INFORME DE LOS RESULTADOS DEL DIAGNOSTICO PRELIMINAR DE LA DIRECCIN NACIONAL DE DESARROLLO DE LA COMUNIDAD EN CUANTO AL AMBIE

MINISTERIO DE GOBERNACIN Y POLICIA

AUDITORIA INTERNA

AI-750-2005

audidinadeco@racsa.co.cr - Telefax 222-35-97MINISTERIO DE GOBERNACIN Y POLICIA

AUDITORIA INTERNA AI-750-2005

audidinadeco@racsa.co.cr - Telefax 222-35-97

ESTUDIO DEL AMBIENTE INFORMTICO DE LA

DIRECCIN NACIONAL DE DESARROLLO DE LA COMUNIDAD

1. INTRODUCCIN

1.1.OrigenEl estudio se realiz como parte del Plan de Trabajo de esta Auditora, para la Direccin Nacional de Desarrollo de la Comunidad, dentro del tiempo destinado para el rea de auditora de sistemas.

1.2.Objetivos

Verificar el establecimiento, suficiencia, validez y cumplimiento de los controles para proteger los equipos y sistemas.

Comprobar el cumplimiento de la normativa legal y tcnica.

1.3.Alcance y Naturaleza

El estudio se centr en el anlisis de los recursos informticos disponibles al mes de Agosto del 2004, se ampli en los casos en que se consider necesario, con fecha de corte del 20 de Mayo del 2005 y se actualiz en cuanto a hechos subsecuentes.

Se evalu el estado de los sistemas, el control interno existente en la seguridad, resguardo y acceso fsico al hardware, software, comunicaciones y electricidad de los equipos; se analizaron los controles y estndares para la adquisicin y desarrollo del hardware y software; se revis el inventario de activos tecnolgico con que cuenta la Institucin y su control; se comprob el software disponible en los equipos de cmputo y la existencia de sus respectivas licencias, adems los programas que se manejan. Como parte del proceso citado, se revis el cumplimiento de la normativa que regula el uso del equipo, el desarrollo de tecnologa informtica y la eficiencia en el uso de los recursos, se visit oficinas centrales y regionales que cuentan con equipo de cmputo, se realizaron chequeos del sistema operativo utilizando una herramienta denominada ADVISOR (software libre, para determinar el sistema operativo con el que trabaja la mquina, entre otros) y se solicit los manuales de mantenimiento, seguridad y desarrollo de sistemas.

El rea de estudio est normada en cuanto al tema de control interno, por la Ley General de Control Interno, Manual de Normas Generales de Control Interno (Manual de normas CI) y el Manual sobre normas tcnicas de control interno relativas a los sistemas de informacin computadorizados (Manual sobre normas SIC); los dos ltimos, emitidos por la Contralora General de la Repblica.

A nivel general, es regulada por la Ley de Derechos de Autor (No. 6683), en cuanto al cumplimiento de directrices internacionales para la proteccin de la Propiedad Intelectual, los Derechos de Autor y Derechos Conexos, asimismo, por la Directriz No. 30 Prohibicin para accesar a material pornogrfico.

1.4.Antecedentes

La Direccin Nacional de Desarrollo de la Comunidad, es un rgano del Poder Ejecutivo, adscrito al Ministerio de Gobernacin y Polica, creada por Ley No.3859, del 07 de abril de 1976 y reglamentado en el Decreto Ejecutivo No.26935-G; Gaceta No.97, del 21 de mayo de 1998 y sus reformas, cubriendo sus gastos de operacin mediante el Programa 049, establecido en el Presupuesto Nacional. Dentro de sus funciones estn el fomentar, orientar, coordinar y evaluar la organizacin de las comunidades del pas como parte del Plan Nacional de Desarrollo Econmico, atendiendo las necesidades de apoyo tcnico a Asociaciones de Desarrollo Comunal.

1.5.Limitaciones

Una de las limitaciones que se present en la ejecucin de este estudio, fue el no poder analizar el sistema de control de asociaciones, comprado al seor Gustavo Flores Richmond, por la falta de datos reales en el sistema e inventarios actualizados.

1.6.Presentacin resultadosDe acuerdo con el artculo 36, de la Ley General de Control Interno N. 8232, del 04 de setiembre del 2002, el titular subordinado, en un plazo improrrogable de diez das hbiles despus de recibido el informe, ordenar la implantacin de las recomendaciones, si discrepa de ellas, en el mismo plazo, elevar el informe al jerarca, con copia a la auditoria interna, expondr por escrito las razones por las cuales objeta las recomendaciones del informe y propondr soluciones alternas para los hallazgos detectados.

El contenido del presente informe, se present a la Bachiller Anabelle Lang Ortiz, Directora Nacional de DINADECO; el Msc. Alejandro Elizondo Castillo, Director Administrativo; al Ing. Irving Rodrguez Vargas, Jefe de Unidad Informtica y al seor Fernando Ruz Villalobos, funcionario de la Unidad Informtica el da 11 de Agosto del 2005, quienes manifestaron que aceptan los resultados expuestos en este informe, de igual forma se exterioriz que la Institucin no cuenta con los recursos necesarios para solventar algunas debilidades, sin embargo, se plantearn alternativas para encontrar la mejor solucin en el menor tiempo posible2. RESULTADOS

2.1Sin oficializar la ubicacin de la Unidad de Informtica.La Unidad Informtica no esta formalmente aprobada dentro de la estructura orgnica institucional, la cual est vigente desde el ao 1996 y autorizada por MIDEPLAN.

Con oficio PI-031-05, del 20 de Mayo del 2005; la encargada de la Unidad de Planificacin Susana Pez Vsquez reafirma esta condicin, indicando que el proyecto de Reordenamiento Institucional no ha sido aprobado.La norma 302.06 Ubicacin de la Unidad Informtica seala que la Unidad deber estar ubicada en un nivel jerrquico adecuado dentro de la organizacin, que le permita realizar de manera independiente y objetiva, la funcin de servicio que le corresponde.

Segn el exjefe Administrativo, Lic. Rahudy Esquivel Irsen en oficio DA-310-04, del 31 de agosto del 2004, se present una propuesta a MIDEPLAN en donde aparece la Unidad Informtica; sin embargo, esta fue devuelta con observaciones de fondo y forma, ya que uno de los requerimiento de ese Ministerio, es el anlisis detallado de los componentes del rea Administrativa, para que estos sean eficientes y evitar que se convierta en cuellos de botella para la modernizacin institucional, asegurando as la coherencia entre los niveles administrativos y los sustantivos. Las modificaciones sugeridas fueron realizadas, sin embargo an no se aprueba esta propuesta.

La condicin descrita afecta la independencia y objetividad de operacin, de las funciones que ejerce la unidad, como son: Centralizacin de los recursos informticos, elaboracin y mantenimiento de manuales de adquisicin de hardware y software, definicin de la plataforma de trabajo, de equipos, base de datos y software informtico (procesador de texto, Office, entre otros); proteccin de informacin confidencial, mediante polticas de seguridad para acceso a los datos y los equipos; plan de contingencia, que establezca las acciones a seguir en desastres naturales (inundaciones, tormentas elctricas, terremotos, ente otros); procesos sin los cuales se incrementa el riesgo de adquirir tecnologas incompatibles, enfrentar prdidas econmicas y de informacin, desuso o subutilizacin de equipos y sistemas; lo cual indica el uso ineficiente de recursos estatales, que afectan negativamente el cumplimiento de los objetivos institucionales.

2.2 Falta de asignacin formal de funciones y responsabilidades del personal de la Unidad Informtica.

La Unidad de Informtica oficialmente cuenta con cuatro funcionarios, el seor Fernando Ruz Villalobos, la seora Giselle Vindas, el seor Junior Aguilar y recientemente se incorpor como Jefe, el Ing. Irving Rodrguez, segn oficio UI-2005-050 del 8 de Julio del 2005; cabe indicar que no se encontr evidencia escrita de la asignacin y periodicidad de las actividades que ejecuta dicho personal a nivel general o individual, conforme el cargo que desempea.

La norma 4.5.-Instrucciones por escrito, del Manual de Normas Generales de Control Interno, indica que: Es necesario que las instrucciones sean emitidas de manera clara, concisa y por escrito, independientemente de que se encuentren impresas o disponibles en medios magnticos, estas deben ordenarse en un compendio de operaciones o manual y deben ser actualizados peridicamente para ajustarlo a los cambios en las necesidades y procesos organizacionales.

La falta de definicin y formalizacin de funciones, limita su interpretacin y adecuado entendimiento; adems dificulta la induccin del personal nuevo y la determinacin de responsabilidades cuando sea requerido.

Esto aumenta los riesgos directos de olvido de asignaciones, omisin de prcticas importantes, control de actividades, ejecucin de tareas errneas, entre otros. Situaciones que pueden producir resultados insatisfactorios o adversos, con respecto al logro de los objetivos institucionales.

2.3Falta de un marco regulador de la funcin Informtica. No se ha desarrollado, documentado ni promulgado polticas internas sobre tecnologas de informacin (TI), control interno, minimizacin de riesgos, derechos de propiedad intelectual en el desarrollo de software, restricciones para el acceso a Internet (ingreso a pginas pornogrficas), mantenimiento de equipos y sistemas propios de la Institucin.

Si bien se han emitido algunas directrices por parte de la Direccin Administrativa y la Unidad de Informtica, no han sido oficializadas por la Direccin General, no cubren todo el ambiente informtico, ni estn recopiladas en un slo documento, a saber:

Circular UI-12-03, del 25 de Junio del 2003, de la Unidad Informtica, en la que trata las obligaciones de los usuarios de equipo de cmputo; basndose en la publicacin de La Gaceta 181, del 21 de setiembre del 2000; las cuales son de acatamiento para el Ministerio de Seguridad Pblica. Circular-DA-116-03 del 28 de julio del 2003, de la Direccin Administracin referida a compartir el uso de Internet en algunos departamentos de DINADECO y el manejo de las claves de acceso para ello. Circular DA-133-03, del 06 de Agosto del 2003, de la Direccin Administrativa, referente a la Directriz Presidencial No. 30, publicada en La Gaceta 160, del 22 de agosto del 2001 y el Decreto Ejecutivo DC-3051-J, de febrero del 2002, relativa a la prohibicin del uso de INTERNET para asuntos personales. Oficio DA-289-04 del 17 de Agosto del 2004, de la Direccin administrativa, sobre la conveniencia de que la Unidad Informtica tenga la descripcin de los activos, que conforman cada estacin de trabajo.

Con respecto a las polticas del ambiente informtico, emitidas por el Ministerio de Seguridad Pblica; segn entrevista del 20 de Abril del 2005, el Ing. Manuel E. Bolaos Mata, jefe en ese entonces del Departamento de Cmputo de este Ministerio, afirm que, no existe convenio que seale la responsabilidad de esa Direccin con las dependencias de Gobernacin, en relacin con el equipo de cmputo y su entorno. Por lo tanto, los lineamientos emitidos por la citada instancia, no seran de acatamiento para Gobernacin; excepto que expresamente sean adoptados y oficializados por los Jerarcas de las dependencias que correspondan.

La norma 302.04 Polticas relativas al SIA (SIG o SIC), del Manual Sobre Normas Tcnicas Relativas a los sistemas de informacin computadorizados, indica que las polticas y lineamientos o criterios generales dictados por la autoridad superior, tienen como propsito orientar la accin, en este caso, de los sistemas de informacin. Las mismas deben ser documentadas y divulgadas en todos los niveles de la organizacin y deben ser actualizadas permanentemente.

La omisin de disposiciones internas completas, claras y formales, genera la inexistencia de acciones para salvaguardar las tecnologas de informacin; incrementa la posibilidad de que se les d un mal uso, se pierdan o se daen por el desconocimiento de lo que se debe o no hacer; ocasiona desperdicio de recursos en desarrollo de aplicaciones, por no tenerse guas o metodologas; de igual forma adquirir hardware y software, sin las especificaciones necesarias o requeridas por la organizacin.

2.4.Carencia de un Comit Gerencial de Informtica.

No se cuenta con un Comit de Informtica en DINADECO y aunque la actividad del rea de cmputo es relativamente incipiente, dentro de ese panorama, es conveniente considerar la creacin de dicho rgano.

El Exdirector Administrativo, Lic. Rahudy Esquivel Irsen, indic que la Institucin es pequea para tener dicho comit y que se buscara asesora de la Comisin Informtica de Seguridad Pblica, por lo que present a ese rgano para su aprobacin, el Proyecto Informtico de DINADECO. Sin embargo, el 20 de Abril del 2005, el seor Luis Guerrero Fowlg, Presidente de esa Comisin, haciendo referencia al Decreto N 26683-SP-Reglamento Interno de la Comisin de informtica del Ministerio de Seguridad Pblica y al Reglamento de Normas y Polticas de Informtica del Ministerio de Seguridad Pblica; inform que no se tiene ingerencia sobre DINADECO y que el proyecto no se llev a discusin; manifestando que siempre se ha brindado colaboracin a Gobernacin en materia Informtica, pero que no existe un convenio entre ambos ministerios, para afianzar ese apoyo.

La norma 302.09-Comit Gerencial de Informtica, del Manual sobre normas SIC, establece la obligacin de constituir dicho comit como una instancia tcnica ente el mximo jerarca y la unidad de informtica, que brinde asesora al primero en la administracin del sistema de informacin gerencial y de los recursos humanos, materiales y financieros que se destinen para su desarrollo; dentro de sus funciones estn: dictar las especificaciones necesarias para los estudios preliminares y de factibilidad de los proyectos de TI (Tecnologa de Informacin); asesorar al nivel jerrquico superior en la aprobacin de los resultados de los estudios de factibilidad, de los planes estratgicos y operativos de la funcin informtica y la emisin de polticas relativas a la tecnologa de informacin; controlar y evaluar la ejecucin de los planes aprobados; evaluar la necesidad de disponer de hardware y software adicional y establecer las prioridades documentadas para cada desarrollo o proyecto de sistemas de informacin.

El hecho de que la Administracin no considerara necesario la creacin del Comit Gerencial de Informtica, esperando asesora del existente en Seguridad Pblica; incrementa los riesgos de que se den adquisiciones en tecnologa de informacin, sin criterios de oportunidad y con una relacin inadecuada de beneficio-costo, dndose gastos injustificados, innecesarios o superfluos en las inversiones en T.I.

2.5 Carencia de una metodologa para el desarrollo y compra de los Sistemas de Informacin.

No se cuenta con una metodologa para el desarrollo de los sistemas (ciclo de vida de desarrollo de los sistemasCVDS); que defina un modelo de lenguaje de programacin a seguir, regule y oriente los procesos de desarrollo, adquisicin, implementacin y mantenimiento, tanto de sistemas de informacin computadorizados como de tecnologas afines.

De los cuatro sistemas de informacin de la Institucin, slo dos estn funcionando, siendo que:

A)El Sistema para el control de las organizaciones comunales, es utilizado para consultar los datos de las organizaciones creadas por la Ley sobre Desarrollo de la Comunidad (No.3859), fue programado en el lenguaje de Visual Fox, por el funcionario Fernando Ruiz Villalobos y est instalado en el equipo ubicado en el rea Legal y de Registro.

Dicho programa no cuenta con documentacin que indique las actividades seguidas en su desarrollo, carece de Manual del Usuario, estudios preliminares, controles de seguridad en el acceso a la informacin, adems muchos de los listados que genera este sistema no son utilizados y algunos son poco conocidos por la Licda. Yamileth Camacho Marn, funcionaria del Departamento de Legal y Registro, que maneja la aplicacin.

B)EL Sistema de Control de Asistencia (TIME LOG), actualmente esta fuera de servicio; fue adquirido junto con el reloj marcador electrnico comprado a la empresa INTRADE ABC S.A.; sin obtenerse un manual de usuario, ni documentos de cmo se opera el sistema o cuales son los requerimientos que ste deba tener, para que fuera usado en DINADECO.

El Jefe de la Unida Informtica en ese entonces, Sr. Jonathan Gmez Benavides, en memorando N 2005-029, del 18 de Abril del 2005, indica que ese Departamento no particip en la formulacin de requerimientos para adquisicin del reloj marcador, no se tienen los archivos fuentes del programa y se desconocen los requerimientos tcnicos de este equipo, no pudiendo emitir un criterio acerca de la posibilidad de habilitarlo.

C)El Sistema de Control de Asociaciones Inscritas, comprado y desarrollado en el lenguaje de programacin Oracle, no est funcionando y tuvo un costo de 1.380.000,00; est ubicado en un servidor de la Unidad de Informtica y nunca fue utilizado por falta del software que administrara la base de datos, conforme al lenguaje de programacin empleado.

Ese sistema presenta debilidades, como el no poseer bitcora de acceso; no hay evidencia del Manual de Usuario; carece de documentacin de desarrollo; la capacitacin no fue impartida a los usuarios del sistema, nicamente se le dio al Jefe de la Unidad Informtica de ese entonces; no existen actas en las que se haga constar la participacin de los usuarios y fue realizado fuera de las instalaciones de DINADECO.

Sobre este caso en particular, se determin que la Administracin nombr el rgano Director para llevar a cabo el procedimiento administrativo respectivo; no obstante, el mismo no ha tenido avances positivos, razn por la que se envi una advertencia a la Directora Nacional, para que atendiera oportunamente tal situacin. D)El Sistema de Control de cupones de Combustible, es manejado con una base de datos en Access; no cuenta con toda la documentacin del desarrollo del sistema (CVDS). Segn oficio UI-2005-033, del 28 de Abril del 2005, remitido por el Exjefe de la Unidad Informtica, Sr. Jonathan Gmez Benavides, la solicitud de su desarrollo se hizo verbalmente, por la necesidad reflejada en un estudio que la Direccin Administrativa realiz al Departamento Financiero-Contable.

Los aspectos que se controlan con este sistema son: determinar quienes tienen asignado cupones de combustible; controlar los cupones liquidados con la presentacin de la respectiva factura comercial y vigilar los cupones con que cuenta la Administracin, para ser utilizados por los funcionarios.

En el manejo de este sistema, se encontraron los oficios UC-768-2004, UC-717-2004; UC-695-2004; UC-619-2004; UC-565-2004, suscritos por el Jefe de la Unidad Financiero-Contable, en los cuales solicita a Informtica; registrar varios funcionarios en el sistema, para que puedan retirar cupones. Segn lo dispuesto en el documento titulado Manual de Mantenimiento del sistema de Control de Cupones, esa inclusin solo procede con la autorizacin de la Direccin Administrativa; no obstante, en los mencionados trmites, no se evidencia la obtencin de esa aprobacin.

Con oficios UC-239-2005, del 21 de Abril del 2005, DF-223-2005, del 13 de Abril del 2005, DF-219-2005, del 08 de Abril del 2005 y DF-207-2005, del 05 de Abril del 2005, el Jefe del Departamento Financiero Contable, Lic. Adrin Arias Marn; solicit modificaciones; sin embargo, no se conoce si se realizaron por falta de notas de aceptacin de los cambios requeridos o de cualquier otra documentacin que lo evidenciara.

Al respecto, las normas 304.02-Documentacin del sistema; 304.03-Documentacin del programa; 304.04-Documentacin del usuario; 303.05.02-Estudio de Factibilidad Tcnico; 303.05.03-Anlisis y determinacin de los requerimientos de informacin; 303.10 Modificaciones a los SIC y 303.05-Ciclo de Vida de Desarrollo de Sistemas (CVDS), del Manual Sobre Normas del SIC, indican que los documentos del usuario, del programa, del diseo fsico y las pruebas del SIC, deben fundamentar y explicar en forma detallada el servicio que brinda el programa a la institucin; estos deben ser elaborados en forma adecuada, suficiente y mantenerlos actualizados; los estudios de factibilidad se confeccionarn con las especificaciones determinadas, en donde se establecern los requerimientos de informacin del sistema en desarrollo. Con respecto a las modificaciones a los SIC en operacin, debern ser justificadas, autorizadas, controladas, aprobadas y documentadas adecuadamente.

El desconocimiento de la Unidad Informtica sobre las polticas para el buen desarrollo de Sistemas de Informacin, ha producido debilidades que pueden incrementan el riesgo de que el proceso o adquisicin de sistemas, sean proyectos fallidos o de baja calidad, que generen prdidas econmicas, retrasos en el procesamiento de datos, inoportunidad en la puesta en marcha de los sistemas, ineficiencia o falta de informacin institucional, entre otros.2.6. Falta de polticas y controles de Seguridad Informtica.

No existen polticas que regulen la seguridad informtica para controlar, salvaguardar y verificar el uso adecuado del equipo y programas de las oficinas centrales y regionales, ya que no hay designacin formal de funciones en la Unidad Informtica, procedimientos por escrito para la actualizacin de los respaldos de informacin, mantenimiento preventivo de los equipos de cmputo, como planes para instalacin y actualizacin de antivirus, medios preventivos contra contingencias; seguros actualizados de los equipos; mecanismos de seguridad para el acceso a los activos, bateras (UPS) en todos los equipos; cableado estructurado; tomas polarizados y bitcoras de las cadas del sistema elctrico; todo esto en oficinas centrales de la Institucin.

En cuanto a los equipos de las oficinas regionales, se refleja la falta de controles de seguridad de acceso al equipo de cmputo, no se respalda la informacin, las instalaciones elctricas no son las adecuadas, no existe un gil servicio de mantenimiento correctivo y el preventivo no existe.

Las normas 305.02.-Seguridad fsica; 305.09-Mantenimiento del equipo de cmputo; 305.06-Respaldo de archivos magnticos y 305.03 Seguridad lgica, del Manual Sobre Normas del SIC, incorporan los mtodos y procedimientos que deben ponerse en prctica para la operacin del equipo de los SIC, orientados a crear un ambiente que procure la efectividad y el control en la produccin de la unidad de operaciones, as como proporcionar seguridad fsica sobre los archivos magnticos de manera que sea factible mantener la operacin continua del equipo y de los sistemas de informacin computadorizados.

Segn el Exjefe del Departamento de Informtica, Jonathan Gmez Benavides, indic en fecha del 28 de Abril 2005, que se estaban estableciendo las polticas para la seguridad de TI y que los retrasos se deban a la falta de personal para desarrollar el Manual; siendo a que esa fecha, se tenan solo dos funcionarios en esa unidad.

La funcin de seguridad de los equipos y del software, es vital para garantizar el adecuado resguardo y uso de los recursos, la continuidad de las actividades y el cumplimiento de los objetivos institucionales; existiendo el riesgo de que ante eventos como el fuego, inundaciones, terremotos, robos, desperfectos del equipo, entre otros, no existan acciones planificadas para lograr la recuperacin de la informacin; que personas no autorizadas tengan acceso a los archivos de datos y a los programas de los sistemas de informacin computadorizados (SIC), obteniendo informacin confidencial sobre proyectos, oficios, datos de asociaciones y sus integrantes. 2.7.Carencia de licencia de programas en algunos equipos de cmputo.

En el mes de marzo del 2005, se revis aleatoriamente el equipo de cmputo de la Institucin y todas las licencias del software existente; determinndose que en 56 computadoras de oficinas centrales se utiliza Windows y MS-Office; pero la Institucin slo cuenta con 26 licencias del primero y 25 de la segunda; tambin se localizaron 4 programas sin licencia, para creaciones de dibujo y animaciones (Photoshop, Ilustrador, Print Artis 4.5 y Core Draw 8). En cuanto a software preventivo, en 9 mquinas se encontr el Norton Antivirus, con su respectiva licencia; quedando los dems desprotegidos contra virus (Ver anexo 1).

El anterior Jefe de Informtica, Jonathan Gmez Benavides, inform que muchas de las mquinas fueron donadas por el Tringulo de la Solidaridad y no traan licencia.

El Decreto No.30151-J, del 21-024-02, a nivel de Gobierno Central, seala en el artculo 1, que se debe prevenir y combatir el uso ilegal de programas de cmputo, con el fin de cumplir con las disposiciones que establece la Ley N 6683, sus reformas y la Ley N 8039; requiriendo en los artculos del 2 al 9; realizar los inventarios iniciales de los equipos y programas, establecer controles para garantizar la utilizacin de sus computadoras con software legal; desarrollar y mantener un sistema de informacin que registre los resultados del inventario inicial de equipos y programas. El licenciamiento del software, est regulado en el artculo N 1 de la Ley sobre Derechos de Autor y Derechos Conexos (No.6683), indica que los autores tienen todos los derechos patrimoniales y morales. La violacin de estos dar lugar al ejercicio de las acciones administrativas ante el registro de la propiedad o el Registro Nacional de Derechos de Autor.Lo anterior se di por la falta de recursos para la compra de licencias de todos los equipos de cmputo y la carencia de polticas para la aceptacin de donaciones de equipo de cmputo, sin las respectivas licencias de software (ofimtica). Situacin que expone a la Institucin a posibles demandas y sanciones en el campo administrativo, civil o penal. Adems el riesgo de la interrupcin de los servicios, por prdida de datos en los sistemas de informacin, inhabilitacin de los medios de procesamiento requeridos y carencia de medidas correctivas oportunas, por la falta de antivirus, lo cual eventualmente generara mayores gastos.

2.8.Omisin de estudios para evaluar la factibilidad tecnolgica y econmica para la adquisicin de equipo y software.

Se carece de un plan formulado y aprobado, relacionado con la adquisicin de infraestructura tecnolgica en materia de equipo, sistemas y telecomunicaciones, esto de conformidad con los objetivos que haya establecido la Direccin Nacional de la Institucin, basado en el anlisis de costo beneficio.

La Institucin acostumbra que el Jefe del Departamento de Cmputo, haga sugerencias verbales sobre la compra de equipos de TI, sin que se evidencie la realizacin de un anlisis de necesidades de los usuarios, compatibilidad entre programas, entre otros..

En el Manual Sobre Normas Tcnicas de Control Interno Relativas a los Sistemas de Informacin Computadorizados, especficamente en las normas 301.01 y 301.02, se trata de la necesidad de elaborar un estudio preliminar para la adquisicin de hardware y software y para el desarrollo de nuevos SIC, con la finalidad de determinar su viabilidad tcnica y econmica; as como definir los alcances del proyecto, las reas de aplicacin, las alternativas de solucin a los problemas existentes y realizar el anlisis de costo/beneficio para su implantacin.La omisin de un Plan estratgico de infraestructura tecnolgica, incrementa el riesgo de aplicar recursos en equipos y programas que no son los ms adecuados para las necesidades de la Institucin, con su consecuente subutilizacin o falta de rendimiento; como en el caso de la compra de las licencias de software para red Windows NT Server y Windows NT 4.0, por un valor de 339.827,00 cada una; las cuales actualmente no estn siendo utilizadas, fueron almacenadas en la Unidad de Informtica y tienen la agravante de que con el vertiginoso cambio tecnolgico, estn obsoletas.2.9 Falta de un inventario tecnolgico e institucional completo y actualizado.

No se cuenta con un inventario completo, actualizado y oficializado del equipo de cmputo, el cual contenga datos confiables que permitan mantener un adecuado control de los activos.En la revisin del documento proporcionado por el Jefe del Departamento de Bienes y Suministros, con oficio B.S. 042-2005, del 3 febrero del 2005, correspondiente a la verificacin realizada en el mes de enero del 2005; existen inexactitudes sobre la ubicacin de equipo de cmputo, causado en parte, porque no todos los traslados de bienes estn respaldados con notas y en consecuencia dichas cambios no son incorporados en el inventario del Departamento de Bienes y Suministros. El Inventario refleja la existencia de 80 componentes de cmputo, entre ellos: UPS, teclados, monitores, CPU, mouse e impresoras, que no poseen nmero de patrimonio, los que lo posean estaban pegados con una calcomana la cual no es muy segura, estando algunas casi despegadas.

Asimismo, existen diferencias entre el inventario que maneja la Institucin y el que fue entregado por la Seccin de Activos del Ministerio de Seguridad Pblica, ya que mediante oficio 0243-206SCFA, del 15 de Febrero del 2005, el Lic. Marvin Rodrguez Li, Jefe de esta Unidad, indica que el inventario correspondiente a DINADECO del perodo 2004, no se envi a Bienes Nacionales, ya que careca de datos correctos preestablecidos por el Ministerio de Hacienda para la migracin de datos al SIBINET.

En las visitas efectuadas entre los meses de junio y septiembre del 2003 a oficinas Regionales que en ese entonces contaban con equipo informtico, se evidenci que las sedes de Alajuela, Puntarenas, Gupiles y Caas, no cuentan con documentacin que indique la asignacin, procedimientos sobre la utilizacin del equipo de cmputo, procedimientos de respaldos y recuperacin de informacin en caso de desastres.

Especficamente, se encontraron las siguientes condiciones:

Regional de Cartago. Segn la encargada de la oficina, Sra. Marta Avendao Mata, los dos equipos disponibles, estaban en calidad de prstamo por la Federacin de Uniones Cantonales de Cartago, sin embargo, no se evidencio la suscripcin de un convenio, en donde se establezcan las responsabilidades y deberes de las partes involucradas, ya que la informacin que se maneja en los equipos es de la Direccin Nacional de Desarrollo de la Comunidad.

Regional de Gupiles: Cuenta con una computadora, impresora y fueron asignados aprximadamente en abril del 2003, de acuerdo al Director Regional, Lic. Ricardo Ching Calvo. En el momento de la verificacin apenas tena tres meses de la entrega de ese equipo y no estaba registrado en el inventario de la Institucin, ni contaba con nmeros de patrimonio, o marcas de seguridad.

Regional de Caas: Se tiene una computadora sin nmero de activo y no se tienen boletas de asignacin del mismo; el sitio es inseguro; los tomas no son polarizados; no se efectan respaldos de informacin, mantenimiento preventivo y no se cuenta con las licencias de los programas.

Regional de Puntarenas: Tiene una computadora, que no cuenta con nmero de patrimonio y no coinciden sus caractersticas con las especificadas en nota No D.P223-2003, del 05-08-03 suscrita por el seor Randall Granados Cseres, encargado de la Unidad de Suministros en ese entonces y dirigida a esta Auditoria.

Regional de Alajuela: Tiene una computadora que no cuenta con nmero de patrimonio, slo tiene una calcamona que dice Tringulo de la Solidaridad.

El artculo No.1 Identificacin de Bienes y N 6 inciso d) del Decreto 30720-H, as como las normas 4.15-Inventarios peridicos, del Manual de Normas de CI y las normas 305.02.-Seguridad fsica; 305.09-Mantenimiento del equipo de cmputo; 305.06-Respaldo de archivos magnticos y 305.03 Seguridad lgica, del Manual de Normas del SIC; desarrollan que los inventarios deben contener tipo o nombre del bien; nmero de patrimonio; caractersticas especficas y estado; que todo bien que ingrese a la Administracin deber ser identificado por un sistema de rotulado (placa de metal o plstica o cualquier otro sistema de seguridad), en el que se indique el nmero de patrimonio asignado por la Direccin General de Administracin de Bienes y Contratacin Administrativa; esto tomando en cuenta que cada Ministerio deber realizar un inventario inicial de los equipos existentes y de los programas que tengan las computadoras. En cuanto a la seguridad se deben mantener los dispositivos suficientes para resguardar la informacin y los activos, para ello adems se debe dar mantenimiento preventivo y correctivo para asegurar la continuidad de los procesos.

El jefe del Departamento de Bienes y Suministros, Lic. Alex Arias Arguello, en su oficio B.S. 042-2005, indica que: muchos activos no cuentan con placa porque son donados por el Tringulo de la Solidaridad; por lo que se realizaron gestiones para conseguir placas con las que se identificara el equipo informtico.

La falta de recursos para completar las visitas a oficinas regionales con el fin de contabilizar el total de los activos dificulta ejercer control y proteccin del patrimonio institucional contra el uso ineficiente o irregular, responsabilidad que le corresponde a la administracin y cuya inobservancia podra traer consecuencias de ndole administrativa, civil y hasta penal; indiscutiblemente, expone a la Administracin a mayores riesgos de prdida y sustraccin; sin que sean detectadas oportunamente, dificultando la toma de medidas correctivas, la definicin de responsables y el resarcimiento econmico si corresponde.

3.CONCLUSIONES

La Direccin Nacional de Desarrollo de la Comunidad, carece de una adecuada y suficiente estructura de control interno, que garantice la existencia y operacin de un sistema de informacin institucional eficaz y eficiente, siendo requerido una unidad informtica organizada, con recursos suficientes e idneos, con un marco tcnico definido, infraestructura tecnolgica, con metodologa y estndares de desarrollo o adquisicin de sistemas y equipos establecida, polticas de gestin, seguridad y contingencia en TI adecuadas; con medidas regulatorias para integrar los esfuerzos administrativos e informticos para alcanzar los objetivos institucionales de forma eficiente; implementando controles como registros completos, instrucciones escritas, asignacin de equipos, inventarios peridicos, mantenimientos oportunos, entre otros; cumpliendo con las disposiciones tcnico-legales que correspondan.

4.RECOMENDACIONES.

A la Directora Nacional 4.1 En un plazo que no exceda los 10 das hbiles, girar las instrucciones para que se apliquen las recomendaciones introducidas en este informe o las soluciones alternas que eventualmente propongan, en caso de que se discrepara de las emitidas por esta Auditora; conforme lo define el artculo 36 de la Ley General de Control Interno.

4.2 Preparar y remitir a esta Auditora, en un plazo no mayor a 10 das hbiles, un cronograma que incorpore las actividades, responsables y fechas en las que se espera cumplir las recomendaciones giradas o propuestas, de manera que se programe el proceso de seguimiento institucional.

4.3 Continuar ante MIDEPLAN con el trmite de aprobacin, de la estructura organizativa de la institucin, a la Unidad Informtica, como una unidad orgnica y funcional existente y en ejercicio; con funciones claramente definidas en los documentos institucionales respectivos y oficialmente comunicadas y respaldadas, por esa Direccin General. (Resultado 2.1).

4.4 Definir y oficializar las funciones que le corresponden a la Unidad de informtica en general y a cada uno de sus integrantes, lo que se debe hacer con base en un plan de trabajo a corto, mediano y largo plazo, adaptado a los requerimientos y recursos de la institucin; con la que se asegure llegar a cubrir las necesidades bsicas en las reas de tecnologas de informacin, considerando:

a) Ubicacin de la funcin de TI, en niveles de autoridad e independencia diferentes a las dems unidades de la organizacin.

b) Segregar funciones y responsabilidades, de manera que evite que un slo funcionario resuelva un proceso de forma completa.

d) Evaluar y gestionar si corresponde, lo idneo y la suficiencia del Recurso Humano disponible y del requerido. (Resultado 2.2)

4.5 Establecer, promulgar y mantener actualizadas polticas internas sobre tecnologas de informacin, relacionadas con control interno, minimizacin de riesgos, derechos de propiedad intelectual en el desarrollo de software, directrices tecnolgicas en general y para el desarrollo de programas, mantenimientos propios de la Institucin, entre otros. (Resultado 2.3)

4.6 Constituir y garantizar la operacin del Comit Gerencial de Informtica de DINADECO, apoyndolo con los recursos humanos, materiales y financieros necesarios para su organizacin y el cumplimiento de las funciones establecidas en el Manual sobre normas de los SIC, siendo recomendable que est integrado por un representante tanto del mximo jerarca, Planificacin Institucional, Unidad Financiera y Unidad Informtica, este ltimo como secretara tcnica. (Resultado 2.4)

4.7 Solicitar al Comit de Informtica de DINADECO, que defina las polticas que correspondan para que la Unidad Informtica prepare, presente a su aprobacin y mantenga actualizado, el Plan estratgico institucional del rea de Tecnologa de Informacin, que sirva de eje para el desarrollo tecnolgico de DINADECO, durante los siguientes 5 aos.( Resultado 2.4)4.8 Definir y mantener actualizada por parte del Comit de Informtica, una metodologa para el desarrollo de sistemas de informacin de la institucin, oficializada por esa direccin y que incluya la normativa interna que se requiera en concordancia con el Manual sobre Normas del SIC y el Manual de CI, para que se puedan cumplir las funciones tcnicas propias de dicha unidad y las de asesora en materia informtica cuando se requiera. (Resultado 2.5 )

4.9 Definir un cronograma de trabajo para el plan de desarrollo tecnolgico de TI, que sealen las personas y/o dependencias responsables, as como los tiempos estimados, de acuerdo con las capacidades institucionales de la administracin; para la generacin, aprobacin, divulgacin e implementacin de los siguientes componentes: Plan estratgico de TI, Modelo de la Arquitectura de los SIC, Sistemas de Informacin Gerencial, Planes de adquisicin de infraestructura tecnolgica, Polticas de tecnologa de informacin, Marco de referencia de administracin de proyectos, Plan gerencial de calidad, Plan de aseguramiento de la continuidad del servicio, Plan de capacitacin del personal de TI y Marco de referencia de evaluacin de sistemas en riesgo. (Resultado 2.6)

4.10 Solicitar al Comit de informtica conformar un manual de seguridad para el acceso fsico y lgico de los equipos informticos basados en estndares internacionales de seguridad como son Cobit, BS-7799; ISO 14001 entre otros; en el cual se indiquen las condiciones mnimas para uso de los equipos y software, con el fin de controlar y normar la seguridad informtica (Resultado 2.6).4.11 Buscar soluciones alternas como software gratuito, desinstalacin de programas no imprescindibles y/o planificar y presupuestar a corto, mediano y largo plazo, los recursos para adquirir las licencias de los programas, que de acuerdo con un estudio realizado por el Departamento Informtico, sean los efectivamente requeridos por DINADECO para el cumplimiento de sus objetivos, la proteccin de su informacin y el cumplimiento de las leyes que tutelan los derechos de propiedad intelectual, derechos de autor y conexos y el Decreto 30151-J del 21-02-2002 (Resultado 2.7).4.12 Requerir que en toda solicitud de adquisicin de equipo o software, que se le presente para autorizacin, contenga el estudio de factibilidad tecnolgica y econmica, que debe estar fundamentado y referenciado en el Plan de infraestructura tecnolgica que debe elaborar y fundamentar la Unidad Informtica, de acuerdo con los lineamientos tcnicos del Manual de normas del SIC y los dictados al respecto, por la Contralora General de la Repblica. (Resultado 2.8).

Al Director Administrativo

4.13 Coordinar con las unidades solicitantes y las del Ministerio de Gobernacin encargadas de las compras de DINADECO, para que verifiquen y evalen los estudios de factibilidad que se les presenten para los trmites de compras de Software y Hardware y que los carteles de contratacin que se generen al respecto; se analicen por un experto en la materia, sea el equipo de la unidad especializada o el Comit Informtico de DINADECO o sus homlogos en el Ministerio de Seguridad Pblica; instancia que entre otros aspectos revise que lo que se desea adquirir corresponde a la plataforma informtica definida, las necesidades institucionales, la factibilidad y oportunidad del proyecto, que se haya efectuado la debida planificacin, que lo requerido sea compatible con las caractersticas de las aplicaciones y/o equipos existentes, etc.; con lo que se asegure que se aprovechen eficientemente los recursos invertidos, el cumplimiento de la normativa que rige la materia y sobre todo el adecuado cumplimiento de los objetivos de DINADECO.(Resultado 2.8)

4.14 Girar las instrucciones pertinentes para que el Departamento de Bienes y Suministros, complete y mantenga actualizado el inventario institucional, para que ejecute un control efectivo sobre los mismos; con ello logren la asignacin y ubicacin de los bienes de manera efectiva. (Resultado 2.9)

4.15 Girar las instrucciones al Departamento de Bienes y Suministros, para que documenten todos los movimientos de equipo de cmputo que se den en la Institucin, tanto de oficinas Centrales como Regionales, usando formularios preestablecidos y numerados, en los que se describan las caractersticas del activo, el movimiento ocurrido y consten las firmas, y nombres de los funcionarios que reciben o entregan. (Resultado 2.9).

ANEXO NO.1

DIRECCIN NACIONAL DE DESARROLLO DE LA COMUNIDAD

DETALLE DE LA CANTIDAD DE PROGRAMAS EN USO Y LA EXISTENCIA

DE LAS RESPECTIVAS LICENCIAS AL 30 DE MARZO DEL 2005

ProgramaInstalado en Nmero de computadorasLicencias Sin licencia

WINDOWS 95505

WINDOWS 98826

WINDOWS ME725

WINDOWS XP31229

Windows 2000505

Total562630

OFFICE 20001055

OFFICE XP341915

Office 9712111

Total 562531

Norton 2000440

Norton 2001110

Norton 2003440

Total9947

Licencias de Windows para redes

Windows NT 4.0110

Windows NT Server110

Total220

Otros software encontrados

Photoshop101

Ilustrador101

Print Artist 4.5101

Core Draw 8101

Total404

Software administrador de base de datos

Oracle 101

Total101

Fuente: Control de Licencias Oficinas Centrales de DINADECO y cdula de verificacin efectuada por la Auditoria interna.PAGE 15