ministerio de hacienda - república de costa rica€¦ · web viewautorizado por los propietarios...

San José, 18 de noviembre del 2014INF-DGAI-029-2014

LicenciadoHelio Fallas VenegasMinistro

ASUNTO: Informe de Control Interno referente a la evaluación de la gestión de la seguridad del sistema TICA.

Estimado señor:

Nos permitimos presentarle el informe INF-DGAI-029-2014 relativo al estudio sobre la evaluación de la gestión de la seguridad del Sistema de Tecnología de Información para el Control Aduanero (TICA).

En el apartado de resultados se presentan algunos aspectos de control interno relacionados con la gestión de la seguridad del sistema TICA y el cumplimiento de la normativa que rige dicha materia; que requieren ser revisados y fortalecidos por la Administración, por lo que se formulan en el informe las recomendaciones correspondientes, las cuales están sujetas a las disposiciones del artículo 37 de la Ley Nº 8292 Ley General de Control Interno, que establece un plazo improrrogable de 30 días hábiles, contados a partir de la fecha de recibo del informe, para ordenar la implementación de las recomendaciones.

Por lo anterior, conforme con esa normativa y el Manual para la atención de Informes de la Dirección General de Auditoría Interna vigente en el Ministerio de Hacienda, le agradecemos comunicar a esta Dirección la decisión que se tome al respecto dentro del plazo antes señalado, así como en un tiempo razonable el plan de acción que se defina para la implantación efectiva de las acciones que se recomiendan.

Dejándolo informado para la toma de decisiones de este Despacho.

Atentamente,

Máster. Juan de Dios Araya NavarroDirector General

JDANR/oma/tcsc. Estudio Nº 017-2013

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3era. 50mts sur del Teatro Nacional. San José, Costa Rica. Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr

http://www.hacienda.go.cr/

INFORME SOBRE EVALUACIÓN DE LA GESTIÓN DE LA SEGURIDAD DEL SISTEMA TICA

INF-DGAI-029-2014

DIRECCIÓN GENERAL DE AUDITORÍA INTERNANoviembre, 2014

DGAI-000-2014



INF-DGAI-029-2014


TABLA DE CONTENIDO

Resumen Ejecutivo................................................................................................................................................................i

1. Introducción...................................................................................................................................................................1

1.1 Origen.......................................................................................................................................................................1

1.2 Objetivo....................................................................................................................................................................1

1.3 Alcance.....................................................................................................................................................................1

1.4 Comunicación oral de resultados.............................................................................................................................1

1.5 Normativa relacionada con Control Interno..............................................................................................................1

1.6 Generalidades..........................................................................................................................................................2

2. Resultados ....................................................................................................................................................................3

2.1 Necesidad de un Marco de Seguridad de la Información........................................................................................3

2.2 Necesidad de mejoras en el Plan de Contingencia.................................................................................................7

2.3 Necesidad de mejorar aspectos de Seguridad Lógica...........................................................................................10

2.3.1 Sobre el acceso al ambiente de producción..........................................................................................................10

2.3.2 Sobre políticas de clasificación de la información..................................................................................................11

2.3.3 Sobre la administración de perfiles y códigos de usuario......................................................................................12

3. Conclusiones...............................................................................................................................................................16

4. Recomendaciones.......................................................................................................................................................17



INF-DGAI-029-2014Página: i de ii


RESUMEN EJECUTIVO

El estudio se realizó en atención al Plan de Trabajo Anual 2014 de esta Auditoría Interna y comprendió la revisión de la seguridad del Sistema de Tecnología de Información para el Control Aduanero (TICA), en cuanto a los planes de seguridad y de contingencia que atañen y contemplan a dicho sistema, así como la normativa que rige dicha temática; a fin de determinar si las medidas de control garantizan en forma razonable la confidencialidad, integridad, pertinencia y la disponibilidad de la información.

Actualmente, este sistema es administrado por la Dirección de Tecnología de Información y Comunicaciones (DTIC), en razón de la reorganización realizada en el Ministerio en setiembre del 20131; donde se centraliza en una sola Dirección la temática de las tecnologías de información e informática; suprimiendo con ello las distintas unidades organizacionales de informática existentes en las diversas direcciones de la Institución.

La Dirección General de Aduanas ha orientado recursos y esfuerzos en el uso de herramientas tecnológicas que faciliten el comercio internacional, así como el control de las operaciones aduaneras, para promover el desarrollo económico y social del país; no obstante, en el estudio se determinó algunos aspectos de control susceptibles de mejora en relación con la seguridad del Sistema TICA, lo anterior de conformidad con la normativa vigente y las mejores prácticas en la utilización de esos recursos, a saber:

Marco de Seguridad de la Información. Existe la necesidad de elaborar dicho marco, con el fin de que se constituya en un estándar en seguridad, que permita establecer los principios organizativos y funcionales de la seguridad informática de la plataforma tecnológica administrada por la DTIC y que facilite los servicios institucionales; recopilar las políticas de seguridad que rigen dicha actividad, definir las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre la infraestructura de seguridad implementada; brindándole especial énfasis a los temas de seguridad que conciernen al sistema TICA.

Plan de Contingencias para TI. Resulta necesaria la revisión y mejora del Plan de Contingencias del sistema TICA, con el fin de establecer la estrategia y operación que ayudará a controlar una situación de emergencia que pudiera afectar la adecuada prestación de servicios del sistema, buscando minimizar sus consecuencias negativas a través de la implementación de una serie de procedimientos alternativos al funcionamiento normal de la aplicación, cuando alguna de sus funciones usuales se ve perjudicada por una contingencia interna o externa.

Seguridad Lógica. Para fortalecer la infraestructura de seguridad de los bienes y servicios tecnológicos administrados por la DTIC, es necesario tomar las medidas requeridas para eliminar prácticas improcedentes en términos de seguridad, como la aplicación de cambios en los datos de producción ejecutados por el personal desarrollador del sistema TICA; y por otra parte, el establecer estándares de seguridad, como la clasificación de la información procesada por los distintos sistemas y con especial interés en lo que se refiere al sistema en mención, que permita definir un conjunto apropiado de niveles de protección.

Asimismo, resulta importante el fortalecimiento de una sana y adecuada gestión de los perfiles y los códigos de usuarios, a través de la revisión y análisis periódico para evaluar si cumplen los requerimientos en seguridad y funcionalidad del sistema TICA; así como implementar instrumentos administrativos para homogeneizar el desempeño de los funcionarios en la ejecución de labores inherentes a dicha administración, como un procedimiento para la atención de solicitudes relacionadas con la gestión de códigos de usuario y uno que defina las actividades requeridas, para efectuar una revisión periódica de los códigos de usuario y su actividad dentro del sistema.

1 Decreto N° 37859-H, publicado en La Gaceta No. 167 del 02 de setiembre del 2013.



INF-DGAI-029-2014Página: ii de ii

Se formulan las recomendaciones correspondientes en el informe, para efectos de que a la brevedad posible se valoren y tomen las medidas correctivas que proceden.



INF-DGAI-029-2014Página: 1 de 19


1. INTRODUCCIÓN

1.1 Origen

El presente estudio se origina de conformidad con el Plan de Trabajo Anual del 2013 y reprogramado en el Plan de Trabajo Anual 2014.

1.2 Objetivo

Evaluar la seguridad de la información del Sistema Tecnología de Información para el Control Aduanero, (TICA), a fin de determinar si las medidas de control implementadas garantizan en forma razonable la confidencialidad, integridad, pertinencia y disponibilidad de la información aduanera.

1.3 Alcance

El estudio comprendió la revisión de los controles en la seguridad del sistema TICA, el cual es administrado por la Dirección de Tecnología de Información y Comunicaciones (DTIC), en aspectos relevantes tales como el plan general de seguridad y de contingencia, así como tópicos referentes a su seguridad lógica, conforme con la normativa vigente y las mejores prácticas en el uso de las tecnologías de información. El período evaluado comprendió el año 2013, extendiéndose cuando se consideró necesario.

La auditoría se realizó de acuerdo con la normativa aplicable al ejercicio de la Auditoría Interna del Sector Público; así como con las Normas Técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE) emitidas por la Contraloría General de la República y la metodología de COBIT Versión 4.1 (Objetivos de Control para la Información y Tecnologías relacionadas) en lo que resultaron aplicables.

1.4 Comunicación oral de resultados

Los resultados del estudio y sus recomendaciones fueron comunicados oralmente el día 10 de octubre del 2014 al Lic. Rafael Bonilla Vindas, Director General de Aduanas; Lic. Benito Coghi Morales, Subdirector General de Aduanas; Lic. Rafael Madrigal Rubí, Jefe del Departamento de Estadística y Registro, DGA; Lic. Alfredo Abarca Rojas, Director de Tecnologías de Información y Comunicación; Licda. María Isabel Vargas Zúñiga, Subdirectora de Tecnologías de Información y Comunicación; Licda. Ana Patricia Hidalgo González, Departamento de Control y Aseguramiento de TIC, DTIC y al Lic. Franklin Meléndez Garita, Jefe de la Unidad de Seguridad de TIC, DTIC; quienes indicaron en términos generales estar de acuerdo con la presentación de los resultados y las recomendaciones.

Además, indicaron la anuencia a hacer las gestiones pertinentes con el fin de realizar las mejoras que se indican en las recomendaciones propuestas.

1.5 Normativa relacionada con Control Interno

A fin de prevenir efectos negativos por inobservancia de la legislación vigente, se transcriben los artículos de la Ley General de Control Interno Nº 8292 (LGCI), que regulan los deberes del jerarca y titulares subordinados en cuanto al sistema de control interno y la atención de informes.

“Artículo 10. Responsabilidad por el sistema de control interno. Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional.



INF-DGAI-029-2014Página 2 de 19

Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.”

“Artículo 12. Deberes del jerarca y de los titulares subordinados en el sistema de control interno.// …c) Analizar e implantar, de inmediato, las observaciones, recomendaciones y disposiciones formuladas por la auditoría interna, la Contraloría General de la República, la auditoría externa y las demás instituciones de control y fiscalización que corresponde…”

“Artículo 37.-Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implementación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente.”

“Artículo 39.-Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios.[…] // Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente. […]”

1.6 Generalidades

La Ley General de Aduanas establece el ámbito aduanero, que regula las entradas y las salidas del territorio nacional de mercancías, vehículos y unidades de transporte, también el despacho aduanero y los hechos y actos que deriven de él o de las entradas y salidas, de conformidad con las normas comunitarias e internacionales, cuya aplicación esté a cargo del Servicio Nacional de Aduanas (SNA) 2

El SNA como órgano con competencia exclusiva a nivel nacional en materia aduanera, es el encargado de garantizar una correcta recaudación de tributos y participar como facilitador y contralor en el comercio internacional de mercancías, protegiendo intereses superiores de la colectividad, como lo son: salud, seguridad, ambiente, propiedad intelectual y patrimonio arqueológico, entre otros. El Servicio está constituido por la Dirección General de Aduanas, las aduanas, sus dependencias y los demás órganos aduaneros. 3

A su vez, la Dirección General de Aduanas (DGA) dependencia del Ministerio de Hacienda tiene la responsabilidad de garantizar el cumplimiento de leyes y reglamentos que norman el tráfico internacional de mercancías. Está a cargo de un Director y un Subdirector General.

Las funciones de la DGA incluyen dentro de sus competencias, además de la administración de los tributos que gravan la importación, el control de los diferentes regímenes aduaneros y la emisión de consultas, criterios o resoluciones anticipadas, directrices y normas de aplicación general sobre la materia aduanera.

Con el propósito de cumplir sus objetivos, la DGA en coordinación con la Dirección General de Informática- DGI, en el año 2005 adquirió el sistema informático Tecnología de Información para el Control Aduanero, conocido como “TICA” que vino a constituir una herramienta de apoyo a la gestión aduanera y en la interacción con los auxiliares, instituciones públicas y demás usuarios; aprovechando las facilidades que el sistema permite y su uso por medio de la red Internet.

El sistema TICA fue administrado por la Dirección de Gestión Tecnológica Aduanera de la DGA; sin embargo, con la nueva estructura organizacional de la Dirección de Tecnología de Información y

2 Artículo Nº1, Ley General de Aduanas, Decreto Nº 25270 del 14 de junio de 1996.3 Artículo Nº8, Ley General de Aduanas, Decreto Nº 25270 del 14 de junio de 1996.




Comunicación del Ministerio de Hacienda (DTIC) establecida en el Decreto Ejecutivo N° 37859-H publicado el 02 de setiembre del 2013, el cual centralizó las diversas dependencias informáticas ubicadas en todo el Ministerio, para estandarizar y unificar los servicios informáticos que se brindan; el sistema TICA pasa a ser administrado por la DTIC.

2. RESULTADOS

2.1 Necesidad de un Marco de Seguridad de la Información

Se determinó en el estudio que el sistema TICA no cuenta con un marco de seguridad de la información, ni tampoco se encuentra contemplado en forma general que abarque los servicios y sistemas informáticos que administra la DTIC, donde se establezca de forma precisa la organización y funciones que invirtieren en la seguridad informática y que contemple las políticas de seguridad, responsabilidades y procedimientos relativos; teniendo como fin primordial el garantizar razonablemente la adecuada prestación de los servicios institucionales, en especial los prestados por el sistema TICA a las actividades ejecutadas dentro del Servicio Nacional de Aduanas (SNA)

Al respecto, el Lic. Randall Hernández Solano, actual Jefe de la Unidad de Sistemas Aduaneros-DTIC, quien fuera el encargado de Seguridad de la Dirección General de Informática (DGI), manifiesta que “no se posee un plan integrado de seguridad” y agrega que “no se ha recibido retroalimentación acerca de la incorporación del sistema TICA, en la reestructuración de la gestión de la Seguridad Informática.”4

Por su parte, el Lic. Franklin Meléndez Garita, actual Jefe de la Unidad de Seguridad de TIC-DTIC expresa que se está efectuando un diagnóstico de la situación a nivel institucional de los recursos de TI que administran la DTIC 5, el cual podría constituir un insumo inicial para el establecimiento del plan general de seguridad informática.

Sobre el particular, debe tenerse presente que el Marco de Seguridad Informática constituye un estándar en seguridad coherente para los usuarios, la gerencia y el personal técnico, y un documento básico que establece los principios organizativos y funcionales de la actividad de seguridad informática, que recopila las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el sistema.

De conformidad con las buenas prácticas, un Plan o Marco General de Seguridad Informática, debe contener cuando menos los siguientes elementos:

a. Alcance: expresará el radio de acción que abarca el plan, de acuerdo al sistema informático objeto de protección, para el cual fueron determinados los riesgos y diseñado el sistema de seguridad.

b. Caracterización del sistema Informático: describirá el resultado de la caracterización realizada al sistema informático de la entidad, con el objetivo de determinar qué se trata de proteger, especificando sus principales componentes:

Bienes informáticos, su organización, importancia y criticidad de los recursos de TI. Redes instaladas, estructura, tipo y plataformas que utilizan. Aplicaciones en explotación. Servicios informáticos y de comunicaciones disponibles, especificando si son en calidad de clientes o

servidores. Características del procesamiento, transmisión y conservación de la información, teniendo en cuenta

el flujo interno y externo y los niveles de clasificación de la misma.

4 Minuta Nº 2, del 29 de Mayo del 2014, al Lic. Randall Hernández Solano, Unidad de Sistemas Aduaneros - DTIC.5 Minuta Nº 3 del 24 de Julio del 2014, al Lic. Franklin Meléndez G., Jefe de la Unidad de Seguridad - DTIC.




Otros datos de interés.

Al describirse el sistema informático se hará uso, en los casos que lo requieran, de diferentes tipos de esquemas, tablas, gráficos, entre otros; a fin de facilitar su comprensión.

c. Resultados del Análisis de Riesgos: en este acápite deberán relacionarse las principales conclusiones obtenidas en ese proceso, entre las cuales es fundamental que se contemple:

I. Cuáles son los activos y recursos más importantes para la gestión de la organización y por lo tanto requieren de una atención especial desde el punto de vista de la protección, especificando aquellos considerados de importancia crítica por el peso que tienen dentro del sistema.

II. Qué amenazas actúan sobre los activos y recursos a proteger y entre ellas, cuáles tienen una mayor probabilidad de materializarse (riesgo) y su posible impacto sobre la entidad.

III. Cuáles son los activos, recursos y áreas con un mayor peso de riesgo y qué amenazas lo motivan.

La importancia del análisis de riesgos, estriba en que las conclusiones sean más precisas, se logre una visión más acertada de hacia dónde, pueden ser dirigidos los esfuerzos de seguridad y por supuesto los recursos disponibles, y así lograr que sea más efectiva y económica.

d. Políticas de Seguridad Informática: En esta sección se definen los aspectos que conforman la estrategia a seguir sobre la base de sus características propias y de conformidad, con la política vigente en esta materia y el sistema de seguridad diseñado, mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el sistema informático, las cuales se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos, resoluciones y otros documentos rectores.

Al definir las políticas de seguridad informática se considerarán, entre otros, los aspectos siguientes:

El empleo conveniente y seguro de las tecnologías instaladas y cada uno de los servicios que éstas pueden ofrecer.

El tratamiento que requiere la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría.

La definición de los privilegios y derechos de acceso a los activos de información para garantizar su protección contra modificaciones no autorizadas, pérdidas o revelación.

Los principios que garanticen un efectivo control de acceso a las tecnologías, incluyendo el acceso remoto, y a los locales donde éstas se encuentren.

La salvaguarda y conservación de la información. La conexión a redes externas a la organización, en especial las de alcance global y la utilización de

sus servicios. Los requerimientos de seguridad informática a tener en cuenta durante el diseño o la adquisición

de nuevas tecnologías o proyectos de software. La definición de los principios relacionados con el monitoreo del correo electrónico, la gestión de

las trazas de auditoría y el acceso a los ficheros de usuario. El mantenimiento, reparación y traslado de las tecnologías y el personal técnico que requiere

acceso por esos motivos. Las regulaciones con relación a la certificación, instalación y empleo de los Sistemas de Protección

Electromagnética. Las regulaciones relacionadas con la certificación, instalación y empleo de los Sistemas

Criptográficos, en los casos que se requiera. Los principios generales para el tratamiento de incidentes y violaciones de seguridad.

e. Sistema de Seguridad Informática: en esta sección se describe cómo se implementan, en las áreas a proteger, las políticas generales que han sido definidas para toda la entidad, en correspondencia con las




necesidades de protección en cada una de ellas, atendiendo a sus formas de ejecución, periodicidad, personal participante y medios.

Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles de seguridad alcanzados se elaborará un Programa de Seguridad Informática, que incluya las acciones a realizar por etapas para lograr niveles superiores.

Dicho apartado puede desglosarse de la siguiente forma:

Medios Humanos: Hace referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseño, establecimiento, control, ejecución y actualización del mismo. Describe la estructura concebida en la organización para la gestión de la seguridad informática, especificando las atribuciones y funciones de las distintas categorías de personal.

Medios Técnicos de Seguridad: describirán los medios técnicos utilizados en función de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración.

Medidas y Procedimientos de Seguridad para los siguientes aspectos:

De Protección Física: que buscan proteger las áreas que se consideran vitales y reservadas en correspondencia con el tipo de información que se procese; las de empleo de medios técnicos de protección física directamente aplicados a las TI, las que refieren al control de las TI existentes, durante su explotación, conservación, mantenimiento y traslado y las que atañen al régimen de control establecido sobre los soportes magnéticos de información (identificación física y lógica, condiciones de conservación, borrado o destrucción física de la información clasificada o limitada y para el traslado de los soportes, garantizando la integridad y confidencialidad de la información clasificada o limitada).

Técnicas o Lógicas: Se especificarán las medidas y procedimientos de seguridad que se establezcan, cuya implementación se realice a través de software, hardware o ambas, contemplando los siguientes temas: Identificación de Usuarios, Autenticación de usuarios, Control de acceso a los activos y recursos, Integridad de los ficheros y datos, así como la Auditoría y Alarmas.

De Seguridad de Operaciones: se incluirán las medidas y procedimientos relacionados con los siguientes aspectos: Identificación y control de las tecnologías en explotación, control sobre la entrada y salida en la entidad de TI (máquinas portátiles, periféricos, soportes, etc.), metodología para las salvas de la información (periodicidad, responsabilidades, cantidad de versiones, entre otros), acciones específicas durante las conexiones externas a la entidad , autorizar (denegar) servicios a los usuarios , gestión de las claves de acceso , gestión de salvas de respaldo (salvaguarda), mantenimientos de los equipos, soportes y datos, además de salva y análisis de registros o trazas de auditoría.

De Recuperación ante Contingencias : Se describirán las medidas y procedimientos de neutralización y recuperación ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informática o degraden su funcionamiento, minimizando el impacto negativo de éstas sobre la entidad.

f. Planificación de Implementación: en este apartado se programan las actividades y tiempos estimados, en que se proyecta implementar las medidas o políticas establecidas, atendiendo a sus formas de ejecución, periodicidad, personal participante y medios requeridos.




g. Evaluación Periódica: se establece el procedimiento para efectuar la evaluación periódica y sistemática, del impacto que han tenido esas medidas, con el propósito de determinar su efectividad y actualizar el sistema de seguridad informática, de modo que proyecte el nuevo grado de madurez adquirido.

h. Ejecución de procesos de concienciación y capacitación del personal: en este último acápite se establece el procedimiento a seguir, así como la planificación de las actividades que se proponen para lograr una adecuada concienciación y capacitación del personal en referencia a los alcances del marco de seguridad.

Al respecto, las Normas Técnicas para la gestión y el control de las TI (N-2-2007-CO-DFOE), emitidas por la Contraloría General de la República, en su apartado 1.4.1 sobre la Implementación de un marco de seguridad de la información, estipula lo siguiente:

“La organización debe implementar un marco de seguridad de la información, para lo cual debe:

a. Establecer un marco metodológico que incluya la clasificación de los recursos de TI, según su criticidad, la identificación y evaluación de riesgos, la elaboración e implementación de un plan para el establecimiento de medidas de seguridad, la evaluación periódica del impacto de esas medidas y la ejecución de procesos de concienciación y capacitación del personal.// b. Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar periódicamente acciones para su actualización.// c. Documentar y mantener actualizadas las responsabilidades tanto del personal de la organización como de terceros relacionados.”

Entre las mejores prácticas, la metodología COBIT 4.1, en su objetivo de control DS 5.2 que aborda el tema del Plan de Seguridad de TI estipula que: “Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan está implementado en las políticas y procedimientos de seguridad junto con las inversiones apropiadas en los servicios, personal, software y hardware. Comunicar las políticas y procedimientos de seguridad a los interesados y a los usuarios.”

El contar con el instrumento antes descrito, permitiría conocer y definir claramente el sistema informático (bienes informáticos, redes, aplicaciones, servicios) que se requiere proteger dentro del plan, identificar de forma precisa las amenazas o vulnerabilidades para los recursos de información utilizados en la consecución de sus objetivos, y permitan decidir que contramedidas (protecciones o controles) tomar para reducir el riesgo a un nivel aceptable, basándose en el valor del recurso de información y su posible impacto en el sistema.

Asimismo, se constituiría en un estándar en seguridad que recopile las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas sobre el sistema informático (bienes informáticos, redes, aplicaciones, servicios), y evitar así el riesgo de que existan amenazas y vulnerabilidades que se puedan estar presentando en el Sistema TICA que no se estén considerando y por consecuencia, no se estén tomando las medidas de seguridad necesarios para mitigar la interrupción, fallas o sabotaje; más si consideramos la relevancia de la aplicación que administra la información generada por las operaciones relacionadas con el comercio exterior y los tributos por ese concepto, a cargo del Servicio Nacional de Aduanas.

En la comunicación de resultados efectuada el 10 de octubre del 2014, señalada en el punto 1.4 del presente informe, la Licda. María Isabel Vargas Zúñiga, Subdirectora de la DTIC destaca que si se han efectuado esfuerzos en el tema de seguridad, tal como la implementación en el 2009, de la Política de Seguridad de TIC del Ministerio de Hacienda (2-00-002-001POL-09), versión 3 y que se encuentra vigente actualmente.

Asimismo, el Lic. Alfredo Abarca Rojas, Director de la DTIC comenta que la Política de Seguridad de TIC del Ministerio, está siendo presentada para su aprobación al CITI y al señor Ministro para poder proceder a implementarla y divulgarla.




2.2 Necesidad de mejoras en el Plan de Contingencia

Se determinó que el sistema de TICA no cuenta con un plan de contingencia actualizado, que establezca de forma precisa, la estrategia y operativa que ayudará a controlar una situación de emergencia, que pudiera afectar la adecuada prestación de los servicios del sistema y minimizar sus consecuencias negativas, por medio de la implementación de procedimientos alternativos al funcionamiento normal, que se activan cuando alguna de sus funciones usuales se ve afectada por una contingencia interna o externa.

Sobre el tema, se conoce que en el año 2008, el personal de lo que fuese la Dirección de Gestión Tecnológica Aduanera de la Dirección General de Aduanas elaboró un Plan de Continuidad, que fue objeto de actualización en el año 2012; no obstante, dicha propuesta de actualización no fue concluida ni oficializada.

Al respecto el Lic. Hernández Solano, Jefe de la Unidad de Sistemas Aduaneros-DTIC manifiesta que “dicho plan es un poco improvisado y no se encuentra orientado a la valoración de riesgos, ni el impacto en el negocio”6 Asimismo, agrega “se tiene proyectado la implementación de un plan de contingencia global que contemple los aspectos propios de cada uno de los sistemas y servicios a cargo de la DTIC.” 7

Cabe indicar que según lo que dictan las buenas prácticas en materia de TI, un Plan de Contingencia debería contemplar al menos los siguientes elementos:

a. Objetivos tanto generales como específicos del plan.

b. Alcance del plan: delimita el ámbito de acción que abarca el plan.

c. Descripción del Entorno Informático que especifica los componentes en términos de hardware, software, instalaciones físicas y eléctricas, personal en TI, telecomunicaciones, servicios y otros elementos complementarios que soportan la información o datos críticos para la correcta función y operación del Ministerio.

d. Identificación y Análisis de Riesgos: después de identificar los componentes del entorno informático que deben ser protegidos, corresponde identificar los daños que pueden sufrir, sus posibles causas o fuentes y oportunidad, su impacto en el Ministerio, y su importancia dentro del mecanismo de funcionamiento del mismo. En cumplimiento de dicho fin, se pueden considerar las siguientes actividades:

Análisis de Riesgos. Análisis de Impacto. Determinación de Recursos Críticos. Análisis de Amenazas y Vulnerabilidades.

e. Plan de Mitigación: establecer y desarrollar estrategias y procedimientos previos a la eventual

materialización del riesgo u ocurrencia de la emergencia, tendientes a mitigarlos, al reducir al máximo las consecuencias o posibles pérdidas, para asegurar un proceso de recuperación con el menor costo posible. En este tema se consideran aspectos como: procesos de respaldo, documentación relativa a los recursos críticos, establecer un centro de cómputo alterno, elaborar medidas preventivas implementadas o a implementar ante lo distintos riesgos determinados y otros.

f. Plan de Contención: contemplan las acciones, así como los procedimientos que deben ser ejecutados inmediatamente cuando se presenta el siniestro o desastre.

6 Minuta Nº 2, del 29 de Mayo del 2014, al Lic. Randall Hernández Solano, Unidad de Sistemas Aduaneros - DTIC.7 Minuta Nº 2, del 29 de Mayo del 2014, al Lic. Randall Hernández Solano, Unidad de Sistemas Aduaneros - DTIC.




En esta fase se establece el procedimiento de emergencia a ejecutar en la sala de cómputo, se establece el grupo o equipo de trabajo que administra la emergencia, así como los contactos o medios de comunicación del equipo.

g. Plan de Recuperación: en aquellos casos que la interrupción del servicio va a ser por largo tiempo, se debe poner en ejecución una fase de recuperación del siniestro, que establece los procedimientos requeridos para la restauración de los sistemas que hayan sido afectados.

El lapso de tiempo de interrupción será estimado después de ejecutado el plan de contención y una vez que se haya evaluado el alcance de las fallas que se presentaron.

h. Evaluación de Resultados: una vez concluidas las labores de recuperación de los sistemas que fueron afectados por el siniestro, se debe evaluar objetivamente, todas las actividades realizadas, con que eficacia se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del Plan de Acción, como se comportaron los equipos de trabajo y otros.

De la evaluación de resultados y del siniestro, deberían de obtenerse dos tipos de recomendaciones, una la retroalimentación del Plan de Contingencias y Seguridad de Información, y otra una lista de recomendaciones para minimizar los riesgos y pérdida que ocasionaron el siniestro.

i. Retroalimentación del Plan de Acción: Con la evaluación de resultados, se debe optimizar el Plan de Acción original, mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionan adecuadamente. Además, el plan debe ser un documento que se actualice periódicamente para mantenerse al día con los cambios en los sistemas de TI.

El otro elemento es evaluar cual hubiera sido el costo de no contar con el Plan de Contingencias en la institución.

j. Entrenamiento (Simulacros): Se debe establecer un programa de prácticas periódicas con la participación de todo el personal en la lucha contra los diferentes tipos de siniestro, de acuerdo a los roles que se hayan asignado en los planes de evacuación del personal o equipos, para minimizar costos se pueden realizar recarga de extintores, charlas de los proveedores y otros.

Es importante lograr que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden ocurrir; y tomen con seriedad y responsabilidad estos entrenamientos.

A nivel institucional, la política 9.2 que aborda el tema de los Planes de atención de contingencias informáticas de la Política de Seguridad de TIC del Ministerio de Hacienda, versión 3 (2-00-002-001POL-09) establece lo siguiente:

“Para los sistemas informáticos en producción y las redes de comunicación, la administración debe disponer de un plan de contingencia el cual debe actualizar y probar regularmente, con el fin de garantizar la continuidad de los procesos críticos del Ministerio de Hacienda en general, en el evento de una interrupción o degradación del servicio.“

En el mismo sentido, las mejores prácticas de la metodología COBIT 4.1., en su objetivo de control DS 4.1 que trata el tema del Marco de Trabajo de Continuidad de TI consigna lo siguiente:

“El marco de trabajo debe tomar en cuenta la estructura organizacional para administrar la continuidad, la cobertura de roles, las tareas y las responsabilidades de los proveedores de servicios internos y externos, su administración y sus clientes; así como las reglas y estructuras para documentar, probar y ejecutar la recuperación de desastres y los planes de contingencia de TI. El plan debe también considerar puntos tales




como la identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos críticos, el procesamiento alternativo y los principios de respaldo y recuperación.”

La norma Nº 1.4.7 referente a la Continuidad de los servicios de TI de las Normas Técnicas para la gestión y el control de las TI(N-2-2007-CO-DFOE), emitidas por la Contraloría General de la República, establece que:

“La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad.” Dentro de los beneficios que proporciona el poseer un Plan de Contingencia actualizado se pueden citar:

Reducción de riesgos que, en caso de materializarse, pueden representar pérdidas importantes de recursos, por facturación fallida, por reposición de los daños causados, por pérdida de oportunidad de negocio, por reclamación de usuarios o clientes, por sanciones legales, entre otros.

Ahorro de tiempo y recursos, al afrontar y corregir situaciones nefastas antes de que ocurran, y no obliguen a resolverlas con prisas y a cualquier precio.

Mejora de la imagen y confianza de los usuarios, funcionarios y auxiliares de la función pública en el Ministerio, al mostrarles que se toman medidas oportunas para garantizar la continuidad de las operaciones del sistema TICA.

El no disponer de este instrumento, pone en riesgo la disponibilidad y efectiva prestación de los servicios que soportan la gestión de todo el SNA y con especial énfasis, la disponibilidad de los servicios prestados por medio del sistema TICA, debido a que existe gran vulnerabilidad ante la ocurrencia de un evento de riesgo, sea desastre, fallas o sabotaje, como consecuencia de que no existe un proceso continuo de identificación y corrección oportuna de acciones de inseguridad en los sistemas informáticos.

2.3 Necesidad de mejorar aspectos de Seguridad Lógica

2.3.1 Sobre el acceso al ambiente de producción

A través del estudio realizado, se identificó el uso de una práctica improcedente en términos de seguridad de TI, ya que el personal encargado del desarrollo de sistemas, específicamente el destacado en la unidad de Sistemas Aduaneros- DTIC, cuenta con acceso al ambiente de producción del Sistema TICA, con el fin de realizar cambios en los datos en producción y que a su vez, son llevados a cabo a través de scripts en la base de datos SQL.

Amparadas a la facultad dada en el artículo 90 de la Ley General de Aduanas8, las autoridades aduaneras, ejercen su potestad de modificar sus actos, respaldados por medio de resoluciones administrativas, con las consideraciones de hecho que fundamentan dichos actos; no obstante, al no tener la posibilidad de aplicar dichas modificaciones o correcciones a las declaraciones a través del sistema TICA, la DGA o en su defecto, las distintas aduanas remiten dichas resoluciones a la DTIC, para que los cambios requeridos sean ejecutados por los desarrolladores del aplicativo, los cuales ejecutan las correcciones usando scripts de SQL; hecho que no deja ningún registro o rastro a nivel del TICA9, según lo que nos informa el Lic. Hernández Solano, Jefe de la Unidad de Sistemas Aduaneros-DTIC.

8 Artículo 90.—Rectificación de la declaración. En cualquier momento en que el declarante tenga razones para considerar que una declaración contiene información incorrecta o con omisiones, deberá presentar de inmediato una solicitud de corrección y, si procede, deberá acompañarla del comprobante de pago de los tributos más el pago de los intereses correspondientes, calculados según el artículo 61 de esta Ley. Presentar la corrección no impedirá que la autoridad aduanera ejercite las acciones de responsabilidad correspondientes.9 Minuta Nº 2, del 29 de Mayo del 2014, al Lic. Randall Hernández Solano, Unidad de Sistemas Aduaneros - DTIC.




Al respecto, el Lic. Hernández Solano manifestó que: “tenemos un grave problema de seguridad entre la parte informática y aduanas, que es la manipulación o modificación de los datos en la base de datos de producción” y explica: “los informáticos tienen que estar manipulando datos de la base de datos de producción, lo que no es una práctica para nada recomendable, que genera mucho tiempo y recursos apara atender dichas solicitudes.” 10

Esta situación ocasiona que se vea afectado el cumplimiento del apartado 1.4.6 inciso c “Seguridad en la implementación y mantenimiento de software e infraestructura tecnológica”, de las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), el cual cita lo siguiente: “c. Mantener un acceso restringido y los controles necesarios sobre los ambientes de desarrollo, mantenimiento y producción.”

Por su parte, la Política de Seguridad de TIC del Ministerio de Hacienda (2-00-002-001POL-09) en el apartado 7.12 “Acceso al ambiente de producción” establece que: “El acceso al ambiente de producción será autorizado por los propietarios de la información, solo a los usuarios funcionales. Se debe restringir el acceso del personal de soporte técnico a los sistemas de información.”

Además en forma específica, el apartado 8.15 “Acceso del personal técnico a los sistemas en producción” de la política supra citada, agrega lo siguiente:

“El acceso a la funcionalidad de los sistemas en producción así como a sus bases de datos, a través de las aplicaciones propias de éstos u otro medio o herramienta informática, debe estar restringido y solamente ser autorizado por escrito por el dueño de la información. No se permite este tipo de acceso al personal técnico, entendiendo éste como desarrolladores, analistas de sistemas, programadores, personal de soporte, contrapartes, administradores del sistema, administradores de bases de datos, y en general a cualquiera cuya función no sea propiamente la de usuario funcional autorizado de los sistemas, aplicaciones y bases de datos en producción.”

Las sanas prácticas estipulan que el acceso al ambiente de producción debe estar limitado únicamente a aquellos usuarios que hacen uso de los sistemas de aplicación, y aquellos responsables de los pases a producción de cambios efectuados, que deben ser diferentes de los analistas y/o desarrolladores de los sistemas; ya que de lo contrario, se incrementa el riesgo de que se efectúen cambios no autorizados sobre los datos en producción, lo que podría comprometer la integridad y validez de la información que administra el TICA.

Por otra parte, la imposibilidad de determinar la persona, la fecha y la hora en que se efectúa una modificación de los datos en producción de dicho sistema, limita el establecimiento de posibles responsabilidades y una adecuada rendición de cuentas acerca de la ejecución de dichas acciones.

En la comunicación de resultados efectuada el 10 de octubre del 2014 antes citada, el Lic. Rafael Bonilla Vindas expresó que considera conveniente que sea la Dirección General de Aduanas la encargada de aplicar los cambios en los datos de producción del sistema TICA, por ser el dueño del proceso.

2.3.2 Sobre políticas de clasificación de la información

El Sistema TICA no cuenta con un análisis para la clasificación de la información que es procesada, con el propósito de definir si la información deber ser tratada como de uso público, privado, confidencial según sus propias características y naturaleza; situación que pudo haber sido provocada por el hecho de que la DTIC, específicamente la Unidad de Seguridad, no cuenta con una política clara, documentada y aprobada, que dicte los lineamientos y criterios para efectuar dicha clasificación, así como el esquema a utilizar, con el

10 Minuta Nº 2, del 29 de Mayo del 2014, al Lic. Randall Hernández Solano, Unidad de Sistemas Aduaneros - DTIC.




propósito de obtener una definición adecuada de los requerimientos de seguridad y protección de los datos en términos de su criticidad, valor y confidencialidad.

El Lic. Rafael Madrigal Rubí- Jefe del Departamento de Estadística y Registro de la DGA, expresa: “Creo que no existe dicha clasificación y que se han emitido algunos criterios con respecto a que datos que se deben revelar o no en términos legales desde la perspectiva del Código de Normas y Procedimientos Tributarios” 11

De igual forma, el Lic. Meléndez Garita expresa que: "no puedo decir si esa identificación o clasificación de la información se realizó en el 2009, cuando se oficializa la política de seguridad de TIC”. 12 Lo anterior, deja de manifiesto que la Unidad de Seguridad de la DTIC, no cuenta con documentación que evidencie que la información del sistema TICA haya sido debidamente clasificada en los términos mencionados.

A nivel institucional, el apartado 3.1 “Protección de información” de la Política de Seguridad de TIC del Ministerio de Hacienda (2-00-002-001POL-09) establece: “La información debe ser clasificada y protegida de acuerdo con la sensibilidad, valor, criticidad y confidencialidad que tenga para la Institución.”

Como una sana práctica, el objetivo de control PO 2.3 referente al Esquema de Clasificación de Datos del COBIT 4.1., indica lo siguiente:

"Establecer un esquema de clasificación que aplique a toda la empresa, basado en que tan crítica y sensible es la información (esto es, pública, confidencial, secreta) de la empresa. Este esquema incluye detalles acerca de la propiedad de datos, la definición de niveles apropiados de seguridad y de controles de protección, y una breve descripción de los requerimientos de retención y destrucción de datos, además de qué tan críticos y sensibles son. Se usa como base para aplicar controles como el control de acceso, archivo o cifrado”.

La situación antes descrita, incrementa el riesgo de que los controles implementados en el sistema TICA, no sean los óptimos para garantizar la protección de los datos sensitivos; lo que podría ocasionar que se presenten lecturas o alteraciones no autorizadas a los datos o en su defecto, la pérdida o destrucción de información al no contar con los procedimientos o mecanismos adecuados para su protección, fundamentado en que el hecho de que de acuerdo a los diferentes grados de sensibilidad e importancia de la información, se pueden requerir niveles adicionales de protección o un manejo especial de la misma.

2.3.3 Sobre la administración de perfiles y códigos de usuario

Partiendo del hecho de que entre los aspectos de mayor relevancia, en términos de seguridad dentro del sistema TICA, se encuentra la adecuada administración de los perfiles y los códigos de usuarios, entendiéndose el término perfil como el conjunto de características y preferencias que debe poseer, un determinado funcionario conforme a sus funciones y responsabilidades, para interactuar con los programas del sistema; mientras que el código de usuario, lo constituye una cadena de caracteres previamente establecida y que tiene como fin identificar de forma única a cada usuario del sistema TICA.

Se logra identificar por medio de la investigación realizada, los siguientes aspectos que son susceptibles de mejora en aras de fortalecer su adecuada gestión:

a) Los perfiles definidos para uso del sistema TICA, no han sido revisados ni actualizados desde su implementación en el SNA, a mediados del año 2005.

A pesar de que en el transcurso de los últimos años, el sistema TICA ha sido mejorado con el desarrollo de nuevos módulos, concluyendo en el 2011 con la puesta en marcha del módulo de Perfeccionamiento activo; la DGA no ha efectuado en todo ese tiempo un análisis de los perfiles creados para satisfacer las funcionalidades iniciales del TICA, con el objetivo de verificar si aún cumplen con los requerimientos

11 Minuta Nº 4, del 26 de Agosto del 2014, al Jefe del Departamento de Estadística y Registro - DGA.12 Minuta Nº 3 del 24 de Julio del 2014, al Lic. Franklin Meléndez G., Jefe de la Unidad de Seguridad - DTIC.




actuales, incluyendo las necesidades introducidas por las nuevas funcionalidades que se le han implementado.

Al respecto, el Lic. Hernández Solano, Jefe de la Unidad de Sistemas Aduaneros-DTIC expresa que “no están documentados, por lo que no están actualizados ni han sido revisados” y agrega “se está definiendo un equipo de trabajo que revise y realice un estudio, para verificar la compatibilidad entre los roles.” 13 No obstante a lo indicado anteriormente, no se tiene evidencia alguna de que el proyecto en mención haya sido puesto en marcha.

Por su parte, el Lic. Rafael A. Madrigal Rubí, Jefe del Departamento Estadística y Registro- DGA, dependencia que se encarga de la gestión o administración de los códigos de usuarios y los perfiles del TICA expresa: “No han sido revisados para un proceso de actualización, sino que lo que se ha hecho es adiciones de nuevos programas o funcionalidades a los perfiles ya existentes.” Agrega que la revisión periódica de perfiles no es una labor que se efectúe regularmente y considera que de efectuarse, debería llevarse a cabo en forma conjunta con otras unidades organizativas de la Dirección de Gestión Técnica de la DGA, como por ejemplo el Departamento de Procesos Aduaneros, para que contribuyan con el conocimiento y análisis del proceso operativo, tal y como se lleva a cabo. 14

Sobre el tema, la Política de Seguridad de TIC del Ministerio de Hacienda (2-00-002-001POL-09), en su apartado 7.11. “Revisión de derechos de acceso del usuario” estipula: “Los derechos de acceso asignados a los usuarios deben ser revisados de manera periódica mediante un procedimiento formal, para verificar su actualidad.”

Como una sana práctica, el COBIT 4.1. en su objetivo de control DS 5.3 referente a la Administración de la Identidad establece lo siguiente:

"… Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario…” y agrega en el DS 5.4 sobre Administración de Cuentas del Usuario: "…Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados.”

Lo anterior, podría estar provocando que usuarios del TICA tengan privilegios que no les corresponden de acuerdo a sus funciones o responsabilidades, ya que su perfil que no ha sido revisado y actualizado y podría estarse heredando acceso a programas, que en algún momento efectivamente estaban asignados a su rol en el proceso; pero que en la actualidad son labores asignadas o ejecutadas por otros puestos dentro de la operatividad del proceso aduanero, lo cual resulta en la concesión de más potestades de las que dicta el principio de “necesidad de saber o menor privilegio”. 15

Es decir que, en términos de privilegios en el sistema TICA, se podría estar aumentando el riesgo de que personas no autorizadas según lo dictado por el proceso operativo, puedan ejecutar acciones que no le corresponden de acuerdo a sus competencias o responsabilidades, potencializando la posibilidad de fraude o manipulación de las operaciones aduaneras.

En la comunicación de resultados efectuada el 10 de octubre del 2014 citada anteriormente, la Licda. Vargas Zúñiga, expone que como parte del plan de acción, en atención de las recomendaciones emitidas en la Auditoria al sistema TICA del 2011 efectuada por la firma Deloitte se emprendieron acciones referentes a los códigos de usuarios y perfiles de dicho sistema, a saber: revisión de usuarios genéricos, eliminación de usuarios duplicados y de usuarios asignados a ex funcionarios del Ministerio.

13 Minuta Nº 1, del 14 de Agosto del 2014, al Lic. Randall Hernández Solano, Unidad de Sistemas Aduaneros - DTIC.14 Minuta Nº 4, del 26 de Agosto del 2014, al Lic. Rafael A. Madrigal Rubí, Departamento de Estadística y Registro - DGA.15 Principio para la definición de perfiles de usuario, que dicta que se debe de asignar los permisos estrictamente necesarios, para acceder la información que resulta imprescindible en la realización de las labores asignadas.




b) El sistema TICA no cuenta con un procedimiento para la atención de solicitudes relativas a la gestión de códigos de usuario (generación, asignación, desbloqueo, desactivación y/o eliminación), que establezca de forma clara y concisa los pasos y/o actividades necesarias para recibir, revisar, tramitar y dar la respuesta a las solicitudes planteadas por los usuarios solicitantes.

Dicho procedimiento debe contemplar los puestos (funcionarios) o áreas responsables de recibir, revisar y tramitar la solicitud, las razones por las cuales la solicitud podría ser rechazada y acciones a tomar ante tal hecho, la documentación de respaldo estándar del trámite de la solicitud, los reportes generados a partir de dicha información, los formularios utilizados para tal proceso y el medio utilizado(entrega personal, envío vía correo con uso de firma digital o no) para la recepción de la solicitud y la respuesta al usuario o solicitante sobre su gestión, o en su defecto: en el caso particular de una generación o creación, será la entrega del código de usuario asignado y su palabra clave, así como las responsabilidades del uso.

Sobre el tema, el Lic. Madrigal Rubí manifiesta: “Existe un manual de uso del módulo GL Usuarios que fue elaborado en el año 2004 y actualmente está en análisis para su debida actualización.” Al respecto, esta Auditoría tuvo oportunidad de observar que el borrador de dicho trabajo, lo constituye un folleto impreso del manual, que presentaba diversas anotaciones o comentarios hechos con lapicero en los márgenes de las hojas.

Si bien es cierto, existe un manual para el uso del Módulo GL Usuarios, el cual permite guiar a los funcionarios en la ejecución de las labores de generación, asignación, inactivación y eliminación de códigos de acceso en el sistema TICA; no obstante, dicha documentación data del año 2004, lo cual significa que en el transcurso de 10 años de funcionamiento del sistema, dicho manual no ha sido objeto de ningún tipo de revisión ni actualización y por lo tanto no responde a las necesidades actuales.

Aunado a lo anterior, es nuestra opinión que dicho manual es meramente una guía técnica, que orienta a los funcionarios en el uso de la aplicación utilitaria “Módulo GL Usuarios”, por lo que no cuenta con todos los aspectos de control que proporciona un procedimiento, el cual además de proveer la descripción de las actividades que se desarrollan dentro de un proceso, también incluyen el qué, el cómo y a quién corresponde el desarrollo de la tarea, involucrando el alcance, las normas y los elementos técnicos, entre otros. Mientras que una guía técnica o un instructivo están más orientados, a ser un documento que describe de forma detallada el “cómo” desarrollar una actividad dentro de un procedimiento.

Como una sana práctica, el COBIT 4.1 en su objetivo de control DS 5.4 que trata la Administración de Cuentas del Usuario indica lo siguiente:

“Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados.”

El contar con procedimientos claros y documentados de seguridad, le facilitarían a la administración disponer de los instrumentos que establezcan el orden correcto y lógico, que deben seguir las actividades comprendidas en cada uno de los procesos, que competen a la seguridad lógica del sistema TICA, definir quién debe ejecutar dichas actividades, contribuyendo a establecer las responsabilidades y roles, y además establecer el cuándo deben ser ejecutadas.




c) El sistema TICA no cuenta con procedimiento escrito y oficial que estipule las actividades requeridas, para efectuar una revisión de forma periódica de los códigos de usuario del sistema y su actividad; que le permita obtener información de insumo en la toma de decisiones, en aras de mejorar la gestión y administración en temas como: usuarios que frecuentemente bloqueen su código de acceso al sistema y así, tratar de determinar la causa de dicha situación; códigos de usuario que posean períodos de inactividad importantes y su estado (activo o bloqueado) con el objetivo de determinar la razón que origina dicha situación; así como detectar accesos al sistema por parte de usuarios internos fuera de horas laborales o la detección de códigos que ya no tienen justificación para mantenerse en el sistema, como por ejemplo los códigos asignados a funcionarios que ya no laboran para este Ministerio; entre otros.

Dicho procedimiento debe considerar aspectos como los puestos (funcionarios) o áreas responsables de dicha tarea, la periodicidad, la documentación de respaldo de la labor realizada, los reportes que se deben generarse a partir de la información obtenida, así como las acciones a tomar en caso de detectar alguna irregularidad en la ejecución de la labor.

Consultado sobre el tema, el Lic. Madrigal Rubí manifestó: “Nosotros procuramos que una vez al año se revisen los códigos; se le envía una lista a las aduanas y jefaturas, para que ellos verifiquen si el funcionario está donde dice estar ubicado u otros cambios, como que verifique el perfil según su asignación”. Sin embargo agrega que: “... es un proceso que operativamente está implementado pero no se tiene documentado como procedimiento escrito, oficializado y divulgado.” 16

La norma Nº 1.4.5 referente al Control de acceso de las Normas Técnicas para la gestión y el control de las TI (N-2-2007-CO-DFOE), emitidas por la Contraloría General de la República, establece que:

“La organización debe proteger la información de accesos no autorizados.// Para dicho propósito debe: // h. Implementar el uso y control de medios de autenticación (identificación de usuario, contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición, aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación, así como para su revisión y actualización periódica y atención de usos irregulares.”

Lo indicado, contribuiría a estandarizar las actividades que comprenden la labor de revisión periódica de los códigos de usuario del sistema TICA y la actividad que presentan éstos, ayudando en la mejora y fortalecimiento de los controles; así como fomentar una gestión más eficiente de los códigos de usuario, en pos de incrementar la seguridad de la información administrada.

Referente a los procedimientos, el apartado e. de la norma Nº 4.2 sobre los requisitos de las actividades de control de las Normas de Control Interno para el Sector Público, establece lo siguiente:

“Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.”

Dichos instrumentos contribuyen a lograr una buena coordinación y orden en las actividades que ejecuta la DTIC y la DGA, en atención a la seguridad de la información aduanera gestionada por dicho sistema y por lo consiguiente en el fortalecimiento de una infraestructura de seguridad más eficaz y eficiente, que apoye la facilitación y control del comercio internacional de mercancías realizada a través del SNA.

Sobre este tema en la comunicación de resultados del 10 de octubre del 2014 citada anteriormente, el Lic. Alfredo Abarca Rojas, Director de la DTIC, enfatiza que el problema que tiene el Ministerio es que no existe un portal de gestión de códigos de usuario de los distintos sistemas institucionales.

16 Minuta Nº 4, del 26 de Agosto del 2014, al Jefe del Departamento de Estadística y Registro - DGA.




Agrega adicionalmente el Lic. Benito Coghi M. la importancia de activar la funcionalidad de las pistas de auditoría, para poder tener un mejor control de los accesos y las acciones dadas en el sistema TICA; siendo acompañado de un proceso de revisión periódica de dicha información.

3. CONCLUSIONES

Como resultado del estudio sobre la evaluación del control interno de la seguridad de la información procesada por el sistema Tecnología de Información para el Control Aduanero (TICA), del Servicio Nacional de Aduanas; se concluyen los siguientes aspectos:

III.1 Existe la necesidad de establecer un marco de seguridad de la información de la DTIC, con el propósito de que se defina como un estándar en seguridad, que contemple los principios organizativos y funcionales de la actividad de Seguridad Informática de la plataforma tecnológica que facilita los servicios institucionales, y que recopile claramente las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas; brindándole especial énfasis a los temas de seguridad que conciernen al sistema TICA, en consideración a su importancia como herramienta tecnológica en las operaciones aduaneras nacionales y contemplando los aspectos señalados en el punto 2.1 de este informe.

III.2 Resulta apremiante la revisión, mejora y fortalecimiento del Plan de Contingencias del sistema TICA, en aras de establecer la estructura estratégica y operativa que ayudará a controlar una situación de emergencia que pudiera afectar la adecuada prestación de servicios, procurando minimizar sus consecuencias negativas, a través de la implementación de una serie de procedimientos alternativos al funcionamiento normal del sistema, cuando alguna de sus funciones usuales se ve perjudicada por una contingencia interna o externa y en los términos que se detallan en el punto 2.2 de este informe.

III.3 En lo que respecta a la seguridad lógica del TICA, se requieren tomar acciones correctivas en prácticas inapropiadas, como la que constituye el permitir que el personal desarrollador del sistema, sea el encargado de la aplicación de cambios en los datos de producción, como se menciona en el punto 2.3.1 de este informe.

III.4 Se requiere el establecimiento de estándares de seguridad del sistema TICA, que permitan fortalecer la infraestructura de seguridad, como la clasificación de la información procesada debido a ser tan crítica, valiosa y sensible para la institución, permitiendo definir la propiedad de los datos, los niveles apropiados de seguridad, así como los controles de protección y destrucción de datos; según se describe en el punto 2.3.2 del presente informe.

III.5 Es necesario fortalecer y fomentar una sana gestión de los perfiles y los códigos de usuarios, por medio de la revisión y análisis de forma periódica de los perfiles para evaluar si cumplen los requerimientos en seguridad y funcionalidad del sistema TICA; así como implementar instrumentos administrativos que permitan homogeneizar el desempeño de los funcionarios en la ejecución de actividades o labores que refieren a dicha administración, como los son un procedimiento para la atención de solicitudes relacionadas a la gestión de códigos de usuario y uno que defina las actividades requeridas, para efectuar la revisión periódica de los códigos de usuario y su actividad dentro del sistema en mención, tal y como se describen en el punto 2.3.3 de este informe.

4. RECOMENDACIONES




Para colaborar con la Administración en el fortalecimiento del control interno con el sistema TICA, se solicita ordenar a las instancias responsables, el cumplimiento de las siguientes acciones de mejora:

Al Director de Tecnología de Información y Comunicación.

Sobre un marco de seguridad de la información de la DTIC:

4.1. Planificar y elaborar un marco de seguridad de la información, incorporando aquellos aspectos que conciernen al sistema TICA, a través de la definición de la organización y funciones que invirtieren en la seguridad informática y que contemple por ende, las políticas de seguridad, responsabilidades y procedimientos relativos; incluyendo los siguientes elementos de contenido:

a) Alcance.b) Caracterización del sistema Informático.c) Resultados del Análisis de Riesgos.d) Políticas de Seguridad Informática.e) Sistema de Seguridad Informática: que comprenda los medios humanos, medios técnicos de

seguridad, así como las medidas y procedimientos de seguridad.f) Planificación de Implementación.g) Evaluación Periódica.h) Ejecución de procesos de concienciación y capacitación del personal.

Ver detalle en el punto 2.1 del presente informe.

Sobre el Plan de Contingencias:

4.2 Revisar y mejorar el Plan de Contingencias para el sistema TICA, o en su defecto, si así fuese considerado pertinente, se elabore uno de forma integral que abarque los recursos y servicios de TI que administra dicha Dirección, y que por consiguiente incluya los componentes inherentes al TICA. Dicho plan debe considerar los siguientes elementos:

a) Objetivos generales y específicos.b) Alcance del plan.c) Descripción del Entorno Informático.d) Identificación y Análisis de Riesgos: que incluya como actividades el análisis de los riesgos, el

análisis del impacto de materializarse esos riesgos, la determinación de los recursos críticos y el análisis de las amenazas/ vulnerabilidades.

e) Plan de Mitigación.f) Plan de Contención.g) Plan de Recuperación. h) Evaluación de Resultados.i) Retroalimentación del Plan de Acción.j) Entrenamiento (Simulacros).

Ver detalle en el punto 2.2 del presente informe.

Sobre aspectos de mejora en la seguridad lógica del sistema TICA:

4.3 Al Director General de Aduanas y al Director de Tecnología de Información y Comunicación para en forma coordinada y conforme con su competencia, realicen lo siguiente:

Analizar y adaptar las medidas que correspondan, para evitar que el personal desarrollador del sistema TICA, sea el encargado de la aplicación de cambios en los datos de producción, que le son solicitados y




transferidos para su trámite, a través de resoluciones emitidas por las distintas autoridades aduaneras; en razón de que dicha práctica es contraproducente en términos de seguridad de TI. Ver punto 2.3.1 del presente informe.

Al Director General de Aduanas, implementar las siguientes acciones:

4.4 Adoptar las medidas necesarias e implementar los instrumentos administrativos requeridos, para se establezca una clasificación de la información procesada por el sistema TICA, en términos de que se clasifique y proteja, la información crítica, valiosa y sensible para el Ministerio. . Ver punto 2.3.2 del presente informe.

4.5. Implementar las medidas requeridas y girar las instrucciones, para que se fortalezcan los siguientes controles internos relativos a la administración de los perfiles y códigos de usuarios del sistema TICA:

4.5.1 Desarrollar los instrumentos administrativos necesarios, para que el Departamento de Estadística y Registro en colaboración con el Departamento de Procesos Aduaneros, o cualquier otra unidad organizacional de la DGA que se considere pertinente; efectúe la revisión y análisis de forma periódica de los perfiles del sistema TICA, en pos de evaluar y garantizar que cumplen los requerimientos en seguridad y funcionalidad del sistema TICA, logrando así que los requerimientos de trabajo están adjuntos a las identidades del usuario. Ver inciso a) del punto 2.3.3 del presente informe.

4.5.2 Formalizar un procedimiento para la atención de solicitudes relativas a la gestión de códigos de usuario (generación, asignación, desbloqueo, desactivación y/o eliminación), que establezca las actividades necesarias para recibir, revisar, tramitar y dar la respuesta respectiva a las solicitudes planteadas por los solicitantes. El procedimiento debe contemplar los puestos (funcionarios) o áreas responsables de recibir, revisar y tramitar la solicitud, las razones por las cuales la solicitud podría ser rechazada y acciones a tomar ante esto, la documentación de respaldo estándar de la trámite de la solicitud, los reportes generados a partir de dicha información, los formularios utilizados y el medio utilizado (entrega personal, envío vía correo electrónico con uso de firma digital o no) para la recepción de la solicitud y la respuesta al usuario solicitante sobre su gestión, o en su defecto: en el caso particular de una generación, será la entrega del código de usuario asignado y su palabra clave, así como las responsabilidades del uso. Ver inciso b) del punto 2.3.3 del presente informe.

4.5.3 Establecer un procedimiento que estipule las actividades requeridas, para efectuar la revisión periódica de los códigos de usuario del sistema y su actividad; tomando en consideración aspectos tales como: los puestos (funcionarios) o áreas responsables de dicha tarea, la periodicidad, la documentación de respaldo de la labor realizada, los reportes que se deben generar a partir de la información obtenida, así como las acciones a tomar en caso de detectar alguna irregularidad en dicha labor. Ver inciso c) del punto 2.3.3 del presente informe.

Las recomendaciones contenidas en el presente informe, están sujetas a las disposiciones del artículo 37 de la Ley N° 8292 Ley General de Control Interno y al Manual para la atención de Informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna en este Ministerio17. Por lo anterior, le agradecemos comunicar a esta Dirección General las decisiones que con base en el presente informe disponga ese Despacho, dentro del plazo de 30 días hábiles posterior al recibo del informe según se establece en la normativa citada, así como el plan de acción que se defina un plazo razonable para el cumplimiento de las acciones que se recomiendan.

17 Decreto Nº 34323-H, publicado en La Gaceta No. 38 del 22 de febrero del 2008.




Tatiana Camacho Sánchez Oldemar Murillo Arce Profesional en Informática Coordinador Auditoría Área de Ingresos

Máster. Juan de Dios Araya NavarroDirector General de Auditoria Interna

JDANR/oma/tcsEstudio Nº 017-2013



ministerio de hacienda - república de costa rica€¦ · web viewautorizado por los propietarios...

Documents