Download   Report
  1. Educación

Policía de Puerto Rico Negociado de Tecnología y Comunicaciones

INFORME DE AUDITORÍA TI-15-01
14 de octubre de 2014
Policía de Puerto Rico
Negociado de Tecnología y Comunicaciones
División de Tecnología
(Unidad 5386 - Auditoría 13784)
Período auditado: 8 de octubre de 2012 al 31 de agosto de 2013
TI-15-01
1
CONTENIDO
Página
ALCANCE Y METODOLOGÍA............................................................................................................. 2 CONTENIDO DEL INFORME............................................................................................................... 2 INFORMACIÓN SOBRE LA UNIDAD AUDITADA .......................................................................... 3 COMUNICACIÓN CON LA GERENCIA............................................................................................. 7 OPINIÓN Y HALLAZGOS ..................................................................................................................... 8 1 - Falta de un informe de análisis de riesgos de los sistemas de información
computadorizados ......................................................................................................................... 8 2 - Falta de un plan de seguridad y de un procedimiento escrito para el manejo de
incidentes ................................................................................................................................... 11 3 - Falta de un plan de continuidad de negocios, de un plan de contingencias detallado para
la División de Tecnología, y de un centro alterno para la recuperación de las operaciones
computadorizadas ....................................................................................................................... 13 4 - Deficiencias relacionadas con las normas sobre el uso de los sistemas de información, y
procedimientos sin la aprobación del Superintendente ............................................................... 17 5 - Falta de un registro de programas instalados en las computadoras.............................................. 20 RECOMENDACIONES ......................................................................................................................... 22 AGRADECIMIENTO ............................................................................................................................ 24 ANEJO - FUNCIONARIOS PRINCIPALES DE LA ENTIDAD DURANTE EL PERÍODO
AUDITADO ........................................................................................................................... 25 2
TI-15-01
Estado Libre Asociado de Puerto Rico
OFICINA DEL CONTRALOR
San Juan, Puerto Rico
14 de octubre de 2014
Al Gobernador, y a los presidentes del Senado
y de la Cámara de Representantes
Realizamos una auditoría de las operaciones de la División de Tecnología del Negociado de Tecnología y
Comunicaciones (NTC) de la Policía de Puerto Rico (Policía) para determinar si las mismas se efectuaron
de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control establecido para
el procesamiento de las transacciones era adecuado. Hicimos la misma a base de la facultad que se nos
confiere en el Artículo III, Sección 22 de la Constitución del Estado Libre Asociado de Puerto Rico y, en la
Ley Núm. 9 del 24 de julio de 1952, según enmendada.
ALCANCE Y
METODOLOGÍA
La auditoría cubrió del 8 de octubre de 2012 al 31 de agosto de 2013. El
examen lo efectuamos de acuerdo con las normas de auditoría del
Contralor de Puerto Rico en lo que concierne a los sistemas de
información computadorizados. Realizamos las pruebas que consideramos
necesarias, a base de muestras y de acuerdo con las circunstancias, tales
como: entrevistas; inspecciones físicas; examen y análisis de informes y de
documentos generados por la unidad auditada o suministrados por fuentes
externas; pruebas y análisis de procedimientos de control interno y de
otros procesos; y confirmaciones de información pertinente.
CONTENIDO DEL
INFORME
Este es el primer informe, y contiene cinco hallazgos sobre el resultado
del examen que realizamos de los controles internos establecidos para la
administración del programa de seguridad y la continuidad del servicio.
El mismo está disponible en nuestra página en Internet: www.ocpr.gov.pr.
TI-15-01
INFORMACIÓN SOBRE
LA UNIDAD AUDITADA
3
La Policía es un organismo civil cuya responsabilidad es proteger a las
personas y a la propiedad; mantener y conservar el orden público; observar
y procurar la protección de los derechos civiles del ciudadano; prevenir,
descubrir, investigar y perseguir el delito; y, dentro de la esfera de sus
atribuciones, compeler obediencia a las leyes y ordenanzas municipales, y
a los reglamentos que, conforme a estas, se promulgan. Esto, mediante la
Ley 53-1996, Ley de la Policía de Puerto Rico de 1996, según enmendada,
la cual derogó la Ley Núm. 26 del 22 de agosto de 1974, Ley de la Policía
de Puerto Rico de 1974, según enmendada. La Ley 53-1996 se adoptó con
el propósito de darle uniformidad a la estructura operacional de la Policía
para hacer más ágil su administración y la utilización de sus recursos.
El Gobernador ejerce la autoridad suprema en cuanto a la dirección de la
Policía, pero la administración y la dirección inmediata de la organización
se delegaron por ley, en el Superintendente. Este es nombrado por el
Gobernador, con el consejo y consentimiento del Senado. Durante el
período auditado, el puesto de Superintendente estuvo ocupado por
el Sr. Héctor M. Pesquera López, mediante destaque administrativo de la
Autoridad de Puertos del Condado de Miami Dade de la Florida. Este
destaque era parte del acuerdo interagencial formalizado mediante el
Contrato 2012-000041 del 12 de marzo de 2012, entre el Gobierno del
Estado Libre Asociado de Puerto Rico y el Condado de Miami Dade, para
obtener servicios profesionales relacionados con la seguridad pública. El
contrato incluía servicios para requerir consultoría, recursos humanos y
asistencia técnica en asuntos de seguridad; tenía vigencia del 2 de abril
de 2012 al 1 de abril de 2013; y un costo de $283,100. Posteriormente,
se formalizaron los contratos 2013-000052, 2013-000053 y 2014-000025
por $69,671, $23,223 y $46,447, respectivamente. El período cubierto por
1
estos contratos fue del 1 de abril hasta el 31 de agosto de 2013 .
1
El 2 de septiembre de 2013, el Gobernador firmó la Orden Ejecutiva OE-2013-063. Mediante la misma se creó el
cargo de Principal Oficial en Asuntos de Seguridad Pública que está adscrito a la Oficina del Gobernador. El Principal
Oficial en Asuntos de Seguridad Pública ejerce el cargo y las funciones del Superintendente de la Policía.
4
TI-15-01
La estructura organizacional de la Policía estaba compuesta por la Oficina
del Superintendente; las superintendencias auxiliares de Operaciones
Estratégicas, Responsabilidad Profesional, Relaciones con la Comunidad,
Servicios al Ciudadano, Servicios Administrativos, Servicios Gerenciales
y Operaciones de Campo; y las oficinas de Asuntos Legales, Auditoría
2
Interna , Fuerzas Conjuntas, Prensa, Seguridad de la Fortaleza, y
Seguridad y Protección. Además, contaba con 4 regiones (Norte, Sur, Este
y Oeste), 13 áreas, 55 distritos, 53 precintos, el Colegio Universitario de
Justicia Criminal de Puerto Rico y la Oficina de Fuerzas Unidas de Rápida
Acción (FURA).
El NTC se creó mediante la Orden General 2009-1 del 24 de febrero
de 2010 y estaba adscrito a la Superintendencia Auxiliar de Servicios
3
Administrativos . El propósito de esta orden era establecer nuevos
cambios a la estructura organizacional y funcional en la Policía para lograr
una mayor efectividad y eficiencia administrativa y operacional, conforme
a lo establecido en la Ley 53-1996. El NTC era responsable de planificar,
organizar, implantar y mantener los sistemas computadorizados de
información. El NTC estaba compuesto por la División de Tecnología y la
de Comunicaciones.
El objetivo de la División de Tecnología era ofrecer soluciones
tecnológicas y confiables que permitieran a la Policía cumplir con su
misión y sus objetivos; proveer todos sus servicios de tecnología con la
mayor calidad posible; y cumplir con las expectativas de sus clientes.
2
3
A la fecha de nuestra auditoría, la Oficina de Auditoría Interna no tenía auditores asignados.
Al 30 de abril de 2014, la Superintendencia Auxiliar de Servicios Administrativos había sido eliminada y sus
negociados y divisiones fueron transferidos a la Superintendencia Auxiliar de Servicios Gerenciales.
TI-15-01
5
A la fecha de nuestra auditoría, esta división era dirigida por un teniente,
4
quien realizaba las funciones de Director Interino . La División de
Tecnología se componía de las siguientes áreas:

Operaciones Centros de Cómputos - Contaba con un Supervisor de
Operador de Equipos Electrónico de Información, tres operadores de
computadoras y un Bibliotecario.

Desarrollo de Aplicaciones - Contaba con tres programadores.

Service Desk - Contaba con dos oficinistas de apoyo técnico.

Infraestructura - Contaba con ocho empleados que realizaban tareas
relacionadas con la instalación de infraestructura, el inventario de
equipo y las redes de comunicaciones.
La División de Comunicaciones era responsable de planificar, diseñar,
implementar, mantener y controlar toda la infraestructura de redes de
comunicaciones de radio frecuencias. Esta era dirigida por un Director
y contaba con áreas responsables de las licencias de la Federal
Communications Comission (FCC), la interoperabilidad de equipos de
comunicación, y los teléfonos celulares y satelitales; los sistemas
troncalizados, los radios portátiles, los servicios especiales
5
y las
microondas.
Para realizar sus funciones la Policía contaba con 53 aplicaciones o
sistemas computadorizados entre los que se encontraban los siguientes:

Crime Information Warehouse - Servía de repositorio de distintas
6
bases de datos y permitía la búsqueda de información para las
investigaciones criminales.
4
El teniente realizó las tareas de Director Interino del 8 de octubre hasta el 7 de diciembre de 2012. A partir del 13 de
diciembre de 2012, estas tareas fueron asignadas al Supervisor de Operador de Equipos Electrónicos de Información.
5
6
Esto incluye la operación de antenas y de las plantas eléctricas.
Provee información en tiempo real de las bases de datos de los distintos sistemas, tales como: AFIS, ANPE, FAS,
Positron, Crime Mapping, Drivers and Vehicles Information Database Plus (Sistema David Plus) y el Departamento de
Corrección y Rehabilitación.
6
TI-15-01

Sistema Automatizado de Identificación de Huellas Dactilares
(AFIS) - Contenía el repositorio de huellas digitales y fotos de
fichaje.

Sistema de Expedición de Certificado de Antecedentes Penales
(ANPE) - Contenía una relación de las sentencias condenatorias
que aparecen en el expediente de cada persona que haya sido
sentenciado en cualquier tribunal de justicia del Estado Libre
Asociado de Puerto Rico y proveía el Certificado de Antecedentes
Penales.

Sistema de Registro de Armas y Municiones (FAS) - Contenía el
registro de armas, licencias y municiones.

Sistema Positron Computer Aidded Dispatch - Mantenía la
información sobre las querellas recibidas en el Centro de Mando y
permitía la asignación de oficiales para la investigación de las
querellas.

Aplicación Crime Mapping - Contenía información de los delitos
cometidos y permitía realizar búsquedas por tipo de delito, área, o día
y hora en la que se cometieron los mismos. Además, desplegaba
información en gráficas y en mapas de los sectores y precintos
policíacos y los municipios de Puerto Rico.
Las transacciones de contabilidad de la Policía se procesaban mediante
el Puerto Rico Integrated Financial Administration System (PRIFAS),
mientras que las de nómina se procesaban mediante el sistema Automated
Data Processing (ADP).
La Policía contaba con aproximadamente 5,000 computadoras y
54 servidores, de los cuales 30 eran virtuales, y tenía 3,410 usuarios con
acceso a los sistemas de información (aplicaciones, sistemas, correo
electrónico e Internet). Además, contaba con 16 redes virtuales de área
7
local (VLAN, por sus siglas en inglés) y una red de área amplia (WAN,
7
De estas, 11 estaban distribuidas por los pisos del Cuartel General, 4 en los del Edificio Anexo al Cuartel General
y 1 permitía la comunicación con las 13 regiones y con los cuarteles.
TI-15-01
7
por sus siglas en inglés), para la comunicación de sus 139 redes de
área local (LAN, por sus siglas en inglés) que corresponden a las
comandancias, los distritos, los precintos y las unidades especiales de la
Policía.
Los recursos para financiar las actividades operacionales de la Policía
provenían de fondos especiales estatales, federales y de estabilización;
asignaciones especiales; otros ingresos; y la resolución conjunta del
presupuesto general. Los gastos de operación del NTC eran sufragados del
presupuesto del Programa de Dirección y Administración General, el
cual, para los años fiscales 2012-13 y 2013-14, ascendió a $6,030,000 y
$5,864,000.
El Anejo contiene una relación de los funcionarios principales de la
Policía que actuaron durante el período auditado.
La Policía cuenta con una página en Internet, a la cual se puede acceder
mediante la siguiente dirección: www.policia.pr.gov. Esta página provee
información acerca de la entidad y de los servicios que presta.
COMUNICACIÓN CON
LA GERENCIA
Las situaciones comentadas en los hallazgos de este Informe fueron
remitidas al Sr. Héctor M. Pesquera López, entonces Superintendente
de la Policía, mediante cartas de nuestros auditores del 13 de junio y
8 de agosto de 2013. En las referidas cartas se incluyeron anejos con
detalles sobre las situaciones comentadas.
Mediante cartas del 21 de junio y 19 de agosto de 2013, el entonces
Superintendente remitió sus comentarios a los hallazgos incluidos en las
cartas de nuestros auditores. Dichos comentarios fueron considerados
en la redacción del borrador de este Informe.
El borrador de los hallazgos de este Informe se remitió al Cnel. José L.
Caldero López, Superintendente de la Policía, mediante carta del 12 de
agosto de 2014. Con el mismo propósito, el 3 de septiembre remitimos el
borrador de los hallazgos de este Informe al señor Pesquera López,
ex-Superintendente.
8
TI-15-01
El 28 de agosto de 2014 el Sr. Miguel A. Rivera Núñez, Superintendente
Auxiliar de Servicios Gerenciales, solicitó una prórroga para remitir los
comentarios al borrador de los hallazgos de este Informe. El mismo día le
concedimos la prórroga hasta el 8 de septiembre al Superintendente para
remitir sus comentarios.
El coronel Caldero López contestó el borrador de los hallazgos de este
Informe mediante carta del 5 de septiembre de 2014. Sus comentarios
fueron considerados en la redacción final de este Informe. En los
hallazgos se incluyeron algunos de sus comentarios.
El ex-Superintendente contestó el borrador de los hallazgos de este
Informe mediante correo electrónico del 26 de septiembre de 2014. Este
indicó que cuando llegó a la Policía encontró deficiencias crasas en los
procesos internos y operacionales, entre estas, la falta de infraestructura y
de procedimientos en el NTC. Aunque se realizó un estudio por un grupo
de asesores externos en el que se identificaron los problemas y cómo
resolverlos, la falta de asignación de fondos para este propósito, no
permitió solucionar los mismos.
OPINIÓN Y HALLAZGOS
Opinión favorable con excepciones
Las pruebas efectuadas demostraron que las operaciones de la División de
Tecnología del NTC de la Policía, en lo que concierne a los controles
internos establecidos para la administración del programa de seguridad y la
continuidad del servicio, se realizaron sustancialmente conforme a las
normas generalmente aceptadas en este campo, excepto por los hallazgos
del 1 al 5 que se comentan a continuación.
Hallazgo 1 - Falta de un informe de análisis de riesgos de los sistemas
de información computadorizados
Situación
a.
La Policía mantenía sus operaciones en forma computadorizada
mediante el uso de las bases de datos de información del Crime
Information Warehouse, y los sistemas AFIS, FAS, y ANPE, entre
otros. Además, mantenía aplicaciones y sistemas para realizar sus
TI-15-01
9
funciones administrativas, tales como: el Registro de Querellas, el
cual incluía todas las querellas administrativas imputadas al personal
de la agencia; el PRIFAS, en el cual se procesaban las transacciones
de contabilidad; y el sistema ADP, en el que se procesaban las
transacciones de nómina de los 16,460 agentes y 872 empleados
civiles, la cual ascendía aproximadamente a $46,525,373 mensuales.
Además, la Policía contaba con cerca de 5,000 computadoras y
54 servidores, a través de los cuales 3,410 usuarios accedían a sus
aplicaciones y sistemas, incluidos el correo electrónico e Internet.
También contaba con equipos de comunicación que eran parte de sus
redes de área local y de su red de área amplia, mediante las cuales se
comunicaban las comandancias, los distritos y los precintos de la
Policía. Para mantener la seguridad de los sistemas de información
8
computadorizados se implantó el uso de aplicaciones de firewall ,
sistemas para la actualización de las definiciones de antivirus y
sistemas operativos.
Estas bases de datos, aplicaciones, sistemas, computadoras,
servidores, equipos de comunicación, aplicaciones de firewall,
sistemas para la actualización de las definiciones de antivirus, y
sistemas operativos formaban parte de los activos de sistemas de
información computadorizados existentes en la Policía. Sin embargo,
al 18 de octubre de 2012, en la Policía no se había preparado el
informe del análisis de riesgos de los sistemas de información
computadorizados.
El
análisis
de
riesgos
de
los
sistemas
de
información
computadorizados es un proceso a través del cual se identifican los
activos de sistemas de información computadorizados existentes en
una entidad, sus vulnerabilidades, y las amenazas a las que se
encuentran expuestos, así como su probabilidad de ocurrencia y el
impacto de las mismas. Esto, con el fin de determinar las medidas de
seguridad y los controles adecuados a ser implantados para aceptar,
8
Aplicación, equipo o conjunto de ambos que protege los recursos de la red de accesos no autorizados.
10
TI-15-01
disminuir, transferir o evitar la ocurrencia del riesgo, y proteger
dichos activos de manera que no se afecten adversamente las
operaciones de la entidad. Mediante este proceso se asegura que
las medidas de seguridad y los controles a ser implantados sean
costo-efectivos, pertinentes a las operaciones de la entidad y que
respondan a las posibles amenazas identificadas.
Criterios
La
situación
comentada
es
contraria
a
lo
establecido
en
la
Política TIG-003, Seguridad de los Sistemas de Información, de la Carta
Circular 77-05, Normas sobre la Adquisición e Implantación de los
Sistemas, Equipos y Programas de Información Tecnológica para los
Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por
la Directora de la Oficina de Gerencia y Presupuesto (OGP).
Además, es contraria a lo establecido en la Política TIG-015, Programa de
Continuidad Gubernamental, aprobada el 22 de septiembre de 2011 por el
Director de la OGP.
Efecto
La situación comentada impide a la Policía estimar el impacto que los
elementos de riesgos tendrían sobre las áreas y los sistemas críticos de
esta, y considerar cómo protegerlos para reducir los riesgos de daños
materiales y la pérdida de información.
Causa
La situación comentada se atribuye a que el Superintendente no había
promulgado una directriz para la preparación del análisis de riesgos de los
sistemas de información computadorizados, como se establece en las
políticas TIG-003 y TIG-015.
TI-15-01
11
Comentarios de la Gerencia
En la carta del Superintendente, este nos indicó, entre otras cosas, lo
siguiente:
En noviembre de 2012, se realizó un estudio sobre la situación
actual de la División de Tecnología por la empresa […] Este
estudio constituye la base principal para el desarrollo de un
Análisis de Riesgo de los sistemas computadorizados. [sic]
Véase la Recomendación 1.
Hallazgo 2 - Falta de un plan de seguridad y de un procedimiento
escrito para el manejo de incidentes
Situaciones
a.
Al 18 de octubre de 2012, la Policía no tenía un plan de seguridad
aprobado por el Superintendente, que incluyera, entre otras cosas,
disposiciones en cuanto a:

La documentación de la validación de las normas de seguridad

La evidencia de un análisis de riesgo actualizado que sea base
9
del plan de seguridad

La responsabilidad de la gerencia, de los oficiales de seguridad y
de los demás componentes de la unidad

Un programa de adiestramiento especializado al equipo clave de
seguridad

Un programa de adiestramiento continuo sobre seguridad que
incluya a los nuevos empleados, contratistas y usuarios que
permita mantener los conocimientos actualizados

La documentación de los controles administrativos, técnicos y
físicos de los activos de información (datos, programación,
equipos y personal, entre otros)

9
La documentación de la interconexión de los sistemas.
La validación de las normas de seguridad se efectúa mediante la prueba de los controles para eliminar o mitigar las
amenazas y las vulnerabilidades detectadas en el análisis de riesgos. Además, se valida mediante los resultados de los
simulacros efectuados para probar la efectividad del plan de seguridad.
12
TI-15-01
b.
Al 28 de febrero de 2013, el NTC no tenía un procedimiento o plan
para el manejo de incidentes que estableciera, entre otras cosas, una
estrategia documentada para el manejo de los incidentes, un equipo de
respuesta y la documentación de las actividades relacionadas con los
mismos.
Criterios
Las situaciones comentadas se apartan de lo establecido en la
Política TIG-003 de la Carta Circular 77-05.
Efectos
La situación comentada en el apartado a. podría provocar la inversión de
recursos en medidas de control inadecuadas, el desconocimiento y la falta
de entendimiento de las responsabilidades relacionadas con la seguridad, y
la protección inadecuada de los recursos críticos.
La situación comentada en el apartado b. le impide a la División de
Tecnología del NTC tener un control eficaz y documentado sobre el
manejo de incidentes. Además, puede provocar duplicidad de esfuerzo y
tiempo ante situaciones inesperadas, lo que afectaría el restablecimiento de
los sistemas con prontitud y aumentaría la extensión de los daños, si
alguno.
Causas
Las situaciones comentadas se atribuyen a que el Superintendente no había
promulgado una directriz para:

La preparación de un plan de seguridad, basado en un análisis de
riesgos de los sistemas de información, y para la implantación y la
actualización continua del mismo [Apartado a.]

El desarrollo y la aprobación de normas y procedimientos escritos
para el manejo de incidentes. [Apartado b.]
TI-15-01
13
Comentarios de la Gerencia
En la carta del Superintendente, este nos indicó, entre otras cosas, lo
siguiente:
Para crear un plan de seguridad, debo contar con el análisis
de riesgo el cual identificará cuales son las debilidades o
vulnerabilidades de mi infraestructura tecnológica. […] [sic]
[Apartado a.]
Véanse las recomendaciones 2 y 3.a.1).
Hallazgo 3 - Falta de un plan de continuidad de negocios, de un
plan de contingencias detallado para la División de Tecnología, y
de un centro alterno para la recuperación de las operaciones
computadorizadas
Situaciones
a.
Al 18 de octubre de 2012, la Policía carecía de un plan de continuidad
de negocios que incluyera los planes específicos, completos y
actualizados del NTC. Esto era necesario para lograr el pronto
funcionamiento de los sistemas de información computadorizados y
restaurar las operaciones de la Policía, en caso de riesgos como:
variaciones de voltaje, virus de computadoras, ataques maliciosos a la
red, o desastres naturales, entre otros.
b.
Al 17 de junio de 2013, la División de Tecnología contaba con
el Plan Operacional de Emergencia para Huracanes el cual era
utilizado como plan de contingencia y tenía el propósito educar,
preparar y fijar responsabilidades al momento del paso de un huracán.
Sin embargo, a esta fecha la División de Tecnología no contaba con
un plan de contingencia detallado en el que se establecieran
las medidas a considerarse en caso de ocurrir otros eventos o
situaciones de emergencia que afectaran sus operaciones, tales como:
interrupciones de energía eléctrica, errores humanos, terremotos o
14
TI-15-01
fuegos, entre otros. Este plan de contingencia debía incluir los
siguientes requisitos que son necesarios para atender dichos eventos o
situaciones de emergencia:

Los procedimientos a seguir cuando el centro de cómputos no
puede recibir ni transmitir información de los usuarios que
acceden
mediante
conexiones
remotas
los
sistemas
de
información

La identificación de los archivos críticos de la División de
Tecnología

El inventario actualizado de los equipos, de los sistemas
operativos y de las aplicaciones

El detalle de toda la configuración de los equipos críticos
(equipo de comunicación y servidores) y del contenido de los
respaldos, así como los nombres de las librerías y de los archivos

El detalle de toda la configuración de los sistemas utilizados y
requeridos para efectuar una restauración en un centro de
información alterno

Un itinerario de restauración que incluya el orden de las
aplicaciones a restaurar y los procedimientos para restaurar los
respaldos

Una lista de los proveedores principales, que incluya el número
de teléfono y el nombre del personal de enlace con la entidad

Una hoja de cotejo para verificar los daños ocasionados por la
contingencia.
c.
Al 26 de marzo de 2013, la Policía no contaba con un centro alterno
para restaurar sus operaciones críticas computadorizadas en caso de
emergencia. Tampoco había formalizado acuerdos escritos con otra
entidad para establecer un centro alterno en las instalaciones de esta.
Una situación similar a la del apartado c. fue comentada en el
Informe de Auditoría TI-03-02 del 29 de octubre de 2002.
TI-15-01
15
Criterios
La situación comentada en el apartado a. es contraria a lo establecido en
la Política TIG-003 de la Carta Circular 77-05.
Las mejores prácticas en el campo de la tecnología de información
utilizadas para garantizar la confiabilidad, la integridad y la disponibilidad
de los sistemas de información computadorizados sugieren que, como
parte del Plan de Continuidad de Negocios, se prepare un Plan de
Contingencias. Este es una guía que garantiza la continuidad de las
operaciones normales de los sistemas de información computadorizados
cuando se presentan eventualidades inesperadas que afecten su
funcionamiento. El mismo deberá estar aprobado por el funcionario de
máxima autoridad de la agencia y deberá incluir todos los procesos
necesarios para recuperar cualquier segmento de la operación del centro de
cómputos o, si fuera necesario, relocalizar las operaciones en el menor
tiempo posible y de la forma más ordenada y confiable. [Apartado b.]
Estas prácticas también sugieren que, como parte integral del Plan de
Continuidad de Negocios, deben existir convenios con otras entidades
donde se estipulen las necesidades y los servicios requeridos para afrontar
una emergencia. Debe incluirse, además, una cláusula que especifique
el lugar o los lugares donde podrían ser requeridos dichos servicios.
Estos lugares, de acuerdo con la capacidad de la agencia, podrían ser los
siguientes: [Apartado c.]

Una entidad pública o privada de similar configuración y tamaño

Una compañía dedicada a servicios de restauración

Un centro alterno de la propia entidad.
Efectos
Las situaciones comentadas en los apartados a. y b. podrían propiciar
la improvisación y, que en casos de emergencia, se tomen medidas
inapropiadas y sin orden alguno. Esto representa un alto riesgo de incurrir
en gastos excesivos e innecesarios de recursos y de interrupciones
prolongadas de los servicios ofrecidos a los usuarios de la Policía.
16
TI-15-01
La situación comentada en el apartado c. podría afectar las operaciones de
la Policía y los servicios de la División de Tecnología, ya que no tendrían
disponibles unas instalaciones para operar después de una emergencia o de
un evento que afectara su funcionamiento. Esto podría atrasar o impedir el
proceso de restauración de archivos y el pronto restablecimiento de las
operaciones normales de la División de Tecnología del NTC.
Causas
Las situaciones comentadas en los apartados a. y b. se atribuyen a la falta
de un análisis de riesgos de los sistemas de información computadorizados
de la Policía que sirviera de base para la preparación y la revisión de un
plan de continuidad de negocios, que incluyera un plan de contingencia
con los requisitos necesarios para atender eventos o situaciones de
emergencia.
La situación comentada en el apartado c. se debe a que el Director del
NTC no había realizado las gestiones necesarias para identificar un lugar
disponible y adecuado como centro alterno, y formalizar los acuerdos
necesarios para la utilización del mismo en casos de emergencia.
Comentarios de la Gerencia
En la carta del Superintendente, este nos indicó, entre otras cosas, lo
siguiente:
Actualmente el Negociado de Tecnología y Comunicaciones está
en proceso de implementar un sistema de Almacenamiento y
Resguardo […] Este proyecto recoge fundamentalmente el sistema
de almacenamiento integrado con un sistema de respaldo
automatizado y centralizado que se va a incorporar para configurar
la nueva infraestructura tecnológica de la Policía de Puerto Rico.
[…] Este sistema nos da la capacidad para poder continuar
con las operaciones desde […] en caso de que las mismas se
vieran afectada en el Cuartel General de Hato Rey y estaríamos
cumpliendo con el plan de continuidad de negocio. [sic]
[Apartado a.]
La División de Tecnología elaboró el “Plan de Contingencia antes
una Emergencia general”. Este plan aplica a cualquier emergencia
que ocurra, como Terremoto, Huracán, Incendio, Fallas Sistema
Eléctricos, fallas sistema Aire Acondicionado, etc. Este Plan está
en proceso para ser sometido a la Oficina del Superintendente para
su aprobación. [sic] [Apartado b.]
TI-15-01
17
Estamos en proceso de crear un Centro Alterno en la […], en el
mismo tendremos los equipos necesarios para sincronizar
diariamente los sistemas existente en el Centro De Computo del
Cuartel General. Se espera tenerlo disponible para noviembre
del año en curso. [sic] [Apartado c.]
Véanse las recomendaciones 3.a.2) y b., y 4.
Hallazgo 4 - Deficiencias relacionadas con las normas sobre el uso de
los sistemas de información, y procedimientos sin la aprobación del
Superintendente
Situaciones
a.
La Policía contaba con la Orden General 2003-25, Normas y
Controles para el uso de los Sistemas Computadorizados en la
Policía de Puerto Rico, aprobada el 12 de diciembre de 2003 por
el Superintendente. Su propósito era establecer las normas y los
procedimientos que regularían el uso de los sistemas de información
computadorizados en la Policía. En el examen realizado el 22 de
febrero de 2013 determinamos que dicha Orden General no establecía
disposiciones para lo siguiente:

Advertir que toda la información creada y almacenada
en las computadoras y en los sistemas de información
computadorizados es propiedad de la Policía.

Instruir sobre la ubicación de los archivos que se crean en las
computadoras para protegerlos mediante algún mecanismo de
respaldo.

Prohibir la modificación de los privilegios de acceso otorgados
por la Policía y de los parámetros de configuración de
comunicación de los equipos.

Prohibir el uso de las computadoras o de sistemas de correo
electrónico para enviar, recibir o crear mensajes de contenido
discriminatorio por razón de raza, género, ideas políticas o
religiosas, u origen social o nacional.
18
TI-15-01

Reservar el derecho de decodificar todo documento y de radicar
acusaciones criminales por las actuaciones que constituyen delito
federal o estatal aunque no expresamente prohibidas por las
condiciones de uso de los equipos de computadoras.
b.
En
la
División
de
Tecnología
se
utilizaba
el
documento
Procedimientos Operacionales del Centro de Cómputos, el cual
incluía las instrucciones para activar y desactivar los servidores y el
generador de energía ininterrumpible (UPS, por sus siglas en inglés);
las normas de respaldo y de recuperación del sistema; y las normas de
seguridad física y ambiental del Centro de Cómputos. Además,
se utilizaba el Procedimiento de la División de Tecnología para
la Disposición Equipos Tecnológicos que incluía las instrucciones
para eliminar la información confidencial y los programas antes de
transferir o disponer de los equipos computadorizados y los medios
de almacenamiento electrónico.
Estos procedimientos fueron preparados por el Supervisor de
Operador de Equipos Electrónicos de Información en junio de 2009 y
octubre de 2010. Sin embargo, nuestro examen reveló que, al 17 de
abril y al 31 de mayo de 2013, los mismos no habían sido aprobados
por el Superintendente.
Situaciones similares a las del apartado b. se comentaron en los
informes de auditoría TI-03-02 y TI-03-13 del 23 de mayo de 2002.
Criterios
Las situaciones comentadas son contrarias a lo establecido en la
Política TIG-003 de la Carta Circular 77-05. En esta se establecen las
directrices generales que permiten a las agencias implementar controles
adecuados en sus sistemas de información computadorizados para
garantizar la confidencialidad, la integridad y la disponibilidad de la
información que manejan. Además, se establece que será responsabilidad
de cada entidad gubernamental desarrollar normas específicas que
consideren las características propias de los ambientes de tecnología de la
agencia, particularmente sus sistemas de misión crítica. Esto implica que,
TI-15-01
19
como norma de sana administración, se deben establecer por escrito las
políticas, las normas y los procedimientos de control interno eficaces que
reglamenten las operaciones computadorizadas y que estén aprobados por
la alta gerencia. Mediante los mismos se logran definir los niveles de
control que deben existir en las distintas áreas. Además, contribuyen a
mantener la continuidad de las operaciones en casos de renuncias o
ausencias del personal de mayor experiencia y facilitan el adiestramiento.
Efectos
La situación comentada en el apartado a. le impide a la Policía mantener
controles adecuados para el uso de sus sistemas de información
computadorizados, y podría exponer la información contenida en los
mismos a riesgos innecesarios. Además, esta situación podría promover el
uso indebido de los sistemas de información computadorizados y dificultar
la imposición de sanciones en caso de que ocurra alguna irregularidad.
La situación comentada en el apartado b. podría ocasionar que las
operaciones de los sistemas de información de la Policía no se realicen
de manera uniforme. Esto puede dar lugar a la comisión de errores
e irregularidades sin que se puedan detectar a tiempo para fijar
responsabilidades y tomar las medidas correctivas necesarias.
Causas
La situación comentada en el apartado a. se atribuye, principalmente, a
que el Director del NTC no revisó ni actualizó las normas para el uso de
los sistemas de información computadorizados de la Policía para incluir las
normas mencionadas.
La situación comentada en el apartado b. se atribuye, principalmente, a
que el Supervisor de Operador de Equipos Electrónicos de Información no
le había referido al Director del NTC el documento Procedimientos
Operacionales del Centro de Cómputos ni el Procedimiento de la División
de Tecnología para la Disposición Equipos Tecnológicos para que
los mismos fueran revisados y remitidos al Superintendente para su
aprobación.
20
TI-15-01
Comentarios de la Gerencia
En la carta del Superintendente, este nos indicó, entre otras cosas, lo
siguiente:
En Vista de que hace once años que no se revisa la Orden
General 2003-25, “Normas y Controles para el uso de los Sistemas
Computadorizados en la Policía de Puerto Rico”. El Negociado
de Tecnología y Comunicaciones sometió en la Oficina
de Reforma y Cumplimientos dicha orden general con
las enmiendas necesarias para su revisión total. Estamos
conscientes que la misma debe estar atemperada a nuestro
tiempo. [sic] [Apartado a.]
La División de Tecnología cuenta con los Procedimientos
Operacionales del Centro de Cómputos, los cuales sirven de
guía para manejar las operaciones diarias. El Negociado de
Tecnología y Comunicaciones creará un comité para revisar
dichos procedimientos y luego someterlo a la Oficina del
Superintendente para su aprobación final. [sic] [Apartado b.]
Véase la Recomendación 3.c. y d.
Hallazgo 5 - Falta de un registro de programas instalados en las
computadoras
Situación
a.
Al 19 de febrero de 2013, la División de Tecnología no mantenía
un registro de los programas adquiridos e instalados en cada
computadora que incluyera, entre otras cosas, lo siguiente:

El número de licencia de los programas instalados

El nombre del usuario

El número de propiedad y la descripción de la computadora
donde estaban instalados los programas

Una
El costo de los programas instalados.
situación
similar
fue
comentada
en
el
Informe
de
Auditoría TI-03-13.
Criterios
La situación comentada es contraria a lo establecido en el Artículo VIII.b
de la Sección D. de la Orden General 2003-25. En esta se establece que la
TI-15-01
21
División de Tecnología cuenta con un procedimiento centralizado para el
respaldo, el control y la administración de todos los programas, las
licencias y los manuales adquiridos. Esta centralización tiene el propósito
de evitar y minimizar la pérdida de programas y a su vez, mantener un
control de inventario de los recursos disponibles en la Policía.
Además, es contraria a la Política TIG-008, Uso de Sistemas de
Información, de la Internet y del Correo Electrónico, de la Carta
Circular 77-05. En esta se establece que los sistemas de información de
las entidades gubernamentales, incluidos los programas, las aplicaciones y
los archivos electrónicos, son propiedad del Estado Libre Asociado de
Puerto Rico, por lo que deben constar en el inventario de las respectivas
agencias y sólo pueden utilizarse para fines estrictamente oficiales y
legales.
Las mejores prácticas de la tecnología de información sugieren que se
mantenga un registro de todos los programas en el cual se indique lo
siguiente: el número de la licencia, el nombre del proveedor, el dueño de la
licencia, la fecha de adquisición, el equipo donde está instalado (número
de propiedad o de serie), la ubicación física de la licencia y de sus
manuales, el nombre del usuario, el número de propiedad asignado, y el
costo.
Efectos
La situación comentada impide ejercer un control eficaz de los programas
y de las licencias de estos. Además, propicia la instalación y el uso de
programas no autorizados, sin que se pueda detectar esta situación a
tiempo para fijar responsabilidades, con los consiguientes efectos adversos
para la Policía.
Causa
La situación comentada se debe a que el Supervisor de Operador de
Equipos Electrónicos de Información no había tomado las medidas
necesarias para mantener un registro y control adecuado de los programas
adquiridos e instalados en las computadoras de la Policía.
Véase la Recomendación 3.e.
22
RECOMENDACIONES
TI-15-01
Al Superintendente de la Policía
1. Asegurarse de que se realice y se documente un análisis de riesgos de
los sistemas de información computadorizados, según se establece en
las políticas TIG-003 y TIG-015. El informe producto de este análisis
de riesgos, debe ser remitido para revisión y aprobación. Además,
una vez aprobado, ver que se revise anualmente para asegurarse de
que se mantenga actualizado. [Hallazgo 1]
2.
Realizar las gestiones necesarias para que la Policía cuente con un
plan de seguridad para los sistemas de información, que incluya los
criterios descritos en el Hallazgo 2-a. Una vez preparado, el mismo
debe ser remitido para revisión y aprobación. Además, ver que se
divulgue a los funcionarios y a los empleados, y que se realicen
evaluaciones periódicas del mismo para asegurar su funcionamiento.
3.
Ejercer una supervisión eficaz sobre el Superintendente Auxiliar de
Servicios Gerenciales para asegurarse de que el Director del NTC:
a.
Prepare y remita para aprobación del Superintendente:
1)
Un procedimiento para el manejo de incidentes. Como
parte de dicho procedimiento, se debe requerir que se
documenten todos los incidentes y cómo se resolvieron, de
manera que, cuando estos se repitan, se puedan resolver
en el menor tiempo posible sin afectar los sistemas de
información
y
la
continuidad
de
las
operaciones.
[Hallazgo 2-b.]
2)
Un plan de contingencias detallado para la División
de Tecnología en el que se establezcan las medidas a
considerarse en caso de ocurrir eventos o situaciones de
emergencia que afecten las operaciones de la Policía, tales
como: interrupciones de energía eléctrica, errores humanos,
terremotos o fuegos, entre otros, y que incluya los aspectos
comentados en el Hallazgo 3-b.
TI-15-01
23
b.
Realice las gestiones necesarias para habilitar la instalación
identificada como centro alterno, o cualquier otro lugar que no
esté expuesto a los mismos riesgos que la Oficina de Tecnología
del NTC, con la infraestructura y los equipos necesarios. Esto,
para restaurar las operaciones críticas computadorizadas de la
Policía en caso de emergencia. [Hallazgo 3-c.]
c.
Actualice la Orden 2003-25 para incluir las normas indicadas en
el Hallazgo 4-a.
d.
Revise el documento Procedimientos Operacionales del Centro
de Cómputos y el Procedimiento de la División de Tecnología
para la Disposición Equipos Tecnológicos, realice los cambios
necesarios a los mismos, y los remita al Superintendente para
aprobación. [Hallazgo 4-b.]
e.
Mantenga un registro de todos los programas computadorizados
adquiridos por la Policía e instalados en sus computadoras, que
contenga, entre otras información, el número de licencia y el
costo de los programas instalados, el nombre del usuario, el
número de propiedad y la descripción de la computadora donde
están instaladas los mismos. Esto, con el fin de mantener un
inventario de los mismos y detectar la instalación de programas
no autorizados. [Hallazgo 5]
4.
Asegurarse de que se realicen las gestiones necesarias para que se
prepare un plan de continuidad de negocios que incluya un plan para
la recuperación de desastres y un plan para la continuidad de las
operaciones. Este plan debe ser remitido para revisión y aprobación.
Una vez este sea aprobado, tomar las medidas necesarias para
asegurarse de que el mismo se mantenga actualizado y se conserve
copia en un lugar seguro fuera de los predios de la Policía. Además,
asegurarse de que sea distribuido a los funcionarios y a los empleados
concernientes, y de que se realicen pruebas periódicas para garantizar
la efectividad del mismo. [Hallazgo 3-a.]
TI-15-01
25
ANEJO
POLICÍA DE PUERTO RICO
NEGOCIADO DE TECNOLOGÍA Y COMUNICACIONES
DIVISIÓN DE TECNOLOGÍA
FUNCIONARIOS PRINCIPALES DE LA ENTIDAD
DURANTE EL PERÍODO AUDITADO
NOMBRE
CARGO O PUESTO
PERÍODO
DESDE
HASTA
Sr. Héctor M. Pesquera López
Superintendente
8 oct. 12
31 ago. 13
Sr. Ricardo Martínez Rodríguez
Superintendente Asociado
4 dic. 12
31 ago. 13
8 oct. 12
30 nov. 12
11 feb. 13
31 ago. 13
8 oct. 12
31 ene. 13
13 feb. 13
31 ago. 13
8 oct. 12
15 dic. 12
8 oct. 12
31 ago. 13
Sr. José L. Rivera Díaz
Sra. Yazmín González Morales
Sr. Ángel Cortés Cintrón
Sr. Luis C. González Sánchez
"
Vacante
10
11
"
Superintendente Auxiliar en
Servicios Administrativos
"
Director del Negociado de
10
Tecnología y Comunicaciones
"
Director de la División de
11
Tecnología
Este puesto estuvo vacante durante el período del 16 de diciembre de 2012 al 12 de febrero de 2013.
El Tte. Julio De Jesús Rivera realizó las tareas de este puesto del 8 de octubre al 7 de diciembre de 2012. A partir del
13 de diciembre de 2012, dichas tareas fueron asignadas al Sr. Caonabo Vicente Vázquez, Supervisor de Operador de
Equipos Electrónicos de Información.
MISIÓN
Fiscalizar las transacciones de la propiedad y de los fondos públicos, con
independencia y objetividad, para determinar si se han realizado de acuerdo
con la ley, y atender otros asuntos encomendados.
Promover el uso efectivo, económico, eficiente y ético de los recursos del
Gobierno en beneficio de nuestro Pueblo.
PRINCIPIOS PARA
LOGRAR UNA
ADMINISTRACIÓN
PÚBLICA DE
EXCELENCIA
La Oficina del Contralor, a través de los años, ha identificado principios
que ayudan a mejorar la administración pública. Dichos principios se
incluyen en la Carta Circular OC-08-32 del 27 de junio de 2008,
disponible en nuestra página en Internet.
QUERELLAS
Las querellas sobre el mal uso de la propiedad y de los fondos públicos
pueden presentarse, de manera confidencial, personalmente o por teléfono
al (787) 754-3030, extensión 1106, o al 1-877-771-3133 (sin cargo).
También se pueden presentar mediante el correo electrónico
[email protected] o mediante la página en Internet de la Oficina.
INFORMACIÓN SOBRE
LOS INFORMES DE
AUDITORÍA
En los informes de auditoría se incluyen los hallazgos significativos
determinados en las auditorías. En nuestra página en Internet se incluye
información sobre el contenido de dichos hallazgos y el tipo de opinión del
informe.
La manera más rápida y sencilla de obtener copias libres de costo de los
informes es mediante la página en Internet de la Oficina.
También se pueden emitir copias de los mismos, previo el pago de sellos de
rentas internas, requeridos por ley. Las personas interesadas pueden
comunicarse con el Administrador de Documentos al (787) 754-3030,
extensión 3400.
INFORMACIÓN DE
CONTACTO
Dirección física:
Internet:
105 Avenida Ponce de León
www.ocpr.gov.pr
Hato Rey, Puerto Rico
Teléfono: (787) 754-3030
Fax: (787) 751-6768
Dirección postal:
PO Box 366069
San Juan, Puerto Rico 00936-6069
Correo electrónico:
[email protected]

EsDocs.com

© Copyright 2025