TECNOLOGIA INFORMACION Y COMUNICACIONES
Administración de sistemas y base de datos
2. Fallas en la Seguridad Industrial
No. Tipo Auditoría No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Riesgo Responsable
2 IAI - Informes de Auditoría Interna CAG-002-2012 01/06/2012 01/06/2012 Tecnología de Información de Comunicaciones Bajo Gerente de Planificación, Director de TIC y Director de Servicios Generales y Transporte
Hallazgos Recomendación Fecha Tope
Existen falencias de seguridad industrial relacionadas con el suministro eléctrico del Data Center tales como: La planta eléctrica utilizada para el suministro de energía de emergencia del Data Center no cuenta con las seguridades necesarias; y en el cuarto de la UPS (Fuente de Energía Ininterrumpida) se encontraron almacenados recipientes de aceite de motor.
La Contraloría General del Estado en las Normas de Control Interno en el numeral 410 Tecnología de la Información, en el numeral 410-10 Seguridad de Tecnología de la Información menciona:
"…La unidad de tecnología de información, establecerá mecanismos que protejan y salvaguarden contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas informáticos, para ello se aplicarán al menos las siguientes medidas, especialmente los numerales:
1.- Ubicación adecuada y control de acceso físico a la unidad de tecnología de información y en especial a las áreas de: servidores, desarrollo y bibliotecas;….
5.- Implementación y administración de seguridades a nivel de software y hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad
3. El Gerente General dispondrá al Gerente de Planificación y éste a su vez al Director de TIC que coordine con el Director de Servicios Generales y Transporte la realización de las siguientes acciones correctivas: a) cierre del área de acceso a la planta eléctrica utilizada para el suministro de energía de emergencia al Data Center; y b) retiro y reubicación de los recipientes que contienen aceite que se encuentran en el cuarto de la UPS (fuente de energía ininterrumpida).
Hallazgos Recomendación Fecha Tope
identificados
6.- Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire controlado, disponer de energía acondicionada, esto es estabilizada y polarizada, entre otros..."
CONCLUSIÓN
El no haber contado desde el inicio con una persona responsable de la gestión del Data Center, ocasionó que no se hayan establecido los controles adecuados para salvaguardar las seguridades físicas y lógicas y de seguridad industrial de esa área crítica de la Empresa.
2. Fallas en la Seguridad Industrial
ESTADO
% Status
COMENTARIOS
Fecha Esperada
Terminación
100
El Gerente General, mediante oficio GG 00769 del 07 de junio de 2012, dispuso a las
Gerencias: Administrativa - Financiera, de Planificación y de Distribución lo siguiente:
"para su conocimiento y atención, remito copia de la Carta a Gerencia CAG-002-2012
denominada 'Verificación de las seguridades físicas y lógicas del Data Center ubicado en el
edificio del Centro de Control'.
Agradeceré se dignen arbitrar las medidas necesarias para que, en estricto apego a la
normativa aplicable y dentro de los plazos respectivos, se proceda al análisis e implementación
de las conclusiones y recomendaciones contantes en dicho documento; adicionalmente se
servirán informar a esta Gerencia sobre las acciones y resultados obtenidos."
El Director del Departamento de Servicios Generales y Transporte, mediante memorando
GAF/DSGT 1205044 del 31 de mayo de 2012 dispuso al Jefe del Departamento de Servicios
Generales lo siguiente:
"Agradeceré atender la ejecución de las tareas que constan en el literal 'c' numeral 1 y numeral
2 de las Recomendaciones del Informe de Auditoría Interna: CAG-002-2012, que acompaño.
La fecha de cumplimiento es hasta el 15 de agosto de 2012"
El Director del Departamento de Servicios Generales y Transporte, mediante memorando
GAF/DSGT 1206011 del 8 de junio de 2012 dispuso al Jefe del Departamento de Servicios
Generales lo siguiente:
"Agradeceré informar el estado de ejecución de los trabajos solicitados con el memorando
GAF/DSGT 1205044 del 31 de mayo de 2012. Es importante la oportuna atención para cumplir
con el pedido del señor Gerente General en el memorando GG 00769 del 07 de junio de 2012,
que acompaño."
Actualización del seguimiento de recomendaciones al 27 de febrero de 2013:
La Dirección de TIC, con oficio GPL-DTIC-01-060 del 28 de enero de 2013 dirigido a Auditoría
Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación:
Razones por las que no se ha cumplido totalmente esta recomendación:
"Actualización 18-01-2013 Se ha establecido un programa para la verificación de la ejecución
de los trabajos solicitados, se emitirá un informe, se determina como fecha de atención el
28-02-2013."
Actualización del seguimiento de recomendaciones al 04 de junio de 2013:
La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna
manifestó lo siguiente con respecto al cumplimiento de esta recomendación:
"Actualización 30 de mayo de 2013 de la DTIC: Se ha instalado acceso biométrico a esta área
y se retiró en forma inmediata los recipientes de aceite. Verificado con Auditor Informático Ing.
Fernando Guevara el 30 de Mayo de 2013 en visita al Centro de Cómputo de Iñaquito. En este
sentido se atiende esta recomendación en un 100%".
3. (1_1) Fallas en las Seguridades Físicas y Lógicas
No. Tipo Auditoría No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Riesgo Responsable
3 IAI - Informes de Auditoría Interna CAG-002-2012 01/06/2012 01/06/2012 Tecnología de la Información y comunicaciones
Medio Gerente de Planificación y Gerente Administrativo Financiero
Hallazgos Recomendación Fecha Tope
No se gestionó adecuadamente el sistema de acceso biométrico al Data Center (ej. agregar, modificar y eliminar perfiles); no se implementó una bitácora en la que se registre a los visitantes autorizados; el Data Center cuenta con una ventana de vidrio que da a un patio exterior; no funciona el sistema de circuito cerrado de televisión (CCTV); y la puerta de la caja principal de breakers (PDU) del Data Center no se mantiene con llave.
La Contraloría General del Estado en las Normas de Control Interno en el numeral 410 Tecnología de la Información, en el numeral 410-10 Seguridad de Tecnología de la Información menciona:
"…La unidad de tecnología de información, establecerá mecanismos que protejan y salvaguarden contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas informáticos, para ello se aplicarán al menos las siguientes medidas, especialmente los numerales:
1.- Ubicación adecuada y control de acceso físico a la unidad de tecnología de información y en especial a las áreas de: servidores, desarrollo y bibliotecas;….
5.- Implementación y administración de seguridades a nivel de software y hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad identificados
6.- Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y
El Gerente General dispondrá al Gerente de Planificación que coordine con el Gerente Administrativo Financiero la realización de un análisis conjunto para determinar el recurso humano que sea necesario para la administración y operación del Data Center ubicado en el Edificio del Centro de Control. El análisis indicado servirá para justificar la asignación del personal suficiente y con las competencias para realizar lo siguiente: gestión de disponibilidad de servicios, control de continuidad de la infraestructura, control de respaldos y recuperación de la información; para lo cual considerarán la reasignación de funciones del recurso humano existente en la Dirección del TIC o la contratación de personal, de ser necesario.
Hallazgos Recomendación Fecha Tope
equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire controlado, disponer de energía acondicionada, esto es estabilizada y polarizada, entre otros..."
CONCLUSIÓN
El no haber contado desde el inicio con una persona responsable de la gestión del Data Center, ocasionó que no se hayan establecido los controles adecuados para salvaguardar las seguridades físicas y lógicas y de seguridad industrial de esa área crítica de la Empresa.
3. (1_1) Fallas en las Seguridades Físicas y Lógicas
ESTADO
% Status
COMENTARIOS
Fecha Esperada
Terminación
15
El Gerente General, mediante oficio GG 00769 del 07 de junio de 2012, dispuso a las
Gerencias: Administrativa - Financiera, de Planificación y de Distribución lo siguiente:
"para su conocimiento y atención, remito copia de la Carta a Gerencia CAG-002-2012
denominada 'Verificación de las seguridades físicas y lógicas del Data Center ubicado en el
edificio del Centro de Control'.
Agradeceré se dignen arbitrar las medidas necesarias para que, en estricto apego a la
normativa aplicable y dentro de los plazos respectivos, se proceda al análisis e implementación
de lasconclusiones y recomendaciones contantes en dicho documento; adicionalmente se
servirán informar a esta Gerencia sobre las acciones y resultados obtenidos."
Actualización del seguimiento de recomendaciones al 27 de febrero de 2013:
La Dirección de TIC, con oficio GPL-DTIC-01-060 del 28 de enero de 2013 dirigido a Auditoría
Interna manifestó lo siguiente con respecto al cumplimiento de esta recomendación:
Razones por las que no se ha cumplido totalmente esta recomendación:
"Actualización 18-01-2013 La Gerencia de Planificación esta trabajando en coordinación con la
Gerencia Administrativa en el análisis y evaluación para determinar el recurso humano
necesario para la administración y operación del Data Center. Se estima contar con el
informe resultado de esta acción para el 31-marzo-2013."
Actualización del seguimiento de recomendaciones al 04 de junio de 2013:
La Dirección de TIC, con correo electrónico del 31 de mayo de 2013 dirigido a Auditoría Interna
manifestó lo siguiente con respecto al cumplimiento de esta recomendación:
Razones por las que no se ha cumplido totalmente esta recomendación:
"Actualización al 30 de mayo de 2013: La definición y análisis requerido para determinar el
recurso humano necesario para la operación se mantiene pendiente, en espera de los
resultados del proyecto de reestructura de la EEQ así como también los lineamientos del
SIGDE en lo relacionado al tema Data Center del Sector Eléctrico. Sin embargo, el monitoreo
del Data Center de Iñaquito se lo viene realizando con el personal existente al momento."
1. Fallas en las Seguridades Físicas y Lógicas
No. Tipo Auditoría No Auditoría Año Fecha Emision Fecha Informe RE Función de Negocio Riesgo Responsable
1 IAI - Informes de Auditoría Interna CAG-002-2012 01/06/2012 01/06/2012 Tecnología de la Información y comunicaciones Medio Gerente de Planificación, Director de TIC
Hallazgos Recomendación Fecha Tope
No se gestionó adecuadamente el sistema de acceso biométrico al Data Center (ej. agregar, modificar y eliminar perfiles); no se implementó una bitácora en la que se registre a los visitantes autorizados; el Data Center cuenta con una ventana de vidrio que da a un patio exterior; no funciona el sistema de circuito cerrado de televisión (CCTV); y la puerta de la caja principal de breakers (PDU) del Data Center no se mantiene con llave.
La Contraloría General del Estado en las Normas de Control Interno en el numeral 410 Tecnología de la Información, en el numeral 410-10 Seguridad de Tecnología de la Información menciona:
"…La unidad de tecnología de información, establecerá mecanismos que protejan y salvaguarden contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas informáticos, para ello se aplicarán al menos las siguientes medidas, especialmente los numerales:
1.- Ubicación adecuada y control de acceso físico a la unidad de tecnología de información y en especial a las áreas de: servidores, desarrollo y bibliotecas;….
5.- Implementación y administración de seguridades a nivel de software y hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad identificados
6.- Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y
1. El Gerente General dispondrá al Gerente de Planificación y éste a su vez al Director de TIC que realice las siguientes actividades puntuales: Gestione el sistema biométrico que da acceso a esa área crítica; implemente una bitácora en la que se registre a los visitantes autorizados; solicite a la Dirección de Servicios Generales y Transporte el cierre del espacio ocupado por la ventana de vidrio que da al patio exterior, con un material más resistente (ladrillo o bloque); asegure el correcto funcionamiento del sistema de circuito cerrado de televisión (CCTV); y mantenga cerrada con llave la puerta de la caja principal de breakers (PDU) del Data Center para que no esté expuesta a manipulación.
Hallazgos Recomendación Fecha Tope
equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire controlado, disponer de energía acondicionada, esto es estabilizada y polarizada, entre otros..."
CONCLUSIÓN
El no haber contado desde el inicio con una persona responsable de la gestión del Data Center, ocasionó que no se hayan establecido los controles adecuados para salvaguardar las seguridades físicas y lógicas y de seguridad industrial de esa área crítica de la Empresa.