INFORME DE AUDITORÍA TI-15-02 20 de octubre de 2014

INFORME DE AUDITORÍA TI-15-02
20 de octubre de 2014
Departamento del Trabajo y Recursos Humanos
Administración de Desarrollo Laboral
Oficina de Sistemas de Información
(Unidad 5348 - Auditoría 13825)
Período auditado: 1 de abril de 2013 al 7 de marzo de 2014
TI-15-02
1
CONTENIDO
Página
ALCANCE Y METODOLOGÍA............................................................................................................. 2 CONTENIDO DEL INFORME............................................................................................................... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA .......................................................................... 3 COMUNICACIÓN CON LA GERENCIA............................................................................................. 6 OPINIÓN Y HALLAZGOS ..................................................................................................................... 7 1 - Falta de interfaces para integrar la información del SELEP con la del SIAC, y la de los
sistemas MIP de las áreas locales con el de la ADL ..................................................................... 8 2 - Falta de un informe de análisis de riesgos de los sistemas de información computadorizados
y de un plan de seguridad ........................................................................................................... 12 3 - Falta de un plan para la continuidad de las operaciones de la ADL ............................................ 16 4 - Deficiencias relacionadas con la definición de roles y con el mantenimiento de las cuentas
creadas en el SIAC...................................................................................................................... 17 5 - Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema
operativo del servidor principal de la red de la ADL.................................................................. 19 RECOMENDACIONES ......................................................................................................................... 21 AGRADECIMIENTO ............................................................................................................................ 23 ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL
PERÍODO AUDITADO ....................................................................................................... 24 2
TI-15-02
Estado Libre Asociado de Puerto Rico
OFICINA DEL CONTRALOR
San Juan, Puerto Rico
20 de octubre de 2014
Al Gobernador, y a los presidentes del Senado
y de la Cámara de Representantes
Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información (OSI) de la
Administración de Desarrollo Laboral (ADL), adscrita al Departamento del Trabajo y Recursos Humanos
(DTRH), para determinar si se hicieron de acuerdo con las normas generalmente aceptadas en este campo y
si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado.
Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución
del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada.
ALCANCE Y
METODOLOGÍA
La auditoría cubrió del 1 de abril de 2013 al 7 de marzo de 2014. En
algunos aspectos examinamos transacciones de fechas anteriores. El
examen lo efectuamos de acuerdo con las normas de auditoría del
Contralor de Puerto Rico en lo que concierne a los sistemas de
información. Realizamos las pruebas que consideramos necesarias, a base
de muestras y de acuerdo con las circunstancias, tales como: entrevistas;
inspecciones físicas; examen y análisis de informes y de documentos
generados por la unidad auditada o suministrados por fuentes externas;
pruebas y análisis de procedimientos de control interno y de otros
procesos; y confirmaciones de información pertinente.
CONTENIDO DEL
INFORME
Este Informe contiene cinco hallazgos sobre el resultado del examen que
realizamos de los controles establecidos para la continuidad del servicio y
la entrada de datos del Sistema Integrado de Administración de
Clientes (SIAC), el Sistema de Elegibilidad para la Lista Estatal de
Proveedores (SELEP), el Sistema Estandarizado para Servicios de
Respuesta Rápida (SERR) y el sistema de contabilidad Micro Information
TI-15-02
3
Products Fund Accounting (MIP); y de algunos aspectos de la
administración de la seguridad de la ADL. El mismo está disponible en
nuestra página en Internet: www.ocpr.gov.pr.
INFORMACIÓN SOBRE
LA UNIDAD AUDITADA
La ADL fue creada mediante la Ley 97-1991, Ley del Sistema de
Desarrollo y Adiestramiento de la Fuerza Laboral de Puerto Rico, según
enmendada1. La ADL estaba adscrita al DTRH como componente
operacional y fue redenominada como tal2 por virtud del Plan de
Reorganización 4 del 9 de diciembre de 2011, Plan de Reorganización del
Departamento del Trabajo y Recursos Humanos de Puerto Rico de 2010.
La ADL era responsable del control, la administración, la fiscalización y la
coordinación gerencial de los fondos federales en bloque que recibe el
Gobierno del Estado Libre Asociado de Puerto Rico conforme a la Ley
Pública 105-220 del 7 de agosto de 1998, Ley de Inversión en la Fuerza
Trabajadora, según enmendada (WIA, por sus siglas en inglés)3. Además,
la ADL era responsable de:

Establecer un sistema de información fiscal que facilitara la
recopilación uniforme de los datos financieros necesarios para evaluar
adecuadamente los programas que operan bajo la Ley.

Establecer controles fiscales, mediante memoriales administrativos y
cartas circulares, entre otros, que aseguraran la utilización de los
fondos de conformidad con los requisitos federales para fomentar
actividades programáticas más eficientes.
1
Mediante esta Ley se creó el Sistema de Formación Tecnológico-Ocupacional del Estado Libre Asociado de
Puerto Rico y el Consejo de Formación Tecnológico Ocupacional (Consejo), como organismo rector y normativo del
Sistema. Posteriormente, mediante la aprobación del Plan de Reorganización 2 de 1994, según enmendado, se
renomina el Consejo como el Consejo de Desarrollo Ocupacional y Recursos Humanos y se adscribe al DTRH.
2
3
Anteriormente era conocida como Consejo de Desarrollo Ocupacional y Recursos Humanos (CDORH).
Workforce Investment Act of 1998.
4
TI-15-02
La ADL distribuía los fondos de la WIA, mediante el otorgamiento de
contratos anuales, a las Áreas Locales de Desarrollo Laboral (áreas
locales) para la prestación de servicios de empleo y adiestramiento a los
participantes de los Programas de Jóvenes, Adultos y Trabajadores
Desplazados.
El programa de jóvenes tenía como propósito preparar adecuadamente a
jóvenes de 14 a 21 años para hacer viable su transición al mundo laboral,
y los programas de adultos y trabajadores desplazados tenían como
propósito, lo siguiente:

Elevar el nivel de empleo, retención e ingresos de los participantes.

Aumentar los conocimientos y las destrezas ocupacionales de la
fuerza trabajadora.

Reducir la dependencia en las ayudas gubernamentales.

Incrementar la productividad y la competitividad del País.
La ADL se componía de tres áreas: Administrativa, Operacional y Apoyo
Ejecutivo. Al Área Administrativa estaban adscritas las oficinas de
Recursos Humanos y Relaciones Laborales, Gerencia Administrativa y
Servicios Generales, y Gerencia Fiscal. Al Área Operacional estaban
adscritas las oficinas de Sistemas de Información, Monitoría, y
Planificación y Evaluación, y la Unidad Estatal de Trabajadores
Desplazados. En el Área de Apoyo Ejecutivo estaban las oficinas de
Asuntos Legales y Comunicaciones.
A la fecha de nuestra auditoría, la OSI contaba con un Ayudante Especial,
quien realizaba las funciones de Director; dos asistentes de servicio al
usuario de sistemas de información y una Administradora de Sistemas de
Oficina. Además, la ADL tenía contratadas a dos compañías para el
servicio de desarrollo y mantenimiento de aplicaciones, y para el servicio
de alojamiento (hosting) de las mismas en el espacio físico (collocation)
de una de estas compañías.
TI-15-02
5
Las aplicaciones principales de la ADL eran el SIAC, el SELEP y el
SERR. Estas aplicaciones también eran utilizadas por los usuarios de
las 154 áreas locales, quienes contaban con equipos computadorizados
totalmente independientes a los de la ADL. Desde las áreas locales se
prestaba el servicio relacionado con los fondos que se distribuyen de
la WIA.
Los fondos para financiar las actividades operacionales de la ADL
provenían principalmente de fondos federales de la WIA, asignaciones
especiales y fondos especiales estatales. Para los años fiscales del 2010-11
al 2012-13, el presupuesto de la ADL ascendió a $77,519,000,
$77,778,000 y 98,159,000, respectivamente.
El 2 de octubre de 2014 se aprobó la Ley 171-2014 para integrar
los servicios y las funciones de la ADL, y otras entidades gubernamentales
al Departamento de Desarrollo Económico y Comercio (DDEC)5. Esto,
con el propósito de optimizar el nivel de efectividad y eficiencia de la
gestión gubernamental, así como la agilización de los procesos de
prestación de servicios. Esta Ley derogó la Ley 97-1991, según
enmendada, y creó el Programa de Desarrollo Laboral (Programa) en el
DDEC con los mismos objetivos que tenía la ADL. Además, autorizó la
transferencia de empleados y bienes de la ADL al DDEC.
En la Ley 171-2014 se establece, además, que el Programa tendrá su
propio presupuesto. También se establece que tendrá la facultad de:
administrar los fondos federales de adiestramiento y empleo que se
asignan al Estado Libre Asociado de Puerto Rico mediante la WIA y
recibir, custodiar, desembolsar y administrar fondos, y adquirir un seguro
(fidelity bond) a tenor con las leyes del Estado Libre Asociado de
Puerto Rico.
4
Bayamón-Comerío, Caguas-Guayama, Carolina, Guaynabo-Toa Baja, La Montaña, Mayagüez-Las Marías, Noreste,
Noroeste, Norte Central-Arecibo, Manatí-Dorado, Ponce, San Juan, Sureste, Suroeste y Sur Central.
5
Esta Ley entró en vigor inmediatamente a partir de su aprobación.
6
TI-15-02
Las facultades y responsabilidades que tenía la ADL se delegaron en el
Secretario del DDEC y se añadieron dos adicionales:
[…]
(f) Administrar, asesorar, coordinar e implementar la política
pública que servirá como ente regulador del Programa;
(g) Trabajar y asistir a los miembros de la Junta para lograr el
cumplimiento con las disposiciones y exigencias del
"Workforce Investment Act" de 1998, según enmendado;
[sic]
[…]
El ANEJO contiene una relación de los funcionarios principales de la
ADL que actuaron durante el período auditado.
A la fecha de nuestra auditoría, la ADL contaba con una página en
Internet, a la cual se podía acceder mediante la siguiente dirección:
www.adl.pr.gov. Esta página proveía información acerca de la entidad y
de los servicios que prestaba.
COMUNICACIÓN CON
LA GERENCIA
Las situaciones comentadas en los hallazgos de este Informe fueron
remitidas a la Sra. Sally López Martínez, Administradora de la ADL,
mediante cartas de nuestros auditores, del 16 de septiembre de 2013 y
del 12 de febrero de 2014. En las referidas cartas se incluyeron anejos
con detalles sobre las situaciones determinadas durante la auditoría.
Mediante cartas del 16 de octubre de 2013 y del 27 de marzo de 2014, la
Administradora de la ADL remitió sus comentarios a los hallazgos
incluidos en la carta de nuestros auditores. Sus comentarios fueron
considerados al redactar el borrador de este Informe.
El borrador de seis hallazgos se remitió para comentarios al
Hon. Vance E. Thomas Rider, Secretario del Trabajo y Recursos
Humanos, y a la Administradora de la ADL, por cartas del
TI-15-02
7
20 de agosto de 20146. En este se indicaron datos específicos, tales como:
cuentas de acceso y nombres de servidores, los cuales por seguridad no se
incluyen en este Informe.
El 28 de agosto de 2014 la Administradora solicitó una prórroga para
remitir sus comentarios al borrador de los hallazgos de este Informe. El
29 de agosto le concedimos la prórroga hasta el 19 de septiembre de 2014.
El Secretario contestó el borrador de los hallazgos de este Informe
mediante carta recibida el 5 de septiembre de 2014. Este indicó, entre otras
cosas, lo siguiente:
Siendo la Administración de Desarrollo Laboral (ADL) un
componente externo en el organigrama del Departamento del
Trabajo y Recursos Humanos (DTRH), nuestra opinión es basada
simplemente hacia la sustancia del hallazgo y no al plan de acción
correctiva […] [sic].
El DTRH está en la mejor disposición de ayudar a la ADL en la
corrección de los hallazgos, para los cuales podemos ofrecer
personal de apoyo técnico, orientación sobre procesos, entre otras
formas de apoyo.
Entendemos que la ADL, a través de la Administradora, la
Señora Sally López, sometió comentarios dirigidos a resolver la
situación encontrada y que los mismos serán trabajados de manera
expedita. [sic]
La Administradora contestó el borrador de los hallazgos de este Informe
mediante carta del 18 de septiembre de 2014. Luego de evaluar sus
comentarios y la evidencia suministrada, determinamos que la ADL tomó
las acciones correctivas pertinentes, excepto por los hallazgos que se
incluyen en este Informe. En los hallazgos 1, 2 y 4 de este Informe se
incluyen algunos de sus comentarios.
OPINIÓN Y HALLAZGOS
Opinión favorable con excepciones
Las pruebas efectuadas y la evidencia en nuestro poder revelaron que las
operaciones de la ADL, en lo que concierne a los controles establecidos
para la continuidad del servicio, la entrada y el procesamiento de datos del
6
A dicha fecha, la ADL estaba adscrita al Departamento del Trabajo y Recursos Humanos.
8
TI-15-02
SIAC, el SELEP, el SERR y el sistema MIP, la contratación de servicios
profesionales y consultivos relacionados con la continuidad del servicio,
y la red de comunicaciones, y de algunos aspectos relacionados con la
administración de la seguridad de la ADL, se realizaron sustancialmente
conforme a las normas generalmente aceptadas en este campo, excepto
por los hallazgos del 1 al 5 que se comentan a continuación.
Hallazgo 1 - Falta de interfaces para integrar la información del
SELEP con la del SIAC, y la de los sistemas MIP de las áreas locales
con el de la ADL
Situación
a.
La WIA permitía a la ADL distribuir fondos federales del
Departamento del Trabajo de los Estados Unidos (USDOL, por sus
siglas en inglés) y de la Administración de Empleo y Capacitación
(ETA, por sus siglas en inglés), a las 15 áreas locales, mediante el
otorgamiento de contratos anuales. Esto, para que las mismas
ofrecieran servicios de empleo y de adiestramiento a los participantes
de los Programas de Jóvenes, Adultos y Trabajadores Desplazados.
La ADL contaba con el SIAC, mediante el cual se recopilaban los
datos relacionados con los participantes, el flujo de estos a través de
los servicios provistos por las áreas locales, y el resultado final de su
participación en los programas. También permitía la preparación de
informes estatales y federales, y de estadísticas para la planificación
de servicios, tanto a nivel estatal como local, para dejar constancia de
los servicios ofrecidos. La información demográfica de los
participantes, de los cursos, los adiestramientos y los empleos
ofrecidos, y de la retención de dichos empleos, era registrada en el
SIAC por los usuarios que laboraban en las 15 áreas locales. Con esta
información se podía determinar el cumplimiento de las medidas de
ejecución establecidas por el USDOL y el ETA, tales como: total de
participantes, retención de empleo, ingreso promedio, colocación en
empleo, y grados o certificados logrados, entre otros. Además, el
SIAC proveía un módulo para recopilar información de los
proveedores y de los servicios ofrecidos por estos.
TI-15-02
9
La ADL también contaba con el SELEP a través del cual los
contratistas que prestaban servicio de adiestramiento y de
capacitación para empleo anualmente radicaban en línea una solicitud
para incluir programas de adiestramiento a la Lista Estatal de
Proveedores7. Esta solicitud incluía información general de los
proveedores, tal como dirección física y fechas de permisos
operacionales de los mismos, y los servicios que estos ofrecerían a un
área local en particular.
La ADL contaba, además, con el sistema MIP para mantener la
información de las asignaciones de fondos federales de la WIA que se
asignaban a las áreas locales, y de los desembolsos realizados a
participantes y a proveedores, y por conceptos administrativos y
operacionales. Esta aplicación fue requerida por la ADL a las 15 áreas
locales, independientemente del sistema financiero que estas tuvieran.
Esto, para recopilar los datos financieros que la ADL debía evaluar,
verificar y validar para asegurar la utilización eficiente y efectiva de
los fondos federales de la WIA.
El sistema MIP estaba instalado localmente (stand-alone) en los
servidores de cada área local. Quincenalmente, las áreas locales
remitían a la Oficina de Gerencia Fiscal de la ADL los informes Cash
Journal - Informe de Flujo de Efectivo, el cual era producido por su
sistema MIP, el Análisis de Petición de Fondos y el Flujo de Efectivo,
preparados manualmente con la información del sistema MIP de cada
área local. Esto, para que en dicha oficina se evaluara y determinara si
la áreas locales contaban con balance disponible en las cuentas que
mantenían los fondos que le fueron asignados, previo a que se
realizara la transferencia quincenal de los fondos. Además,
anualmente esta oficina analizaba el Informe de Obligaciones
Presupuestarias (Encumbrance Budget Report), el cual era producido
por su sistema MIP, el Análisis de Petición de Fondos, el Informe de
7
Registro de los proveedores aprobados para cada programa de adiestramiento por una Oficial de Validación de la
ADL.
10
TI-15-02
Liquidación Cierre, el Informe Liquidación de Cuentas a Pagar, el
Informe de Cierre, el Informe de Cierre por año fiscal – Gastos
Acumulados y Petición de Fondos (Final) de los programas, y el
Informe de Cuentas a Pagar, preparados manualmente con la
información del sistema MIP de cada área local.
El examen realizado sobre el control para la entrada y el
procesamiento de los datos del SIAC, el SELEP y el sistema MIP,
reveló lo siguiente:
1)
No existía una interfaz entre el SIAC y el SELEP, de manera
que la Lista Estatal de Proveedores del SELEP se integrara
automáticamente al módulo de proveedores del SIAC. Esto
permitiría que los usuarios del SIAC en las áreas locales tuvieran
una opción de búsqueda rápida de esta Lista, y pudieran ofrecer a
los participantes información inmediata de los proveedores
autorizados a prestar servicios bajo los diferentes programas. A
la fecha de nuestra auditoría, el módulo de proveedores del SIAC
no se utilizaba, por lo que los usuarios de este sistema dependían
de una lista en papel producida por el SELEP, para proveer dicha
información a los participantes.
2)
No existía una interfaz entre los sistemas MIP utilizados en
las áreas locales y el utilizado en la ADL, que le permitiera al
personal de la Oficina de Gerencia Fiscal de la ADL asegurarse
de que los datos financieros que se registraban manualmente en
los informes remitidos por las áreas locales, correspondían a la
información registrada en el sistema MIP de cada una de estas.
Esto, con el propósito de mejorar el control fiscal de los fondos
de la WIA que la ADL desembolsaba a las 15 áreas locales, y
asegurarse de que estas cumplían con la distribución de fondos
establecida en la Guía de Planificación que emitía cada año la
Junta Estatal de la Inversión en la Fuerza Trabajadora8.
8
La WIA, en su sección 111, establece la creación de las Juntas Estatales de Inversión en la Fuerza Trabajadora. El
Gobernador establece la Junta de Inversión en la Fuerza Trabajadora para asistir en el desarrollo del Plan Estatal y
para llevar a cabo otras funciones establecidas en la sección 112 de la WIA.
TI-15-02
11
Criterio
Las situaciones comentadas son contrarias a lo establecido en la
Política TIG-011, Mejores Prácticas de Infraestructura Tecnológica, de la
Carta de Circular 77-05, Normas sobre la Adquisición e Implantación de
los Sistemas, Equipos y Programas de Información Tecnológica para los
Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la
Directora de la Oficina de Gerencia y Presupuesto. En esta se indica que se
debe establecer una política del componente de programación mediante la
cual las aplicaciones se diseñen, adquieran, desarrollen o mejoren, de
modo que la información pueda ser compartida e integrada de manera
segura con otros sistemas que así lo requieran.
Efectos
La situación comentada en el apartado a.1) no permitía que los usuarios
del SIAC y el SELEP, localizados en las áreas locales, lograran obtener un
rendimiento óptimo de las aplicaciones desarrolladas, el cual les permitiría
prestar un servicio eficaz a los participantes de los fondos de la WIA.
La situación comentada en el apartado a.2) le impedía a la ADL contar
con una herramienta efectiva para la evaluación y la fiscalización oportuna
de los fondos asignados a las áreas locales y de los gastos (administrativos,
operacionales y programas) efectuados por estas, según las partidas
asignadas a cada uno de estos conceptos.
Causa
Las situaciones comentadas se atribuyen a que los administradores de la
ADL no habían considerado la importancia de estas interfaces para
mejorar la prestación de servicios y validar la corrección de los datos de
sus sistemas.
Comentarios de la Gerencia
En la carta de la Administradora, esta nos indicó, entre otras cosas, lo
siguiente:
La ADL, anteriormente conocida como Consejo para los años
2008-11, contrató los servicios profesionales para apoyo, mejoras
y mantenimiento del sistema SIAC. Como parte de los servicios
12
TI-15-02
contratados incluyó el crear una integración entre dos aplicaciones
externas utilizadas, una programática (SELEP) y otra fiscal (MIP).
[…] [sic]
Durante el transcurso del proyecto, la ADL decide acatar
una recomendación federal de crear un Portal de Empleo, el
cual facilite el intercambio de información para personas
desempleadas, […]. La ADL determinó una prioridad de
requerimiento federal y necesidad local ante la Ley 7 y realizó el
cambio a los servicios establecidos en la contratación. [...] [sic]
Véase la Recomendación 1.
Hallazgo 2 - Falta de un informe de análisis de riesgos de los sistemas
de información computadorizados y de un plan de seguridad
Situaciones
a.
La ADL mantenía de forma computadorizada las operaciones
relacionadas con la administración de los fondos federales otorgados
por la WIA. Esto, mediante el SIAC, en el que se registraban los
participantes de los Programas de Jóvenes, Adultos y Trabajadores
Desplazados; el SELEP, en el que se registraban los contratistas que
ofrecen servicios de adiestramiento y de capacitación para empleo;
el SERR, en el que se mantenía información relacionada con
las personas desempleadas, a causa de cierres de negocios, y la
prestación de servicios a estas; y el sistema MIP en el que se mantenía
el registro financiero de las asignaciones realizadas a las áreas locales
y de los desembolsos realizados a los participantes y a los
proveedores de servicios, entre otros.
Desde el 2009, la ADL mantenía un contrato con la Compañía A para
el servicio de alojamiento (hosting) del SIAC, el SELEP y el SERR
en 4 servidores. Estos estaban localizados en un espacio físico
(collocation) perteneciente a dicha compañía. El SIAC y el SELEP
también eran utilizados por los usuarios de las 15 áreas locales, a las
que la ADL distribuía, mediante el otorgamiento de contratos anuales,
los fondos asignados por la WIA. Durante el año fiscal 2013-14, la
asignación presupuestaria de estos fondos a las áreas locales fue de
$45,379,582.
TI-15-02
13
La ADL contaba con equipos de comunicación que eran parte de su
red, a través de la cual los usuarios de las áreas locales y los de la
ADL se interconectaban con los servidores en los que se mantenía el
SIAC y el SELEP. Además, la red interconectaba a los usuarios de la
ADL con los servidores en los que se mantenía el Internet, el correo
electrónico, y el sistema MIP, entre otros sistemas, los cuales estaban
localizados en el centro de cómputos. También a través de la red, los
usuarios internos se interconectaban con el servidor de la compañía
contratada en el que se mantenía el SERR.
El SIAC, el SELEP, el SERR, el sistema MIP, los sistemas de
Internet y correo electrónico, los servidores localizados en el centro
de cómputos y los equipos de comunicación de la red, formaban parte
de los activos de sistemas de información computadorizados
existentes en la ADL. Sin embargo, al 26 de agosto de 2013, en la
ADL no se había preparado un análisis de riesgos de los sistemas de
información computadorizados.
El
análisis
de
riesgos
de
los
sistemas
de
información
computadorizados es un proceso a través del cual se identifican los
activos de sistemas de información computadorizados existentes en
una entidad, sus vulnerabilidades, y las amenazas a las que se
encuentran expuestos, así como su probabilidad de ocurrencia y el
impacto de las mismas. Esto, con el fin de determinar las medidas de
seguridad y los controles adecuados a ser implantados para aceptar,
disminuir, transferir o evitar la ocurrencia del riesgo, y proteger
dichos activos, de manera que no se afecten adversamente las
operaciones de la entidad. Mediante este proceso, se asegura que
las medidas de seguridad y los controles a ser implantados sean
costo-efectivos, pertinentes a las operaciones de la entidad y que
respondan a las posibles amenazas identificadas.
14
TI-15-02
b.
La ADL no tenía un plan de seguridad aprobado por la
Administradora, que incluyera, entre otras cosas, disposiciones en
cuanto a:

La documentación de la validación de las normas de seguridad9

La evidencia de un análisis de riesgos actualizado, que sea la
base del plan de seguridad

La responsabilidad de la gerencia y de los demás componentes
de la unidad

Un programa de adiestramiento especializado al equipo clave de
seguridad

Un programa de adiestramiento continuo sobre seguridad que
incluya a los nuevos empleados, contratistas y usuarios, y que
permita mantener los conocimientos actualizados

La documentación de los controles administrativos, técnicos y
físicos de los activos de información (datos, programación,
equipos y personal, entre otros)

La documentación de la interconexión de los sistemas.
Criterios
Las situaciones comentadas son contrarias a lo establecido en la
Política TIG-003, Seguridad de los Sistemas de Información, de la
Carta Circular 77-05. Además, la situación comentada en el apartado a.
es contraria a lo establecido en la Política TIG-015, Programa de
Continuidad Gubernamental, aprobada el 22 de septiembre de 2011 por el
Director de la OGP.
9
La validación de las normas de seguridad se efectúa mediante la prueba de los controles para eliminar o mitigar las
amenazas y las vulnerabilidades detectadas en el análisis de riesgos. Además, se valida mediante los resultados de los
simulacros efectuados para probar la efectividad del plan de seguridad.
TI-15-02
15
Efectos
La situación comentada en el apartado a. impide a la ADL estimar el
impacto que los elementos de riesgos tendrían sobre las áreas y los
sistemas críticos de esta, y considerar cómo protegerlos para reducir los
riesgos de daños materiales y la pérdida de información. Además, impide
el desarrollo de un plan de continuidad de negocios donde se establezcan
las medidas de control que minimicen los riesgos previamente
identificados a un nivel aceptable y los pasos a seguir para restablecer las
operaciones de la ADL en caso de que surja alguna eventualidad.
La situación comentada en el apartado b. podría provocar la inversión de
recursos en medidas de control inadecuadas, el desconocimiento y la falta
de entendimiento de las responsabilidades relacionadas con la seguridad, y
la protección inadecuada de los recursos críticos.
Causas
Las situaciones comentadas se atribuyen a que la Administradora no había
promulgado una directriz para la preparación y la documentación de:

Un análisis de riesgos que incluya todos los activos de sistemas de
información de la ADL, como establecen las políticas TIG-003 y
TIG-015 [Apartado a.]

Un plan de seguridad, basado en un análisis de riesgos de los sistemas
de información. [Apartado b.]
Comentarios de la Gerencia
En la carta de la Administradora, esta nos indicó, entre otras cosas, lo
siguiente:
[…] la ADL ha comenzado los procesos necesarios para la
recopilación de información para la realización del Avalúo de
Riesgos. Como parte de dicho análisis, […] se solicitó
información a las Oficinas de Finanzas, gerencia Administrativa y
Asuntos Legales con el propósito de identificar activos y valores
monetarios, para así dar continuidad a dicho proceso. […] [sic]
[Apartado a.]
16
TI-15-02
[…] La ADL publicó en […] un “Request for Proposal (RFP)”
para Servicios de hosting de Aplicaciones. La guía entregada a los
proponentes incluye entre otras cosas los requisitos de los Planes
de Seguridad de dichas aplicaciones. [sic] [Apartado b.]
Véanse las recomendaciones 2 y 3.a.1).
Hallazgo 3 - Falta de un plan para la continuidad de las operaciones
de la ADL
Situación
a.
El 20 de enero de 2010 la ADL contrató a la Compañía B para, entre
otras cosas, evaluar y auditar la red de comunicaciones a la que
estaban conectados sus equipos y sus sistemas de información, y el
centro de cómputos.
El 2 de febrero de 2010 la Oficina de Auditoría Interna y la Ayudante
Especial de la OSI recibieron la primera parte del informe de
auditoría del centro de cómputos de la ADL, Network Operating
Center Audit Findings (Report I), en el que, entre otras cosas, se
identificaba la falta de un Plan de Continuidad de Negocios y de un
Plan para la Recuperación de Desastres.
Sin embargo, al 26 de agosto de 2013, la ADL aún no contaba con un
plan de continuidad de negocios aprobado que incluyera los planes
específicos, completos y actualizados de la OSI para lograr un pronto
funcionamiento de los sistemas de información computadorizados
instalados en los servidores del centro de cómputos, y de los sistemas
a los que se les proveía el servicio de alojamiento (hosting) en los
servidores de la Compañía A, localizados en una instalación física de
esta. Esto era necesario para lograr un pronto funcionamiento de
los sistemas de información computadorizados y restaurar las
operaciones de la ADL, en caso de riesgos como: variaciones de
voltaje, virus de computadoras, ataques maliciosos a la red, y
desastres naturales, entre otros.
TI-15-02
17
Criterios
La
situación
comentada
se
aparta
de
lo
establecido
en
las
políticas TIG-003 y TIG-004, Servicios de Tecnología, de la Carta
Circular 77-05.
Efecto
La situación comentada puede propiciar la improvisación, y que en casos
de emergencia se tomen medidas inapropiadas y sin orden alguno. Esto
representa un alto riesgo de incurrir en gastos excesivos e innecesarios de
recursos, e interrupciones prolongadas de los servicios a los usuarios y a
los clientes de la ADL.
Causa
La situación comentada se atribuye a que el Ayudante Especial de la OSI
no había realizado las gestiones necesarias para preparar y mantener
actualizado un Plan de Continuidad de Negocios, según le fue
recomendado en el Network Operating Center Audit Findings (Report 1)
preparado por la Compañía B.
Véase la Recomendación 3.a.2).
Hallazgo 4 - Deficiencias relacionadas con la definición de roles y con
el mantenimiento de las cuentas creadas en el SIAC
Situaciones
a.
La seguridad del SIAC era controlada mediante la creación de cuentas
y la asignación de roles y privilegios otorgados a sus usuarios, entre
los que se encontraba personal de la ADL y de las 15 áreas locales, y
consultores externos. La seguridad estuvo administrada hasta
mayo de 2013 por la Compañía C, la cual fue contratada para el
diseño, el desarrollo y la implantación del SIAC. A partir de dicha
fecha esta responsabilidad fue asignada a una Oficial de Validación,
quien respondía al Gerente de Validación y Estadísticas de la ADL.
Como parte de la administración de la seguridad del SIAC, la Oficial
de Validación sólo creaba las cuentas de los usuarios de las 15 áreas
locales, a las cuales se les asignaba el privilegio de administrador.
La creación y la eliminación de las cuentas de acceso, y la asignación
18
TI-15-02
de los roles a los usuarios de las áreas locales, según definidas en la
tabla UserRoles del SIAC, era responsabilidad de los usuarios a los
que se les habían asignado cuentas con privilegio de administrador en
cada área local.
El examen sobre el proceso de administración de cuentas de acceso y
de asignación de roles a los usuarios del SIAC reveló que la ADL no
mantenía un control para la asignación de los roles que eran asignados
por los usuarios que tenían privilegio de administrador en las áreas
locales. Al 28 de enero de 2014, en las 15 áreas locales se habían
creado y asignado 46 roles, que no estaban definidos en la tabla
UserRoles del SIAC.
b.
Al 28 de enero de 2014, en el servidor donde se mantenían las cuentas
para acceder al SIAC existían 1,451 cuentas de usuarios. El examen
de estas cuentas reveló que 652 (45%) no se habían desactivado a
pesar de haber transcurrido entre 182 y 1,112 días luego de su último
acceso al SIAC. De estas, 62 cuentas tenían asignados roles con
privilegios correspondientes a los de un Administrador. Estos
privilegios permiten, entre otras cosas, crear, editar y eliminar
información relacionada con actividades, contactos, manejo de casos,
participantes, proveedores, roles, querellas, servicios y cuentas de
usuarios.
Criterio
Las situaciones comentadas son contrarias a lo establecido en la
Política TIG-003 de la Carta Circular 77-05. En esta se establece que las
entidades gubernamentales deberán implantar controles que minimicen
los riesgos de que los sistemas de información dejen de funcionar
correctamente y de que la información sea accedida de forma no
autorizada. Esta norma se establece, en parte, mediante controles de
acceso rigurosos a las aplicaciones y la desactivación inmediata de todas
las cuentas que no estén en uso.
TI-15-02
19
Efectos
Las situaciones comentadas impiden a la ADL mantener un control
adecuado sobre la administración de las cuentas y de los roles asignados a
los usuarios del SIAC.
Además, la situación comentada en el apartado b. propicia que personas
no autorizadas puedan utilizar estas cuentas para lograr acceso a
información confidencial mantenida en los sistemas de información
y hacer uso indebido de esta. También propicia la comisión de
irregularidades y la alteración, por error o deliberadamente, de los datos
contenidos en dichos sistemas sin que puedan ser detectados a tiempo para
fijar responsabilidades.
Causas
Las situaciones comentadas se debían a que la Administradora no había
impartido la directriz para que se establecieran las normas y los
procedimientos necesarios para:

La administración de las cuentas de acceso y la asignación de los roles
definidos en la tabla User Roles del SIAC [Apartado a.]

La creación y el mantenimiento de las cuentas de acceso de los
usuarios del SIAC. [Apartado b.]
Comentarios de la Gerencia
En la carta de la Administradora, esta nos indicó, entre otras cosas, las
medidas correctivas que ha comenzado a implantar relacionadas con los
accesos otorgados en el SIAC.
Véase la Recomendación 3.a.3), b. y d.
Hallazgo 5 - Deficiencias relacionadas con los parámetros de
seguridad configurados en el sistema operativo del servidor principal
de la red de la ADL
Situación
a.
La OSI contaba con un servidor principal mediante el cual se
controlaba el acceso a los recursos de la red de la ADL. El examen
efectuado el 27 de agosto de 2013 sobre los parámetros de seguridad
20
TI-15-02
y los controles de acceso establecidos en el sistema operativo de este
servidor reveló que no se habían definido las políticas de contraseñas
para:
1)
Desactivar automáticamente del sistema al usuario una
vez venciera el término de acceso a los recursos de la red,
previamente establecido (Force logoff when logon hours expire).
2)
Definir un término, de al menos tres intentos de acceso sin éxito,
para que el sistema deshabilitara automáticamente las cuentas
(Account lockout threshold).
3)
Requerir que las contraseñas utilizadas fueran combinaciones
alfanúmericas (Password must meet complexity requirements).
Criterio
La
situación
comentada
es
contraria
a
lo
establecido
en
la
Política TIG-003 de la Carta Circular 77-05. En esta se establece,
entre otras cosas, que las entidades gubernamentales deberán implantar
controles que minimicen los riesgos de que los sistemas de información
dejen de funcionar correctamente y de que la información sea accedida de
forma no autorizada. Esta norma se establece, en parte, mediante el uso de
todas las opciones para restringir y controlar los accesos que proveen los
distintos sistemas operativos.
Efectos
Las situaciones comentadas pueden propiciar que personas no autorizadas
accedan a información confidencial
mantenida en los sistemas
computadorizados y puedan hacer uso indebido de esta. Además, pueden
propiciar la comisión de irregularidades y la alteración, por error o
deliberadamente, de los datos contenidos en dichos sistemas sin que
puedan ser detectados a tiempo para fijar responsabilidades.
TI-15-02
21
Causa
Las situaciones comentadas se debían a que el Ayudante Especial de la
OSI no veló por que se pusieran en vigor todas las opciones de seguridad
de acceso lógico que provee el sistema operativo del servidor principal.
Véase la Recomendación 3.c.
RECOMENDACIONES
Al Secretario de Desarrollo Económico y Comercio10
1.
Ver la posibilidad de que se desarrollen las interfaces necesarias entre
el SIAC y el SELEP, para asegurar el rendimiento óptimo de estos
sistemas; y entre los sistemas MIP de las áreas locales y la ADL, para
asegurar la reconciliación y la fiscalización eficaz de los fondos de la
WIA que desembolsan las 15 áreas locales. [Hallazgo 1]
2.
Asegurarse de que se realice y se documente un análisis de riesgos
que considere los sistemas de información computadorizados que
operaban en la ADL, según se establece en las políticas TIG-003 y
TIG-015. El informe producto de este análisis de riesgos debe ser
remitido para su revisión y aprobación. Además, una vez aprobado,
ver que se revise anualmente para asegurarse de que se mantenga
actualizado. [Hallazgo 2-a.]
3.
Realizar las gestiones pertinentes para asegurarse de que:
a.
Se prepare y se remita para su aprobación:
1)
Un plan de seguridad que considere los recursos críticos que
operaban en la ADL, y que incluya los criterios descritos en
el Hallazgo 2-b. Una vez aprobado, ver que se divulgue a
los funcionarios y a los empleados concernientes, y que se
realicen evaluaciones periódicas del mismo para asegurar su
funcionamiento.
10
Mediante la aprobación de la Ley 171-2014 se integraron las funciones de la ADL como un Programa del DDEC.
Las recomendaciones de este Informe se dirigen al Secretario del DDEC por ser el encargado de administrar, asesorar,
coordinar e implementar la política pública que servirá como ente regulador de este Programa; según se establece en
dicha Ley.
22
TI-15-02
2)
Un Plan de Continuidad de Negocios, que incluya un Plan
para la Recuperación de Desastres y un Plan para la
Continuidad de las Operaciones, que considere los sistemas
de información computadorizados que operaban en la ADL,
independientemente del lugar donde estos estén instalados.
Además, debe documentar las estrategias de respaldo y de
recuperación de las operaciones alternas adoptadas por la
ADL. Una vez este sea aprobado, tomar las medidas para
asegurarse de que el mismo se mantenga actualizado y se
conserve en un lugar seguro. Además, asegurarse de que
sea distribuido a los funcionarios y a los empleados
concernientes, y de que se realicen pruebas periódicas para
garantizar la efectividad del mismo. [Hallazgo 3]
3)
Un procedimiento para reglamentar el proceso de creación y
de mantenimiento de las cuentas de acceso y de la
asignación de roles en el SIAC. [Hallazgo 4]
b.
Se evalúen los roles definidos en la tabla User Roles del
SIAC, para que esta sólo contenga aquellos que son necesarios
para las funciones que realizan los usuarios del sistema. Además,
ver que se establezcan controles en el SIAC que permitan
mantener la uniformidad en la asignación de roles otorgados a
los usuarios. [Hallazgo 4-a.]
c.
Se efectúen las modificaciones en los parámetros de seguridad
del sistema operativo del servidor principal para:
1)
Desactivar automáticamente del sistema a los usuarios una
vez venza el término de acceso a la red establecido.
[Hallazgo 5-a.1)]
2)
Configurar la opción para deshabilitar las cuentas de acceso
luego de tres intentos fallidos de conexión al sistema.
[Hallazgo 5-a.2)]
24
TI-15-02
ANEJO
DEPARTAMENTO DEL TRABAJO Y RECURSOS HUMANOS
ADMINISTRACIÓN DE DESARROLLO LABORAL
OFICINA DE SISTEMAS DE INFORMACIÓN
FUNCIONARIOS PRINCIPALES DE LA ENTIDAD
DURANTE EL PERÍODO AUDITADO
NOMBRE
CARGO O PUESTO
PERÍODO
DESDE
HASTA
Hon. Vance E. Thomas Rider
Secretario
1 abr. 13
7 mar. 14
Sra. Sally Lopez Martínez
Administradora
1 abr. 13
7 mar. 14
Sra. Coralie Córdova Rivera
Administradora Auxiliar de
Planificación y Evaluación
1 sep. 13
7 mar. 14
Sr. Carlos L. Ortiz Medina
Administrador Auxiliar de
Planificación y Evaluación
1 abr. 13
28 ago. 13
Sr. Carlos L. Pérez Long
Ayudante Especial de la Oficina de
Sistemas de Información11
23 dic. 13
7 mar. 14
16 abr. 13
23 oct. 13
Sr. Lorgio Pagán Vázquez
11
"
Este puesto estuvo vacante durante el período del 24 de octubre al 22 de diciembre de 2013.
MISIÓN
Fiscalizar las transacciones de la propiedad y de los fondos públicos, con
independencia y objetividad, para determinar si se han realizado de acuerdo
con la ley, y atender otros asuntos encomendados.
Promover el uso efectivo, económico, eficiente y ético de los recursos del
Gobierno en beneficio de nuestro Pueblo.
PRINCIPIOS PARA
LOGRAR UNA
ADMINISTRACIÓN
PÚBLICA DE
EXCELENCIA
La Oficina del Contralor, a través de los años, ha identificado principios
que ayudan a mejorar la administración pública. Dichos principios se
incluyen en la Carta Circular OC-08-32 del 27 de junio de 2008,
disponible en nuestra página en Internet.
QUERELLAS
Las querellas sobre el mal uso de la propiedad y de los fondos públicos
pueden presentarse, de manera confidencial, personalmente o por teléfono
al (787) 754-3030, extensión 1106, o al 1-877-771-3133 (sin cargo).
También se pueden presentar mediante el correo electrónico
Querellas@ocpr.gov.pr o mediante la página en Internet de la Oficina.
INFORMACIÓN SOBRE
LOS INFORMES DE
AUDITORÍA
En los informes de auditoría se incluyen los hallazgos significativos
determinados en las auditorías. En nuestra página en Internet se incluye
información sobre el contenido de dichos hallazgos y el tipo de opinión del
informe.
La manera más rápida y sencilla de obtener copias libres de costo de los
informes es mediante la página en Internet de la Oficina.
También se pueden emitir copias de los mismos, previo el pago de sellos de
rentas internas, requeridos por ley. Las personas interesadas pueden
comunicarse con el Administrador de Documentos al (787) 754-3030,
extensión 3400.
INFORMACIÓN DE
CONTACTO
Dirección física:
Internet:
105 Avenida Ponce de León
http://www.ocpr.gov.pr
Hato Rey, Puerto Rico
Teléfono: (787) 754-3030
Fax: (787) 751-6768
Dirección postal:
PO Box 366069
San Juan, Puerto Rico 00936-6069
Correo electrónico:
ocpr@ocpr.gov.pr