MSA-AUI-ICI-04-004-2020
15 abril de 2020
Señor
Gerardo Oviedo
Alcalde Municipal
Asunto:
Informe sobre control interno, en el proceso de Tecnologías de Información.
Estimado señor:
De
conformidad con el plan anual de la auditoría interna, se procedió a evaluar el
departamento de Informática
· Normas técnicas para la gestión y control de las
Tecnologías de Información (N-2-2007-CO-DFOE)
· Recomendaciones de informes externos anteriores elaborados
por la empresa ASCENSO años 2012 y 2015
El
estudio se realizó con base en las normas técnicas de auditoría establecidas
por
I OBJETIVO
DEL ESTUDIO
El
objetivo general del estudio es verificar el cumplimiento de la implementación
de las normas técnicas para la gestión y el control de
II ALCANCE Y
PROCEDIMIENTOS DE AUDITORÍA
· El presente estudio se realizó tomando en cuenta el periodo
2018 y 2019 en la resolución de un cuestionario aplicado al encargado de
informática, asimismo, se realizó la verificación de que lo respondido en el
cuestionario fuera real.
III
LIMITACIONES
El
presente trabajo no tuvo limitaciones.
IV RESULTADOS
1. Acceso al
sistema municipal de personal cesado en la Municipalidad
Condición
Se
revisaron los perfiles de los usuarios conforme al sistema Windows y se
encontró que algunos funcionarios que ya no son empleados de la municipalidad
se encuentran activos en este sistema, por ejemplo, los siguientes;
-
Rodolfo Golfín Leandro: CN=Rodolfo Golfín, OU=Concejo, OU=Proceso de Secretaría
Concejo, OU=Concejo Municipal, OU=municipal, DC=munisant,
DC=go, DC=cr
-
Raul Marín Venegas; CN=Raul Marín, OU=Proceso de Planificación Urbana,
OU=Gestión Ordenamiento Territorial, OU=Unidades municipales, OU= municipal,
DC= munisant, DC=munisant,
DC=go, DC=cr
-
Alberto Durán Morales: CN=Alberto Durán, OU=Alcaldía, OU= Unidades municipales,OU =municipal,DC=munisant,DC=go,DC=cr
El día 5
febrero de 2020 se revisaron esas cuentas de Windows con Alexander Rojas,
encargado de Tecnologías de Información (TI) y aún se encontraban activas.
Con respecto a las cuentas de “Softland” (software contable comprado por
la Municipalidad), los perfiles de los siguientes exfuncionarios se encontraron
activos:
-
La señora Ericka Herradora, salió
desde el año 2019 y aún se encuentra activa.
-
El señor Leonel León, laboró para la Municipalidad un tiempo
determinado.
-
La señora Ileana Vargas laboró para la Municipalidad un tiempo
determinado.
-
El señor José Rolando Madrigal se encuentra activo en Softland, pese a que renunció hace más
de un año.
Ileana Vargas en el
Grupo de Contabilidad
Además, se encontró que el
señor Robert Azofeifa, funcionario del departamento de Tesorería, al momento de
la revisión se le mantiene “Activo” dentro del sistema de Softland manteniendo
los respectivos privilegios de su anterior puesto en Proveeduría.
En el
sistema de DECSIS, se encontró lo siguiente:
El
funcionario Freddy Sandí se encuentra activo dentro del programa, pese a que el
señor Sandí se encontraba incapacitado en el momento de la revisión.
Criterio
Normas técnicas para la gestión y control de
las Tecnologías de Información
1.4.5
Control de acceso: La organización debe proteger la información de
accesos no autorizados.
d. Establecer procedimientos para la definición de perfiles, roles y
niveles de privilegio, y para la identificación y autenticación del acceso a la
información, tanto para usuarios como para recursos de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de TI,
de conformidad con las políticas de la organización bajo el principio de
necesidad de saber o menor privilegio. Los propietarios de la información son
responsables de definir quiénes tienen acceso a la información y con qué
limitaciones o restricciones.
Causa
Por falta de procedimientos y control interno, no existe un documento
oficial que indique quién es el responsable de informar al proceso de
Tecnologías de Información, los funcionarios que ya no laboran para la
institución y solicitar que se bloqueen, se cambien o se desactiven los accesos
de esos funcionarios que se mantienen fuera por cualquier motivo como por
ejemplo incapacidades o permisos.
Efecto
Los sistemas informáticos y la información municipal se encuentran
vulnerables al mantener personas con accesos activos a los programas
informáticos, pese a que son exfuncionarios o se encuentran incapacitados o con
permisos por un largo tiempo.
2. Revisión de
la Política de Seguridad de la Información
Condición
Una vez realizada la lectura de la Política de Seguridad de la
Información, la auditoría no obtiene evidencia de que esta fuera aprobada por
el Jerarca, asimismo, no se observa evidencia de que esta política haya sido
difundida entre todos los funcionarios. Al parecer se realizó una evaluación
entre varias jefaturas sobre la política de seguridad de la información, pero
situaciones como las que se comentan a continuación, evidencian un
desconocimiento de esta Política:
-
Se le consultó al señor Isidro Céspedes sobre los acuerdos de confidencialidad
que deben firmar los funcionarios municipales y respondió que no se hacen.
Además, se le consultó si se coordinan las capacitaciones con el
encargado de Seguridad de la Información y respondió que el proceso de TI, no
lo ha gestionado.
-
Con respecto a las tareas que según la Política deben cumplirse en la
Proveeduría, se le consultó a la señora María Pérez, proveedora municipal, por
los acuerdos de confidencialidad de la información que deben firmar los
proveedores que dan algún servicio que involucre los sistemas de información
municipal, y la señora Pérez respondió a esta auditoría que no se hacen ya que
ella no ha recibido ninguna directriz que esto debe hacerse.
Además, dentro de esta Política de Seguridad se indica que la Municipalidad
debe contar con una planta eléctrica para dar soporte y continuidad del negocio
en cualquier momento de una falla eléctrica y aún no se cuenta con esta.
Como tampoco se cuenta con el “Encargado de Seguridad de la Información”
que es el vigilante del cumplimiento de esta política, y al momento de este
estudio no se contaba con este encargado de seguridad.
Criterio
La
Política de Seguridad de la Información dice lo siguiente en lo que nos
interesa:
L3-05.
El Proceso de Recursos Humanos se asegurará que todo empleado firme un acuerdo
de confidencialidad ….
L3-06 El
Proceso de Proveeduría se asegurará que los proveedores u otros terceros firmen
un acuerdo de confidencialidad ……
Encargado
de seguridad de la información (funciones):
Asesorar a la Alcaldía en la toma de decisiones en cuanto al tratamiento
de seguridad de la información.
Revisar la política de seguridad de la información.
Revisar y solicitar a la Alcaldía, los recursos para atender las
necesidades de seguridad de la información.
Revisar los resultados de las evaluaciones de cumplimiento y efectividad
política de seguridad de la información.
Formular los procedimientos, controles y lineamientos para la gestión de
la seguridad de la información.
Coordinar las evaluaciones y autoevaluaciones de cumplimiento y
efectividad de la política de seguridad de la información.
Iniciar planes y programas para mantener la conciencia de seguridad de
la información.
Identificar los recursos requeridos para implementar las medidas
necesarias para garantizar la seguridad de la información.
L4-04
Adicional a los controles definidos en el lineamiento L4-03, el cuarto de
servidores de la Municipalidad contará con al menos los siguientes equipos de
seguridad:
...
Conexión
a planta eléctrica.
…
L4-08 La
Municipalidad de Santa Ana contará con una planta eléctrica como fuente
alternativa en caso de fallas prolongadas del fluido eléctrico.
Causa
Debido a falta de controles internos y desconocimiento de la Política de
Seguridad de la Información, no se cumple esta y se vulnera la información
Efecto
Incumplimiento de la Política de la Seguridad de la información, aparte
de la vulnerabilidad de la información que se mantiene sin estos acuerdos de
confidencialidad con el personal y los proveedores, existe el riesgo de que se
pierda la información en un momento de un apagón eléctrico.
|
Comentario de la Administración Alexander Rojas, encargado de TI indica respecto a la Política de
Seguridad y Confidencialidad de la información; que sí se difundió por medio
de Sebastián Araya (encargado de manuales de procedimientos) a los correos
electrónicos de todos los funcionarios, a don Isidro Céspedes sí se le indicó
para que se realizara en los momentos de la inducción, y a María Pérez se le
han hecho las observaciones que deben de realizarse en estos contratos de
confidencialidad. |
3. Revisión de
“Tiquetes”
Condición
De la
revisión que se realizó al sistema de tiquetes (solicitudes de usuarios de TI a
la mesa de trabajo informático para solicitar servicios varios), esta auditoría
encontró “tiquetes” de jefaturas solicitando la “redirección” o desvío de
direcciones de correos de sus colaboradores a los correos de ellos o de otros
compañeros. Esta situación originó una advertencia a la Alcaldía y al Concejo
Municipal mediante oficio MSA-AUI-04-019-2020.
Se encontró
el “tiquete” de Nazzira Hernández de Secretaría solicitando que se
“redireccione” el correo “secretaria.concejo@santaana.go.cr” al correo
de la señora Ericka Rodríguez, quien estuvo un tiempo
en la Secretaría. El día de la revisión al 9 de marzo la señora Rodríguez tiene
acceso a los correos de Secretaría pese a que ya no se encuentra en ese
departamento. Como se muestra en la foto abajo también a la señora Ariana
Chévez se le desviaron los correos al correo general de cobros.
Cuando los
correos individuales son “redireccionados” a los correos “generales o de grupo”
esos correos individuales son accedidos por los demás funcionarios que
pertenecen al grupo, por lo tanto, los correos de índole personal también
pueden ser vistos por otros funcionarios con acceso a correos grupales o
generales.
Cabe
aclarar que el correo de cada funcionario, aunque es un correo institucional es
de uso personal y la información que llegue a su correo es de carácter privado,
si el funcionario usa su dirección de correo de forma personal, se le debe
garantizar su privacidad, derecho a la intimidad y libertad de comunicación.
(Votos Sala Constitucional No. 2013-001779 de las 9 horas 05 minutos del 8 de
febrero del 2013 y No. 2014-018952 de las 9 horas 05 minutos del 21 de
noviembre del 2014)
Criterio
ARTÍCULO 24.- de la Constitución
Política. Se garantiza el derecho a la
intimidad, a la libertad y al secreto de las comunicaciones.
Son inviolables los
documentos privados y las comunicaciones escritas, orales o de cualquier otro
tipo de los habitantes de la República. Sin embargo, la ley, cuya aprobación y
reforma requerirá los votos de dos tercios de los Diputados de la Asamblea
Legislativa, fijará en qué casos podrán los Tribunales de Justicia ordenar el
secuestro, registro o examen de los documentos privados, cuando sea
absolutamente indispensable para esclarecer asuntos sometidos a su
conocimiento.
Causa
Por falta
de procedimientos y controles internos, y debido a una práctica inadecuada en el
manejo de los correos del personal municipal, se acostumbra a tomar acciones
que podrían violentar derechos constitucionales que tienen los funcionarios
municipales.
Efecto
Los hechos
descritos suponen vulnerabilidad en las comunicaciones de los funcionarios, y
eventual violación al derecho fundamental al secreto de las comunicaciones.
4.
Cumplimiento de recomendaciones del
Informe de Tecnologías de la Información hecho por la empresa Acenso en 2015
Las siguientes son las recomendaciones
que aún no se han cumplido o se encuentran en proceso.
1.2.
Gestión de Calidad
(Recomendación Acenso) “Implementar
un sistema de gestión de calidad, que al menos cubra los procesos de TI y que
eventualmente pudiera ir incorporando a los demás procesos sustantivos de la
municipalidad. “
Esta
auditoría considera que sí se encuentra implementado este sistema de gestión de
calidad. Pero este debe quedar redactado en documento de fácil acceso para
cualquiera que requiera conocerlo, auditarlo o fiscalizarlo.
1.4 Gestión de la seguridad de la información
|
(Recomendación Acenso): “Implementar
las prácticas de control que queden estipuladas en el reglamento. -
Revisar los permisos de acceso a
Internet que mantiene el personal de la entidad.” |
Para el
cumplimiento de esta recomendación, la auditoría revisó el acceso a internet en
las computadoras de varios funcionarios con el fin de revisar que no tuviesen
acceso a páginas de acceso restringido.
|
Estas pruebas se realizaron a las computadoras de los siguientes
usuarios escogidos al azar: Román Martínez, Julio Retana, Jeffry Zumbado,
Karla Montes, Sebastián Araya, Catalina Roldán, Andrés Acuña, Helen Morales,
Wendy Ledezma, Guillermo Ramírez, Élida Sandí,
Xinia Chinchilla, María del Rosario Sibaja , se
obtuvieron los siguientes resultados: |
·
Existen acceso a páginas restringidas
que pudieran poner en peligro la seguridad de la información.
·
Existe acceso a páginas de videos con
contenido sexual explícito:
Página de apuestas:
Página de casinos en línea:
Página de visualización
de videos en línea:
Cabe
indicar que no se tiene certeza que al acceder a páginas de apuestas se puedan
realizar apuestas, ya que para eso se requieren cuentas de correos electrónicos
y tarjetas de crédito.
Esta
auditoría considera que aún no se cumple con estas recomendaciones de la
auditoría externa hecha en 2015 por la empresa Acenso.
(Recomendación Acenso) 1.4.2.4 Confeccionar
y firmar los acuerdos de confidencialidad con todo el personal.
RESPUESTA DE TECNOLGÍAS DE INFORMACIÓN:
Lo que se tiene y que la administración ha confeccionado es la “Declaración de
Compromiso con el Código de Ética. Se revisó el Código de Ética y se observó
que es muy escueto y lo que se indica es muy general. Lo único que se indica
es:
Código de Ética indica
Artículo 11º. La información que
manipule el funcionario se debe manejar de manera confidencial y será utilizada
exclusivamente para atender asuntos internos. Con excepción de aquellos
documentos que están tipificados como públicos.
Como se
nota el Código de Ética no cumple con lo que se solicita en la Política de
Seguridad de Información ya visto en el punto 2 de este estudio. Por lo que se
considera que estos no son acuerdos de confidencialidad de todo el personal.
(Recomendación Acenso) 1.4.6.3 Revisar
el contrato que mantiene la Municipalidad con DECSA de forma que se asegure que
el mismo cuente con las cláusulas mínimas que protejan los intereses municipales
y protejan la seguridad de la información.
RESPUESTA
DE TECNOLGÍAS DE INFORMACIÓN: El año pasado se realizó una revisión y se
actualizaron varios puntos, los cuales hablaban sobre el servicio recibido por
la empresa.
Sí se
revisan los contratos, pero no hubo sanciones por el incumplimiento que observó
y señaló el señor Alexander Rojas de parte de las empresas DECSA y El Orbe.
Se encontró que para el 2018 según los
contratos firmados con las empresas DECSA y El ORBE, esas empresas no habían
cumplido con ciertos puntos, según el Ing. Alexander Rojas, él realizó los
oficios para que se le penalizara por el incumplimiento del contrato, sin
embargo, estas empresas no fueron penalizadas según lo indican los contratos.
Esta auditoría observa que la causa de la no penalización,
es que no se realizó bien el procedimiento de reporte de incidentes ante las
empresas. Además, indica la Proveedora Municipal que el contrato de DECSA tuvo
su visto bueno, que no fue emitido por el Ing. Rojas, quien emite el visto bueno,
sino que la superior de él o sea la señora Marilú Sánchez, directora
administrativa, ya que el señor Rojas se encontraba incapacitado.
1.4.7 Continuidad de los servicios de TI
(Recomendación Acenso) 1.4.7.4 Realizar pruebas periódicas al plan de continuidad.
RESPUESTA
DE TECNOLGÍAS DE INFORMACIÓN: No
Cabe
indicar que el Plan de Continuidad se elaboró en el año 2017. Ya se debería
revisar y actualizar.
(Recomendación Acenso) 1.6 Decisiones sobre asuntos estratégicos de TI
Esta Norma indica lo siguiente;
El jerarca
debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoría de
una representación razonable de la organización que coadyuve a mantener la
concordancia con la estrategia institucional, a establecer las prioridades de
los proyectos de TI, a lograr un equilibrio en la asignación de recursos y a la
adecuada atención de los requerimientos de todas las unidades de la
organización.
RESPUESTA
DE TECNOLGÍAS DE INFORMACIÓN: Para el cumplimiento de esta norma el señor
Alexander Rojas indica que él envió el oficio MSA-GAD-TIC-04-013-2019, en
febrero de 2019, solicitando la creación de una Comisión Estratégica de TI,
conformado por los ejecutivos de alto cargo, los cuales deben ser designados
por el jerarca superior para mantenerse involucrado e informado de las
cuestiones y decisiones más relevantes de TI. El comité sería el responsable de
que se realice la gestión de la cartera de inversiones facilitadas por TI, los
servicios de TI y los activos de TI, asegurando que el valor es entregado y el
riesgo gestionado.
Sin
embargo, al día 5 de febrero del 2020 un año después no se ha tenido respuesta
de parte del Alcalde Municipal de la creación de esta Comisión.
Capítulo II
Planificación y organización
(Recomendación Acenso) 2.2.1 Implementar
y mantener actualizado un modelo de información del negocio y definir los
sistemas apropiados para optimizar el uso de esta información. Esto incluye el
desarrollo de un diccionario corporativo de datos que contenga las reglas de
sintaxis de los datos de la organización, el esquema de clasificación de datos
y los niveles de seguridad requeridos.
RESPUESTA
DE TECNOLGÍAS DE INFORMACIÓN: No esto no se tiene.
4.2. Administración y operación de la plataforma tecnológica
(Recomendación
Acenso) 4.2.2 Implementar procedimientos para la administración de la
configuración de los equipos.
RESPUESTA
DE TECNOLGÍAS DE INFORMACIÓN: Se le trasladó por correo electrónico el
inventario de la configuración de los equipos que se actualizan cada 3 meses,
sin embargo, el procedimiento no está definido.
(Recomendación
Acenso) 4.2.3. Implementar el control de cambios en la infraestructura de TI.
RESPUESTA
DE TECNOLGÍAS DE INFORMACIÓN: No se ha implementado.
4.5 Manejo de Incidentes
(Recomendación Acenso) 4.5.2 Implementar un proceso para el manejo de
problemas, relacionado con la administración de cambios y configuraciones.
RESPUESTA
DE TECNOLGÍAS DE INFORMACIÓN: no se ha implementado
4.6 Administración de servicios prestados
por terceros.
(Recomendación
Acenso) 4.6.1 Implementar los acuerdos de confidencialidad con todos aquellos
proveedores que presten servicios críticos a TI.
RESPUESTA
DE TECNOLGÍAS DE INFORMACIÓN: Esto no se ha implementado en los contratos, si
se ha implementado los acuerdos de servicios y algunas sanciones por
incumpliendo, pero no sobre los acuerdos de confidencialidad.
(Recomendación
Acenso) 4.6.2 Asignar los responsables específicos de dar seguimiento a los
servicios de TI prestados por terceros.
RESPUESTA
DE TECNOLGÍAS DE INFORMACIÓN: No, por el momento.
|
Comentario
de la Administración Marilú Sánchez, directora administrativa manifestó con respecto a las
penalizaciones, que DECSA es el
proveedor único que tenemos para el pago de planillas y el servicio a los
contribuyentes, los cuales son procesos altamente críticos para la
Municipalidad, ellos generan una factura de cobro a la Municipalidad cada
seis meses, y a pesar de que Alexander Rojas realizó una nota para la
penalización y se realizó una reunión con DECSA para hablar sobre el tema,
ellos se comprometieron que atenderían mejor el tema de tiquetes. Sin
embargo, DECSA es muy lento para resolver problemas en algunos casos. Si se
da un problema con el sistema de planillas o cobros, y se acude a DECSA para
solucionarlo, Decsa no atiende ni resuelve hasta
que la Municipalidad le pague la factura pendiente. La señora Sánchez indica
que la Municipalidad está “amarrada” con esa empresa proveedora. Alexander Rojas manifiesta que en
ocasiones no se ha recibido respuestas oportunas de parte de Decsa, están incumpliendo al no atender a tiempo
problemas reportados por la Municipalidad, a pesar de estar establecido así
en el Contrato firmado con ellos. Marilú Sánchez agrega que el problema es que DECSA “amarra” a la
Municipalidad en temas “sensibles” como planillas y cobros, y si no resuelven
algo que necesita solución urgente para poder darle continuidad a los
procesos que tiene la municipalidad, al final de cuentas, qué
hace ella?, dar el visto bueno para pagarle y que resuelvan. |
|
Alexander Rojas manifiesta con respecto al acceso a las páginas restringidas, actualmente
el “comportamiento” de esas páginas para ingresar son diferentes y se deben
hacer mejoras en el “fire wall”
institucional para controlar que el personal municipal no ingrese a esos
sitios. A nivel de “fire wall”
hay algunos cambios que son necesarios, a nivel de antivirus no es impedir
accesos a páginas restringidas, el tema de “fire wall” es de contenidos, pero si nuestro “firewall” no
identifica el cómo se “disfrazan” los accesos para entrar, el asunto se
vuelve complicado y hay que mejorarlo, al respecto Marilú Sánchez indica que se
va hacer el proceso de compra de una licencia nueva de “fire
wall”. |
5.
Otros Hallazgos
Con la
revisión de toda la información proporcionada por el señor Alexander Rojas, se
analizaron los siguientes documentos: el Plan de Continuidad 2017, Plan de
Dirección de Tecnología 2014-2016 y el Reglamento para la gestión, control y
aplicación de las tecnologías de información. Los anteriores planes fueron
elaborados hace poco más de tres y cuatro años, y el Reglamento de TI fue
emitido desde el 2008, esos planes ya son documentos desactualizados, según los
cambios tecnológicos que ya se han dado, dentro y fuera de la municipalidad.
V CONCLUSIÓN
El proceso
de Tecnologías de Información ha realizado esfuerzos para el cumplimiento de la
Normativa de tecnología, asimismo, para el cumplimiento de las recomendaciones
del informe del 2015 emitido por la empresa ACENSO, de estas recomendaciones no
se han cumplido todas, pero el proceso de TI ha tratado de cumplirlas, sin
embargo, se requiere presupuesto, personal, además del apoyo del Jerarca como por
ejemplo en la integración de la Comisión de TI. Es importante que se realicen
la implementación de la Política de Seguridad, el Plan de Contingencia y demás
documentos que se generan dentro del proceso de Tecnologías de Información,
para que no se queden en el papel y sea todo el personal municipal que
comprenda la importancia de la seguridad de la información, de
responsabilizarse por mantener los cuidados que se deben de tener con la
información y con las herramientas informáticas, que son de utilidad de todos.
VI RECOMENDACIONES
La administración (proceso de TI) debe
de entregar a la Auditoría, en un término no mayor de 15 días hábiles de
recibido el informe final, un cronograma de actividades para el cumplimiento de
las recomendaciones dentro de un plazo no mayor a los seis meses.
1.1
Tomar una decisión sobre de la Comisión
estratégica de TI y responder al proceso de Informática sobre la integración,
con el fin de que se colabore en los asuntos estratégicos de TI.
Tiempo: un
mes
Producto
esperado; Colaboración con el proceso de Tecnologías de Información en los
planes estratégicos de TI.
1.2 Ordenar de manera inmediata, la eliminación de cualquier “redireccionamiento” o desvío de correo de los funcionarios municipales, quedan excluidos de esta recomendación los correos grupales para cada proceso, los cuales son un caso diferente.
Tiempo: de
forma inmediata
Producto esperado: Cumplimiento del artículo 24 de la Constitución Política.
1.3 Emitir una directriz o procedimiento de manera que a futuro en las cuentas de aquellos funcionarios que están de vacaciones, incapacitados o temporalmente ausentes, se incluya un correo de respuesta que indique e informe que ese funcionario no está disponible y que los mensajes deberán ser enviados a otra cuenta determinada de correo.
Producto esperado: Cumplimiento del artículo 24 de la Constitución Política.
1.4
Apoyar en la presupuestación y compra
del monto requerido para una “Planta Eléctrica” que soporte el equipo
municipal, con el fin de que en el momento de una falla eléctrica no se
“caigan” los sistemas y se pueda seguir dando continuidad del negocio. Además
de mitigar el riesgo de perdida de información.
Producto
esperado: La planta eléctrica con los requerimientos que, según los técnicos en
la materia de TI, debe tener la planta.
2.1
Elaborar y formalizar un procedimiento,
para la solicitud de modificar y dar accesos a cada uno de los funcionarios
municipales a los sistemas y/o programas municipales. Con el fin de subsanar lo
comentado en el punto 1 de resultados.
Producto esperado: Procedimiento formal donde se indique cuál es la
forma de solicitar el permiso de acceso a los funcionarios, cuándo bloquearlos
y cuándo dejen del todo de utilizar los sistemas.
2.2
Revisar y actualizar la “Política de
Seguridad de la Información”, formalizarla y que sea difundida a todo el
personal e involucrar a los procesos que tienen responsabilidad de cumplir con
ciertas tareas para que la política sea cumplida. Con el fin de subsanar lo
comentado en el punto 2 de Resultados.
Producto
esperado: Implementación a nivel municipal de la Política de Seguridad de la
Información.
2.3
Diseñar e implementar un mecanismo
dentro de las direcciones de correos de los funcionarios municipales, de modo
que cuando se encuentren de vacaciones, incapacitados, con un permiso con o sin
goce o suspendidos, los mensajes enviados a sus correos emitan una alerta de
que el funcionario no se encuentra disponible y que se dirija a otra dirección
de correo o en su lugar algún teléfono municipal. Con el fin de subsanar lo
comentado en el punto 3 de Resultados.
Producto
esperado: Práctica adecuada en el manejo de los correos de los funcionarios
municipales.
2.4
Tomar acciones y crear procedimientos
faltantes para el cumplimiento de las recomendaciones que aún se encuentran sin
cumplir del Informe 2015 emitido por la empresa ASCENSO con el fin de subsanar
lo comentado en el punto 4 de este informe.
Producto
esperado: Cumplimiento de recomendaciones de informe del 2015
2.5
Revisar y actualizar los planes de
continuidad 2014-2016, planes de infraestructura 2014-2016, el Reglamento para
la gestión, control y uso de la Tecnología de la Municipalidad de Santa Ana
2008 y cualquier otro documento que se encuentre con más de cuatro años de
emitido. Con el fin de actualizarlos a la realidad municipal y a los cambios
tecnológicos que se han realizado.
Producto
esperado: Planes y Reglamento actualizados a la realidad de los sistemas de
información de la Municipalidad.
Atentamente,
Lic.
Mario Chan Jiménez Licda.
Ana Cecilia Díaz Ruiz
Auditor
interno. Profesional
de Auditoría.
C.c.
Licda. Iria Chinchilla (control interno)