DFOE-EC-IF-17-2015 - Contraloría General de la República

División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
INFORME NRO. DFOE-EC-IF-17-2015
11 DE MAYO, 2015
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS
INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL
SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
EN EL MINISTERIO DE ECONOMÍA INDUSTRIA
Y COMERCIO (MEIC)
2015
ROBERTO ARMANDO
JAIKEL SABORIO (FIRMA)
Firmado digitalmente por ROBERTO ARMANDO JAIKEL SABORIO
(FIRMA)
Nombre de reconocimiento (DN): serialNumber=CPF-02-0318-0418,
sn=JAIKEL SABORIO, givenName=ROBERTO ARMANDO, c=CR,
o=PERSONA FISICA, ou=CIUDADANO, cn=ROBERTO ARMANDO JAIKEL
SABORIO (FIRMA)
Fecha: 2015.05.11 14:31:44 -06'00'
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
CONTENIDO
Página nro.
RESUMEN EJECUTIVO
1. INTRODUCCIÓN ................................................................................................................. 1
ORIGEN DE LA AUDITORÍA................................................................................................................... 1
OBJETIVO DE LA AUDITORÍA ................................................................................................................ 1
ALCANCE DE LA AUDITORÍA ................................................................................................................. 1
ASPECTOS POSITIVOS QUE FAVORECIERON LA EJECUCIÓN DE LA AUDITORÍA................................................... 2
GENERALIDADES ACERCA DE LA AUDITORÍA ............................................................................................ 2
METODOLOGÍA APLICADA ................................................................................................................... 4
COMUNICACIÓN PERLIMINAR DE LOS RESULTADOS DE LA AUDITORÍA……………………………………………………….5
2. RESULTADOS...................................................................................................................... 5
TEMA 1: PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE INFORMACIÓN ............................................ 5
HALLAZGO 1.1: ALINEAMIENTO Y PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE INFORMACIÓN EN EL
MEIC………………………………………………………………………………………………………………………………………5
TEMA 2: ADMINISTRACIÓN Y SEGURIDAD DE LA INFORMACIÓN .................................................................. 7
HALLAZGO 2.1: CARENCIA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN EL MEIC..... 7
HALLAZGO 2.2: DEBILIDADES EN LA SEGURIDAD DEL SISTEMA DE INFORMACIÓN EMPRESARIAL COSTARRICENSE
(SIEC) ......................................................................................................................................... 10
3. CONCLUSIONES ................................................................................................................ 13
4. DISPOSICIONES ................................................................................................................ 14
AL LICENCIADO WELMER RAMOS GONZÁLEZ, MINISTRO DE ECONOMÍA INDUSTRIA Y COMERCIO, O A QUIEN EN
SU LUGAR OCUPE EL CARGO .............................................................................................................. 14
ILUSTRACIONES
DIAGRAMA DE ESTRUCTURA NRO.1: ORGANIGRAMA INSTITUCIONAL……………………………………………………..…...4
ANEXO
ANEXO NRO. 1: OBSERVACIONES AL BORRADOR DEL INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA
GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE ECONOMÍA INDUSTRIA Y COMERCIO
(MEIC)………………………………………………………………………………………………………………………………………16
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
INFORME NRO. DFOE-EC-IF-17-2015
RESUMEN EJECUTIVO
¿Qué examinamos?
La Auditoría de Carácter Especial realizada por el Órgano Contralor en el Ministerio de Economía
Industria y Comercio (MEIC), tuvo como objetivo determinar si los sistemas de información contribuyen al
logro de los objetivos estratégicos del MEIC. La auditoría abarcó, además, el análisis de las acciones
realizadas por la Administración en lo que respecta a la gestión del Sistema de Información Empresarial
Costarricense (SIEC). El periodo de estudio comprendió del 1 de enero de 2012 al 31 de diciembre de 2014,
y se amplió en los casos que se consideró necesario.
¿Por qué es importante?
El tema es de relevancia porque mediante la gestión de los sistemas de información, instituciones como el
MEIC, pueden ofrecer un mejor servicio al ciudadano y por ende cumplir de una forma más efectiva con
las disposiciones de su Ley de Creación y el principio constitucional de rendición de cuentas. Asimismo, la
protección de la información de las entidades públicas debe orientarse a salvaguardar la confidencialidad,
disponibilidad e integridad de los datos que administran.
Además, como parte de su marco legal, el MEIC tiene las funciones relacionadas con el desarrollo de las
PYMES, por lo que debe fomentar, promover y actualizar el Sistema de Información Empresarial
Costarricense, el cual funcionará como un sistema centralizado en el Ministerio, que generará toda la
información relativa al fomento y apoyo de las empresas.
¿Qué encontramos?
La auditoría efectuada permitió determinar que a pesar de algunos esfuerzos realizados en el MEIC en los
últimos dos años, en cuanto a la inversión en hardware y software, programas de mantenimiento,
desarrollo de servicios y sistemas de información; el Ministerio no ha logrado consolidar la función de las
tecnologías de información desde un punto de vista estratégico, que permita lograr un desarrollo
institucional con el apoyo de las TI. Al respecto, se determinó que el Ministerio carece de una
planificación estratégica debidamente estructurada, formalizada y documentada, siendo que, esta
debilidad limita vincular el marco estratégico institucional con las TI; documentar los procesos
relacionados, establecer las líneas de autoridad y responsabilidad, disponer de normativa, y en general
de una plataforma tecnológica robusta.
Se evidenciaron debilidades relacionadas con la infraestructura tecnológica, que ponen en riesgo la
administración y seguridad de la información en donde se mantienen los principales equipos tecnológicos,
ausencia de un cableado estructurado, rotulación y equipos en desuso guardados. Asimismo, se evidenció
que el Sistema de Información Empresarial Costarricense, presenta debilidades relacionadas con la
ausencia de un protocolo de comunicación seguro para el acceso al Sistema; problemas relacionadas con
la capacidad de memoria de los servidores; y la ausencia de controles de validación en el proceso de
ingreso de datos, todo lo que pone en riesgo la administración y seguridad de la información.
¿Qué sigue?
Con el propósito de concretar las oportunidades de mejora determinadas, se giraron disposiciones al
Ministro de Economía Industria y Comercio para que se defina y ponga en ejecución un procedimiento o
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
mecanismo de control que permita asegurar que el Plan Estratégico de Tecnologías de Información y
Comunicación (PETIC) se encuentre debidamente alineado con el Plan Estratégico Institucional, formular,
aprobar y poner en ejecución el PETIC en concordancia con lo indicado anteriormente.
Asimismo, definir, aprobar e implementar, el marco estratégico de Tecnologías de Información, un
sistema de gestión de la información institucional y corregir las debilidades señaladas en este informe
sobre la operación del Sistema de Información Empresarial Costarricense.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
INFORME NRO. DFOE-EC-IF-17-2015
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS
INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL
SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
EN EL MINISTERIO DE ECONOMÍA INDUSTRIA
Y COMERCIO (MEIC)
1.
INTRODUCCIÓN
ORIGEN DE LA AUDITORÍA
1.1. El estudio se realizó con fundamento en las competencias que le confieren a esta
Contraloría General los artículos 183 y 184 de la Constitución Política, y los artículos 17, 21
y 37 de su Ley Orgánica, N° 7428, y en cumplimiento del programa anual de trabajo de la
División de Fiscalización Operativa y Evaluativa (DFOE).
1.2. El tema es de relevancia para el Ministerio de Economía, Industria y Comercio, ya que, la
gestión de los sistemas de información contribuyen al fortalecimiento institucional y el
cumplimiento de sus objetivos estratégicos en materia de fomento a la iniciativa privada,
desarrollo y fomento de la cultura empresarial para los sectores de industria, comercio y
servicios.
OBJETIVO DE LA AUDITORÍA
1.3. La auditoría tuvo como objetivo determinar si los sistemas de información contribuyen al
logro de los objetivos estratégicos del Ministerio de Economía, Industria y Comercio
(MEIC).
ALCANCE DE LA AUDITORÍA
1.4. La auditoría abarcó las acciones desarrolladas por el MEIC, en lo que respecta a la gestión
de los sistemas de información que se utilizan para brindar los servicios, en el periodo
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
2
comprendido entre el 1 de enero de 2012 y el 31 de diciembre de 2014 y se amplió en los
casos en que se consideró necesario.
ASPECTOS POSITIVOS QUE FAVORECIERON LA EJECUCIÓN DE LA AUDITORÍA
1.5. Como parte de los aspectos positivos que favorecieron la ejecución de la Auditoría es
importante mencionar que se tuvo una amplia colaboración por parte de la
Administración del MEIC y sus dependencias, situación que coadyuvó con el cumplimiento
de los objetivos de la auditoría.
GENERALIDADES ACERCA DE LA AUDITORÍA
1.6. El MEIC fue creado mediante la Ley Orgánica del Ministerio de Economía, Industria y
Comercio, N° 6054, del 14 de junio de 1977, la cual le estableció como competencias el
participar en la formulación de la política económica del Gobierno y en la planificación
nacional, así como ser el ente rector de las políticas públicas de Estado en materia de
fomento a la iniciativa privada, el desarrollo y promoción de la cultura empresarial para
los sectores de industria, comercio y servicios.
1.7. De la Ley N° 6054 es importante destacar el artículo 4, el cual hace referencia a las
principales funciones del MEIC, las cuales serán de interés para indagar sobre el apoyo
que brinda el Departamento Tecnología de Información y Comunicación en el logro de
éstas. Dichas funciones se enlistan seguidamente en lo que interesa:
a) Fomentar el comercio interno por medio del sistema de comercialización, para
estimular el consumo de los productos nacionales.
b) Formular, dirigir y coordinar la política de precios, pesas y medidas, y de
abastecimiento de mercado en el comercio interno.
c) Promover en el país el uso de la normalización y participar activamente en su
desarrollo.
d) Administrar la legislación mercantil.
e) Promover la integración económica con los países latinoamericanos y de otras regiones
del mundo.
f) Fomentar la participación del país en exposiciones industriales comerciales y turísticas.
g) Representar al Gobierno en las reuniones y negociaciones comerciales de carácter
nacional e internacional, en coordinación con el Ministerio de Relaciones Exteriores y
Culto.
1.8. En línea con lo anterior, debe señalarse que la Ley de Fortalecimiento de las Pequeñas y
Medianas Empresas (PYMES) N° 82621, dispone en su artículo 3 y en el artículo 21 de su
1 Publicada en La Gaceta N° 94 del 17 de mayo de 2002, y su Reglamento, publicado en el Decreto Ejecutivo N°
37121-MEIC del 24 de abril de 2012. Ver además la Ley de Desarrollo, Promoción y Fomento de la Actividad
Agropecuaria Orgánica, N° 8591, reforma artículo 3 de la Ley N° 8262 y publicada en la Gaceta N° 155 del 14 de
agosto de 2007.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
3
reglamento, que el MEIC otorgará la condición PYME a aquellas unidades productivas que
estén registradas ante ese Ministerio como micro, pequeña o mediana empresa y que a la
vez, cumplan al menos dos de los siguientes requisitos: a) con las obligaciones tributarias
entendiéndose por ellas las que tienen que ver con Tributación Directa, b) con el pago de
las cargas sociales de acuerdo con la Ley Constitutiva de la Caja Costarricense de Seguro
Social, c) con las obligaciones laborales, es decir el pago de la póliza de riesgos de trabajo
de acuerdo con el Código de Trabajo.
1.9. Además, el artículo 30 de la Ley N° 8262, modificó la Ley N° 6054, reformando su artículo
3, para que el MEIC, dentro de su marco legal, tenga entre las funciones relacionadas con
el desarrollo de las PYMES “Fomentar, promover y actualizar el Sistema de Información
Empresarial Costarricense (SIEC), el cual será un sistema centralizado en el Ministerio, que
generará toda la información relativa al fomento y apoyo de la empresa”.
1.10. En el siguiente diagrama se muestra la estructura orgánica actual del MEIC aprobada por
el Ministerio de Planificación y Política Económica (MIDEPLAN), mediante oficio N° DM653-12 del 3 de diciembre de 2013, en donde se puede apreciar que el Departamento de
Tecnología de Información y Comunicación es parte de la Dirección Administrativa
Financiera y Oficialía Mayor. En años anteriores, la unidad había pertenecido a la Gestión
de Información del MEIC.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
4
Diagrama de Estructura N° 1
Fuente: http://www.meic.go.cr/web/90/meic/organigrama (oficio DM-653-12)
METODOLOGÍA APLICADA
1.11. La auditoría se realizó de conformidad con lo establecido en el Manual General de
Fiscalización Integral (MAGEFI), las Normas Generales de Auditoría para el Sector Público,
el Procedimiento de Auditoría y las Normas Técnicas para la Gestión y el Control de las
Tecnologías de Información, emitidas por la Contraloría General de la República, así como
otras fuentes de normativa y prácticas generalmente aceptadas que resultan aplicables.
Para efectos del presente estudio, se requirió la realización de entrevistas,
confirmaciones, comprobaciones, inspecciones físicas, análisis documentales, pruebas
analíticas y la correspondiente comunicación de los resultados.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
5
COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA
1.12. Los resultados de la auditoría se expusieron verbalmente el día 20 de abril de 2015 en el
Despacho del Ministro de Economía, Industria y Comercio, en la cual se encontraban
presentes los siguientes funcionarios del MEIC Lic. Welmer Ramos González, Ministro,
Licda. Geannina Dinarte Romero, Viceministra, Lic. Errol Solís Mata, Director
Administrativo y Oficial Mayor, Lic. Maynor Solano Carvajal, Auditor Interno, Lic. Luis
Guillermo Rojas Solano, Jefe de Departamento de Tecnologías de Información y
Comunicación y Licda. Marietta Arias Ramírez, Jefe de Departamento de registro y
Certificaciones.
1.13. El borrador del presente informe se entregó el 20 de abril de 2015 en el Despacho del
Ministro, con el oficio DFOE-EC-0300 (05470), con el propósito de que en un plazo de
cinco días hábiles formularan y remitieran a la Gerencia del Área de Fiscalización de
Servicios Económicos, las observaciones que estimaran pertinentes sobre el contenido de
dicho documento.
1.14. Mediante oficio N° DM-235-15 de fecha 28 de abril de 2015, el señor Ministro remitió las
observaciones sobre el contenido del borrador informe, incorporadas en el oficio N°
DIGEPYME-OF-121-2015, adjunto a dicho documento. Lo resuelto sobre los
planteamientos efectuados en dicho oficio se consideran en el Anexo de este informe.
2.
RESULTADOS
TEMA 1: PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE
INFORMACIÓN
HALLAZGO 1.1: ALINEAMIENTO
INFORMACIÓN EN EL MEIC.
Y PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE
2.1
Las Normas Técnicas para la Gestión y Control de las Tecnologías de Información, en su
norma 2.1, establecen respecto de la planificación de las tecnologías de información que:
“La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos
mediante procesos de planificación que logren el balance óptimo entre sus requerimientos,
su capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes y
emergentes”.
2.2
El estudio efectuado permitió determinar que a pesar de algunos esfuerzos realizados en
el MEIC en los últimos dos años, en cuanto a la inversión en hardware y software,
mantenimiento y reparación de equipos de cómputo y sistemas de información, en el
desarrollo de servicios y en la suscripción de convenios para servicios de información y
comunicación, entre otros; el Ministerio no ha logrado consolidar la función de las
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
6
tecnologías de información (TI) desde un punto de vista estratégico, que permita lograr el
desarrollo institucional a partir de los beneficios de las TI.
2.3
Asimismo, tampoco fue posible evidenciar que existiera un alineamiento entre los
objetivos estratégicos de las TI con la visión estratégica y el rumbo establecido por las
autoridades superiores del MEIC, por cuanto no queda claro cómo las TI pueden apoyar a
las diferentes áreas de ese Ministerio en el cumplimiento de sus objetivos. La situación
descrita tiene respaldo en los riesgos identificados por el mismo Ministerio, por cuanto en
la propuesta de Plan Estratégico de Tecnologías de Información y Comunicación (PETIC),
se señala como uno de los riesgos la ausencia de alineación entre ese documento y el Plan
Estratégico Institucional (PEI).
2.4
En línea con lo anterior, debe señalarse, que el marco conceptual sobre el cual se sustenta
la gestión de tecnologías de información debe partir de la filosofía institucional (misión,
visión y valores) del Ministerio, la plataforma tecnológica requerida, el factor humano
capacitado para desarrollar y dar mantenimiento a los sistemas de información que
apoyen el PEI en el corto, mediano y largo plazo, así como para dar el soporte necesario
en lo que respecta al software base (sistemas operativos, telecomunicaciones, firewals,
antivirus, apoyo al usuario, etc.). Además, la planificación de la gestión de TI debe contar
en todo momento con el apoyo de la autoridad superior y los recursos financieros
necesarios para poder ejecutarse, sin tener que apartarse de los elementos de política y
regulaciones que la rigen.
2.5
La razón por la cual se presenta esta debilidad, se debe a que el Ministerio no cuenta con
un procedimiento o mecanismo de control que permita asegurar que el PETIC, se
encuentre debidamente alineado con el Plan Estratégico Institucional. Además, no cuenta
con un marco estratégico de TI suficiente, que incluya al menos la normativa, los
componentes básicos y la estrategia para el mejor aprovechamiento de los recursos
humanos y financieros necesarios para el desarrollo de las TI.
2.6
Lo anterior, limita a la institución contar con un marco de tecnologías de información que
le permita organizar y planificar las TI en función de los beneficios que ofrece, aspecto que
tiene los siguientes efectos.
 Ausencia de aprobación del Plan Estratégico de Tecnologías de Información y
Comunicación (PETIC)
2.7
La propuesta de Plan Estratégico de Tecnologías de Información y comunicación (PETIC),
fue elaborada para el período 2012-2014, sin embargo; a la fecha de cierre de la auditoria
no se había aprobado formalmente por parte de las autoridades superiores del MEIC2,
2 Al respecto, el Departamento de Tecnologías de Información, manifestó que: “…sobre la indicación de la fecha
de aprobación y el nombre del encargado de aprobación del PETIC… no se recibió por parte de este
Departamento ningún visto bueno de aprobación y firma de dichos documentos”. Asimismo, tampoco la
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
7
además; como se puede apreciar ya su período de vigencia se estaba agotando, por ende
no se puede dar por válido que la estrategia que se ha seguido en lo que respecta a TI sea
concordante con la visión actual de las autoridades, como tampoco se puede validar el
apoyo que éstas puedan ofrecer a los planes y proyectos que en dicho documento se
establecen y los que puedan incorporarse en el futuro.
 Ausencia de alineamiento entre la Planificación Institucional y la Planificación de las
Tecnologías de Información
2.8
No se encontró evidencia que en la propuesta del PETIC, se hubiese realizado una
alineación entre los objetivos estratégicos institucionales y los definidos en el PETIC, tal y
como lo establecen las sanas prácticas en la materia3.
 No existe documentación relacionada con el marco normativo y los componentes
básicos de la Gestión de TI
2.9
No se encontró evidencia que exista en el MEIC documentación relacionada con los
manuales de estándares para la gestión de los sistemas de información, que contemplen
entre otras cosas; la metodología para la adquisición, el desarrollo e implementación de
sistemas y la administración de proyectos. Asimismo, también se carece de herramientas
de planificación, metodología, portafolio de proyectos, políticas para el respaldo de
información, de mitigación de riesgos, de contingencias. El único documento formal del
marco normativo que regula las funciones de TI en el MEIC que se encuentra vigente a la
fecha, es el denominado “Políticas para el uso de Correo Electrónico y Acceso a Internet”.
TEMA 2: ADMINISTRACIÓN Y SEGURIDAD DE LA INFORMACIÓN
HALLAZGO 2.1: CARENCIA
INFORMACIÓN EN EL MEIC
DE UN
SISTEMA
DE
GESTIÓN
DE LA
SEGURIDAD
DE LA
2.10 Las Normas Técnicas para la Gestión y Control de las Tecnologías de Información, en la
Norma 1.4 señalan que:
La organización debe garantizar, de manera razonable, la confidencialidad,
integridad y disponibilidad de la información, lo que implica protegerla contra uso,
divulgación o modificación no autorizados, daño o pérdida u otros factores
disfuncionales. / Para ello debe documentar e implementar una política de
Dirección Administrativa Financiera y Oficialía Mayor, tenía conocimiento de la situación planteada, por cuanto
correspondió a gestiones de la administración anterior.
3 En la propuesta de PETIC, como parte de los riesgos se establece en el apartado denominado “Alineación del
Plan estratégico institucional y el PETIC” (Página 29), que: “Como consecuencia de fallos en la alineación entre el
PETIC y el Plan Estratégico, puede suceder que la definición de planes tácticos incongruentes con el PETIC, la
ejecución proyectos no previstos, la desactualización del PETIC y la desviación de las prioridades aprobadas por
E@MEIC afecten negativamente el cumplimiento de los objetivos estratégicos”.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
8
seguridad de la información y los procedimientos correspondientes, asignar los
recursos necesarios para lograr los niveles de seguridad requeridos.
2.11 Adicionalmente, la Norma 1.4.1 de dichas Normas Técnicas en relación con la
implementación de un marco de seguridad de la información, indica que la institución
debe:
a) Establecer un marco metodológico que incluya la clasificación de los recursos
de TI, según su criticidad, la identificación y evaluación de riesgos, la elaboración e
implementación de un plan para el establecimiento de medidas de seguridad, la
evaluación periódica del impacto de esas medidas y la ejecución de procesos de
concienciación y capacitación del personal. / b) Mantener una vigilancia constante
sobre todo el marco de seguridad y definir y ejecutar periódicamente acciones
para su actualización. / c) Documentar y mantener actualizadas las
responsabilidades tanto del personal de la organización como de terceros
relacionados.
2.12 Estos criterios se refuerzan en las mejores prácticas consignadas en la norma ISO 27001,
en su numeral 5, en cuanto a que “la gerencia debe proporcionar evidencia de su
compromiso con el establecimiento, implementación, operación, monitoreo, revisión,
mantenimiento y mejoramiento del Sistema de Gestión de la Seguridad de la Información
(SGSI) al establecer una política de seguridad, asegurar que se establezcan objetivos y
planes del SGSI, establecer roles y responsabilidades para la seguridad de la información”.
2.13 En la auditoría realizada se evidenciaron una serie de debilidades relacionadas con la
administración y seguridad de la información, en aspectos relacionados con la suficiencia
de la normativa y en prácticas adecuadas de infraestructura tecnológica. Esta situación se
presenta debido a que el Ministerio no cuenta con un sistema formal de gestión de la
seguridad de la información que incluya políticas, procesos, procedimientos, estructuras
organizacionales y funciones para establecer, monitorear, revisar y mejorar los controles
que aseguren de manera razonable la confidencialidad, integridad y disponibilidad de la
información institucional; así como fortalecer y apoyar el cumplimiento de los objetivos
institucionales.
2.14 Lo anterior, expone a la institución a vulnerabilidades por uso indebido de información,
alteración no autorizada o pérdida de esta, sabotajes, fraudes, alto riesgo de suspensión
de servicios informáticos por fallas en los equipos principales, entre otros. A continuación
se comentan algunos aspectos observados y determinados en esta Auditoria4:
 En la sala de servidores y en los espacios destinados para los racks, se encontraron
cajas de cartón, recipientes con basura y papeles, lo que incrementa la posibilidad y
riesgo de un siniestro.
4 Inspección física realizada a las instalaciones del Departamento de Tecnologías de Información y Comunicación
(DTIC) del MEIC el 4 de septiembre de 2014.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
9
 Algunos paneles de cableado se encuentran sin estructura y rotulación, lo que impide
un mantenimiento oportuno y eficaz de las estaciones de trabajo conectadas por este
medio. Esta debilidad se observó también en los racks ubicados en varios pisos.
 Existen equipos de aire acondicionado en desuso y equipos para desecho guardados,
cerca de los racks. El espacio para el rack del piso 1, se encuentra dentro de la oficina
de la viceministra, de forma tal que en caso de emergencia si esas oficinas se
encuentran cerradas, impide que los funcionarios de soporte de la DTIC puedan
acceder con oportunidad y seguridad al equipo.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
10
 Por su parte el espacio del centro de cómputo donde se ubican los servidores y racks es
reducido y se encuentra saturado con equipos que dificultan transitar libremente y se
encuentra aislado de los cubículos por una puerta con llave, sin embargo; en la
inspección realizada, dicha puerta se encontraba abierta y no se evidenció la existencia
de una bitácora que permita controlar el acceso de las personas externas a dicha
oficina.
HALLAZGO 2.2: DEBILIDADES EN
EMPRESARIAL COSTARRICENSE (SIEC)
LA SEGURIDAD DEL
SISTEMA
DE
INFORMACIÓN
2.15 El artículo 35 de la Ley N° 6054, establece que el MEIC debe dentro de las funciones
relacionadas con el desarrollo de las Pequeñas y Medianas Empresas (PYMES): “Fomentar,
promover y actualizar el Sistema de Información Empresarial Costarricense (SIEC), el cual
será un sistema centralizado en el Ministerio, que generará toda la información relativa al
fomento y apoyo de la empresa”.
2.16 Asimismo, los artículos 16.c, 17.b y 28-A del Reglamento, mencionan que el MEIC
mediante convenios específicos, reconocerá a instituciones públicas o privadas como
centros regionales de apoyo y atención a las PYME y a los emprendedores, con el objetivo
5 Modificado por el artículo 30 de la Ley de Fortalecimiento de las Pequeñas y Medianas Empresas (PYMES), N°
8262.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
11
de “utilizar el SIEC como una plataforma tecnológica de información de uso común, sobre
el proceso de atención al emprendedor y las PYME”.
2.17 Por otra parte, las Normas Técnicas para la Gestión y Control de las tecnologías de
información, en las normas 1.4.4, 1.4.6, 2.3 y 4.3 establecen que:
La organización debe implementar las medidas de seguridad relacionadas con la
operación de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas
y proteger la integridad del software y de la información.
La organización debe mantener la integridad de los procesos de implementación y
mantenimiento de software e infraestructura tecnológica y evitar el acceso no
autorizado, daño o pérdida de información.
La organización debe tener una perspectiva clara de su dirección y condiciones en
materia tecnológica, así como de la tendencia de las TI para que conforme a ello,
optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que
debe existir entre sus requerimientos y la dinámica y evolución de las TI.
La organización debe asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones válidas y debidamente autorizadas, que son
procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y
desechados en forma íntegra y segura.
2.18 En la auditoría realizada, se determinó que el MEIC cuenta con el denominado Sistema de
Información Empresarial Costarricense, el cual fue diseñado para generar toda la
información relativa al fomento y apoyo de las PYMES. Dicho sistema puede ser accesado
en la página WEB del Ministerio, por las personas físicas o jurídicas que soliciten la
inscripción como PYMES. Una vez que ingresan al módulo correspondiente, deben llenar
en línea la información que el sistema les solicita6 sobre datos generales de la empresa,
datos del apoderado de la empresa, tipo de empresa, monto de las ventas anuales netas y
monto de los activos totales y de los activos fijos netos. En el análisis realizado se
evidenciaron una serie de debilidades que afectan la operación del SIEC, las cuales se
presentan a continuación.
 Riesgo de accesos no autorizados al SIEC
2.19 Al accesar el SIEC a través de la Web en la dirección electrónica www.siec.go.cr, se
determinó que esa dirección está inserta en el protocolo de comunicación “HTTP”, que es
el protocolo de comunicación estándar que utiliza internet para que los usuarios puedan
navegar libremente a las diferentes páginas existentes en esa red.
6 La información solicitada corresponde a los requisitos establecidos en el artículo 29 del Decreto Ejecutivo N°
37121-MEIC “Reforma integral al reglamento general de la ley de fortalecimiento de las pequeñas y medianas
empresas, Ley N° 8262, Decreto Ejecutivo N° 33111 del 06 de abril de 2006”.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
12
2.20 Al ser un protocolo de comunicación que no es seguro, existe el riesgo de afectar la
confidencialidad y la integridad de los datos de las empresas que se están inscribiendo
como PYMES, por cuanto la información que los usuarios ingresan al sistema, no está
llegando de manera encriptada al servidor donde se encuentre instalado el SIEC.
2.21 Tal situación podría provocar que la información suministrada por las empresas que
buscan calificar como PYMES, sea manipulada por terceras personas, y utilizarla con fines
distintos a los que la Ley N° 8262 les define, poniendo en riesgo la estabilidad de esas
empresas y exponiendo al MEIC a posibles demandas legales por parte de aquellos que se
consideren afectadas por esa situación.
 Licencias de Filtros de Tráfico (Firewall) y Antivirus
2.22 Las licencias de filtros de tráfico (firewall) incorporados en la plataforma tecnológica del
MEIC para minimizar el riesgo de acceso de usuarios no autorizados a los distintos
sistemas que tiene el MEIC en operación, incluyendo el SIEC; si bien tienen licenciamiento
perpetuo, están desactualizadas y sin soporte técnico desde hace dos años. Asimismo, el
antivirus “Kaspersky” estuvo desactualizado por mes y medio aproximadamente y fue
hasta el 12 de diciembre de 2014 que fue renovado por dos años.
2.23 Esta situación podría afectar no solo la estabilidad del SIEC, si no de manera integral todos
los sistemas que tenga en operación el MEIC, así como también los servidores en que se
encuentran instalados, ya que una combinación de los factores, como lo son la ausencia
de un protocolo seguro de comunicación, y en adición firewall desactualizados, podrían
generar ataques cibernéticos principalmente a través de la web, con el fin de sustraer
datos para otros fines, o bien, provocar pérdidas de información y daños en los equipos
(servidores y bases de datos). Por tanto, de materializarse ese riesgo, obligaría a las
autoridades del Gobierno a realizar inversiones de inestimable cuantía para estabilizar
tanto la plataforma tecnológica como también los sistemas de información que
eventualmente se vean afectados. Además, expone a la Institución a eventuales
demandas legales por parte de los usuarios que se sientan afectados.
 Capacidad de la memoria de los Servidores
2.24 Los servidores que soportan el SIEC, no cuentan con la capacidad de memoria requerida
para lograr mayor eficiencia en la prestación de los servicios, afectando el servicio al
usuario, especialmente, en los períodos de alta demanda; no obstante en el SIEC, la capa
de aplicación del sistema se encuentra instalada en un servidor aparte de la base de datos,
el cual tiene 16 giga-bites de memoria auxiliar (RAM).
 Ausencia de controles de validación en el proceso de ingreso de datos al SIEC
2.25 Para ingresar al sistema una solicitud nueva de PYMES, el usuario primero debe
registrarse, digitando sus datos personales en cuanto a número de cédula, nombre y
apellidos y una dirección de correo electrónico. Si bien es cierto, el sistema valida que el
campo “cédula” fuera un campo numérico y de una longitud fija de nueve caracteres, en
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
13
el caso de los datos personales como lo son el nombre y apellidos, permite ingresar entre
otras cosas, caracteres especiales y de una longitud variable, que no guardan relación con
los estándares ya definidos para ese tipo de datos, ya que, el sistema no valida que guarde
consistencia con datos de personas físicas contenidas en bases de datos como la de la
CCSS o el Registro Civil y en el caso de personas jurídicas, con información proveniente del
Registro Público, para que en el evento de no existir ese número de cédula o el nombre
que se está ingresando, rechazar el registro hasta que se ingrese la información correcta.
2.26 La razón por la cual se presentan estas inconsistencias se debe a la débil planificación
estratégica en el Ministerio, que ha provocado a su vez que no se cuente con un
certificado de autenticación que garantice a los usuarios que están ingresando datos al
SIEC en una plataforma segura, que avale la confidencialidad y la integridad de la
información que suministran, asimismo, que el SIEC no está integrado con otros sistemas.
2.27 No obstante, que el artículo N° 28 y siguientes del Reglamento a la Ley N° 8262, señala
que la DIGEPYME podrá verificar en cualquier momento la veracidad de esos datos, y que
el artículo N° 30 del referido reglamento establece un plazo de cinco días para incluirla en
el registro de empresas en el SIEC, lo cierto del caso es que está recayendo en los
funcionarios de esa Dirección todo el proceso de análisis, verificación y validación de
requisitos, hasta llegar a la aprobación o rechazo de las solicitudes PYMES que presentan
los interesados, lo cual podría ocasionar incumplimientos en los tiempos establecidos
debido a que son ellos los que deben estar consultando fuera de línea, entre otras, las
bases de datos como son las de la CCSS, Registro Civil, Registro Nacional o del Ministerio
de Hacienda para comprobar la veracidad de la información que se consigna en las
solicitudes PYMES que presentan los interesados en obtener esa condición,
consecuentemente también aumenta los costos operativos de ese Ministerio, al utilizar
más horas/hombre, horas/equipo en realizar esas consultas.
2.28 Adicionalmente, debe señalarse que algunos de los aspectos comentados en este informe
han sido identificados por la Auditoría Interna del Ministerio7 en informes anteriores a
este documento, razón por la cual es importante que esa Administración incorpore las
acciones necesarias para su mejoramiento.
3.
CONCLUSIONES
3.1
El Ministerio de Economía Industria y Comercio debe alinear los procesos para definir
tanto el plan estratégico de tecnologías de información y comunicación como el marco
conceptual en que se sustenta la planificación estratégica institucional, de tal forma que le
permita al Ministerio aprovechar y poner a disposición de los usuarios todos los beneficios
de la tecnología en función de los objetivos establecidos y del servicio público que brinda.
7 Informes de Auditoría Interna N°INF-AI-01 1-11, N° INF-AI-010-2010, N° AI-OF-005-2009.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
14
3.2
En línea con lo anterior, el MEIC debe desarrollar mayores esfuerzos en lo que respecta a
propiciar una mejora en la gestión de TI, por cuanto se carece de un proceso integral,
formalmente establecido, estructurado y documentado de planificación estratégica de las
TI, aspecto que no solo impacta en los sistemas de información sino en la oportuna
documentación de los procesos relacionados, en las líneas de autoridad y responsabilidad,
en la documentación de los componentes básicos de tecnologías de información, en la
ausencia de normativa de TI y en la infraestructura tecnológica. Además; carece de un
sistema sólido de administración y seguridad de la información.
3. 3 Con respecto al Sistema de Información Empresarial Costarricense, si bien es cierto es
operativamente funcional, refleja debilidades importantes en las cuáles debe trabajar la
Administración para efectos de mejorar sus servicios a los usuarios tanto internos como
externos, tales como la ausencia de un protocolo de comunicación seguro para el acceso
al sistema, debilidades relacionadas con la capacidad de memoria de los servidores y la
ausencia de controles de validación en el proceso de ingreso de datos, que atentan contra
temáticas fundamentales como la gestión y el control de las tecnologías de información,
así como, la administración y seguridad de los datos.
4.
DISPOSICIONES
4.1
De conformidad con las competencias asignadas en los artículos 183 y 184 de la
Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de
la República, N° 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, N°
8292, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y
deberán ser cumplidas dentro del plazo o en el término conferido para ello, por lo que su
incumplimiento no justificado constituye causal de responsabilidad.
4.2
Este Órgano Contralor se reserva la posibilidad de verificar, por los medios que considere
pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar
la aplicación de los procedimientos administrativos que correspondan, en caso de su
incumplimiento injustificado.
AL LICENCIADO WELMER RAMOS GONZÁLEZ, MINISTRO
COMERCIO, O A QUIEN EN SU LUGAR OCUPE EL CARGO
4.3
DE
ECONOMÍA INDUSTRIA
Y
Definir y poner en ejecución, en un plazo no mayor de 60 días hábiles contados a partir de
la fecha de recibo de este informe, un procedimiento o mecanismo de control que
permita asegurar que el Plan Estratégico de Tecnologías de Información y Comunicación
(PETIC), se encuentre debidamente alineado con el Plan Estratégico Institucional. Sobre el
particular, se le solicita remitir a esta Contraloría General en un plazo no mayor de 10 días
hábiles posteriores al vencimiento de ese plazo, una certificación en la cual se acredite la
definición y puesta en ejecución del mecanismo o procedimiento de control indicado. (Ver
Hallazgo 1.1, párrafos 2.1 al 2.9 de este informe).
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
15
4.4
Definir, formalizar e implementar, en un plazo no mayor de 90 días hábiles, el marco
estratégico de TI, el cual debe incluir entre otros, la formulación y aprobación del Plan
Estratégico de Tecnologías de Información y Comunicación (PETIC), la elaboración de la
normativa y herramientas relacionadas con los componentes básicos de TI y la estrategia
para el mejor aprovechamiento de los recursos humanos y financieros necesarios para el
desarrollo de las TI. Remitir a esta Contraloría General en un plazo de 45 días hábiles, un
informe de avance de las acciones ejecutadas en relación con la implementación del
Marco Estratégico de TI, y en un plazo máximo de 10 días hábiles posteriores a la
formalización e implementación del marco estratégico de TI, una certificación en la que se
acredite que se cumplió con la definición, formalización e implementación del marco
estratégico de TI. Todos los plazos rigen a partir de la fecha de recibo de este informe.
(Ver Hallazgo 1.1, párrafos 2.1 al 2.9 de este informe).
4.5
Definir e implementar, en un plazo no mayor de 180 días hábiles, un sistema formal de
gestión de la seguridad de la información que incluya procesos y procedimientos, que
permitan monitorear, revisar y mejorar los controles que garantizan razonablemente la
confidencialidad, integridad y disponibilidad de la información institucional. Remitir a esta
Contraloría General, en un plazo máximo de 10 días hábiles posteriores al plazo indicado,
certificación en la cual conste la definición e implementación del sistema, asimismo, en un
plazo de 90 días hábiles, un reporte del avance en el cumplimiento de esta disposición.
Todos los plazos rigen a partir de la fecha de recibo de este informe. (Ver Hallazgo 2.1,
párrafos 2.10 al 2.14 de este informe).
4.6
Definir, aprobar e implementar, en un plazo no mayor de 240 días hábiles, una propuesta
que incluya las acciones que se ejecutarán para corregir las debilidades apuntadas en este
informe relacionadas con la operación del Sistema de Información Empresarial
Costarricense (SIEC), así como un cronograma de ejecución de la propuesta el cual
contenga como mínimo los plazos de las diferentes actividades, los responsables de cada
una de ellas, fechas de inicio y finalización de la propuesta. Dicha propuesta deberá estar
elaborada en un plazo de 60 días hábiles y su puesta en práctica en un plazo no mayor de
180 días hábiles posteriores a la aprobación de la propuesta. Remitir a esta Contraloría
General, en un plazo máximo de 10 días hábiles posteriores a la definición y aprobación de
la propuesta, certificación en la cual conste lo indicado, y en un plazo máximo de 10 días
hábiles posteriores a la implementación de la propuesta, certificación de lo aquí dispuesto.
Asimismo, cada 60 días hábiles remitir un reporte del avance en el cumplimiento de esta
disposición. Todos los plazos rigen a partir de la fecha de recibo de este informe. El
cumplimiento de esta disposición debe llevarse a cabo considerando adicionalmente lo
recomendado por la Auditoría Interna de ese Ministerio, sobre los aspectos comentados.
(Ver Hallazgo 2.2, párrafos 2.15 al 2.28 de este informe).
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
16
ANEXO
OBSERVACIONES AL BORRADOR DEL INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE
LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE ECONOMIA
INDUSTRIA Y COMERCIO (MEIC)
Nro. Párrafos
No indica
Observaciones
Administración
Punto 1: En este punto se comenta que el SIEC fue creado por Ley N° 8262 “Ley de
Fortalecimiento a las PYME” cuya versión actual opera bajo la tutela del MEIC y
administrada por medio de los servicios técnicos, que ofrece el Departamento de TI, y
con el equipo hardware y software que posee la institución. Es una plataforma que
efectivamente contribuye con los objetivos estratégicos, la formulación y el desarrollo
de las políticas públicas dirigidas a los sectores de Industria, Comercio y Servicios, muy
especialmente de las MIPYMES.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Los argumentos expuestos fueron de conocimiento del equipo de auditoría, esta
Contraloría manifiesta estar de acuerdo con lo externado en dicho oficio. No requiere
modificación al contenido del informe.
Nro. Párrafos
No indica
Observaciones
Administración
Punto 2. El comentario de la Administración está dirigido a considerar el informe de la
Contraloría General en un marco de referencia para sustentar y fundamentar ante las
instancias la necesidad de dar contenido al Programa 219 de la Dirección General de
Apoyo a la Pequeña y Mediana Empresa.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Los comentarios de la Administración no modifican lo indicado en el informe.
Nro. Párrafos
1.8
Observaciones
Administración
Punto 3: Considera el oficio de la Administración que se debe agregar en el informe la Ley
N° 8591 “Ley de Desarrollo, Promoción y Fomento de la Actividad Agropecuaria Orgánica”,
modificación al artículo 3 de la Ley N° 8262.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Se acepta la solicitud de la Administración y se agrega un pie de página con la información
requerida.
Nro. Párrafos
No indica
Observaciones
Administración
Punto 4: El comentario de la Administración solicita verificar la referencia del oficio DM653-12- si corresponde al Decreto que Reforma el Reglamento a la Ley Orgánica del MEIC.
¿Se acoge?
Argumentos
Sí
No
Parcial
Se acoge la sugerencia de la Administración y se indica en el informe que se trata del oficio
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
17
CGR
DM-653-12 mediante el cual se aprueba por parte del Ministerio de Planificación y Política
Económica (MIDEPLAN).
Nro. Párrafos
11.1
Observaciones
Administración
Punto 5: Indica el oficio de la Administración que no se detallan las fuentes de información
utilizadas
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
En el punto de Metodología Aplicada, se detalla en el informe entre otras cosas que se
realizaron entrevistas, confirmaciones, comprobaciones, inspecciones físicas, análisis
documentales, pruebas analíticas y la correspondiente comunicación de los resultados. Se
aclara en este aspecto que toda la ejecución de la auditoria se documenta como parte del
proceso de gestión de calidad.
Nro. Párrafos
2.2
Observaciones
Administración
Punto 6.1: La Administración realiza el comentario respecto de la necesidad de que exista
un programa institucional de TI, las necesidades que tienen por ejemplo la DIGEPYME y
otras Direcciones. Que previamente al presupuesto del 2016 se proyecten las necesidades
de TI, y que se considere la situación actual del SIEC, respecto al nuevo SIEC.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Los argumentos expuestos por la Administración no contienen elementos nuevos que
modifiquen o contradigan la posición de esta Contraloría General, por el contrario, se
refuerza la tesis expuesta dado que la Administración argumenta se debe de tener un plan
institucional.
Nro. Párrafos
2.3 y 2.4
Observaciones
Administración
El comentario de la Administración se orienta a que una vez que se tenga el Plan
Estratégico de Tecnologías de Información y Comunicación (PETIC) de la Administración se
“sociabilice” a nivel de las Direcciones y funcionarios, para realizar los ajustes que
procedan y que se armonicen los planes.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Se mantiene la posición de esta Contraloría General, el comentario esta efectuado en
congruencia con el alcance del informe.
Nro. Párrafos
2.9
Observaciones
Administración
La Administración solicita que se incluya en el informe lo correspondiente a los manuales
de estándares para la gestión de los sistemas de información, especialmente para el SIEC,
en lo que se refiere al protocolo de seguridad y cualesquier otras directrices o líneas de
acción.
¿Se acoge?
Argumentos
CGR
Sí
No
Parcial
El argumento de la Administración es compartido por esta Contraloría General, en cuanto
a la necesidad de que existan manuales de estándares, sin embargo, este es un aspecto
que debe ser valorado por parte del Ministerio, por lo que no se modifica el contenido del
informe
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
18
Nro. Párrafos
2.13
Observaciones
Administración
Punto 6.2: El comentario se orienta a requerir que en el PETIC, se incluyan los
requerimientos para el SIEC, y que a su vez este sincronizada con las políticas de Gobierno
Abierto y los planes, programas y prioridades institucionales e interinstitucionales.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Considera esta Contraloría General que el argumento expuesto es congruente con lo
indicado en el informe, por lo tanto se comparten los criterios externados sin que requiera
una modificación a lo establecido en el informe.
Nro. Párrafos
Hallazgo 2.2
Observaciones
Administración
Punto 6.13: El comentario de la Administración está dirigido a reforzar la tesis de que se
está trabajando en los problemas de seguridad del SIEC, y como parte de las mejoras lograr
una interoperabilidad con otras instituciones del Estado y aplicar los principios de la Ley N°
8220, desarrollar el Web Service, además menciona que la operatividad del sistema no es
solo responsabilidad de la Dirección (DIGEPYME). La aplicación del sistema obedece a una
arquitectura que responde a como fue concebida pero que se debe mejorar.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Los argumentos expuestos fueron de conocimiento del equipo de auditoría, esta
Contraloría comparte lo externado en dicho oficio. No requiere modificación al contenido
del informe.
Nro. Párrafos
2.20 y 2.21
Observaciones
Administración
Punto 7: El comentario expresa la preocupación de la Directora de la DIGEPYME y la Jefe de
Registro y Certificaciones, la cual solicita que en tanto se logran las mejoras al nuevo SIEC, se
pongan en práctica las disposiciones de la Contraloría General, reduciendo la
vulnerabilidad del sistema.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Esta Contraloría comparte las manifestaciones aportadas. No implica modificación a los
comentarios del informe.
Nro. Párrafos
No indica
Observaciones
Administración
Punto 8: Los comentarios se orientan a reforzar los criterios señalados en el informe
respeto de los temas de licencias, filtros, antivirus, capacidad de memoria, en el entendido
de que la confianza que depositan los usuarios en la institución.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Los argumentos apoyan los criterios del informe. No requiere modificación a su contenido.
Nro. Párrafos
No indica
Observaciones
Administración
Punto 9: La Administración indica que si bien es cierto, el SIEC es “poco amigable”, se
cuenta con una gestión de validación de la información y datos que se llama “asignación de
expediente” que procura garantizar la seguridad de la información de los trámites que se
realizan.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
19
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Los argumentos expuestos fueron de conocimiento del equipo de auditoría. No requiere
modificación al contenido del informe.
Nro. Párrafos
No indica
Observaciones
Administración
Punto 10: Se refiere a la necesidad de coordinar interinstitucionalmente para no duplicar
tareas.
¿Se acoge?
Sí
No
Parcial
Argumentos
CGR
Se comparte lo externado por la Directora de la DIGEPYME y la Jefe de Registro y
Certificaciones. No implica modificaciones al informe.
Nro. Párrafos
2.27
Observaciones
Administración
¿Se acoge?
Punto 11: Menciona la necesidad de contar con el financiamiento para el nuevo SIEC
Argumentos
CGR
No implica modificaciones al informe.
Nro. Párrafos
2.27
Observaciones
Administración
Punto 12: Sobre las recomendaciones: Indica que del informe queda claro la necesidad de
contar con una nueva plataforma siempre que la administración superior consiga el
financiamiento. Explica cómo se desarrollará el nuevo SIEC.
¿Se acoge?
Sí
Sí
No
No
Parcial
Parcial
Argumentos
CGR
No implica modificaciones al informe. Es importante aclarar que en el informe se comenta
la necesidad de mejorar el sistema bajo los principios de uso racional de los recursos, no
indica que se debe contar con una nueva plataforma, eso es una decisión de la
Administración.
Nro. Párrafos
2.15 AL 2.27
Observaciones
Administración
Punto 13: Menciona el comentario que la primera etapa del nuevo SIEC dependerá de la
capacidad presupuestaria del MEIC y que el programa presupuestario 219 no cuenta con
recursos suficientes para adquirir todos los dispositivos de seguridad. Indica que los plazos
señalados en el informe serían insuficientes.
¿Se acoge?
Argumentos
CGR
Sí
No
Parcial
Los argumentos son parte de los aspectos que debe valorar la administración en el
mejoramiento del SIEC. En lo que respecta a los plazos ni el oficio del Ministro ni el de la
Directora de la DIGEPYME y la Jefe de Registro y Certificaciones, establecen un plazo como
propuesta, por lo que no existen argumentos para modificar el contenido de la disposición.
No obstante, se le recuerda a la Administración que una vez que tengan una propuesta
formalizada pueden hacerla llegar al Área de Seguimiento de Disposiciones de esta
Contraloría General.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica