Municipalidad de informe final auditoria de sistemas informaticos
1. CONTRALORíA GENERAL DE LA REPÚBLICA
DIVISiÓN DE MUNICIPALIDADES
SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN
DEPARTAMENTO DE AUDITORíA
REF.N°
DMSAI
A.T.
1.269/09
102/09
110/09
REMITE INFORME FINAL QUE INDICA
SANTIAGO, o7. MflY O9'" O237O3
Adjunto, sírvase encontrar ejemplar del
Informe Final, debidamente aprobado, sobre Auditoría de Sistemas Informáticos
efectuada en esa Municipalidad.
AL SEÑOR
ALCALDE DE LA
MUNICIPALIDAD DE
LO ESPEJO
Saluda atent mente alUd.
/,/ ¡
Po(c,:¡fderid'él' Gol1fi'álillr. 08181
MIIRro Q'UltAOA rON ECA
Irl¡jenlaro Civil
Subjefe O/v/iil!)M de Munl palidades
2. CONTRALORíA GENERAL DE LA REPÚBLICA
REF N°
DMSAI
A.T. N°
DIVISiÓN DE MUNICIPALIDADES
SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN
DEPARTAMENTO DE AUDITORíA
1.269/09
102/09
110/09
REMITE INFORME FINAL QUE INDICA.
SANTIAGO,
o7. MIIY O91< 0237 O~
Adjunto, slrvase encontrar copia del Informe
Final DMSAI N° 102 de 2009, de esta Contraloría General, con el fin de que, en la
primera sesión que celebre el Concejo Municipal, desde la fecha de su recepción,
se sirva ponerlo en conocimiento de ese Órgano Colegiado entregándole copia del
mismo.
Al respecto, Ud. deberá acreditar ante esta
Contraloría General, en su calidad de Secretario del Concejo y ministro de fe, el
cumplimiento de este trámite dentro del
sesión.
de diez dlas de efectuada esa
AL SEÑOR
SECRETARIO MUNICIPAL DE
LO ESPEJO
Saluda
P~r cMen dél' ~iti!llflf eneral
tvitRld aUEtA"A FO SECA
1í18iíHiijfíj Olvl
Subjefe tllvl~Tth 'cl~ Mu Ic/palidadel
3. CONTRALORíA GENERAL DE LA REPÚBLICA
División de Municipalidades
Área Auditoría
Fecha: Abril de 2009
W Informe: 106/09
4. roro... u
Q).-
e .-
a;§
f'n a....... 1')
. ,¿
o- .«. .
CONTRALORíA GENERAL DE LA REPÚBLICA
DIVISiÓN DE MUNICIPALIDADES
SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN
DEPARTAMENTO DE AUDITORíA
REF. N° 1269/09
DMSAI N° 102/09
A.T. N° 110/09
INFORME FINAL SOBRE DE AUDITORíA
DE SISTEMAS INFORMÁTICOS
EFECTUADA EN LA MUNICIPALIDAD
DE LO ESPEJO.
SANTIAGO, O? Hf,YG 2009
En cumplimiento del Plan Anual de
Fiscalización de esta Contraloria General y de acuerdo con las facultades
establecidas en la Ley N° 10.336, Orgánica de esta Institución, se realizó una
auditoría a los sistemas informáticos en la Municipalidad de Lo Espejo.
OBJETIVO.
Verificar los controles en el procesamiento
de datos, en el mantenimiento de plataforma de software, hardware y servicios
automáticos y; en el cumplimiento de los contratos de sistemas, arriendo y/o compra
de equipamiento.
METODOLOGíA.
La revlslon fue practicada en conformidad
con normas y procedimientos aceptados por la Contraloría General, por lo tanto,
incluyó las pruebas de validación y otros medios técnicos considerados necesarios
en las circunstancias.
La revisión, en términos generales, consistió
en el análisis de los contratos informáticos, de las políticas informáticas, de los
métodos de integridad de datos, de los recursos informáticos, de la validez de la
Información, de la salvaguarda de activos informáticos y de la efectividad de
aplicación de controles.
UNIVERSO FISCALIZADO.
La revisión abarcó el período comprendido
entre enero de 2006 y junio de 2007, a cuyo respecto se analizaron los aspectos
relativos al uso de tecnologías de información del municipio.
MUESTRA EXAMINADA.
La revisión se efectuó sobre el 100% de las
actividades del período señalado.
AL SEÑOR
SUBJEFE DE LA DIVISiÓN DE MUNICIPALIDADES
P R E S E N T E.
JPTV/LMGV
5. CONTRALORíA GENERAL DE LA REPÚBLICA
DIVISiÓN DE MUNICIPALIDADES
SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN
- 2 -
Cabe precisar que, con carácter de
confidencial, mediante oficio W 60638, de 22 de enero de 2008, fue puesto en
conocimiento del alcalde el Preinforme conteniendo las observaciones establecidas
al término de la visita, con la finalidad que formulara los alcances y precisiones que,
a su juicio, procedieran, lo que se concretó mediante oficio ORD. W 400/03/08/2008,
de 7 de enero de 2009.
El análisis de las observaciones formuladas
en el citado Preinforme, en conjunto con los antecedentes aportados por la autoridad
edilicia en su respuesta, determinaron lo siguiente:
1.- ORGANIZACiÓN.
1.1.- Dotación de Personal de la Unidad Informática.
Se advirtió la ausencia de planes de
capacitación periódica que permitan el desarrollo del personal informático en nuevas
tecnologías y análisis de soluciones que permitan mejorar la gestión municipal.
El municipio en su respuesta no aporta
mayores antecedentes, por lo que se mantiene la observación.
1.2.- Recursos de plataforma Software y Hardware.
Debido a la poca especialización del
personal, no es posible generar planes de contingencia y continuidad que garanticen
el buen funcionamiento de los sistemas y permitan identificar los riesgos asociados.
Asimismo, se determinó la ausencia de
procedimientos formales de actualización de parches de sistema operativo y de
aplicaciones de oficina, así como la carencia de respaldos de perfiles de sistemas
operativos.
A nivel municipal no se cuenta con licencias
de software autorizadas para las estaciones de trabajo y servidores. Asimismo, el
software de administración municipal no posee actualmente documentación de
usuario y/o sistema.
La autoridad municipal indica que,
efectivamente, las estaciones de trabajo no poseen licencias, pero que actualmente
se encuentra en proceso un estudio para migrar la plataforma a sistema operativo
Linux y licenciar exclusivamente los equipos necesarios que deban trabajar en
plataforma Windows, por otra parte, se analiza cambiar en los equipos el software de
oficina Microsoft Office por Open Office.
Dentro de los antecedentes entregados por
el municipio no se contempla información respecto de planes de contingencia,
respaldo de perfiles y políticas de licenciamiento de sistemas mediante normativas
formales, por lo que se mantienen las observaciones anteriores, sin perjuicio de las
verificaciones que se efectuarán en futuras fiscalizaciones.
Se comprobó que actualmente no se aplican
en las operaciones, medidas de mitigación de riesgos de fallas en la plataforma de
software y hardware. Se advierte la ausencia de normativa formal de mantenimiento
(í) .preventivo y/o correctivo de los equipos servidores y plataforma municipal.
6. (
CONTRALORíA GENERAL DE LA REPÚBLICA
DIVISiÓN DE MUNICIPALIDADES
SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN
- 3 -
En la respuesta al Preinforme se indica que
las operaciones se realizan fuera de horario normal de trabajo, lo que no se
encuentra dentro de las normativas entregadas al momento de realizar la auditoría.
Además, dentro del funcionamiento del área
no se observa la existencia de estudios sobre valoración y criticidad de los elementos
del inventario, lo que imposibilita realizar un ranking de los más críticos y su
respectiva rotación, con la finalidad de nivelar la estructura de la plataforma de
hardware.
En la respuesta se amplían los antecedentes
respecto a que el ranking de existencia se encuentra realizado y que se han tomado
medidas para rediseñar el layout del equipamiento, además de considerar la baja de
veinte equipos por capacidad.
Se comprobó que no se ha instruido al
personal respecto de la seguridad de las instalaciones y del equipamiento.
Se informó que la Dirección de Operaciones
será la encargada de llevar a cabo el rediseño de la seguridad del Departamento de
Computación, protección de accesos, reparación de techumbre, piso y sistemas de
aislación para climatización.
Atendiendo a que la autoridad ha dispuesto
las medidas pertinentes, lo observado inicialmente se estima subsanado,
constatándose su cumplimiento en futuras fiscalizaciones.
1.3.- Aplicaciones.
Se realizó un análisis mediante diagramas
de flujos de datos y diagramas de entidad-relación de aquellos procesos cuyos
módulos fueron evaluados como de mayor riesgo, entre los que se encuentran
contabilidad, licencias, permisos, cobranzas y activo fijo.
En su respuesta, la autoridad municipal
informa que se solicitará el diseño de los diagramas de flujos de datos de los
procesos, con la finalidad de analizar las áreas de riesgo, lo cual será analizado en
una futura fiscalización.
2.- SALA DE UNIDAD INFORMÁTICA
La sala de informática cumple con las
mlnlmas condiciones para resguardar la información, no existiendo normas de
seguridad como señalética, sensores de humo, extintores de incendios entre otros.
La entidad reconoce la falta de elementos de
seguridad; sin embargo, actualmente la sala cuenta con extintor alón de 8 kilos.
La configuración de red eléctrica existente y
de datos, no está certificada en su totalidad, lo que conlleva al aumento del riesgo
que puede afectar la integridad de la información. Se informa en la respuesta, que se
solicitará la instalación de tablero de automáticos diferencial y malla a tierra con las
exigencias de la SECo
7. CONTRALORíA GENERAL DE LA REPÚBLICA
DIVISiÓN DE MUNICIPALIDADES
SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN
-4-
Por otra parte, el sistema de control de
acceso a la sala no es automático, lo que disminuye la seguridad puesto que permite
la entrada a personal no autorizado. Además, la iluminación de las instalaciones es
deficiente para los requerimientos y bienestar de los funcionarios.
En la Sala de la Unidad de Informática no se
cuenta con alarmas específicas y sistemas de alerta en caso de un siniestro, como
ser una inundación, un sismo, entre otros.
Dentro de los antecedentes entregados por
la autoridad municipal no se acompaña documentación que permita subsanar lo
observado; sin embargo, las mejoras que puedan surgir del presente informe, serán
verificadas en futuras fiscalizaciones.
3.- SEGURIDAD DE LA INFORMACiÓN.
No existen normativas formales de
administración y seguridad aplicadas por los usuarios finales de los sistemas en
relación a realizar cambios de claves en forma periódica.
Se estableció que si bien se cuenta con
archivos de registros de transacciones, no se efectúa una revisión de ellos para
asegurar la integridad ni se auditan los procesos para evaluar el rendimiento y la
criticidad de las operaciones más recurrentes.
Asimismo, se comprobó que no se efectúa la
verificación de integridad de los datos respaldados y los procedimientos para eliminar
información fisica de los medios de almacenamiento en períodos de tiempo
asignados.
Se estableció la ausencia de procesos de
verificación de integridad de datos, archivos de transacciones históricos y
procedimientos para desechar la información física de los medios de almacenamiento
en forma regular. Además, no se cuenta con ningún plan de contingencia, para los
casos de desastres naturales, hurtos, violaciones de seguridad, etc.
Los antecedentes aportados por el municipio
en su respuesta resultan insuficientes, por lo que corresponde mantener las
observaciones formuladas en el Preinforme al respecto.
Por otra parte, se verificó que no existe
personal de seguridad o sistemas de vigilancia remota para el control de las
instalaciones de la Unidad de Informática. Sobre ello, la autoridad municipal indica
que el Departamento cuenta con un sistema de alarma.
Los datos respaldados carecían de
encriptación, lo que aumenta el riesgo en la seguridad al momento de acceder a los
datos que se encuentra dentro de los respaldos. Al respecto, la autoridad comunal
informa que actualmente los datos cuentan con encriptación que se proporciona a
¡través de CAS CHILE.
8. CONTRALORíA GENERAL DE LA REPÚBLICA
DIVISiÓN DE MUNICIPALIDADES
SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN
- 5 -
No se advirtió la existencia de medidas de
seguridad física de los datos, en cuanto al resguardo en una caja de seguridad con
acceso a través de llave, tarjeta magnética o duplicación de respaldos para
conservar la disponibilidad de servicios municipales. Sobre ello, se informa que la
información es enviada en formato OVO al Departamento de Tesorería para su
posterior respaldo.
De acuerdo con los antecedentes aportados
es posible levantar las observaciones formuladas; no obstante, su regularización
efectiva se verificará en una próxima fiscalización.
4.- BASE DE DATOS.
El operador municipal de las bases de datos
no utiliza herramientas externas para administrar y operar las mismas, reduciendo la
productividad de los servicios y minimizando funcionalmente la entrega de datos
mediante reportes y listados. Ello determina que la normativa existente sea
insuficiente en cuanto a procedimientos de administración, respaldo y recuperación
de datos.
No obstante lo anterior, según la Unidad de
Computación, no se requiere manipular las bases de datos externamente, dado que
sólo se utilizan actualmente a través de los sistemas municipales que poseen
reportes e informes.
Efectuado un nuevo análisis y considerando
los antecedentes aportados, es posible levantar la observación inicial.
5.- REDES.
A nivel de red municipal existe escasa
regulación en la administración de direcciones IP, no teniendo en cuenta por ejemplo,
aquellas ocupadas sin identificación, asignadas sin identificación y disponibles en
rangos intercalados. Además, se advirtió la inexistencia de normativa interna que
permita regular las extensiones de puntos de red, ampliación de señal, layout de
racks y administración de anchos de banda. Al respecto, se informa que se
encuentran en proceso de regulación, aún cuando permanentemente los usuarios se
cambian de estación de trabajo sin autorización previa, según lo informado por la
Unidad.
Los argumentos planteados resultan
atendibles, por lo que se levanta la observación formulada, constatándose su
cumplimiento en futuras fiscalizaciones.
6.- POLíTICAS Y REGLAS.
No hay en funcionamiento normativas de
procedimientos y operaciones para la plataforma de hardware y software, y tampoco
para la operación de sistemas y bases de datos municipales. Las actividades se
realizan sin estándares ni procedimientos definidos con claridad; gran parte de los
procesos se realizan de manera reactiva o de manera informal, no teniendo acceso a
la documentación de los sistemas informáticos, puesto que no existe evidencia de
que hayan sido proporcionados por parte del proveedor.
9. ( . I
'A1)
CONTRALORíA GENERAL DE LA REPÚBLICA
DIVISiÓN DE MUNICIPALIDADES
SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN
- 6 -
No se han establecido políticas específicas
para: la adquisición de licencias de software, la adopción de medidas de seguridad
física para el uso de las instalaciones de la Unidad Informática, la regulación y la
actualización del Inventario de bienes informáticos, la aplicación de medidas de
seguridad lógica, el uso de los servicios de la red de datos institucional y de las
cuentas de usuarios, la conexión y las consultas a redes externas, la capacitación de
personal informático y la normas de uso del servicio de Internet y del correo
electrónico municipal.
En la respuesta se señala que se
encuentran trabajando en las mejoras del punto antes señalado.
Se advirtió la inexistencia de políticas y
procedimientos de registro de personal en tránsito dentro de las instalaciones
informáticas, tanto personal interno municipal como externo de empresas contratistas
o que prestan servicios regulados por contrato como la mantención del enlace de
comunicaciones y equipos municipales. Sobre ello se informa que el personal a
cargo se esfuerza por controlar el ingreso de las personas ajenas a la Unidad, no
existiendo políticas especificas al respecto.
Los argumentos planteados no resultan
suficientes para salvar las observaciones formuladas, por lo que ellas se mantienen.
Su regularización se verificará en futuras fiscalizaciones.
Por otra parte, se comprobó la falta de
registros de incidentes que indiquen pérdidas de datos y/o alteraciones en el
funcionamiento de los sistemas, bases de datos o instalaciones. Se informa al
respecto que se implantará un libro de registro en el mes de enero del 2009, lo cual
se verificará en una futura fiscalización.
Se comprobó que el procedimiento de
asignación de perfiles, accesos y atributos se realiza en términos informales; no
obstante, en su respuesta la autoridad indica que el requerimiento de perfiles y/o
atributos asignados se realiza a petición exclusiva de la unidad que necesita del
acceso, lo que permite levantar lo observado.
7.- CONTRATOS INFORMÁTICOS.
Los contratos suscritos por la Municipalidad
de Lo Espejo se encuentran operados por las empresas CAS Chile S.A. e Insico
S.A., normados técnicamente y en funcionamiento. El detalle es el siguiente:
• Contrato con la empresa CAS Chile S.A. para el arriendo de software respecto
de remuneraciones y personal municipal; salud y educación; ingresos varios;
tesorería y; patentes comerciales.
• Contrato con la empresa Insico S.A. para el Sistema Licencias de Conducir y
Permisos de Circulación.
• Contrato con la empresa CAS Chile S.A. para Servicios de Mantención de
Programas Computacionales, "Activo Fijo-Municipal, Bodega Municipal,
Conciliaciones Bancarias Municipal".
10. CONTRALORíA GENERAL DE LA REPÚBLICA
DIVISiÓN DE MUNICIPALIDADES
SUBDIVISiÓN DE AUDITORíA E INSPECCiÓN
- 7 -
• Servicio de hosting para efectos de mantención del Sitio Web Online y se
factura vía telefónica.
Respecto de dichos convenios, que están
normados técnicamente y en funcionamiento, se realizaron pruebas de validación de
integridad de datos a registros de procesos críticos, evaluación de disponibilidad,
tiempo de respuesta y reportes de salida, sin que de dichas comprobaciones
surgieran observaciones que formular.
Asimismo, se determinó que existe el
resguardo pertinente mediante boletas de garantía, las que se encuentran al día
respecto de los contratos con vigencia en el período auditado. Además, se verificó
que el pago de los servicios se ha efectuado conforme a lo pactado.
CONCLUSIONES.
En mérito de lo expuesto, la autoridad
deberá implementar las medidas enunciadas en los numerales 1.1; 1.2; 2; 3; y, 6 del
presente informe, tendientes a solucionar las observaciones planteadas, cuya
efectividad será comprobada en las próximas visitas que se realicen a la Entidad,
conforme las políticas de este Organismo sobre seguimiento de los programas de
fiscalización.
~ Municipal de Lo Espejo.
") .
Transcríbase al Alcalde y al Concejo
d.,
Por orden del ntralor General
PRISCILA . RA FUENTES
Jefe. ~u~ivisión Auditorla e Inspecci(¡¡;
Municipalidades