AG-I-09-2015
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL INFORME DE CONTROL INTERNO Nº AG-I-09-2015 “ESTUDIO ESPECIAL SOBRE LOS RECURSOS INFORMÁTICOS DEL MOPT PUESTOS A DISPOSICIÓN DE LA DIRECCIÓN DE INGENIERÍA DE TRÁNSITO” MARZO - 2015 2523-2639 // 2222-0464 Fax:2222-8310 E-mail [email protected] 10176-1000 San José 1.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 ÍNDICE RESUMEN EJECUTIVO…………………………………………………………………………..1 1.- INTRODUCCIÓN……………………………………………………………………...............2 1.2.- NORMATIVA SOBRE TRÁMITE DE INFORMES…………………..………..................2 1.3.- OBJETIVOS…………………………………………………………………………………..4 1.3.1.- OBJETIVO GENERAL……………………………………………..………………….....4 1.3.2.- OBJETIVOS ESPECÍFICOS…………………………………………………………….4 1.4.- ALCANCE DEL ESTUDIO…………………………………………………………….…….4 1.5.- PROCEDIMIENTOS EJECUTADOS…………………………………………………..…..4 1.6.- NORMATIVA APLICABLE……………………………………………………………..……5 1.7.- COMUNICACIÓN DE RESULTADOS………………………………………………..…....5 1.8.- RIESGO………………………………………………………………………………….…....5 2.- RESULTADOS………………………………………………………………………………….7 2.1.- GENERALIDADES DE LA DIRECCIÓN DE INGENIERÍA DE TRÁNSITO…..………………………………………………………………………….…..…..7 2.2.- VERIFICAR LOS RECURSOS INFORMÁTICOS (HARDWARE Y SOFTWARE) QUE TIENE LA DIRECCIÓN GENERAL DE INGENIERÍA DE TRÁNSITO..................................................................................................8 2.3.- VERIFICAR EL USO Y FUNCIONAMIENTO DE LOS RECURSOS INFORMÁTICOS DE LA DIRECCION GENERAL DE INGENIERÍA DE TRÁNSITO, EN CUMPLIMIENTO CON LA NORMATIVA DE TI…………..………………………………….……………………………..……12 2.4.- VERIFICAR LA ATENCIÓN RECIBIDA DE LA DIRECCIÓN DE INFORMÁTICA DE LOS REPORTES DE INCIDENCIAS POR PROBLEMAS RELACIONADOS CON LOS RECURSOS INFORMÁTICOS DE LA DIRECCION GENERAL DE INGENIERÍA DE TRANSITO…………………...…………………………….….15 3.- CONCLUSIONES……………………………………………………………………………..17 4.- RECOMENDACIONES....…………………………………………………………………....19 ii.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 RESUMEN EJECUTIVO Qué examinamos? Se verifica el uso y la funcionalidad de los recursos informáticos del MOPT proporcionados a la Dirección de Ingeniería de Tránsito. Por qué es importante? Como parte del proceso fiscalizador de la Auditoría, es importante determinar el funcionamiento que se hace de los activos informáticos dispuestos para apoyar las labores operativas de la Dirección General de Ingeniería de Tránsito. Qué encontramos? 1. Desconocimiento de la distribución de la red. 2. Personal que desconoce las acciones a seguir en caso de presentarse incidentes de atención inmediata como la interrupción de comunicaciones. 3. Condiciones adecuadas del cuarto donde se custodian los Servidores. 4. Almacenamiento y digitalización de documentos considerados importantes. 5. Desecho de equipo informático. 6. Desatención parcial en el Soporte brindado por la Dirección de Informática del MOPT, a pesar de pertenecer a la Institución. Qué sigue? 1. Recomendar se realice un inventario de la distribución de la red de comunicaciones de la Dirección General de Ingeniería de Tránsito. 2. Recomendar se capacite y delegue personal que en coordinación con Informática pueda atender situaciones que requieran colaboración inmediata. 3. Recomendar se analicen las condiciones ambientales con que cuenta el cuarto de servidores 4. Recomendar se valore la posibilidad de proporcionar a la DGIT mecanismos para la digitalización, almacenamiento, recuperación de información considerada como importante. 5. Recomendar el retiro efectivo de equipo de informática que puede ser utilizado por otras dependencias. 6. Seguimiento al cumplimiento de lo recomendado. 1.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL INFORME DE CONTROL INTERNO N° AG-I-09-2015 “ESTUDIO ESPECIAL SOBRE LOS RECURSOS INFORMÁTICOS DEL MOPT PUESTOS A DISPOSICIÓN DE LA DIRECCIÓN DE INGENIERÍA DE TRÁNSITO” 1.- INTRODUCCIÓN 1.1.- ORIGEN DEL ESTUDIO El estudio se realizó de conformidad con las competencias que ostenta la Auditoría General, de acuerdo con lo estipulado en el Artículo 22, incisos a) y b) de la Ley General de Control Interno. En cumplimiento del Plan de Trabajo 2015, se efectuó una revisión y análisis de los Recursos Informáticos del MOPT puestos a disposición de la Dirección General de Ingeniería de Tránsito. 1.2.- NORMATIVA SOBRE TRÁMITE DE INFORMES De acuerdo con lo dispuesto por la Contraloría General de la República, de la Ley General de Control Interno N° 8292, se incorporan en este informe los artículos siguientes, relacionados con el trámite de informes de auditoría. “Artículo 36.-Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados. 2.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda. Artículo 37.- Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, éste deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. Artículo 38.- Planteamiento de conflictos ante la Contraloría General de la República. Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoría interna, ésta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a la Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de inconformidad indicadas. La Contraloría General de la República dirimirá el conflicto, en última instancia, a solicitud del jerarca, de la Auditoría Interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor dará lugar a la aplicación de las sanciones previstas en el Capítulo V de la Ley Orgánica de la Contraloría General de la República, N°7428, de 7 de setiembre de 1994. Artículo 39.- Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios. El jerarca, los titulares subordinados y los demás funcionarios públicos, incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable. (…)” 3.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 1.3.- OBJETIVOS 1.3.1.- OBJETIVO GENERAL Analizar la funcionalidad técnica y operativa de los Recursos Informáticos del MOPT puestos a disposición de la Dirección General de Ingeniería de Tránsito. 1.3.2.- OBJETIVOS ESPECÍFICOS 1.3.2.1.- Verificar los Recursos Informáticos (Hardware y Software) que tiene la Dirección de Ingeniería de Tránsito. 1.3.2.2.- Verificar el uso y funcionamiento de los Recursos Informáticos de la Dirección General de Ingeniería de Tránsito, en cumplimiento con la normativa relacionada con TI. 1.3.2.3.- Verificar la atención recibida de la Dirección de Informática en los reportes de incidencias por problemas relacionados con los Recursos Informáticos de la Dirección de Ingeniería de Tránsito. 1.4.- ALCANCE DEL ESTUDIO El estudio comprende el análisis y revisión de los Recursos Informáticos del MOPT puestos a disposición de la Dirección General de Ingeniería de Tránsito de 2013 a la fecha. 1.5.- PROCEDIMIENTOS EJECUTADOS El procedimiento utilizado para alcanzar los objetivos propuestos en este estudio comprende la metodología establecida en el Manual de Normas General de Auditoría para el Sector Público (Aprobado mediante Resolución del Despacho de la Contraloría General de la República, N° RCO-94-2006 del 17 de noviembre, 2006), que contempla el uso de las siguientes técnicas: Análisis y revisión del marco normativo. Revisiones selectivas. Entrevistas y consultas. Recolección de información. 4.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 1.6.- NORMATIVA APLICABLE El presente estudio se realizó de conformidad con lo dispuesto en la Norma No. 1.3.3 de las Normas para el Ejercicio de la Auditoría Interna en el Sector Público, mediante la aplicación de: Ley General de Control de Interno Nº 8292. Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), publicado en la Gaceta No. 26 del 26 de enero de 2009. Normas para el Ejercicio de la Auditoría Interna en el Sector Público (R-DC-064-2014). Normas Institucionales de Seguridad de la Información. Sistema de Información Organizacional (SIOR). Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE), normativa que rige a partir del 31 de julio de 2007. 1.7.- COMUNICACIÓN DE RESULTADOS En atención a lo señalado en la Norma N° 205 (Comunicación de Resultados) del Manual de Normas Generales de Auditoría para el Sector Público, el 19 de marzo del año en curso, se remitió borrador del informe en formato digital, a la Dirección de Ingeniería de Tránsito, convocando para la discusión de resultados, el día 23 de marzo de 2015 a las 10:00 a.m. horas en la Auditoría General. 1.8.- RIESGO Nivel de Riesgo: De acuerdo con lo establecido en el Manual de Normas Generales de Auditoría para el Sector Público (NGASP), específicamente en el inciso c) del punto 05 de la Norma 203, para efectos de sus estudios, las Auditorías Internas deben considerar los resultados de la valoración del riesgo, para este caso se tomó en cuenta tanto Las normas técnicas para la Gestión y el Control de las Tecnologías de Información como las sanas prácticas propuestas por COBIT que hacían referencia a lo dictaminado por la norma de TI. Por lo cual esta Auditoría efectuará el análisis respectivo con el propósito de emitir recomendaciones encaminadas a subsanar cualquier deficiencia detectada en el sistema de control interno o en el cumplimiento de las normas técnicas de TI, para así disminuir ese riesgo. 5.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 Debido a que no se había evaluado con anterioridad el funcionamiento de los Recursos Informáticos en la Dirección de Ingeniería de Tránsito, el riesgo se determina como alto. Los riesgos encontrados, como parte de la evaluación se citan a continuación: Dirección del MOPT Normas de TI Componente COBIT Administración de Recursos de TI Gestión Calidad de Manejo incidentes Dirección Ingeniería de Tránsito la de Gestión de Seguridad de la Información Administración de datos Obligaciones gestión de TI de Administración de Recursos de TI Administración de Calidad Garantizar la Seguridad de los Sistemas Administración de los datos Garantizar el cumplimiento de TI Riesgo de TI Ponderación Buen funcionamiento de la plataforma Interrupciones operativas Respaldos de la información Desecho activos informáticos de Alto Digitalización de la información Seguridad de la información Fuente: Valoración del riesgo de la Auditoría. De acuerdo con la metodología establecida, el riesgo a nivel de procesos se mide de acuerdo con su nivel de cumplimiento, el cual se establece en función de los estudios de control interno, advertencias, denuncias, cumplimiento de recomendaciones y demás estudios de carácter especial. NIVEL DE CUMPLIMIENTO Ponderación Rango inferior Rango superior Alto Medio Bajo 0 4 7 3 6 10 6.- Ministerio de Obras Públicas y Transportes Auditoría General 2.- Informe de Control Interno No. AG-I-09-2015 RESULTADOS Producto del análisis documental, entrevistas, revisión física relacionada con el tema de los Recursos Informáticos del MOPT puestos a disposición de la Dirección de Ingeniería de Tránsito, se determinó lo siguiente. 2.1.- Generalidades de la Dirección de Ingeniería de Tránsito La Dirección de Ingeniería de Tránsito surgió del Departamento de Ingeniería de Tránsito, debido a la necesidad de tecnificar, mejorar, vigilar, controlar y regular el tránsito y el transporte en el territorio nacional (Decreto Ejecutivo No. 8625-T, publicando en La Gaceta No. 115 del 16 de junio de 1978). Casi un año después, el 25 de mayo de 1979 se creó “La Ley de Administración Vial” (Ley 6324), según La Gaceta No. 97, que regulará lo concerniente al tránsito de personas, vehículos y bienes en la red de caminos públicos, así como aspectos de Seguridad Vial y de la Contaminación Ambiental causada por los vehículos automotores. El objetivo que deberá alcanzar será procurar que las vías públicas del país cuenten con los requerimientos técnicos adecuados en materia de Seguridad Vial. Los servicios que presta son a nivel nacional e involucra a la Dirección General, direcciones regionales o sedes, corredores y destacados. La Dirección de Ingeniería de Tránsito cuenta en la actualidad con la siguiente estructura: Organigrama de la Dirección General de Ingeniería de Tránsito Planeamiento Administrativo DIT-13 Fuente: Sistema de Información Organizacional (SIOR) 7.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 2.2.- Verificar los Recursos Informáticos (Hardware y Software) que tiene la Dirección General de Ingeniería de Tránsito La Dirección General de Ingeniería de Tránsito cuenta con recursos informáticos que se le han proporcionado para la realización de sus tareas operativas. Esas facilidades tecnológicas están compuestos tanto de: Hardware definido por la Real Academia Española (RAE) como el conjunto de componentes que comportan la parte material o física de una computadora; como de, Software definido en contraposición como los componentes lógicos o intangibles de una computadora. La DGIT utiliza el SINAEP, SAEM, CITEC, SAI, SIGEVA, Base de Datos Departamento de Estudios y Diseños. Estos recursos le han sido provistos tanto por el Ministerio de Obras Públicas y Transportes como por el Consejo de Seguridad Vial. Entre ellos encontramos, estaciones de trabajo, Servidores, equipos de comunicaciones, entre otros. Como parte de la información provista para la elaboración del Informe, se detectaron las siguientes situaciones: - Hay equipo informático para desecho, pero no ha sido removido desde que se reportó, según consta en Oficios dirigidos a: COSEVI el 04 de diciembre de 2013 (DGIT-SD-346/12-2013); y al, MOPT el 04 de diciembre de 2013 (DGIT-SD-345/12-2013). Equipo de Informática del MOPT para desecho Fuente: Tomado en las visitas realizadas a la DGIT. 8.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 - La Dirección General de Ingeniería de Tránsito, envía información actualizada del mediante el oficio DGIT-SD-043/03-2015, ya que a la hora de realizar la verificación física del mismo por medio del oficio DGIT-SD233/08-2014, éste se encontraba desactualizado. - Hasta finales de 2013 la Dirección de Ingeniería de Tránsito contaba con el apoyo que les brindaba un técnico en informática, pero fue trasladado a las oficinas de la Asesoría de Tecnologías de Información (ATI del COSEVI). Esta situación fue comunicada a la Dirección de Informática, el 13 de mayo de 2014 en el Oficio DGIT-0344-2014. Nueva designación del técnico informático Fuente: Corresponde a un extracto del Oficio original N° DGIT-0344-2014 Cabe mencionar que este funcionario que conoce bien la forma en que está ordenada la red local, se pensiona a final de año, por lo que se debe aprovechar su pericia antes que deje de laborar, para el traslado del conocimiento. Además de los escenarios expuestos también, - Se desconoce la conformación y distribución de la red de la DGIT, a pesar de ser un servicio provisto por la Institución, con el apoyo del Consejo de Seguridad Vial, tal como se asegura en el Oficio de Informática 2015-078. - La DGIT no cuenta con un Sistema de Archivo Digital, pese a la importancia Institucional de la información que maneja. Esto contribuiría en gran medida a brindar Seguridad a la Información que maneja la Institución y permitiría tener respaldos en caso que los documentos físicos o expedientes experimentaran algún tipo de deterioro físico o pérdida. 9.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 Al respecto, la Dirección de Ingeniería de Tránsito, expuso las necesidades que se tenían en el Oficio DGIT-00144-2013 del 20 de febrero de 2013, Digitalización de documentación impresa Fuente: Corresponde a un extracto del Oficio original N° DGIT-00144-2013 - Se utiliza un repositorio para la información, almacenada en uno de los Servidores (pero se desconoce en cuál) de los trabajos del Departamento Administrativo, el Departamento de Estudios y Diseños, así como otros Departamentos, donde se crearon carpetas y no todos tienen acceso, pero no reciben ningún tipo de administración o mantenimiento. El respaldo de información sólo se realiza en los Servidores. - El Departamento de Estudios y Diseños utiliza información que ha sido consignada en Access, pero a la que tiene acceso tanto el Jefe del Departamento como la Secretaria. La normativa interna se refiere al tema de los respaldos, en el Manual de Políticas de Seguridad de la Información, en su POL-SH-00004 USO DE UNIDADES DE RESPALDO DE LA INFORMACIÓN, indica: “… 10.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 Para la información que generen los usuarios en sus actividades oficiales, sean estas internas o externas a la institución, se debe utilizar los medios que normalmente se encuentran instalados en los equipos, entre los que se puede mencionar los quemadores de discos compactos y DVD, dispositivos USB, Firewire, entre otros. Por lo anterior, toda unidad que cuente con dispositivos para la realización de respaldos debe velar porque se haga un uso adecuado de esos recursos, utilizándolos únicamente para cumplir con los intereses de la Institución, y tomando en cuenta las funcionalidades operativas del equipo. Adicional debe guardarse las copias de la información que se reproduce en ellos garantizando que las mismas sean almacenadas de manera segura.” Las Normas Técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), indican en el apartado 1.3 Gestión de riesgos, para asegurar el buen funcionamiento de los servicios de TI: “La organización debe responder adecuadamente a las amenazas que puedan afectar la gestión de las TI.” Conforme la propuesta de COBIT 4.1, el aumento del valor de las TI así como su adecuado aprovechamiento se logra mediante la reducción del riesgo, con la revisión de aspectos como: - DS11 Administración de Datos, “Mantener la integridad, exactitud, disponibilidad y protección de datos” - DS12 Administración del Ambiente Físico, “Proporcionar y mantener un ambiente físico adecuado para proteger los activos de TI contra acceso, daño o robo” - DS13 Administración de Operaciones, “Cumplir con los niveles operativos de servicio para procesamiento de datos programado, protección de datos de salida sensitivos y monitoreo y mantenimiento de la infraestructura” 11.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 2.3.- Verificar el uso y funcionamiento de los Recursos Informáticos de la Dirección General de Ingeniería de Tránsito, en cumplimiento con la normativa de TI. En cuanto al funcionamiento de los Recursos Informáticos, nos indica el personal de la DGIT que: - La atención de Soporte técnico, no es tan oportuna a problemas que requieren atención inmediata. Al respecto se expuso la problemática que experimentan debido a la constante pérdida de comunicación con los servidores, que imposibilita el acceso de los usuarios a la información y la forma como se atiende esta situación es reseteando físicamente los equipos por medio del botón de apagado. - El apoyo técnico que se ha brindado tanto del MOPT como de COSEVI, no permite que se establezca una continuidad en el servicio. - El personal existente en la DGIT no tiene mayor conocimiento informático para atender adecuadamente incidentes técnicos cuando se presentan inconvenientes con los Servidores o el mismo equipo de cómputo, por lo que las soluciones que están utilizando pueden generar un problema más serio que incida en la pérdida irrecuperable de un activo o de la misma información, que se tiene desde hace años. - En una visita realizada a las instalaciones donde se guardan los servidores, en ese momento el aire acondicionado estaba dañado, lo que podía incidir en la pérdida física de los equipos por sobrecalentamiento. En una visita posterior se comprobó que ya había sido reparado el mismo, pero el lugar donde se encuentran los servidores no tiene las condiciones adecuadas para la adecuada custodiar de estos equipos. - A finales del mes de febrero del año en curso, en una nueva visita realizada, el mismo aire acondicionado, presentaba un problema de fuga de agua, debido a que es un aire de confort y no de precisión, no autorregula su temperatura, por esta razón en ocasiones forma escarcha que se derrite, generando humedad. 12.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 Aire acondicionado Fuente: Corresponde a visita realizada en el mes de febrero - En una visita al Taller de Señales, se llegó a evidenciar que se manejan registros de Inventarios en formato Excel, lo que supone una debilidad por la inexistencia de controles adecuados para determinar la manipulación de la información que se lleva. Herramientas para el control de Entradas/Salidas Inventario anual Movimiento de materiales Fuente: Corresponde a Plantillas proporcionadas por el Taller de Señales, utilizadas para llevar el control de entradas y salidas 13.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 Estas situaciones ponen el riesgo el apartado 1.4 Gestión de la Seguridad de la Información, de las Normas Técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), donde refiere: “La organización debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otras factores disfuncionales.” - Otro de los Departamentos analizados debido a la herramienta informática que manejan, fue Semáforos que cuenta con el Sistema encargado de administrar los controles de semáforos de cada intersección denominado SIGA, que está en red con el Sistema Centralizado (también utilizado para llevar la gestión de estos dispositivos) y se comunica con el Centro de Control de Tránsito. El SIGA fue desarrollado en lenguaje Visual y adquirido en el 2007 con la empresa SEMEX. Cada Control de Semáforo funciona como un computador, en la actualidad el sistema administra 321 intersecciones sólo en San José. La interconexión Alajuela, Heredia y Cartago se realiza por medio del sistema IQ Central, que cuenta con tecnología más avanzada, por esta razón y debido a que el contrato de mantenimiento expira en mayo de este año, se tomó la decisión de migrar la información del SIGA al IQ Central. La adquisición del SIGA se hizo por medio de una contratación con el COSEVI. 14.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 2.4.- Verificar la atención recibida en la Dirección de Informática de los reportes de incidencias por problemas relacionados con los Recursos Informáticos de la Dirección General de Ingeniería de Tránsito Como parte de la información facilitada para la realización de éste estudio, se llegó a determinar la existencia del “CONVENIO MARCO DE COOPERACIÓN INTERINSTITUCIONAL PARA LA TRANSFERENCIA DEL CONOCIMIENTO, INFORMACIÓN Y SISTEMAS EN MATERIA DE TECNOLOGÍA DE LA INFORMACIÓN ENTRE EL MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES, EL CONSEJO DE SEGURIDAD VIAL, EL CONSEJO NACIONAL DE VIALIDAD, EL CONSEJO DE TRANSPORTE PÚBLICO, EL CONSEJO NACIONAL DE CONCESIONES Y EL CONSEJO DE AVIACIÓN CIVIL”, publicado en La Gaceta N°188 del 11 de mayo de 2010, donde el artículo tercero expone el objetivo de cooperación interinstitucional para, “…promover la transferencia de conocimiento, intercambio de información, uso de sistemas informáticos comunes y elementos de hardware, software y telecomuniciones”, pero a pesar que el tercer párrafo del artículo cuarto de los alcances de Convenio, habla de “contar con una colaboración técnica recíproca, de manera que el personal técnico pueda realizar actividades de soporte, donde existan equipos de dos o más Instituciones participantes en este convenio”, (lo subrayado no corresponde al original). Marco de Cooperación Fuente: Convenio de colaborativo Consultado el personal de la DGIT sobre las atenciones recibidas, manifiesta que cada vez que se reporta un incidente relacionado con el equipo de cómputo de la dependencia a la Dirección de Informática, a pesar de la existencia del Convenio, no se atiende indicando que no es equipo de la Institución. 15.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 En varias ocasiones la DGIT informa que reporta problemas de comunicación y acceso a servicios internos provistos por la infraestructura existente (Oficio 2015-078, 29 de enero de 2015) y solicita a la Dirección de Informática su colaboración para lograr un manejo adecuado de la red interna (DGIT-SV-2479-2014 del 7 de diciembre de 2014). Pero tal como queda evidenciado, en una comunicación manejada vía correo electrónico, personeros de la Dirección de Informática manifiestan desconocer la red interna que maneja la DGIT, a pesar de ser el MOPT la Institución la encargada de proveerles los servicios de internet/comunicaciones (Oficio 2015-078). Para determinar el grado de conocimiento que tiene la Dirección de Informática al respecto, se le realiza un cuestionamiento al Director mediante el oficio AG-0870-2015, a lo que responde que ellos (la DGIT) cuentan con una Unidad Informática desconcentrada y descentralizada, por tanto no adscrita a mi representada y se desconocen los proyectos que desarrolla. (Oficio de Informática 2015-203). La respuesta motivó la posterior solicitud de aclaración a la Dirección de Planeamiento Administrativo, quien respondió vía correo electrónico que la DGIT no cuenta con una ninguna Unidad de Informática y que es la Dirección de Informática, la responsable de brindarle soporte técnico, por pertenecer al Ministerio de Obras Públicas y Transportes. Las Normas Técnicas para la gestión y el control de las Tecnologías de Información(N-2-2007-CO-DFOE-2), establece en el apartado 1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI, que: “La organización debe identificar y velar por el cumplimiento del marco jurídico que tiene incidencia sobre la gestión de TI con el propósito de evitar posibles conflictos legales que pudieran ocasionar eventuales perjuicios económicos y de otra naturaleza.” 16.- Ministerio de Obras Públicas y Transportes Auditoría General 3.- Informe de Control Interno No. AG-I-09-2015 CONCLUSIONES Luego de analizar los Recursos Informáticos del MOPT puestos a disposición de la Dirección General de Ingeniería de Tránsito se concluye lo siguiente: 3.1.- La Dirección General de Ingeniería de Tránsito, ha manifestado en varias oportunidades los constantes problemas que experimentan por la inestabilidad con la red de comunicaciones, pero la misma Dirección de Informática indica desconocer de qué forma está distribuida la red local de comunicaciones, lo que representa riesgos de: operación al afectar las labores que realizan los funcionarios, de capital de conocimiento debido al desconocimiento que existe de la distribución de la red y de enlaces de comunicaciones debido a la interrupción en las redes manifestada por los usuarios. (ref. 2.2) 3.2.- La Dirección General de Ingeniería de Tránsito, indica la necesidad de contar con un sistema para la digitalización de documentos, lo cual dada la importancia de la labor que realiza, lo que brinda una medida de seguridad en caso de algún siniestro que afecte la documentación física y planos que maneja, previniendo su deterioro. La situación expuesta supone un riesgo de asignación de recursos que se da en éste caso por la falta de una herramienta que permita realizar la funcionalidad requerida, y el acceso adecuado a la información. (ref. 2.2) 3.3.- La Dirección General de Ingeniería de Tránsito, indica realizar ciertos respaldos en los Servidores directamente, pero es necesario retomar y aplicar las notas técnicas de la Dirección de Informática, que hablan acerca del respaldo de la información de las computadoras (como la STGB-NT-001-2014), donde se señalan los problemas que pueden presentar las computadoras y eventualmente verse comprometida la información que custodian, lo que puede llegar a representa un riesgo de disponibilidad en caso de verse corrupta la información producto de un fallo eléctrico, virus, etc. (ref. 2.2) 3.4.- La Dirección General de Ingeniería de Tránsito, no cuenta con personal capacitado en informática para atender aquellas eventualidades que reportan o demora en su atención, lo que representa un riesgo en el recurso humano por la falta de conocimiento y habilidades de los funcionarios, para desempeñar tareas relacionadas con soporte técnico que demandan atención expedita. (ref. 2.3) 17.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 3.5.- La Dirección General de Ingeniería de Tránsito, tiene el cuarto de Servidores pero el aire acondicionado presenta algunas dificultades (ya expuesta: genera escarcha, gotea, no funciona), lo que puede ocasionar un riesgo de integridad física de los equipos, debido al daño que pueden materializarse, por la inestabilidad eléctrica o problemas con el aire acondicionado. (ref. 2.3) 3.6.- El Taller de Señales, maneja formatos en Excel que por ser una facilidad que ofrece el Office, no supone la existencia de bitácoras o pistas de Auditoría que garanticen la trazabilidad de la información que se registra, aunado a esto debido a un error humano se puede llegar a borrar la información consignada, o corromper el archivo que se maneja hace años. Para el registro de las señales tampoco, se tiene un campo que permita registrar aquellas señales que han reingresado al Taller y son reparadas y redistribuidos, lo cual desactualiza el Inventario que se lleva, esto genera un riesgo de información porque en caso de no interpretarse adecuadamente el orden que lleva el responsable de registrar esa información, se puede hacer una interpretación equivocada de la realidad. Debido a que se está realizando un estudio que tiene por finalidad la evaluación del Sistema del Taller y la Bodega, por esta razón, en éste apartado se menciona la situación encontrada pero no se emitirá ninguna recomendación al respecto. El estudio se comunicó el Viernes 13 de marzo. (ref. 2.3) 3.7.- La Dirección de Informática indica que la Dirección General de Ingeniería de Tránsito tiene una Unidad de Informática desconcentrada, pero luego de consultar a Planeamiento Administrativo, quedó evidenciado que tal aseveración es incorrecta y corresponde a la Dirección de Informática del MOPT atender las solicitudes de la DGIT. 3.8.- Hay equipo informático del MOPT (computadoras) reportado para desecho, que a la fecha no ha sido retirado, esto provoca acumulación innecesaria de activos que en algunos casos pueden seguir asignados a un funcionario, lo que puede generar riesgo de pérdidas de activos, desactualización del inventario y aumento en la obsolescencia de equipo que puede ser destinado para otras funciones o dependencias. (ref. 2.2) 18.- Ministerio de Obras Públicas y Transportes Auditoría General 4.- Informe de Control Interno No. AG-I-09-2015 RECOMENDACIONES De conformidad con los resultados y las conclusiones se emiten las siguientes recomendaciones: A LA DIRECCIÓN GENERAL DE INGENIERÍA DE TRÁNSTIO 4.1.- Realizar las gestiones necesarias en coordinación con la Dirección de Informática del MOPT y la Asesoría de TI del MOPT para garantizar el traslado de conocimiento efectivo del ex-funcionario informático que colaboraba con el Soporte técnico a la DGIT, y generar un levantamiento actualizado de la distribución de la red, así como los funcionarios que la componen y los permisos que se tienen sobre las carpetas que existen en el Servidor donde se realizan los respaldos, lo anterior en el plazo de 2 meses. (ref. 3.1) 4.2.- Realizar las gestiones necesarias en coordinación con la Dirección de Informática para contar con un sistema para la digitalización de la información que maneja la Dirección de Ingeniería de Tránsito y que es de interés Institucional, lo anterior en el plazo de 1 mes. (ref. 3.2) 4.3.- Realizar las gestiones necesarias para que el personal aplique conforme sus necesidades los respaldos de información valorada como importante o significativa de los departamentos de la DGIT, y verificar eventualmente que se guardan de manera correcta y pueden ser recuperados eficientemente en caso de algún imprevisto, para así contar con información relevante para la operativa de la Dirección, lo anterior en el plazo de 1 mes. (ref. 3.3) 4.4.- Realizar las gestiones necesarias para contar con el apoyo de un funcionario que sirva de contraparte con Informática para canalizar aquellos incidentes de Soporte reportados que demanden una atención inmediata, se debe capacitar con los conocimientos necesarios para realizar dicha tarea y coordinar con Informática las atenciones que realiza, lo anterior en el plazo de 2 meses. (ref. 3.4) 4.5.- Realizar las gestiones necesarias en coordinación con la Dirección de Informática del MOPT, para valorar la suficiencia física que brinda el cuarto de Servidores de la DGIT para garantizar el buen funcionamiento del equipo y prevenir daños ocasionados por la humedad, fluido eléctrico, etc., lo anterior en el plazo de 1 mes. (ref. 3.5) 19.- Ministerio de Obras Públicas y Transportes Auditoría General Informe de Control Interno No. AG-I-09-2015 4.6.- Realizar las gestiones necesarias para solicitar que el equipo informático sea debidamente valorado por el ente técnico competente y desechado por el departamento correspondiente, lo anterior en el plazo de 1 mes. (ref. 3.8) 4.7.- Comunicar en un plazo de diez días, posteriores a la recepción del presente informe, de acuerdo con lo que establece el artículo 36 de la Ley General de Control Interno, las gestiones realizadas en atención a lo recomendado. A LA DIRECCIÓN DE INFORMÁTICA 4.8.-Comunicar a la Dirección de Ingeniería de Tránsito, la forma en que atenderá cada una de las solicitudes de servicio realizadas por la DGIT. Lo anterior en el plazo de quince días.(ref. 3.7) 4.9.- Comunicar en un plazo de diez días, posteriores a la recepción del presente informe, de acuerdo con lo que establece el artículo 36 de la Ley General de Control Interno, las gestiones realizadas en atención a lo recomendado. 20.-
© Copyright 2024