así como el desconocimiento de la importancia del establecimiento del portafolio, y la ausencia de una política o área dentro de la organización que apoye la gestión de proyectos de diversa índole, y la descentralización de los requerimientos tecnológicos, se consideran las causas de esta carencia.

La mencionada falencia propicia la incursión en proyectos inconclusos o innecesarios con sus respectivas pérdidas financieras, uso ineficiente de los recursos tecnológicos, aceleración de la obsolescencia en la plataforma de telecomunicaciones, capacidades limitadas de procesamiento de información, conflictos de necesidades y adquisiciones entre las diferentes áreas de la organización, así como dificultades para la justificación, aprobación y asignación presupuestaria para compras informáticas.

2.1.6. Perfil interno de gestor de plataforma de telecomunicaciones ausente en Manuel de Puestos institucional

Por medio de la revisión de los perfiles de puesto del personal del área de Cómputo según el Manual de Puestos institucional, se observó la ausencia de un rol especializado en la gestión de las telecomunicaciones, siendo que el puesto de Programador (clave 20-2002) se enfoca de manera general en el soporte de hardware y software (incluyendo el "dar mantenimiento al equipo de cómputo, a los programas y a la red general"), y carece de requerimientos en torno a competencias técnicas, formación o experiencia afines al ámbito de las telecomunicaciones o telemática, aunado a que, conforme a lo expuesto en oficio DCE-004-2019, solo un funcionario se le ha capacitado en temas de redes dentro del área de Cómputo, y, a pesar de esto, el mismo funge como Auxiliar de Cómputo (clave 20-1004, ratificado en oficio DRH 0167-2019 del 12 de Febrero 2019), perfil ajeno al previamente mencionado, y cuyas responsabilidades se alejan del ámbito en cuestión.

En lo que interesa, las Normas de Control Interno para el Sector Público indican lo siguiente:

"2.5 Estructura organizativa El jerarca y los titulares subordinados, según sus competencias y de conformidad con el ordenamiento jurídico y las regulaciones emitidas por los órganos competentes, deben procurar


Página 13 dc 22

—TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"

Correo electrónico: daniel.arceáránunigoicoechea.com


*7, o'

una estructura que defina la organización formal, sus relaciones jerárquicas, líneas de dependencia y coordinación, así como la relación con otros elementos que conforman la institución, y que apoye el logro de los objetivos. Dicha estructura debe ajustarse según lo requieran la dinámica institucional y del entorno y los riesgos relevantes."

"1.8 Contribución del SCI al gobierno corporativo El SCI debe contribuir al desempeño eficaz y eficiente de las actividades relacionadas con el gobierno corporativo, considerando las normas, prácticas y procedimientos de conformidad con las cuales la institución es dirigida y controlada, así como la regulación de las relaciones que se producen al interior de ella y de las que se mantengan con sujetos externos."

Asimismo, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, exponen que:

"2.5 Estructura organizativa El jerarca y los titulares subordinados, según sus competencias y de conformidad con el ordenamiento jurídico y las regulaciones emitidas por los órganos competentes, deben procurar una estructura que defina la organización formal, sus relaciones jerárquicas, líneas de dependencia y coordinación, así como la relación con otros elementos que conforman la institución, y que apoye el logro de los objetivos. Dicha estructura debe ajustarse según lo requieran la dinámica institucional y del entorno y los riesgos relevantes."

"1.8 Contribución del SCI al gobierno corporativo El SCI debe contribuir al desempeño eficaz y eficiente de las actividades relacionadas con el gobierno corporativo, considerando las normas, prácticas y procedimientos de conformidad con las cuales la institución es dirigida y controlada, así como la regulación de las relaciones que se producen al interior de ella y de las que se mantengan con sujetos externos."

Algunas labores sobrecargadas e incompatibles asumidas por el área de Cómputo, aunado a una estructura desactualizada del departamento y roles obsoletos plasmados en el Manual de Puestos, conjuntamente con un faltante de capacitación especializada para el personal interno, se presentan como los aspectos que han originado la deficiencia planteada.

La situación expuesta conlleva a una dependencia en proveedores externos para la atención de casos complejos y sensitivos dentro de la plataforma de telecomunicaciones, exponiendo a la entidad a altos riesgos de brechas de seguridad e integridad de la información y los dispositivos, un desconocimiento de la composición de la infraestructura vigente, y altas erogaciones para la resolución de problemas haciendo un uso ineficiente de los recursos financieros; asimismo esto podría representar una incapacidad de respuesta oportuna ante emergencias.

2.1.7. Ausencia de herramientas de monitoreo y administración de labores de soporte

La plataforma de telecomunicaciones de la Municipalidad carece de una herramienta instalada que permita el monitoreo, control y supervisión constante de comportamiento en cuanto a desempeño y capacidad de uso de los diferentes dispositivos que la conforman, según lo indicado en entrevista inicial con la Jefatura del Departamento de Cómputo, con


Página 14 de 22

—TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CAN I )N-•



tCau fr , e .4 y y,. a

ratificación conforme a respuestas del cuestionario de control interno aplicado para este estudio, e información brindada en oficio DCE-006-2019 del 16 de Enero 2019.

En la indagación ejecutada se verificó también que, dado que la identificación y atención de casos se realiza solamente ante reportes de funcionarios municipales, se presenta una ausencia de un registro formal documentado de los diversos incidentes reportados sobre la plataforma tecnológica, donde se ingresen las soluciones aplicadas, recursos utilizados y tiempos de resolución, con el fin de mantener un aprendizaje de las diferentes situaciones que se suscitan en esta infraestructura.

El Reglamento para el Uso de Equipos de Cómputo, Programas Informáticos y Accesorios en la Municipalidad de Goicoechea hace mención, en su artículo 14, a lo siguiente:

"Las actividades en línea serán controladas, a solicitud de la jefatura respectiva, cuando se tenga conocimiento de que un funcionario está desacatando alguna de las anteriores disposiciones"

En lo que atañe a esta condición, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, determinan lo siguiente:

"4.2 Administración y operación de la plataforma tecnológica La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Para ello debe: T-3 b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de la plataforma, asegurar su correcta operación y mantener un registro de sus eventuales fallas.

e. Controlar la ejecución de los trabajos mediante su programación, supervisión y registro."

"4.4 Atención de requerimientos de los usuarios de TI La organización debe hacerle fácil al usuario el proceso para solicitar la atención de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de manera eficaz, eficiente y oportuna; y dicha atención debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia."

"45 Manejo de incidentes La organización debe identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI. Además, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario."

Las Normas de Control Interno para el Sector Público también refieren a este tema, a saber:

"5.8 Control de sistemas de información El jerarca y los titulares subordinados, según sus competencias, deben disponer los controles pertinentes para que los sistemas de información garanticen razonablemente la calidad de la información y de la comunicación, la seguridad y una clara asignación de responsabilidades y administración de los niveles de acceso a la información y datos sensibles, así como la garantía de con fidencialidad de la información que ostente ese carácter."

"6.3.1 Seguimiento continuo del SCI

Auditorfa del Internet Municipal

Página 15 de 22

"TODOS COMPROMETIDOS CON FL MEJORAMIENTO DE NUESTRO CANTÓN"

Correo electrónico: daniel.arce@munigoicoecheacom


g/

.01

1 e

Los funcionarios en el curso de su labor cotidiana, deben observar el funcionamiento del SCI, con el fin de determinar desviaciones en su efectividad, e informadas oportunamente a las instancias correspondientes."

El desconocimiento de la importancia de estas herramientas dentro de la gestión de la plataforma tecnológica, aunado a una cultura interna del departamento asociada a la atención rápida de casos sin documentación u aplicación de estándares, así como un faltante de presupuesto asignado para las adquisiciones pertinentes, se consideran como causas de esta ausencia.

Esta falencia puede conllevar a la incursión en reprocesos de soporte o mantenimiento ante una ausencia de aprendizaje sobre incidencias previas, uso ineficiente de los recursos que componen la plataforma de telecomunicaciones, y atención inoportuna de situaciones acontecidas en la infraestructura con los consecuentes riesgos de pérdida de información y acelerado desgaste de los componentes electrónicos.

2.1.8. Ausencia de metodología para control de la estructura de telecomunicaciones

A partir de lo indicado en entrevista con la Jefatura de Cómputo el día 15 de Enero 2019, conjuntamente con la obtención de documentación bajo oficio DCE-004-2019 del 14 de Enero 2019, y las respuestas compiladas en cuestionario de control interno aplicado el 16 de Enero 2019 a la mencionada jefatura, se validó que el diagrama físico donde se vislumbra la composición de la red de telecomunicaciones municipal está desactualizado e incompleto, con carencia de detalles sobre conformación de VLANs (red de área local virtual) y DMZ (zona desmilitarizada), posicionamiento de los dispositivos, áreas abarcadas y tipificación de cableado, además de la ausencia de un diagrama lógico de red que permita identificar el flujo de información a través de las diferentes subredes, protocolos y puertos. Adicionalmente, por medio de esta indagación, se constató que la entidad adolece de un inventario de dispositivos de telecomunicaciones donde se refleje de manera exacta y confiable las características técnicas de estos, sus períodos de garantía, licenciamiento asociado, información de proveedor, y repositorios de configuración relacionados vigentes e históricos

Al respecto, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE), señalan lo siguiente:

"2.3 Infraestructura tecnológica La organización debe tener una perspectiva clara de su dirección y condiciones en materia tecnológica, así como de la tendencia de las TI para que, conforme a ello, optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinámica y evolución de las TI."



Página 16 de 22

-TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"



I' .0

Controlar la composición y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar verificaciones físicas periódicas"

El escenario encontrado tiene como causa el desconocimiento de la importancia de estas metodologías dentro de la gestión de la plataforma tecnológica, aunado a una cultura interna del departamento asociada a la atención rápida de casos sin la respectiva documentación u aplicación de estándares, así como el faltante de personal capacitado dentro del área de Cómputo para la incursión en diagramación y valoración de configuraciones de seguridad.

Las situaciones expuestas conducen a un uso ineficiente de los recursos tecnológicos que componen la plataforma de telecomunicaciones, limitada capacidad de respuesta ante incidentes o emergencias, riesgo de pérdida de información de parametrizaciones, y dificultades para la identificación de orígenes de fallos dentro de la infraestructura.

2.1.9. Inexistencia de práctica periódica de revisión de herramienta antivirus

Según se expone en oficio DCE-004-2019 emitido por el área de Cómputo, dentro de la plataforma tecnológica municipal se posee una herramienta antivirus corporativa por medio de la empresa McAfee, con licenciamiento vigente a la fecha de la revisión, sin embargo, según lo indicado en cuestionario de control interno aplicado a la Jefatura de Cómputo el día 16 de Enero 2019, se carece de una práctica para la revisión periódica sobre las actividades de la herramienta y las bitácoras de eventos registrados por la misma.

En lo que interesa, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, emitidas por la Contraloría General de la República, indican:

"1.4.1 Implementación de un mamo de seguridad de la información La organización debe implementar un marco de seguridad de la información, para lo cual debe:

Mantener una vigilancia constante sobre todo el mamo de seguridad y definir y ejecutar periódicamente acciones para su actualización."

"1.4.4 Seguridad en las operaciones y comunicaciones La organización debe implementar las medidas de seguridad relacionadas con la operación de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y proteger la integridad del software y de la información. Para ello debe: a. Implementar los mecanismos de control que permitan asegurar la no negación, la autenticidad, la integridad y la con fidencialidad de las transacciones y de la transferencia o intercambio de información.

Establecer medidas preventivas, detectivas y correctivas con respecto a software "malicioso" o virus"

La principal causa de lo previamente enunciado radica en el desconocimiento de la importancia de esta práctica como parte de los controles de seguridad, aunado a un


Página 17 de 22

-TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"

Correo electrónico: daniel.arce@munigoicoecheucom


vd. f. e y k

enfoque del área de Cómputo basado en la atención reactiva, así como la asunción histórica en el departamento de labores incompatibles con servicios tecnológicos.

El hallazgo expuesto puede derivar en la presencia de ataques malintencionados no identificados que pueden conllevar a una pérdida, hurto o corrupción de información, detrimentos económicos ante equipos dañados, denegación de servicios tecnológicos o de negocio, y degradación o interrupción de las comunicaciones tanto internas como externas.

2.1.10. Certificación de red obsoleta

Conforme a lo indicado en entrevista del 15 de Enero 2019 con la Jefatura de Cómputo, confirmado en oficio DCE-004-2019, la Municipalidad posee una certificación de la red interna, la cual corresponde al 2006, año en que fue inicialmente implementado el cableado estructurado, por lo que la misma se encuentra desactualizada ante los diferentes cambios que se han efectuado sobre la infraestructura a lo largo del tiempo, así como el avance en las tecnologías asociadas.

Sobre este particular, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, exponen lo citado a continuación:

"2.2 Modelo de arquitectura de información La organización debe optimizar la integración, uso y estandarización de sus sistemas de información de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, sólo la información que sus procesos requieren."

"2.3 Infraestructura tecnológica La organización debe tener una perspectiva clara de su dirección y condiciones en materia tecnológica, así como de la tendencia de las TI para que, conforme a ello, optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinámica y evolución de las TI."

"5.2 Seguimiento y evaluación del control interno en TI El jerarca debe establecer y mantener el sistema de control interno asociado con la gestión de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de las medidas correctivas implementadas."

La ausencia de una planificación estratégica que plasme la dirección tecnológica institucional, así como un enfoque del área de Cómputo hacia una atención reactiva de los incidentes suscitados y resolución de emergencias, se consideran las causas de esta deficiencia.

Dada esta circunstancia, la Municipalidad podría incursionar en posibles incumplimientos normativos, así como riesgos de degradación de las comunicaciones internas y externas.


Página 18 de 22

"TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CAN I


MUNICIPALIDAD DE GOICOECHEA Cédula

y;

Jurídica3-014-042051-23

yr ,y, 3. CONCLUSIÓN GENERAL

Este Despacho considera que, al 26 de febrero 2019, los hallazgos encontrados durante este estudio en el sistema del Internet municipal no permiten tener una seguridad razonable sobre la conservación de los criterios de información (confiabilidad, integridad, confidencialidad, efectividad y cumplimiento) que se requieren sobre los recursos institucionales. Por lo tanto, la opinión general es que la institución requiere mejorar el nivel de madurez existente en torno a la alineación de capacidades en los servicios informáticos conforme a las necesidades de la organización, la integración entre áreas durante la planificación y ejecución de proyectos municipales, la formalización de políticas y procedimientos en el ámbito tecnológico, el aseguramiento de la continuidad de negocio, y el seguimiento del control interno aplicado a la infraestructura de telecomunicaciones de la entidad.

4. RECOMENDACIONES

De conformidad con las competencias asignadas en el artículo 12 de la Ley General de Control Interno, N° 8292, se emiten las siguientes recomendaciones, las cuales deberán estar debidamente cumplidas en los plazos conferidos para tales efectos y que cuentan a partir de la fecha de recibo de este informe.

Para el cumplimiento de las recomendaciones, deberán dictarse lineamientos claros y específicos y designar puntualmente los responsables de ponerlos en práctica, por lo que estas instrucciones deberán emitirse por escrito y comunicarse formalmente, así como definir los plazos razonables para su implementación, de manera que la administración activa pueda establecer las responsabilidades respectivas en caso del no cumplimiento de éstas.

Además, el órgano o funcionario a quién se gira la recomendación es el responsable de su cumplimiento, por lo cual deberá realizar las acciones pertinentes para verificar que los funcionarios subordinados a quienes se designen su instauración, cumplan con lo ordenado dentro del plazo que se les otorgó.

Esta Auditoría se reserva la posibilidad de verificar, mediante los medios que considere pertinentes, la efectiva implementación de las recomendaciones emitidas, así como de valorar la aplicación de los procedimientos administrativos que correspondan, en caso de incumplimiento injustificado de tales recomendaciones

4.1. A la Alcaldía Municipal

4.1.1. Emitir, de manera inmediata a la recepción de este informe, las directrices pertinentes que promuevan la incorporación activa del área de Cómputo en todos los proyectos de infraestructura institucional, en aras de validar el impacto que cada

Auditor-la del Internet Municipal

Página 19 de 22

IODOS COMPRO \II III )0S CON El. MEJORAMIENTO DE NUESTRO CANTÓN"



s toiye S 0~ uno de ellos pueda tener en la plataforma tecnológica de la Municipalidad. Lo manifestado se basa en hallazgo 2.1.2

4.1.2. En un plazo no mayor a tres meses a partir del recibido de este informe, definir, elevar a aprobación, y proceder a la implementación inicial de una política interna que establezca los roles y responsabilidades, técnicas, herramientas, estándar de actividades, y documentación requerida para la adecuada gestión de proyectos a nivel institucional según las buenas prácticas. La recomendación se fundamenta conforme a lo expuesto en hallazgo 2.1.2

4.2. A la Dirección Administrativa Financiera

4.2.1. Presentar, conjuntamente con la Jefatura de Cómputo, en un plazo máximo de dos meses a partir del recibido de este informe, una propuesta técnicamente fundamentada que valore la viabilidad para ampliación de las capacidades actuales del Internet municipal, definiendo con esta, un cronograma de implementación de la solución seleccionada que solvente las deficiencias actuales en este ámbito. Esto se cimenta en lo expresado en hallazgo 2.1.1

4.2.2. En un plazo no mayor a tres meses a partir del recibido de este informe, definir conjuntamente con el área de Cómputo, elevar a aprobación, asignar los contenidos presupuestarios pertinentes, y proceder a la implementación inicial, de un plan de continuidad de los servicios tecnológicos de la Municipalidad, donde se plasmen las acciones a ejecutar para solventar los distintos escenarios que requieran labores de contingencia y aseguramiento de la disponibilidad de las comunicaciones. Esta recomendación se basa en lo indicado en el hallazgo 2.1.3

4.2.3. Proceder, en un plazo máximo de tres meses a partir del recibido de este informe, a efectuar una revalidación y actualización de los perfiles asociados al área de Cómputo dentro del Manual de Puestos institucional, con el fin de alinear las responsabilidades y competencias a la realidad actual de las tecnologías de información, y la dirección tecnológica y organizacional que emprende la Municipalidad. Lo anterior tiene sustento según hallazgo 2.1.6

4.3. A la Jefatura de Cómputo

4.3.1. Investigar, evaluar de forma documental, y ejecutar las labores necesarias para implementar, en un plazo máximo de dos meses posteriores a la recepción de este informe, la herramienta física o lógica pertinente para la gestión, filtrado de contenido, y supervisión de características de seguridad y capacidad del servicio de Internet dentro de la Municipalidad. Lo anterior conforme a lo señalado en el hallazgo 2.1.1

4.3.2. En un plazo no mayor a dos meses a partir del recibido de este informe, definir, elevar a aprobación, difundir, y proceder a la implementación inicial de una política que regule la administración de la plataforma de telecomunicaciones, así como los


Página 20 de 22

>I)( )ti )MPROMETI DOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN



407 .1 of ivie471.2ez

procesos de instalación, soporte, mantenimiento y supervisión sobre dicha infraestructura. Lo manifestado se basa en hallazgo 2.1.4

4.3.3. Documentar, en un plazo máximo de tres meses desde el recibido de este informe, un portafolio de proyectos del área, que incluya el sustento técnico, análisis de factibilidad, y métricas de evaluación del éxito, para cada una de las propuestas emitidas para la atención de las necesidades tecnológicas actuales y futuras dentro de la Municipalidad. La recomendación se fundamenta conforme a lo expuesto en hallazgo 2.1.5

4.3.4. Investigar, evaluar e implementar, en un plazo máximo de tres meses después de recibido este informe, las herramientas pertinentes para mantener un monitoreo constante de la plataforma de telecomunicaciones municipal, así como el registro, priorización, seguimiento, supervisión y resguardo de soluciones, de todos los incidentes y problemas atendidos por el área de Cómputo. Lo anterior conforme a lo señalado en el hallazgo 2.1.7

4.3.5. Implementar, en un plazo máximo de dos meses a partir del recibido de este informe, los métodos para conservar una diagramación física y lógica actualizada de la red de telecomunicaciones de la Municipalidad, conjuntamente con la recopilación de la información técnica respectiva, en aras de mantener un inventario actualizado de todos los componentes de dicha plataforma. Esta recomendación se basa en lo indicado en el hallazgo 2.1.8

4.3.6. Implementar, en un plazo máximo de dos meses a partir del recibido de este informe, una metodología para recopilar, almacenar y salvaguardar las configuraciones, tanto de seguridad como de conectividad, de todos los dispositivos de red presentes en la infraestructura de telecomunicaciones municipal. Esto se cimenta en lo expresado en hallazgo 2.1.8

4.3.7. Incluir, de manera inmediata a la recepción de este informe, la práctica de revisión y análisis periódico de la consola administrativa de la herramienta antivirus, vigencia de licenciamiento y distribución en red, y su bitácora asociada, dentro de las labores del área de Cómputo, y posteriormente proceder a documentar las actividades pertinentes dentro de la política o procedimiento que se considere apropiado, elevando ésta a aprobación y formalización. Lo manifestado se basa en hallazgo 2.1.9

4.3.8. Presentar, en un plazo máximo de seis meses a partir del recibido de este informe, un plan de mejoramiento y actualización de la infraestructura de telecomunicaciones de la Municipalidad, determinando los pasos para optar por una certificación de red interna institucional. La recomendación se fundamenta conforme a lo expuesto en hallazgo 2.1.10


Página 21 de 22

"TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"


Aprobado por: Elaborado 'or:

Nombre: Lic. Mi Puesto: Auxiliar

enes Portuguez Nombre: Lic. Dan Arce Astorga, MATI oría a.i Puesto: Auditor Interno

Troy 5;7? ud


r_St‘dieS' 12/21~

5. OTROS

Queda en poder de esta Auditoría expediente digital en carpeta de respaldo alojada en servidor de este Despacho, y un expediente físico con 349 folios útiles como justificantes del trabajo realizado.

6. FIRMAS DE ELABORACIÓN Y APROBACIÓN

Auditorio do! Internet Municipal Página 22 do 22

-TODOS COMPROMETIDOS CO:\ EL MEJORAMIENTO DE NUESTRO (\\JO\

informe 013-2019 sistema internet municipal

Documents