División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos INFORME NRO. DFOE-EC-IF-17-2015 11 DE MAYO, 2015 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE ECONOMÍA INDUSTRIA Y COMERCIO (MEIC) 2015 ROBERTO ARMANDO JAIKEL SABORIO (FIRMA) Firmado digitalmente por ROBERTO ARMANDO JAIKEL SABORIO (FIRMA) Nombre de reconocimiento (DN): serialNumber=CPF-02-0318-0418, sn=JAIKEL SABORIO, givenName=ROBERTO ARMANDO, c=CR, o=PERSONA FISICA, ou=CIUDADANO, cn=ROBERTO ARMANDO JAIKEL SABORIO (FIRMA) Fecha: 2015.05.11 14:31:44 -06'00' Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos CONTENIDO Página nro. RESUMEN EJECUTIVO 1. INTRODUCCIÓN ................................................................................................................. 1 ORIGEN DE LA AUDITORÍA................................................................................................................... 1 OBJETIVO DE LA AUDITORÍA ................................................................................................................ 1 ALCANCE DE LA AUDITORÍA ................................................................................................................. 1 ASPECTOS POSITIVOS QUE FAVORECIERON LA EJECUCIÓN DE LA AUDITORÍA................................................... 2 GENERALIDADES ACERCA DE LA AUDITORÍA ............................................................................................ 2 METODOLOGÍA APLICADA ................................................................................................................... 4 COMUNICACIÓN PERLIMINAR DE LOS RESULTADOS DE LA AUDITORÍA……………………………………………………….5 2. RESULTADOS...................................................................................................................... 5 TEMA 1: PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE INFORMACIÓN ............................................ 5 HALLAZGO 1.1: ALINEAMIENTO Y PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE INFORMACIÓN EN EL MEIC………………………………………………………………………………………………………………………………………5 TEMA 2: ADMINISTRACIÓN Y SEGURIDAD DE LA INFORMACIÓN .................................................................. 7 HALLAZGO 2.1: CARENCIA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN EL MEIC..... 7 HALLAZGO 2.2: DEBILIDADES EN LA SEGURIDAD DEL SISTEMA DE INFORMACIÓN EMPRESARIAL COSTARRICENSE (SIEC) ......................................................................................................................................... 10 3. CONCLUSIONES ................................................................................................................ 13 4. DISPOSICIONES ................................................................................................................ 14 AL LICENCIADO WELMER RAMOS GONZÁLEZ, MINISTRO DE ECONOMÍA INDUSTRIA Y COMERCIO, O A QUIEN EN SU LUGAR OCUPE EL CARGO .............................................................................................................. 14 ILUSTRACIONES DIAGRAMA DE ESTRUCTURA NRO.1: ORGANIGRAMA INSTITUCIONAL……………………………………………………..…...4 ANEXO ANEXO NRO. 1: OBSERVACIONES AL BORRADOR DEL INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE ECONOMÍA INDUSTRIA Y COMERCIO (MEIC)………………………………………………………………………………………………………………………………………16 Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos INFORME NRO. DFOE-EC-IF-17-2015 RESUMEN EJECUTIVO ¿Qué examinamos? La Auditoría de Carácter Especial realizada por el Órgano Contralor en el Ministerio de Economía Industria y Comercio (MEIC), tuvo como objetivo determinar si los sistemas de información contribuyen al logro de los objetivos estratégicos del MEIC. La auditoría abarcó, además, el análisis de las acciones realizadas por la Administración en lo que respecta a la gestión del Sistema de Información Empresarial Costarricense (SIEC). El periodo de estudio comprendió del 1 de enero de 2012 al 31 de diciembre de 2014, y se amplió en los casos que se consideró necesario. ¿Por qué es importante? El tema es de relevancia porque mediante la gestión de los sistemas de información, instituciones como el MEIC, pueden ofrecer un mejor servicio al ciudadano y por ende cumplir de una forma más efectiva con las disposiciones de su Ley de Creación y el principio constitucional de rendición de cuentas. Asimismo, la protección de la información de las entidades públicas debe orientarse a salvaguardar la confidencialidad, disponibilidad e integridad de los datos que administran. Además, como parte de su marco legal, el MEIC tiene las funciones relacionadas con el desarrollo de las PYMES, por lo que debe fomentar, promover y actualizar el Sistema de Información Empresarial Costarricense, el cual funcionará como un sistema centralizado en el Ministerio, que generará toda la información relativa al fomento y apoyo de las empresas. ¿Qué encontramos? La auditoría efectuada permitió determinar que a pesar de algunos esfuerzos realizados en el MEIC en los últimos dos años, en cuanto a la inversión en hardware y software, programas de mantenimiento, desarrollo de servicios y sistemas de información; el Ministerio no ha logrado consolidar la función de las tecnologías de información desde un punto de vista estratégico, que permita lograr un desarrollo institucional con el apoyo de las TI. Al respecto, se determinó que el Ministerio carece de una planificación estratégica debidamente estructurada, formalizada y documentada, siendo que, esta debilidad limita vincular el marco estratégico institucional con las TI; documentar los procesos relacionados, establecer las líneas de autoridad y responsabilidad, disponer de normativa, y en general de una plataforma tecnológica robusta. Se evidenciaron debilidades relacionadas con la infraestructura tecnológica, que ponen en riesgo la administración y seguridad de la información en donde se mantienen los principales equipos tecnológicos, ausencia de un cableado estructurado, rotulación y equipos en desuso guardados. Asimismo, se evidenció que el Sistema de Información Empresarial Costarricense, presenta debilidades relacionadas con la ausencia de un protocolo de comunicación seguro para el acceso al Sistema; problemas relacionadas con la capacidad de memoria de los servidores; y la ausencia de controles de validación en el proceso de ingreso de datos, todo lo que pone en riesgo la administración y seguridad de la información. ¿Qué sigue? Con el propósito de concretar las oportunidades de mejora determinadas, se giraron disposiciones al Ministro de Economía Industria y Comercio para que se defina y ponga en ejecución un procedimiento o Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos mecanismo de control que permita asegurar que el Plan Estratégico de Tecnologías de Información y Comunicación (PETIC) se encuentre debidamente alineado con el Plan Estratégico Institucional, formular, aprobar y poner en ejecución el PETIC en concordancia con lo indicado anteriormente. Asimismo, definir, aprobar e implementar, el marco estratégico de Tecnologías de Información, un sistema de gestión de la información institucional y corregir las debilidades señaladas en este informe sobre la operación del Sistema de Información Empresarial Costarricense. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos INFORME NRO. DFOE-EC-IF-17-2015 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE ECONOMÍA INDUSTRIA Y COMERCIO (MEIC) 1. INTRODUCCIÓN ORIGEN DE LA AUDITORÍA 1.1. El estudio se realizó con fundamento en las competencias que le confieren a esta Contraloría General los artículos 183 y 184 de la Constitución Política, y los artículos 17, 21 y 37 de su Ley Orgánica, N° 7428, y en cumplimiento del programa anual de trabajo de la División de Fiscalización Operativa y Evaluativa (DFOE). 1.2. El tema es de relevancia para el Ministerio de Economía, Industria y Comercio, ya que, la gestión de los sistemas de información contribuyen al fortalecimiento institucional y el cumplimiento de sus objetivos estratégicos en materia de fomento a la iniciativa privada, desarrollo y fomento de la cultura empresarial para los sectores de industria, comercio y servicios. OBJETIVO DE LA AUDITORÍA 1.3. La auditoría tuvo como objetivo determinar si los sistemas de información contribuyen al logro de los objetivos estratégicos del Ministerio de Economía, Industria y Comercio (MEIC). ALCANCE DE LA AUDITORÍA 1.4. La auditoría abarcó las acciones desarrolladas por el MEIC, en lo que respecta a la gestión de los sistemas de información que se utilizan para brindar los servicios, en el periodo Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 2 comprendido entre el 1 de enero de 2012 y el 31 de diciembre de 2014 y se amplió en los casos en que se consideró necesario. ASPECTOS POSITIVOS QUE FAVORECIERON LA EJECUCIÓN DE LA AUDITORÍA 1.5. Como parte de los aspectos positivos que favorecieron la ejecución de la Auditoría es importante mencionar que se tuvo una amplia colaboración por parte de la Administración del MEIC y sus dependencias, situación que coadyuvó con el cumplimiento de los objetivos de la auditoría. GENERALIDADES ACERCA DE LA AUDITORÍA 1.6. El MEIC fue creado mediante la Ley Orgánica del Ministerio de Economía, Industria y Comercio, N° 6054, del 14 de junio de 1977, la cual le estableció como competencias el participar en la formulación de la política económica del Gobierno y en la planificación nacional, así como ser el ente rector de las políticas públicas de Estado en materia de fomento a la iniciativa privada, el desarrollo y promoción de la cultura empresarial para los sectores de industria, comercio y servicios. 1.7. De la Ley N° 6054 es importante destacar el artículo 4, el cual hace referencia a las principales funciones del MEIC, las cuales serán de interés para indagar sobre el apoyo que brinda el Departamento Tecnología de Información y Comunicación en el logro de éstas. Dichas funciones se enlistan seguidamente en lo que interesa: a) Fomentar el comercio interno por medio del sistema de comercialización, para estimular el consumo de los productos nacionales. b) Formular, dirigir y coordinar la política de precios, pesas y medidas, y de abastecimiento de mercado en el comercio interno. c) Promover en el país el uso de la normalización y participar activamente en su desarrollo. d) Administrar la legislación mercantil. e) Promover la integración económica con los países latinoamericanos y de otras regiones del mundo. f) Fomentar la participación del país en exposiciones industriales comerciales y turísticas. g) Representar al Gobierno en las reuniones y negociaciones comerciales de carácter nacional e internacional, en coordinación con el Ministerio de Relaciones Exteriores y Culto. 1.8. En línea con lo anterior, debe señalarse que la Ley de Fortalecimiento de las Pequeñas y Medianas Empresas (PYMES) N° 82621, dispone en su artículo 3 y en el artículo 21 de su 1 Publicada en La Gaceta N° 94 del 17 de mayo de 2002, y su Reglamento, publicado en el Decreto Ejecutivo N° 37121-MEIC del 24 de abril de 2012. Ver además la Ley de Desarrollo, Promoción y Fomento de la Actividad Agropecuaria Orgánica, N° 8591, reforma artículo 3 de la Ley N° 8262 y publicada en la Gaceta N° 155 del 14 de agosto de 2007. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 3 reglamento, que el MEIC otorgará la condición PYME a aquellas unidades productivas que estén registradas ante ese Ministerio como micro, pequeña o mediana empresa y que a la vez, cumplan al menos dos de los siguientes requisitos: a) con las obligaciones tributarias entendiéndose por ellas las que tienen que ver con Tributación Directa, b) con el pago de las cargas sociales de acuerdo con la Ley Constitutiva de la Caja Costarricense de Seguro Social, c) con las obligaciones laborales, es decir el pago de la póliza de riesgos de trabajo de acuerdo con el Código de Trabajo. 1.9. Además, el artículo 30 de la Ley N° 8262, modificó la Ley N° 6054, reformando su artículo 3, para que el MEIC, dentro de su marco legal, tenga entre las funciones relacionadas con el desarrollo de las PYMES “Fomentar, promover y actualizar el Sistema de Información Empresarial Costarricense (SIEC), el cual será un sistema centralizado en el Ministerio, que generará toda la información relativa al fomento y apoyo de la empresa”. 1.10. En el siguiente diagrama se muestra la estructura orgánica actual del MEIC aprobada por el Ministerio de Planificación y Política Económica (MIDEPLAN), mediante oficio N° DM653-12 del 3 de diciembre de 2013, en donde se puede apreciar que el Departamento de Tecnología de Información y Comunicación es parte de la Dirección Administrativa Financiera y Oficialía Mayor. En años anteriores, la unidad había pertenecido a la Gestión de Información del MEIC. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 4 Diagrama de Estructura N° 1 Fuente: http://www.meic.go.cr/web/90/meic/organigrama (oficio DM-653-12) METODOLOGÍA APLICADA 1.11. La auditoría se realizó de conformidad con lo establecido en el Manual General de Fiscalización Integral (MAGEFI), las Normas Generales de Auditoría para el Sector Público, el Procedimiento de Auditoría y las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, emitidas por la Contraloría General de la República, así como otras fuentes de normativa y prácticas generalmente aceptadas que resultan aplicables. Para efectos del presente estudio, se requirió la realización de entrevistas, confirmaciones, comprobaciones, inspecciones físicas, análisis documentales, pruebas analíticas y la correspondiente comunicación de los resultados. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 5 COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA 1.12. Los resultados de la auditoría se expusieron verbalmente el día 20 de abril de 2015 en el Despacho del Ministro de Economía, Industria y Comercio, en la cual se encontraban presentes los siguientes funcionarios del MEIC Lic. Welmer Ramos González, Ministro, Licda. Geannina Dinarte Romero, Viceministra, Lic. Errol Solís Mata, Director Administrativo y Oficial Mayor, Lic. Maynor Solano Carvajal, Auditor Interno, Lic. Luis Guillermo Rojas Solano, Jefe de Departamento de Tecnologías de Información y Comunicación y Licda. Marietta Arias Ramírez, Jefe de Departamento de registro y Certificaciones. 1.13. El borrador del presente informe se entregó el 20 de abril de 2015 en el Despacho del Ministro, con el oficio DFOE-EC-0300 (05470), con el propósito de que en un plazo de cinco días hábiles formularan y remitieran a la Gerencia del Área de Fiscalización de Servicios Económicos, las observaciones que estimaran pertinentes sobre el contenido de dicho documento. 1.14. Mediante oficio N° DM-235-15 de fecha 28 de abril de 2015, el señor Ministro remitió las observaciones sobre el contenido del borrador informe, incorporadas en el oficio N° DIGEPYME-OF-121-2015, adjunto a dicho documento. Lo resuelto sobre los planteamientos efectuados en dicho oficio se consideran en el Anexo de este informe. 2. RESULTADOS TEMA 1: PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE INFORMACIÓN HALLAZGO 1.1: ALINEAMIENTO INFORMACIÓN EN EL MEIC. Y PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE 2.1 Las Normas Técnicas para la Gestión y Control de las Tecnologías de Información, en su norma 2.1, establecen respecto de la planificación de las tecnologías de información que: “La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos mediante procesos de planificación que logren el balance óptimo entre sus requerimientos, su capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes y emergentes”. 2.2 El estudio efectuado permitió determinar que a pesar de algunos esfuerzos realizados en el MEIC en los últimos dos años, en cuanto a la inversión en hardware y software, mantenimiento y reparación de equipos de cómputo y sistemas de información, en el desarrollo de servicios y en la suscripción de convenios para servicios de información y comunicación, entre otros; el Ministerio no ha logrado consolidar la función de las Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 6 tecnologías de información (TI) desde un punto de vista estratégico, que permita lograr el desarrollo institucional a partir de los beneficios de las TI. 2.3 Asimismo, tampoco fue posible evidenciar que existiera un alineamiento entre los objetivos estratégicos de las TI con la visión estratégica y el rumbo establecido por las autoridades superiores del MEIC, por cuanto no queda claro cómo las TI pueden apoyar a las diferentes áreas de ese Ministerio en el cumplimiento de sus objetivos. La situación descrita tiene respaldo en los riesgos identificados por el mismo Ministerio, por cuanto en la propuesta de Plan Estratégico de Tecnologías de Información y Comunicación (PETIC), se señala como uno de los riesgos la ausencia de alineación entre ese documento y el Plan Estratégico Institucional (PEI). 2.4 En línea con lo anterior, debe señalarse, que el marco conceptual sobre el cual se sustenta la gestión de tecnologías de información debe partir de la filosofía institucional (misión, visión y valores) del Ministerio, la plataforma tecnológica requerida, el factor humano capacitado para desarrollar y dar mantenimiento a los sistemas de información que apoyen el PEI en el corto, mediano y largo plazo, así como para dar el soporte necesario en lo que respecta al software base (sistemas operativos, telecomunicaciones, firewals, antivirus, apoyo al usuario, etc.). Además, la planificación de la gestión de TI debe contar en todo momento con el apoyo de la autoridad superior y los recursos financieros necesarios para poder ejecutarse, sin tener que apartarse de los elementos de política y regulaciones que la rigen. 2.5 La razón por la cual se presenta esta debilidad, se debe a que el Ministerio no cuenta con un procedimiento o mecanismo de control que permita asegurar que el PETIC, se encuentre debidamente alineado con el Plan Estratégico Institucional. Además, no cuenta con un marco estratégico de TI suficiente, que incluya al menos la normativa, los componentes básicos y la estrategia para el mejor aprovechamiento de los recursos humanos y financieros necesarios para el desarrollo de las TI. 2.6 Lo anterior, limita a la institución contar con un marco de tecnologías de información que le permita organizar y planificar las TI en función de los beneficios que ofrece, aspecto que tiene los siguientes efectos. Ausencia de aprobación del Plan Estratégico de Tecnologías de Información y Comunicación (PETIC) 2.7 La propuesta de Plan Estratégico de Tecnologías de Información y comunicación (PETIC), fue elaborada para el período 2012-2014, sin embargo; a la fecha de cierre de la auditoria no se había aprobado formalmente por parte de las autoridades superiores del MEIC2, 2 Al respecto, el Departamento de Tecnologías de Información, manifestó que: “…sobre la indicación de la fecha de aprobación y el nombre del encargado de aprobación del PETIC… no se recibió por parte de este Departamento ningún visto bueno de aprobación y firma de dichos documentos”. Asimismo, tampoco la Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 7 además; como se puede apreciar ya su período de vigencia se estaba agotando, por ende no se puede dar por válido que la estrategia que se ha seguido en lo que respecta a TI sea concordante con la visión actual de las autoridades, como tampoco se puede validar el apoyo que éstas puedan ofrecer a los planes y proyectos que en dicho documento se establecen y los que puedan incorporarse en el futuro. Ausencia de alineamiento entre la Planificación Institucional y la Planificación de las Tecnologías de Información 2.8 No se encontró evidencia que en la propuesta del PETIC, se hubiese realizado una alineación entre los objetivos estratégicos institucionales y los definidos en el PETIC, tal y como lo establecen las sanas prácticas en la materia3. No existe documentación relacionada con el marco normativo y los componentes básicos de la Gestión de TI 2.9 No se encontró evidencia que exista en el MEIC documentación relacionada con los manuales de estándares para la gestión de los sistemas de información, que contemplen entre otras cosas; la metodología para la adquisición, el desarrollo e implementación de sistemas y la administración de proyectos. Asimismo, también se carece de herramientas de planificación, metodología, portafolio de proyectos, políticas para el respaldo de información, de mitigación de riesgos, de contingencias. El único documento formal del marco normativo que regula las funciones de TI en el MEIC que se encuentra vigente a la fecha, es el denominado “Políticas para el uso de Correo Electrónico y Acceso a Internet”. TEMA 2: ADMINISTRACIÓN Y SEGURIDAD DE LA INFORMACIÓN HALLAZGO 2.1: CARENCIA INFORMACIÓN EN EL MEIC DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA 2.10 Las Normas Técnicas para la Gestión y Control de las Tecnologías de Información, en la Norma 1.4 señalan que: La organización debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factores disfuncionales. / Para ello debe documentar e implementar una política de Dirección Administrativa Financiera y Oficialía Mayor, tenía conocimiento de la situación planteada, por cuanto correspondió a gestiones de la administración anterior. 3 En la propuesta de PETIC, como parte de los riesgos se establece en el apartado denominado “Alineación del Plan estratégico institucional y el PETIC” (Página 29), que: “Como consecuencia de fallos en la alineación entre el PETIC y el Plan Estratégico, puede suceder que la definición de planes tácticos incongruentes con el PETIC, la ejecución proyectos no previstos, la desactualización del PETIC y la desviación de las prioridades aprobadas por E@MEIC afecten negativamente el cumplimiento de los objetivos estratégicos”. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 8 seguridad de la información y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos. 2.11 Adicionalmente, la Norma 1.4.1 de dichas Normas Técnicas en relación con la implementación de un marco de seguridad de la información, indica que la institución debe: a) Establecer un marco metodológico que incluya la clasificación de los recursos de TI, según su criticidad, la identificación y evaluación de riesgos, la elaboración e implementación de un plan para el establecimiento de medidas de seguridad, la evaluación periódica del impacto de esas medidas y la ejecución de procesos de concienciación y capacitación del personal. / b) Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar periódicamente acciones para su actualización. / c) Documentar y mantener actualizadas las responsabilidades tanto del personal de la organización como de terceros relacionados. 2.12 Estos criterios se refuerzan en las mejores prácticas consignadas en la norma ISO 27001, en su numeral 5, en cuanto a que “la gerencia debe proporcionar evidencia de su compromiso con el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejoramiento del Sistema de Gestión de la Seguridad de la Información (SGSI) al establecer una política de seguridad, asegurar que se establezcan objetivos y planes del SGSI, establecer roles y responsabilidades para la seguridad de la información”. 2.13 En la auditoría realizada se evidenciaron una serie de debilidades relacionadas con la administración y seguridad de la información, en aspectos relacionados con la suficiencia de la normativa y en prácticas adecuadas de infraestructura tecnológica. Esta situación se presenta debido a que el Ministerio no cuenta con un sistema formal de gestión de la seguridad de la información que incluya políticas, procesos, procedimientos, estructuras organizacionales y funciones para establecer, monitorear, revisar y mejorar los controles que aseguren de manera razonable la confidencialidad, integridad y disponibilidad de la información institucional; así como fortalecer y apoyar el cumplimiento de los objetivos institucionales. 2.14 Lo anterior, expone a la institución a vulnerabilidades por uso indebido de información, alteración no autorizada o pérdida de esta, sabotajes, fraudes, alto riesgo de suspensión de servicios informáticos por fallas en los equipos principales, entre otros. A continuación se comentan algunos aspectos observados y determinados en esta Auditoria4: En la sala de servidores y en los espacios destinados para los racks, se encontraron cajas de cartón, recipientes con basura y papeles, lo que incrementa la posibilidad y riesgo de un siniestro. 4 Inspección física realizada a las instalaciones del Departamento de Tecnologías de Información y Comunicación (DTIC) del MEIC el 4 de septiembre de 2014. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 9 Algunos paneles de cableado se encuentran sin estructura y rotulación, lo que impide un mantenimiento oportuno y eficaz de las estaciones de trabajo conectadas por este medio. Esta debilidad se observó también en los racks ubicados en varios pisos. Existen equipos de aire acondicionado en desuso y equipos para desecho guardados, cerca de los racks. El espacio para el rack del piso 1, se encuentra dentro de la oficina de la viceministra, de forma tal que en caso de emergencia si esas oficinas se encuentran cerradas, impide que los funcionarios de soporte de la DTIC puedan acceder con oportunidad y seguridad al equipo. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 10 Por su parte el espacio del centro de cómputo donde se ubican los servidores y racks es reducido y se encuentra saturado con equipos que dificultan transitar libremente y se encuentra aislado de los cubículos por una puerta con llave, sin embargo; en la inspección realizada, dicha puerta se encontraba abierta y no se evidenció la existencia de una bitácora que permita controlar el acceso de las personas externas a dicha oficina. HALLAZGO 2.2: DEBILIDADES EN EMPRESARIAL COSTARRICENSE (SIEC) LA SEGURIDAD DEL SISTEMA DE INFORMACIÓN 2.15 El artículo 35 de la Ley N° 6054, establece que el MEIC debe dentro de las funciones relacionadas con el desarrollo de las Pequeñas y Medianas Empresas (PYMES): “Fomentar, promover y actualizar el Sistema de Información Empresarial Costarricense (SIEC), el cual será un sistema centralizado en el Ministerio, que generará toda la información relativa al fomento y apoyo de la empresa”. 2.16 Asimismo, los artículos 16.c, 17.b y 28-A del Reglamento, mencionan que el MEIC mediante convenios específicos, reconocerá a instituciones públicas o privadas como centros regionales de apoyo y atención a las PYME y a los emprendedores, con el objetivo 5 Modificado por el artículo 30 de la Ley de Fortalecimiento de las Pequeñas y Medianas Empresas (PYMES), N° 8262. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 11 de “utilizar el SIEC como una plataforma tecnológica de información de uso común, sobre el proceso de atención al emprendedor y las PYME”. 2.17 Por otra parte, las Normas Técnicas para la Gestión y Control de las tecnologías de información, en las normas 1.4.4, 1.4.6, 2.3 y 4.3 establecen que: La organización debe implementar las medidas de seguridad relacionadas con la operación de los recursos de TI y las comunicaciones, minimizar su riesgo de fallas y proteger la integridad del software y de la información. La organización debe mantener la integridad de los procesos de implementación y mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o pérdida de información. La organización debe tener una perspectiva clara de su dirección y condiciones en materia tecnológica, así como de la tendencia de las TI para que conforme a ello, optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinámica y evolución de las TI. La organización debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones válidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma íntegra y segura. 2.18 En la auditoría realizada, se determinó que el MEIC cuenta con el denominado Sistema de Información Empresarial Costarricense, el cual fue diseñado para generar toda la información relativa al fomento y apoyo de las PYMES. Dicho sistema puede ser accesado en la página WEB del Ministerio, por las personas físicas o jurídicas que soliciten la inscripción como PYMES. Una vez que ingresan al módulo correspondiente, deben llenar en línea la información que el sistema les solicita6 sobre datos generales de la empresa, datos del apoderado de la empresa, tipo de empresa, monto de las ventas anuales netas y monto de los activos totales y de los activos fijos netos. En el análisis realizado se evidenciaron una serie de debilidades que afectan la operación del SIEC, las cuales se presentan a continuación. Riesgo de accesos no autorizados al SIEC 2.19 Al accesar el SIEC a través de la Web en la dirección electrónica www.siec.go.cr, se determinó que esa dirección está inserta en el protocolo de comunicación “HTTP”, que es el protocolo de comunicación estándar que utiliza internet para que los usuarios puedan navegar libremente a las diferentes páginas existentes en esa red. 6 La información solicitada corresponde a los requisitos establecidos en el artículo 29 del Decreto Ejecutivo N° 37121-MEIC “Reforma integral al reglamento general de la ley de fortalecimiento de las pequeñas y medianas empresas, Ley N° 8262, Decreto Ejecutivo N° 33111 del 06 de abril de 2006”. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 12 2.20 Al ser un protocolo de comunicación que no es seguro, existe el riesgo de afectar la confidencialidad y la integridad de los datos de las empresas que se están inscribiendo como PYMES, por cuanto la información que los usuarios ingresan al sistema, no está llegando de manera encriptada al servidor donde se encuentre instalado el SIEC. 2.21 Tal situación podría provocar que la información suministrada por las empresas que buscan calificar como PYMES, sea manipulada por terceras personas, y utilizarla con fines distintos a los que la Ley N° 8262 les define, poniendo en riesgo la estabilidad de esas empresas y exponiendo al MEIC a posibles demandas legales por parte de aquellos que se consideren afectadas por esa situación. Licencias de Filtros de Tráfico (Firewall) y Antivirus 2.22 Las licencias de filtros de tráfico (firewall) incorporados en la plataforma tecnológica del MEIC para minimizar el riesgo de acceso de usuarios no autorizados a los distintos sistemas que tiene el MEIC en operación, incluyendo el SIEC; si bien tienen licenciamiento perpetuo, están desactualizadas y sin soporte técnico desde hace dos años. Asimismo, el antivirus “Kaspersky” estuvo desactualizado por mes y medio aproximadamente y fue hasta el 12 de diciembre de 2014 que fue renovado por dos años. 2.23 Esta situación podría afectar no solo la estabilidad del SIEC, si no de manera integral todos los sistemas que tenga en operación el MEIC, así como también los servidores en que se encuentran instalados, ya que una combinación de los factores, como lo son la ausencia de un protocolo seguro de comunicación, y en adición firewall desactualizados, podrían generar ataques cibernéticos principalmente a través de la web, con el fin de sustraer datos para otros fines, o bien, provocar pérdidas de información y daños en los equipos (servidores y bases de datos). Por tanto, de materializarse ese riesgo, obligaría a las autoridades del Gobierno a realizar inversiones de inestimable cuantía para estabilizar tanto la plataforma tecnológica como también los sistemas de información que eventualmente se vean afectados. Además, expone a la Institución a eventuales demandas legales por parte de los usuarios que se sientan afectados. Capacidad de la memoria de los Servidores 2.24 Los servidores que soportan el SIEC, no cuentan con la capacidad de memoria requerida para lograr mayor eficiencia en la prestación de los servicios, afectando el servicio al usuario, especialmente, en los períodos de alta demanda; no obstante en el SIEC, la capa de aplicación del sistema se encuentra instalada en un servidor aparte de la base de datos, el cual tiene 16 giga-bites de memoria auxiliar (RAM). Ausencia de controles de validación en el proceso de ingreso de datos al SIEC 2.25 Para ingresar al sistema una solicitud nueva de PYMES, el usuario primero debe registrarse, digitando sus datos personales en cuanto a número de cédula, nombre y apellidos y una dirección de correo electrónico. Si bien es cierto, el sistema valida que el campo “cédula” fuera un campo numérico y de una longitud fija de nueve caracteres, en Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 13 el caso de los datos personales como lo son el nombre y apellidos, permite ingresar entre otras cosas, caracteres especiales y de una longitud variable, que no guardan relación con los estándares ya definidos para ese tipo de datos, ya que, el sistema no valida que guarde consistencia con datos de personas físicas contenidas en bases de datos como la de la CCSS o el Registro Civil y en el caso de personas jurídicas, con información proveniente del Registro Público, para que en el evento de no existir ese número de cédula o el nombre que se está ingresando, rechazar el registro hasta que se ingrese la información correcta. 2.26 La razón por la cual se presentan estas inconsistencias se debe a la débil planificación estratégica en el Ministerio, que ha provocado a su vez que no se cuente con un certificado de autenticación que garantice a los usuarios que están ingresando datos al SIEC en una plataforma segura, que avale la confidencialidad y la integridad de la información que suministran, asimismo, que el SIEC no está integrado con otros sistemas. 2.27 No obstante, que el artículo N° 28 y siguientes del Reglamento a la Ley N° 8262, señala que la DIGEPYME podrá verificar en cualquier momento la veracidad de esos datos, y que el artículo N° 30 del referido reglamento establece un plazo de cinco días para incluirla en el registro de empresas en el SIEC, lo cierto del caso es que está recayendo en los funcionarios de esa Dirección todo el proceso de análisis, verificación y validación de requisitos, hasta llegar a la aprobación o rechazo de las solicitudes PYMES que presentan los interesados, lo cual podría ocasionar incumplimientos en los tiempos establecidos debido a que son ellos los que deben estar consultando fuera de línea, entre otras, las bases de datos como son las de la CCSS, Registro Civil, Registro Nacional o del Ministerio de Hacienda para comprobar la veracidad de la información que se consigna en las solicitudes PYMES que presentan los interesados en obtener esa condición, consecuentemente también aumenta los costos operativos de ese Ministerio, al utilizar más horas/hombre, horas/equipo en realizar esas consultas. 2.28 Adicionalmente, debe señalarse que algunos de los aspectos comentados en este informe han sido identificados por la Auditoría Interna del Ministerio7 en informes anteriores a este documento, razón por la cual es importante que esa Administración incorpore las acciones necesarias para su mejoramiento. 3. CONCLUSIONES 3.1 El Ministerio de Economía Industria y Comercio debe alinear los procesos para definir tanto el plan estratégico de tecnologías de información y comunicación como el marco conceptual en que se sustenta la planificación estratégica institucional, de tal forma que le permita al Ministerio aprovechar y poner a disposición de los usuarios todos los beneficios de la tecnología en función de los objetivos establecidos y del servicio público que brinda. 7 Informes de Auditoría Interna N°INF-AI-01 1-11, N° INF-AI-010-2010, N° AI-OF-005-2009. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 14 3.2 En línea con lo anterior, el MEIC debe desarrollar mayores esfuerzos en lo que respecta a propiciar una mejora en la gestión de TI, por cuanto se carece de un proceso integral, formalmente establecido, estructurado y documentado de planificación estratégica de las TI, aspecto que no solo impacta en los sistemas de información sino en la oportuna documentación de los procesos relacionados, en las líneas de autoridad y responsabilidad, en la documentación de los componentes básicos de tecnologías de información, en la ausencia de normativa de TI y en la infraestructura tecnológica. Además; carece de un sistema sólido de administración y seguridad de la información. 3. 3 Con respecto al Sistema de Información Empresarial Costarricense, si bien es cierto es operativamente funcional, refleja debilidades importantes en las cuáles debe trabajar la Administración para efectos de mejorar sus servicios a los usuarios tanto internos como externos, tales como la ausencia de un protocolo de comunicación seguro para el acceso al sistema, debilidades relacionadas con la capacidad de memoria de los servidores y la ausencia de controles de validación en el proceso de ingreso de datos, que atentan contra temáticas fundamentales como la gestión y el control de las tecnologías de información, así como, la administración y seguridad de los datos. 4. DISPOSICIONES 4.1 De conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, N° 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, N° 8292, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo o en el término conferido para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad. 4.2 Este Órgano Contralor se reserva la posibilidad de verificar, por los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar la aplicación de los procedimientos administrativos que correspondan, en caso de su incumplimiento injustificado. AL LICENCIADO WELMER RAMOS GONZÁLEZ, MINISTRO COMERCIO, O A QUIEN EN SU LUGAR OCUPE EL CARGO 4.3 DE ECONOMÍA INDUSTRIA Y Definir y poner en ejecución, en un plazo no mayor de 60 días hábiles contados a partir de la fecha de recibo de este informe, un procedimiento o mecanismo de control que permita asegurar que el Plan Estratégico de Tecnologías de Información y Comunicación (PETIC), se encuentre debidamente alineado con el Plan Estratégico Institucional. Sobre el particular, se le solicita remitir a esta Contraloría General en un plazo no mayor de 10 días hábiles posteriores al vencimiento de ese plazo, una certificación en la cual se acredite la definición y puesta en ejecución del mecanismo o procedimiento de control indicado. (Ver Hallazgo 1.1, párrafos 2.1 al 2.9 de este informe). Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 15 4.4 Definir, formalizar e implementar, en un plazo no mayor de 90 días hábiles, el marco estratégico de TI, el cual debe incluir entre otros, la formulación y aprobación del Plan Estratégico de Tecnologías de Información y Comunicación (PETIC), la elaboración de la normativa y herramientas relacionadas con los componentes básicos de TI y la estrategia para el mejor aprovechamiento de los recursos humanos y financieros necesarios para el desarrollo de las TI. Remitir a esta Contraloría General en un plazo de 45 días hábiles, un informe de avance de las acciones ejecutadas en relación con la implementación del Marco Estratégico de TI, y en un plazo máximo de 10 días hábiles posteriores a la formalización e implementación del marco estratégico de TI, una certificación en la que se acredite que se cumplió con la definición, formalización e implementación del marco estratégico de TI. Todos los plazos rigen a partir de la fecha de recibo de este informe. (Ver Hallazgo 1.1, párrafos 2.1 al 2.9 de este informe). 4.5 Definir e implementar, en un plazo no mayor de 180 días hábiles, un sistema formal de gestión de la seguridad de la información que incluya procesos y procedimientos, que permitan monitorear, revisar y mejorar los controles que garantizan razonablemente la confidencialidad, integridad y disponibilidad de la información institucional. Remitir a esta Contraloría General, en un plazo máximo de 10 días hábiles posteriores al plazo indicado, certificación en la cual conste la definición e implementación del sistema, asimismo, en un plazo de 90 días hábiles, un reporte del avance en el cumplimiento de esta disposición. Todos los plazos rigen a partir de la fecha de recibo de este informe. (Ver Hallazgo 2.1, párrafos 2.10 al 2.14 de este informe). 4.6 Definir, aprobar e implementar, en un plazo no mayor de 240 días hábiles, una propuesta que incluya las acciones que se ejecutarán para corregir las debilidades apuntadas en este informe relacionadas con la operación del Sistema de Información Empresarial Costarricense (SIEC), así como un cronograma de ejecución de la propuesta el cual contenga como mínimo los plazos de las diferentes actividades, los responsables de cada una de ellas, fechas de inicio y finalización de la propuesta. Dicha propuesta deberá estar elaborada en un plazo de 60 días hábiles y su puesta en práctica en un plazo no mayor de 180 días hábiles posteriores a la aprobación de la propuesta. Remitir a esta Contraloría General, en un plazo máximo de 10 días hábiles posteriores a la definición y aprobación de la propuesta, certificación en la cual conste lo indicado, y en un plazo máximo de 10 días hábiles posteriores a la implementación de la propuesta, certificación de lo aquí dispuesto. Asimismo, cada 60 días hábiles remitir un reporte del avance en el cumplimiento de esta disposición. Todos los plazos rigen a partir de la fecha de recibo de este informe. El cumplimiento de esta disposición debe llevarse a cabo considerando adicionalmente lo recomendado por la Auditoría Interna de ese Ministerio, sobre los aspectos comentados. (Ver Hallazgo 2.2, párrafos 2.15 al 2.28 de este informe). Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 16 ANEXO OBSERVACIONES AL BORRADOR DEL INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE ECONOMIA INDUSTRIA Y COMERCIO (MEIC) Nro. Párrafos No indica Observaciones Administración Punto 1: En este punto se comenta que el SIEC fue creado por Ley N° 8262 “Ley de Fortalecimiento a las PYME” cuya versión actual opera bajo la tutela del MEIC y administrada por medio de los servicios técnicos, que ofrece el Departamento de TI, y con el equipo hardware y software que posee la institución. Es una plataforma que efectivamente contribuye con los objetivos estratégicos, la formulación y el desarrollo de las políticas públicas dirigidas a los sectores de Industria, Comercio y Servicios, muy especialmente de las MIPYMES. ¿Se acoge? Sí No Parcial Argumentos CGR Los argumentos expuestos fueron de conocimiento del equipo de auditoría, esta Contraloría manifiesta estar de acuerdo con lo externado en dicho oficio. No requiere modificación al contenido del informe. Nro. Párrafos No indica Observaciones Administración Punto 2. El comentario de la Administración está dirigido a considerar el informe de la Contraloría General en un marco de referencia para sustentar y fundamentar ante las instancias la necesidad de dar contenido al Programa 219 de la Dirección General de Apoyo a la Pequeña y Mediana Empresa. ¿Se acoge? Sí No Parcial Argumentos CGR Los comentarios de la Administración no modifican lo indicado en el informe. Nro. Párrafos 1.8 Observaciones Administración Punto 3: Considera el oficio de la Administración que se debe agregar en el informe la Ley N° 8591 “Ley de Desarrollo, Promoción y Fomento de la Actividad Agropecuaria Orgánica”, modificación al artículo 3 de la Ley N° 8262. ¿Se acoge? Sí No Parcial Argumentos CGR Se acepta la solicitud de la Administración y se agrega un pie de página con la información requerida. Nro. Párrafos No indica Observaciones Administración Punto 4: El comentario de la Administración solicita verificar la referencia del oficio DM653-12- si corresponde al Decreto que Reforma el Reglamento a la Ley Orgánica del MEIC. ¿Se acoge? Argumentos Sí No Parcial Se acoge la sugerencia de la Administración y se indica en el informe que se trata del oficio Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 17 CGR DM-653-12 mediante el cual se aprueba por parte del Ministerio de Planificación y Política Económica (MIDEPLAN). Nro. Párrafos 11.1 Observaciones Administración Punto 5: Indica el oficio de la Administración que no se detallan las fuentes de información utilizadas ¿Se acoge? Sí No Parcial Argumentos CGR En el punto de Metodología Aplicada, se detalla en el informe entre otras cosas que se realizaron entrevistas, confirmaciones, comprobaciones, inspecciones físicas, análisis documentales, pruebas analíticas y la correspondiente comunicación de los resultados. Se aclara en este aspecto que toda la ejecución de la auditoria se documenta como parte del proceso de gestión de calidad. Nro. Párrafos 2.2 Observaciones Administración Punto 6.1: La Administración realiza el comentario respecto de la necesidad de que exista un programa institucional de TI, las necesidades que tienen por ejemplo la DIGEPYME y otras Direcciones. Que previamente al presupuesto del 2016 se proyecten las necesidades de TI, y que se considere la situación actual del SIEC, respecto al nuevo SIEC. ¿Se acoge? Sí No Parcial Argumentos CGR Los argumentos expuestos por la Administración no contienen elementos nuevos que modifiquen o contradigan la posición de esta Contraloría General, por el contrario, se refuerza la tesis expuesta dado que la Administración argumenta se debe de tener un plan institucional. Nro. Párrafos 2.3 y 2.4 Observaciones Administración El comentario de la Administración se orienta a que una vez que se tenga el Plan Estratégico de Tecnologías de Información y Comunicación (PETIC) de la Administración se “sociabilice” a nivel de las Direcciones y funcionarios, para realizar los ajustes que procedan y que se armonicen los planes. ¿Se acoge? Sí No Parcial Argumentos CGR Se mantiene la posición de esta Contraloría General, el comentario esta efectuado en congruencia con el alcance del informe. Nro. Párrafos 2.9 Observaciones Administración La Administración solicita que se incluya en el informe lo correspondiente a los manuales de estándares para la gestión de los sistemas de información, especialmente para el SIEC, en lo que se refiere al protocolo de seguridad y cualesquier otras directrices o líneas de acción. ¿Se acoge? Argumentos CGR Sí No Parcial El argumento de la Administración es compartido por esta Contraloría General, en cuanto a la necesidad de que existan manuales de estándares, sin embargo, este es un aspecto que debe ser valorado por parte del Ministerio, por lo que no se modifica el contenido del informe Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 18 Nro. Párrafos 2.13 Observaciones Administración Punto 6.2: El comentario se orienta a requerir que en el PETIC, se incluyan los requerimientos para el SIEC, y que a su vez este sincronizada con las políticas de Gobierno Abierto y los planes, programas y prioridades institucionales e interinstitucionales. ¿Se acoge? Sí No Parcial Argumentos CGR Considera esta Contraloría General que el argumento expuesto es congruente con lo indicado en el informe, por lo tanto se comparten los criterios externados sin que requiera una modificación a lo establecido en el informe. Nro. Párrafos Hallazgo 2.2 Observaciones Administración Punto 6.13: El comentario de la Administración está dirigido a reforzar la tesis de que se está trabajando en los problemas de seguridad del SIEC, y como parte de las mejoras lograr una interoperabilidad con otras instituciones del Estado y aplicar los principios de la Ley N° 8220, desarrollar el Web Service, además menciona que la operatividad del sistema no es solo responsabilidad de la Dirección (DIGEPYME). La aplicación del sistema obedece a una arquitectura que responde a como fue concebida pero que se debe mejorar. ¿Se acoge? Sí No Parcial Argumentos CGR Los argumentos expuestos fueron de conocimiento del equipo de auditoría, esta Contraloría comparte lo externado en dicho oficio. No requiere modificación al contenido del informe. Nro. Párrafos 2.20 y 2.21 Observaciones Administración Punto 7: El comentario expresa la preocupación de la Directora de la DIGEPYME y la Jefe de Registro y Certificaciones, la cual solicita que en tanto se logran las mejoras al nuevo SIEC, se pongan en práctica las disposiciones de la Contraloría General, reduciendo la vulnerabilidad del sistema. ¿Se acoge? Sí No Parcial Argumentos CGR Esta Contraloría comparte las manifestaciones aportadas. No implica modificación a los comentarios del informe. Nro. Párrafos No indica Observaciones Administración Punto 8: Los comentarios se orientan a reforzar los criterios señalados en el informe respeto de los temas de licencias, filtros, antivirus, capacidad de memoria, en el entendido de que la confianza que depositan los usuarios en la institución. ¿Se acoge? Sí No Parcial Argumentos CGR Los argumentos apoyan los criterios del informe. No requiere modificación a su contenido. Nro. Párrafos No indica Observaciones Administración Punto 9: La Administración indica que si bien es cierto, el SIEC es “poco amigable”, se cuenta con una gestión de validación de la información y datos que se llama “asignación de expediente” que procura garantizar la seguridad de la información de los trámites que se realizan. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 19 ¿Se acoge? Sí No Parcial Argumentos CGR Los argumentos expuestos fueron de conocimiento del equipo de auditoría. No requiere modificación al contenido del informe. Nro. Párrafos No indica Observaciones Administración Punto 10: Se refiere a la necesidad de coordinar interinstitucionalmente para no duplicar tareas. ¿Se acoge? Sí No Parcial Argumentos CGR Se comparte lo externado por la Directora de la DIGEPYME y la Jefe de Registro y Certificaciones. No implica modificaciones al informe. Nro. Párrafos 2.27 Observaciones Administración ¿Se acoge? Punto 11: Menciona la necesidad de contar con el financiamiento para el nuevo SIEC Argumentos CGR No implica modificaciones al informe. Nro. Párrafos 2.27 Observaciones Administración Punto 12: Sobre las recomendaciones: Indica que del informe queda claro la necesidad de contar con una nueva plataforma siempre que la administración superior consiga el financiamiento. Explica cómo se desarrollará el nuevo SIEC. ¿Se acoge? Sí Sí No No Parcial Parcial Argumentos CGR No implica modificaciones al informe. Es importante aclarar que en el informe se comenta la necesidad de mejorar el sistema bajo los principios de uso racional de los recursos, no indica que se debe contar con una nueva plataforma, eso es una decisión de la Administración. Nro. Párrafos 2.15 AL 2.27 Observaciones Administración Punto 13: Menciona el comentario que la primera etapa del nuevo SIEC dependerá de la capacidad presupuestaria del MEIC y que el programa presupuestario 219 no cuenta con recursos suficientes para adquirir todos los dispositivos de seguridad. Indica que los plazos señalados en el informe serían insuficientes. ¿Se acoge? Argumentos CGR Sí No Parcial Los argumentos son parte de los aspectos que debe valorar la administración en el mejoramiento del SIEC. En lo que respecta a los plazos ni el oficio del Ministro ni el de la Directora de la DIGEPYME y la Jefe de Registro y Certificaciones, establecen un plazo como propuesta, por lo que no existen argumentos para modificar el contenido de la disposición. No obstante, se le recuerda a la Administración que una vez que tengan una propuesta formalizada pueden hacerla llegar al Área de Seguimiento de Disposiciones de esta Contraloría General. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected] http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
© Copyright 2024