Informe de Control Interno

1. La gestión del SIAR se realiza sin la supervisión de la SGIS careciendo de un enfoque técnico especializado afectando la

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

confidencialidad, integridad y disponibilidad de la información propia de la Municipalidad

a. Condición

De la entrevista efectuada al SGIS y la revisión de la información recibida de los Requerimientos se comprueba que:

 El Personal asignado a la SGIS, NO participó de las fases de formulación de requerimientos, diseño, evaluación y capacitación del SIAR.

 El Personal asignado a la SGIS, NO realiza desarrolló NI brinda mantenimiento al SIAR.

 Las Bases de Datos se encuentran instaladas en una computadora de las GRM.

 El Personal de la SGTIS brinda apoyo a los Usuarios de los Sistemas de Información en un escenario de autoaprendizaje. De las entrevistas efectuadas a diversos Usuarios del SIAR se comprueba que las actualizaciones y/o mantenimientos:

 No cuentan con un Historial de Requerimientos ni de Errores.

 Son realizadas por el Proveedor de manera remota haciendo uso de la aplicación TeamViewer.

 No son comunicadas a la SGIS para su supervisión y de esa manera obtener la conformidad del cambio.

 No se cuenta con un Acuerdo de Confidencialidad con el Proveedor.

También pudo comprobarse que las computadoras no estaban siendo usadas a manera exclusiva como servidores sino para la actividad cotidiana del Personal.

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

Los hechos revelados demuestran que no se cumple con la Norma Técnica Peruana ISO/IEC 27001:2008 “EDI. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de

seguridad de la información. Requisitos” aprobadas con

Resolución Ministerial 129-2012-PCM del 23.MAY.2012, en los

Controles:

 “A.6.1.5 Acuerdos de Confidencialidad” que dice “Se debe

identificar y revisar regularmente los requisitos de confidencialidad o acuerdos de no divulgación que reflejen las necesidades de la organización para la protección de información”, del Objetivo de Control “A.6.1 Organización interna: Gestionar la seguridad de la información dentro de

la organización”.

 “A.6.2.3 Requisitos de seguridad en contratos con terceros”

que dice “Los acuerdos que involucran el acceso,

procesamiento, comunicación o manejo de terceros de las instalaciones de procesamiento de información organizacional o la adición de productos o servicios a dichas instalaciones deben cubrir todos los requisitos de seguridad necesarios”, del Objetivo de Control “A.6.2 Seguridad del

acceso a terceras partes: Mantener la seguridad de las instalaciones de procesamiento de la información organizacional que acceden, procesan, comunican o

gestionan terceros”.

 “A.7.1.1 Inventario de activos” que dice “Se elaborará y

mantendrá un inventario de todos los activos importantes que sean claramente identificados” y “A.7.1.2 Propiedad de los

activos” que dice “Toda la información y los activos

asociados con las instalaciones de procesamiento de información deben ser propiedad de una parte designada de la organización”, del Objetivo de Control “A.7.1

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

Responsabilidad por los activos: Mantener la protección

apropiada de los activos de la organización”.

 “A.9.2.1 Ubicación y protección de equipos” que dice “El

equipamiento será ubicado o protegido para reducir los riesgos de amenazas, peligros”, del Objetivo de Control “A.9.2 Seguridad de los equipos: Prevenir pérdidas, daños o comprometer los activos así como la interrupción de las

actividades de la organización”.

 “A.10.8.5 Seguridad en los sistemas de información de

negocio” que dice “Se deben desarrollar e implementar

políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio” del Objetivo de Control “A.10.8 Intercambio de

información: Mantener la seguridad de información y el intercambio de software dentro de la organización y con

entidades externas”.

 “A.11.1.1 Política de control de accesos” que dice “Se debe

establecer, documentar y revisar una política de control de accesos, basado en requisitos de acceso de seguridad y del negocio” del Objetivo de Control “A.11.1 Requisitos de

negocio para el control de accesos: Controlar los accesos a

la información”.

 “A.11.6.2 Aislamiento de sistemas sensibles” que dice “Los

sistemas sensibles tendrán un ambiente de computo dedicado (aislado)” del Objetivo de control “A.11.6 Control de acceso

a las aplicaciones e información: Evitar el acceso no

autorizado a la información contenida en los sistemas”.

 “A.12.5.1 Procedimientos de control de cambios” que dice

“La implementación de cambios se controlará estrictamente mediante el uso de procedimientos formales de control de

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

dice “La organización debe supervisar y monitorear el

desarrollo externo de software” del Objetivo de control “A.12.5 Seguridad en los procesos de desarrollo y soporte: Mantener la seguridad del software de aplicación y la

información”.

 “A.12.5.4 Fuga de información Control” que dice “Se deben

de prevenir las oportunidades de fuga de información” del

Objetivo de control “A.12.5 Seguridad en los procesos de desarrollo y soporte: Mantener la seguridad del software de

aplicación y la información”.

Asimismo, no se cumple con las Normas de Control Interno

aprobadas con Resolución de Contraloría General Nº 320-2006- CG del 30.OCT.2006, en los Controles:

 “3.8. Documentación de procesos, actividades y tareas” que

dice “Los procesos, actividades y tareas deben estar

debidamente documentados para asegurar su adecuado desarrollo de acuerdo con los estándares establecidos, facilitar la correcta revisión de los mismos y garantizar la trazabilidad de los productos o servicios generados”, que en

su Comentario 1 dice “Los procesos, actividades y tareas que

toda entidad desarrolla deben ser claramente entendidos y estar correctamente definidos de acuerdo con los estándares establecidos por el titular o funcionario designado, para así garantizar su adecuada documentación. Dicha documentación comprende también los registros generados por los controles establecidos, como consecuencia de hechos significativos que se produzcan en los procesos, actividades y tareas, debiendo considerarse como mínimo la descripción de los hechos sucedidos, el efecto o impacto, las medidas adoptadas para su corrección y los responsables en cada caso”.

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

 “3.10. Controles para las Tecnologías de la Información y

Comunicaciones” que dice “La información de la entidad es

provista mediante el uso de Tecnologías de la Información y Comunicaciones (TIC). Las TIC abarcan datos, sistemas de información, tecnología asociada, instalaciones y personal. Las actividades de control de las TIC incluyen controles que garantizan el procesamiento de la información para el cumplimiento misional y de los objetivos de la entidad, debiendo estar diseñados para prevenir, detectar y corregir errores e irregularidades mientras la información fluye a través de los sistemas” que en su Comentario 1 dice

“Controles generales los conforman la estructura, políticas y procedimientos que se aplican a las TIC de la entidad y que contribuyen a asegurar su correcta operatividad: Sistemas de seguridad de planificación y gestión de la entidad en los cuales los controles de los sistemas de información deben aplicarse en las secciones de desarrollo, producción y soporte técnico”,

 “4.4. Sistemas de información” que dice “Los sistemas de

información diseñados e implementados por la entidad constituyen un instrumento para el establecimiento de las estrategias organizacionales y, por ende, para el logro de los objetivos y las metas. Por ello deberá ajustarse a las características, necesidades y naturaleza de la entidad. De este modo, el sistema de información provee la información como insumo para la toma de decisiones, facilitando y garantizando la transparencia en la rendición de cuentas” que en su Comentario 3 dice “Los sistemas de información deben

estar orientados a integrar las operaciones de la entidad, de preferencia y dependiendo del caso en tiempo real. La calidad

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

de los sistemas de información debe asegurarse por medio de la elaboración de procedimientos documentados”.

c. Causa

Los hechos revelados se deben a las siguientes causas:

 No se contaba con un Plan de Sistemas de Información que sustente la necesidad de los mismos.

 La falta de un procedimiento de adquisición de Sistemas de Información con la participación del Personal de la SGIS en cada una de sus etapas.

 Las Subgerencias de la Municipalidad no han solicitado el apoyo de la SGIS durante el proceso de adquisición de los Sistemas de Información.

 La falta de procedimientos para el mantenimiento y soporte a los Sistemas de Información bajo la Supervisión del Personal de la SGIS.

 Las Subgerencias de la Municipalidad no han solicitado a la SGIS la gestión de sus Bases de Datos, tampoco el traslado de las mismas a las computadoras (servidores) gestionadas por la SGIS.

d. Efecto

El no contar documentos de Gestión de los Sistemas de Información o de Tecnologías de Información constituyen un riesgo permanente de desgobierno y administración de los recursos informáticos de la MPF, en general, y de la correcta Gestión de los Sistemas de Información, en particular, afectando el normal desarrollo de las actividades y/o procesos y de esta manera, no contribuyen al logro de los objetivos institucionales.

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

El SGIS debe presentar un informe detallado de la Gestión de los Sistemas de Información y sus bases de datos en la MPF para solicitar se le asigne la gestión de los mismos y realizar las mejoras de seguridad pertinentes y garantizar la protección de la Base de Datos.

La Gerencia Municipal debe suspender los mantenimientos de los Sistemas de Información de la MPF, si estás no están supervisadas por el personal de la SGIS.

2. No existe un adecuado mecanismo de salvaguarda de las bases de

datos pudiendo afectar la disponibilidad y la integridad de la información almacenada

a. Condición

De la revisión de los Requerimientos solicitados respecto a las copias de respaldo de la base de datos, el Personal a cargo del SIAR manifiesta lo siguiente:

 Se carece de un Procedimiento de Resguardo y Restauración (Backup y Restore) de la Base de Datos,

 Se carece de un Inventario de las copias de resguardo, y

 Se carece de un Registro de las Operaciones de Resguardo y Restauración de las Bases de Datos.

De la revisión realizada al Servidor de Base de Datos se pudo comprobar lo siguiente:

 Las copias de resguardo las realiza el Cajero 1 diariamente, empaquetando la base de datos en la carpeta “SATFE”, luego mueve el archivo a la carpeta “backupdatas en Admrentas” del mismo disco duro (Unidad W). Esta persona manifiesta que dicho procedimiento lo realiza desde que fue designado como Cajero y fue capacitado por personal de la Subgerencia de Informática y Sistemas (SGIS) en solo una oportunidad.

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

 Las copias de resguardo son copiadas mensualmente a un DVD, que luego es almacenado en el mismo mueble donde se encuentra el servidor.

 Se carece del Servicio de almacenamiento externo al MPF. Consultado el Subgerente de Informática y Sistemas respecto este procedimiento, manifiesta que al asumir la SGIS, no le entregaron ni encontró documento relacionado y no se ha podido adquirir hardware construido para la realización de copias de respaldo y restauración de base de datos debido al escaso presupuesto con que cuenta la SGIS y la Gerencia de Rentas Municipales (GRM) no lo ha solicitado.

b. Criterio

Los hechos revelados demuestran que no se cumple con:

 La Norma Técnica Peruana ISO/IEC 27001:2008 “EDI.

Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos”, aprobada mediante Resolución Ministerial N°

129-2012-PCM del 23.MAY.2012, en los Controles:

- “A.9.1.4: Protección contra amenazas externas y

ambientales” dice “Se deben designar y mantener

protección física contra daños por fuego, inundación, terremoto, explosión, manifestación civil y otras formas de desastre natural o realizado por el hombre” del

Objetivo de Control “A.9.1: Áreas seguras” que dice

“Prevenir accesos no autorizados, daños e interferencias contra los locales y la información de la organización”.

- “A.10.5.l: Recuperación de la información” dice “Se

obtendrán y probarán las copias de recuperación y respaldo de información y software regularmente en concordancia con la política acordada” del Objetivo de

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

Control “A.10.5: Gestión interna de respaldo y

recuperación” que dice “Mantener la integridad y la

disponibilidad del procesamiento de información y servicios de comunicación”.

 Las Normas de Control Interno aprobadas con Resolución

de Contraloría General Nº 320-2006-CG del 30.OCT.2006,

en el Control “3.10. Controles para las Tecnologías de la

Información y Comunicaciones” que su Comentario 5 dice

“Para el área de producción: En la seguridad física, por medio de restricciones de acceso a la sala de cómputo y procesamiento de datos, a las redes instaladas, así como al respaldo de la información (backup)”.

c. Causa

Esto confirma que:

 No se implementó un Procedimiento de Respaldo y Restauración para la base de datos del SIAR.

 No se implementó el Historial de Operaciones de Respaldo y Restauración de la base de datos del SIAR.

 No se ha adquirido hardware con las características mínimas que garanticen la disponibilidad de la base de datos ocurrido un incidente de seguridad.

 No se contrató un servicio de almacenamiento externo de información.

d. Efecto

Las condiciones manifestadas son fuentes de los riesgos de pérdida, robo o deterioro de la base de datos original y sus copias de resguardo, debido que al tenerse acceso al servidor una persona no autorizada podría realizar algunas de esas acciones. Asimismo, se

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

podría causar la no continuidad de los procesos de Cobranza y la paralización de las actividades de la GRM.

e. Recomendación

La GRM, con el apoyo de la SGIS, debe presentar un informe detallado de las Copias de Respaldo (Backups) de la Base de Datos del SIAR para solicitar se le asigne los recursos necesarios y realizar las mejoras de seguridad pertinentes y garantizar la protección de la Base de Datos y su copia de respaldo. También, debe solicitar la adquisición del Servicio de Salvaguarda Externa de la Base de Datos o en su caso, la identificación de una ambiente diferente al suyo donde se puedan almacenar las Copias de Seguridad de la Base de Datos como medida preventiva a los riesgos de pérdida, robo o deterioro.

La SGIS debe elaborar un Procedimiento de Respaldo y Restauración de la Base de Datos como mecanismo de Control de las Operaciones que se realicen en la GRM.

3. Falta de protección física del ambiente del Servidor del SIRA genera el riesgo de pérdida de la base de datos y de los equipos informático

a. Condición

De la inspección realizada a los ambientes y computadoras de la Gerencia de Rentas Municipales se pudo comprobar respecto el ambiente del servidor del Sistema de Rentas:

 La puerta de ingreso es de madera con cerradura mecánica,

 El techo es de eternit,

 En el centro del ambiente hay un columna de cemento y fierro a medio construir,

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

 No cuenta con falso piso, aire acondicionado, extintores de fuego, detectores de humo, humedad y movimiento,

 Es usado como almacén de papeles y/o equipos eléctricos,

 El servidor se encuentra sobre un escritorio de madera,

 Parte del tendido de red de datos y eléctrico se encuentra sin canaletas,

 Se han instalados nuevos recorridos de red de datos y eléctricos pero sin cables y están expuestos.

Consultado el Gerente de Rentas Municipales respecto a esta situación, manifiesta que no se ha asignado presupuesto para la mejora del ambiente y muebles de la GRM. Manifiesta también, que la construcción del techo y la columna se iniciaron y terminaron en el último trimestre del año 2010.

b. Criterio

Los hechos revelados demuestran que no se cumple con:

 La Norma Técnica Peruana ISO/IEC 27001:2008 “EDI.

Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos”, aprobada mediante Resolución Ministerial N° 129-2012-PCM del 23.MAY.2012, que en su Objetivo de

Control “A.9.1: Áreas seguras” dice “Prevenir accesos no

autorizados, daños e interferencias contra los locales y la

información de la organización” incumpliendo en todos sus

Controles:

- A.9.1.1: Seguridad física perimetral, - A.9.1.2: Controles físicos de entradas,

- A.9.1.3: Seguridad de oficinas, despachos y recursos, - A.9.1.4: Protección contra amenazas externas y

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

- A.9.1.6: Áreas de carga, descarga y acceso público.

 Las Normas de Control Interno aprobadas con Resolución

de Contraloría General Nº 320-2006-CG del 30.OCT.2006,

en el Control “3.10. Controles para las Tecnologías de la

Información y Comunicaciones” que en su Comentario 1

dice “Los Controles lo conforman la estructura, políticas y procedimientos que se aplican a las TIC de la entidad y que contribuyen a asegurar su correcta operatividad. Los principales controles deben establecerse en: Sistemas de seguridad de planificación y gestión de la entidad en los cuales los controles de los sistemas de información deben aplicarse en las secciones de desarrollo, producción y soporte técnico; Segregación de funciones; Controles de acceso general, es decir, seguridad física y lógica de los equipos centrales; y, Continuidad en el servicio”.

c. Causa

No se ha solicitado el presupuesto para la mejora del ambiente donde se encuentra instalado los servidores del SIAR.

d. Efecto

La falta de protección física del Servidor del SIAR es un punto débil de seguridad y protección, dejando abierta la posibilidad de un ataque directo ocasionando como consecuencia el deterioro o inutilidad de los mismos, la pérdida o robo de las bases de datos, la alteración de las cuentas de usuario y la no continuidad de las comunicaciones en la Municipalidad.

e. Recomendación

La Gerencia de Rentas debe presentar un informe detallado del actual estado del ambiente y los muebles que ocupa y hace uso,

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

para que se le asigne los recursos necesarios para realizar las mejoras de seguridad y protección pertinentes.

La SGIS debe elaborar un Plan de culminación de la Instalación de las redes de datos y electricidad de los ambientes de la GRM, luego elevar el presupuesto buscando su aprobación.

4. No se cuenta con documentos técnicos y operacionales del SIAR generando riesgos de mala instalación, configuración y operación

a. Condición

De la revisión efectuada a los Requerimientos solicitados respecto a los documentos técnicos y operacionales del SIAR, se manifiesta lo siguiente:

 Se carece de Planes de Calidad, Gestión del Proyecto, Gestión de Configuración, Verificación, Validación y Pruebas.

 Se carece de Manuales de Usuarios del SIAR.

 No se planificó un Plan de Capacitación de Usuarios.

b. Criterio

Los hechos revelados demuestran que no se cumplió con la Norma Técnica de Control aprobada con Resolución de Contraloría

General Nº 320-2006-CG del 30.OCT.2006, en los Controles:

 “3.8. Documentación de procesos, actividades y tareas” que

dice “Los procesos, actividades y tareas deben estar

debidamente documentados para asegurar su adecuado desarrollo de acuerdo con los estándares establecidos, facilitar la correcta revisión de los mismos y garantizar la trazabilidad de los productos o servicios generados”, y en su

Comentario 3 dice “La documentación correspondiente a los

Universidad Nacional de Trujillo _{Escuela de Ingeniería de Sistemas}

 “3.10 Controles para las Tecnologías de la Información y

Comunicaciones” que dice “La información de la entidad es

provista mediante el uso de Tecnologías de la Información y Comunicaciones (TIC). Las TIC abarcan datos, sistemas de información, tecnología asociada, instalaciones y personal.”, y en su Comentario 4 dice “El control del desarrollo y

mantenimiento de los sistemas de información provee la estructura para el desarrollo seguro de nuevos sistemas y la modificación de los existentes, incluyendo las carpetas de documentación de estos. Se requiere definir mecanismos de autorización para la realización de proyectos, revisiones, pruebas y aprobaciones para actividades de desarrollo y modificaciones previas a la puesta en operación de los sistemas. Las decisiones sobre desarrollo propio o adquisición de software deben considerar la satisfacción de las

In document Auditoría del sistema de arbitrios y rentas de la municipalidad provincial de ferreñafe (página 75-97)