“allo DEL BUEN SERVICIO AL CIUDADANO” (organo de Control ‘nation! Independencia 14 de febrero de 2017 OFICIO N* 030 -2017-0CiMDI Senor EVANS SIFUENTES OANA Alcalde de la Municipaldad de Independencia 147 Presente,: Asunto Remisin de informe de Accion Simuitanea N* OO'pg017,0C12181-AS “Accion Simulténea a la Municipalidad de indgperidencia, Lima - Confiabilidad y Seguridad de la Red Informatica Local te la Municipalidad Distrital de Independenci @) Directva N° O17-2016-CGIDPROCAL, que regula el Ejercicio de Contro| Simultaneo, 0) Ofico N° 015-2017-OCKMDI, de fecha 13 de enero de 2017. Me cinjo a usted para expresarle que, en el marco del dispositvo dela referencia a), se ha ejecutado la Accion Simultanea a la Municipaidad de Independencia, Lima — “Confiabilidad y Seguridad de la Red Informatica Local de la Municipalidad Distrtal de Independencia”, habiéndose acrectado al equipo ‘mediante el documento de la referencia b). ‘Al respecto, como resultado de la accién simultanea se ha identiicsdo hechos que pueden afectar la transparencia, probidad, normativiad aplcable y el cumplimiento de las metas previstas , los ‘uales se exponen en el informe adjunto presente En tal sentido, nos permitimas recomendar valorar los riesgos comentados y disponer las acciones preventvas las cuales deven ser comunicadas en un plaza ne mayor de 20 dias haoiles, al Organo de Control institucional dela Municipaidad Distrital de Independencia, Lima Es propicia la oportunidad para expresare as seguridades de mi consideracion, Atentamente, Se aun Arexo 01, Formato de Pan de aceon para el tstamieta de resgos. ‘ocumot AFSINjesso61e9 489.104 opeubtsap ouewo}Uny 3 © pepaug et ap sein p sopilady A sauqWon, .QaUEYMUNS JONIUED, BANORIG e} op ¢°y JeueWNN ‘ove/souyerp us euo9} 390|98}83) ,s0U0!308 Ug, $0 ofsou jap ope | opuens seuornoe aexdope eied ozel o6sou jop owowwreren, Je eied sauojooe seidope ‘ajgesuodsa, oueuorouny {9p sopiade & sasquion, 6: 9p opaque js exed seyope 4od 0 sepeydope souojooy ‘SOGVOINNWOD SODSAIY (own [9 uo oysondxo oBsayf siq0sues1) asad ‘VNVOO SAINSNSIS O51000H SNYAY| pepnua | ap 2) ‘GaUpINUNS o]UDG Bp ONL J9p PEPIEPA ‘DaURIFUNS onUOD ap aUND}U eG ‘WIN - VIONSONSd3ONI 30 TW1RUSIC WON vdIOINNN| Pep .,BUBYIMULIS JO.UED,, EARDBAIG ‘SOOS3I 30 OLNSINVIVEL 13 Wud NOIDOW 30 NVTd 30 OLVNNOS oN OXSNVWNCIPALIDAD STEAL be REPENOENCA ey ORGANO DE CONTROL INSTITUCIONAL INFORME DE ACCION SIMULTANEA N° 001-2017-OC1/2181-AS ACCION SIMULTANEA A LA MUNICIPALIDAD DISTRITAL DE INDEPENDENCIA-LIMA “CONFIABILIDAD Y SEGURIDAD DE LA RED INFORMATICA LOCAL DE LA MUNICIPALIDAD DISTRITAL DE INDEPENDENCIA” a PERIODO: DEL 16 DE ENERO AL 14 DE FEBRERO DE 2017 TOMO IDE! LIMA- PERU 2017 “Rife del Buen Servicio al Cudadano”INFORME DE ACCION SIMULTANEA N° 001-2017-OC1/2181-AS “CONFIABILIDAD Y SEGURIDAD DE LA RED INFORMATICA LOCAL DE LA MUNICIPALIDAD DISTRITAL DE INDEPENDENCIA” PERIODO: DEL 16 DE ENERO AL 14 DE FEBRERO DE 2017 INDICE DENOMINACION N° Pag. 1 oRIGEN 1 OBJETIVO 1 IL ALCANGE 1 IV. INFORMACION RELACIONADA A LAS ACTIVIDADES MATERIA DE CONTROL 1 V. COMENTARIOS. 4 VL ASPECTOS RELEVANTES 5 VIL CONCLUSIONES 6 Vil, RECOMENDACIONES 16 [edn Sotanen +1 Wonca Dwar ca Lina Confabildes y Seguridad dela Red informatica en la Municipaldad Distal de Independencia” del 16 de enero al 10 de febrero ae,eS INEORME DE ACCION SIMULTANEA N? 001. 2017-0Cu2181-AS “ACCION SIMULTANEA A LA CONFIABILIDAD Y SEGURIDAD DE LA RED INFORMATICA LOCAL MUNICIPALIDAD DISTRITAL DE INDEPENDENCIA” ORIGEN El presente informe se emite en mérto a lo dispuesto por el Organo de Control Insttucional mediante Oficio n° 015-2017-OCI/MDI del 13 de enero de 2017, de acreditacion de! equipo de accion simultane, en el marco de lo previsto en la Directiva n° 017-2016-CG/DPROCAL “Control Simultaneo" aprobado mediante Resolucén de Contraloria n? 432-2016-CG, del 04 de octubre de 2016. OBJETIVOS Y PROCEDIMIENTOS El Servicio de Accidn Simultanea se realizd teniendo como objetivo ol de determinar que la informacion de la administracion y gestiin municipal que se halla en la Red de la Municipalidad Distrtal de Independencia, se encuentra confiablemente segura y protegida de conformidad con la normativa del Estado y disposiciones intemas de la entidad municipal ALCANCE. La accion simultanea es realizada por personal del Organo de Control institucional, se realiza a la seguridad de la informacion de la administracion y gestion municipal, la cual se encuentra depositada en los equipos informaticos de las diferentes areas de la entidad, informacién que debe ser resguardada y protegida por la Gerencia de Modernizacién de la Gestion Municipal como asi mismo de la Sub Gerencia de Tecnologia de Informacion y la Comunicacién de la Municipalidad Distrtal de Independencia |. INFORMACION RELACIONADA A LAS ACTIVIDADES MATERIA DE CONTROL Mediante el Oficio n° 001-2017-A $ JOCIMOI, de fecha 18.01.2017, diigido al sefior Joye Salcedo Franco Gerente de la Gerencia de Modernizacion de la Gestion Municipal de la Municipalidad Distrtal de Independencia, solcitandole Ditectivas Internas y documentos de aprobacion sobre equipos y recursos informaticos, de seguridad de la informacion en los medios informaticos de la red perimetral y, dela informacion (Norma Técnica Peruana) y su documento de aprobacién, de la designacién de! Comité de Gestiin de Seguridad de la Informacion y sus funciones, Pian de Seguridad de Informacion de los Medios Informaticos, relacion de responsables y funciones del administrador de la red, administrador de seguridad de la informacion, administrador de base datos o quien haga sus veces y documento de ‘ecion Satine ala Municpalaa Distal Ge ncependenes, Line Confibilides y Seguridad dee Red informatica en a Municipaldad Distal de Independencia” del 18 de enro a 106 febrero e017INFORME N° 0012017-00/2101-AS io Pagina 2ce 15 inadecuado dela informacion ‘Gerenia de Rents 14 | 14 | vuneratie | NetSupport Us9inadecuato dea ntormacon Sub Gia. de Ejec. Coactva 7 1-7 | Vutnerzole |} NetSupport. | US0nadecuado del informacion Gerecia de DesarooUbano 11 | 11] vunertie | netsupeon | Us iadecuado dia iformacen GGerencia de Gestion Ambiental 4 | 4 | vunersble | NetSupport | U8®inadecuado deta informacion Sub Gerencia de Limpieza Piblica 3 | 3 | Vulnerable | NetSupport | Use inadecuado dela informacion Sub Gerenciade Sevicos Generes | 4 | 4 | vuinerabie | NetSuppot. | Us inadecuao de infomation Gorencia oe Fiscalz. y Control Munic. | 8 | 8 | Vuinerabie | NetSupport | Us0 inadecuad dela informacion Sala de Regidores 1 | 1 | Vulnerable | NetSupport | U8 inadecuado de ta informacion ‘Sub Gerencia de Areas Verdes 4 | 4 | vunerable | NetSupport | Uso inadecuado dela informacion Gerona de Saguidad Clucadana 2 | 2 | vunerabie | NetSupport} Us0nadecuado dela nformacion Calseo Peristapén 4 | 4 | Vuerabie | NetSupport | Us0 nadecuado dea informacion cast 2 | 2 | vuneete | neSunnot | Uoinateino dla omasn ‘OMAPED 4 | 4 | voinerable | NetSupport | Us0inadecuaco dl informacion Crgano de Cont! institucional 6__| 6 | Vunerabie | _Netsuppon_| US0 inadeouace dela informacion Tales (ate Tanah dela Mura: 205 Fup inne n° 25.2017 SCTIOGMGUMD, de fata 200s enero de 2017 Esha: Equip de Aosén Smutanes De otro lado, con el informe n.* 43-2017-SGTICIGMGMIMDI, de 27 de enero de 2017, el sefior Sergio Manuel Morilo Cuya, Sub Gerente de Tecnologias de la Informacion y la Comunicacién informa al equipo de la Accion Simultanea, que con Memorandum Interno 1* 001-2017-SGTIC/GMGMIMDI, se designa al sefior Gustavo Adolfo Gonzales Guzmén, ‘Administrador de Red de la Municipalidad de Independencia como responsable de brindar los permisos (acces0s) a los servicios de la red informatica, compartiendo las funciones con el Técnico Eljetznarov Zapata Jiménez Asimismo, menciona que: *..) os atributos que son asignados a los usuarios es de invitados en el dominio INTRANET, estos accesos son para que puedan iniciar su “Confailéss y Sgurcaa do lad informatica en a Muncpaiad Distal de Indepencencia el 1 do enero a 14 febrero de 2017INFORME N° 01-2017-0612181.S Pagina 8d 15 sesién en los equipos que estén dentro del dominio de la Municipalidad de Independencia, sus atributos solo son de lectura y no tienen privilegio de administrador, salvo aquello usuarios que utlicen la transmisién para el sistema SIAF, a dichos usuarias se les da acceso de administrador local en su equipo mas no ‘en ef dominio (...)” Del mismo modo, mediante la apicacién de Cuestionario n° 001, reaizada al Sub Gerente de Tecnologia de la Informacion y la Comunicacién, sefior Sergio Morllo Cuya, realizada el 2 de febrero de 2017, se desprende lo siguiente © El software NetSupport Manager est8 instalado en todos los equipos informaticos dela Entidad El software NetSupport no tiene licencia y/o permiso de uso en la Entidad, Mediante el software NetSupport el personal de la Sub Gerencia de la Tecnologia de la Informacién y Comunicacion brinda soporte técnico via control remoto a las diferentes unidades organicas dela Entidad + _Elacceso a los equipos informatics via control remoto (NetSupport Manager) del personal de la Sub Gerencia de la Tecnologia de la Informacisn y Comunicacion se realza sin permiso de un password, clave 0 contrasefia del area usuaria (unidad orgénica competente). * No se realiza controles periédicos para verifcar el mantenimiento del software NetSupport Manager. * _Noexisten medidas, controles, procedimientos, normas y estandares de seguridad para el software NetSupport Manager. © E1Sub Gerente de la Tecnologia de la Informacion y Comunicacion manifesta que en el afio 2015 (noviembre — diciembre), que en uno de los equipos informaticos de la Sub Gerencia de la Mujer ingresaron via control remoto sin el conocimiento del usuario de la PC. * No existe una relacién del personal autorizado a conceder, modificar 0 anuiar el aoveso sobre datos y recursos para el software NetSupport * Se tiene un registro de la entrada y salida de soporte ylo mantenimiento via control remoto donde se refeja la fecha y hora, responsable del soporte, usuario ue requiié el soporte y tipo de soporte realizado De ello resulta necesario advertr, que la Sub Gerencia de Tecnologia de la Informacion y la Comunicacion mediante el software NetSupport via control remoto accede a los equipos informaticos de las unidades organicas de la Entidad como: LA ALCALDIA, LA GERENCIA MUNICIPAL, LA PROCURADURIA PUBLICA MUNICIPAL, LA ASESORIA t LEGAL, EL ORGANO DE CONTROL INSTITUCIONAL entre otros; tone las siguientes atribuciones: + Ver, compart y controtar la pantalla de los equiposinformaticos . Monitorizar las pantallas de todos los sistemas conectados con miniaturas a tiempo real. / © Escanee varios sistemas, realice ciclos por una o varias estaciones de trabajo visualizando sus pantallas en su consola Control. ‘econ Smultanen to Manicpalea Oral de onflabibda y Segurigad dos Red Intermatic na Munelpalsad tial 0116 do enero al 14 febrero de 2017. Independencia”INEORNE N° 901-2017.012181.AS osm Pagina 9 18 © Ver su pantalla, un monitor seleccionado o simplemente una aplicacion seleccionada en cualquiera de los equipos conectados. Grave la actividad de la pantalla en un archivo de reproduccion de videos, Aciivar 0 desactivar de forma remota un PC Cliente, asi como iniciar 0 finaizar sesin en e mismo 0 reiniciarlo, ‘© Transfer archivos entre los ordenadores Control y Cliente, sincronice carpetas, ‘© Disiribucién de archivos mediante arrastre y coloque desde el PC Control hasta ‘muchos otros sistemas conectados en una nica accion + Identiicar y acceder a carpetas actualmente en uso en el PC Cliente desde la vista de arbol Transferencia de archivos, En consecuencia, el software NetSupport no brinda la confidenciaidad, seguridad y proteccién de los datos almacenados en los equips informaticos de LA ALCALDIA, LA GERENCIA MUNICIPAL, LA PROCURADURIA PUBLICA MUNICIPAL, LA ASESORIA LEGAL, EL ORGANO DE CONTROL INSTITUCIONAL entre otros, ya que podrian ser divulgados, dafiados, modificados 0 ser inaccesibles, debido a que la Sub Gerencia de Tecnologia de la Informacién y la Comunicacin utiliza el software NetSupport sin licencia y! permiso de uso, accede via remoto a las PC sin autorizacion del area usuaria mediante un password, clave o contrasefa y sin asignar mediante documento los responsables de la administracién del software, Por tal motivo, el Organo de Control Institucional mediante Memorando 1n.° 034-2017-OCIIMDI de 2 de febrero de 2017, solcta al Sub Gerente de Tecnologia de la Informacion y Comunicacion sefior Sergio Morilo Cuya, que se proceda a la desinstalacion de todos los equipos informaticos del Organo de Control Institucional del programa o software NETSUPPORT MANAGER u otros, por lo que representa un riesgo que wulnera el principio de reserva de toda accién de control El hecho expuesto trasgrede el siguiente marco normativo: + Ley n.° 27785 - Ley Organica del Sistema Nacional de Control y de la Contraloria General de la Republica, publicado el 23 de julio de 2002 en el Diario Oficial El Peruano, que dispone: () Articulo 9. Principios del contro! gubernamental () & ¢) La autoromia funciona, expresada en la potestad de los érganas de contol para orgenizarse y elercer sus funcones con independencia técnica y libre de influencias, ‘Ninguna entded 0 autoridad, funconaro 0 seridor public, ni terceros, pueden oponerse interfer o difcuter el ejerccio de sus funciones y atibuciones de control bo) 1) La reserva, por cuyo mérito se encuentra prchitido que durante la ejecucion del contol se revele informacién que pueda causer dato @ la enlidad, a su personal o al Sstema, 0 ifculte la tarea de este uti. © Resolucién Ministerial n.° 139-2004-PCM que aprueba “Guia Técnica sobre de Software para la Administracién Publica’, publicado el 28 de mayo perder ine ‘Confablided y Sogur Informatica on la Municipal Dita de Indepondonia" 42116 ener al 4 de febrero de 2017,001 2017-0CU2181-AS a INFORNE Pagina 106016 dde 2004 en el Diario Oficial El Peruano, que dispone: () 4.4 Modelo de calidad para la calidad externa e interna 4.4.4.4 Seguridad La capacidad del producto de software para proteger la informacion y los datos de modo que las personas o los sistemas no autorizados no puedan leertos 0 modificarlos, @las personas o sistemas autorizados no se les niegue el acceso a ellos. La seguridad en un sentido amplio se define como caractristica de la calidad en uso, pes no se relaciona con e! sofware solamente, sino con todo un sistema © Ley n.° 28612 - Ley que norma el uso, adquisicién y adecuacién del software en la Administracién Publica, publicado el 18 de octubre de 2005 en el Diario Oficial El Peruano, que dispone: (on) Aticulo 5. Estudio, evaluacion e informe previo El uso 0 adquisicién de licencias de software en la administracion piblica requiere del Informe Previo de Evaluacion de la Oficina de Informatica, que determine el tipo de licencia de software que resulte més conveniente para atender el requerimiento formulado. El Informe debera contener, bajo responsabilidad, un analisis comparativo de valores de mercado, asi como de los costos y beneficios en el corto, mediano y largo plazo de las licencias existentes. En el caso de existir un solo tipo de software, el Informe se limitara a certifcar este hecho. El Informe se haré de conocimiento piblico en la pagina web de la entidad que corresponda, salvo los casos de reserva por seguridad nacional, conforme lo dispanga el reglamento.(..) ‘+ Ley n.° 30096 - Ley de Delitos Informaticos, publicado el 22 de octubre de 2013 en el Diario Oficial El Peruano, que dispone: to) Articulo 6, Trafico ilegal de datos El que ctea, ingtesa o utiliza indebidamente una base de datos sobre una persona natural 0 juridica, identficada 0 identificable, para comercializar, trafcar, vender, promover, favorecer 0 faciltar informacién relativa a cualquier ambito de la esfera personal, familiar, patrimonial, laboral,financiera u otro de naturaleza andloga, creando ©.no peruico, sera reprimido con pena privatva de libertad no menor de tres ni mayor de cinco afos, + Ley n.° 30171 - Ley que modifica la Ley n.° 30096 Ley de Delitos Informaticos, publicado el 10 de marzo de 2014 en el Diario Oficial El Peruano, que dispone: Articulo 1. Modificacién de los articulos 2, 3, 4,5, 7, 8y 10 de la Ley 30096, Ley de Delitos informaticos. (0) “articulo 2, Acceso ilicito El que deliberada e llegitimamente accede a todo o en parte de un sistema informatica, siempre que se realice con vulneracién de medidas de seguridad establecidas para impedirio, seré reprimido con pena privatva de libertad no menor de uno ni mayor de Cuatro afos y con treinta @ noventa dias-multa, Seré reprimido con la misma pena, el ‘ecion Stutanes sa Muicpalad Distal Se ncopendene “Conable y Segura daa rman ens Munipliad Dl ol 1 do enero a 14 de febrero de 2017INFORNE W°001-2017-0C1218-A8, id, Keeon Smut Pagina 1 6018 que accede a un sistema informatco excediendo lo autorizado,” “articulo 3, Atentado a la integridad de datos informaticos El que deliberada e ilegitimamente dafa, introduce, borra, deteriora, altera, suprime 0 hace inaccesibles datos informéticos, sera reprimido con pena privatva de libertad no menor de tres ni mayor de seis aos y con ochenta a ciento veinte dias-multa.” “Articulo 4, Atentado a la integridad de sistemas informaticos El que deliberada e ilegitmamente inutiiza, total o parcialmente, un sistema informatico, impide el acceso a este, entorpece o imposiblita su funcionamiento 0 la prestaciin de sus servicios, seré reprimido con pena privativa de libertad no menor de tres ni mayor de seis afi y con ochenta aciento veinte dias-multa” Directiva n.° 008-2016-GMIMDI sobre “Normas y procedimientos para la asignaci6n de uso de software especializado a las diferentes areas de la Municipalidad Distrital de Independencia”, aprobado con Resolucién de Gerencia Municipal n.° 038-2016-GMMDI de fecha 22 de enero de 2016, que dispone: (-) Il DISPOSICIONES FINALES 7.1 El software instalado en los servdores principales de la Red Informatica est legalmente adquido y licenciado por la respectiva Municipalidad Distital de Independencia; por tal motivo, queda expresamente prohibido el uso de software no licenciados por parte del usuario en cualquier equipo asignado. Servidores en General to) ) El cuidadoso manejo de la informacion y de los sistemas diferenciandola entre la ppblca y a reservada (privada o confidencial) que su divulgacion no atente contra las normas vigentes; Funcionarios d) La defnicion de roles y niveles de acceso a la informacion y los sistemas de informacion de acuerdo a los cargos que desempefe el personal; ©) La designacién de usuarios administradores que participen activamento en la efinicion, creacion, pruebas, implementacién y mantenimiento de los sistemas de informacién; (..) ctiva n.° 009-2016-GMIMDI sobre “Normas y procedimientos para el buen uso y proteccién de la informacién en la Municipalidad Distrital de Independencia”, aprobado con Resolucién de Gerencia Municipal n.° 039-2016-GM-MDI de fecha 22 de enero de 2016, que dispone: (.) VI. DISPOSICIONES FINALES 6.1 El sofware instalado en los servidores principales de la Red Informatica esta legalmente adguiido y licenciado por la respectiva Municipaldad Distrtal de Independencia; por tal motivo, queda expresamente prohibido e! uso de software no licenciados por parte del usuario en cualquier equipo asignado. Servidores en General () Manicpatcsd Datta ce neependencis Lia “Confabigady Sogurdad do la Rad inforates on fa Muncipaisad Distal de Independencia" el 6 ae a8 de febrero de 2017INFORME N° 001-2017-0612181.A8, te Pagina 1260 16 b) El culdadoso manejo de la informacién y de los sistemas diferenciéndola entre la piiblca y la reservada (privada o confdencial) que su divuigacisn no atente contra fas normas vigentes Funcionarios () 4d) La defnicin de roles y niveles de acceso a la informacién y los sistemas de informacién de acuerdo a los cargos que desempere el personal @) La designacién de usuarios administradores que participen activamente en la definicién, creacién, pruebas, implementacion y mantenimiento de los sistemas de informacion; (...) De los hechos descrtes, se ha constatado que la Sub Gerencia de Tecnologia de la Informacion y la Comunicacién tiene acceso a los equinos informaticos de ALCALDIA, LA GERENCIA MUNICIPAL, LA PROCURADURIA PUBLICA MUNICIPAL, LA ASESORIA LEGAL, EL ORGANO DE CONTROL INSTITUCIONAL entre otros, mediante el software NetSupport via control remoto, el cual no brinda la confidencialidad, seguridad y proteccion de los datos informaticos y genera el riesgo que la informacion institucional pueda ser ulilizado para fines ajenos a los objetivos dela entdad 2. LA ENTIDAD NO SE HA ADECUADO A LOS, PLANES Y NORMATIVAS? VIGENTES DEL ORGANO RECTOR SOBRE GOBIERNO ELECTRONICO, LO QUE AFECTA LA CALIDAD Y EFICIENCIA DE LA INFORMACION Y PONE EN RIESGO LA CONFIABILIDAD Y LA SEGURIDAD DE LA DATA DE LA ENTIDAD Y QUE PUEDA SER VULNERADA POR TERCEROS. ‘Se ha evidenciado a la fecha, que, tanto la Gerencia de la Modemizacion de la Gestion Municipal y la Sub Gerencia de Tecnologia de Informacion y de la Comunicacién no han adecuado a la Municipalidad Distrtal de Independencia a las Normas Técnicas Peruanas de Tecnologias de la Informacion (NTP ISOMIEC) y, asi mismo, de las actividades que sefialan las Directivas Intemas no se han implementado o no han sido las mas apropiadas © vigentes para tal fnalidad Mediante la Resolucién Ministerial n° 004-2016-PCM de fecha 08 de enero de 2016, se ‘aprobé el uso obligatorio de la Norma Técnica Peruana ‘NTP ISO/IEC 27001:2014 Tecnoiogia de la Informacion. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Informacién. Requisitos. 2da Edicion’, buscando garantizar la integrdad, confibilidad ¥ disponibilidad dela informacion en la administracion publica De acuerdo al informe n* 26-2016-SGITC de fecha 20 de enero del 2017, 'a Sub Gerencia de Tecnologia de Informacion y de la Comunicacién le remite 2 la Gerencia de Modernizacién de la Gestién Municipal que, la implementacion incremental de NTP. * Noma Teenea Penna NTP ISONEC 270012014; Teunias de SepurdedSstemas oe Gostn oe Sogndceeinomacén Pegusts. 2a Eden ‘ecion Sinutanes ss Moncpallad Distal Ge heependene, Lina “Confido y Sgurcad do Red informatica en a Municpalded Disa de Independencia el 1 do enero a 14 Ge febrero de 2017.INEORWE N° 901-2017.0612181-AS Pagina 13.16. ISOMEC 27001:2008 se esta coordinando con el sefior Israel Apaza Aranda, funcionatio de la Oficina Nacional de Gobiemo Electrénico - ONGEI, estando en la primera fase que es de la organizacion, esperando se determine un administrador, esto en base a la Resolucién Ministerial n° 129-2012-PCM de fecha 23 de marzo de 2012, Al respecto, debemos seftalar que la Resolucion Ministerial n° 004-2016-PCM que se indica en el segundo parrafo de la presente, deja sin efecto a la Resolucion n* 129-2012- PCM de fecha 23 de marzo 2012 que indica la Sub Gerencia de Tecnologia de Informacion y de la Comunicacién, no habiéndose por tanto realizado una adecuacién de acuerdo a la rnormatividad, con la finalidad de dar cumplimiento al articulo 3 de la Resolucion Ministerial 1° 004-2016-PCM de fecha 08 de enero de 2016. Asimismo, el Informe n° 26-2016-SGITC de fecha 20 de enero de! 2017, la Sub Gerencia de Tecnologia de Informacion y de la Comunicacion menciona que: “(...) En ef punto 4 solicitandome documento de designacién del comité de seguridad de la informacién, en el punto 5 sobre el plan de Seguridad de informacién de los medios informaticos yen el punto, sobre estos puntos solicitades no se cuenta con dicha informacion la cual esta en etapa de desarrollo conjuntamente con la primera fase (organizacién), cconjuntamente con ONGE!” (..JHago de su conocimiento que se le haré llegar el cronograma de actividades de la implementacién de seguridad de la informacién de la primera etapa (ORGANIZACION). En cuanto se coordine con los funcionarios de ONGEI el inicio de las actividades” En consecuencia, ala fecha no se ha elaborado el Pian de Seguridad de la Informacion de los Medios Informéticos como documento guia y, al no contar con una Comision de Seguridad de la Informacion de los medios Informaticos no se cuenta con un organismo intemo que den la garantia de hacer y cumplir las normas vigentes en lo relacionado a seguridad de la informacion en la Municipalidad Distrital de Independencia Los hechos comentados contravienen el siguiente marco normativo y directives interna de laentidad) + Resolucién Ministerial n? 004-2016-PCM, publicada el 08.01.2016. De la Implementacién, en donde se aprueba el uso de la Norma Técnica Peruana “NTPASONEC 207001:2014, Tecnologia de la Informacién. Técnicas de $ ‘Seguridad, Sistemas de Gestion de Seguridad de la Informacién. Requisitos. 2da Eager Articulo 3 Las entidades integrantes del Sistema Nacional de Informatica, tendrén un plazo maximo de dos (2) aos para laimplementacin yo adecuacin dela presente norma, Dichas entdedes pubicas tendran un plazo de 60 dias contados a paride la fecha (felon 00.2017.8 SOCIO dca 16 er 2017 [Recon Simutanea aa Moiepaldad Distal de independence, Lima “Coafablidady Seguridad de la Re informatica en la Municpaad Distal de Independencia" e116 0 ener a 146 breve 2017,INFORME N° 001-2017-0C12181.4S, aif Pagina 14.6016 de publcacion de la presente norma para la presentacion del cronograma de implementacion + Ordenanza Municipal n° 335-2015-MDI, de fecha 29.12.2015, en donde se implementa la Gerencia de Modernizacion de la Gestion Municipal ‘Articulo 538 en lo que respecta al Gobierno Electronico: (.) Literal V) Desarrollar vinculos de estrecha comunicacién con la Oficina Nacional de Gobiemo Electronico e Informatica (ONGE!) que nos permita alinear nuestros cobjetivos alos objetivo relacionados @ los Gobiemos electrnicos del pais. + Resoluci6n de Gerencia Municipal n° 034-GM-MDI, de fecha 22.01.2018, que aprueba la Directiva n ° 004-2016-GN-MDI “Normas de Procedimientos para la Asignacién de Equipos y Recursos Informaticos en la Municipalidad Distrital de Independencia”, Vil Disposiciones Finales 7.9 Comité de la Seguridad de la Informacion de los Medios Informaticos debera de establecer mecanismos de monitoreo, evaluacion y actualizacion de las poliicas de seguridad de la informacién mediante a) La evaluacion y la coordinacion en la implementacion de controles especificos de seguridad de la informacion para nuevos sistemas o servicios. ) La coordinacién del analisis de riesgo, contingencias y prevencion de desastres. c) La evaluacién y revision de la situacién luego de incidentes ocurridos y que pongan en peligro la seguridad de la informacion, 4) La revision y aprobacién de proyectos de seguridad de informacion y programas de formacion y sensibilizacién del personal, contratstas y terceros involucrados respecto ala seguridad de informacin. ) La garantia de hacer y cumplir las normas vigentes en cuanto a materia de seguridad de informacion dentro y fuera de la Municipalidad Distal de Independencia + Resolucién de Gerencia Municipal n° 037-2016-GM-MDI, de fecha 22.01.2016, que aprueba la Directiva n° 007-2016-GM-MDI “ Normas para el Acceso Fisico y Virtual en los medios Informaticos en la Municipalidad Distrital de Independencia” de fecha 22.01.2016 VI. Disposiciones Finales Numeral 6.7 Enel plazo de 15 dias a partirde la vigencia de la presente Directva, la Sub Gerencia ie de la Tecnologia de Comunicacion e Informacion deberd elaborar el proyecto del Plan de Seguridad de la Informacién de los Medios Informaticos considerando obligatoriamente las siguientes acciones: 2) Identificar y evaluar los activos informaticas con que disgone la Municipalidad Distital de Independencia, como: personal, datos, equipamiento, sistemas, servcis, / Comunicaciones y simitares. ea a Muri palded Datel y Seguridad de le Re Informatics ena Muncpaied Distr de Independencia e116 ener a 1. febrero de 2017.Fecion Smatanea aa Wunicallose Daa Pagina 15 de 16 ») Identifcar las amenazas extoras tales como: virus, espionale, itentos de hacker, y similares, asi como determinar las amenazas internas, como uso indebido de la informacién, divulgacin a terceros y otros similares. «) Evaluar riesgos calculando la probabilidad que se den las amenazas sobre los activos identficados y el costo econémico y psicosocial asociado al impacto de la amenaza en caso se diera, 4) Planear mecanismos de contingencia, frente a amenazas que se pudieran dar para reanudar a la normalidad los medios informaticos en el mas breve plazo. De lo exouesto, se advierte que por la fata de una adecuacion a la normatividad nacional actual y, la no implementacion de directvas internas de la misma entidad por las reas involucradas a la proteccion y seguridad de la informacion, se estaria generando un alto riesgo de que la informacion de la entidad, en su conjunto, sea vulnerada en su cconfidencialidad y confibilidad 3.- LA MUNICIPALIDAD DISTRITAL DE INDEPENDENCIA CUENTA CON 205 PCs ACTIVAS PARA EL USO DEL PERSONAL, DE LAS CUALES 170 PCs SE ENCUENTRAN SIN LICENCIAS, LO QUE ORIGINA EL RIESGO DE MULTA POR PARTE DEL INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCION DE LA PROPIEDAD INTELECTUAL - INDECOPI, AL NO CONTAR CON LICENCIAS DE USO PARA EL TOTAL DE SUS PCs. Se ha evidenciado que 170 PCs de la Municipalidad Distital de Independencia no cuentan ccon Licencias de Software, poniendo en riesgo que la entidad pueda ser multado por el Instituto Nacional de Defensa de la Competencia y la propiedad Intelectual Con el Informe n° 25-2017-SGTICIGMGMIMDI de fecha 20 de enero de 2017, la Sub Gerencia de la Tecnologia de Informacion y la Comunicacién, nos remite el inventario realizado donde indican que en la entidad existen 205 PCs activas para el uso del personal; las licencias de uso de los sistemas operativos (window 7, window XP) se encuentran de la siguiente forma: Cuadro n° 02 Numero de PCs y licencias de uso Totalde | Totalde Sistemas Operativos Licencia de uso frees aa Window 7 Window XP. ul No. i ie 158 36 Pa “2 o 8 Sub Tota 5 70 Tota 208 Foare ifoma 25-2017 SSTCINCNIN, Eancracor: Equipo ce Acin Sutras dependencia cna ‘Confiablady Seguridad de a Red Ifermiia en la Muncialidad Dstrtal de Independenci’ ol 16 ener a 14 febrero de 2017.INFORM N° 001-2017.0612181.AS i me VIL Pina 16 16, Los hechos comentados contravienen el siguiente marco normativo y directivas intemnas de la entidad = Ley N° 28612, publicada el 17.10.2005, Norma el Uso, Adquisicién y ‘Adecuacién del Software en la Administracién Publica. ‘+ Decreto Supremo n° 024-2006-PCM, publicada el 26.05.2006, aprueban el Reglamento de la Ley N° 28612, Ley que normal el Uso, Adquisicion y Adecuacién del Software en la Administracion Publica. + Ley N° 28574 publicada el 06 de julio de 2005, modifica los articulos 188 y 189 del Decreto Legislativo N° 822 publicada el 23 de abril de 1996, sobre sanciones y reincidencias en el uso de software ilegal. Por consiguiente, la fata de no contar con lcencias de uso autorizadas, genera el riesgo de muitaé a la entidad, por el Instituto Nacional de Defensa de la Competencia y de la Proteccién de la Propiedad intelectual - INDECOPI. CONCLUSIONES Durante la ejecucién de la accién simultanea se han advertido tres (03) hechos relevantes ue ponen en riesgo el logro del objetivo de la Municipalidad Distrital de Independencia, el cual ha sido desarrollado en el numeral VI Vill. RECOMENDACIONES " At 18 La oa do Ovechos de Aut ota imporer conus Hacer de conocimiento al titular de la entidad los riesgos identicados como resultado de la accién simulténea efectuada, con la finalidad de que implemente las medidas preventivas dirigidas a mitigar 0 superar los iesgos comentados en el numeral VI Independencia, 10 de febrero de 2017 L\ ‘GPC PERCY PAUL SALAS MORALES Integrante Equipo de Eecicio de Accion Simutsnea arent as saubnis sancones: 2} Anonowation ) Mita asia 180 UT c) Reparagon op las onions @) Clere tor Nasla por £0 das del exlbecments e) Cleve cefriva del ‘esablecmetnf ncatano corso deiivos) Pubicscon dela esoiden a cosa celina. fn 18 En el caso de rrstenca,consarandose como ta repetogn de un aco dela moa retualeza en un psa de dos ates 52 eraimponer el abl ce a uta de manera sucsiaettaa, sn pei de apa as sarconesesablecdss en a 186 Tan Stkines aa Muripalded Datel de ndoperdencl Line onflabitdad y Sepuridsd de Re informstics ana Munplag Distal de ndependenc’ 49116 anar al 1d obrere de 2017.