16 de noviembre del 2015.
Señores
Concejo Municipal, Municipalidad de San José
Presente
Durante nuestra visita de análisis y evaluación del área de Tecnología de Información,
realizado con el fin de emitir una opinión de los estados financieros de Municipalidad de San
José por el año terminará el 31 de diciembre del 2015, notamos ciertos aspectos referentes
al área de Tecnología de Información, los cuales sometemos a su consideración en conjunto
con las recomendaciones diseñadas para ayudar a la entidad a mejorar y lograr eficiencia
operacional. Nuestros comentarios reflejan el deseo de brindar asistencia continua a la
Municipalidad de San José.
La administración de Municipalidad de San José es responsable del establecimiento y
mantenimiento de un sistema adecuado de control interno del área de Tecnología de
Información. En el cumplimiento de esa responsabilidad, se requieren juicios y estimaciones
de la administración para evaluar los beneficios esperados y los costos correlativos.
Los comentarios incluidos no se refieren a funcionarios o empleados en particular, ya que su
objetivo es señalar sanas medidas para fortalecer el Control Interno de Municipalidad de San
José. Los comentarios y recomendaciones adjuntos son destinados únicamente para la
información y uso de los órganos directivos, Gerencia y otros dentro de la organización.
Atentamente,
Lic. Jorge Arturo Castillo Bermúdez, Socio.
Despacho Castillo, Dávila y Asociados.
Municipalidad de San José 2015
CONTENIDO
INTRODUCCIÓN .................................................................................................................. 4
OBJETIVOS Y ALCANCE DEL ESTUDIO ........................................................................ 4
EVALUACION DE CONTROLES ....................................................................................... 5
1. ORGANIZACIÓN Y OPERACION .............................................................................. 6
CRITERIO ....................................................................................................................... 6
CONDICIÓN ................................................................................................................... 6
RECOMENDACIONES ................................................................................................ 10
2. DESARROLLO Y MANTENIMIENTO...................................................................... 11
CRITERIO ..................................................................................................................... 11
CONDICION ................................................................................................................. 11
RECOMENDACIONES ................................................................................................ 14
3. EQUIPOS Y PROGRAMAS ........................................................................................ 14
CRITERIO ..................................................................................................................... 14
CONDICION ................................................................................................................. 14
RECOMENDACIONES ................................................................................................ 16
4. SEGURIDAD ................................................................................................................ 16
CRITERIO ..................................................................................................................... 16
CONDICIÓN ................................................................................................................. 17
RECOMENDACIONES ................................................................................................ 19
Municipalidad de San José 2015
5. SISTEMAS DE OPERACION ..................................................................................... 19
CRITERIO ..................................................................................................................... 19
CONDICIÓN ................................................................................................................. 20
RECOMENDACIONES ................................................................................................ 21
6. CONTINGENCIAS ...................................................................................................... 21
CRITERIO ..................................................................................................................... 21
CONDICIÓN ................................................................................................................. 21
RECOMENDACIONES ................................................................................................ 22
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE GERENCIA 2014 .... 23
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE GERENCIA 2013 .... 24
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE GERENCIA 2012 .... 24
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE GERENCIA 2011 .... 26
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE GERENCIA 2010 .... 27
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE GERENCIA 2009 .... 28
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE GERENCIA 2003 .... 29
Municipalidad de San José 2015
INTRODUCCIÓN
El presente informe contiene el resultado de la Auditoría realizada en la Dirección de
Tecnología de Información y Comunicaciones de la Municipalidad de San José
específicamente una evaluación de los controles generales del área de Tecnologías de
Información.
La evaluación se realizó considerando las prácticas de Control del marco referencial CobiT.
OBJETIVOS Y ALCANCE DEL ESTUDIO
Objetivo – Realizar una evaluación de los controles generales del área de Tecnologías de
Información de la Dirección de Tecnologías de Información y Comunicaciones de la
Municipalidad de San José.
Alcance - La evaluación incluyó los controles generales en:
1. Organización y Operación
a. Segregación de funciones.
b. Normas para la aprobación transacciones.
2. Desarrollo y Mantenimiento
c. Políticas, estándares y procedimientos.
d. Aplicación de metodologías estándar, objetivas y estructuradas.
e. Uso de técnicas modernas en el desarrollo de sistemas de información.
f. Controles incorporados
g. Administración de proyectos.
3. Equipo y Programas
h. Aplicación de controles.
i. Documentación.
j. Software de base.
4. Seguridad
k. Seguridad física.
l. Seguridad lógica.
Municipalidad de San José 2015
5. Sistemas de Operación
m. Controles de entrada.
n. Controles de proceso.
o. Controles de salida.
6. Contingencias
q. Plan Estratégico de Tecnologías de Información.
r. Seguimiento de recomendaciones de la carta de gerencia anterior.
Para el desarrollo de la evaluación se coordinaron reuniones con los diferentes involucrados,
principalmente personal de la Dirección TI y personal de los procesos críticos de la
organización: Jefe de Plataforma de Servicios, Encargado del Proceso de Valoraciones y el
Contador Municipal
Se llevaron a cabo entrevistas con funcionarios de la Dirección de TI, específicamente con
los jefes de: Departamento Desarrollo de Sistemas, Departamento de Soporte Técnico y
Departamento de Servicios Informáticos.
Se realizó la revisión de la documentación proporcionada, la cual incluye políticas, manuales,
procedimientos, diagramas, y otros elementos utilizados por la Dirección de TI para el
desarrollo de sus labores. Se hizo la verificación en sitio de la operación y los controles de
los Sistemas de Información, contratos a terceros, herramienta de mesa de ayuda, expedientes
de proyectos, entre otros.
El trabajo de auditoría fue realizado en el periodo comprendido entre el 1 al 30 de octubre
del 2015.
EVALUACION DE CONTROLES
La evaluación de los controles solicitados se realiza desde la perspectiva de las Prácticas de
Control COBIT, valorando el cumplimiento de los procesos que correspondan. Los
resultados de la valoración se presentan para cada uno de los controles solicitados.
Municipalidad de San José 2015
1. ORGANIZACIÓN Y OPERACION
CRITERIO
Se realiza la evaluación de los controles generales existentes relativos a:
a. Segregación de funciones.
b. Normas para la aprobación transacciones.
Valorando del cumplimiento de las prácticas de control CobiT asociadas a:
Definir los Procesos, Organización y Relaciones de TI
Comité Directivo del TI
Ubicación organizacional de la función de TI
Estructura Organizacional de TI
Establecer roles y responsabilidades
Supervisión Informal
Segregación de funciones
Administración de Operaciones
Procedimientos e instrucciones de operación.
CONDICIÓN
Tal y como se muestra en el Organigrama Institucional de la Municipalidad de San José, la
Dirección de Tecnologías de Información y Comunicaciones depende directamente de la
Alcaldía, esta posición le permite el nivel de autoridad suficiente para gestionar
adecuadamente las tecnologías de información y comunicación en la institución; se cuenta
con presupuesto asignado directamente, el cual al igual que los procesos de contratación de
personal y adquisición de bienes y servicios, se deben desarrollar conforme los
procedimientos institucionales definidos por las Direcciones Financiera, Recursos Humanos
y Administrativa respectivamente.
La Dirección de TI está organizada en tres departamentos: Desarrollo de Sistemas, Soporte
Técnico y Servicios Informáticos. Los departamentos a su vez se han organizado en procesos
de acuerdo a los servicios que brindan, como se muestra en el siguiente diagrama:
Municipalidad de San José 2015
A nivel de la Dirección de TI se cuenta con el Director, un asistente, dos administradores de
Proyectos y un funcionario encargado de la Gestión Documental.
El Departamento de Desarrollo de Sistemas, cuenta con la jefatura y una secretaria que
comparte con el Departamento de Servicios Informáticos; el personal se organiza de acuerdo
al servicio que brinda en: programadores.Net, programadores Unisys, programadores Web y
administradores de base de datos.
El Departamento Soporte Técnico tiene la Jefatura, una secretaria y se organiza en los
procesos de redes, telefonía, soporte técnico (hardware y software) y servidores.
El Departamento de Servicios Informáticos cuenta con la jefatura y se organiza en
Operaciones y Gestión de la Mesa de Ayuda (Help Desk).
El Manual de Puesto de la Municipalidad de San José, establece la naturaleza del trabajo,
funciones y responsabilidades, características generales de la clase, los requisitos y las
habilidades y las aptitudes de los puestos; no obstante las mismas no definen en forma exacta
las funciones reales que ejecutan los funcionarios de la Dirección de TIC.
Dirección de TIC
5 funcionarios
Departamento Desarrollo de
Sistemas14 funcionarios
Departamento Soporte Técnico
14 funcionarios
Departamento Servicios
Informáticos9 funcionarios
Municipalidad de San José 2015
Las responsabilidades de los funcionarios son asignadas informalmente de acuerdo a las
actividades que se llevan a cabo, por las jefaturas correspondientes.
La Dirección de TI utiliza mecanismos de rendición de cuentas informales, la práctica usual
es solicitar verbalmente a los funcionarios informes del estado de las actividades que están
desarrollando; por su parte los jefes de Departamentos, presentan informes escritos que
detallan la cantidad de solicitudes atendidas. En general, las jefaturas pueden dar seguimiento
a los casos asignados a cada funcionario en el Help Desk, además de utilizar otros
mecanismos de seguimiento y control informales a su criterio. No se pudo corroborar la
existencia de un proceso formal de asignación de responsabilidades y rendición de cuentas.
Las reuniones que se realizan de coordinación de actividades y seguimiento de proyectos no
son documentadas formalmente.
La indagación realizada comprueba la existencia del Comité de Gerencial de Tecnologías de
la Información (CGTIC), coordinado por la Alcaldía Municipal. Dicho Comité fue
establecido en marzo 2014, cumpliendo con lo establecido por la Contraloría General de la
República, en las Normas Técnicas para la Gestión y Control de las Tecnologías de
Información.
De acuerdo a lo establecido en el Reglamento General que la CGTIC, éste “constituye un
órgano asesor de la administración Municipal en las decisiones sobre asuntos estratégicos de
Tecnologías de Información y Comunicaciones”. Se define además la conformación y
funcionamiento del Comité.
Adicionalmente con el fin de gestionar estratégicamente los proyectos relacionados con
Gobierno local en Línea y Ciudad Digital a nivel Municipal se establecen:
La Sub-Comisión de San José Digital (Gobierno Electrónico y Ciudad Digital), que es
permanente y está adscrita al CGTIC.
El Comité Técnico de Tecnologías de Información, conformado por el Director de TIC –
como coordinador- y las jefaturas del Departamento Desarrollo de Sistemas,
Departamento de Soporte Técnico y Departamento de Servicios Informáticos cuyas
Municipalidad de San José 2015
responsabilidades son implementar y dar seguimiento al proceso de Investigación y
Desarrollo y la ejecución de los proyectos de tecnologías de información a nivel
institucional conforme a lo dispuesto en la Transformación Organizacional de la
Municipalidad de San José.
La revisión de las Minutas de las reuniones realizadas en el año en curso, permite comprobar
la participación de la Alcaldesa, el Director de TIC y las Gerencias Administrativa
Financiera, de Gestión Municipal y de Provisión de Servicios, cumpliendo con lo establecido
en el Manual, además participan en las reuniones los asistentes de la Alcaldía.
En las sesiones se atiende temas referentes al seguimiento de proyectos y presentación de
temas tecnológicos, en general para la toma de decisiones en temas de TIC. No obstante, en
las minutas no se describe en forma detallada los temas discutidos, únicamente los asuntos
tratados y los acuerdos. De acuerdo a la indagación realizada, la agenda es definida por el
Director de TIC, y se realizaron reuniones en los meses de febrero, mayo y junio
incumpliendo con lo establecido en el Reglamento de realizar reuniones mensuales. Cabe
destacar que el Director de TIC indica que mantiene una comunicación directa con la
Alcaldesa sobre el avance de proyectos y toma de decisiones en temas de TIC.
Se cuenta con un Plan de Capacitación, el cual define el Director de TIC en conjunto con las
Jefaturas de Departamento, considerando las necesidades de cada área; este Plan es aprobado
y el presupuesto asignado directamente a la Dirección, lo que facilita el proceso de
contratación de estas actividades; en general cuentan con los recursos para recibir los cursos
de capacitación que necesita el personal.
En la referente a la Administración de las Operaciones que se realizan en la Dirección, se
pudo comprobar la existencia procedimientos relacionados con esta gestión, no obstante los
documentos facilitados, presentan diferentes formatos, no tiene fecha de aprobación y otros
elementos que les restan formalidad. No todas las operaciones cuentan con procedimientos
definidos.
Municipalidad de San José 2015
RECOMENDACIONES
A la Alcaldía
1. Desarrollar la descripción de puestos de TI que establezca al menos las habilidades, la
experiencia, la autoridad, las responsabilidades que deben cumplir los funcionarios, así
como los mecanismos de rendición de cuentas.
Al Comité Gerencial de TIC
2. Revisar y actualizar el Reglamento General de la CGTIC, en lo referente a periodicidad
de las reuniones y formato de las minutas, este último punto debe asegurar que se
documente adecuadamente los aspectos analizados y considerados en la toma de
decisiones.
3. Asegurar que la agenda de las reuniones incluya la revisión de al menos los siguientes
temas:
Seguimiento del Plan Estratégico de TIC
El alineamiento de los proyectos con el Plan Estratégico Organizacional,
Las inversiones que realiza TI,
El desarrollo de sistemas,
El mantenimiento y actualización de plataforma tecnológica,
La revisión del plan de contingencias,
Servicios brindados por medio de la Mesa de Ayuda (Help Desk).
A la Dirección de TI
4. Definir e implementar un marco de trabajo que facilite la definición, seguimiento y
control de las actividades realizadas en la Dirección de TIC, de forma que se pueda
evaluar y dar seguimiento al trabajo realizado por los funcionarios y establecer
mecanismos de mejoras en el desempeño.
5. Estandarizar el formato de los procedimientos, políticas, guías, metodologías y otros
mecanismos documentales utilizados para administrar las operaciones de la Dirección de
TI, de forma que incluyan elementos formales como son logos oficiales, fecha de
vigencia, responsables, fechas de actualización, entre otros.
Municipalidad de San José 2015
6. Asegurar que todas las operaciones que se realizan en la Dirección se encuentren
formalmente documentadas y sean conocidas y aplicadas por todo el personal.
2. DESARROLLO Y MANTENIMIENTO
CRITERIO
Se realiza la evaluación de los controles generales existentes relativos a:
c. Políticas, estándares y procedimientos.
d. Aplicación de metodologías estándar, objetivas y estructuradas.
e. Uso de técnicas modernas en el desarrollo de Sistemas de información.
f. Controles incorporados
g. Administración de proyectos.
Valorando del cumplimiento de las prácticas de control CobiT asociadas a:
Adquirir y mantener software aplicativo
Diseño de alto nivel
Diseño detallado
Configuración e implantación de software aplicativo adquirido
Actualizaciones importantes en sistemas existentes.
Desarrollo de software aplicativo
Administración de los requerimientos de las aplicaciones
Mantenimiento de software aplicativo
Administrar Proyectos
Marco de trabajo para la administración de proyectos
Enfoque de administración de proyectos
Compromiso de los interesados
CONDICION
Actualmente, la Municipalidad de San José cuenta con sistemas de información desarrollados
en LINC de Unisys y sistemas en .NET de Microsoft.
De acuerdo a la indagación realizada los sistemas principales y críticos son: Servicios
Urbanos, Bienes inmuebles, Patentes y Monitoreo de Alarmas, que apoyan la recaudación.
Estos son sistemas Unisys que fueron adquiridos hace más de20 años y que se han ido
actualizando conforme el proveedor introduce nuevas versiones; no obstante el sistema es
Municipalidad de San José 2015
cerrado, lo que hace que su mantenimiento no permita hacer mejoras significativas en sus
funcionalidades y requiera soporte constante debido a los problemas que presenta en su
operación, la mayoría son atribuidos a la poca calidad de la información.
De acuerdo a las entrevistas realizadas al personal, se han realizado en el pasado muchos
esfuerzos para realizar el cambio o migración de estos sistemas, pero por razones económicas
no se han concretado. Para el año en curso se va iniciar con la migración del sistema Patentes.
Por otra parte se han desarrollado sistemas en .NET para apoyar aplicaciones menos críticas,
o para la creación de conexiones que permitan ofrecer al usuario una interfaz más gráfica.
Actualmente el Departamento de Desarrollo de Sistemas, cuenta con programadores con
amplia experiencia en LINC y conocimiento de los sistemas desarrollados en este lenguaje,
lo que facilita la atención de incidentes relacionados, aunque la respuesta no siempre es
inmediata por las limitaciones de la herramienta; los programadores con experiencia en .NET
son funcionarios que no tienen un amplio conocimiento de los sistemas críticos, por lo que
no tienen la experticia requerida para llevar a cabo un proceso de migración o cambio de
estos sistemas.
La metodología para el desarrollo de sistemas LINC, proporcionada a esta Auditoría para su
valoración, -de acuerdo a lo indicado por el Jefe del Departamento de Sistemas-, fue
proporcionada por la empresa proveedora hace muchos años, y se ha mantenido vigente; el
documento hace una amplia y detallada descripción del proceso de desarrollo de sistemas;
no obstante, en la práctica no se ejecuta ya que no se hacen nuevos desarrollos, únicamente
se atiende nuevos requerimientos.
Se pudo corroborar que el Procedimiento General de la Sección de Mantenimiento de
Sistemas, es utilizado en la práctica para la atención de nuevos requerimientos de sistemas
LINC, no obstante, debe mejorarse la documentación para reflejar todos los pasos definidos
o en su defecto actualizar el procedimiento de acuerdo a la práctica.
Municipalidad de San José 2015
Para el desarrollo de las aplicaciones en .NET se utiliza la metodología de administración de
proyectos, la cual fue proporcionada y se pudo verificar que considera las actividades
recomendadas para el desarrollo de sistemas de información.
En general, se pudo corroborar que los controles de autorización, entrada, procesamiento y
salida de datos son suficientes en el desarrollo de sistemas en .NET. En el caso de las
aplicaciones LINC existe la limitante de la antigüedad del sistema que no facilita la mejora
en los controles actuales.
Se proporcionaron los siguientes documentos relacionados con el desarrollo de sistemas:
Procedimiento General del Área de Desarrollos en Plataforma Net
Procedimiento General de la Sección de Mantenimiento de Sistemas
Procedimiento Atención de Solicitudes de Servicios de Mantenimiento o Nuevos
Trabajos en Plataforma Unisys
Manual de Procedimientos: Administración Base de Datos
La valoración realizada al proceso de administración de proyectos definido por la Dirección
de TIC, determinó que se ha establecido y mantenido una metodología que define el alcance
y los límites de la gestión de proyectos; se cuenta con dos funcionarios quienes cumplen la
función de administración de proyectos. Los proyectos se encuentran documentados en
expedientes conforme lo establecido en la metodología.
La metodología fue desarrollada a lo interno de la Dirección, y cumple en general con las
buenas prácticas de gestión de proyectos.
Adicionalmente, de acuerdo a lo indicado por el Director de TI, la Municipalidad de San
José está en proceso de definir la metodología de administración de proyectos a nivel
institucional, razón por la cual, se encuentran a la espera de los lineamientos que se definan
y de ser necesarios ajustar su metodología.
Municipalidad de San José 2015
RECOMENDACIONES
Al Departamento Desarrollo de Sistemas
1. Revisar y actualizar el procedimiento de mantenimiento de sistemas para que refleje la
práctica actual de atención de nuevos requerimientos, tanto para sistemas en LINC como
los sistemas desarrollados en .NET.
2. Asegurar que todos los procesos de desarrollo de nuevos sistemas de información, así
como el mantenimiento a los sistemas (modificaciones y mejoras) sean debidamente
documentados, conforme lo establecido en los procedimientos.
3. EQUIPOS Y PROGRAMAS
CRITERIO
Se realiza la evaluación de los controles generales existentes relativos a:
h. Aplicación de controles.
i. Documentación.
j. Software de base.
Valorando del cumplimiento de las prácticas de control CobiT asociadas a:
Adquirir y Mantener la infraestructura tecnológica
Plan de adquisición de la infraestructura tecnológica
Mantenimiento de la infraestructura
CONDICION
No se identifica un proceso formal de planificación de las adquisiciones de infraestructura
tecnológica a largo plazo; en el Plan Operativo Anual se hace la planificación anual y se
definen los requerimientos de infraestructura tecnológica y el presupuesto asociado.
Adicionalmente, en los proyectos se incluyen los requerimientos de infraestructura.
Municipalidad de San José 2015
La indagación realizada no evidencia la existencia de un proceso formal de revisión del
desempeño y la capacidad de la infraestructura de TI (hardware y software) que aseguren la
disponibilidad y operación de los servicios que brinda TI. Se cuenta con la herramienta
Microsoft System Center, mediante la cual el personal da seguimiento únicamente a las
alertas que se emiten. Se pudo verificar la existencia del inventario de equipos de la
Municipalidad.
A fin de garantizar la protección y disponibilidad de la plataforma tecnológica se sigue la
práctica de una vez vencida la garantía de los equipos, establecer un contrato de servicios de
mantenimiento correctivo y soporte técnico con el proveedor del equipo.
En lo que se refiere a las actualizaciones de aplicaciones, en el caso de Microsoft, no se
aplican automáticamente, previamente se hace un proceso de verificación del impacto de las
mismas a fin de asegurar que no afecten los servicios, además las actualizaciones se hacen
fuera del horario laboral. En el caso de las actualizaciones de Unisys, junto con el proveedor
se hace un plan de migración que permita a la Municipalidad hacer la transición de acuerdo
a los procesos internos, en caso de requerir contrataciones específicas.
Se tienen contratos similares para los servidores Hewlett Packard, equipo de comunicación
CISCO, aplicaciones .NET, etc.
Todas las compras de bienes y servicios de TI son realizados cumpliendo los procedimientos
definidos por la Proveeduría; previa aprobación de la Dirección de TI que define las
especificaciones técnicas y otras condiciones técnicas requeridas.
La Dirección de TI define anualmente un plan de sustitución de equipos, con base en el cual
solicita presupuesto y establece las compras; si una dependencia requiere un nuevo equipo o
programa de cómputo debe solicitarlo a la Dirección para que se autorice la compra.
Municipalidad de San José 2015
RECOMENDACIONES
A la Dirección de TI
1. Desarrollar y mantener un plan para la adquisición, implementación y actualización de
infraestructura tecnológica (hardware y software), este plan debe considerar las mejoras
a la capacidad actual, costo de migración, tiempo de vida útil de la plataforma y debe
estar integrado con los procesos de planificación estratégica de TI y de la institución.
2. Implementar un proceso formal para la gestión de la capacidad y desempeño actual que
permita determinar en forma oportuna los nuevos requerimientos de los recursos de TI,
minimizar los riesgos de interrupciones de los servicios por falta de capacidad o
desempeño insuficiente. Se debe incluir el monitoreo y reporte continuo de los resultados
a la CGTIC, para que sean atendidas en forma oportuna los nuevos requerimientos, mi
4. SEGURIDAD
CRITERIO
Se realiza la evaluación de los controles generales existentes relativos a:
k. Seguridad física.
l. Seguridad lógica.
Valorando del cumplimiento de las prácticas de control CobiT asociadas a:
Garantizar la seguridad de los sistemas
Administración de la seguridad de TI
Plan de Seguridad de TI
Administrar la identidad
Administrar cuentas de usuarios
Seguridad Física y Lógica
Selección y diseño de centros de datos
Medidas de seguridad física
Acceso físico
Protección contra factores ambientales
Administración de instalaciones físicas
Municipalidad de San José 2015
CONDICIÓN
Se cuenta con el documento Políticas Institucionales de Seguridad Informática que establece
los lineamientos para normar las actividades de la Municipalidad de San José cuando se
requiere el acceso y uso a las tecnologías de información. El documento establece la
obligatoriedad de todos los funcionarios de acatar las políticas sin excepción.
Adicionalmente, las políticas están apoyadas por las Normas Generales de Seguridad
Informática de la Municipalidad de San José. Se indica que la Dirección de TIC es la
responsable de velar por la correcta aplicación de las políticas, así como de su validez y
control. Las políticas definidas son:
Política de concientización en seguridad informática
Política sobre el uso aceptable de recursos
Política de Controles de acceso recursos institucionales
Política Desarrollo, Mantenimiento y Actualización de Aplicaciones
Política de Desecho de Equipo de Cómputo
Política para la elaboración de Planes de Continuidad de la Gestión.
En la entrevista realizada al Director de TI, manifiesta que a pesar de los esfuerzos de
divulgación (intranet y correo electrónico), los funcionarios no se han interesado conocer y
entender la importancia de las Políticas. Este tema ha sido informado y analizado con la
Alcaldía determinándose que es necesario que intervenga el Departamento de Recursos
Humanos para definir e implementar un plan de comunicación y capacitación a los
funcionarios. La Dirección de TI ha colaborado elaborando un extracto de las políticas para
que el Departamento de Recursos Humanos establezca las sanciones en caso de
incumplimiento. Las políticas son actualizadas por el Director de TI y cuentan con la
aprobación de la Alcaldía.
Por otra parte, se indicó a esta Auditoría que se cuenta con políticas internas para la Dirección
de TI que norman aspectos relacionados con el acceso al Centro de Datos, destrucción de
respaldos, etc.; no obstante no se pudo realizar la valoración de las mismas ya que no fueron
suministradas.
Municipalidad de San José 2015
Se identifican prácticas informales de gestión de la seguridad, se cuenta con herramientas
automatizadas mediante las cuales se establecen controles; no obstante no se ha formalizado
un Plan de Seguridad de TI por cuanto no cuentan con el personal especializado en el tema.
La gestión de cuentas de usuarios no se hace mediante un proceso formalmente definido, la
práctica indica que las jefaturas deben enviar la solicitud de creación de una cuenta de
usuarios, ya sea mediante un oficio o correo electrónico; el Departamento de Soporte Técnico
asigna el usuario institucional y la cuenta de correo electrónico; para el acceso a los sistemas
de información debe gestionar la solicitud al Jefe del Departamento de Desarrollo de
Sistemas. En caso de que un funcionario deja de laborar el Departamento de Recursos
Humanos informa a la Dirección para que se deshabilite.
En la valoración realizada se pudo comprobar la existencia de controles de acceso al Centro
de Datos, así como el uso de una bitácora para registrar la entrada de visitantes; el sitio
cuenta con cámaras de seguridad, detector de humos, extintores, equipos de aire
acondicionado, ups. La ubicación no es visible a otras dependencias.
Las instalaciones de la Dirección de TIC a pesar de contar con mecanismos de acceso
automatizados, presenta el inconveniente, de ubicar dentro de sus instalaciones las oficinas
del Director Financiero, lo que representa un riesgo de seguridad, que se acentúa aún más
cuando se pudo comprobar en una de las visitas realizadas que este funcionario debe atender
la visita de personal ajeno a la Dirección de TI dentro de las instalaciones de la Dirección de
TI.
En lo que corresponde a controles para la protección de redes; la Dirección de TI es
responsable de asegurar y monitorear las redes de accesos no autorizados, cuenta con los
dispositivos Fortinet para regular la seguridad perimetral, con doble redundancia y con
contrato de licenciamiento por un año; no se ha presentado incidentes de seguridad. Se cuenta
con software de detección de virus de Microsoft Symantec.
Municipalidad de San José 2015
RECOMENDACIONES
A la Alcaldía
1. Asegurar que en las instalaciones de la Dirección de TIC únicamente se ubiquen oficinas
para personal asignado formalmente a esta dependencia.
A la Dirección de TI
2. Definir e implementar mecanismos de concientización de las Políticas Institucionales de
Seguridad Informática, priorizando los temas que resulten de relevancia para la
institución.
3. Documentar las políticas internas y las prácticas actuales de gestión de seguridad que se
desarrollan en la Dirección de TI.
4. Definir e implementar un plan de seguridad de TI que incluya los procedimientos
necesarios para implementar y hacer cumplir las políticas, roles y responsabilidades,
requerimientos de personal, concientización y entrenamiento en seguridad, inversiones
en recursos de seguridad requeridos.
5. Establecer y comunicar un procedimiento para autorización y autenticación de usuarios,
y responsables de la definición de los perfiles de acceso.
5. SISTEMAS DE OPERACION
CRITERIO
Se realiza la evaluación de los controles generales existentes relativos a:
m. Controles de entrada.
n. Controles de proceso.
o. Controles de salida.
Valorando del cumplimiento de las prácticas de control CobiT asociadas a:
Adquirir y Mantener Software Aplicativo
Control y posibilidad de Auditar las aplicaciones
Municipalidad de San José 2015
CONDICIÓN
Los sistemas principales de la Municipalidad de San José desarrollados en LINC de Unisys,
de acuerdo a lo indicado por los usuarios entrevistados cuentan con las funcionalidades
requeridas, pero lo califican como “tieso” a referirse a la poca flexibilidad que tiene. Además
de que presenta muchos errores debido a que la información de la base de datos es poco
confiable, ya que tiene mucha información errónea.
En general los usuarios coinciden en que el Sistema ya no cumple con los objetivos y se
encuentra obsoleto; son constantes los errores e interrupciones mientras se brindan servicios
a los contribuyentes. Los tiempos de respuesta ofrecidos por la Dirección de TI no siempre
pueden ser inmediatos debido a las limitaciones de las herramientas, que requieren un
proceso de recuperación que toman algunos minutos; además aunque los funcionarios de la
Dirección de TI lo consideran muy seguro por ser un sistema cerrado, a lo interno los
mecanismos de seguridad no son suficientes para asegurar que no se den manipulaciones
indebidas a los datos; los entrevistados mencionan situaciones de errores que se presentan
un día y se resuelven posteriormente sin mayor explicación. Al respecto se cuenta con las
bitácoras de todas las transacciones realizadas, no obstante, los controles son establecidos
por las dependencias usuarios, y sale del ámbito de acción de la Dirección de TI.
La mayoría de los funcionarios entrevistados coinciden en que la información del sistema es
confiable, no obstante, se mencionan casos de inconsistencias en la ejecución de procesos;
se indica que los controles de entrada y salida de datos no son adecuados ya que el sistema
permite el ingreso de información errónea; esto se atribuye a las debilidades que tiene el
sistema desde su creación.
El funcionamiento del Sistema presenta inconvenientes, sobre todo en las fechas de cierre
de pagos trimestrales, ya que la atención de usuarios para pago de servicio en cajas aumentan
significativamente, se puede atender más de 1000 personas en el último día de pago, en
comparación a los 430 que se atienden en promedio en días normales. Los usuarios reconocen
que durante esos días, son constante las caídas del sistema y lo atribuyen a que aumento el
Municipalidad de San José 2015
acceso simultáneo de los funcionarios, lo que afecta el servicio que se brinda al
contribuyente.
Los usuarios muestran un gran dominio en su uso, además de estar satisfechos con su
desempeño.
En general, aunque todos los usuarios entrevistados y la verificación en sitio, indica que los
sistemas incluyen los controles requeridos en la entrada y salida de datos, y durante el proceso
en sí, no se pudo corroborar la existencia de un proceso formal de incorporación de controles
y la documentación de los mismos.
RECOMENDACIONES
A la Dirección de TI
1. Establecer e implementar un procedimiento formal para definir todos los controles de
aplicación automatizados (autorización, entrada, procesamiento y salida) en base a los
requerimientos de control previstos por el usuario.
2. Incorporar en la metodología de desarrollo de sistemas de información, como parte del
diseño, la definición de los controles automatizados a ser incluidos, relativos a la
seguridad, integridad de datos y pistas de auditoría, incluyendo mecanismos de control
de acceso y controles de integridad de base de datos.
6. CONTINGENCIAS
CRITERIO
Se realiza la evaluación de los controles generales existentes relativos a:
Plan Estratégico de Tecnologías de Información
Valorando del cumplimiento de las prácticas de control CobiT asociadas a:
Plan Estratégico de TI
CONDICIÓN
Municipalidad de San José 2015
La Municipalidad de San José cuenta con el Plan de Desarrollo Municipal 2012-2016, donde
se define el Programa San José Digital, cuyos proyectos son responsabilidad de la Dirección
de TIC. A fin de cumplir con este Programa la Dirección desarrolló el Plan Estratégico de
Tecnologías de Información y Comunicaciones que lo denomino Visión Estratégica de San
José Digital. Para el cumplimiento de los objetivos estratégicos y proyectos, se establece el
Plan Operativo Anual.
La Dirección de TI presenta un informe de labores anual, donde se detalla los trabajos
realizados por cada uno de los departamentos, como son proyectos, mantenimiento de
desarrollo Unisys, desarrollo .NET, servicios web, administración de base de datos, soporte
técnico, entre otros.
No se identifica un proceso formal para el desarrollo del Plan Estratégico de TI, que considere
los mecanismos requeridos para la implementación, seguimiento, control y actualización del
mismo.
De acuerdo a la entrevista realizada al Director de TI, la alcaldía solicita de manera informal,
informes sobre el estado de proyectos de su interés.
RECOMENDACIONES
A la Dirección de TI
1. Definir e implementar las políticas y procedimientos necesarios para asegurar que el
desarrollo del Plan Estratégico de TI, defina las estrategias de TI para contribuir al logro
de los objetivos estratégicos institucionales, considerando la capacidad de TI actual y
requerida; debe definirse un proceso formal para su desarrollo, implementación y
seguimiento; considerar el impacto de cambios organizacionales y evolución tecnológica.
Municipalidad de San José 2015
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE
GERENCIA 2014
RECOMENDACIÓN ESTADO
HALLAZGO 1: AUSENCIA DE PRUEBAS DE
FUNCIONALIDAD DE LOS RESPALDOS EFECTUADOS.
Recomendación: Ejecutar pruebas de funcionalidad como se
establece en el manual de procedimientos de los respaldos.
En proceso
Debe modificarse el
procedimiento para
ajustar la periodicidad
de las pruebas.
HALLAZGO 02: NO SE HAN TRASLADADO LOS
RESPALDOS DE LA INFORMACIÓN AL SITIO
ALTERNO DESDE JULIO 2014.
Recomendación: Trasladar los respaldos al lugar externo como lo
establece el procedimiento para el manejo de medios de
almacenamiento de los respaldos. Además se debe verificar
periódicamente que estos envíos se estén realizados.
Atendida
HALLAZGO 03: NO UTILIZACIÓN DEL SISTEMA CRM
POR ALGUNOS DEPARTAMENTOS DE LA
MUNICIPALIDAD.
Recomendación: Utilizar de forma completa el CRM por parte de
las áreas de plataforma de servicios, permisos, catastro (cómputo
y gráfica) y bienes inmuebles. En conjunto con T.I. valorar los
requerimientos adicionales solicitados para cumplir con el
objetivo de mejorar los procesos llevados en la Municipalidad.
En proceso
Mejoras el proceso 65%
HALLAZGO 04: AUSENCIA DE UN MANTENIMIENTO
PREVENTIVO AL AIRE ACONDICIONADO Y UPS
UBICADOS EN EL CUARTO DE SERVIDORES.
Recomendación: Brindar por parte del departamento de
mantenimiento de edificios el mantenimiento preventivo
periódicamente y correctivo cuando lo amerite a las UPS y aires
acondicionados presentes en el cuarto de servidores.
Atendida
Se cuenta con el
contrato, responsable la
sección de
Mantenimiento del
Edificio.
HALLAZGO 05: AUSENCIA DE UN MANUAL DE
FUNCIONES PARA LOS COLABORADORES DE T.I.
Recomendación: Desarrollar por parte de Recursos Humanos un
manual de funciones para cada puesto del Departamento de T.I.,
Pendiente
Responsable: Recursos
Humanos
Municipalidad de San José 2015
para la actividad anterior se debe considerar entre otros aspectos
puestos, las funciones de cada puesto así como los requisitos del
personal para asumir el puesto.
HALLAZGO 06: NO EJECUCIÓN DE LA ACCIÓN DE
MITIGACIÓN DE RIESGO DE ALTO IMPACTO
Recomendación: La alta gerencia debe de velar por la correcta
ejecución del plan de acción para la mitigación del riesgo "Para
que se encuentre definido el Plan de contingencia de TI para
garantizar la continuidad de los servicios institucionales ",
tomando en cuenta que el riesgo es alto para la Municipalidad.
Esto es una tarea interdisciplinaria que debe ser liderada por la
alcaldía.
En Proceso
Se encuentra en proceso
de contratación
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE
GERENCIA 2013
RECOMENDACIÓN ESTADO
ASUNTO 01: PARA EL PERIODO 2013 NO SE
REALIZÓ LA EVALUACIÓN DE LOS RIESGOS
INFORMÁTICOS.
CORREGIDO
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE
GERENCIA 2012
RECOMENDACIÓN ESTADO
ASUNTO 01: PARA EL PERIODO 2013 NO SE
REALIZÓ LA EVALUACIÓN DE LOS RIESGOS
INFORMÁTICOS.
Atendida
Municipalidad de San José 2015
HALLAZGO 01: INCONSISTENCIAS EN ROLES
Y PERFILES ASIGNADOS EN EL SISTEMA DE
TESORERÍA
Responsable: Tesorería
En proceso
HALLAZGO 02: EXISTENCIA DE CUENTAS DE
EXFUNCIONARIOS HABILITADAS EN LA RED
Atendida
HALLAZGO 03: INCUMPLIMIENTO DE LA
METODOLOGÍA DE ADMINISTRACIÓN DE
PROYECTOS DE T.I.
En Proceso
A la espera de la metodología de
proyectos institucional.
Atendida
Se lleva a cabo la revisión de los
proyectos periódicamente.
HALLAZGO 04: INCONSISTENCIA EN LA
ENTRADA DE DATOS DEL SISTEMA DE
URBANOS Y BIENES INMUEBLES
Atendida
El sistema controla el ingreso de
la cédula, permite la cantidad de
dígitos dependiendo del tipo de
cédula (Jurídica, física, etc.).
En Proceso
En proceso de ejecución el Plan
Depuración y de Homologación
de la Base de Datos Municipal.
HALLAZGO 05: INCONSISTENCIAS EN EL
REPORTE DE CONECTIVIDAD SOBRE EL
COBRO DE COMISIÓN DE IMPUESTOS
MUNICIPALES
Responsable: Depto. Tesorería
En Proceso
HALLAZGO 06: INCONSISTENCIAS EN LOS
REGISTROS ALMACENADOS EN LAS BASES
DE DATOS DE LA MUNICIPALIDAD DE SAN
JOSE.
Responsable: Comisión de la depuración de datos
En Proceso
Municipalidad de San José 2015
ASUNTO 1: INCONSISTENCIAS EN EL
FORMATO UTILIZADO PARA EL SISTEMA DE
MERCADOS
Atendida
ASUNTO 2: AUSENCIA DE UN SISTEMA PARA
INGRESAR INFORMACIÓN
CORRESPONDIENTE A CEMENTERIOS
En Proceso
Se cuenta con Sistema
Cementerios, pendiente la
integración con Cajas que incluye
en la segunda etapa del proyecto.
ASUNTO 3: REVISIÓN INCOMPLETA DE
CUENTAS EN EL PROCESO DE
FISCALIZACIÓN
Responsable: Comisión de la depuración de datos
En Proceso
ASUNTO 4: POCO ESPACIO FÍSICO EN
DIRECCIÓN DE TI
Responsable: Alcaldesa
Equipos en los pasillos
En Proceso
T.I. ha realizado las peticiones
correspondientes, no se ha
obtenido respuesta por parte de la
alcaldía.
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE
GERENCIA 2011
RECOMENDACIÓN ESTADO
HALLAZGO 2: NO SE CUENTA CON UN
PROCEDIMIENTO DEBIDAMENTE
DOCUMENTADO PARA LA REALIZACIÓN DE
PLANES DE PRUEBAS PARA LOS RESPALDOS
DE LA INFORMACION
Atendida
Cuentan con procedimiento para
la recuperación de los respaldos.
HALLAZGO 3: INCONSISTENCIAS EN LOS
REGISTROS ALMACENADOS EN LAS BASES En Proceso
Municipalidad de San José 2015
DE DATOS DE LA MUNICIPALIDAD DE SAN
JOSE.
Responsable: Comisión de la depuración de datos
ASUNTO 2: NO SE ADAPTA LA
METODOLOGÍA DE ADMINISTRACIÓN DE
PROYECTOS ELABORADA POR LA
DIRECCIÓN DE T.I. DE LA MSJ A PROYECTOS
MEDIANOS Y PEQUEÑOS.
Responsable: Gerencia de Gestión Municipal
En Proceso
La metodología de proyectos
institucional
ASUNTO 3: NO EXISTE UN PROCESO FORMAL
PARA EL RESPALDO DE LA INFORMACIÓN
ALMACENADA EN LA MAQUINA UTILIZADA
PARA DESARROLLO DE APLICACIONES EN
LA DIRECCIÓN DE T.I.
Atendida
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE
GERENCIA 2010
RECOMENDACIÓN ESTADO
OPORTUNIDAD DE MEJORA 1:
INCONSISTENCIAS EN LAS BASES DE DATOS
IMPLANTADOS EN LA MUNICIPALIDAD DE
SAN JOSÉ.
Atendida
ASUNTO 2: EL MÓDULO DE CATASTRO NO SE
ENCUENTRA INTEGRADO CON EL MÓDULO
DE URBANOS
Atendida
ASUNTO 4: INCONSISTENCIA EN EL MÓDULO
DE INGRESOS Atendida
Municipalidad de San José 2015
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE
GERENCIA 2009
RECOMENDACIÓN ESTADO
OPORTUNIDAD DE MEJORA 1: AUSENCIA DE
PROCEDIMIENTOS DOCUMENTADOS PARA
LA MEDICIÓN DE LA CAPACIDAD Y
DESEMPEÑO DE LA PLATAFORMA
TECNOLÓGICA
Atendida
El procedimiento para la
administración de la capacidad y
desempeño de la base de datos se
aprobó el 13-12-2013.
OPORTUNIDAD DE MEJORA 3: CARENCIA DE
MONITOREO FORMAL RESPECTO A LAS
POLÍTICAS ESTABLECIDAS PARA LA
GESTIÓN Y SEGURIDAD DE LA
PLATAFORMA TECNOLÓGICA.
En Proceso
OPORTUNIDAD DE MEJORA 4: AUSENCIA DE
POLÍTICAS Y PROCEDIMIENTOS FORMALES
PARA LA GESTIÓN DE LA CONFIGURACIÓN.
Atendida
OPORTUNIDAD DE MEJORA 5: NO EXISTE UN
SITIO ALTERNO DE REPLICACIÓN
AUTOMÁTICA PARA LOS SERVIDORES
PRINCIPALES DE LA MUNICIPALIDAD DE
SAN JOSÉ.
En Proceso
OPORTUNIDAD DE MEJORA 7: NO EXISTE UN
PLAN DE CONTINGENCIAS INTEGRAL QUE
AYUDE A SALVAGUARDAR LOS RECURSOS
INFORMÁTICOS DE LA MSJ, ASÍ COMO
GARANTIZAR LA CONTINUIDAD DE LAS
OPERACIONES.
Responsable: Alcaldía
En Proceso
Municipalidad de San José 2015
SEGUIMIENTO DE RECOMENDACIONES DE LA CARTA DE
GERENCIA 2003
RECOMENDACIÓN ESTADO
CG-2-2003 (1)
Sistemas de información de la Municipalidad con
deficiencias en su estructura.
En Proceso
CG-2-2003 (1)
Sistemas de información de la Municipalidad con
deficiencias en su estructura.
En Proceso
CG-2-2003 (2)
Falta de una adecuada integración de los sistemas de
la Municipalidad hasta no contar con una
actualización en los sistemas de la entidad.
En Proceso
OPORTUNIDAD DE MEJORA 5: NO EXISTE UN
SITIO ALTERNO DE REPLICACIÓN
AUTOMÁTICA PARA LOS SERVIDORES
PRINCIPALES DE LA MUNICIPALIDAD DE
SAN JOSÉ.
En Proceso
Se estima que para este año esté
en funcionamiento
OPORTUNIDAD DE MEJORA 7: NO EXISTE UN
PLAN DE CONTINGENCIAS INTEGRAL QUE
AYUDE A SALVAGUARDAR LOS RECURSOS
INFORMÁTICOS DE LA MSJ, ASÍ COMO
GARANTIZAR LA CONTINUIDAD DE LAS
OPERACIONES.
Responsable: Alcaldía
En Proceso