Está en la página 1de 15

MINISTERIO DE GOBERNACIN Y POLICIA

AUDITORIA INTERNA AI-750-2005


audidinadeco@racsa.co.cr - Telefax 222-35-97

ESTUDIO DEL AMBIENTE INFORMTICO DE LA


DIRECCIN NACIONAL DE DESARROLLO DE LA COMUNIDAD

1. INTRODUCCIN

1.1. Origen

El estudio se realiz como parte del Plan de Trabajo de esta Auditora, para la Direccin
Nacional de Desarrollo de la Comunidad, dentro del tiempo destinado para el rea de auditora
de sistemas.

1.2. Objetivos

Verificar el establecimiento, suficiencia, validez y cumplimiento de los controles para


proteger los equipos y sistemas.
Comprobar el cumplimiento de la normativa legal y tcnica.

1.3. Alcance y Naturaleza

El estudio se centr en el anlisis de los recursos informticos disponibles al mes de Agosto del
2004, se ampli en los casos en que se consider necesario, con fecha de corte del 20 de Mayo
del 2005 y se actualiz en cuanto a hechos subsecuentes.

Se evalu el estado de los sistemas, el control interno existente en la seguridad, resguardo y


acceso fsico al hardware, software, comunicaciones y electricidad de los equipos; se analizaron
los controles y estndares para la adquisicin y desarrollo del hardware y software; se revis el
inventario de activos tecnolgico con que cuenta la Institucin y su control; se comprob el
software disponible en los equipos de cmputo y la existencia de sus respectivas licencias,
adems los programas que se manejan.

Como parte del proceso citado, se revis el cumplimiento de la normativa que regula el uso del
equipo, el desarrollo de tecnologa informtica y la eficiencia en el uso de los recursos, se visit
oficinas centrales y regionales que cuentan con equipo de cmputo, se realizaron chequeos del
sistema operativo utilizando una herramienta denominada ADVISOR (software libre, para
determinar el sistema operativo con el que trabaja la mquina, entre otros) y se solicit los
manuales de mantenimiento, seguridad y desarrollo de sistemas.

El rea de estudio est normada en cuanto al tema de control interno, por la Ley General de
Control Interno, Manual de Normas Generales de Control Interno (Manual de normas CI) y el
Manual sobre normas tcnicas de control interno relativas a los sistemas de informacin
computadorizados (Manual sobre normas SIC); los dos ltimos, emitidos por la Contralora
General de la Repblica.

A nivel general, es regulada por la Ley de Derechos de Autor (No. 6683), en cuanto al
cumplimiento de directrices internacionales para la proteccin de la Propiedad Intelectual, los
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

Derechos de Autor y Derechos Conexos, asimismo, por la Directriz No. 30 Prohibicin para
accesar a material pornogrfico.

1.4. Antecedentes

La Direccin Nacional de Desarrollo de la Comunidad, es un rgano del Poder Ejecutivo,


adscrito al Ministerio de Gobernacin y Polica, creada por Ley No.3859, del 07 de abril de 1976
y reglamentado en el Decreto Ejecutivo No.26935-G; Gaceta No.97, del 21 de mayo de 1998 y
sus reformas, cubriendo sus gastos de operacin mediante el Programa 049, establecido en el
Presupuesto Nacional. Dentro de sus funciones estn el fomentar, orientar, coordinar y evaluar la
organizacin de las comunidades del pas como parte del Plan Nacional de Desarrollo
Econmico, atendiendo las necesidades de apoyo tcnico a Asociaciones de Desarrollo Comunal.

1.5. Limitaciones

Una de las limitaciones que se present en la ejecucin de este estudio, fue el no poder analizar
el sistema de control de asociaciones, comprado al seor Gustavo Flores Richmond, por la falta
de datos reales en el sistema e inventarios actualizados.

1.6. Presentacin resultados

De acuerdo con el artculo 36, de la Ley General de Control Interno N. 8232, del 04 de
setiembre del 2002, el titular subordinado, en un plazo improrrogable de diez das hbiles
despus de recibido el informe, ordenar la implantacin de las recomendaciones, si discrepa de
ellas, en el mismo plazo, elevar el informe al jerarca, con copia a la auditoria interna, expondr
por escrito las razones por las cuales objeta las recomendaciones del informe y propondr
soluciones alternas para los hallazgos detectados.

El contenido del presente informe, se present a la Bachiller Anabelle Lang Ortiz, Directora
Nacional de DINADECO; el Msc. Alejandro Elizondo Castillo, Director Administrativo; al Ing.
Irving Rodrguez Vargas, Jefe de Unidad Informtica y al seor Fernando Ruz Villalobos,
funcionario de la Unidad Informtica el da 11 de Agosto del 2005, quienes manifestaron que
aceptan los resultados expuestos en este informe, de igual forma se exterioriz que la Institucin
no cuenta con los recursos necesarios para solventar algunas debilidades, sin embargo, se
plantearn alternativas para encontrar la mejor solucin en el menor tiempo posible

2. RESULTADOS

2.1 Sin oficializar la ubicacin de la Unidad de Informtica.

La Unidad Informtica no esta formalmente aprobada dentro de la estructura orgnica


institucional, la cual est vigente desde el ao 1996 y autorizada por MIDEPLAN.

Con oficio PI-031-05, del 20 de Mayo del 2005; la encargada de la Unidad de Planificacin
Susana Pez Vsquez reafirma esta condicin, indicando que el proyecto de Reordenamiento
Institucional no ha sido aprobado.
2
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

La norma 302.06 Ubicacin de la Unidad Informtica seala que la Unidad deber estar
ubicada en un nivel jerrquico adecuado dentro de la organizacin, que le permita realizar de
manera independiente y objetiva, la funcin de servicio que le corresponde.

Segn el exjefe Administrativo, Lic. Rahudy Esquivel Irsen en oficio DA-310-04, del 31 de
agosto del 2004, se present una propuesta a MIDEPLAN en donde aparece la Unidad
Informtica; sin embargo, esta fue devuelta con observaciones de fondo y forma, ya que uno de
los requerimiento de ese Ministerio, es el anlisis detallado de los componentes del rea
Administrativa, para que estos sean eficientes y evitar que se convierta en cuellos de botella para
la modernizacin institucional, asegurando as la coherencia entre los niveles administrativos y
los sustantivos. Las modificaciones sugeridas fueron realizadas, sin embargo an no se aprueba
esta propuesta.

La condicin descrita afecta la independencia y objetividad de operacin, de las funciones que


ejerce la unidad, como son: Centralizacin de los recursos informticos, elaboracin y
mantenimiento de manuales de adquisicin de hardware y software, definicin de la plataforma
de trabajo, de equipos, base de datos y software informtico (procesador de texto, Office, entre
otros); proteccin de informacin confidencial, mediante polticas de seguridad para acceso a los
datos y los equipos; plan de contingencia, que establezca las acciones a seguir en desastres
naturales (inundaciones, tormentas elctricas, terremotos, ente otros); procesos sin los cuales se
incrementa el riesgo de adquirir tecnologas incompatibles, enfrentar prdidas econmicas y de
informacin, desuso o subutilizacin de equipos y sistemas; lo cual indica el uso ineficiente de
recursos estatales, que afectan negativamente el cumplimiento de los objetivos institucionales.

2.2 Falta de asignacin formal de funciones y responsabilidades del personal de la Unidad Informtica.

La Unidad de Informtica oficialmente cuenta con cuatro funcionarios, el seor Fernando Ruz
Villalobos, la seora Giselle Vindas, el seor Junior Aguilar y recientemente se incorpor como
Jefe, el Ing. Irving Rodrguez, segn oficio UI-2005-050 del 8 de Julio del 2005; cabe indicar
que no se encontr evidencia escrita de la asignacin y periodicidad de las actividades que
ejecuta dicho personal a nivel general o individual, conforme el cargo que desempea.

La norma 4.5.-Instrucciones por escrito, del Manual de Normas Generales de Control Interno,
indica que: Es necesario que las instrucciones sean emitidas de manera clara, concisa y por
escrito, independientemente de que se encuentren impresas o disponibles en medios magnticos,
estas deben ordenarse en un compendio de operaciones o manual y deben ser actualizados
peridicamente para ajustarlo a los cambios en las necesidades y procesos organizacionales.

La falta de definicin y formalizacin de funciones, limita su interpretacin y adecuado


entendimiento; adems dificulta la induccin del personal nuevo y la determinacin de
responsabilidades cuando sea requerido.

Esto aumenta los riesgos directos de olvido de asignaciones, omisin de prcticas importantes,
control de actividades, ejecucin de tareas errneas, entre otros. Situaciones que pueden producir
resultados insatisfactorios o adversos, con respecto al logro de los objetivos institucionales.
2.3 Falta de un marco regulador de la funcin Informtica.
3
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

No se ha desarrollado, documentado ni promulgado polticas internas sobre tecnologas de


informacin (TI), control interno, minimizacin de riesgos, derechos de propiedad intelectual en
el desarrollo de software, restricciones para el acceso a Internet (ingreso a pginas
pornogrficas), mantenimiento de equipos y sistemas propios de la Institucin.

Si bien se han emitido algunas directrices por parte de la Direccin Administrativa y la Unidad
de Informtica, no han sido oficializadas por la Direccin General, no cubren todo el ambiente
informtico, ni estn recopiladas en un slo documento, a saber:

Circular UI-12-03, del 25 de Junio del 2003, de la Unidad Informtica, en la que trata las
obligaciones de los usuarios de equipo de cmputo; basndose en la publicacin de La
Gaceta 181, del 21 de setiembre del 2000; las cuales son de acatamiento para el Ministerio
de Seguridad Pblica.

Circular-DA-116-03 del 28 de julio del 2003, de la Direccin Administracin referida a


compartir el uso de Internet en algunos departamentos de DINADECO y el manejo de las
claves de acceso para ello.

Circular DA-133-03, del 06 de Agosto del 2003, de la Direccin Administrativa, referente a


la Directriz Presidencial No. 30, publicada en La Gaceta 160, del 22 de agosto del 2001 y el
Decreto Ejecutivo DC-3051-J, de febrero del 2002, relativa a la prohibicin del uso de
INTERNET para asuntos personales.

Oficio DA-289-04 del 17 de Agosto del 2004, de la Direccin administrativa, sobre la


conveniencia de que la Unidad Informtica tenga la descripcin de los activos, que
conforman cada estacin de trabajo.

Con respecto a las polticas del ambiente informtico, emitidas por el Ministerio de Seguridad
Pblica; segn entrevista del 20 de Abril del 2005, el Ing. Manuel E. Bolaos Mata, jefe en ese
entonces del Departamento de Cmputo de este Ministerio, afirm que, no existe convenio que
seale la responsabilidad de esa Direccin con las dependencias de Gobernacin, en relacin con
el equipo de cmputo y su entorno. Por lo tanto, los lineamientos emitidos por la citada instancia,
no seran de acatamiento para Gobernacin; excepto que expresamente sean adoptados y
oficializados por los Jerarcas de las dependencias que correspondan.

La norma 302.04 Polticas relativas al SIA (SIG o SIC), del Manual Sobre Normas Tcnicas
Relativas a los sistemas de informacin computadorizados, indica que las polticas y
lineamientos o criterios generales dictados por la autoridad superior, tienen como propsito
orientar la accin, en este caso, de los sistemas de informacin. Las mismas deben ser
documentadas y divulgadas en todos los niveles de la organizacin y deben ser actualizadas
permanentemente.

La omisin de disposiciones internas completas, claras y formales, genera la inexistencia de


acciones para salvaguardar las tecnologas de informacin; incrementa la posibilidad de que se

4
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

les d un mal uso, se pierdan o se daen por el desconocimiento de lo que se debe o no hacer;
ocasiona desperdicio de recursos en desarrollo de aplicaciones, por no tenerse guas o
metodologas; de igual forma adquirir hardware y software, sin las especificaciones necesarias o
requeridas por la organizacin.

2.4. Carencia de un Comit Gerencial de Informtica.

No se cuenta con un Comit de Informtica en DINADECO y aunque la actividad del rea de


cmputo es relativamente incipiente, dentro de ese panorama, es conveniente considerar la
creacin de dicho rgano.

El Exdirector Administrativo, Lic. Rahudy Esquivel Irsen, indic que la Institucin es pequea
para tener dicho comit y que se buscara asesora de la Comisin Informtica de Seguridad
Pblica, por lo que present a ese rgano para su aprobacin, el Proyecto Informtico de
DINADECO. Sin embargo, el 20 de Abril del 2005, el seor Luis Guerrero Fowlg, Presidente de
esa Comisin, haciendo referencia al Decreto N 26683-SP-Reglamento Interno de la Comisin
de informtica del Ministerio de Seguridad Pblica y al Reglamento de Normas y Polticas de
Informtica del Ministerio de Seguridad Pblica; inform que no se tiene ingerencia sobre
DINADECO y que el proyecto no se llev a discusin; manifestando que siempre se ha brindado
colaboracin a Gobernacin en materia Informtica, pero que no existe un convenio entre ambos
ministerios, para afianzar ese apoyo.

La norma 302.09-Comit Gerencial de Informtica, del Manual sobre normas SIC, establece la
obligacin de constituir dicho comit como una instancia tcnica ente el mximo jerarca y la
unidad de informtica, que brinde asesora al primero en la administracin del sistema de
informacin gerencial y de los recursos humanos, materiales y financieros que se destinen para
su desarrollo; dentro de sus funciones estn: dictar las especificaciones necesarias para los
estudios preliminares y de factibilidad de los proyectos de TI (Tecnologa de Informacin);
asesorar al nivel jerrquico superior en la aprobacin de los resultados de los estudios de
factibilidad, de los planes estratgicos y operativos de la funcin informtica y la emisin de
polticas relativas a la tecnologa de informacin; controlar y evaluar la ejecucin de los planes
aprobados; evaluar la necesidad de disponer de hardware y software adicional y establecer las
prioridades documentadas para cada desarrollo o proyecto de sistemas de informacin.

El hecho de que la Administracin no considerara necesario la creacin del Comit Gerencial de


Informtica, esperando asesora del existente en Seguridad Pblica; incrementa los riesgos de
que se den adquisiciones en tecnologa de informacin, sin criterios de oportunidad y con una
relacin inadecuada de beneficio-costo, dndose gastos injustificados, innecesarios o superfluos
en las inversiones en T.I.

2.5 Carencia de una metodologa para el desarrollo y compra de los Sistemas de Informacin.

No se cuenta con una metodologa para el desarrollo de los sistemas (ciclo de vida de desarrollo
de los sistemasCVDS); que defina un modelo de lenguaje de programacin a seguir, regule y
oriente los procesos de desarrollo, adquisicin, implementacin y mantenimiento, tanto de
sistemas de informacin computadorizados como de tecnologas afines.

5
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

De los cuatro sistemas de informacin de la Institucin, slo dos estn funcionando, siendo que:

A) El Sistema para el control de las organizaciones comunales, es utilizado para consultar los
datos de las organizaciones creadas por la Ley sobre Desarrollo de la Comunidad
(No.3859), fue programado en el lenguaje de Visual Fox, por el funcionario Fernando Ruiz
Villalobos y est instalado en el equipo ubicado en el rea Legal y de Registro.

Dicho programa no cuenta con documentacin que indique las actividades seguidas en su
desarrollo, carece de Manual del Usuario, estudios preliminares, controles de seguridad en
el acceso a la informacin, adems muchos de los listados que genera este sistema no son
utilizados y algunos son poco conocidos por la Licda. Yamileth Camacho Marn,
funcionaria del Departamento de Legal y Registro, que maneja la aplicacin.

B) EL Sistema de Control de Asistencia (TIME LOG), actualmente esta fuera de servicio; fue
adquirido junto con el reloj marcador electrnico comprado a la empresa INTRADE ABC
S.A.; sin obtenerse un manual de usuario, ni documentos de cmo se opera el sistema o
cuales son los requerimientos que ste deba tener, para que fuera usado en DINADECO.

El Jefe de la Unida Informtica en ese entonces, Sr. Jonathan Gmez Benavides, en


memorando N 2005-029, del 18 de Abril del 2005, indica que ese Departamento no
particip en la formulacin de requerimientos para adquisicin del reloj marcador, no se
tienen los archivos fuentes del programa y se desconocen los requerimientos tcnicos de
este equipo, no pudiendo emitir un criterio acerca de la posibilidad de habilitarlo.

C) El Sistema de Control de Asociaciones Inscritas, comprado y desarrollado en el lenguaje de


programacin Oracle, no est funcionando y tuvo un costo de 1.380.000,00; est ubicado
en un servidor de la Unidad de Informtica y nunca fue utilizado por falta del software que
administrara la base de datos, conforme al lenguaje de programacin empleado.

Ese sistema presenta debilidades, como el no poseer bitcora de acceso; no hay evidencia
del Manual de Usuario; carece de documentacin de desarrollo; la capacitacin no fue
impartida a los usuarios del sistema, nicamente se le dio al Jefe de la Unidad Informtica
de ese entonces; no existen actas en las que se haga constar la participacin de los usuarios
y fue realizado fuera de las instalaciones de DINADECO.

Sobre este caso en particular, se determin que la Administracin nombr el rgano


Director para llevar a cabo el procedimiento administrativo respectivo; no obstante, el
mismo no ha tenido avances positivos, razn por la que se envi una advertencia a la
Directora Nacional, para que atendiera oportunamente tal situacin.

D) El Sistema de Control de cupones de Combustible, es manejado con una base de datos en


Access; no cuenta con toda la documentacin del desarrollo del sistema (CVDS). Segn
oficio UI-2005-033, del 28 de Abril del 2005, remitido por el Exjefe de la Unidad
Informtica, Sr. Jonathan Gmez Benavides, la solicitud de su desarrollo se hizo
verbalmente, por la necesidad reflejada en un estudio que la Direccin Administrativa
realiz al Departamento Financiero-Contable.

6
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

Los aspectos que se controlan con este sistema son: determinar quienes tienen asignado
cupones de combustible; controlar los cupones liquidados con la presentacin de la
respectiva factura comercial y vigilar los cupones con que cuenta la Administracin, para
ser utilizados por los funcionarios.

En el manejo de este sistema, se encontraron los oficios UC-768-2004, UC-717-2004; UC-


695-2004; UC-619-2004; UC-565-2004, suscritos por el Jefe de la Unidad Financiero-
Contable, en los cuales solicita a Informtica; registrar varios funcionarios en el sistema,
para que puedan retirar cupones. Segn lo dispuesto en el documento titulado Manual de
Mantenimiento del sistema de Control de Cupones, esa inclusin solo procede con la
autorizacin de la Direccin Administrativa; no obstante, en los mencionados trmites, no se
evidencia la obtencin de esa aprobacin.

Con oficios UC-239-2005, del 21 de Abril del 2005, DF-223-2005, del 13 de Abril del 2005,
DF-219-2005, del 08 de Abril del 2005 y DF-207-2005, del 05 de Abril del 2005, el Jefe del
Departamento Financiero Contable, Lic. Adrin Arias Marn; solicit modificaciones; sin
embargo, no se conoce si se realizaron por falta de notas de aceptacin de los cambios
requeridos o de cualquier otra documentacin que lo evidenciara.

Al respecto, las normas 304.02-Documentacin del sistema; 304.03-Documentacin del


programa; 304.04-Documentacin del usuario; 303.05.02-Estudio de Factibilidad Tcnico;
303.05.03-Anlisis y determinacin de los requerimientos de informacin; 303.10
Modificaciones a los SIC y 303.05-Ciclo de Vida de Desarrollo de Sistemas (CVDS), del Manual
Sobre Normas del SIC, indican que los documentos del usuario, del programa, del diseo fsico y
las pruebas del SIC, deben fundamentar y explicar en forma detallada el servicio que brinda el
programa a la institucin; estos deben ser elaborados en forma adecuada, suficiente y
mantenerlos actualizados; los estudios de factibilidad se confeccionarn con las especificaciones
determinadas, en donde se establecern los requerimientos de informacin del sistema en
desarrollo. Con respecto a las modificaciones a los SIC en operacin, debern ser justificadas,
autorizadas, controladas, aprobadas y documentadas adecuadamente.

El desconocimiento de la Unidad Informtica sobre las polticas para el buen desarrollo de


Sistemas de Informacin, ha producido debilidades que pueden incrementan el riesgo de que el
proceso o adquisicin de sistemas, sean proyectos fallidos o de baja calidad, que generen
prdidas econmicas, retrasos en el procesamiento de datos, inoportunidad en la puesta en
marcha de los sistemas, ineficiencia o falta de informacin institucional, entre otros.

2.6. Falta de polticas y controles de Seguridad Informtica.

No existen polticas que regulen la seguridad informtica para controlar, salvaguardar y verificar
el uso adecuado del equipo y programas de las oficinas centrales y regionales, ya que no hay
designacin formal de funciones en la Unidad Informtica, procedimientos por escrito para la
actualizacin de los respaldos de informacin, mantenimiento preventivo de los equipos de
cmputo, como planes para instalacin y actualizacin de antivirus, medios preventivos contra
contingencias; seguros actualizados de los equipos; mecanismos de seguridad para el acceso a los
activos, bateras (UPS) en todos los equipos; cableado estructurado; tomas polarizados y
bitcoras de las cadas del sistema elctrico; todo esto en oficinas centrales de la Institucin.
7
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

En cuanto a los equipos de las oficinas regionales, se refleja la falta de controles de seguridad de
acceso al equipo de cmputo, no se respalda la informacin, las instalaciones elctricas no son
las adecuadas, no existe un gil servicio de mantenimiento correctivo y el preventivo no existe.

Las normas 305.02.-Seguridad fsica; 305.09-Mantenimiento del equipo de cmputo; 305.06-


Respaldo de archivos magnticos y 305.03 Seguridad lgica, del Manual Sobre Normas del SIC,
incorporan los mtodos y procedimientos que deben ponerse en prctica para la operacin del
equipo de los SIC, orientados a crear un ambiente que procure la efectividad y el control en la
produccin de la unidad de operaciones, as como proporcionar seguridad fsica sobre los
archivos magnticos de manera que sea factible mantener la operacin continua del equipo y de
los sistemas de informacin computadorizados.

Segn el Exjefe del Departamento de Informtica, Jonathan Gmez Benavides, indic en fecha
del 28 de Abril 2005, que se estaban estableciendo las polticas para la seguridad de TI y que los
retrasos se deban a la falta de personal para desarrollar el Manual; siendo a que esa fecha, se
tenan solo dos funcionarios en esa unidad.

La funcin de seguridad de los equipos y del software, es vital para garantizar el adecuado
resguardo y uso de los recursos, la continuidad de las actividades y el cumplimiento de los
objetivos institucionales; existiendo el riesgo de que ante eventos como el fuego, inundaciones,
terremotos, robos, desperfectos del equipo, entre otros, no existan acciones planificadas para
lograr la recuperacin de la informacin; que personas no autorizadas tengan acceso a los
archivos de datos y a los programas de los sistemas de informacin computadorizados (SIC),
obteniendo informacin confidencial sobre proyectos, oficios, datos de asociaciones y sus
integrantes.

2.7. Carencia de licencia de programas en algunos equipos de cmputo.

En el mes de marzo del 2005, se revis aleatoriamente el equipo de cmputo de la Institucin y


todas las licencias del software existente; determinndose que en 56 computadoras de oficinas
centrales se utiliza Windows y MS-Office; pero la Institucin slo cuenta con 26 licencias del
primero y 25 de la segunda; tambin se localizaron 4 programas sin licencia, para creaciones de
dibujo y animaciones (Photoshop, Ilustrador, Print Artis 4.5 y Core Draw 8). En cuanto a
software preventivo, en 9 mquinas se encontr el Norton Antivirus, con su respectiva licencia;
quedando los dems desprotegidos contra virus (Ver anexo 1).

El anterior Jefe de Informtica, Jonathan Gmez Benavides, inform que muchas de las
mquinas fueron donadas por el Tringulo de la Solidaridad y no traan licencia.

El Decreto No.30151-J, del 21-024-02, a nivel de Gobierno Central, seala en el artculo 1, que
se debe prevenir y combatir el uso ilegal de programas de cmputo, con el fin de cumplir con las
disposiciones que establece la Ley N 6683, sus reformas y la Ley N 8039; requiriendo en los
artculos del 2 al 9; realizar los inventarios iniciales de los equipos y programas, establecer
controles para garantizar la utilizacin de sus computadoras con software legal; desarrollar y
mantener un sistema de informacin que registre los resultados del inventario inicial de equipos y
programas. El licenciamiento del software, est regulado en el artculo N 1 de la Ley sobre
8
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

Derechos de Autor y Derechos Conexos (No.6683), indica que los autores tienen todos los
derechos patrimoniales y morales. La violacin de estos dar lugar al ejercicio de las acciones
administrativas ante el registro de la propiedad o el Registro Nacional de Derechos de Autor.

Lo anterior se di por la falta de recursos para la compra de licencias de todos los equipos de
cmputo y la carencia de polticas para la aceptacin de donaciones de equipo de cmputo, sin
las respectivas licencias de software (ofimtica). Situacin que expone a la Institucin a posibles
demandas y sanciones en el campo administrativo, civil o penal. Adems el riesgo de la
interrupcin de los servicios, por prdida de datos en los sistemas de informacin, inhabilitacin
de los medios de procesamiento requeridos y carencia de medidas correctivas oportunas, por la
falta de antivirus, lo cual eventualmente generara mayores gastos.

2.8. Omisin de estudios para evaluar la factibilidad tecnolgica y econmica para la adquisicin de
equipo y software.

Se carece de un plan formulado y aprobado, relacionado con la adquisicin de infraestructura


tecnolgica en materia de equipo, sistemas y telecomunicaciones, esto de conformidad con los
objetivos que haya establecido la Direccin Nacional de la Institucin, basado en el anlisis de
costo beneficio.

La Institucin acostumbra que el Jefe del Departamento de Cmputo, haga sugerencias verbales
sobre la compra de equipos de TI, sin que se evidencie la realizacin de un anlisis de
necesidades de los usuarios, compatibilidad entre programas, entre otros..

En el Manual Sobre Normas Tcnicas de Control Interno Relativas a los Sistemas de


Informacin Computadorizados, especficamente en las normas 301.01 y 301.02, se trata de la
necesidad de elaborar un estudio preliminar para la adquisicin de hardware y software y para el
desarrollo de nuevos SIC, con la finalidad de determinar su viabilidad tcnica y econmica; as
como definir los alcances del proyecto, las reas de aplicacin, las alternativas de solucin a los
problemas existentes y realizar el anlisis de costo/beneficio para su implantacin.

La omisin de un Plan estratgico de infraestructura tecnolgica, incrementa el riesgo de aplicar


recursos en equipos y programas que no son los ms adecuados para las necesidades de la
Institucin, con su consecuente subutilizacin o falta de rendimiento; como en el caso de la
compra de las licencias de software para red Windows NT Server y Windows NT 4.0, por un
valor de 339.827,00 cada una; las cuales actualmente no estn siendo utilizadas, fueron
almacenadas en la Unidad de Informtica y tienen la agravante de que con el vertiginoso cambio
tecnolgico, estn obsoletas.

2.9 Falta de un inventario tecnolgico e institucional completo y actualizado.

No se cuenta con un inventario completo, actualizado y oficializado del equipo de cmputo, el


cual contenga datos confiables que permitan mantener un adecuado control de los activos.

En la revisin del documento proporcionado por el Jefe del Departamento de Bienes y


Suministros, con oficio B.S. 042-2005, del 3 febrero del 2005, correspondiente a la verificacin
realizada en el mes de enero del 2005; existen inexactitudes sobre la ubicacin de equipo de
9
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

cmputo, causado en parte, porque no todos los traslados de bienes estn respaldados con notas y
en consecuencia dichas cambios no son incorporados en el inventario del Departamento de
Bienes y Suministros. El Inventario refleja la existencia de 80 componentes de cmputo, entre
ellos: UPS, teclados, monitores, CPU, mouse e impresoras, que no poseen nmero de patrimonio,
los que lo posean estaban pegados con una calcomana la cual no es muy segura, estando
algunas casi despegadas.

Asimismo, existen diferencias entre el inventario que maneja la Institucin y el que fue
entregado por la Seccin de Activos del Ministerio de Seguridad Pblica, ya que mediante oficio
0243-206SCFA, del 15 de Febrero del 2005, el Lic. Marvin Rodrguez Li, Jefe de esta Unidad,
indica que el inventario correspondiente a DINADECO del perodo 2004, no se envi a Bienes
Nacionales, ya que careca de datos correctos preestablecidos por el Ministerio de Hacienda para
la migracin de datos al SIBINET.

En las visitas efectuadas entre los meses de junio y septiembre del 2003 a oficinas Regionales
que en ese entonces contaban con equipo informtico, se evidenci que las sedes de Alajuela,
Puntarenas, Gupiles y Caas, no cuentan con documentacin que indique la asignacin,
procedimientos sobre la utilizacin del equipo de cmputo, procedimientos de respaldos y
recuperacin de informacin en caso de desastres.

Especficamente, se encontraron las siguientes condiciones:

Regional de Cartago. Segn la encargada de la oficina, Sra. Marta Avendao Mata, los dos
equipos disponibles, estaban en calidad de prstamo por la Federacin de Uniones Cantonales de
Cartago, sin embargo, no se evidencio la suscripcin de un convenio, en donde se establezcan las
responsabilidades y deberes de las partes involucradas, ya que la informacin que se maneja en
los equipos es de la Direccin Nacional de Desarrollo de la Comunidad.

Regional de Gupiles: Cuenta con una computadora, impresora y fueron asignados


aprximadamente en abril del 2003, de acuerdo al Director Regional, Lic. Ricardo Ching Calvo.
En el momento de la verificacin apenas tena tres meses de la entrega de ese equipo y no estaba
registrado en el inventario de la Institucin, ni contaba con nmeros de patrimonio, o marcas de
seguridad.

Regional de Caas: Se tiene una computadora sin nmero de activo y no se tienen boletas de
asignacin del mismo; el sitio es inseguro; los tomas no son polarizados; no se efectan
respaldos de informacin, mantenimiento preventivo y no se cuenta con las licencias de los
programas.

Regional de Puntarenas: Tiene una computadora, que no cuenta con nmero de patrimonio y
no coinciden sus caractersticas con las especificadas en nota No D.P223-2003, del 05-08-03
suscrita por el seor Randall Granados Cseres, encargado de la Unidad de Suministros en ese
entonces y dirigida a esta Auditoria.

Regional de Alajuela: Tiene una computadora que no cuenta con nmero de patrimonio, slo
tiene una calcamona que dice Tringulo de la Solidaridad.

10
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

El artculo No.1 Identificacin de Bienes y N 6 inciso d) del Decreto 30720-H, as como las
normas 4.15-Inventarios peridicos, del Manual de Normas de CI y las normas 305.02.-
Seguridad fsica; 305.09-Mantenimiento del equipo de cmputo; 305.06-Respaldo de
archivos magnticos y 305.03 Seguridad lgica, del Manual de Normas del SIC; desarrollan
que los inventarios deben contener tipo o nombre del bien; nmero de patrimonio; caractersticas
especficas y estado; que todo bien que ingrese a la Administracin deber ser identificado por un
sistema de rotulado (placa de metal o plstica o cualquier otro sistema de seguridad), en el que se
indique el nmero de patrimonio asignado por la Direccin General de Administracin de Bienes
y Contratacin Administrativa; esto tomando en cuenta que cada Ministerio deber realizar un
inventario inicial de los equipos existentes y de los programas que tengan las computadoras. En
cuanto a la seguridad se deben mantener los dispositivos suficientes para resguardar la
informacin y los activos, para ello adems se debe dar mantenimiento preventivo y correctivo
para asegurar la continuidad de los procesos.

El jefe del Departamento de Bienes y Suministros, Lic. Alex Arias Arguello, en su oficio B.S.
042-2005, indica que: muchos activos no cuentan con placa porque son donados por el Tringulo
de la Solidaridad; por lo que se realizaron gestiones para conseguir placas con las que se
identificara el equipo informtico.

La falta de recursos para completar las visitas a oficinas regionales con el fin de contabilizar el
total de los activos dificulta ejercer control y proteccin del patrimonio institucional contra el uso
ineficiente o irregular, responsabilidad que le corresponde a la administracin y cuya
inobservancia podra traer consecuencias de ndole administrativa, civil y hasta penal;
indiscutiblemente, expone a la Administracin a mayores riesgos de prdida y sustraccin; sin
que sean detectadas oportunamente, dificultando la toma de medidas correctivas, la definicin de
responsables y el resarcimiento econmico si corresponde.

3. CONCLUSIONES

La Direccin Nacional de Desarrollo de la Comunidad, carece de una adecuada y suficiente


estructura de control interno, que garantice la existencia y operacin de un sistema de
informacin institucional eficaz y eficiente, siendo requerido una unidad informtica organizada,
con recursos suficientes e idneos, con un marco tcnico definido, infraestructura tecnolgica,
con metodologa y estndares de desarrollo o adquisicin de sistemas y equipos establecida,
polticas de gestin, seguridad y contingencia en TI adecuadas; con medidas regulatorias para
integrar los esfuerzos administrativos e informticos para alcanzar los objetivos institucionales
de forma eficiente; implementando controles como registros completos, instrucciones escritas,
asignacin de equipos, inventarios peridicos, mantenimientos oportunos, entre otros;
cumpliendo con las disposiciones tcnico-legales que correspondan.

4. RECOMENDACIONES.

11
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

A la Directora Nacional

4.1 En un plazo que no exceda los 10 das hbiles, girar las instrucciones para que se apliquen las
recomendaciones introducidas en este informe o las soluciones alternas que eventualmente
propongan, en caso de que se discrepara de las emitidas por esta Auditora; conforme lo define el
artculo 36 de la Ley General de Control Interno.

4.2 Preparar y remitir a esta Auditora, en un plazo no mayor a 10 das hbiles, un cronograma que
incorpore las actividades, responsables y fechas en las que se espera cumplir las
recomendaciones giradas o propuestas, de manera que se programe el proceso de seguimiento
institucional.

4.3 Continuar ante MIDEPLAN con el trmite de aprobacin, de la estructura organizativa de la


institucin, a la Unidad Informtica, como una unidad orgnica y funcional existente y en
ejercicio; con funciones claramente definidas en los documentos institucionales respectivos y
oficialmente comunicadas y respaldadas, por esa Direccin General. (Resultado 2.1).

4.4 Definir y oficializar las funciones que le corresponden a la Unidad de informtica en general y a
cada uno de sus integrantes, lo que se debe hacer con base en un plan de trabajo a corto, mediano
y largo plazo, adaptado a los requerimientos y recursos de la institucin; con la que se asegure
llegar a cubrir las necesidades bsicas en las reas de tecnologas de informacin, considerando:

a) Ubicacin de la funcin de TI, en niveles de autoridad e independencia diferentes a las


dems unidades de la organizacin.

b) Segregar funciones y responsabilidades, de manera que evite que un slo funcionario


resuelva un proceso de forma completa.

d) Evaluar y gestionar si corresponde, lo idneo y la suficiencia del Recurso Humano


disponible y del requerido. (Resultado 2.2)

4.5 Establecer, promulgar y mantener actualizadas polticas internas sobre tecnologas de informacin,
relacionadas con control interno, minimizacin de riesgos, derechos de propiedad intelectual en
el desarrollo de software, directrices tecnolgicas en general y para el desarrollo de programas,
mantenimientos propios de la Institucin, entre otros. (Resultado 2.3)

4.6 Constituir y garantizar la operacin del Comit Gerencial de Informtica de DINADECO,


apoyndolo con los recursos humanos, materiales y financieros necesarios para su organizacin
y el cumplimiento de las funciones establecidas en el Manual sobre normas de los SIC, siendo
recomendable que est integrado por un representante tanto del mximo jerarca, Planificacin
Institucional, Unidad Financiera y Unidad Informtica, este ltimo como secretara tcnica.
(Resultado 2.4)

4.7 Solicitar al Comit de Informtica de DINADECO, que defina las polticas que correspondan para
que la Unidad Informtica prepare, presente a su aprobacin y mantenga actualizado, el Plan
estratgico institucional del rea de Tecnologa de Informacin, que sirva de eje para el

12
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

desarrollo tecnolgico de DINADECO, durante los siguientes 5 aos.( Resultado 2.4)

4.8 Definir y mantener actualizada por parte del Comit de Informtica, una metodologa para el
desarrollo de sistemas de informacin de la institucin, oficializada por esa direccin y que
incluya la normativa interna que se requiera en concordancia con el Manual sobre Normas del
SIC y el Manual de CI, para que se puedan cumplir las funciones tcnicas propias de dicha
unidad y las de asesora en materia informtica cuando se requiera. (Resultado 2.5 )

4.9 Definir un cronograma de trabajo para el plan de desarrollo tecnolgico de TI, que sealen las
personas y/o dependencias responsables, as como los tiempos estimados, de acuerdo con las
capacidades institucionales de la administracin; para la generacin, aprobacin, divulgacin e
implementacin de los siguientes componentes: Plan estratgico de TI, Modelo de la
Arquitectura de los SIC, Sistemas de Informacin Gerencial, Planes de adquisicin de
infraestructura tecnolgica, Polticas de tecnologa de informacin, Marco de referencia de
administracin de proyectos, Plan gerencial de calidad, Plan de aseguramiento de la continuidad
del servicio, Plan de capacitacin del personal de TI y Marco de referencia de evaluacin de
sistemas en riesgo. (Resultado 2.6)

4.10 Solicitar al Comit de informtica conformar un manual de seguridad para el acceso fsico y
lgico de los equipos informticos basados en estndares internacionales de seguridad como son
Cobit, BS-7799; ISO 14001 entre otros; en el cual se indiquen las condiciones mnimas para
uso de los equipos y software, con el fin de controlar y normar la seguridad informtica
(Resultado 2.6).

4.11 Buscar soluciones alternas como software gratuito, desinstalacin de programas no


imprescindibles y/o planificar y presupuestar a corto, mediano y largo plazo, los recursos para
adquirir las licencias de los programas, que de acuerdo con un estudio realizado por el
Departamento Informtico, sean los efectivamente requeridos por DINADECO para el
cumplimiento de sus objetivos, la proteccin de su informacin y el cumplimiento de las leyes
que tutelan los derechos de propiedad intelectual, derechos de autor y conexos y el Decreto
30151-J del 21-02-2002 (Resultado 2.7).

4.12 Requerir que en toda solicitud de adquisicin de equipo o software, que se le presente para
autorizacin, contenga el estudio de factibilidad tecnolgica y econmica, que debe estar
fundamentado y referenciado en el Plan de infraestructura tecnolgica que debe elaborar y
fundamentar la Unidad Informtica, de acuerdo con los lineamientos tcnicos del Manual de
normas del SIC y los dictados al respecto, por la Contralora General de la Repblica.
(Resultado 2.8).

Al Director Administrativo

4.13 Coordinar con las unidades solicitantes y las del Ministerio de Gobernacin encargadas de las
compras de DINADECO, para que verifiquen y evalen los estudios de factibilidad que se les
presenten para los trmites de compras de Software y Hardware y que los carteles de
contratacin que se generen al respecto; se analicen por un experto en la materia, sea el equipo de
la unidad especializada o el Comit Informtico de DINADECO o sus homlogos en el

13
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

Ministerio de Seguridad Pblica; instancia que entre otros aspectos revise que lo que se desea
adquirir corresponde a la plataforma informtica definida, las necesidades institucionales, la
factibilidad y oportunidad del proyecto, que se haya efectuado la debida planificacin, que lo
requerido sea compatible con las caractersticas de las aplicaciones y/o equipos existentes, etc.;
con lo que se asegure que se aprovechen eficientemente los recursos invertidos, el cumplimiento
de la normativa que rige la materia y sobre todo el adecuado cumplimiento de los objetivos de
DINADECO.(Resultado 2.8)

4.14 Girar las instrucciones pertinentes para que el Departamento de Bienes y Suministros, complete y
mantenga actualizado el inventario institucional, para que ejecute un control efectivo sobre los
mismos; con ello logren la asignacin y ubicacin de los bienes de manera efectiva. (Resultado
2.9)

4.15 Girar las instrucciones al Departamento de Bienes y Suministros, para que documenten todos los
movimientos de equipo de cmputo que se den en la Institucin, tanto de oficinas Centrales
como Regionales, usando formularios preestablecidos y numerados, en los que se describan las
caractersticas del activo, el movimiento ocurrido y consten las firmas, y nombres de los
funcionarios que reciben o entregan. (Resultado 2.9).

14
MINISTERIO DE GOBERNACIN Y POLICIA
AUDITORIA INTERNA AI-750-2005
audidinadeco@racsa.co.cr - Telefax 222-35-97

ANEXO NO.1
DIRECCIN NACIONAL DE DESARROLLO DE LA COMUNIDAD
DETALLE DE LA CANTIDAD DE PROGRAMAS EN USO Y LA EXISTENCIA
DE LAS RESPECTIVAS LICENCIAS AL 30 DE MARZO DEL 2005

Programa Instalado en Nmero Licencias Sin licencia


de computadoras
WINDOWS 95 5 0 5
WINDOWS 98 8 2 6
WINDOWS ME 7 2 5
WINDOWS XP 31 22 9
Windows 2000 5 0 5
Total 56 26 30

OFFICE 2000 10 5 5
OFFICE XP 34 19 15
Office 97 12 1 11
Total 56 25 31
Norton 2000 4 4 0
Norton 2001 1 1 0
Norton 2003 4 4 0
Total 9 9 47

Licencias de
Windows para redes
Windows NT 4.0 1 1 0
Windows NT Server 1 1 0
Total 2 2 0

Otros software
encontrados
Photoshop 1 0 1
Ilustrador 1 0 1
Print Artist 4.5 1 0 1
Core Draw 8 1 0 1
Total 4 0 4

Software
administrador de
base de datos
Oracle 1 0 1
Total 1 0 1

Fuente: Control de Licencias Oficinas Centrales de DINADECO y cdula de verificacin


efectuada por la Auditoria interna.
15