anexo - mgp.go.cr · web viewsobre el tema, el señor maikel olsen, coordinador de turno,...

AI-0012-2015

AUDITORIA INTERNA

16 de enero del 2015

LicenciadoCelso Gamboa SánchezMINISTROKathya Rodríguez Araica DIRECTORA GENERAL DE MIGRACIÓN Y EXTRANJERÍA

ASUNTO: Informe del estudio sobre los sistemas de información utilizados en las regionales y los aeropuertos de la Dirección General de Migración y Extranjería.

Estimado(a) señor(a):

Con instrucciones de la señora Auditora, Licda. María Eugenia Barquero Paniagua, se remite el Informe del estudio sobre los sistemas de información utilizados en las regionales y los aeropuertos de la Dirección General de Migración y Extranjería; cuya elaboración estuvo a cargo del Lic. Jorge Arturo González Camacho, fue supervisado por la Licda. Martha Carvajal Angulo y revisado por la suscrita.

En ese documento, se exponen debilidades de control asociadas con las oficinas regionales y los aeropuertos, en cuanto a los temas de: Seguridad física y ambiental de las TI; Consistencia de los datos que se registran; Capacitación de los funcionarios para el uso de los sistemas de información; Consulta a la base de datos de INTERPOL; Extintores y detectores de incendios; Agilidad de los sistemas informáticos institucionales; Medición del desempeño de los sistemas de información y Cámaras de monitoreo.

En el apartado cuarto del informe anexo, correspondiente al de Recomendaciones, se indica el plazo en el que deben ordenar la implementación de las recomendaciones a sus subalternos, conforme lo establece la Ley General de Control Interno en su artículo 37, 30 días hábiles para el señor Ministro y el 36, 10 días hábiles para la señora Directora de Migración y de darse discrepancias sobre éstas, cada ámbito antes de que termine el tiempo dictado, deberá proponer de forma fundamentada, las soluciones alternas que solventen las debilidades enunciadas, informándolo a esta Auditoría y al titular que corresponda y de persistir desacuerdos, se recurrirá a lo descrito en el artículo 38 de dicha ley.

Asimismo, se recuerda que la implementación de las recomendaciones es competencia de la administración, por lo que a cada nivel, se debe llevar un estricto monitoreo para garantizar su cumplimiento dentro del tiempo definido en cada ítem; lo cual debe ser informado y documentado inmediatamente a esta Auditoría, para su efectiva valoración; debido a lo cual, se les solicita, designar y comunicar, dentro de los próximos 15 días, el nombre del funcionario que servirá de contacto, para informar a esta unidad fiscalizadora, sobre el avance y finalización de lo que le atañe a su área de acción.

Cabe demarcar, que de no cumplirse lo recomendado dentro del lapso dispuesto, deberán solicitar a esta Auditoría su ampliación, exponiendo los motivos que le impidieron tal cometido, ya que el incumplimiento injustificado de las medidas correctivas, puede dar cabida a la apertura de

___________________________________________________________________________Auditoría Interna – Tel:2224 5801 – Correo electrónico: [email protected]

mailto:[email protected]

tel:2224

AI-0012-2015

procedimientos administrativos para los responsables, en razón de los artículos No.12, 17, 39, 41, 42 y 43 de la Ley General de Control Interno.

Atentamente,

Licda. María del Rosario Montero Vindas SUBAUDITORA INTERNA

Jagc/Mca/Mrmv.ci: Sra. Carmen Muñoz Quesada, Viceministra

Informes 2015-Administración CentralInformes 2015-MigraciónExpediente del EstudioArchivo Central

Copiador

2___________________________________________________________________________

Auditoría Interna – Tel:2224 5801 – Correo electrónico: [email protected]


tel:2224

AI-0012-2015

AUDITORÍA INTERNA

INFORME DEL ESTUDIO SOBRE LOS SISTEMAS DE INFORMACIÓN UTILIZADOS EN LAS REGIONALES Y LOS AEROPUERTOS DE LA

DIRECCIÓN GENERAL DE MIGRACIÓN Y EXTRANJERÍA

SAN JOSÉ, ENERO 2015

3___________________________________________________________________________



tel:2224

AI-0012-2015

TABLA DE CONTENIDO

Página

1. INTRODUCCIÓN..............................................................................................................31.1. Origen...............................................................................................................................31.2. Objetivos...........................................................................................................................31.3. Alcance y naturaleza........................................................................................................31.4. Antecedentes....................................................................................................................41.5. Limitaciones......................................................................................................................51.6. Comunicación de resultados.............................................................................................6

2. RESULTADOS.................................................................................................................62.1 Seguridad física y ambiental en las Oficinas Regionales y los Aeropuertos,

relacionada con las Tecnologías de Información..............................................................62.2 Consistencia de los datos que se registran en los sistemas de información

utilizados en las oficinas regionales................................................................................132.3 Capacitación de los funcionarios para el uso de los sistemas de información

en las Oficinas Regionales y los Aeropuertos................................................................162.4 Consulta a la base de datos de INTERPOL...................................................................192.5 Extintores y detectores de incendios en las Oficinas Regionales y Aeropuertos...........212.6 Agilidad de los Sistemas informáticos institucionales utilizados en las Regionales

y Aeropuertos.................................................................................................................242.7 Medición del desempeño de los sistemas de información que utilizan en las

Regionales y los Aeropuertos.........................................................................................262.8 Cámaras de monitoreo asociadas con la protección física de las TI en las Oficinas

Regionales y los Aeropuertos.........................................................................................29

3. CONCLUSIONES...........................................................................................................32

4. RECOMENDACIONES...................................................................................................33Al señor Ministro de Gobernación en ejercicio...............................................................33A la Directora General....................................................................................................33A la Gestora de Tecnologías de Información..................................................................35Al Gestor de Recursos Humanos...................................................................................35A la Oficina de Salud Ocupacional.................................................................................36

4___________________________________________________________________________



tel:2224

AI-0012-2015

ESTUDIO SOBRE LOS SISTEMAS DE INFORMACIÓN UTILIZADOSEN LAS REGIONALES Y LOS AEROPUERTOS DE LA DGME

1. INTRODUCCIÓN

1.1. Origen

El estudio se realizó en cumplimiento al Plan de trabajo del 2014, siendo este tema prioritario como resultado de la Planificación estratégica de la Auditoría Interna 2013-2017.

Proceso en el que se concluyó que los puestos migratorios son estratégicos para la Dirección General de Migración y Extranjería y los sistemas de información son una herramienta de apoyo que contribuye con el cumplimiento de los objetivos Regionales, institucionales y nacionales, dentro del campo migratorio.

1.2. Objetivos

Valorar la suficiencia de los controles internos en los procesos que involucren el uso de los sistemas de información en las Regionales y los Aeropuertos, para medir el nivel de cumplimiento de la normativa de Control Interno.

Verificar que GTI realice mediciones de desempeño de los sistemas de información que utilizan en las Regionales y los Aeropuertos, para valorar su funcionamiento.

Determinar el nivel de satisfacción de los usuarios de los sistemas de información en las Regionales y los Aeropuertos, para asegurar el cumplimiento de los requerimientos en esta materia.

Analizar las necesidades de desarrollo o mantenimiento a los sistemas de información presentadas por las Regionales y los Aeropuertos a la Gestión de Tecnologías de Información y su respuesta, con el objetivo de medir su atención.

1.3. Alcance y naturaleza

El periodo de estudio, abarcó del 01 de enero del 2014 al 30 de junio del 2014 e incluyó la revisión de los sistemas de información que utilizan las Regionales y los Aeropuertos, como herramienta para brindar los servicios migratorios de la DGME, de los que se valora únicamente los instalados en esas oficinas, que de una u otra forma presentan alguna deficiencia.

Para llevar a cabo el estudio, se realizaron giras a las oficinas regionales de Paso Canoas, Sabalito, Golfito, Liberia, Peñas Blancas, Ciudad Quesada, Los Chiles, Upala y a los Aeropuertos Juan Santamaría, Daniel Oduber y Tobías Bolaños, con la finalidad

5___________________________________________________________________________



tel:2224

AI-0012-2015

de verificar el cumplimiento de las necesidades en materia de sistemas de información y su seguridad física y ambiental, relacionadas con las locaciones, cableado, instalación eléctrica y dispositivos de detección y extinción de incendios; se efectúo el análisis y la valoración del riesgo del proceso que involucra la utilización de los sistemas de información y la suficiencia de sus controles internos; solicitó los indicadores de desempeño del funcionamiento de los sistemas de información y encuestó sobre la satisfacción de los usuarios, revisando las solicitudes de mantenimiento de los sistemas de las Regionales y de los Aeropuertos presentadas en el año 2013 y las soluciones tramitadas e implementadas por GTI; profundizándose en los sistemas de información que en entrevistas realizadas a los usuarios, reportaban algún problema de funcionamiento o veracidad de los datos.

Lo anterior, conforme a las pruebas de cumplimiento y análisis definido en el Plan de auditoría y su programa de trabajo, basado en el análisis de riesgos realizado por esta Auditoría, en el cual se identificaron los siguientes:

1. Riesgo Alto (Operativo): Realización de trámites migratorios sin autorización del personal encargado; supervisión deficiente en los procesos y procedimientos implementados para el uso de los sistemas de información que utilizan las oficinas migratorias e interrupciones en la comunicación de los sistemas de información, que afecten la integridad y confidencialidad de la información y el servicio que se brinda por medio de los sistemas de información.

2. Riesgo Medio (Operativo): Omisión de requisitos para ingresar o salir del país no detectadas por el personal de regionales; falta de estandarización en la información que se registra; no se detectan ni identifican las causas de los problemas de desempeño de los SI, para que sean corregidas oportunamente; las áreas usuarias no presentan ante la Gestión de Tecnologías de Información, las solicitudes necesarias de mantenimiento y mejora de los sistemas de información; lentitud en el acceso y respuesta de los SI; los SI no brindan la información suficiente y pertinente, para cumplir con las funciones asignadas a las oficinas migratorias y no se atienden todas las demandas que existen en las Regionales y Puestos Migratorios para los SI, lo que podría afectar su rendimiento y utilidad para los usuarios.

1.4. Antecedentes

Las Regionales y Puestos Migratorios, como los Aeropuertos, tienen como objetivo principal ejercer control migratorio a través de sistemas operativos óptimos, a fin de satisfacer las demandas de la Dirección General de Migración y Extranjería.

Para cumplir con dicho objetivo, esas instancias, en coordinación con la Policía de Migración, controlan el ingreso y la salida de extranjeros a territorio costarricense, para asegurar que éstos se realicen según lo establecido en la Ley de Migración y Extranjería y su respectivo Reglamento.

6___________________________________________________________________________



tel:2224

AI-0012-2015

Además, a través de la Dirección Regional, las Regionales y los Aeropuertos coordinan con la Dirección Técnica Operativa de Migración, todos los servicios migratorios a nivel nacional, para que las solicitudes de permanencia legal de extranjeros y su documentación sean resueltas.

Las Regionales y Aeropuertos, están bajo la responsabilidad de la Dirección Regional, dependen de la Dirección General de Migración y están sujetas a las leyes, reglamentos, manuales, lineamientos, directrices y demás normativa legal, administrativa y técnica que rige los asuntos migratorios y estatales.

Los criterios de evaluación aplicados en este estudio, se concentraron en la Ley General de Control Interno No.8292, del 31 de setiembre de 2012; el Manual de Normas Generales de Control Interno, publicadas el 06 de enero de 2009, las Normas para la Gestión y el Control de las TI, CGR, del 21 de junio de 2007; Manual de Políticas de Seguridad de TI de la DGME, publicado el 11-03-2013; Manual de Disposiciones Técnicas Generales sobre Seguridad Humana y Protección contra Incendios. Versión 2013, del Benemérito Cuerpo de Bomberos de Costa Rica, Norma NFPA 10 del 2010 (National Fire Protection Association) sobre extintores portátiles contra incendios y COBIT 4.0, 2005 IT Governance Institute, traducido del inglés al español por Glanser Services, S.C., Junio del 2006.

Durante las pruebas realizadas, se identificaron algunas situaciones susceptibles de mejora, determinándose que GTI, ha atendido los requerimientos de mantenimiento y mejoras de los SI, presentadas por las Regionales y los Aeropuertos.

El presente trabajo fue realizado por el Lic. Jorge González Camacho, con la supervisión de la Jefa de Área, Licda. Martha Carvajal Angulo y la dirección de la Subauditora Interna, Licda. María del Rosario Montero Vindas; con base y en cumplimiento a las Normas Generales de Auditoría, las del Ejercicio de la auditoría interna en el sector público, las de la gestión y el control de las tecnologías de información y las demás que se consideraron pertinentes para la materia auditada.

1.5. Limitaciones

En general, no se encontraron limitaciones técnicas o administrativas, para el desarrollo del estudio, proporcionándose la información y atención requerida, en la mayoría de los casos y en los que hubo inconvenientes, fueron solventados, por lo que no se registra salvedad u omisión en la ejecución de los procedimientos de auditoría; excepto por la falta de estándares, lo que no permitió la verificación de parámetros y tiempos de desempeño de los sistemas de información que utilizan en las Regionales y los Aeropuertos.

7___________________________________________________________________________



tel:2224

AI-0012-2015

1.6. Comunicación de resultados

Los resultados de este informe fueron expuestos en conferencia oral el día 19 de diciembre del 2014, con la participación de la Licda. Gladys Jiménez Arias, Subdirectora General; la Licda. Eunice Hernández, Asesora de la Dirección General; la Licda. Ada María Porras de la Unidad de Planificación Institucional; la Licda. Nancy Guerrero Rodríguez de la Dirección Regional; la Licda. Maureen Campos, Encargada de Salud Ocupacional; el Lic. Álvaro Medina, Gestor a.i. de Tecnologías de Información; el Lic. Anthony Morera Vásquez, Encargado de Desarrollo de Sistemas de GTI; la Licda. Vivian Castillo, Encargada de Proyectos de GTI; el Lic. Arnoldo Quirós López, Gestor de Servicios de Apoyo, quienes agregaron lo indicado en el oficio DG-0059-01-2015 el 08 de enero del 2015, referente a la ampliación de las fechas de cumplimiento, las que fueron modificadas en las recomendaciones de este informe.

De acuerdo con el artículo 37 de la Ley General de Control Interno, el jerarca, en este caso, el señor Ministro de Gobernación y Policía, en un plazo improrrogable de treinta días hábiles después de recibido el informe, ordenará la implantación de las recomendaciones dirigidas a la Sra. Directora de Migración, quien por su parte, dentro de un lapso de 10 días hábiles ordenará a sus subalternos la aplicación de las que le correspondan a su campo de acción, conforme al artículo 36 de dicha ley; si discrepan de lo recomendado, dentro del mismo lapso, deberá emitir las soluciones alternas que motivadamente dispongan; comunicándolo debidamente a la Auditoría Interna y al titular subordinado al que se le asignó la recomendación.

De darse algún conflicto en cuanto a las recomendaciones y tiempos de cumplimiento, formuladas por la Auditoría, se recurrirá al artículo 38, que señala que una vez firme la resolución del Jerarca, que ordene soluciones distintas a las propuestas por la auditoría interna, ésta tendrá 15 días hábiles, contados a partir de esa comunicación, para exponerle por escrito los motivos de inconformidad con lo resuelto e indicarle que el asunto se debe remitir a la Contraloría General de la República, dentro de los ocho días siguientes, salvo que el Jerarca se allane a lo objetado por la Auditoría.

2. RESULTADOS

2.1 Seguridad física y ambiental en las Oficinas Regionales y los Aeropuertos, rela-cionada con las Tecnologías de Información.

Algunas oficinas regionales están ubicadas en edificaciones que no cuentan con las condiciones adecuadas de infraestructura, instalaciones eléctricas y seguridad para albergar y proteger los equipos de cómputo y brindar la seguridad requerida a la información sensible y confidencial, administrada en los sistemas de información utilizados en las regionales de la DGME, conforme al siguiente detalle:

8___________________________________________________________________________


a


tel:2224

AI-0012-2015

Delegación de Liberia:

El edificio está en un sitio apartado, oscuro y con propiedades vecinas que en su mayoría son fincas despobladas, cercada sólo por una malla y carece de vigilancia tanto de noche como de día.

Dentro de las instalaciones, la puerta de ingreso al área del personal y donde están las computadoras, permanece abierta o sin el cerrojo puesto.La citada estructura, es fácilmente vulnerable desde el techo o cielo raso y la malla existente, no ofrece mayor obstáculo para evitar el robo del equipo de cómputo y de la información que resguarda.

Los equipos y las computadoras, están conectados a tomacorrientes colgando y unas secciones de la instalación eléctrica se encuentra expuesta; también, se utilizan regletas en muchas de las conexiones donde se conectan artefactos eléctricos como ventiladores y televisores y generalmente se ubican en el suelo y algunos en medio de una maraña de cables; manteniéndose equipos de comunicación, en escritorios de funcionarios con papelería encima, sin protección alguna y con los cables colgando.

Asimismo, se comprobó que los equipos de comunicación y la mayor parte de las computadoras, dispersas a lo largo del edificio, están conectados a un circuito eléctrico que es suplido por un banco de baterías que está conectado a una planta de energía y aunque el primero está pegado a una toma de tierra (elemento que protege a los equipos y personas de diferencias de potencial peligroso) y la polaridad es correcta, en la oficina de la policía hay computadoras enchufadas a unos tomacorrientes que no están polarizados, ni conectados al circuito protegido con baterías de respaldo eléctrico o a la planta eléctrica por lo que en términos generales, la instalación eléctrica se encuentra en condiciones no apropiadas.

Por otra parte, los equipos están expuestos a las temperaturas que imperan en la zona, debido a que la unidad de aire acondicionado existente, no cubre las áreas donde están ubicados.

Puesto fronterizo de Peñas Blancas:

No hay agentes de vigilancia dentro del edificio, cuyas características generales son aceptables, sin embargo, las puertas de acceso al área donde está el personal y computadoras es de baja altura y frecuentemente permanece abierta o sin el cerrojo puesto, exponiéndose al riesgo de ingreso de personas no autorizadas.

La planta eléctrica, se ubicó en la plazoleta contigua al edificio, la cual es de libre acceso y al no haber vigilancia, está expuesta a eventuales daños y a pesar de que ese espacio está rodeado de una estructura enmallada, está muy cercana a la planta, por lo que se tiene riesgo de ingreso, especialmente, por la ventana de la estructura metálica frente a su panel de control.

9___________________________________________________________________________



tel:2224

AI-0012-2015

Oficina de Nicoya:

Las condiciones de temperatura, estructura, cableado eléctrico y seguridad, que presenta el local donde se ubica esta oficina, son inadecuadas para los equipos informáticos, el personal que labora y los usuarios que son atendidos, ya que la instalación eléctrica está entubada con PVC y sobre las paredes, ocurriendo que al enchufar el dispositivo que verifica la puesta a tierra y la polaridad, se verificó que no hay conexión a tierra y los equipos están adheridos al flujo eléctrico, con extensiones de tipo comercial, depositadas en el suelo y junto con un televisor y un abanico, además, no hay unidad de aire acondicionado, el cielo raso es de madera, el piso lujado y la temperatura dentro del local bastante alta.

Sobre la seguridad de las instalaciones, la funcionaria Aracely Arrieta, comentó, que se han metido a robar en varias ocasiones y han tenido que poner dinero de su bolsillo para cambiar algunos sectores de las paredes de madera y reemplazar la instalación eléctrica.

Oficina de Upala:

En términos generales, las instalaciones de la oficina de Upala presenta buenas condiciones, sin embargo, carece de un adecuado cerco que la aísle y proteja, ya que está a orillas del camino, en una parte un poco solitaria, rodeada de grandes terrenos baldíos y el lugar no cuenta con vigilancia, lo que hace que sus instalaciones sean vulnerables a daños y robos, como el que ocurrió hace algunos meses, cuando se sustrajo equipo informático.

Al exterior del edificio, de forma expuesta, está una caja de conexión de la instalación eléctrica con una planta eléctrica, ubicada a un costado del edificio, en un encierro de malla y techada, sin ninguna otra protección.

Oficina de Los Chiles:

Se encuentra alojada en un edificio antiguo y descuidado, sin una cerca que lo proteja de vandalismo o robos, no cuenta con vigilancia e incluso existe una ventana sin verjas, que da acceso al interior del local, a través de un cuarto en el que están botadas bolsas de basura que según se observó, contienen los chalecos salvavidas de las lanchas, junto a cajas con papelería, una motocicleta y otros objetos.

La propiedad es esquinera, ubicada en el centro del poblado, del lado atrás limita con una finca grande que colinda con el río, cuenta con un sótano clausurado y en general, no es un sitio con las condiciones mínimas de infraestructura, instalación eléctrica y seguridad para mantener equipo informático, dar un buen servicio a los usuarios y garantizar un espacio adecuado para los funcionarios.

10___________________________________________________________________________



tel:2224

AI-0012-2015

El piso es de madera y se observaron varias hendijas de tamaño considerable, una de estas debajo del escritorio de un colaborador, lo que representa un peligro latente, para los funcionarios y los equipos, ya que si se hundiera, caerían al sótano, que está a una profundidad bastante considerable.

Con respecto al suministro eléctrico, este es abastecido por tres viejos y descuidados interruptores, dos de ellos sin tapa, los cables son pasados, sueltos hacia el techo, enmarañados y expuestos.De acuerdo al dispositivo con que se evaluó, existen equipos informáticos conectados a tomacorrientes que no están con puesta a tierra. La computadora que hace las veces de servidor de aplicaciones, es la única que posee batería de respaldo y se ubica en un pequeño mueble donde también se colocan los equipos de comunicaciones y en el que se tiene una maraña de cables conectados a una pequeña regleta, circunstancia que también se repite en los otros escritorios donde hay computadoras.

Asimismo, la citada oficina tiene en su parte exterior una planta eléctrica, instalada a un costado del edificio, techada y encerrada con malla, la cual suministra la energía de la oficina en casos de emergencia.

Delegación de Ciudad Quesada:

El edificio donde se localizan las instalaciones de esta Delegación, en términos generales, se aprecia en buen estado; sin embargo, las puertas de acceso restringido para el público, generalmente permanecen abiertas o sin la cerradura puesta, por lo que cualquier persona no autorizada podría ingresar; observándose que durante el tiempo que duró la visita de esta Auditoría, la puerta de ingreso al servidor y los equipos de comunicaciones permaneció abierta.

La acometida eléctrica del edificio, es distribuida a lo interno mediante 5 circuitos cada uno con su respectivo medidor, las conexiones al medidor permanecen sin tapa, exponiéndolos a que fácilmente puedan ser alcanzados por elementos externos potencialmente dañinos como líquidos y otros.

Al momento de la visita, la delegación no contaba con el banco de baterías centralizado para el respaldo de los equipos informáticos, porque de acuerdo a la Jefe de la Delegación, Licda. Leda Vargas Gómez, el que había se descompuso y desde el año pasado se lo llevaron a San José; aunado a que no se cuenta con planta eléctrica que abastezca la falta de fluido eléctrico, en la zona se suspende frecuentemente el servicio eléctrico y el servidor y los equipos de cómputo se apagan imprevistamente; por lo que el servidor debe reiniciarse cuando se restablece el fluido eléctrico y todas las tardes se apaga para volverse a encender en las mañanas.

Delegación de Paso Canoas:

11___________________________________________________________________________



tel:2224

AI-0012-2015

El edificio de esta Delegación, en términos generales, se aprecia en buen estado; sin embargo, las puertas de acceso restringido para el público, generalmente duran abiertas o sin el cerrojo pasado, por lo que cualquier persona no autorizada podría ingresar; observándose que la puerta de ingreso al servidor y a los equipos de comunicaciones, durante el tiempo que duró nuestra visita permaneció abierta.

Con respecto a lo eléctrico, se observó una gran cantidad de cables que cuelgan del techo y las paredes, algunos sueltos y otros entubados, pero puestos en forma desordenada. Además de tomacorrientes ubicados en el suelo y otros instalados en las paredes a la altura de los escritorios, con la instalación eléctrica externa o protegida con canaletas, situación que refleja una saturación eléctrica en el edificio.

Oficina de Sabalito:

Se localiza en un edificio propiedad del Ministerio de Agricultura y Ganadería (MAG), en el que se visualiza una ventana en mal estado, sin celosías, tiene un agujero para la atención al público pero no es utilizado y no está protegido correctamente. Asimismo, los archivadores tienen los llavines defectuosos y la documentación importante es de fácil acceso, ya que la atención es en su interior, de manera que quienes llegan a realizar algún trámite ingresan a ese espacio.

Visualizándose en lo eléctrico, que los tomacorrientes de la red no cuentan con línea a tierra y se observan cables descubiertos.

Oficina de Golfito:

El edificio tiene cortinas de metal en las puertas y ventanas, el techo es de cemento, tiene problemas de goteras, según lo indicaron los funcionarios y la atención al público se hace mediante ventanillas dispuestas para ese propósito; sin embargo, esta Auditoría mientras estuvo en el lugar, observó que la puerta principal se mantenía cerrada pero sin llave.

En cuanto a lo eléctrico, cuenta con una red para los equipos electrónicos, separada de la normal; los tomacorrientes para conexión tienen tapas en rojo; el cableado está cubierto por canaletas y conectado a una UPS principal, que protege los equipos de picos de voltaje y suple de corriente eléctrica, cuando hay desconexión del fluido.

Los resultados de las pruebas realizadas a la red para los equipos, muestran que está bien instalada; sin embargo, hay varios equipos conectados a tomacorrientes fuera del circuito protegido.

Aeropuerto Tobías Bolaños:

La oficina de Migración es pequeña y hay poco espacio para ubicar a los funcionarios, los muebles y equipos, por lo que se advierte un poco desordenada, pero sin problemas

12___________________________________________________________________________



tel:2224

AI-0012-2015

de infraestructura; sin embargo, se observó que las computadoras estaban conectadas a regletas ubicadas en el suelo.

Aeropuerto Juan Santamaría:

Migración cuenta con varias oficinas en este aeropuerto, además de un sitio para la ubicación de los servidores y equipos de comunicación y computadoras en los “counter” de salida y en los puestos de registro de entradas al país, sin que se observaran deficiencias en la infraestructura, ni en la instalación eléctrica; sin embargo, en la oficina donde está la secretaria, que se advierte como el punto principal de coordinación, se ubica la documentación histórica, que por su volumen, satura el espacio de cajas, haciendo el desplazamiento por el lugar incómodo y peligroso en casos de emergencias.

De las situaciones encontradas, se consultó a la Directora Regional Licda. Roxana Que-sada, en entrevista del 10 de setiembre de 2014, sobre quién es el responsable de coordinar y reportar problemas de infraestructura, instalaciones eléctricas y seguridad; señalando que cada jefe es el que debe comunicar y coordinar la solución de esas si-tuaciones con el Subproceso de Obras y Mejoras.

Por su parte, el encargado del subproceso de Obras y Mejoras, Arq. Minor Quesada, en correo del 17 de noviembre del 2014, señala que el mantenimiento preventivo y correc-tivo de las oficinas regionales, se hace mediante solicitud de la oficina interesada o de la Dirección Regional o Dirección General y que la atención depende de la disponibili-dad de materiales requeridos y si la oficina pertenece a la Institución, ya que si es un lo-cal alquilado o prestado, no se pueden realizar trabajos por tratarse de mejoras a un in-mueble que no es propiedad de la institución.

Adicionando, la Directora Regional, Licda. Roxana Quesada, mediante oficio DR-1473-11-2014, del 25 de noviembre del 2014, que como solución a los problemas de instalaciones de las oficinas regionales, se conformó la Comisión Institucional de Lotes e Infraestructura acogida por la Dirección General, según acuerdo 001-2013, del 04 de julio del 2013.

Con respecto a esta situación, la Ley General de Control Interno, en el artículo 16 establece como deberes del jerarca y de los titulares subordinados, el buen funcionamiento del sistema de información. Además la norma 5.9., de Normas de Control Interno para el Sector Público, indica que se les requiere propiciar su aprovechamiento y observar la normativa relacionada con las TI, emitida por la CGR; atendiendo lo necesario para garantizar su operación continúa.

Por su parte, las Normas para la Gestión y el Control de las Tecnologías de Información, emitidas por la Contraloría General de la República, del 7 de junio, 2007 señala textualmente:

13___________________________________________________________________________



tel:2224

AI-0012-2015

“1.4.3 Seguridad física y ambiental: La organización debe proteger los recursos de TI estableciendo un ambiente físico seguro y controlado, con medidas de protección suficientemente fundamentadas en políticas vigentes y análisis de riesgos.

Como parte de esa protección debe considerar:

a. Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos o áreas de trabajo, protección de oficinas, separación adecuada de áreas.b. La ubicación física segura de los recursos de TI.(…)f. La continuidad, seguridad y control del suministro de energía eléctrica, del cableado de datos y de las comunicaciones inalámbricas. h. Los riesgos asociados con el ambiente.”

Sobre las causas que provocan las deficiencias descritas en este hallazgo, los funciona-rios encargados de su atención, indicaron:

La Directora Regional, Licda. Roxana Quesada, en entrevista del 10 de setiembre de 2014, citó que en el PAO del 2014, se incluye dentro de las actividades la construcción de las oficinas regionales de Paso Canoas, Tortuguero, Guápiles, Sixaola y Sabalito; sin embargo, revisando su cumplimiento se observa que no se ha cumplido por falta de recursos financieros. Argumentando en el oficio DR-1473-11-2014, que la Dirección Ge-neral de Migración es propietaria de tres edificios a escala regional, alquila 7 y 10 ofici -nas regionales están en instalaciones propiedad de otras instituciones públicas.

El Arq. Minor Quesada, en correo del 17 de noviembre de 2014, cita que si la oficina es un local alquilado o prestado, hay trabajos que no se pueden realizar por ser mejoras a un inmueble que no pertenece a la institución y que por falta de personal, se dificulta el tiempo de respuesta a las solicitudes, ya que solo cuentan con tres personas de mante-nimiento, para todo el país.

El Ing. José Barquero, quien está a cargo de la parte eléctrica de la institución, en co-rreo electrónico del 24 de noviembre del 2014, reafirma que la mayoría de las oficinas regionales son locales que no pertenecen a la institución, por lo cual les resulta imposi-ble elaborar planes de mejora, porque la institución no está en capacidad de invertir en inmuebles que no le pertenecen; añadiendo que las mejoras eléctricas las atienden por ampliación del inmueble, por aumento de carga o por deterioro de la instalación existen-te, por lo que hay casos en los que no se ha presentado ninguna de las condiciones.

Por las deficiencias enumeradas, las oficinas regionales corren el riesgo de ser víctimas de incendios, robos y otros daños a la propiedad inmueble y a las instalaciones, equipo y sistemas informáticos; lo que eventualmente provocaría el retraso e impediría el cum-

14___________________________________________________________________________



tel:2224

AI-0012-2015

plir con servicios oportunos para los usuarios y el logro de los objetivos institucionales previstos por la Ley.

2.2 Consistencia de los datos que se registran en los sistemas de información utilizados en las oficinas regionales.

Debido a que está en desarrollo un plan piloto, con el fin de probar la consulta de impedimentos directamente a la base de datos del Poder Judicial, se instaló una computadora en las Regionales de Paso Canoas y Peñas Blancas y en el Aeropuerto Juan Santamaría; de esta forma, los funcionarios de esas instancias deben consultar tanto en los registros del Poder Judicial como en los de Migración de esas bases de datos, a través del sistema SIMMEL; con el objetivo de que los juzgados incluyan los impedimentos y que Migración realice solamente las consultas, evitando posibles diferencias y una doble digitación.

Informando la Gestora de TI, Licda. Jenny Gamboa, en correo del 18 de noviembre de 2014, que el propósito del plan piloto es que el Poder Judicial pueda afinar las consultas y depurar la información, ya que debían asegurar la disponibilidad de los datos ingresados en los juzgados y las fiscalías; asimismo, que para la implementación oficial y definitiva de la consulta directa a la base de datos del Poder Judicial, se prevé el inicio en producción, para principios del 2015.

Conforme a los analistas informáticos a cargo del proyecto por parte de Migración, Lic. Gerardo Roque e Ing. Anthony Chinchilla, el objetivo del plan piloto es probar la interface entre ambas instituciones, comparar las diferencias entre la información que posee Migración con la del Poder Judicial e irla depurando, de forma que todas las inconsistencias presentadas en las consultas que realiza Migración, se comuniquen al Departamento de Informática del Poder Judicial para que le den seguimiento.

Sobre el particular, el señor Roque, manifestó que ese proceso finalizó el miércoles 22 de octubre del 2014 y debido a que la información obtenida sigue dando diferencias, GTI quería solicitar una ampliación del plazo; agregando en correo del 18 de noviembre del 2014, que en el Aeropuerto Juan Santamaría, ya no se están haciendo consultas a la base de datos del Poder Judicial.

Además el analista y también miembro del equipo del proyecto, Ing. Jay Brenes, señaló que la Jefatura de la Policía de Migración exige a sus funcionarios revisar los impedimentos en el Poder Judicial, manifestando, el Ing. Chinchilla, funcionario de GTI, que la consulta en el sistema SIMMEL, se sigue realizando y continuará hasta que no haya un comunicado oficial que indique lo contrario; agregando la Encargada de Proyectos de GTI, Licda. Vivian Castillo Vargas, que en los puestos migratorios se

15___________________________________________________________________________



tel:2224

AI-0012-2015

sigue consultando los impedimentos de salida como se había acordado en el plan piloto y no ha habido una contraorden.

Las diferentes posiciones, expresadas por los anteriores funcionarios de GTI, evidencian la falta de una clara definición y comunicación de los términos del plan piloto, así como de una adecuada coordinación y orientación de sus participantes; aunado a la ausencia de información entre los informáticos involucrados en este proyecto.Por otra parte, en visita realizada al puesto fronterizo de Peñas Blancas, el 18 de julio del 2014, esta Auditoría encontró inconsistencias entre la información que aportaron las consultas a la base de datos del sistema SIMMEL de Migración y a la base de datos del sistema SIMMEL del Poder Judicial.

Sobre el tema, el señor Maikel Olsen, coordinador de turno, señaló al Jefe del puesto, Bach. Yerel Mata Jara, en el oficio MPB-289-6-14, del 4 de junio del 2014, que ese día, la oficial Kembly Hernández, al desplazar el pasaporte de un usuario, por el lector desde la computadora del Poder Judicial, en consulta al sistema SIMMEL, le apareció impedimento; sin embargo, desde la computadora de Migración al sistema SIMMEL, no le apareció, adjuntando las copias de ambas consultas.

Además, el señor Olsen, aportó documentos de otros casos similares y que hacen constar las consultas realizadas en los mismos módulos del sistema SIMMEL, como el caso de un ciudadano, quien aparece con restricción en la consulta hecha a SIMMEL del Poder Judicial y sin alertas en la consulta hecha en SIMMEL de Migración.

También el señor Olsen, mostró documentación de otras 3 personas que cuentan con orden de captura y no aparecen registrados en el SIMMEL, uno requerido por hurto simple, el segundo por uso de documento falso y el tercero por homicidio calificado; asegurando que han tenido casos en los que al consultar a otros puestos migratorios, los datos no coinciden con los que ellos registran.

Encontrándose reportes de inconsistencias entre ambas bases de datos, informados por el funcionario de Paso Canoas, Álvaro Artavia Leitón, mediante oficio sin número del 20 de junio del 2014, donde señala 11 casos detectados en consultas realizadas a ambas bases de datos.

En relación al tema en mención, las Normas técnicas para la gestión y el control de las TI, de la Contraloría General de la República, señalan:

16___________________________________________________________________________



tel:2224

AI-0012-2015

“4.1 Definición y administración de acuerdos de servicio: La organización debe tener claridad respecto de los servicios que requiere y sus atributos, y los prestados por la Función de TI según sus capacidades.

El jerarca y la Función de TI deben acordar los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluación del desempeño. Para ello deben:

a. Tener una comprensión común sobre: exactitud, oportunidad, confidencialidad, autenticidad, integridad y disponibilidad.b. Contar con una determinación clara y completa de los servicios y sus atributos, y analizar su costo y beneficio.c. Definir con claridad las responsabilidades de las partes y su sujeción a las condiciones establecidas.d. Establecer los procedimientos para la formalización de los acuerdos y la incorporación de cambios en ellos.e. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos.”

Esta Auditoría encontró que no se tiene establecido un protocolo por escrito para este plan piloto que determine los deberes y sus responsables, de tal forma que si se presenta diferencias en las consultas a la base de datos del Poder Judicial y de Migración, los funcionarios estén informados sobre cuál debe ser el proceder, así como la determinación de los responsables de cada parte del proceso y tampoco se formalizó un convenio con el Poder Judicial, para establecer las reglas, plazos, guías y responsabilidades de cada institución en el proyecto.

Sobre este tema, se consultó a la Unidad de Planificación Institucional, encargada de elaborar los procedimientos y protocolos institucionales, a lo cual la MBA. María Eugenia Víctor, en correo electrónico del 12 de noviembre de 2014, respondió que Planificación no ha participado en dicho proceso.

Para conocer el motivo de las diferencias entre ambas bases de datos, se visitó la Dirección de Informática del Poder Judicial y en reunión con la Jefa de sistemas, Licda. Carmen Quesada Chacón, así como con los encargados del proyecto por parte del Poder Judicial, Licda. Tania Pérez Barrantes y Lic. Fernando Miguel Méndez Díaz, indicaron que desde que inició el plan piloto se han recibido alrededor de 20 casos con diferencias y que principalmente se debe a que faltan algunos juzgados para conectarse al sistema en línea; ya que la conexión con los juzgados se ha ido realizando poco a poco, de uno en uno.

Agregando, que hubo problemas con una dirección de correo electrónico que utilizaban para enviar la información del Poder Judicial a Migración; situación que fue superada con la implementación de un canal directo entre ambas instituciones, ya que crearon

17___________________________________________________________________________



tel:2224

AI-0012-2015

una carpeta compartida para que cada 30 minutos, el Poder Judicial enviara a Migración, actualizaciones de los impedimentos en formato PDF; añadiendo que la base de datos oficial y actualizada, es la del Poder Judicial.

Por otra parte, señalan los funcionarios de informática del Poder Judicial que ellos le han dado alta prioridad al proyecto, y que actualmente están a la espera de que Migración les confirme la contratación de un enlace hacia un sitio que brindará un servicio 24/7, sin embargo, al 2 de julio de 2014, la Gestión de TI de Migración se encontraba aún gestionando una modificación al presupuesto para su adquisición.

Consultado sobre el avance de la contratación del enlace entre Migración y CODISA, el Lic. Harold Alfaro, funcionario del Subproceso de Redes y Comunicaciones, quien está a cargo de gestionar dicha contratación, manifiesta en correo del 17 de noviembre de 2014, que aún no se tiene la contratación del enlace, debido a que estaban esperando el contrato entre el Poder Judicial y CODISA y que hasta el 13 de noviembre del 2014, en oficio 2758-DTI-2014, se enteró que ya se podía solicitar el enlace con CODISA.

Informando que anteriormente se había solicitado el contenido económico a Financiero y en correo del 05 de setiembre del 2014, la encargada de Presupuesto Institucional, Licda. Rebeca Montero, le indicó a la Licda. Jenny Gamboa que están disponibles los recursos para este proyecto y que pueden solicitar el contenido económico. Añadiendo, el Lic. Alfaro, que actualmente se están realizando conversaciones con el director comercial del Data Center de CODISA, señor Carlos Blanco, para aclarar el ancho de banda que se debe solicitar.

Estas inconsistencias en la información, presentadas al realizar las consultas en ambas bases de datos, podrían contribuir a errores en la toma de decisiones que se den basadas en los reportes que se generan, permitiendo la salida a personas con impedimento.

2.3 Capacitación de los funcionarios para el uso de los sistemas de información en las Oficinas Regionales y los Aeropuertos.

En visitas efectuadas a las oficinas regionales de Liberia, Ciudad Quesada, Los Chiles, Upala, Golfito, Sabalito, Paso Canoas y Peñas Blancas, así como a los Aeropuertos Daniel Oduber, Tobías Bolaños y Juan Santamaría, se realizó una encuesta a setenta y seis funcionarios sobre varios tópicos, entre éstos, el de capacitación y los resultados fueron los siguientes:

Ante la pregunta si ¿Se realizan capacitaciones periódicas al personal de los sistemas de información? El 84% de los entrevistados respondió que no.

Sobre si ¿La inducción recibida en sistemas de información les aportó lo necesario para el trabajo diario? El 51% la calificó como regular, mala o muy mala.

18___________________________________________________________________________



tel:2224

AI-0012-2015

Y ante la pregunta de si ¿La inducción recibida en sistemas de información fue clara? El 62% la calificó en los términos de regular, mala o muy mala.

Sobre la capacitación a los funcionarios nuevos, se consultó a los Jefes de las Regionales y Aeropuertos, quienes indicaron que se asigna personal de experiencia al recién nombrado, para que los aleccionen en los procedimientos y en el uso de los sistemas, además, les entregan los manuales de usuario y agregan que las capacitaciones realizadas por la Gestión de TI, se dan únicamente cuando existe la implementación de un nuevo sistema, actualización o mejora.

Argumentando la Directora Regional, Licda. Roxana Quesada, en entrevista del 28 de octubre del 2014, que se cuenta con un programa de capacitación en los procedimientos administrativos y en el campo policial, pero en cuanto a los sistemas informáticos la capacitación corre a cargo de GTI, la que brindan cuando incorporan cambios o actualizaciones a los sistemas.

Sobre dicha situación, las Normas para el Control Interno del Sector Público, señala:

“2.4 Idoneidad del personal: El personal debe reunir las competencias y valores requeridos, de conformidad con los manuales de puestos institucionales, para el desempeño de los puestos y la operación de las actividades de control respectivas. Con ese propósito, las políticas y actividades de planificación, reclutamiento, selección, motivación, promoción, evaluación del desempeño, capacitación y otras relacionadas con la gestión de recursos humanos, deben dirigirse técnica y profesionalmente con miras a la contratación, la retención y la actualización de personal idóneo en la cantidad que se estime suficiente para el logro de los objetivos institucionales.”

Por su parte, la norma internacional COBIT 4.0 cita textualmente lo siguiente:

“DS7- Educar y entrenar a los usuarios:

DS7.1 Identificación de necesidades de entrenamiento y educación: Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya:

• Estrategias y requerimientos actuales y futuros del negocio. • Valores corporativos (valores éticos, cultura de control y seguridad, etc.) • Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones) • Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales necesarias. • Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo, accesibilidad y tiempo.

19___________________________________________________________________________



tel:2224

AI-0012-2015

DS7.2 Impartición de entrenamiento y educación: Con base en las necesidades de entrenamiento identificadas, identificar: a los grupos objetivo y a sus miembros, a los mecanismos de impartición eficientes, a maestros, instructores y consejeros. Designar instructores y organizar el entrenamiento con tiempo suficiente. Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones de desempeño.

DS7.3 Evaluación del entrenamiento recibido: Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y valor. Los resultados de esta evaluación debe contribuir en la definición futura de los planes de estudio y de las sesiones de entrenamiento.”

Además, el Manual de Políticas de Seguridad de Tecnologías de Información, de la Dirección General de Migración y Extranjería, publicado el 11 de marzo del 2013 indica lo siguiente:

“86. Manual de prácticas de seguridad de las tecnologías de información: Los funcionarios de primer ingreso a la Dirección General de Migración y Extranjería, deberán recibir la capacitación necesaria para desempeñar sus labores y una copia del Manual de Políticas de Seguridad para las Tecnologías de Información; además se les debe concientizar en el cumplimiento de los requerimientos descritos en dicho documento.

(…)88. Responsabilidad sobre la capacitación formal: La administración, en coordinación con la Gestión de Recursos Humanos y la Gestión de Tecnologías de Información, deberá proveer las capacitaciones y materiales que recuerden a los funcionarios sus obligaciones con respecto a la seguridad de la información y los recursos tecnológicos.

89. Educación técnica y capacitación para la utilización de los Recursos Tecnológicos: Todo usuario de la Dirección General de Migración y Extranjería no debe utilizar cualquier equipo y sistema de información en producción (funcionamiento), sin tener la suficiente capacitación y en todos los aspectos críticos de sus trabajos, incluyendo seguridad, aseguramiento de calidad y relaciones con los usuarios.”

Para conocer las causas de esta situación, el 14 de noviembre del 2014, se entrevistó a la Gestora de TI, Licda. Jenny Gamboa Rodríguez, quien argumentó que cuando se termina un sistema de información, previo a su puesta en producción, se aplica el plan de capacitación y se indica a la Jefatura propietaria del sistema, su responsabilidad de asegurar que existan, al menos, dos usuarios expertos, los cuales tendrán la responsabilidad de capacitar a los compañeros que ingresen; labor que está a cargo de la jefatura de cada oficina. Afirmando que GTI no es la encargada de dar

20___________________________________________________________________________



tel:2224

AI-0012-2015

capacitaciones de los sistemas, excepto, en los casos de implementación de nuevos sistemas, cambios o actualizaciones realizadas.

Manifestando, el Lic. William Fuentes Zumbado, Encargado del Subproceso de Desarrollo de Recursos Humanos, en entrevista del 27 de noviembre del 2014, que esa instancia nunca ha coordinado ese tipo de capacitaciones, ya que GTI se encarga de brindarlas directamente cuando lo consideran necesario; señalando que todas las oficinas de la Dirección, deben remitirles los cursos que darán durante el año, ocurriendo que para el presente, por medio de la Circular Nº. 2701-07-2014, del 10 de julio del 2014, se solicitó el tipo de cursos y los requisitos que debían incorporarse; sin embargo, nunca se ha recibido oficios de GTI, para brindar cursos o charlas coordinadas con el Subproceso que coordina.

Dicha situación, podría ocasionar que los usuarios no obtengan el máximo provecho que ofrecen los sistemas de información u originar errores en el uso de los sistemas que involucren datos sensibles, como el borrado, la modificación de datos o la omisión de procedimientos técnicos para la consulta o el grabado de información, provocando retrasos o irregularidades en el servicio que se le brinda a los usuarios de la institución.

2.4 Consulta a la base de datos de INTERPOL.

En las visitas realizadas a algunas oficinas regionales, se determinó que en el sistema SIMMEL, a la pantalla de registro de salidas del país, se le agregó la opción de consulta a la base de datos de INTERPOL, con el propósito de verificar si una persona tiene o no cuentas pendientes con la policía a nivel internacional; acción que de acuerdo con funcionarios de esas regionales y aeropuertos, provoca que la consulta se vuelva muy lenta.

Observándose, que en la parte inferior izquierda de la pantalla de salidas, se incorporó un pequeño cuadro de selección, que le permite al usuario, activar la consulta y desactivarla, opción que por defecto permanece encendida.

Sobre lo anterior, en entrevista del 23 de octubre del 2014, el analista a cargo del sistema SIMMEL, Ing. Anthony Chinchilla, indica que la opción se puso con la finalidad de que cuando existieran problemas de conexión con INTERPOL, el Jefe del puesto autorizara su desactivación para trabajar con la base de datos local (DIFUSIONES) y al omitirse esa consulta, se evitaría que el sistema se ponga lento esperando la respuesta y podría continuarse brindando el servicio con normalidad.

Al respecto, se indagó sobre la existencia de un protocolo para el uso del botón de consulta a INTERPOL, que señale las circunstancias y responsables para su activación o desactivación; encontrándose que sólo se tiene un “Protocolo para la atención de alertas policiales”, confeccionado en el 2013.

21___________________________________________________________________________



tel:2224

AI-0012-2015

Según lo manifestado, por el Ing. Chinchilla, en entrevista del 23 de octubre de 2014, cuando se desconecta la búsqueda a INTERPOL, las consultas se hacen en las difusiones, que son las mismas alertas de INTERPOL, sólo que son ingresadas localmente por la oficina en Costa Rica. Por su parte, manifiesta la Directora Regional, Licda. Roxana Quesada Zamora, en entrevista del 03 de diciembre de 2014, que el “check” lo creó GTI, pero que no consta en el procedimiento de alertas, ni en algún documento o directriz, a quien le corresponde dar la indicación de inactivarlo cuando esté dando problemas. Agregando que su Dirección no ha autorizado expresamente la inactivación del “check” y que en las charlas de inducción impartidas por la GTI, se tocó el tema, pero no se definió quién debe dar el aval de activar o desactivar la consulta, sólo indicaron que la opción existía para casos cuando la consulta se pega o afecta los tiempos de respuestas de los sistemas.

Aunado a lo anterior, se revisaron los documentos de las capacitaciones a los usuarios del sistema y no se logró determinar quiénes y en qué circunstancias están autorizados a quitar la opción de consulta. Situación que confirmó la Jefa del Aeropuerto Juan Santamaría, Licda. Cheily Flores, mediante correo electrónico del 29 de julio de 2014, donde señala que no tiene un comunicado formal que le permita dar el aval a su personal para esa gestión.

Con respecto a este tema, se deben considerar las siguientes regulaciones:

La Ley General de Control Interno N°8292, indica en su artículo 15:

“b) Documentar, mantener actualizados y divulgar internamente tanto las políticas como los procedimientos que definan claramente, entre otros asuntos, los siguientes:

i. La autoridad y responsabilidad de los funcionarios encargados de autorizar y aprobar las operaciones de la institución.

ii. (…)v. Los controles generales comunes a todos los sistemas de información computarizados y los controles de aplicación específicos para el procesamiento de datos con software de aplicación.”

Además, el Manual de políticas de seguridad de Tecnologías de Información, de la DGME, cita textualmente:

“43. Asignación de propiedad de la información: La Dirección General de Migración y Extranjería deberá tener claramente identificado a los Propietarios de la información según su clasificación para lo que corresponda para cada área de la Institución.

22___________________________________________________________________________



tel:2224

AI-0012-2015

44. Responsabilidad de propiedad en el área de Tecnología de Información: La Gestión de Tecnologías de Información no debe ser el propietario de la información que se almacena o procesa en sus medios tecnológicos, excepto por lo indicado en el punto 12 del capítulo II de esta política.

45. Administración de la información: La información debe ser administrada de forma tal que se garantice el control de acceso, integridad y sensibilidad de los datos, según lo haya determinado el propietario de la misma y en apego a las políticas de Seguridad Informática dictadas.

46. Responsabilidades del administrador de la información: Los administradores de la información son responsables de definir controles específicos, administrar los mismos, poner en operación y mantener medidas de control efectivas y proveer capacidades de recuperación consistentes con las instrucciones del Propietario de la información.

(…)105. Autorización de cambios a los sistemas de información: Todos los cambios propuestos a los sistemas de información deben ser autorizados por el propietario del sistema. Cualquier cambio es responsabilidad única del propietario, en razón de ser el conocedor y administrador de los procesos que involucran su estructura.”

Según lo indicado por la Licda. Roxana Quesada, el 3 de diciembre del 2014, no existe un comunicado que informe a quién le corresponde dar la indicación de activar o desactivar dicho botón de consulta, de acuerdo a la situación que se presente.

La debilidad determinada, podría provocar que en ocasiones se requiera la desactivación de ese botón y no se realice, incentivando la lentitud y retrasos en los tiempos de respuesta del sistema SIMMEL o que sea necesaria su activación, para realizar una consulta y no se dé, por falta de un responsable que lo autorice, generando que no se ejecute la consulta a la base de datos de INTERPOL, aceptándose el ingreso al país de una persona que tiene alerta en INTERPOL.

2.5 Extintores y detectores de incendios en las Oficinas Regionales y Aeropuertos.

Se determinó que los extintores que están en las oficinas regionales son de los tipos ABC, CO2 y H20, que tienen un uso específico según las clases de materiales que provocan un incendio. Es así que el tipo ABC sirve para combustibles sólidos, líquidos inflamables y gases; el CO2 es para incendios en equipos delicados, pero son menos eficaces que los extintores de polvo y el tipo H2O es para extinguir fuegos de sólidos y no se debe utilizar en donde interviene la energía eléctrica y a pesar de que cada tipo de extintor tiene su utilidad específica, no en todas las oficinas se tiene de los tres.

Por otra parte, durante las giras realizadas, a las oficinas regionales de Liberia, Nicoya, Peñas Blancas, Upala, Los Chiles, Ciudad Quesada, Paso Canoas, Golfito y Sabalito,

23___________________________________________________________________________



tel:2224

AI-0012-2015

se observó que prácticamente todos los extintores estaban puestos en el piso, sea detrás de escritorios, a la entrada de las oficinas, junto a basureros y hasta sosteniendo una puerta para mantenerla abierta, como en la del Aeropuerto Juan Santamaría, siendo la menor frecuencia, el que fueran colocados en la pared, según correspondería.

Concretamente, hay oficinas con equipos de cómputo que tienen extintores del tipo H20, los cuales están compuestos de agua y son recomendados para fuegos clase A, cuando hay materiales que dejan ceniza o brasas, como el cartón, el papel y otros, pero no para fuegos donde está involucrada la energía eléctrica; como en la Delegación de Ciudad Quesada, que tenía uno de ese tipo, ubicado a la entrada del cuarto donde está el servidor y el equipo de comunicaciones y que el día de la visita de esta unidad fiscalizadora, fue cambiado por uno del tipo CO2.

Sobre las pautas que brinda la oficina de Salud Ocupacional, para la ubicación de los extintores, se consultó a la encargada institucional, Licda. Maureen Campos Calvo, quien en correo del 22 de julio del 2014, afirma que cada oficina se encarga de la ubicación de los extintores, según la información que se les brinda en las capacitaciones.

Mencionando que la capacitación a los funcionarios de Migración, en el uso de extintores, se realiza una vez al año en las Oficinas Centrales y comprende una parte teórica y una práctica; en la que se ven los componentes, tipos, triángulo de fuego y uso correcto de extintores, métodos de transmisión del fuego y recomendaciones generales sobre los extintores y en la práctica, se enseña a enfrentarse al fuego y apagarlo usando el extintor correcto.

Pese a lo argumentado, en las listas de asistencia a las capacitaciones del 2012 y 2013, proporcionadas por la unidad señalada, se observa que no asistieron funcionarios de las oficinas regionales, únicamente aparecen registrados dos del Aeropuerto Juan Santamaría y dos del Tobías Bolaños.

Con respecto a la existencia de un estudio, para determinar la clase de extintores que cada oficina debe tener, así como de su correcta ubicación, la Licda. Campos señaló, el 25 de noviembre del 2014, que la institución se basa en las normas actuales de la NFPA 10 (Asociación Nacional de Protección contra el Fuego, por sus siglas en inglés), adoptadas por el Cuerpo de Bomberos y las Normas INTE 21-02-01-96. Indicando que realiza un procedimiento, el cual no tiene por escrito, que consiste en determinar la clase de extintores que requiere cada oficina y la cantidad según el área, luego revisa el inventario y con base en esto, incluye en el PAO, el total de extintores requeridos.

Añadiendo que por su efecto dañino, los extintores de polvo químico no son recomendables en caso de suceder un evento en equipos electrónicos, razón por la cual en los últimos años se han cambiado extintores en algunas regionales, adquiriéndose extintores de agua y dióxido de carbono.

24___________________________________________________________________________



tel:2224

AI-0012-2015

Mencionando, que con el objetivo de subsanar la falta de instrucciones precisas para determinar la colocación y tipos de extintores requeridos para cada oficina, este año se inició el proceso de formación de las brigadas de emergencia a nivel de oficinas regionales en Peñas Blancas, Nicoya, San Carlos, Puntarenas, Paso Canoas, Aeropuerto Juan Santamaría, Aeropuerto Tobías Bolaños, quienes finalizarán la capacitación con el Cuerpo de Bomberos a principios de diciembre del 2014 y que entre las funciones de los brigadistas está la revisión de etiquetado y ubicación del tipo de extintor según la necesidad.

Por otra parte, se determinó que en las oficinas regionales visitadas, tampoco existen sistemas de detección de incendios, que protejan a los funcionarios y al equipo informático institucional, ante eventuales siniestros y que dado el caso, contribuyan a minimizar los riesgos de posibles pérdidas.

Como criterios normativos y técnicos, referentes a la condición reseñada, se incluye las Normas técnicas para la gestión y el control de las TI, la cual señala:

“1.4.3 Seguridad física y ambiental: La organización debe proteger los recursos de TI estableciendo un ambiente físico seguro y controlado, con medidas de protección suficientemente fundamentadas en políticas vigentes y análisis de riesgos.”

Y el Manual de disposiciones técnicas generales sobre seguridad humana y protección contra incendios, versión 2013, del Benemérito Cuerpo de Bomberos de Costa Rica, indica:

“3.6. Extintores portátiles:3.6.1. Generalidades. Antes de la elección de un extintor es importante saber:

(1) La naturaleza de los combustibles presentes(2) Las condiciones ambientales del lugar donde va a situarse el extintor (3) Quién utilizará el extintor

Una vez analizada la zona a proteger, pueden elegirse extintores apropiados según el tipo de fuego:

Para fuegos de clase A: Agua, polvo químico polivalente (a base de fosfato amónico).Para fuegos clase B: CO2, polvo químico y AFFF. Para fuegos clase C: CO2, polvo químico.”

Además la Norma NFPA 10 del 2010 (National Fire Protection Association) sobre extintores portátiles contra incendios, cita textualmente:

25___________________________________________________________________________



tel:2224

AI-0012-2015

“1.5.9. En ningún caso el espacio libre entre la parte inferior del extintor y el piso debe ser menor a 4 pulgadas (102mm).”

Sobre la causa de la situación encontrada, la Licda. Maureen Campos, en correo del 29 de octubre del 2014, señala que la asistencia a las capacitaciones de manejo de extintores, por parte de los funcionarios de Migración, ha sido muy baja, comprobándose por esta Auditoría, que desde el año 2012 hasta el 2014, no ha habido participación de personal de oficinas regionales, salvo algunos pocos del Aeropuerto Juan Santamaría y del Aeropuerto Tobías Bolaños, lo que denota una falta de formación sobre el tema.

Argumentando sobre la ausencia de sistemas de detección de incendios, que ésta obedece a disposiciones dadas por la entonces Directora Administrativa Financiera, Licda. Roxana Chaves, quien citó que debido a un pronunciamiento de la Contraloría General de la República, era prohibido la instalación de equipos, tuberías, cableado o materiales en oficinas alquiladas; ocurriendo que la mayoría de los locales usados para las oficinas regionales, no son propiedad de la institución.

Citando la Licda. Campos, en correo del 18 de noviembre del 2014, que tampoco se realizan supervisiones periódicas para verificar la ubicación adecuada de los extintores en las oficinas regionales.

Las debilidades enlistadas, relacionadas con el tipo, uso y ubicación de los extintores y la falta de instalación de detectores de incendio en las Regionales, tienen las consecuencias de que en un eventual caso de incendio, no se atienda adecuadamente o no se den las posibilidades de prevenirlo, poniendo en riesgo el recurso humano y el equipo de cómputo o minimizando su impacto.

2.6 Agilidad de los Sistemas informáticos institucionales utilizados en las Regionalesy Aeropuertos.

Se efectuó una encuesta a 76 funcionarios de las oficinas de Paso Canoas, Sabalito, Golfito, Los Chiles, Upala, Ciudad Quesada, Liberia, Peñas Blancas y los aeropuertos Daniel Oduber, Tobías Bolaños y Juan Santamaría, para conocer su opinión y valoración de los sistemas informáticos institucionales que utilizan.

Según los resultados, para muchos funcionarios los sistemas de información regularmente son lentos, no responden y en ocasiones quedan fuera de funcionamiento o presentan errores; manifestaciones dadas por personal de Los Chiles, Liberia, Aeropuerto Tobías Bolaños, Ciudad Quesada y mayormente entre los funcionarios del Aeropuerto Juan Santamaría y de Peñas Blancas, lugares en los cuales se presenta mucha actividad de entrada y salida de personas al país.

26___________________________________________________________________________



tel:2224

AI-0012-2015

Indicándose a la pregunta, de si los tiempos de respuesta de los sistemas de información eran adecuados para el volumen de trabajo que realizan, 21 funcionarios respondió entre malo y muy malo, lo que corresponde a un 45% y 26 funcionarios lo calificaron de regular, que significa un 55%, del total de entrevistados.

Asimismo, ante la pregunta de si los sistemas de información eran razonablemente ágiles para la ejecución de sus labores, 11 funcionarios respondió entre malo y muy malo, para un 26% y 32 lo clasifican como regular, lo que representa un 74% del total de los entrevistados.

Sobre la situación señalada, en la encuesta un funcionario del Aeropuerto Juan Santamaría, indicó que todos los sistemas fallan o son lentos entre las 11:00 a.m. y las 2:00 p.m. Adicionalmente, otro funcionario, también del Aeropuerto Juan Santamaría, dijo que los tiempos de respuesta son lentos, principalmente en verificación de salida, donde hay más volumen de trabajo.

Considerando lo indicado por los usuarios, se colige que la plataforma informática no está satisfaciendo la agilidad de los sistemas de información, especialmente en el Aeropuerto Juan Santamaría y que se dan cuellos de botella que reducen su rendimiento.

Con respecto al tema, las Normas técnicas para la gestión y el control de las TI, señalan:

“1.4.7 Continuidad de los servicios de TI: La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios.

(…)3.3 Implementación de infraestructura tecnológica: La organización debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de información e infraestructura tecnológica y demás criterios establecidos. Como parte de ello debe considerar lo que resulte aplicable de la norma 3.1 anterior y los ajustes necesarios a la infraestructura actual.

4.2 Administración y operación de la plataforma tecnológica: La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Para ello debe:

(…)b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de la plataforma, asegurar su correcta operación y mantener un registro de sus eventuales fallas.

27___________________________________________________________________________



tel:2224

AI-0012-2015

c. Identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfacción y garantizar la oportuna adquisición de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnológicas.”

Sobre esta situación, algunos funcionarios encuestados en el Aeropuerto Juan Santamaría, indicaron que los sistemas se vuelven lentos debido al intenso tráfico de red que se presenta en las horas con mayor número de transacciones.

Para identificar la causa de la situación descrita, se obtuvieron los anchos de banda de las oficinas regionales, proporcionados por el Ing. Omar Gutiérrez, funcionario del subproceso de redes y comunicaciones, mediante correo electrónico el 02-07-2014, determinándose que en las oficinas donde se presentaron más quejas de los usuarios, es donde se tienen las velocidades más altas, como lo son Peñas Blancas y el Aeropuerto Juan Santamaría, que tienen enlaces principales de 10 Mbps y de respaldo cuentan con enlaces de 2 Mbps.

Asimismo, el Encargado de Redes y Comunicaciones, Lic. Harold Alfaro Castillo, proporcionó por correo electrónico del 03-12-2014, los reportes de tráfico que genera el software Op Manager Net Flow, que posee el Subproceso de Redes y Comunicaciones, del 26 de noviembre al 03 de diciembre de 2014, tanto del puesto de Peñas Blancas como del Aeropuerto Juan Santamaría, por ser las oficinas con mayor cantidad de usuarios y número de transacciones procesadas, obteniéndose que dicho software promedia el tráfico de red por hora de actividad en cada conexión.

Observándose en el reporte que da dicho software para el enlace de Peñas Blancas, con capacidad de 10 Mbps, que la hora de máximo consumo de ancho de banda durante toda la semana llegó a 2.06 Mbps, el mínimo de 4.74 Kbps, para un promedio de 469.77 Kbps, es decir, 0.47 Mbps, consumos que están por debajo de los 10 Mbps de capacidad del enlace, lo que significa que la capacidad del enlace estuvo sobrado respecto al volumen de información transmitida.

Por otra parte, en el reporte del enlace del Aeropuerto Juan Santamaría, con capacidad de 10 Mbps, se tiene que la hora de máximo consumo de ancho de banda durante toda la semana llegó a 1.53 Mbps, el mínimo de 12.25 Kbps, para un promedio de 182.55 Kbps, es decir, 0.18 Mbps, resultado menor a los 10 Mbps de capacidad del enlace, presentándose la misma situación que en el enlace de Peñas Blancas.

De acuerdo a los resultados obtenidos en los reportes de Peñas Blancas y del Aeropuerto Juan Santamaría, esta Auditoría considera que no es posible asegurar que la causa de la lentitud en los sistemas de información, corresponda a un ajustado ancho de banda.

Indicando el analista encargado del sistema SISCAP, Lic. Gerardo Roque Gutiérrez, que dentro de los factores que podrían generar lentitud en dicho sistema está el

28___________________________________________________________________________



tel:2224

AI-0012-2015

procesamiento limitado que tenga la computadora, los cuellos de botella por alto tráfico en la red y alto procesamiento en el servidor del aeropuerto.

Por su parte, el Encargado de Redes y Comunicaciones, considera que una de las causas de lentitud en los sistemas de información, se debe a factores fuera de la red, como las consultas a las bases de datos externas.

La condición descrita, podría ocasionar un servicio lento y deficiente al público en las entradas y salidas del país, donde se requiere la mayor agilidad para atender a los pasajeros que generalmente llegan en grupos grandes, donde el flujo es constante y voluminoso, como los puestos fronterizos y terminales aéreas.

2.7 Medición del desempeño de los sistemas de información que utilizan en lasRegionales y los Aeropuertos.

Con el propósito de conocer si la Gestión de TI, mide el funcionamiento de los sistemas informáticos que utilizan en las Regionales y los Aeropuertos, esta Auditoría consultó al encargado del Subproceso de Desarrollo de Sistemas, Lic. Anthony Morera, sobre la existencia de indicadores de desempeño de dichos sistemas, quien en entrevista del 27 de agosto de 2014, manifestó que antes de poner los sistemas en producción, pasan por control de calidad, por lo que miden los tiempos de respuesta y realizan una serie de mejoras a nivel de Tunning de las sentencias SQL y estas mismas mediciones se ejecutan tanto en la DGME, como en las Oficinas Regionales; informando que cuando se presenta un evento, se procede a realizar revisiones a nivel de redes, de servidor de Base de Datos y de ser necesario, a nivel de aplicación y en el momento que se finaliza un sistema, se hace un estudio post-implementación, donde se ven una serie de aspectos a mejorar en cuanto a requerimientos, ergonomía, eventos y velocidad, entre otros.

Agregando, en el correo del 15 de diciembre del 2014, que en cumplimiento a la metodología de desarrollo, cada hito es aprobado por el área de negocio, especialmente, el Análisis de Requerimientos (Punto 6 de la Metodología); el Plan de Pruebas (Punto 10 de metodología), por lo que se realizan pruebas con Datos Reales (Producción) y Artificiales (Desarrollo); estando el punto 11 de la metodología, donde se realiza un proceso de implantación y el punto 11.3 de post-implantación, en el que se utilizan las siguientes variables:

1. Conformidad del área usuaria, para lo que se envían y reciben notas de ajustes, (Objetivos vs Requerimientos de Ley).

2. Rendimiento en Base de Datos (Tunning).3. Rendimiento de Red.

Una vez realizado lo descrito, se realiza un ciclo constante de mantenimiento mediante solicitudes y debido a razones propias en materia migratoria y cuando el mantenimiento

29___________________________________________________________________________



tel:2224

AI-0012-2015

es bastante, primero se realiza un estudio a nivel interno sobre su impacto y se decide, hacer reingeniería o desarrollar un nuevo sistema.

Para comprobar la información brindada por el Lic. Morera, se revisó el plan de pruebas del “Sistema de seguridad”, realizado en setiembre 2014 y enviadas mediante correo del 15 de diciembre del 2014, donde se encontraron las realizadas con los usuarios finales y transaccionales con la base de datos, que buscan garantizar la atomicidad y la calidad de los datos; sin embargo, no se observa la existencia de indicadores, ni parámetros de eficiencia y calidad del sistema, que sirvan de medición o referencia, para sustentar un criterio objetivo y cuantificable, que brinde a GTI una garantía de que el sistema cumple con las condiciones y expectativas propuestas originalmente.

Sobre este particular, las Normas técnicas para la gestión y el control de las TI señalan:

“3.2 Implementación de software: La organización debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo cual debe:

(…)b. Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación y considere la definición de requerimientos, los estudios de factibilidad, la elaboración de diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de datos y la puesta en producción, así como también la evaluación post-implantación de la satisfacción de los requerimientos.”

Además COBIT 4.0, IT GOVERNANCE INSTITUTE, cita textualmente:

“PO8 Administrar la calidad: Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es esencial para garantizar que TI está dando valor al negocio, mejora continua y transparencia para los interesados.

Metas de procesos: Establecer estándares y cultura de calidad para los procesos de TI Establecer una función de aseguramiento de la calidad para una TI eficiente y efectiva Monitorear la efectividad de los procesos y proyectos de TI.

Medición del desempeño: Los indicadores clave de desempeño (KPI) definen mediciones que determinan qué tan bien se está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si será factible lograr una meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para lograr un efectivo desempeño del proceso.

30___________________________________________________________________________



tel:2224

AI-0012-2015

Las métricas efectivas deben tener las siguientes características:

• Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño y del logro de las metas en contraste con el esfuerzo de lograrlos).• Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o números en el tiempo).• Deben ser comparables externamente sin tomar en cuenta el tamaño de la empresa o la industria.• Es mejor tener pocas métricas (quizá una sola muy buena que pueda ser influenciada por distintos medios) que una lista más larga de menor calidad.• Debe ser fácil de medir y no se debe confundir con las metas.”

Analizando las causas que provocan la debilidad en cuestión, se determina que en el modelo del plan de pruebas de los sistemas informáticos, no se formaliza un método objetivo de medición, que permita obtener datos cuantitativos o cualitativos relevantes, que midan la eficiencia y la calidad de los sistemas propios de Migración, lo que le proporcione a GTI los mecanismos necesarios para la oportuna y correcta toma de decisiones.

La condición observada, podría contribuir a que en casos de presentarse deficiencias relacionadas con la eficiencia y la calidad de los sistemas informáticos, no se tenga conocimiento de su existencia y causas e impide llevar un control y monitoreo del desempeño de los sistemas de información.

2.8 Cámaras de monitoreo asociadas con la protección física de las TI en las Oficinas Regionales y los Aeropuertos.

De las oficinas regionales visitadas por esta Auditoría, únicamente el puesto fronterizo de Peñas Blancas y el aeropuerto Juan Santamaría tienen cámaras propiedad de la Dirección de Migración, encontrándose la siguiente situación:

Peñas Blancas:

Algunas de las cámaras de vigilancia fueron instaladas en el cielo raso del salón de atención al público, grabando en dirección de los mostradores, posición en la que según lo comprobó esta Auditoría, no logra verse el rostro de las personas, porque lo obstaculiza la espalda del usuario que está siendo atendido, del que no se puede determinar su identidad, ni el trámite que realiza; información que sería relevante para cualquier eventual acción.

Por otro lado, el sistema para el monitoreo de las cámaras, está en la computadora del Jefe del puesto, Bach. Yerel Mata Jara, quien hace revisiones ocasionales, al igual que

31___________________________________________________________________________



tel:2224

AI-0012-2015

el técnico informático señor Érick Cordero Salazar, encargado de soporte técnico de la delegación de Liberia, que indica que a él le recargaron la labor de administración y monitoreo del sistema, así como la entrega de videos que soliciten autoridades policiales o de investigación; trabajo que por cuestiones de distancia, tiempo y tareas, los señores Mata y Cordero, no pueden atender asiduamente, aunque lo hacen con cierta regularidad.

Encontrándose, en la visita del18 de julio del 2014, en la que se intentó ver las imágenes de la cámara ubicada en el cuarto del servidor, objetivo que no fue posible lograr, argumentando el señor Cordero que no se había enterado de que existiera un problema con las cámaras y que cuando esto sucede, se debe reportar a la empresa proveedora y que al revisar el perfil de ese proyecto, no se especifica la ubicación de las cámaras; por lo que se le consultó, al Lic. Jiménez, acerca de quién la decidió, manifestando que fue Seguridad Interna y que se le pregunte al Lic. Quirós; quién, en correo del 08 de diciembre del 2014, cita que desconoce quién lo decidió, añadiendo que fue el Lic. Jiménez, el que inició el proyecto o coordinación de la donación y que posteriormente, lo asumió la Comisión de Circuito Cerrado; por lo cual, se entrevistó el 08 de diciembre del 2014 a otro miembro de la Comisión, el Ing. Pablo Barquero, quien no recuerda con claridad cómo se llevó a cabo ese proceso.

Revisando el objetivo del precitado proyecto, se determinó que la adquisición de los sistemas se hizo para fortalecer la seguridad y combatir el crimen organizado; sin embargo, en dicho escrito, no se define lo que se pretende vigilar y de qué forma, por lo que los miembros de la Comisión, incluyendo el Jefe de Seguridad Interna, evidencian desconocer quién decidió la ubicación de las cámaras; aunque en el acta de recibido del Sistema de circuito cerrado de televisión de la Delegación Regional de Peñas Blancas, del 30 de agosto del 2012, aparecen fotografías que muestran su ángulo de cobertura y las firmas de recibido de todos los miembros de la Comisión.

Aeropuerto Juan Santamaría:

En esta terminal aérea, están instaladas dos cámaras en la oficina del jefe de turno, colocadas para detectar posibles anomalías al sacar o guardar los sellos de entrada y salida de los funcionarios; encontrándose el sistema de su visualización, en la computadora de la Jefa de Migración del Aeropuerto, Licda. Cheily Flores, quien en entrevista del 22 de agosto del 2014, informa que solo se les comunicó que se iban a instalar 2 cámaras y se les pidió opinión para valorar dónde ubicarlas; manifestando que les dijeron que iban a crear dos usuarios para que estuvieran monitoreándolas y determinar que funcionaran bien, porque estaban en periodo de prueba y querían saber si se necesitaba realizar alguna mejora; pero nunca se les aclaró que se pretendía asignarles una labor de monitoreo permanente, tampoco se les brindó un manual de usuario y que desconoce a quiénes habría que solicitar nuevos usuarios, reportar alguna anomalía del sistema o solicitarle la gestión de reactivación de usuario en caso de olvido de la contraseña.

32___________________________________________________________________________



tel:2224

AI-0012-2015

Agregando que el equipo no está conectado a ninguna planta y cuando falta el fluido eléctrico, se pierde la conectividad con las cámaras y que no cuentan con instrucción por escrito sobre el procedimiento para otorgarles copia de alguna grabación a las autoridades externas, como el OIJ u otras.

Sobre la entrega de videos a las autoridades policiales, el Gestor de Servicios de Apoyo, Lic. Arnoldo Quirós López, en correo del 09 de diciembre de 2014, señala que se sigue el pronunciamiento del Jefe de la Asesoría Jurídica institucional, Msc. Allen Calderón Esquivel, quien con oficio AJ-1890-07-2014-ASA fundamenta el criterio legal de entrega de las imágenes a terceras personas, el cual se basó en el Reglamento regulador de la vigilancia de calles, avenidas, carreteras y caminos mediante dispositivos tecnológicos o técnicos #34104-G-MSP, que establece en el considerando Nº 10 que cualquier imagen tomada habrá de servir únicamente en gestiones de investigación policial, cuyo acceso debe ser únicamente mediante orden judicial y limitarse a la persona sospechosa.

Adicionándose en otro párrafo del mencionado oficio, que la institución es responsable de las videograbaciones y que si una persona muestra la información podría estar incurriendo en responsabilidad penal.

Por lo citado, se le consultó al Lic. Quirós, sobre quienes están autorizados a hacer entrega de los videos en el Aeropuerto Juan Santamaría y en Peñas Blancas, respondiendo en correo del 09 de diciembre de 2014, que el de Peñas Blancas lo graba él mismo y que el del aeropuerto, desconoce el procedimiento, ya que ellos manejan el sistema.

En dicho sentido, siendo la entrega de videos a terceros un tema delicado y considerando lo manifestado por el Lic. Quirós y la Licda. Flores, queda en evidencia que no existe una sola línea de conducción en esta área, que falta una definición de responsables y comunicación de directrices y que el Lic. Quirós, como encargado institucional de la seguridad interna, no debe delegar esa responsabilidad en otras jefaturas.

Por otra parte, en entrevista del 19 de noviembre del 2014, el Gestor de Servicios de Apoyo, Lic. Arnoldo Quirós, informa que las cámaras del Aeropuerto Juan Santamaría provienen de un traslado desde Oficinas Centrales y las de Peñas Blancas de una donación de la OIM, conforme al Acta de Donación (sin número), del 27 de marzo del 2012, tramitada por el Jefe del Subproceso de Seguridad Física y Lógica, Lic. Óscar Jiménez Salazar; recibida por la Comisión que se conformó para gestionar la compra de cámaras en Oficinas Centrales, cuyo coordinador era el anterior Director Administrativo Financiero, Lic. Franklin Ríos Vindas; indicando con respecto a si existía un procedimiento para el uso y el monitoreo de las cámaras, que desconoce si se comunicó y que se le consulte al Lic. Óscar Jiménez Salazar, encargado del Subproceso de Seguridad Informática; quien en entrevista del 19 de noviembre del 2014, afirmó que la comisión se creó para buscar estudios de mercado y técnicos, así

33___________________________________________________________________________



tel:2224

AI-0012-2015

como para la donación y adquisición de las cámaras en oficinas centrales, no para administrarlas y que esta responsabilidad y la del monitoreo, le corresponde al Encargado de la seguridad interna.

Profundizando en el tema, se determinó que con el oficio SDG-394-06-2012, el otrora Subdirector General de Migración, Lic. Freddy Montero, le señala al Exdirector Administrativo y Coordinador de la Comisión de Circuito Cerrado de Televisión, Lic. Franklin Ríos, que se establezca el protocolo de vigilancia y resguardo de las cámaras de Peñas Blancas, demarcando que estos debían estar por escrito, en un plazo menor a los quince días, para ponerlo a funcionar con todas las medidas de seguridad; lo que no se evidenció que fuera cumplido.

Con respecto a lo puntualizado, se deben de tener en cuenta las siguientes regulaciones:

Ley General de Control Interno, No. 8292, del 31 de Julio del 2002:

“Artículo 15. — Actividades de control: Respecto de las actividades de control, serán deberes del jerarca y de los titulares subordinados, entre otros, los siguientes:

b) Documentar, mantener actualizados y divulgar internamente tanto las políticas como los procedimientos que definan claramente, entre otros asuntos, los siguientes:

i. La autoridad y responsabilidad de los funcionarios encargados de autorizar y aprobar las operaciones de la institución.ii. La protección y conservación de todos los activos institucionales.”

Por su parte, las Normas técnicas para la gestión y el control de las TI, citan textualmente:

“1.4.6. Seguridad en la implementación y mantenimiento de software e infraestructura tecnológica: La organización debe mantener la integridad de los procesos de implementación y mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o pérdida de información.

Para ello debe:a. Definir previamente los requerimientos de seguridad que deben ser considerados en la implementación y mantenimiento de software e infraestructura.b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en producción del software e infraestructura.”

De acuerdo a lo señalado por el Lic. Óscar Jiménez, el Ing. Pablo Barquero, el Lic. Arnoldo Quirós y la Licda. Cheily Flores, en sus distintas intervenciones y al análisis de esta Auditoría, las debilidades expuestas en este resultado, se deben a la falta de un protocolo estandarizado, para el uso y monitoreo de los sistemas de Circuito Cerrado

34___________________________________________________________________________



tel:2224

AI-0012-2015

de Televisión, en Peñas Blancas y en el Aeropuerto Juan Santamaría, en el que se establezca los lineamientos generales y se asignen las funciones, responsabilidades, controles, supervisiones y seguimientos que correspondan. Asimismo, existe la falta de coordinación entre los involucrados en el proyecto y el conocimiento de sus responsabilidades para la toma de decisiones que involucren la entrega de videos.

La situación descrita, podría ocasionar que la Institución desconozca que no se está realizando una adecuada grabación por medio de las cámaras instaladas en las oficinas mencionadas, por lo que no se dispondría de la información requerida para poder establecer responsabilidades, en caso de ser necesario o solucionar omisiones, errores e irregularidades en caso de ser grabadas adecuadamente. Aunado a que la Institución podría entregar videos a terceros o a las autoridades, sin los debidos controles y para fines no contemplados en la normativa, con implicaciones jurídicas, civiles y penales.

3. CONCLUSIONES

De los resultados obtenidos, se desprende que existen deficiencias de seguridad física en la mayor parte de las oficinas regionales visitadas, exponiéndolas a grandes riesgos, igualmente se dan en la disponibilidad y oportunidad que deben tener los sistemas informáticos que se utilizan en las oficinas regionales y aeropuertos, en pocas oficinas regionales cuentan con dispositivos de vigilancia y en las que existen, no cuentan con una sola línea de conducción coordinada, que establezca directrices claramente delimitadas, factores que inciden de forma negativa para lograr el cumplimiento de los objetivos planteados en este estudio, referentes a la suficiencia de los controles internos; mediciones de desempeño de los sistemas de información, satisfacción de los usuarios de los sistemas de información y necesidades de desarrollo o mantenimiento a los sistemas.

Encontrándose, concretamente, que la Gestión de TI, no cuenta con un método de medición objetivo para valorar el desempeño de los SI, generando que ante la insatisfacción de muchos usuarios, por la lentitud y falta de información precisa en los SI, GTI no tenga herramientas objetivas y precisas para determinar los posibles cuellos de botella; observándose deficiencias en la capacitación a los funcionarios en materia de uso de los SI, no obstante, a pesar de la limitación de recursos en GTI, se brinda un mantenimiento razonablemente bueno.

Todas estas condiciones representan un riesgo para el cumplimiento de los objetivos institucionales, sumado a que la institución cuenta con poco personal informático para atender la creciente demanda de servicios tecnológicos a nivel institucional, provocada por las necesidades de documentación de la población nacional y extranjera.

4. RECOMENDACIONES

35___________________________________________________________________________



tel:2224

AI-0012-2015

Conforme a los resultados evidenciados, esta Auditoría emite el presente capítulo de recomendaciones; cuya ejecución corresponde exclusivamente, a la administración activa, dentro de los tiempos establecidos o ampliados justificadamente.

Para lo mencionado, esa Dirección General y los jefes de las instancias involucradas, deben ejercer acciones de monitoreo constante; corregir los desvíos, retrasos u omisiones, así como supervisar el puntual cumplimiento de lo ordenado.

Conforme a las competencias de Ley, corresponde a esta unidad fiscalizadora, dar seguimiento hasta que la Administración cumpla con la totalidad de las recomendaciones emitidas en este informe.

Al señor Ministro de Gobernación en ejercicio

4.1. Girar instrucciones dentro del lapso máximo de 30 días hábiles, luego de recibido este informe, a la Directora General de Migración, para que ejecute las acciones dirigidas a su cargo.

A la Directora General

4.2. Girar instrucciones dentro del lapso de 10 días hábiles, luego de recibido este informe, a las instancias de la Dirección General de Migración y Extranjería, responsables de la ejecución de recomendaciones, para que inicien y culminen las acciones que corres-pondan, dentro del plazo definido en cada ítem.

4.3. Formalizar y ejecutar un plan de trabajo a corto, mediano y largo plazo, dentro del pri -mer semestre del 2015, junto con la Comisión Institucional para la adquisición, cons-trucción, alquiler de edificios o lotes e incluso para modificación y reparación de oficinas prestadas bajo convenios; enfocado a implementar la seguridad física y ambiental para las TI, en el que se plasmen al menos las actividades, recursos, tiempos y responsables de esas acciones.

Lo anterior, para el aseguramiento y protección del personal, los equipos, sistemas, la información, los servicios y demás recursos en las regionales y los aeropuertos; enfati -zando, entre otros, el cómo solventar las deficiencias enlistadas en este informe y con-siderando entre las actividades posibles la suscripción de convenios de préstamo de los edificios, con instituciones gubernamentales, que ceden sus instalaciones o espacios fí-sicos a las regionales de la Dirección General de Migración y Extranjería.(Ver resultado 2.1)

4.4. Requerir a la Comisión Institucional de Lotes e Infraestructura, con asesoría de GTI, que establezca y documente, las condiciones mínimas requeridas en las oficinas a ad-quirirse, construir o alquilar, tomando en cuenta infraestructura, instalaciones eléctricas, conexiones de red y la seguridad interna y perimetral.

36___________________________________________________________________________



tel:2224

AI-0012-2015

Acción que deberá culminarse y documentarse a esta Auditoría, dentro del tercer trimestre del año 2015. (Ver resultado 2.1)

4.5. Establecer lineamientos para el monitoreo y la administración de los sistemas de circui-to cerrado de televisión e implantar un protocolo estándar para la entrega de los videos a autoridades policiales, que abarque a las oficinas regionales y aeropuertos que cuen-ten con estos; debiéndose asignar la responsabilidad que corresponda al subproceso de Seguridad Interna; así como fijar los requerimientos de carácter administrativo y téc-nicos para su óptimo funcionamiento y los recursos necesarios para su cumplimiento; documento que deberá oficializarse y comunicarse, a más tardar al 31 de agosto del 2015.(Ver resultado 2.8)

4.6. Emitir una directriz que estipule la contratación o donación de la asesoría de expertos en seguridad, para las próximas adquisiciones de sistemas de circuito cerrado de televi-sión, con el fin de que se determine la mejor ubicación de las cámaras y el mejor apro -vechamiento de dichos sistemas, de cuya participación debe quedar evidencia escrita; lo que deberá oficializarse y presentarse a más tardar al 30 de junio del 2015. (Ver re-sultado 2.8)

4.7. Confeccionar y divulgar a más tardar al 31 de julio del 2015, lineamientos financieros y presupuestarios, que apoyen y garanticen la gestión y ejecución de los proyectos enfo-cados a mejorar la infraestructura física, ambiental y de seguridad de las TI, en las ofici -nas regionales. (Ver resultado 2.1)

A la Gestora de Tecnologías de Información

4.8. Ordenar la elaboración de un protocolo para la implementación de los planes piloto de sistemas informáticos, que se pongan en práctica en la institución, con el fin de que se defina al menos, objetivos, indicadores, tareas, participantes, compromisos, así como las personas asignadas para la toma de decisiones y periodo de vigencia; de tal forma que todos los involucrados estén informados de sus funciones y responsabilidades.Igualmente si esos planes incluyen otras instituciones o empresas, firmar con anticipa-ción convenios con las entidades interesadas, con el fin de poner en claro, los alcan-ces, limitaciones, responsabilidades y demás compromisos de cada parte interventora.

Dicho producto, deberá culminarse y documentarse a esta Auditoría, dentro del tercer trimestre del 2015. (Ver resultado 2.2)

4.9. Evaluar y reportar, técnicamente, las causas precisas por las cuales los sistemas en las oficinas Regionales y los Aeropuertos, se ralentizan en ciertas ocasiones y con base en los resultados obtenidos, presentar, programar y ejecutar un plan remedial para mejorar la agilidad y eficiencia de los sistemas en dichas oficinas; labores que

37___________________________________________________________________________



tel:2224

AI-0012-2015

debe culminarse dentro del tercer trimestre del año 2015 y documentarse a esta Audi-toría. (Ver resultado 2.6.)

4.10. Oficializar lineamientos para las instancias competentes, dentro del segundo semestre del 2015, para que en los Planes de prueba de los sistemas informáticos que se desa-rrollen internamente y los que se adquirieran a terceros, se establezcan indicadores de desempeño, cuantitativos y cualitativos, conforme a las metas y objetivos trazados.

Estos indicadores deben ser evaluados periódicamente, ya que le permitirá a la Gestión de TI, vigilar y comprobar objetivamente la efectividad de los sistemas en desarrollo y en producción, debiéndose incluir estándares o parámetros mínimos a ser cumplidos; que contribuyan fehacientemente a una mayor eficiencia de los SI y a la aplicación de soluciones efectivas.

Asimismo, definir los mecanismos para administrar la información que brindan dichos indicadores e implantar un adecuado monitoreo y control del desempeño de los sistemas, conforme al criterio de balance costo-beneficio. (Ver resultado 2.7)

Al Gestor de Recursos Humanos

4.11. Establecer, dentro del tercer trimestre del 2015, en conjunto con la Gestora de Tecno-logías de Información, las jefaturas de las Regionales y los Aeropuertos y demás ins-tancias competentes, un Plan continuo y estructurado de capacitación en el uso de los sistemas de información que se aplican en la operación de la institución, como SIM-MEL, SISCAP y otros, para el personal de las Regionales y los Aeropuertos, el cual deberá ser oficializado y divulgado por la Dirección General e incluir acciones de moni-toreo de la Gestión de Recursos Humanos para su cabal y oportuno cumplimiento. (Ver resultado 2.3.)

4.12. Oficializar a más tardar al 31 de julio del 2015, un Programa de inducción en el uso de los sistemas informáticos institucionales, para las oficinas regionales y aeropuertos, que sea requisito para el personal de primer ingreso o el que asuma nuevas funciones que exigen usarlos, para lo cual se debe incluir entre otros aspectos, las actividades, los responsables, tiempos y acorde con las necesidades institucionales. (Ver resultado 2.3.)

4.13. Elaborar y divulgar lineamientos en coordinación con GTI, con vigencia para toda la institución, de todas las capacitaciones que resulten de actualizaciones, modificacio-nes o implementaciones de Sistemas de Información institucionales; instrumento que deberán presentar y documentar dentro del tercer trimestre del 2015. (Ver resultado 2.3.)

4.14. Establecer por escrito, dentro del tercer trimestre del 2015, la práctica de hacer eva-luaciones de comprensión en el uso de los sistemas de información institucionales, con el fin de que al término de cada capacitación, la Administración tenga una certe-

38___________________________________________________________________________



tel:2224

AI-0012-2015

za razonable, de que los conocimientos impartidos fueron asimilados satisfactoriamen-te por los participantes y dado el caso, se resolviera fortalecerlos en y quienes fuera necesario. (Ver resultado 2.3.)

A la Unidad de Planificación Institucional

4.15. Incorporar con asesoría de GTI, en el Protocolo de Atención de Alertas Policiales, el uso de la opción (botón o “check”) de consulta a la base de datos de INTERPOL, que establezca sus generalidades y los responsables de autorizar su desactivación o acti-vación; lo que deberá culminar, oficializar, divulgar y documentar a esta Auditoría, den-tro del primer semestre del 2015. (Ver resultado 2.4)

A la Oficina de Salud Ocupacional

4.16. Elaborar un cronograma anual de capacitación sobre el uso de extintores y la pre-vención de incendios, en coordinación con las jefaturas de las oficinas regionales y aeropuertos, para asignar las fechas en las que los funcionarios designados deberán asistir de forma obligatoria a esas actividades; dicho documento deberá oficializarse y divulgarse por la Dirección General, además de ser remitido a esta Auditoría, dentro del primer semestre del 2015. (Ver resultado 2.5)

4.17. Realizar y documentar un estudio técnico, en el que se identifiquen las necesidades de dispositivos de detección de incendios y extintores en las oficinas centrales, regionales y aeropuertos, que incluya las acciones necesarias para solventar la falta de detecto-res en las oficinas que no son propiedad de la institución, además de prever su exis-tencia en las instalaciones que se alquilen o contraten a futuro, definiendo su ubica-ción, tipos y mantenimiento.

Resultados que deberán oficializar y divulgar la Dirección General y remitirse a esta Auditoría, dentro del segundo semestre del 2015. (Ver resultado 2.5)

4.18. Elaborar, divulgar y aplicar de forma anual, un cronograma de actividades que incluya supervisiones programadas para todas las oficinas regionales, destinadas a verificar la ubicación adecuada de los extintores y la idoneidad de los responsables previamente capacitados en su uso; documento que deberá culminar y documentar a esta Audito-ría, dentro del primer semestre del 2015. (Ver resultado 2.5)

Lic. Jorge A. González Camacho Licda. Martha Carvajal AnguloAuditor de TI, encargado del estudio Jefe, Área de Auditoría de TI

39___________________________________________________________________________



tel:2224

anexo - mgp.go.cr · web viewsobre el tema, el señor maikel olsen, coordinador de turno,...

Documents