INFORME DE AUDITORÍA TI-15-02 20 de octubre de 2014
INFORME DE AUDITORÍA TI-15-02 20 de octubre de 2014 Departamento del Trabajo y Recursos Humanos Administración de Desarrollo Laboral Oficina de Sistemas de Información (Unidad 5348 - Auditoría 13825) Período auditado: 1 de abril de 2013 al 7 de marzo de 2014 TI-15-02 1 CONTENIDO Página ALCANCE Y METODOLOGÍA............................................................................................................. 2 CONTENIDO DEL INFORME............................................................................................................... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA .......................................................................... 3 COMUNICACIÓN CON LA GERENCIA............................................................................................. 6 OPINIÓN Y HALLAZGOS ..................................................................................................................... 7 1 - Falta de interfaces para integrar la información del SELEP con la del SIAC, y la de los sistemas MIP de las áreas locales con el de la ADL ..................................................................... 8 2 - Falta de un informe de análisis de riesgos de los sistemas de información computadorizados y de un plan de seguridad ........................................................................................................... 12 3 - Falta de un plan para la continuidad de las operaciones de la ADL ............................................ 16 4 - Deficiencias relacionadas con la definición de roles y con el mantenimiento de las cuentas creadas en el SIAC...................................................................................................................... 17 5 - Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal de la red de la ADL.................................................................. 19 RECOMENDACIONES ......................................................................................................................... 21 AGRADECIMIENTO ............................................................................................................................ 23 ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO ....................................................................................................... 24 2 TI-15-02 Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico 20 de octubre de 2014 Al Gobernador, y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de la Oficina de Sistemas de Información (OSI) de la Administración de Desarrollo Laboral (ADL), adscrita al Departamento del Trabajo y Recursos Humanos (DTRH), para determinar si se hicieron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. ALCANCE Y METODOLOGÍA La auditoría cubrió del 1 de abril de 2013 al 7 de marzo de 2014. En algunos aspectos examinamos transacciones de fechas anteriores. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias, tales como: entrevistas; inspecciones físicas; examen y análisis de informes y de documentos generados por la unidad auditada o suministrados por fuentes externas; pruebas y análisis de procedimientos de control interno y de otros procesos; y confirmaciones de información pertinente. CONTENIDO DEL INFORME Este Informe contiene cinco hallazgos sobre el resultado del examen que realizamos de los controles establecidos para la continuidad del servicio y la entrada de datos del Sistema Integrado de Administración de Clientes (SIAC), el Sistema de Elegibilidad para la Lista Estatal de Proveedores (SELEP), el Sistema Estandarizado para Servicios de Respuesta Rápida (SERR) y el sistema de contabilidad Micro Information TI-15-02 3 Products Fund Accounting (MIP); y de algunos aspectos de la administración de la seguridad de la ADL. El mismo está disponible en nuestra página en Internet: www.ocpr.gov.pr. INFORMACIÓN SOBRE LA UNIDAD AUDITADA La ADL fue creada mediante la Ley 97-1991, Ley del Sistema de Desarrollo y Adiestramiento de la Fuerza Laboral de Puerto Rico, según enmendada1. La ADL estaba adscrita al DTRH como componente operacional y fue redenominada como tal2 por virtud del Plan de Reorganización 4 del 9 de diciembre de 2011, Plan de Reorganización del Departamento del Trabajo y Recursos Humanos de Puerto Rico de 2010. La ADL era responsable del control, la administración, la fiscalización y la coordinación gerencial de los fondos federales en bloque que recibe el Gobierno del Estado Libre Asociado de Puerto Rico conforme a la Ley Pública 105-220 del 7 de agosto de 1998, Ley de Inversión en la Fuerza Trabajadora, según enmendada (WIA, por sus siglas en inglés)3. Además, la ADL era responsable de: Establecer un sistema de información fiscal que facilitara la recopilación uniforme de los datos financieros necesarios para evaluar adecuadamente los programas que operan bajo la Ley. Establecer controles fiscales, mediante memoriales administrativos y cartas circulares, entre otros, que aseguraran la utilización de los fondos de conformidad con los requisitos federales para fomentar actividades programáticas más eficientes. 1 Mediante esta Ley se creó el Sistema de Formación Tecnológico-Ocupacional del Estado Libre Asociado de Puerto Rico y el Consejo de Formación Tecnológico Ocupacional (Consejo), como organismo rector y normativo del Sistema. Posteriormente, mediante la aprobación del Plan de Reorganización 2 de 1994, según enmendado, se renomina el Consejo como el Consejo de Desarrollo Ocupacional y Recursos Humanos y se adscribe al DTRH. 2 3 Anteriormente era conocida como Consejo de Desarrollo Ocupacional y Recursos Humanos (CDORH). Workforce Investment Act of 1998. 4 TI-15-02 La ADL distribuía los fondos de la WIA, mediante el otorgamiento de contratos anuales, a las Áreas Locales de Desarrollo Laboral (áreas locales) para la prestación de servicios de empleo y adiestramiento a los participantes de los Programas de Jóvenes, Adultos y Trabajadores Desplazados. El programa de jóvenes tenía como propósito preparar adecuadamente a jóvenes de 14 a 21 años para hacer viable su transición al mundo laboral, y los programas de adultos y trabajadores desplazados tenían como propósito, lo siguiente: Elevar el nivel de empleo, retención e ingresos de los participantes. Aumentar los conocimientos y las destrezas ocupacionales de la fuerza trabajadora. Reducir la dependencia en las ayudas gubernamentales. Incrementar la productividad y la competitividad del País. La ADL se componía de tres áreas: Administrativa, Operacional y Apoyo Ejecutivo. Al Área Administrativa estaban adscritas las oficinas de Recursos Humanos y Relaciones Laborales, Gerencia Administrativa y Servicios Generales, y Gerencia Fiscal. Al Área Operacional estaban adscritas las oficinas de Sistemas de Información, Monitoría, y Planificación y Evaluación, y la Unidad Estatal de Trabajadores Desplazados. En el Área de Apoyo Ejecutivo estaban las oficinas de Asuntos Legales y Comunicaciones. A la fecha de nuestra auditoría, la OSI contaba con un Ayudante Especial, quien realizaba las funciones de Director; dos asistentes de servicio al usuario de sistemas de información y una Administradora de Sistemas de Oficina. Además, la ADL tenía contratadas a dos compañías para el servicio de desarrollo y mantenimiento de aplicaciones, y para el servicio de alojamiento (hosting) de las mismas en el espacio físico (collocation) de una de estas compañías. TI-15-02 5 Las aplicaciones principales de la ADL eran el SIAC, el SELEP y el SERR. Estas aplicaciones también eran utilizadas por los usuarios de las 154 áreas locales, quienes contaban con equipos computadorizados totalmente independientes a los de la ADL. Desde las áreas locales se prestaba el servicio relacionado con los fondos que se distribuyen de la WIA. Los fondos para financiar las actividades operacionales de la ADL provenían principalmente de fondos federales de la WIA, asignaciones especiales y fondos especiales estatales. Para los años fiscales del 2010-11 al 2012-13, el presupuesto de la ADL ascendió a $77,519,000, $77,778,000 y 98,159,000, respectivamente. El 2 de octubre de 2014 se aprobó la Ley 171-2014 para integrar los servicios y las funciones de la ADL, y otras entidades gubernamentales al Departamento de Desarrollo Económico y Comercio (DDEC)5. Esto, con el propósito de optimizar el nivel de efectividad y eficiencia de la gestión gubernamental, así como la agilización de los procesos de prestación de servicios. Esta Ley derogó la Ley 97-1991, según enmendada, y creó el Programa de Desarrollo Laboral (Programa) en el DDEC con los mismos objetivos que tenía la ADL. Además, autorizó la transferencia de empleados y bienes de la ADL al DDEC. En la Ley 171-2014 se establece, además, que el Programa tendrá su propio presupuesto. También se establece que tendrá la facultad de: administrar los fondos federales de adiestramiento y empleo que se asignan al Estado Libre Asociado de Puerto Rico mediante la WIA y recibir, custodiar, desembolsar y administrar fondos, y adquirir un seguro (fidelity bond) a tenor con las leyes del Estado Libre Asociado de Puerto Rico. 4 Bayamón-Comerío, Caguas-Guayama, Carolina, Guaynabo-Toa Baja, La Montaña, Mayagüez-Las Marías, Noreste, Noroeste, Norte Central-Arecibo, Manatí-Dorado, Ponce, San Juan, Sureste, Suroeste y Sur Central. 5 Esta Ley entró en vigor inmediatamente a partir de su aprobación. 6 TI-15-02 Las facultades y responsabilidades que tenía la ADL se delegaron en el Secretario del DDEC y se añadieron dos adicionales: […] (f) Administrar, asesorar, coordinar e implementar la política pública que servirá como ente regulador del Programa; (g) Trabajar y asistir a los miembros de la Junta para lograr el cumplimiento con las disposiciones y exigencias del "Workforce Investment Act" de 1998, según enmendado; [sic] […] El ANEJO contiene una relación de los funcionarios principales de la ADL que actuaron durante el período auditado. A la fecha de nuestra auditoría, la ADL contaba con una página en Internet, a la cual se podía acceder mediante la siguiente dirección: www.adl.pr.gov. Esta página proveía información acerca de la entidad y de los servicios que prestaba. COMUNICACIÓN CON LA GERENCIA Las situaciones comentadas en los hallazgos de este Informe fueron remitidas a la Sra. Sally López Martínez, Administradora de la ADL, mediante cartas de nuestros auditores, del 16 de septiembre de 2013 y del 12 de febrero de 2014. En las referidas cartas se incluyeron anejos con detalles sobre las situaciones determinadas durante la auditoría. Mediante cartas del 16 de octubre de 2013 y del 27 de marzo de 2014, la Administradora de la ADL remitió sus comentarios a los hallazgos incluidos en la carta de nuestros auditores. Sus comentarios fueron considerados al redactar el borrador de este Informe. El borrador de seis hallazgos se remitió para comentarios al Hon. Vance E. Thomas Rider, Secretario del Trabajo y Recursos Humanos, y a la Administradora de la ADL, por cartas del TI-15-02 7 20 de agosto de 20146. En este se indicaron datos específicos, tales como: cuentas de acceso y nombres de servidores, los cuales por seguridad no se incluyen en este Informe. El 28 de agosto de 2014 la Administradora solicitó una prórroga para remitir sus comentarios al borrador de los hallazgos de este Informe. El 29 de agosto le concedimos la prórroga hasta el 19 de septiembre de 2014. El Secretario contestó el borrador de los hallazgos de este Informe mediante carta recibida el 5 de septiembre de 2014. Este indicó, entre otras cosas, lo siguiente: Siendo la Administración de Desarrollo Laboral (ADL) un componente externo en el organigrama del Departamento del Trabajo y Recursos Humanos (DTRH), nuestra opinión es basada simplemente hacia la sustancia del hallazgo y no al plan de acción correctiva […] [sic]. El DTRH está en la mejor disposición de ayudar a la ADL en la corrección de los hallazgos, para los cuales podemos ofrecer personal de apoyo técnico, orientación sobre procesos, entre otras formas de apoyo. Entendemos que la ADL, a través de la Administradora, la Señora Sally López, sometió comentarios dirigidos a resolver la situación encontrada y que los mismos serán trabajados de manera expedita. [sic] La Administradora contestó el borrador de los hallazgos de este Informe mediante carta del 18 de septiembre de 2014. Luego de evaluar sus comentarios y la evidencia suministrada, determinamos que la ADL tomó las acciones correctivas pertinentes, excepto por los hallazgos que se incluyen en este Informe. En los hallazgos 1, 2 y 4 de este Informe se incluyen algunos de sus comentarios. OPINIÓN Y HALLAZGOS Opinión favorable con excepciones Las pruebas efectuadas y la evidencia en nuestro poder revelaron que las operaciones de la ADL, en lo que concierne a los controles establecidos para la continuidad del servicio, la entrada y el procesamiento de datos del 6 A dicha fecha, la ADL estaba adscrita al Departamento del Trabajo y Recursos Humanos. 8 TI-15-02 SIAC, el SELEP, el SERR y el sistema MIP, la contratación de servicios profesionales y consultivos relacionados con la continuidad del servicio, y la red de comunicaciones, y de algunos aspectos relacionados con la administración de la seguridad de la ADL, se realizaron sustancialmente conforme a las normas generalmente aceptadas en este campo, excepto por los hallazgos del 1 al 5 que se comentan a continuación. Hallazgo 1 - Falta de interfaces para integrar la información del SELEP con la del SIAC, y la de los sistemas MIP de las áreas locales con el de la ADL Situación a. La WIA permitía a la ADL distribuir fondos federales del Departamento del Trabajo de los Estados Unidos (USDOL, por sus siglas en inglés) y de la Administración de Empleo y Capacitación (ETA, por sus siglas en inglés), a las 15 áreas locales, mediante el otorgamiento de contratos anuales. Esto, para que las mismas ofrecieran servicios de empleo y de adiestramiento a los participantes de los Programas de Jóvenes, Adultos y Trabajadores Desplazados. La ADL contaba con el SIAC, mediante el cual se recopilaban los datos relacionados con los participantes, el flujo de estos a través de los servicios provistos por las áreas locales, y el resultado final de su participación en los programas. También permitía la preparación de informes estatales y federales, y de estadísticas para la planificación de servicios, tanto a nivel estatal como local, para dejar constancia de los servicios ofrecidos. La información demográfica de los participantes, de los cursos, los adiestramientos y los empleos ofrecidos, y de la retención de dichos empleos, era registrada en el SIAC por los usuarios que laboraban en las 15 áreas locales. Con esta información se podía determinar el cumplimiento de las medidas de ejecución establecidas por el USDOL y el ETA, tales como: total de participantes, retención de empleo, ingreso promedio, colocación en empleo, y grados o certificados logrados, entre otros. Además, el SIAC proveía un módulo para recopilar información de los proveedores y de los servicios ofrecidos por estos. TI-15-02 9 La ADL también contaba con el SELEP a través del cual los contratistas que prestaban servicio de adiestramiento y de capacitación para empleo anualmente radicaban en línea una solicitud para incluir programas de adiestramiento a la Lista Estatal de Proveedores7. Esta solicitud incluía información general de los proveedores, tal como dirección física y fechas de permisos operacionales de los mismos, y los servicios que estos ofrecerían a un área local en particular. La ADL contaba, además, con el sistema MIP para mantener la información de las asignaciones de fondos federales de la WIA que se asignaban a las áreas locales, y de los desembolsos realizados a participantes y a proveedores, y por conceptos administrativos y operacionales. Esta aplicación fue requerida por la ADL a las 15 áreas locales, independientemente del sistema financiero que estas tuvieran. Esto, para recopilar los datos financieros que la ADL debía evaluar, verificar y validar para asegurar la utilización eficiente y efectiva de los fondos federales de la WIA. El sistema MIP estaba instalado localmente (stand-alone) en los servidores de cada área local. Quincenalmente, las áreas locales remitían a la Oficina de Gerencia Fiscal de la ADL los informes Cash Journal - Informe de Flujo de Efectivo, el cual era producido por su sistema MIP, el Análisis de Petición de Fondos y el Flujo de Efectivo, preparados manualmente con la información del sistema MIP de cada área local. Esto, para que en dicha oficina se evaluara y determinara si la áreas locales contaban con balance disponible en las cuentas que mantenían los fondos que le fueron asignados, previo a que se realizara la transferencia quincenal de los fondos. Además, anualmente esta oficina analizaba el Informe de Obligaciones Presupuestarias (Encumbrance Budget Report), el cual era producido por su sistema MIP, el Análisis de Petición de Fondos, el Informe de 7 Registro de los proveedores aprobados para cada programa de adiestramiento por una Oficial de Validación de la ADL. 10 TI-15-02 Liquidación Cierre, el Informe Liquidación de Cuentas a Pagar, el Informe de Cierre, el Informe de Cierre por año fiscal – Gastos Acumulados y Petición de Fondos (Final) de los programas, y el Informe de Cuentas a Pagar, preparados manualmente con la información del sistema MIP de cada área local. El examen realizado sobre el control para la entrada y el procesamiento de los datos del SIAC, el SELEP y el sistema MIP, reveló lo siguiente: 1) No existía una interfaz entre el SIAC y el SELEP, de manera que la Lista Estatal de Proveedores del SELEP se integrara automáticamente al módulo de proveedores del SIAC. Esto permitiría que los usuarios del SIAC en las áreas locales tuvieran una opción de búsqueda rápida de esta Lista, y pudieran ofrecer a los participantes información inmediata de los proveedores autorizados a prestar servicios bajo los diferentes programas. A la fecha de nuestra auditoría, el módulo de proveedores del SIAC no se utilizaba, por lo que los usuarios de este sistema dependían de una lista en papel producida por el SELEP, para proveer dicha información a los participantes. 2) No existía una interfaz entre los sistemas MIP utilizados en las áreas locales y el utilizado en la ADL, que le permitiera al personal de la Oficina de Gerencia Fiscal de la ADL asegurarse de que los datos financieros que se registraban manualmente en los informes remitidos por las áreas locales, correspondían a la información registrada en el sistema MIP de cada una de estas. Esto, con el propósito de mejorar el control fiscal de los fondos de la WIA que la ADL desembolsaba a las 15 áreas locales, y asegurarse de que estas cumplían con la distribución de fondos establecida en la Guía de Planificación que emitía cada año la Junta Estatal de la Inversión en la Fuerza Trabajadora8. 8 La WIA, en su sección 111, establece la creación de las Juntas Estatales de Inversión en la Fuerza Trabajadora. El Gobernador establece la Junta de Inversión en la Fuerza Trabajadora para asistir en el desarrollo del Plan Estatal y para llevar a cabo otras funciones establecidas en la sección 112 de la WIA. TI-15-02 11 Criterio Las situaciones comentadas son contrarias a lo establecido en la Política TIG-011, Mejores Prácticas de Infraestructura Tecnológica, de la Carta de Circular 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la Oficina de Gerencia y Presupuesto. En esta se indica que se debe establecer una política del componente de programación mediante la cual las aplicaciones se diseñen, adquieran, desarrollen o mejoren, de modo que la información pueda ser compartida e integrada de manera segura con otros sistemas que así lo requieran. Efectos La situación comentada en el apartado a.1) no permitía que los usuarios del SIAC y el SELEP, localizados en las áreas locales, lograran obtener un rendimiento óptimo de las aplicaciones desarrolladas, el cual les permitiría prestar un servicio eficaz a los participantes de los fondos de la WIA. La situación comentada en el apartado a.2) le impedía a la ADL contar con una herramienta efectiva para la evaluación y la fiscalización oportuna de los fondos asignados a las áreas locales y de los gastos (administrativos, operacionales y programas) efectuados por estas, según las partidas asignadas a cada uno de estos conceptos. Causa Las situaciones comentadas se atribuyen a que los administradores de la ADL no habían considerado la importancia de estas interfaces para mejorar la prestación de servicios y validar la corrección de los datos de sus sistemas. Comentarios de la Gerencia En la carta de la Administradora, esta nos indicó, entre otras cosas, lo siguiente: La ADL, anteriormente conocida como Consejo para los años 2008-11, contrató los servicios profesionales para apoyo, mejoras y mantenimiento del sistema SIAC. Como parte de los servicios 12 TI-15-02 contratados incluyó el crear una integración entre dos aplicaciones externas utilizadas, una programática (SELEP) y otra fiscal (MIP). […] [sic] Durante el transcurso del proyecto, la ADL decide acatar una recomendación federal de crear un Portal de Empleo, el cual facilite el intercambio de información para personas desempleadas, […]. La ADL determinó una prioridad de requerimiento federal y necesidad local ante la Ley 7 y realizó el cambio a los servicios establecidos en la contratación. [...] [sic] Véase la Recomendación 1. Hallazgo 2 - Falta de un informe de análisis de riesgos de los sistemas de información computadorizados y de un plan de seguridad Situaciones a. La ADL mantenía de forma computadorizada las operaciones relacionadas con la administración de los fondos federales otorgados por la WIA. Esto, mediante el SIAC, en el que se registraban los participantes de los Programas de Jóvenes, Adultos y Trabajadores Desplazados; el SELEP, en el que se registraban los contratistas que ofrecen servicios de adiestramiento y de capacitación para empleo; el SERR, en el que se mantenía información relacionada con las personas desempleadas, a causa de cierres de negocios, y la prestación de servicios a estas; y el sistema MIP en el que se mantenía el registro financiero de las asignaciones realizadas a las áreas locales y de los desembolsos realizados a los participantes y a los proveedores de servicios, entre otros. Desde el 2009, la ADL mantenía un contrato con la Compañía A para el servicio de alojamiento (hosting) del SIAC, el SELEP y el SERR en 4 servidores. Estos estaban localizados en un espacio físico (collocation) perteneciente a dicha compañía. El SIAC y el SELEP también eran utilizados por los usuarios de las 15 áreas locales, a las que la ADL distribuía, mediante el otorgamiento de contratos anuales, los fondos asignados por la WIA. Durante el año fiscal 2013-14, la asignación presupuestaria de estos fondos a las áreas locales fue de $45,379,582. TI-15-02 13 La ADL contaba con equipos de comunicación que eran parte de su red, a través de la cual los usuarios de las áreas locales y los de la ADL se interconectaban con los servidores en los que se mantenía el SIAC y el SELEP. Además, la red interconectaba a los usuarios de la ADL con los servidores en los que se mantenía el Internet, el correo electrónico, y el sistema MIP, entre otros sistemas, los cuales estaban localizados en el centro de cómputos. También a través de la red, los usuarios internos se interconectaban con el servidor de la compañía contratada en el que se mantenía el SERR. El SIAC, el SELEP, el SERR, el sistema MIP, los sistemas de Internet y correo electrónico, los servidores localizados en el centro de cómputos y los equipos de comunicación de la red, formaban parte de los activos de sistemas de información computadorizados existentes en la ADL. Sin embargo, al 26 de agosto de 2013, en la ADL no se había preparado un análisis de riesgos de los sistemas de información computadorizados. El análisis de riesgos de los sistemas de información computadorizados es un proceso a través del cual se identifican los activos de sistemas de información computadorizados existentes en una entidad, sus vulnerabilidades, y las amenazas a las que se encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas. Esto, con el fin de determinar las medidas de seguridad y los controles adecuados a ser implantados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, y proteger dichos activos, de manera que no se afecten adversamente las operaciones de la entidad. Mediante este proceso, se asegura que las medidas de seguridad y los controles a ser implantados sean costo-efectivos, pertinentes a las operaciones de la entidad y que respondan a las posibles amenazas identificadas. 14 TI-15-02 b. La ADL no tenía un plan de seguridad aprobado por la Administradora, que incluyera, entre otras cosas, disposiciones en cuanto a: La documentación de la validación de las normas de seguridad9 La evidencia de un análisis de riesgos actualizado, que sea la base del plan de seguridad La responsabilidad de la gerencia y de los demás componentes de la unidad Un programa de adiestramiento especializado al equipo clave de seguridad Un programa de adiestramiento continuo sobre seguridad que incluya a los nuevos empleados, contratistas y usuarios, y que permita mantener los conocimientos actualizados La documentación de los controles administrativos, técnicos y físicos de los activos de información (datos, programación, equipos y personal, entre otros) La documentación de la interconexión de los sistemas. Criterios Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003, Seguridad de los Sistemas de Información, de la Carta Circular 77-05. Además, la situación comentada en el apartado a. es contraria a lo establecido en la Política TIG-015, Programa de Continuidad Gubernamental, aprobada el 22 de septiembre de 2011 por el Director de la OGP. 9 La validación de las normas de seguridad se efectúa mediante la prueba de los controles para eliminar o mitigar las amenazas y las vulnerabilidades detectadas en el análisis de riesgos. Además, se valida mediante los resultados de los simulacros efectuados para probar la efectividad del plan de seguridad. TI-15-02 15 Efectos La situación comentada en el apartado a. impide a la ADL estimar el impacto que los elementos de riesgos tendrían sobre las áreas y los sistemas críticos de esta, y considerar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información. Además, impide el desarrollo de un plan de continuidad de negocios donde se establezcan las medidas de control que minimicen los riesgos previamente identificados a un nivel aceptable y los pasos a seguir para restablecer las operaciones de la ADL en caso de que surja alguna eventualidad. La situación comentada en el apartado b. podría provocar la inversión de recursos en medidas de control inadecuadas, el desconocimiento y la falta de entendimiento de las responsabilidades relacionadas con la seguridad, y la protección inadecuada de los recursos críticos. Causas Las situaciones comentadas se atribuyen a que la Administradora no había promulgado una directriz para la preparación y la documentación de: Un análisis de riesgos que incluya todos los activos de sistemas de información de la ADL, como establecen las políticas TIG-003 y TIG-015 [Apartado a.] Un plan de seguridad, basado en un análisis de riesgos de los sistemas de información. [Apartado b.] Comentarios de la Gerencia En la carta de la Administradora, esta nos indicó, entre otras cosas, lo siguiente: […] la ADL ha comenzado los procesos necesarios para la recopilación de información para la realización del Avalúo de Riesgos. Como parte de dicho análisis, […] se solicitó información a las Oficinas de Finanzas, gerencia Administrativa y Asuntos Legales con el propósito de identificar activos y valores monetarios, para así dar continuidad a dicho proceso. […] [sic] [Apartado a.] 16 TI-15-02 […] La ADL publicó en […] un “Request for Proposal (RFP)” para Servicios de hosting de Aplicaciones. La guía entregada a los proponentes incluye entre otras cosas los requisitos de los Planes de Seguridad de dichas aplicaciones. [sic] [Apartado b.] Véanse las recomendaciones 2 y 3.a.1). Hallazgo 3 - Falta de un plan para la continuidad de las operaciones de la ADL Situación a. El 20 de enero de 2010 la ADL contrató a la Compañía B para, entre otras cosas, evaluar y auditar la red de comunicaciones a la que estaban conectados sus equipos y sus sistemas de información, y el centro de cómputos. El 2 de febrero de 2010 la Oficina de Auditoría Interna y la Ayudante Especial de la OSI recibieron la primera parte del informe de auditoría del centro de cómputos de la ADL, Network Operating Center Audit Findings (Report I), en el que, entre otras cosas, se identificaba la falta de un Plan de Continuidad de Negocios y de un Plan para la Recuperación de Desastres. Sin embargo, al 26 de agosto de 2013, la ADL aún no contaba con un plan de continuidad de negocios aprobado que incluyera los planes específicos, completos y actualizados de la OSI para lograr un pronto funcionamiento de los sistemas de información computadorizados instalados en los servidores del centro de cómputos, y de los sistemas a los que se les proveía el servicio de alojamiento (hosting) en los servidores de la Compañía A, localizados en una instalación física de esta. Esto era necesario para lograr un pronto funcionamiento de los sistemas de información computadorizados y restaurar las operaciones de la ADL, en caso de riesgos como: variaciones de voltaje, virus de computadoras, ataques maliciosos a la red, y desastres naturales, entre otros. TI-15-02 17 Criterios La situación comentada se aparta de lo establecido en las políticas TIG-003 y TIG-004, Servicios de Tecnología, de la Carta Circular 77-05. Efecto La situación comentada puede propiciar la improvisación, y que en casos de emergencia se tomen medidas inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos, e interrupciones prolongadas de los servicios a los usuarios y a los clientes de la ADL. Causa La situación comentada se atribuye a que el Ayudante Especial de la OSI no había realizado las gestiones necesarias para preparar y mantener actualizado un Plan de Continuidad de Negocios, según le fue recomendado en el Network Operating Center Audit Findings (Report 1) preparado por la Compañía B. Véase la Recomendación 3.a.2). Hallazgo 4 - Deficiencias relacionadas con la definición de roles y con el mantenimiento de las cuentas creadas en el SIAC Situaciones a. La seguridad del SIAC era controlada mediante la creación de cuentas y la asignación de roles y privilegios otorgados a sus usuarios, entre los que se encontraba personal de la ADL y de las 15 áreas locales, y consultores externos. La seguridad estuvo administrada hasta mayo de 2013 por la Compañía C, la cual fue contratada para el diseño, el desarrollo y la implantación del SIAC. A partir de dicha fecha esta responsabilidad fue asignada a una Oficial de Validación, quien respondía al Gerente de Validación y Estadísticas de la ADL. Como parte de la administración de la seguridad del SIAC, la Oficial de Validación sólo creaba las cuentas de los usuarios de las 15 áreas locales, a las cuales se les asignaba el privilegio de administrador. La creación y la eliminación de las cuentas de acceso, y la asignación 18 TI-15-02 de los roles a los usuarios de las áreas locales, según definidas en la tabla UserRoles del SIAC, era responsabilidad de los usuarios a los que se les habían asignado cuentas con privilegio de administrador en cada área local. El examen sobre el proceso de administración de cuentas de acceso y de asignación de roles a los usuarios del SIAC reveló que la ADL no mantenía un control para la asignación de los roles que eran asignados por los usuarios que tenían privilegio de administrador en las áreas locales. Al 28 de enero de 2014, en las 15 áreas locales se habían creado y asignado 46 roles, que no estaban definidos en la tabla UserRoles del SIAC. b. Al 28 de enero de 2014, en el servidor donde se mantenían las cuentas para acceder al SIAC existían 1,451 cuentas de usuarios. El examen de estas cuentas reveló que 652 (45%) no se habían desactivado a pesar de haber transcurrido entre 182 y 1,112 días luego de su último acceso al SIAC. De estas, 62 cuentas tenían asignados roles con privilegios correspondientes a los de un Administrador. Estos privilegios permiten, entre otras cosas, crear, editar y eliminar información relacionada con actividades, contactos, manejo de casos, participantes, proveedores, roles, querellas, servicios y cuentas de usuarios. Criterio Las situaciones comentadas son contrarias a lo establecido en la Política TIG-003 de la Carta Circular 77-05. En esta se establece que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se establece, en parte, mediante controles de acceso rigurosos a las aplicaciones y la desactivación inmediata de todas las cuentas que no estén en uso. TI-15-02 19 Efectos Las situaciones comentadas impiden a la ADL mantener un control adecuado sobre la administración de las cuentas y de los roles asignados a los usuarios del SIAC. Además, la situación comentada en el apartado b. propicia que personas no autorizadas puedan utilizar estas cuentas para lograr acceso a información confidencial mantenida en los sistemas de información y hacer uso indebido de esta. También propicia la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. Causas Las situaciones comentadas se debían a que la Administradora no había impartido la directriz para que se establecieran las normas y los procedimientos necesarios para: La administración de las cuentas de acceso y la asignación de los roles definidos en la tabla User Roles del SIAC [Apartado a.] La creación y el mantenimiento de las cuentas de acceso de los usuarios del SIAC. [Apartado b.] Comentarios de la Gerencia En la carta de la Administradora, esta nos indicó, entre otras cosas, las medidas correctivas que ha comenzado a implantar relacionadas con los accesos otorgados en el SIAC. Véase la Recomendación 3.a.3), b. y d. Hallazgo 5 - Deficiencias relacionadas con los parámetros de seguridad configurados en el sistema operativo del servidor principal de la red de la ADL Situación a. La OSI contaba con un servidor principal mediante el cual se controlaba el acceso a los recursos de la red de la ADL. El examen efectuado el 27 de agosto de 2013 sobre los parámetros de seguridad 20 TI-15-02 y los controles de acceso establecidos en el sistema operativo de este servidor reveló que no se habían definido las políticas de contraseñas para: 1) Desactivar automáticamente del sistema al usuario una vez venciera el término de acceso a los recursos de la red, previamente establecido (Force logoff when logon hours expire). 2) Definir un término, de al menos tres intentos de acceso sin éxito, para que el sistema deshabilitara automáticamente las cuentas (Account lockout threshold). 3) Requerir que las contraseñas utilizadas fueran combinaciones alfanúmericas (Password must meet complexity requirements). Criterio La situación comentada es contraria a lo establecido en la Política TIG-003 de la Carta Circular 77-05. En esta se establece, entre otras cosas, que las entidades gubernamentales deberán implantar controles que minimicen los riesgos de que los sistemas de información dejen de funcionar correctamente y de que la información sea accedida de forma no autorizada. Esta norma se establece, en parte, mediante el uso de todas las opciones para restringir y controlar los accesos que proveen los distintos sistemas operativos. Efectos Las situaciones comentadas pueden propiciar que personas no autorizadas accedan a información confidencial mantenida en los sistemas computadorizados y puedan hacer uso indebido de esta. Además, pueden propiciar la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en dichos sistemas sin que puedan ser detectados a tiempo para fijar responsabilidades. TI-15-02 21 Causa Las situaciones comentadas se debían a que el Ayudante Especial de la OSI no veló por que se pusieran en vigor todas las opciones de seguridad de acceso lógico que provee el sistema operativo del servidor principal. Véase la Recomendación 3.c. RECOMENDACIONES Al Secretario de Desarrollo Económico y Comercio10 1. Ver la posibilidad de que se desarrollen las interfaces necesarias entre el SIAC y el SELEP, para asegurar el rendimiento óptimo de estos sistemas; y entre los sistemas MIP de las áreas locales y la ADL, para asegurar la reconciliación y la fiscalización eficaz de los fondos de la WIA que desembolsan las 15 áreas locales. [Hallazgo 1] 2. Asegurarse de que se realice y se documente un análisis de riesgos que considere los sistemas de información computadorizados que operaban en la ADL, según se establece en las políticas TIG-003 y TIG-015. El informe producto de este análisis de riesgos debe ser remitido para su revisión y aprobación. Además, una vez aprobado, ver que se revise anualmente para asegurarse de que se mantenga actualizado. [Hallazgo 2-a.] 3. Realizar las gestiones pertinentes para asegurarse de que: a. Se prepare y se remita para su aprobación: 1) Un plan de seguridad que considere los recursos críticos que operaban en la ADL, y que incluya los criterios descritos en el Hallazgo 2-b. Una vez aprobado, ver que se divulgue a los funcionarios y a los empleados concernientes, y que se realicen evaluaciones periódicas del mismo para asegurar su funcionamiento. 10 Mediante la aprobación de la Ley 171-2014 se integraron las funciones de la ADL como un Programa del DDEC. Las recomendaciones de este Informe se dirigen al Secretario del DDEC por ser el encargado de administrar, asesorar, coordinar e implementar la política pública que servirá como ente regulador de este Programa; según se establece en dicha Ley. 22 TI-15-02 2) Un Plan de Continuidad de Negocios, que incluya un Plan para la Recuperación de Desastres y un Plan para la Continuidad de las Operaciones, que considere los sistemas de información computadorizados que operaban en la ADL, independientemente del lugar donde estos estén instalados. Además, debe documentar las estrategias de respaldo y de recuperación de las operaciones alternas adoptadas por la ADL. Una vez este sea aprobado, tomar las medidas para asegurarse de que el mismo se mantenga actualizado y se conserve en un lugar seguro. Además, asegurarse de que sea distribuido a los funcionarios y a los empleados concernientes, y de que se realicen pruebas periódicas para garantizar la efectividad del mismo. [Hallazgo 3] 3) Un procedimiento para reglamentar el proceso de creación y de mantenimiento de las cuentas de acceso y de la asignación de roles en el SIAC. [Hallazgo 4] b. Se evalúen los roles definidos en la tabla User Roles del SIAC, para que esta sólo contenga aquellos que son necesarios para las funciones que realizan los usuarios del sistema. Además, ver que se establezcan controles en el SIAC que permitan mantener la uniformidad en la asignación de roles otorgados a los usuarios. [Hallazgo 4-a.] c. Se efectúen las modificaciones en los parámetros de seguridad del sistema operativo del servidor principal para: 1) Desactivar automáticamente del sistema a los usuarios una vez venza el término de acceso a la red establecido. [Hallazgo 5-a.1)] 2) Configurar la opción para deshabilitar las cuentas de acceso luego de tres intentos fallidos de conexión al sistema. [Hallazgo 5-a.2)] 24 TI-15-02 ANEJO DEPARTAMENTO DEL TRABAJO Y RECURSOS HUMANOS ADMINISTRACIÓN DE DESARROLLO LABORAL OFICINA DE SISTEMAS DE INFORMACIÓN FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO AUDITADO NOMBRE CARGO O PUESTO PERÍODO DESDE HASTA Hon. Vance E. Thomas Rider Secretario 1 abr. 13 7 mar. 14 Sra. Sally Lopez Martínez Administradora 1 abr. 13 7 mar. 14 Sra. Coralie Córdova Rivera Administradora Auxiliar de Planificación y Evaluación 1 sep. 13 7 mar. 14 Sr. Carlos L. Ortiz Medina Administrador Auxiliar de Planificación y Evaluación 1 abr. 13 28 ago. 13 Sr. Carlos L. Pérez Long Ayudante Especial de la Oficina de Sistemas de Información11 23 dic. 13 7 mar. 14 16 abr. 13 23 oct. 13 Sr. Lorgio Pagán Vázquez 11 " Este puesto estuvo vacante durante el período del 24 de octubre al 22 de diciembre de 2013. MISIÓN Fiscalizar las transacciones de la propiedad y de los fondos públicos, con independencia y objetividad, para determinar si se han realizado de acuerdo con la ley, y atender otros asuntos encomendados. Promover el uso efectivo, económico, eficiente y ético de los recursos del Gobierno en beneficio de nuestro Pueblo. PRINCIPIOS PARA LOGRAR UNA ADMINISTRACIÓN PÚBLICA DE EXCELENCIA La Oficina del Contralor, a través de los años, ha identificado principios que ayudan a mejorar la administración pública. Dichos principios se incluyen en la Carta Circular OC-08-32 del 27 de junio de 2008, disponible en nuestra página en Internet. QUERELLAS Las querellas sobre el mal uso de la propiedad y de los fondos públicos pueden presentarse, de manera confidencial, personalmente o por teléfono al (787) 754-3030, extensión 1106, o al 1-877-771-3133 (sin cargo). También se pueden presentar mediante el correo electrónico [email protected] o mediante la página en Internet de la Oficina. INFORMACIÓN SOBRE LOS INFORMES DE AUDITORÍA En los informes de auditoría se incluyen los hallazgos significativos determinados en las auditorías. En nuestra página en Internet se incluye información sobre el contenido de dichos hallazgos y el tipo de opinión del informe. La manera más rápida y sencilla de obtener copias libres de costo de los informes es mediante la página en Internet de la Oficina. También se pueden emitir copias de los mismos, previo el pago de sellos de rentas internas, requeridos por ley. Las personas interesadas pueden comunicarse con el Administrador de Documentos al (787) 754-3030, extensión 3400. INFORMACIÓN DE CONTACTO Dirección física: Internet: 105 Avenida Ponce de León http://www.ocpr.gov.pr Hato Rey, Puerto Rico Teléfono: (787) 754-3030 Fax: (787) 751-6768 Dirección postal: PO Box 366069 San Juan, Puerto Rico 00936-6069 Correo electrónico: [email protected]
© Copyright 2024