servicio de auditorÍa interna sobre tecnologÍas de informaciÓn resultados de … ·...

SERVICIO DE AUDITORÍA INTERNA SOBRE

TECNOLOGÍAS DE INFORMACIÓN

Resultados de la Auditoría realizada para determinar si el Sistema SACI cumple con la normativa técnica de TI emitida por la Contraloría General de la República

CONTRATACIÓN DIRECTA No. 2013CD-000178-10100

OCTUBRE, 2013

Nuestra experiencia es su garantía

Teléfono: (506) 2248-3286, Fax: (506) 2248-4535

Email: [email protected] - http://www.diazzeledon.com/

2

San José, 11 de diciembre del 2013.

Licenciado

Henry Valerín Sandino

Auditor Interno

SERVICIO FITOSANITARIO DEL ESTADO (SFE)

Estimado Licenciado:

Según los términos de la “Contratación Directa No. 2013CD-000178-10100” se efectuó el servicio

de auditoría interna contratado, relativo a aspectos financiero contables y de tecnologías de

información. El presente informe contiene los resultados relacionados con la evaluación del Sistema

SACI (Sistema Automatizado de Control de Ingresos).

Con base en el examen efectuado, se observan ciertos aspectos referentes a hallazgos de TI, dentro del

marco de la normativa denominada “Normas técnicas para la gestión y el control de las tecnologías de

información (N-2-2007-CO-DFOE)”, emitidas por la Contraloría General de la República y los estándares

establecidos. Según los Objetivos de Control para Información y Tecnología Relacionada, Cobit®, los

cuales sometemos a consideración de ustedes en esta carta de gerencia.

Considerando el carácter de pruebas selectivas de tecnologías de información aplicadas en las oficinas

centrales del SFE situadas en Sabana Sur, en San José y en las diferentes estaciones de control

fitosanitario ubicadas en diferentes zonas del país (Peñas Blancas, Aeropuerto Internacional Daniel

Oduber Quirós, Aeropuerto Internacional Juan Santamaría, Paso Canoas, Los Chiles, Puerto

Caldera y Puerto Limón), la Administración Institucional puede apreciar que debe confiarse en métodos

adecuados de comprobación y de control interno de tecnologías de información, como principal protección

contra posibles irregularidades que un examen basado en pruebas selectivas puede no revelar, si es que

existiesen. Las observaciones no van dirigidas a funcionarios o empleados en particular, sino únicamente

tienden a fortalecer el control interno de tecnologías de información institucional.

Deseamos agradecer la atención dada por los funcionarios pertenecientes al SFE (oficinas centrales y

estaciones de control fitosanitario), que colaboraron activamente en facilitarnos la información solicitada,

y los cuales tomaron el tiempo necesario para atender nuestras entrevistas y ampliar sobre los temas

tratados para este estudio de tecnologías de información.

Atentamente,

DESPACHO DÍAZ & ZELEDON

CONTADORES PÚBLICOS AUTORIZADOS

Licda. Lorena Zeledón Sánchez

Contadora Pública Autorizada Número 1 718

Póliza de Fidelidad No. 0116 FIG0000007

Vence el 30 de setiembre del 2014

“Timbre de Ley 6 663, por ¢ 25 del Colegio de Contadores Públicos de Costa Rica, adherido y

cancelado en el original de este documento”.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


3

Tabla de contenidos

RESUMEN EJECUTIVO………………………………………………………………. …5

INTRODUCCIÓN……………………………………………………………….………...8

1.1 Origen del Estudio……………………………………………………………………..8

1.2 Objetivo……………………………………………………………….………… ……...8

1.3 Alcance ……………………………………………………………….……………. …..8

1.4 Período del Estudio …………………………………………………..………… ............. 11

1.5 Limitaciones del Estudio………………………………………………….………. ......... 11

1.6 Normas de Aplicación General……………………………………………………….. 11

1.7 Comunicación de Resultados…………………………………………………………. 11

2.1 NOMAS DE APLICACIÓN GENERAL .............................................................................. 12

2.1.1 Marco Estratégico de T.I. ...................................................................................................... 12

2.1.2 Gestión de la Calidad ............................................................................................................. 13

2.1.3 Gestión de Riesgos ................................................................................................................. 14

2.1.4 Gestión de la Seguridad de la Información .......................................................................... 16

2.1.4.1 Implementación de un Marco de Seguridad de la Información ..................................... 19

2.1.4.2 Compromiso del Personal con la Seguridad de la Información. .................................... 20

2.1.4.3 Seguridad Física y Ambiental ............................................................................................ 21

2.1.4.4 Seguridad en las Operaciones y Comunicaciones ........................................................... 23

2.1.4.5 Control de Acceso ............................................................................................................... 25

2.1.4.6 Seguridad en la Implementación y Mantenimiento de Software e Infraestructura

Tecnológica........................................................................................................................................ 27

2.1.4.7 Continuidad de los Servicios de T.I. ................................................................................... 30

2.1.5 Gestión de Proyectos .............................................................................................................. 32

2.1.6 Decisiones sobre Asuntos Estratégicos de TI .............................................................. 33

2.1.7 Cumplimiento de Obligaciones Relacionadas con la Gestión de TI ......................... 35

2.2 PLANIFICACIÓN Y ORGANIZACIÓN ............................................................................. 36

2.2.1 Planificación de las Tecnologías de Información................................................................ 36

2.2.2 Modelo de Arquitectura de Información ........................................................................... 38

2.2.3 Infraestructura Tecnológica ................................................................................................ 40

2.2.4 Independencia de Recursos Humanos de la Función de T.I. .......................................... 41

2.2.5 Administración de Recursos Financieros .......................................................................... 44

2.3 IMPLEMENTACIÓN DE TECNOLOGÍAS DE INFORMACIÓN ........................... 45

2.3.1 Consideraciones Generales de la Implementación de T.I. .............................................. 45

2.3.2 Implementación de Software.............................................................................................. 47

2.3.3 Implementación de Infraestructura Tecnológica .............................................................. 50

2.3.4 Contratación de Terceros para la Implementación y Mantenimiento de softwatre ...... 51

2.4 PRESTACIÓN DE SERVICIOS Y MANTENIMIENTO .......................................... 53

2.4.1 Definición y Administración de Acuerdos de Servicio ................................................... 53

2.4.2 Administración y Operación de la Plataforma Tecnológica ........................................... 56


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


4

2.4.3 Administración de los Datos ............................................................................................. .60

2.4.4 Atención de Requerimientos de los Usuarios de TI ......................................................... .63

2.4.5 Manejo de Incidentes .......................................................................................................... .64

2.4.6 Administración de Servicios Prestados por Terceros ...................................................... ,66

2.5 SEGUIMIENTO .................................................................................................................. 68

2.5.1 Seguimiento de los procesos de T.I .................................................................................... 68

2.5.2 Seguimiento y Evaluación del Control Interno en T.I ...................................................... 70

2.5.3 Participación de la Auditoría Interna .................................................................................. 72

3. Hallazgos (OPORTUNIDADES DE MEJORA) .................................................................. 73

3.1.1 Debilidades en el control de acceso respecto del sistema SACI……………………….74

3.1.2 Insuficiente capacitación impartida a los funcionarios que utilizan el sistema SACI ...... 76

3.1.3 Agotamiento del ciclo de vida útil del SACI ........................................................................ 78

4 Valoración del Nivel de satisfacción sobre la Calidad Funcional de los Sistemas de

Información (Encuesta de Opinión Personal Estaciones de Control Fitosanitario)…………...80

4.1 Resultados de la encuesta de opinión……………………………………………………80

4.2 Recomendación…………………………………………………………………………84

Glosario de Definiciones………………………………………………………………...84-91


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


5

RESUMEN EJECUTIVO

El estudio de auditoría se efectuó, según los términos de la “Contratación Directa

No. 2013CD-000178-10100”. Dicho servicio de auditoría interna fue realizado por el

Despacho Díaz & Zeledón.

El objetivo del estudio, estuvo direccionado a determinar si el Sistema Automatizado de

Control de Ingresos (SACI) fue diseñado, desarrollado y autorizada su entrada en

producción en apego a la normas de TI emitidas por la Contraloría General de la República

y normas técnicas de referencia internacional complementarias y aplicables.

Conforme el citado objetivo y el alcance definido, tales efectos se describen en forma resumida el

grado de avance en el cumplimiento de las Normas Técnicas para la Gestión y el Control de las

Tecnologías de Información, emitidas por la Contraloría General de la República

(N-2-2007-CO-DFOE), según se muestra a continuación:

Normas de Aplicación General

Evaluación de

cumplimiento

1.1 Marco estratégico de TI Implementada

1.2 Gestión de la calidad Implementada

1.3 Gestión de riesgos Avanzado

1.4 Gestión de la seguridad de la información Implementada

1.4.1 Implementación de un marco de seguridad de la información Implementada

1.4.2 Compromiso del personal con la seguridad de la información Implementada

1.4.3 Seguridad física y ambiental Implementada

1.4.4 Seguridad en las operaciones y comunicaciones Implementada

1.4.5 Control de acceso Implementada

1.4.6 Seguridad en la implementación y mantenimiento de software e

infraestructura tecnológica Implementada

1.4.7 Continuidad de los servicios de TI Implementada

1.5 Gestión de proyectos Implementada

1.6 Decisiones sobre asuntos estratégicos de TI Implementada

1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI Implementada

2.1 Planificación de las tecnologías de información Implementada

2.2 Modelo de arquitectura de información Avanzada

2.3 Infraestructura tecnológica Implementada

2.4 Independencia y recurso humano de la Función de TI Implementada

2.5 Administración de recursos financieros Implementada

3.1 Consideraciones generales de la implementación de TI Implementada

3.2 Implementación de software Implementada

3.3 Implementación de infraestructura tecnológica Implementada


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


6

3.4 Contratación de terceros para la implementación y mantenimiento de

software e infraestructura

Implementada

4.1 Definición y administración de acuerdos de servicio Implementada

4.2 Administración y operación de la plataforma tecnológica Implementada

4.3 Administración de los datos Implementada

4.4 Atención de requerimientos de los usuarios de TI Implementada

4.5 Manejo de incidentes Avanzada

4.6 Administración de servicios prestados por terceros Implementada

5.1 Seguimiento de los procesos de TI Implementada

5.2 Seguimiento y evaluación del control interno en TI Implementada

5.3 Participación de la Auditoría Interna Implementada

Por otra parte, como resultado de las pruebas realizadas se determinaron debilidades de control

interno que dieron origen a los siguientes hallazgos:

a) Existen debilidades en el control de acceso respecto del sistema SACI

b) La capacitación que se ha impartido a los funcionarios que utilizan el sistema SACI

es insuficiente

c) El sistema SACI ya agotó su ciclo de vida

En el informe se hacen las recomendaciones correspondientes para subsanar tales debilidades.

Finalmente, se realizó una valoración del nivel de satisfacción sobre la calidad funcional de los

sistemas de información, mediante una encuesta de opinión aplicada al personal de las Estaciones

de Control Fitosanitario.

Respecto de la valoración del cuadro anterior, se representan gráficamente, los resultados

respecto al nivel de madurez de TI del SFE relacionada con la Normativa (N-2-2007-CO-DFOE)

cuyo valor de cumplimiento es de 0 al 5. La Figura 1 se muestra en la página siguiente.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


7

Figura 1

Cumplimiento de los 32 objetivos de control SFE al 2013

De la Gráfica 1 se muestra las brechas de cumplimiento de los 32 objetivos:

Los resultados en color azul muestran el estado actual de cumplimiento del SFE, según

la Normativa N-2-CO-2007-DFOE para el 2011, el valor de la evaluación es de 0 a 3.

La línea de color rojo muestra nivel razonable de cumplimiento con la Normativa

N-2-CO-2007-DFOE.

La línea de color verde es el grado de madurez ideal establecido por la Normativa

N-2-CO-2007-DFOE.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


8

INFORME DE CUMPLIMIENTO Y CONTROL INTERNO DE TECNOLOGÍAS DE

INFORMACIÓN

1. INTRODUCCIÓN

1.1 ORIGEN DEL ESTUDIO

El estudio de auditoría se efectuó, según los términos de la “Contratación Directa No 2013CD-

000178-10100”, mediante la cual se contrató un servicio de auditoría interna relativo a aspectos

financieros contables y de tecnologías de información. El presente informe contiene los

resultados relacionados con la evaluación del Sistema SACI (Sistema Automatizado de Control

de Ingresos).

1.2 OBJETIVO

Determinar si el Sistema Automatizado de Control de Ingresos (SACI) fue diseñado,

desarrollado y autorizado su entrada en producción, en apego a las normas de TI, emitidas

por la Contraloría General de la República y normas técnicas de referencia internacional

complementarias y aplicables.

1.3 ALCANCE

El trabajo fue enfocado principalmente a los siguientes aspectos:

1.3.1 Evaluación del cumplimiento por parte del SFE de las Normas Técnicas para la

Gestión y el Control de las Tecnologías de Información, emitidas por la

Contraloría General de la República (N-2-2007-CO-DFOE), alineadas a los

Objetivos de Control de Tecnologías de Información (Cobit, por sus siglas en

inglés), emitidos por la “Information Systems Audit and Control Association”

(Isaca, por sus siglas en inglés) y, en general, con respecto a las mejores

prácticas de la industria de tecnología de información. Dicho alineamiento se

muestra en la siguiente figura:


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


9

FIGURA 2

1.3.2 Valoración de la implementación actual de las Normas Técnicas para la Gestión

y el Control de las Tecnologías de Información, emitidas por la Contraloría

General de la República (N-2-2007-CO-DFOE) en relación con el “Sistema

Automatizado de Control de Ingresos”, conocido por sus siglas en español

SACI. Dicha valoración consideró lo siguiente:

a) Para cada una de las normas técnicas para la gestión y control de tecnología de

información, se realizó un análisis detallado respecto a su cumplimiento.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


10

b) Con respecto al cumplimiento de las mencionadas Normas Técnicas se

estableció y aplicó una clasificación para determinar el nivel de cumplimiento

de cada una de las normas técnicas, la cual se presenta a continuación:

No Iniciada: La administración no ha realizado acción alguna para poder

implementar las normas técnicas.

Planificada: Existe evidencia formal de un plan de trabajo, cronograma de

trabajo, asignación de recursos, tiempos estimados, entre otras actividades

para poder planificar, adecuadamente, el cumplimiento de las normas.

Iniciada: Las actividades definidas en la etapa anterior se han empezado a

ejecutar y existe evidencia formal sobre el inicio de la implementación de

las normas técnicas.

Avanzada: Las actividades iniciadas en la etapa anterior presentan un

avance significativo y se evidencia un porcentaje alto de la implementación

y cumplimiento de las normas técnicas.

Implementada: La administración ha logrado ejecutar actividades

previamente definidas en forma exitosa, para poder cumplir con las

acciones mínimas de implementación según lo mencionado en las normas

técnicas de una manera aceptable, disminuyendo el riesgo asociado a la no

implementación de la normativa. Cabe mencionar que este estado no

excluye a la administración de poder llevar a cabo acciones de mejora

constante en la aplicación e implementación de las normas técnicas,1 y no

garantiza un adecuado nivel de madurez a nivel institucional.

c) Con respecto al impacto de cada una de las normas, la escala de calificación que se

utilizó fue la siguiente: alto, medio y bajo; según se muestra a continuación:

Escala Descripción del nivel

Alto

Requiere una atención inmediata por su impacto en

seguridad, integridad, efectividad, eficiencia,

confidencialidad, confiabilidad, disponibilidad y

continuidad de la plataforma tecnológica.

Medio

Requiere una atención intermedia, ya que su impacto

representaría riesgos sobre seguridad, integridad,

efectividad, eficiencia, confidencialidad, confiabilidad,

disponibilidad y continuidad de la plataforma

1 Según lo establecido en las mejores prácticas a nivel internacional en la materia (Cobit, ITIL, ISO 27001, PMBOOK,

VAL IT, CMMI, entre otros, ver figura 1).


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


11

tecnológica.

Bajo

Requiere una atención no prioritaria, ya que su impacto

no es directamente sobre seguridad, integridad,

efectividad, eficiencia, confidencialidad, confiabilidad,

disponibilidad y continuidad de la plataforma

tecnológica.

1.3.3 Realización de pruebas cuyo análisis de resultados permitieron visualizar

situaciones de mejora.

1.4 PERÍODO DEL ESTUDIO

El estudio se realizó durante en el período comprendido entre el 1º de agosto y el 30 de

setiembre del 2013.

1.5 LIMITACIONES DEL ESTUDIO

No se encontraron limitaciones que entorpecieran la ejecución del servicio de auditoría interna

contratado.

1.6 NORMATIVA TÉCNICA APLICADA AL ESTUDIO

En la ejecución del presente estudio de auditoría se observaron las regulaciones establecidas para

las Auditorías Internas en la Ley General de Control Interno No. 8 292, normas técnicas,

directrices y resoluciones emitidas por la Contraloría General de la República (CGR), así como lo

dispuesto en el Reglamento de Organización y Funcionamiento de la Auditoría Interna del

Servicio Fitosanitario del Estado (Decreto Ejecutivo No. 36 356-MAG).

1.7 COMUNICACIÓN DE RESULTADOS

Los resultados del estudio fueron comentados el día 09/12/2013, con el Lic. Didier Suárez

Chaves, Jefe de la Unidad de Tecnología de la Información del Servicio Fitosanitario del Estado;

y el día 11/12/2013 con los siguientes funcionarios:

Rocío Solano Cambronero, Jefa de la Unidad Financiera

Lilliana Pastor Ovares, Encargada Presupuesto

Virginia Gómez Solano, Encargada Contabilidad

Teresita Solano Solano, Contadora

Roberth Elizondo Oviedo, Encargado de Tesorería

Alejandro Quirós Ballestero, Encargado de Ingresos


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


12

2. RESULTADOS SOBRE EL CUMPLIMIENTO NORMAS TÉCNICAS TI

Los resultados de la evaluación de cada una de las normas técnicas para la gestión y control de

tecnología de información emitidas por la Contraloría General de la República (N-2-2007-CO-

DFOE), se muestran a continuación:

2.1 NORMAS DE APLICACIÓN GENERAL

2.1.1 Marco Estratégico de T.I.

Descripción de la norma técnica de la Contraloría General de la República

El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas de la organización,

mediante un proceso continuo de promulgación y divulgación de un marco estratégico constituido por

políticas organizacionales que el personal comprenda y con las que esté comprometido.

Objetivo del punto de control

Este punto de control tiene como objetivo asegurar el conocimiento y comprensión de los usuarios

sobre las aspiraciones del alto nivel (gerencia y junta directiva), se concreta por medio de políticas

establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto estándares para

traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.

Impacto de la norma en la gestión de

tecnología de información BAJO

Referencia a los objetivos de control de

tecnología de información (Cobit)

Dominio Planear y Organizar

Objetivo de control

específico

PO6 Comunicar las

Aspiraciones y la Dirección de

la Gerencia

Actividades que aconseja Cobit en la implementación de esta norma técnica:

Elaborar y mantener un ambiente y marco de control de T.I.

Elaborar y mantener políticas de T.I.

Comunicar el marco de control y los objetivos y dirección de T.I.

Resultado de la evaluación del objetivo de control Cobit implementado en el SFE:

Nivel de avance según evaluación en el SFE IMPLEMENTADA

Situación

encontrada

El SFE cuenta con el “Plan Estratégico de Tecnologías de Información

2010-2021” (su implementación se efectuó en acatamiento a las

recomendaciones emitidas en el informe de la Auditoría Interna presentado

en diciembre del 2009, mediante el oficio AI-SFE-197-2009).

El Plan Estratégico Institucional y el Plan Estratégico de Tecnologías de

Información están alineados en cuanto a objetivos (Generales en PEI y de

TI), acciones, gastos operativos y otros, según lo evaluado en el PETI

vigente.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


13

Hay una Comisión de Tecnologías de Información del SFE que efectúa

labores de control interno, el cual vela por la planeación y de los servicios

de TI institucionales, en cumplimiento de la “Ley General de Control

Interno No. 8 292”, la normativa denominada “Normas de Control Interno

para el Sector Público (N-2-2009-CO-DFOE) y la normativa de TI

denominada “Norma para la gestión de Tecnologías de Información (N-2-

2007-CO-DFOE), estas dos últimas emitidas por la Contraloría General de

la República.

Para el “Plan Anual Operativo de TI” se revisan los indicadores de control

de avance en forma semestral y se realiza una rendición de cuentas

(mediante un informe con exposición de resultados) en la que se evalúan

los logros y cumplimiento de los objetivos TI en el SFE.

Todos los funcionarios de TI rinden informes de avance sobre los objetivos

de control en las acciones a desarrollar.

Conclusión

El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra

implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre este

ítem.

2.1.2 Gestión de la Calidad


La organización debe generar los productos y servicios de TI de conformidad con los requerimientos

de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo.


Este punto de control tiene como objetivo satisfacer los requerimientos del cliente.

Impacto de la norma en la

gestión de tecnología de

información

BAJO

Referencia a los objetivos de

control de tecnología de

información (Cobit)


Objetivo de control específico PO8 Administrar la Calidad


Definir un sistema de administración de calidad

Establecer y mantener un sistema de administración de calidad

Crear y comunicar estándares de calidad a toda la organización

Crear y administrar el plan de calidad para la mejora continua

Medir, monitorear y revisar el cumplimiento de las metas de calidad.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


14


Nivel de

avance según

evaluación

IMPLEMENTADA

Situación

encontrada

Estándares y prácticas de calidad

Estándares de desarrollo y de adquisición

Mejora continua

“Política de calidad de Tecnologías de Información” (documento realizado

mediante servicio de terceros, según lo observado en la contratación directa

denominada “Informe de Contratación 2011CD-000083-1200)

Conclusión


implementado: razón por la cual, no hay observaciones ni recomendaciones por realizar sobre este

ítem.

2.1.3 Gestión de Riesgos


La organización debe responder adecuadamente a las amenazas que puedan afectar la gestión de las

TI, mediante una gestión continua de riesgos que esté integrada al sistema específico de valoración del

riesgo institucional y considere el marco normativo que le resulte aplicable.


Este punto de control tiene como propósito asegurar el logro de los objetivos de TI y responder a las

amenazas hacia la provisión de servicios de TI.


tecnología de información MEDIO

Referencia a los objetivos de control

de tecnología de información (Cobit)


Objetivo de control

específico

PO 9 Evaluar y Administrar

Riesgos de TI


Determinar la alineación de la administración de riesgos

Entender los objetivos de negocio estratégicos relevantes

Entender los objetivos de los procesos de negocio relevantes

Identificar los objetivos internos y establecer el contexto del riesgo

Identificar eventos asociados con objetivos orientados a negocio

Asesorar el riesgo con los eventos

Evaluar y seleccionar respuestas a riesgos

Priorizar y planear actividades de control

Aprobar y asegurar fondos para planes de acción de riesgos


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


15

Mantener y monitorear un plan de acción de riesgos.

Establecer un proceso de evaluación para conocer el impacto de los riesgos, en caso de

incumplimiento, documentando los resultados.


Nivel de avance

según evaluación

AVANZADO

Situación

encontrada

Actualmente, el SFE cuenta con su primer escenario de riesgos; gestión

que se realizó como parte del proceso de implementación del “Sevri”.

Los procesos de TI se visualizan como parte de la primera valoración de

riesgos realizada por el SFE

Existe un establecimiento del contexto del riesgo en el documento

denominado “Plan de Continuidad de TI”, en el cual se establecen los

procedimientos de como mitigarlos considerando los aspectos de:

a) Estrategia de Recuperación de Desastres.

b) Plan de Activación.

c) Funciones y responsabilidades de funcionarios para recuperación de

funcionabilidad de TI

d) Información de proveedores de TI riesgos.

e) Sitio alterno para levantamiento de sistemas.

f) Plan de Recuperación de Desastres Interno del SFE.

g) Recuperación de sistemas administrativos del SFE (SACI y otros).

h) Valoración de riesgos, hallazgos y recomendaciones

Otros documentos que están soportando el proceso de implementación

del Sevri que se está llevando a cabo en la Institución son los siguientes:

1) Modelo de Control Interno (Versión Final).

2) PCCI-CI-DE-02 Declaración Política de Sevri.

3) PCCI- CI-G-02 Guía para la implementación del SEVRI.

4) PCCI-CI-MO-01 Modelo de implementación Control Interno SFE.

5) Sevri Matriz de riesgos – TI – 2013 – Aprobado.

6) Sevri Fitosanitario 2012.

Conclusión:

El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra en

proceso de consolidar la implementación del Sevri (mejora continua), tal y como está establecido en

el “Modelo de Control Interno”, por lo que una vez finalizado debe ser aprobado, oficializado y

comunicado por la Dirección del SFE.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


16

Recomendación:

Revisar los resultados de la valoración del riesgo que se efectuó a finales del año 2012; con el

propósito de validarlos o ajustar el nivel del riesgo respectivo, situación que debe permitir gestionar

dicho nivel de la mejor manera (apoyándose en los planes de acción que se emitan para tales efectos).

2.1.4 Gestión de la Seguridad de la Información


La organización debe garantizar, de manera razonable, la confidencialidad, integridad y

disponibilidad de la información, lo que implica protegerla contra uso, divulgación o

modificación no autorizados, daño o pérdida u otros factores disfuncionales.

Para ello, debe documentar e implementar una política de seguridad de la información y los

procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de

seguridad requeridos y considerar lo que establece la presente normativa en relación con los

siguientes aspectos:

La implementación de un marco de seguridad de la información

El compromiso del personal con la seguridad de la información

La seguridad física y ambiental

La seguridad en las operaciones y comunicaciones

El control de acceso

La seguridad en la implementación y mantenimiento de software e infraestructura

tecnológica

La continuidad de los servicios de TI

Además debe establecer las medidas de seguridad relacionadas con:

El acceso a la información por parte de terceros y la contratación de servicios prestados

por estos

El manejo de la documentación

La terminación normal de contratos, su rescisión o resolución

La salud y seguridad del personal

Las medidas o mecanismos de protección que se establezcan deben mantener una

proporción razonable entre su costo y los riesgos asociados



información.

BAJO



Dominio Entregar y dar Soporte

Objetivo de control DS 5 Garantizar la Seguridad


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


17

información (Cobit). específico de los Sistemas


Implementación de procedimientos administrativos de TI para mantener la integridad de la

información y de la infraestructura de procesamiento de datos para minimizar el impacto de

vulnerabilidades e incidentes de seguridad

Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo,

detección, reporte y resolución de las vulnerabilidades e incidentes de seguridad

Establecimiento de procesos que identifiquen los requerimientos, vulnerabilidades y

amenazas de seguridad

Implementación de procedimientos administración de identidades de cuentas de usuario y

autorizaciones de funciones de los usuarios de forma estandarizada en los sistemas de

información


Nivel de

avance según

evaluación.

IMPLEMENTADA

Situación

encontrada

Se evidenció la implementación del “Manual de Políticas de Seguridad”;

documento oficializado por la Administración y comunicado a todos los

funcionarios de la entidad por medio de la página web del SFE y por intermedio

de circular.

En dicho manual, se describen las siguientes políticas de seguridad, situación

que está en conformidad con la norma “1.4. Gestión de la Seguridad de la

información”:

PSI-001 POLÍTICA PARA LA MANIPULACIÓN Y CAMBIO

DE CONTRASEÑAS PARA LOS USUARIOS FINALES.

PSI-002 POLÍTICA PARA LA GESTIÓN DE CONTRASEÑAS

SEGURAS PARA USO DE LAS APLICACIONES EN RED.

PSI- 003 POLÍTICA PARA LA ADMINISTRACIÓN Y CONTROL

DE EQUIPOS DE CÓMPUTO.

PSI-004 POLÍTICA PARA LA ADMINISTRACIÓN DE UN

“STOCK” DE REPUESTOS EQUIPO DE CÓMPUTO.

PSI-005 POLÍTICA GESTIÓN MANIPULACIÓN PASSWORD DE

ADMINISTRADOR DE ESTACIONES DE TRABAJO.

PSI-006 POLÍTICA DE REALIZACIÓN DE RESPALDOS PARA

APLICACIONES.

PSI-007 POLÍTICA PARA LA NAVEGACIÓN EN INTERNET,

MEDIANTE EL SERVICIO BRINDADO POR EL SFE.

PSI-008 POLÍTICA PARA EL USO DE CORREO ELECTRÓNICO

INSTITUCIONAL.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


18

PSI-009 POLÍTICA PARA LA CONFIDENCIALIDAD DE LA

INFORMACIÓN INSTITUCIONAL Y TRATO CON TERCEROS.

PSI-010 POLÍTICA PARA LA CREACIÓN O EL MEJORAMENTO

DE ESPACIO FÍSICO EN LOS CENTROS DE CÓMPUTO.

PSI-012 POLÍTICA PARA EL USO ADECUADO DE LA RED DE

DATOS INSTITUCIONAL.

PSI-014 POLÍTICA PARA EL USO DE QUEMADORES DE CD O

DVD.

PSI-015 POLÍTICA PARA EL USO DE DISQUETES, CD, DVD,

LLAVES MAYAS.

PSI-016 POLÍTICA DE INSTALACIÓN DE SOFTWARE.

PSI-0017 POLÍTICA DEL SOFTWARE PROPIEDAD DE LA

INSTITUCIÓN.

PSI-0018 POLÍTICA DE MANTENIMIENTO AL EQUIPO DE

CÓMPUTO.

PSI-0019 POLÍTICA DE CONTROL CONTRA CÓDIGO

MALICIOSO.

Además de lo anterior, se cuenta con el software ASA y TMG que actúan con

las funcionales de “Muros de Fuego” más el antivirus “Panda End Point

Protection”, que se encuentra instalado en “La Nube” de internet; actuando en

forma interactiva y dinámica contra ataques y otros aspectos que puedan afectar

a la estructura de TI del SFE.

Otro aspecto relevante es que en la infraestructura de TI del SFE, se encuentra

instalado y en operación un servidor de actualizaciones de TI denominado

“WSUS”, el cual funciona en horarios alternos y no en horas hábiles de

funcionamiento de la institución, con el objetivo de no afectar el ancho de banda

y velocidad de comunicaciones en la entidad.

Conclusión


implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre

este ítem.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


19

2.1.4.1 Implementación de un Marco de Seguridad de la Información


La organización debe implementar un marco de seguridad de la información, para lo cual debe:

a. Establecer un marco metodológico que incluya la clasificación de los recursos de TI, según su

criticidad, la identificación y evaluación de riesgos, la elaboración e implementación de un

plan para el establecimiento de medidas de seguridad, la evaluación periódica del impacto de

esas medidas y la ejecución de procesos de concienciación y capacitación del personal.

b. Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar

periódicamente acciones para su actualización.

c. Documentar y mantener actualizadas las responsabilidades tanto del personal de la

organización como de terceros relacionados.






Objetivo de Control

Específico

DS 5 Garantizar la Seguridad de

los Sistemas




vulnerabilidades e incidentes de seguridad.



Establecimiento de procesos que identifiquen los requerimientos, vulnerabilidades y amenazas de

seguridad.


autorizaciones de funciones de los usuarios de forma estandarizada en los sistemas de información


Nivel de avance

según evaluación

IMPLEMENTADA

Situación

encontrada

En la evaluación efectuada en el SFE, se evidenció la implementación del

“Manual de Políticas de Seguridad”; el cual cumple en forma razonable con

todos los aspectos de implementación de un marco de seguridad de la

información, porque se contemplaron los aspectos de:

Administración de la seguridad de TI

Plan de seguridad de TI


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


20

Administración de identidad

Administración de cuentas del usuario

Pruebas, vigilancia y monitoreo de la seguridad

Definición de incidente de seguridad

Protección de la tecnología de seguridad

Prevención, detección y corrección de software malicioso

Seguridad de la red

Intercambio de datos sensitivos

Conclusión


implementado, razón por la cual no existen observaciones ni recomendaciones por realizar sobre este

ítem.

2.1.4.2 Compromiso del Personal con la Seguridad de la Información


El personal de la organización debe conocer y estar comprometido con las regulaciones sobre

seguridad y confidencialidad, para reducir los riesgos de error humano, robo, fraude o uso

inadecuado de los recursos de TI. Para ello, el jerarca debe:

a) Informar y capacitar a los empleados sobre sus responsabilidades en materia de

seguridad, confidencialidad y riesgos asociados con el uso de las TI.

b) Implementar mecanismos para vigilar el debido cumplimiento de dichas

responsabilidades.

c) Establecer, cuando corresponda, acuerdos de confidencialidad y medidas de seguridad

específicas relacionadas con el manejo de la documentación y rescisión de contratos.



información

BAJO





Objetivo de control específico DS 5 Garantizar la Seguridad

de los Sistemas




vulnerabilidades e incidentes de seguridad.


detección, reporte y resolución de las vulnerabilidades e incidentes de seguridad.



Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


21

amenazas de seguridad.


autorizaciones de funciones de los usuarios de forma estandarizada en los sistemas de

información.


Nivel de avance según evaluación IMPLEMENTADA

Situación encontrada

Se evidenció la implementación del “Manual de Políticas

de Seguridad”; mediante el cual se regulan los siguientes

aspectos:

Administración de cuentas del usuario.

Reporte de incidentes de seguridad.

Protección de la tecnología disponible de uso público

por parte de todos los funcionarios del SFE, en lo

relacionado con estaciones de trabajo (computadoras

de escritorio, Computadoras Portátiles (laptops),

Tabletas y otros equipos de procedencia electrónica

propiedad de la entidad. Además, se cuenta con

seguros con el INS para estos equipos.

Conclusión



este ítem.

2.1.4.3 Seguridad Física y Ambiental


La organización debe proteger los recursos de TI estableciendo un ambiente físico seguro y

controlado, con medidas de protección suficientemente fundamentadas en políticas vigentes y

análisis de riesgos. Como parte de esa protección debe considerar:

a) Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control

de acceso a recintos o áreas de trabajo, protección de oficinas, separación adecuada de

áreas.

b) La ubicación física segura de los recursos de T.I.

c) El ingreso y salida de equipos de la organización.

d) El debido control de los servicios de mantenimiento.

e) Los controles para el desecho y reutilización de recursos de T.I.

f) La continuidad, seguridad y control del suministro de energía eléctrica, del cableado de


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


22

datos y de las comunicaciones inalámbricas.

g) El acceso de terceros.

h) Los riesgos asociados con el ambiente.


Este punto de control tiene como objetivo proporcionar un ambiente físico conveniente que

proteja al equipo y al personal de T.I., contra peligros naturales (fuego, polvo, calor excesivos) o

fallas humanas, lo cual se hace posible con la instalación de controles físicos y ambientales

adecuados que sean revisados regularmente para su funcionamiento apropiado, definiendo

procedimientos que provean control de acceso del personal a las instalaciones y contemplen su

seguridad física.

Impacto de la norma en la gestión

de tecnología de información BAJO





Objetivo de Control

Específico

DS 12 Administrar el Ambiente

Físico


Proteger los activos de cómputo y la información del negocio minimizando el riesgo de una

interrupción del servicio

Proporcionar y mantener un ambiente físico adecuado para proteger los activos de TI contra

acceso, daño o robo

Implementación de procedimientos de medidas de seguridad física en el Centro de Datos

Establecimiento y selección de un sitio adecuado para el Centro de Datos

Frecuencia de revisión y evaluación de riesgos físicos en el Centro de Datos


Nivel de avance

según evaluación

IMPLEMENTADA

Situación

encontrada

En el “Manual de Políticas de Seguridad”, se consigna en el punto 13 la

política denominada “PSI-010 POLÍTICA PARA LA CREACIÓN O

EL MEJORAMENTO DE ESPACIO FÍSICO EN LOS CENTROS DE

CÓMPUTO. Dicha política contempla en resumen los siguientes

aspectos relacionados con este objetivo de control, los cuales son:

o Selección y diseño del centro de datos

o Medidas de seguridad física

o Acceso físico (Bitácoras , Cámaras, Puertas de Acero)

o Protección contra factores ambientales. (Circuitos Eléctricos,

Aires Acondicionados redundantes y otros)


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


23

o Administración de instalaciones físicas

Conclusión



este ítem.

2.1.4.4 Seguridad en las Operaciones y Comunicaciones


La organización debe implementar las medidas de seguridad relacionadas con la operación de los

recursos de TI y las comunicaciones, minimizar el riesgo de fallas y proteger la integridad del

software y de la información.

Para ello debe:

a. Implementar los mecanismos de control que permitan asegurar la no negación, la

autenticidad, la integridad y la confidencialidad de las transacciones y de la transferencia

o intercambio de información.

b. Establecer procedimientos para proteger la información almacenada en cualquier tipo de

medio fijo o removible (papel, cintas, discos, otros medios), incluso los relativos al

manejo y desecho de esos medios.

c. Establecer medidas preventivas, detectivas y correctivas con respecto a software

“malicioso” o virus.


Este punto de control tiene como objetivo salvaguardar la información contra uso no autorizado,

divulgación, modificación, daño o pérdida.







Objetivo de control

específico

DS 5 Garantizar la Seguridad

de los Sistemas






Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


24






autorizaciones de roles los usuarios de forma estandarizada en los sistemas de información


Nivel de avance

según

evaluación

IMPLEMENTADA

Situación

encontrada

En el (“Manual de Políticas de Seguridad”) se regula lo relativo a la norma

“1.4.4. Seguridad en las operaciones y comunicaciones”; la cual contempla

los siguientes aspectos:

Definición y actualización de un plan de seguridad de T.I. con control de

cambios

Definición, e implementación de un proceso de administración de

identidad

Monitoreo de incidentes de seguridad, reales y potenciales

Revisión y validación por parte de los funcionarios de TI encargados de

la seguridad informática en el SFE en forma periódica de los privilegios

y derechos de acceso de los usuarios institucionales.

Implementación y actualización de controles técnicos y procedimientos

para proteger el flujo de información en la red por medio de software de

seguridad tales como los antivirus PANDA, END POINT

PROTECTION y TMG que operan en el SFE.

Controles de flujo de información por hardware como el ASA, para el

flujo de información de la red del SFE.

Lo anterior soportado por las siguientes políticas:

PSI-001 POLÍTICA PARA LA MANIPULACIÓN Y CAMBIO DE

CONTRASEÑAS PARA LOS USUARIOS FINALES.

PSI-002 POLÍTICA PARA LA GESTIÓN DE CONTRASEÑAS

SEGURAS PARA USO DE LAS APLICACIONES EN RED.

PSI- 003 POLÍTICA PARA LA ADMINISTRACIÓN Y CONTOL DE

EQUIPOS DE CÓMPUTO.

PSI-004 POLÍTICA PARA LA ADMINISTRACIÓN DE UN STOCK

DE REPUESTOS EQUIPO DE CÓMPUTO.

PSI-005 POLÍTICA GESTIÓN MANIPULACIÓN PASSWORD DE

ADMINISTRADOR ESTACIONES DE TRABAJO.

PSI-006 POLÍTICA DE REALIZACIÓN DE RESPALDOS PARA

APLICACIONES.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


25

PSI-007 POLÍTICA PARA LA NAVEGACIÓN EN INTERNET,

MEDIANTE EL SERVICIO BRINDADO POR EL SFE.

PSI-008 POLÍTICA PARA EL USO DE CORREO ELECTRÓNICO

INSTITUCIONAL.

PSI-009 POLÍTICA PARA LA CONFIDENCIALIDAD DE LA

INFORMACIÓN INSTITUCIONAL Y TRATO CON TERCEROS.

PSI-010 POLÍTICA PARA LA CREACIÓN O EL MEJORAMENTO

DE ESPACIO FÍSICO EN LOS CENTROS DE CÓMPUTO.

PSI-012 POLÍTICA PARA EL USO ADECUADO DE LA RED DE

DATOS INSTITUCIONAL.

PSI-014 POLÍTICA PARA EL USO DE QUEMADORES DE CD O

DVD.

PSI-015 POLÍTICA PARA EL USO DE DISQUETES, CD, DVD,

LLAVES MAYAS.

PSI-016 POLÍTICA DE INSTALACIÓN DE SOFTWARE.

PSI-0017 POLÍTICA DEL SOFTWARE PROPIEDAD DE LA

INSTITUCIÓN.

PSI-0018 POLÍTICA DE MANTENIMIENTO AL EQUIPO DE

CÓMPUTO.

PSI-0019 POLÍTICA DE CONTROL CONTRA CÓDIGO

MALICIOSO.

Conclusión


implementado; razón por la cual, no hay observaciones ni recomendaciones a realizar sobre este

ítem.

2.1.4.5 Control de Acceso


La organización debe proteger la información de accesos no autorizados. Para dicho propósito

debe:

a. Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso a

la información, al software de aplicación, a las bases de datos y a las terminales y otros

recursos de comunicación.

d. Clasificar los recursos de TI en forma explícita, formal y uniforme de acuerdo con

términos de sensibilidad.

e. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI.

f. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y

para la identificación y autenticación para el acceso a la información, tanto para usuarios

como para recursos de TI.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


26

g. Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad con

las políticas de la organización bajo el principio de necesidad de saber o menor

privilegio. Los propietarios de la información son responsables de definir quiénes tienen

acceso a la información y con qué limitaciones o restricciones.

h. Implementar el uso y control de medios de autenticación (identificación de usuario,

contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan

los recursos de TI. Ello debe acompañarse de un procedimiento que contemple la

requisición, aprobación, establecimiento, suspensión y desactivación de tales medios de

autenticación, así como para su revisión y actualización periódica y atención de usos

irregulares.

i. Establecer controles de acceso a la información impresa, visible en pantallas o

almacenada en medios físicos y proteger adecuadamente dichos medios.

j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y

periódico seguimiento al acceso a las TI.

k. Manejar de manera restringida y controlada la información sobre la seguridad de las TI.





información (COBIT)


Objetivo de control

específico

DS 5 Garantizar la Seguridad

de los Sistemas










autorizaciones de roles los usuarios de forma estandarizada en los sistemas de información

Resultado de la evaluación del objetivo de control del SFE:

Nivel de avance

según

IMPLEMENTADA


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


27

evaluación

Situación

encontrada

Por medio del “Manual de Políticas de Seguridad” y “Manual de

Procedimientos Final de TI 2012” el SFE reguló lo dispuesto en la norma

“1.4.4. Seguridad en las operaciones y comunicaciones”; la cual contempla

los siguientes aspectos:

Definición y actualización de un plan de seguridad de T.I. con control de

cambios

Definición, e implementación de un proceso de administración de

identidad

Monitoreo de incidentes de seguridad, reales y potenciales.

Revisión y validación por parte de los funcionarios de TI encargados de

la seguridad informática en el SFE en forma periódica de los privilegios y

derechos de acceso de los usuarios institucionales

Conclusión



este ítem.

2.1.4.6 Seguridad en la Implementación y Mantenimiento de Software e

Infraestructura Tecnológica


La organización debe mantener la integridad de los procesos de implementación y

mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o

pérdida de información. Para ello debe:

a. Definir previamente los requerimientos de seguridad que deben ser considerados en la

implementación y mantenimiento de software e infraestructura.

b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en

producción del software e infraestructura.

c. Mantener un acceso restringido y los controles necesarios sobre los ambientes de

desarrollo, mantenimiento y producción.

d. Controlar el acceso a los programas fuente y a los datos de prueba.


Este proceso de control tiene como objetivos proporcionar funciones automatizadas que soporten

efectivamente al negocio y proporcionar las plataformas apropiadas para soportar aplicaciones de

negocios.




Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


28




Dominio Adquirir e implementar

Objetivo de control

específico

AI 2 Adquirir y Mantener el

Software Aplicativo

AI 3 Adquirir y Mantener la



AI 2 Adquirir y Mantener el Software Aplicativo

Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a

tiempo y a un costo razonable

Garantizar que exista un proceso de desarrollo oportuno y confiable

Traducir los requerimientos del negocio a una especificación de diseño de alto nivel para

desarrollo de software

Preparar el diseño detallado y los requerimientos técnicos del software de aplicación

Control y auditabilidad de las aplicaciones del SFE, asegurando que los controles del

negocio se traduzcan correctamente en controles de aplicación de manera que el

procesamiento sea exacto, completo, oportuno, aprobado y auditable. Los aspectos que

se consideran especialmente son: mecanismos de autorización, integridad de la

información, control de acceso, respaldo y diseño de pistas de auditoría.

Seguridad y disponibilidad de las aplicaciones

Configuración e implantación de software aplicativo adquirido

Actualizaciones importantes en sistemas existentes, en los cuales se debe seguir un

proceso de desarrollo similar al de desarrollo de sistemas nuevos, en el caso que se

presenten modificaciones importantes en los sistemas existentes que resulten en un

cambio significativo de los diseños y/o funcionalidad actuales. Los aspectos por

considerar incluyen análisis de impacto, justificación costo/beneficio y administración

de requerimientos

Desarrollo de software aplicativo que garantice que la funcionalidad de automatización,

se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo

y documentación y los requerimientos de calidad. Aprobar y autorizar cada etapa clave

del proceso de desarrollo de software aplicativo, dando seguimiento a la terminación

exitosa de revisiones de funcionalidad, desempeño y calidad

Aseguramiento de la calidad del Software del SFE con un procedimiento para

desarrollar, implantar recursos y ejecutar un plan de aseguramiento de calidad del

software, con el objetivo de obtener la calidad que se especifica en la definición de los

requerimientos y en las políticas y procedimientos de calidad del SFE. Los aspectos

por considerar en el plan de aseguramiento de calidad institucional incluyen especificar

el criterio de calidad y los procesos de validación y verificación, incluyendo inspección,

revisión de algoritmos y código fuente y pruebas

Administración de los requerimientos de las aplicaciones del SFE que garanticen que

durante el diseño, desarrollo e implantación, se da seguimiento al “status” de los

requerimientos particulares (incluyendo todos los requerimientos rechazados), y que las


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


29

modificaciones a los requerimientos se aprueban por medio de un proceso establecido

de administración de cambios

Mantenimiento del software aplicativo con el objetivo de desarrollar una estrategia y un

plan para el mantenimiento y liberación de aplicaciones de software en el SFE.

AI 3 Adquirir y Mantener la Infraestructura Tecnológica

Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con

la arquitectura definida de TI y los estándares de tecnología

El establecimiento de un plan de adquisición de tecnología que se alinea con el plan de

infraestructura tecnológica

La planeación de mantenimiento de la infraestructura

La implantación de medidas de control interno, seguridad y auditabilidad


Nivel de avance

según

evaluación

IMPLEMENTADA

Situación

encontrada

Mediante los siguientes documentos se regularon los aspectos relacionados

con los requerimientos de seguridad, mantenimiento y puesta en producción

de sistema:

a. Estándares de Programación-2012.

b. Estándares de bases de datos-2012.

c. Metodología de Desarrollo y Mantenimiento de Sistemas.

d. TI-GES-MT-01 Metodología Administración de Proyectos TI-2011.

e. Informe MAG Fitosanitario de Contratación Directa 2011CD-000083-

1200 (IPL junio del 2011)-FINAL.

En los citados documentos y específicamente con relación a la norma “1.4.6.

Seguridad en la Implementación y Mantenimiento de Software e

Infraestructura Tecnológica”, se consideraron los siguientes aspectos:

Implementación de los requerimientos del negocio (SFE) en

especificaciones de diseño de alto nivel

Preparar el diseño detallado y los requerimientos técnicos del software

aplicativo

Especificar los controles de aplicación dentro del diseño

Personalizar e implementar la funcionalidad automatizada adquirida

Desarrollar las metodologías y procesos formales para administrar del

proceso de desarrollo de la aplicación

Control y auditabilidad de las aplicaciones



Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


30

Configuración e implantación de software aplicativo

Actualizaciones importantes en sistemas existentes

Desarrollo de software aplicativo

Aseguramiento de la Calidad del Software

Administración de los requerimientos de aplicaciones.

Mantenimiento de software aplicativo

Plan de adquisición de infraestructura tecnológica

Protección y disponibilidad del recurso de infraestructura

Mantenimiento de la infraestructura

Ambiente de prueba de factibilidad

Conclusión:



este ítem.

2.1.4.7 Continuidad de los Servicios de T.I.


La organización debe mantener una continuidad razonable de sus procesos y su interrupción no

debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y

poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias

con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de

los riesgos y la clasificación de sus recursos de TI, según su criticidad.


Este punto de control tiene como objetivo mantener el servicio disponible de acuerdo con los

requerimientos y continuar su provisión en caso de interrupciones.







Objetivo de control

específico

DS 4 Garantizar la Continuidad

del Servicio


Aseguramiento del mínimo impacto al SFE en caso de una interrupción de servicios de

TI

Desarrollo y mantenimiento de los planes de contingencia de TI

Pruebas de los planes de contingencia de TI

Resguardo de copias de los planes de contingencia y de los datos fuera de las

instalaciones de informática del SFE


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


31


Nivel de avance

según evaluación

IMPLEMENTADA

Situación

encontrada

Se cuenta con el “Plan de Continuidad 2012”; el cual considera los

siguientes aspectos, orientados para dar continuidad en las operaciones de

TI del SFE:

Desarrollo de un marco de trabajo de continuidad de TI

Realización de un análisis de impacto de negocio y valoración de riesgo

en el Plan de Continuidad del SFE

Desarrollo y actualización de planes de continuidad de TI con control

de versiones

Identificación y categorización los recursos de TI con base en los

objetivos de recuperación

Definir y ejecutar procedimientos de control de cambios para asegurar

que el plan de continuidad sea vigente

Pruebas de regulares del plan de continuidad de TI

Desarrollo de un plan de acción a seguir con base en los resultados de

las pruebas en el SFE que están documentadas

Capacitación sobre los planes de continuidad de TI

Planeación de la recuperación y reanudación de los servicios de TI en el

SFE

Planeación e implementación de almacenamiento y la protección de

respaldos tanto internos en el SFE como externos (Sitio Alterno)

El 5 de setiembre del 2013, se realizó una visita de comprobación al sitio

alterno privado (situado en Saret, Alajuela). Los resultados obtenidos

fueron satisfactorios, porque el sitio es de clasificación TIAR-4 (la máxima

es TIAR 5).

Conclusión



este ítem.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


32

2.1.5 Gestión de Proyectos


La organización debe administrar sus proyectos de TI de manera que logre sus objetivos,

satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y presupuesto óptimos

preestablecidos.


Este punto de control tiene como objetivo establecer prioridades y entregar servicios

oportunamente y de acuerdo con el presupuesto de inversión.





información (COBIT)


Objetivo de Control

Específico

PO 10 Administrar Proyectos


Entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad

acordados

Programa y un enfoque de administración de proyectos definidos, el cual se aplica a

todos los proyectos de TI, lo cual facilita la participación de los interesados y el

monitoreo de los riesgos y los avances de los proyectos

Definición e implantación de marcos y enfoques de programas y de proyectos.

Emisión de directrices administrativas para proyectos

Planeación para todos los proyectos incluidos en el portafolio de proyectos

Resultado de la evaluación del objetivo de control en el SFE:

Nivel de

avance según

evaluación

IMPLEMENTADA

Situación

encontrada

Se cuenta con una metodología de administración de proyectos denominada

“TI-GES-MT-01 Metodología Administración de Proyectos TI-2011”; la cual

considera los siguientes aspectos:

Definir un marco de administración de programas/portafolio para

inversiones en T.I.

Establecer y mantener un marco de trabajo para la administración de

proyecto de T.I.

Establecer y mantener un sistema de monitoreo, medición y administración

de sistemas


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


33

Elaborar estatutos, calendarios, planes de calidad, presupuestos y planes de

comunicación y administración de riesgos

Asegurar la participación y compromiso de los interesados del proyecto

Asegurar el control efectivo de los proyectos y de los cambios a proyectos

Definir e implementar métodos de aseguramiento y revisión de proyectos

Recursos del proyecto

Medición del desempeño, reportes y monitoreo del proyecto

Cierre del proyecto

Adicionalmente, existen otros documentos de soporte para los proyectos como

lo es el denominado “Justificación de Requerimientos de Hardware y Software

2013” preparado por la Unidad de TI y la Comisión de Informática del SFE.

Conclusión:



este ítem.

2.1.6 Decisiones sobre Asuntos Estratégicos de TI


El jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoría de una

representación razonable de la organización que coadyuve a mantener la concordancia con la

estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio

en la asignación de recursos y a la adecuada atención de los requerimientos de todas las unidades

de la organización.


Este punto de control tiene como objetivo la prestación de servicios de T.I. eficientemente.







Objetivo de control

específico

PO 4 Definir Procesos,

Organización y Relaciones de

TI


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


34

Actividades que aconseja COBIT en la implementación de esta norma técnica:

Implementación de un marco de trabajo para los procesos de TI en el SFE con el objetivo de

ejecutar el “Plan Estratégico de TI” de la institución, el cual debe estar alineado con los

objetivos del “Plan Estratégico Institucional”

Establecimiento de un Comité Estratégico de TI a nivel de consejo directivo, con el objetivo

de asesorar la dirección estratégica y, a su vez, revisar las inversiones por realizar en

tecnologías de información para lograr un equilibrio en la asignación de recursos y a la

adecuada atención de los requerimientos de todas las unidades de la organización

Establecer una estructura organizacional de TI interna y externa que refleje las

necesidades del negocio

Implementación de procedimientos para definir y comunicar los roles y las

responsabilidades para todo el personal en la organización con respecto a los sistemas

de información para permitir que se ejerzan los roles y responsabilidades asignados con

suficiente autoridad


Nivel de

avance según

evaluación

IMPLEMENTADA

Situación

encontrada

Ubicación organizacional de la función de TI y la estructura organizacional

Funciones y responsabilidades en calidad, riesgo, seguridad y

cumplimiento

Propiedad de datos y de sistemas.

Supervisión y relaciones externas

Personal y personal clave de TI: segregación de funciones

Políticas y procedimientos para personal contratado

Establecimiento de la estructura organizacional de TI, incluyendo comités

y ligas a los interesados y proveedores

Implementación y diseño de un marco de trabajo para el proceso de TI

Identificar de presupuestos de hardware y software con su justificación

para el período 2012-2013

Lo anterior está respaldado en el desempeño de la Comisión de Informática en

el SFE y en los siguientes documentos:

1. PAO TI 2013

2. Plan EstratégicoTI-2010-2021 aprobado por PCCI

3. Justificación de Requerimientos de Hardware y Software 2013

4. Manual de funciones Personal de TI


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


35

Conclusión



este ítem.

2.1.6 Cumplimiento de Obligaciones Relacionadas con la Gestión de TI


La organización debe identificar y velar por el cumplimiento del marco jurídico que tiene

influencia sobre la gestión de TI con el propósito de evitar posibles conflictos legales que

pudieran ocasionar eventuales perjuicios económicos y de otra naturaleza.


Establecimiento de un proceso independiente de revisión para garantizar el cumplimiento

de las leyes y regulaciones. Este proceso incluye la definición de un estatuto de auditoría,

independencia delos auditores, ética y estándares profesionales, planeación, desempeño del

trabajo de auditoría y reportes y seguimiento a las actividades de auditoría. El propósito de

este proceso es proporcionar un aseguramiento positivo relativo al cumplimiento de TI de

las leyes y regulaciones.





Dominio Monitorear y Evaluar

Objetivo de control

específico

ME 3 Garantizar Cumplimiento

Regulatorio


Definir y ejecutar un proceso para identificar requerimientos legales, contractuales de

políticas y regulatorios

Evaluar cumplimiento de actividades de TI con políticas, estándares y procedimientos de TI

Reportar aseguramiento positivo del cumplimiento de las actividades de TI con las políticas,

planes y procedimientos de TI

Brindar realimentación para alinear las políticas, estándares y procedimientos de TI con los

requerimientos de cumplimiento

Integrar los reportes de TI sobre requerimientos regulatorios con similares provenientes de

otras funciones del negocio


Nivel de avance según evaluación en el SFE IMPLEMENTADO

Se han implementados acciones tendentes a;

Identificar las leyes y regulaciones con impacto

potencial sobre TI

Optimizar la respuesta a requerimientos regulatorios


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


36

Situación encontrada Evaluar el cumplimiento de los requerimientos

regulatorios

Aseguramiento positivo del cumplimiento

Instaurar reportes integrados

Lo anterior, según la siguiente información suministrada

por TI:

a. Procedimientos para todas las áreas

b. Estándares de programación, bases de datos

c. Metodologías de desarrollo

d. SLAs para Contrataciones

e. Políticas de Seguridad en TI

Conclusión:



este ítem.

2.2 PLANIFICACIÓN Y ORGANIZACIÓN

2.2.1 Planificación de las Tecnologías de Información


La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos

mediante procesos de planificación que logren el balance óptimo entre sus requerimientos, su

capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes y

emergentes.


Este punto de control tiene como objetivo lograr un balance óptimo entre las oportunidades de

tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros

futuros.







Objetivo de control

específico

PO 1 Definir el Plan Estratégico

de TI


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


37


Definición de un plan estratégico de TI para sostener o extender los requerimientos de

gobierno de TI y de la estrategia de la entidad para satisfacer en forma adecuada el

otorgamiento de servicios digitales de una forma transparente y rentable para la entidad.

Alineación de TI con los objetivos del plan estratégico institucional del SFE.

Evaluar el desempeño de los planes existentes y de los sistemas de información en

términos de su contribución a los objetivos de negocio, su funcionalidad, su estabilidad,

su complejidad, sus costos, sus fortalezas y debilidades.

Crear un portafolio de planes tácticos de TI que se deriven del plan estratégico de TI.

Estos planes tácticos describen las iniciativas y los requerimientos de recursos

requeridos por TI, y cómo el uso de los recursos y el logro de los beneficios serán

monitoreados y administrados.

Administrar de forma activa, junto con el negocio, el portafolio de programas de

inversión de TI requerido para lograr objetivos de negocio estratégicos y específicos por

medio de la identificación, definición, evaluación, asignación de prioridades, selección,

inicio, administración y control de los programas.


Nivel de

avance según

evaluación

IMPLEMENTADA

Situación

encontrada

El SFE ha implementado las siguientes actividades de control:

Administración del valor de TI

Alineación de TI con el negocio

Evaluación del desempeño actual

Planes tácticos de TI

Administración del portafolio de TI

Lo anterior soportado por los siguientes documentos:

1. MANUAL DE PROCEDIMIENTOS FINAL-TI2012-completo

2. Plan EstratégicoTI-2010-2021 aprobado por PCCI-2

3. Circular-Documento de la Dirección Ejecutiva del SFE, oficio número

DSFE-625-2013, fechado el 20 de setiembre del 2013


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


38

Conclusión



este ítem.

2.2.2 Modelo de Arquitectura de Información


La organización debe optimizar la integración, uso y estandarización de sus sistemas de

información de manera que se identifique, capture y comunique, en forma completa, exacta y

oportuna, solo la información que sus procesos requieren.


Este punto de control tiene como objetivo satisfacer los requerimientos de negocio, organizando

de la mejor manera posible los sistemas de información, por medio de la creación y

mantenimiento de un modelo de información de negocio, asegurándose que se definan los

sistemas apropiados para optimizar la utilización de la información.


tecnología de información MEDIO




Objetivo de control

específico

PO 2 Definir la

Arquitectura de la Información


Establecer y mantener un modelo de información empresarial que facilite el desarrollo

de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los

planes de TI

Mantener un diccionario de datos que incluya las reglas de sintaxis de datos de la

organización

Implementación de un esquema de clasificación de datos dirimiendo cual información

es pública y cual no se puede divulgar debido a su carácter confidencial

Definir e implantar procedimientos para garantizar la integridad y consistencia de todos

los datos almacenados en formato electrónico, tales como bases de datos, almacenes de

datos y archivos


Nivel de

avance según

evaluación

AVANZADA

El SFE implementó acciones que le han permitido en términos generales

cumplir con los siguientes objetivos de control:


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


39

Situación

encontrada

Modelo de arquitectura de información institucional.

Diccionario de datos institucional del SFE y reglas de sintaxis de

datos.

Esquema de clasificación de datos.

Administración de la integridad.

Creación y mantenimiento de modelos de información del SFE.

Creación y mantenimiento de diccionario de datos en los diferentes sistemas

del SFE.

Lo anterior soportado en el documento denominado “Estándares de bases de

datos-2012”.

Conclusión:


gestionado por la administración; no obstante, las acciones emprendidas no permiten visualizar en

forma integral el “Modelo de arquitectura de información institucional”.

Recomendación:

Adoptar las medidas que le permitan contar con un “Modelo de arquitectura de información

institucional” (mejora continua); a efecto de fortalecer el sistema de control interno de TI. En ese

sentido y como parte del proceso de mejora continua, el SFE debería (mejorar lo implementado y

adicionando lo que corresponda):

Implementación de un diccionario de datos

Definición de lenguaje o lenguajes de programación a utilizar en el SFE

Definición de base de datos a utilizar en el SFE

Establecimiento de reglas de sintaxis

Establecimiento de un modelo de entidad relación

Definición de un esquema de clasificación de los datos

Documentación del contexto en que se desarrolla toda la organización, de una manera

comprensible para la institución y la gestión de TI. (flujos de procesos)

Consistencia del modelo de arquitectura de la información con respecto a la estrategia

de la organización y sus planes tácticos

Comprobación del modelo de arquitectura de la información en forma periódica para

verificar su adecuación con respecto a la flexibilidad, funcionalidad, rentabilidad,

seguridad, el cumplimiento y satisfacción del usuario

Análisis de la posibilidad de estandarizar la arquitectura de la información del SFE y, en

caso contrario, detallar claramente las excepciones


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


40

2.2.3 Infraestructura Tecnológica


La organización debe tener una perspectiva clara de su dirección y condiciones en materia

tecnológica, así como la tendencia de las TI para que conforme a ello, optimice el uso de su

infraestructura tecnológica, manteniendo el equilibrio que debe existir entre sus requerimientos y

la dinámica y evolución de las TI.


Este punto de control tiene como objetivo aprovechar al máximo la tecnología disponible o

tecnología emergente, satisfaciendo los requerimientos de negocio, a través de la creación y

mantenimiento de un plan de infraestructura tecnológica.







Objetivo de control

específico

PO 3 Definir la Dirección

Tecnológica


Analizar las tecnologías existentes y emergentes y planear cuál dirección tecnológica es

apropiado tomar para materializar la estrategia de TI y la arquitectura de sistemas del

negocio

Crear y mantener un plan de infraestructura tecnológica que esté de acuerdo con los

planes estratégicos y tácticos de TI

Resultado de la evaluación del objetivo de control COBIT implementado en el SFE:

Nivel de avance

según

evaluación

IMPLEMENTADA

Situación

encontrada

Mediante el documento “Plan de Administración de la capacidad y

Desempeño de la Plataforma Tecnológica”, se regularon los siguientes

objetivos de control:

Rendimiento y utilización actual de los servidores que componen

la plataforma de TI

Rendimiento y utilización actual de dispositivos de

Almacenamiento que componen la plataforma de TI

Rendimiento y utilización actual de los equipos de

Telecomunicaciones que componen la plataforma de TI

Usuarios y Equipos dentro del dominio Intranet.protecnet.go.cr

Evaluación y Motivos de la Interrupción de Servicios

Tiempos de Respuesta Ante Fallos


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


41

Aspectos Generales de la Administración

Observaciones Finales

Adicionalmente, se encuentran implementados como soporte a la

infraestructura tecnológica del SFE, los siguientes procedimientos de

control de TI:

Planeación de la dirección tecnológica

Plan de infraestructura tecnológica

Monitoreo de tendencias y regulaciones futuras

Estándares tecnológicos

Consejo de arquitectura, por medio de un Comité de TI del SFE

Implementación y Mantenimiento de un plan de infraestructura

tecnológica en el SFE

Implementación y creación de estándares tecnológicos en el SFE

Monitoreo y evaluación de la evolución tecnológica en el SFE

Conclusión



este ítem.

2.2.4 Independencia de Recursos Humanos de la Función de T.I.


El jerarca debe asegurar la independencia de la Función de TI respecto de las áreas usuarias y que

ésta mantenga la coordinación y comunicación con las demás dependencias tanto internas y

como externas. Además, debe brindar el apoyo necesario para que dicha Función de TI cuente

con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de

manera clara y formal, su responsabilidad, autoridad y funciones.


Este punto de control tiene como objetivos la prestación de servicios de TI y maximizar las

contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio,

por medio de técnicas sólidas para administración de personal.






Objetivo de control

específico


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


42

PO 4, Definir Procesos,

Organización y Relaciones de

TI,

PO 7 Administrar Recursos

humanos de TI


PO 4. Definir Procesos, Organización y Relaciones de TI

Implementación de un marco de trabajo para los procesos de TI con el objetivo de ejecutar el

“Plan Estratégico de TI” de la entidad, el cual debe estar alineado con los objetivos del “Plan

Estratégico Institucional”

Establecimiento de un Comité Estratégico de TI a nivel de consejo directivo, con el objetivo

de asesorar la dirección estratégica y a su vez revisar las inversiones por realizar en

tecnologías de información para lograr un equilibrio en la asignación de recursos y a la

adecuada atención de los requerimientos de todas las unidades de la organización

Establecer una estructura organizacional de TI interna y externa que refleje las

necesidades del negocio

Implementación de procedimientos para definir y comunicar los roles y las

responsabilidades para todo el personal en la organización con respecto a los sistemas

de información para permitir que se ejerzan las funciones y responsabilidades asignados

con suficiente autoridad

PO 7 Administrar Recursos humanos de TI

Implementación de procesos de reclutamiento y retención de personal que estén de acuerdo a

las políticas y procedimientos generales del personal de la organización

Verificación de competencias del personal de tal forma que se sustente que el mismo tenga

las habilidades para cumplir sus roles con base en su educación, entrenamiento y/o

experiencia, a su vez, definir los requerimientos esenciales de habilidades para TI y

verificar que se les dé mantenimiento, usando programas de calificación y certificación,

según sea el caso

Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades

y compensación del personal, incluyendo el requisito de adherirse a las políticas y

procedimientos administrativos, así como al código de ética y prácticas profesionales.

Los términos y condiciones de empleo deben enfatizar la responsabilidad del

funcionario con respecto a la seguridad de la información, al control interno y al

cumplimiento regulatorio. El nivel de supervisión debe estar de acuerdo con la

sensibilidad del puesto y el grado de las responsabilidades asignadas en la entidad


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


43

En lo que respecta al personal de TI, se debe proporcionar a los funcionarios de TI la

orientación necesaria al momento de la contratación y entrenamiento continuo para

conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre

la seguridad, al nivel requerido para alcanzar las metas organizacionales

Realización de evaluaciones de desempeño periódicas las cuales tengan indicadores de

estándares de desempeño de acuerdo a las responsabilidades específicas del puesto


Nivel de

avance según

evaluación

Implementado

Situación

encontrada

En el documento “Manual de Funciones de Tecnologías de Información”,

se encuentran definidas las funciones de los funcionarios de tecnologías de

información pertenecientes a la Unidad de TI. Dicho Manual se conforma de

los siguientes apartados:

1. Introducción

2. Objetivo Manual Funciones

3. Alcance

4. Abreviaturas

5. Organigrama

6. Funciones Jefatura

7. Funciones Analistas

8. Funciones Encargado Telecomunicaciones y Redes

9. Funciones Soporte Técnico

10. Funciones DBA

Adicionalmente, se encuentran implementados como soporte a la

independencia del recurso humano para los funcionarios del SFE,

pertenecientes a la Unidad de TI, los siguientes procedimientos de control:

Ubicación organizacional de la función de TI y estructura organizacional

Funciones y responsabilidades en calidad, riesgo, seguridad y cumplimiento

Propiedad de datos y de sistemas

Supervisión y relaciones externas

Personal y personal clave de TI: segregación de funciones

Políticas y procedimientos para personal contratado

Competencias del personal

Asignación de funciones

Entrenamiento del personal de TI

Dependencia sobre los individuos

Procedimientos de Investigación del personal con participación del


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


44

Servicio Civil

Evaluación del desempeño del empleado

Cambios y terminación de trabajo internos del SFE

Cumplimiento de los establecido en el “Reglamento de la Estructura

Organizativa del Servicio Fitosanitario del Estado No. 36 801-MAG”, según lo

indicado en la sección II, página 11, punto número 4 con incisos desde el “ a)

hasta inciso o)”.

Conclusión



este ítem.

2.2.5 Administración de Recursos Financieros


La organización debe optimizar el uso de los recursos financieros “invertidos” en la gestión de

TI, procurando el logro de los objetivos de esa inversión, controlando en forma efectiva dichos

recursos y observando el marco jurídico que al efecto le resulte aplicable.


Este proceso tiene como objetivo la satisfacción de los requerimientos de negocio, asegurando el

financiamiento y el control de desembolsos de recursos financieros.






Dominio

Objetivo de control

específico

PO 5 Administrar las

Inversiones en TI


Establecimiento de un marco de trabajo financiero para TI que impulse el presupuesto y el

análisis de rentabilidad, con base en los portafolios de inversión, servicios y activos

Implementación de un proceso de toma de decisiones para dar prioridades a la asignación de

recursos a TI para operaciones, proyectos y mantenimiento, para maximizar la contribución

de TI a optimizar el retorno del portafolio de programas de inversión en TI y otros servicios y

activos de TI en la entidad

Establecer un proceso para elaborar y administrar un presupuesto que refleje las prioridades

establecidas en el portafolio empresarial de programas de inversión en TI, incluyendo los

costos recurrentes de operar y mantener la infraestructura actual

Implementación de procedimientos de administración de costos que comparen los costos

reales con los presupuestados.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


45

Implementación de procedimientos de monitoreo de beneficio cuyos informes deben ser

soporte de decisiones administrativas de costo-beneficio


Nivel de avance según

evaluación en el SFE

IMPLEMENTADA


Marco de trabajo para la administración financiera

Prioridades dentro del presupuesto de TI

Proceso presupuestal

Administración de costos de TI

Administración de beneficios

Mantenimiento al portafolio de programas de inversión

Mantenimiento al portafolio de proyectos y servicios

Conclusión:



este ítem.

2.3 IMPLEMENTACIÓN DE TECNOLOGÍAS DE INFORMACIÓN

2.3.1 Consideraciones Generales de la Implementación de T.I.


La organización debe implementar y mantener las TI requeridas en concordancia con su marco

estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica:

a) Adoptar políticas sobre la justificación, autorización y documentación de solicitudes de

implementación o mantenimiento de TI.

b) Establecer el respaldo claro y explícito para los proyectos de TI tanto del jerarca como de

las áreas usuarias.

c) Garantizar la participación activa de las unidades o áreas usuarias, las cuales deben tener

una asignación clara de responsabilidades y aprobar formalmente las implementaciones

realizadas.

d) Instaurar líderes de proyecto con una asignación clara, detallada y documentada de su

autoridad y responsabilidad.

e) Analizar opciones de solución de acuerdo con criterios técnicos, económicos, operativos

y jurídicos, y lineamientos previamente establecidos.

f) Contar con una definición clara, completa y oportuna de los requerimientos, como parte

de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo un contexto

de costo-beneficio.

g) Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


46

económicos, técnicos y humanos requeridos.

h) Formular y ejecutar estrategias de implementación que incluyan todas las medidas para

minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los

requerimientos o no cumplan con los términos de tiempo y costo preestablecidos.

i) Promover su independencia de proveedores de hardware, software, instalaciones y

servicios.


Este punto de control tiene como objetivo proporcionar las plataformas apropiadas para soportar

aplicaciones de negocios.






Dominio Adquirir e Implementar

Objetivo de control

específico

AI 3 Adquirir y Mantener la



Generar un plan para adquirir, implantar y mantener la infraestructura tecnológica que

satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de

acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones

futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la

inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la

viabilidad comercial del proveedor y el producto al añadir una nueva capacidad técnica

Implantar medidas de control interno, seguridad y auditabilidad durante la configuración,

integración y mantenimiento del hardware y del software de la infraestructura para proteger

los recursos y garantizar su disponibilidad e integridad

Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se

controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la

organización

Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las

pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases

del proceso de adquisición y desarrollo



evaluación en el SFE

IMPLEMENTADA


El SFE ha gestionado la implementación de los siguientes aspectos:

AI3.1 Plan de adquisición de infraestructura tecnológica

AI3.2 Protección y disponibilidad del recurso de infraestructura

AI3.3 Mantenimiento de la Infraestructura

AI3.4 Ambiente de prueba de factibilidad


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


47

Lo anterior soportado por los documentos:

1. Justificación de Requerimientos de Hardware y Software,

SFE 2013

2. Manual de Políticas de Seguridad 2012

3. Plan de Continuidad 2012

Adicionalmente, se consideraron los siguientes controles funcionales:

Definición del procedimiento / proceso de adquisición en el SFE

Definición de estrategias y planeación para el mantenimiento de

infraestructura tecnológica actual del SFE

Configuración de componentes de la infraestructura de TI, para

suministrar los servicios informáticos en forma adecuada en el

SFE

Conclusión:



este ítem.

2.3.2 Implementación de Software


La organización debe implementar el software que satisfaga los requerimientos de sus usuarios y

soporte efectivamente sus procesos, para lo cual debe:

a) Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación y

considere la definición de requerimientos, los estudios de factibilidad, la elaboración de

diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de

datos y la puesta en producción, así como también la evaluación post-implantación de la

satisfacción de los requerimientos.

b) Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso

al personal a cargo de las labores de implementación y mantenimiento de software.

c) Controlar la implementación del software en el ambiente de producción y garantizar la

integridad de datos y programas en los procesos de conversión y migración.

d) Definir los criterios para determinar la procedencia de cambios y accesos de emergencia

al software y datos, y los procedimientos de autorización, registro, supervisión y

evaluación técnica, operativa y administrativa de los resultados de esos cambios y

accesos.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


48

e) Controlar las distintas versiones de los programas que se generen como parte de su

mantenimiento.


Este punto de control tiene como objetivo proporcionar funciones automatizadas que soporten

efectivamente al negocio.






Objetivo de control

específico

AI 2 Adquirir y Mantener el

Software Aplicativo


Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a

tiempo y a un costo razonable.

Garantizar que exista un proceso de desarrollo oportuno y confiable.

Traducir los requerimientos del negocio a una especificación de diseño de alto nivel para

desarrollo de software.

Preparar el diseño detallado y los requerimientos técnicos del software de aplicación

Control y auditabilidad de las aplicaciones del SFE, asegurando que los controles del

negocio se traduzcan correctamente en controles de aplicación de manera que el

procesamiento sea exacto, completo, oportuno, aprobado y auditable. Los aspectos que

se consideran especialmente son: mecanismos de autorización, integridad de la

información, control de acceso, respaldo y diseño de pistas de auditoría.


Configuración e implantación de software aplicativo adquirido.

Actualizaciones importantes en sistemas existentes en el cual se debe seguir un proceso

de desarrollo similar al de desarrollo de sistemas nuevos en el caso que se presenten

modificaciones importantes en los sistemas existentes, que resulten en un cambio

significativo de los diseños y/o funcionalidad actuales. Los aspectos a considerar

incluyen análisis de impacto, justificación costo/beneficio y administración de

requerimientos

Desarrollo de software aplicativo que garantice que la funcionalidad de automatización

se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo

y documentación y los requerimientos de calidad. Aprobar y autorizar cada etapa clave

del proceso de desarrollo de software aplicativo, dando seguimiento a la terminación

exitosa de revisiones de funcionalidad, desempeño y calidad

Aseguramiento de la calidad del Software del SFE con un procedimiento para

desarrollar, implantar recursos y ejecutar un plan de aseguramiento de calidad del

software, con el objetivo de obtener la calidad que se especifica en la definición de los

requerimientos y en las políticas y procedimientos de calidad del SFE. Los aspectos a


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


49

considerar en el plan de aseguramiento de calidad Institucional incluyen especificar el

criterio de calidad y los procesos de validación y verificación, incluyendo inspección,

revisión de algoritmos y código fuente y pruebas

Administración de los requerimientos de las aplicaciones del SFE que garanticen que

durante el diseño, desarrollo e implantación, se da seguimiento al estatus de los

requerimientos particulares (incluyendo todos los requerimientos rechazados), y que las

modificaciones a los requerimientos se aprueban a través de un proceso establecido de

administración de cambios

Mantenimiento del software aplicativo con el objetivo de desarrollar una estrategia y un

plan para el mantenimiento y liberación de aplicaciones de software en el SFE



evaluación

IMPLEMENTADA


Implementación de los requerimientos del SFE en

especificaciones de diseño de alto nivel

Diseño detallado y los requerimientos técnicos del software

aplicativo actual del SFE

Especificar de los controles de aplicación dentro del diseño de

los sistemas del SFE

Implementación de las metodologías y procesos formales para

administrar el proceso de desarrollo de la aplicación

Implementación de un plan de aseguramiento de calidad del

software para los proyectos de TI del SFE

Seguimiento y administración de los requerimientos de la

aplicación del SFE

Implementación de plan para el mantenimiento de aplicaciones

de software del SFE

Conclusión



este ítem.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


50

2.3.3 Implementación de Infraestructura Tecnológica


La organización debe adquirir, instalar y actualizar la infraestructura necesaria para soportar el

software de conformidad con los modelos de arquitectura de información e infraestructura

tecnológica y demás criterios establecidos. Como parte de ello debe considerar lo que resulte

aplicable de la Norma 3.1 anterior y los ajustes necesarios a la infraestructura actual (referencia:

numeral 2.3.1 del presente informe)


Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la

arquitectura definida de TI y los estándares de tecnología.






Objetivo de control

específico

AI 3 Adquirir y Mantener

la Infraestructura

Tecnológica


Generar un plan para adquirir, implantar y mantener la infraestructura tecnológica que

satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de

acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones

futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la

inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la

viabilidad comercial del proveedor y el producto al añadir una nueva capacidad técnica

Implantar medidas de control interno, seguridad y auditabilidad durante la configuración,

integración y mantenimiento del hardware y del software de la infraestructura para proteger

los recursos y garantizar su disponibilidad e integridad

Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se

controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la

organización

Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las

pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases

del proceso de adquisición y desarrollo



Plan de adquisición de infraestructura

tecnológica.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


51

Situación encontrada Protección y disponibilidad del recurso de

infraestructura.

Mantenimiento de la infraestructura.

Ambiente de prueba de factibilidad.

Implementación de procedimiento / proceso de

adquisición

Implementación de análisis de mercado para

negociar la compra y adquirir la infraestructura

requerida con proveedores aprobados por

Proveeduría y la Unidad de TI.

Conclusión:


implementado, razón por la cual no existen observaciones ni recomendaciones por realizar.

2.3.4 Contratación de Terceros para la Implementación y Mantenimiento de

Software e Infraestructura


La organización debe obtener satisfactoriamente el objeto contratado a terceros en procesos de

implementación o mantenimiento de software e infraestructura. Para lo anterior, debe:

a. Observar lo que resulte aplicable de las normas 3.1, 3.2, y 3.3 anteriores (referencia:

numerales 2.3.1, 2.3.2 y 2.3.3 del presente informe).

b. Establecer una política relativa a la contratación de productos de software e

infraestructura.

c. Contar con la debida justificación para contratar a terceros la implementación y

mantenimiento de software e infraestructura tecnológica.

d. Establecer un procedimiento o guía para la definición de los “términos de referencia” que

incluyan las especificaciones y requisitos o condiciones requeridas o aplicables, así como

para la evaluación de ofertas.

e. Establecer, verificar y aprobar formalmente los criterios, términos y conjunto de pruebas

de aceptación de lo contratado, sean instalaciones, hardware o software.

f. Implementar un proceso de transferencia tecnológica que minimice la dependencia de la

organización respecto de terceros contratados para la implementación y mantenimiento de

software e infraestructura tecnológica.


Este punto de control tiene como objetivo asegurar que las tareas y responsabilidades de las

terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los

requerimientos.


BAJO


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


52

de tecnología de información





Objetivo de control

específico

DS 2 Administrar Servicios de

Terceros


DS2.1 Identificación de las relaciones con todos los proveedores

Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de

proveedor, la importancia y la criticidad. Mantener documentación formal de las relaciones

técnicas y organizacionales incluyendo los roles y responsabilidades, metas, expectativas,

entregables esperados (productos de TI) y credenciales de los representantes de estos

proveedores

DS2.2 Administración de las relaciones con los proveedores

Formalizar el proceso de administración de relaciones con proveedores por cada proveedor.

Los responsables de las relaciones deben coordinar a los proveedores y los clientes y

asegurar la calidad de las relaciones con base en la confianza y la transparencia (por

ejemplo, a través de acuerdos de niveles de servicio).

DS2.3 Administración de riesgos del proveedor

Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para

mantener una efectiva entrega de servicios de forma segura y eficiente sobre una base de

continuidad. Asegurar que los contratos están de acuerdo con los estándares universales del

negocio de conformidad con los requerimientos legales y regulatorios. La administración

del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de

garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de

seguridad, proveedores alternativos, penalizaciones e incentivos, etc.

DS2.4 Monitoreo del desempeño del proveedor

Establecer un proceso para monitorear la prestación del servicio para asegurar que el

proveedor está cumpliendo con los requerimientos del negocio actuales y que se apega de

manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que

el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del

mercado.



Identificación y categorización las relaciones

de los servicios de terceros con el SFE

Implementación y documentación de los

procesos de administración del proveedor, más

términos de referencia establecidos por la


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


53


Proveeduría del SFE

Implementación de políticas y procedimientos

de evaluación y suspensión de proveedores

por parte de la Unidad de TI, en caso de

incumplimiento de contratos

Implementación de procedimiento para

identificar, valorar y mitigar los riesgos del

proveedor


identificar, valorar y mitigar los riesgos del

proveedor

Monitoreo por parte de la Unidad de TI del

SFE, en la prestación del servicio del

proveedor

Evaluación por parte de la Unidad de TI del

SFE, para el cumplimiento de las metas de

largo plazo en la relación para todos los

interesados

Conclusión



este ítem.

2.4 PRESTACIÓN DE SERVICIOS Y MANTENIMIENTO

2.4.1 Definición y Administración de Acuerdos de Servicio


La organización debe tener claridad respecto de los servicios que requiere y sus atributos, y los

prestados por la función de TI, según sus capacidades. El jerarca y la Función de TI deben acordar

los servicios requeridos, los ofrecidos y sus atributos, lo cual deben documentar y considerar

como un criterio de evaluación del desempeño. Para ello deben:

a. Tener una comprensión común sobre: exactitud, oportunidad, confidencialidad,

autenticidad, integridad y disponibilidad.

b. Contar con una determinación clara y completa de los servicios y sus atributos, y analizar

su costo y beneficio.

c. Definir con claridad las responsabilidades de las partes y su sujeción a las condiciones

establecidas.

d. Establecer los procedimientos para la formalización de los acuerdos y la incorporación de

cambios en ellos.

e. Definir los criterios de evaluación sobre el cumplimiento de los acuerdos.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


54

f. Revisar periódicamente los acuerdos de servicio, incluidos los contratos con terceros.


Este punto de control tiene como objetivo establecer una comprensión común del nivel de

servicio requerido.






Objetivo de control

específico

DS 1 Definir y Administrar

Niveles de Servicio


DS1.1 Marco de trabajo de la administración de los niveles de servicio

Definir un marco de trabajo que brinde un proceso formal de administración de niveles de

servicio entre el cliente y el prestador de servicio. El marco de trabajo mantiene una alineación

continua con los requerimientos y las prioridades de negocio y facilita el entendimiento común

entre el cliente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la

creación de requerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio

(SLAs), acuerdos de niveles de operación (OLAs) y las fuentes de financiamiento. Estos atributos

están organizados en un catálogo de servicios. El marco de trabajo define la estructura

organizacional para la administración del nivel de servicio, incluyendo las funciones, tareas y

responsabilidades de los proveedores externos e internos y de los clientes.

DS1.2 Definición de servicios

Definiciones base de los servicios de TI sobre las características del servicio y los requerimientos

de negocio, organizados y almacenados de manera centralizada por medio de la implantación de

un enfoque de catálogo/portafolio de servicios.

DS1.3 Acuerdos de niveles de servicio

Definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base

en los requerimientos del cliente y las capacidades en TI. Esto incluye los compromisos del

cliente, los requerimientos de soporte para el servicio, métricas cualitativas y cuantitativas para la

medición del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y

de financiamiento, y las funciones y responsabilidades, incluyendo la revisión del SLA. Los

puntos a considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento,

niveles de soporte, planeación de continuidad, seguridad y restricciones de demanda.

DS1.4 Acuerdos de niveles de operación


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


55

Asegurar que los acuerdos de niveles de operación expliquen cómo serán entregados

técnicamente los servicios para soportar el (los) SLA(s) de manera óptima. Los OLAs especifican

los procesos técnicos en términos entendibles para el proveedor y pueden soportar diversos SLAs.

DS1.5 Monitoreo y reporte del cumplimento de los niveles de servicio

Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Los

reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un formato que sea

entendible para los interesados. Las estadísticas de monitoreo son analizadas para identificar

tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto.

DS1.6 Revisión de los acuerdos de niveles de servicio y de los contratos

Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio

y los contratos de apoyo, para asegurar que son efectivos, que están actualizados y que se han

tomado en cuenta los cambios en requerimientos.


Nivel de

avance según

evaluación

IMPLEMENTADA

Situación

encontrada

Implementación de un marco de trabajo para los servicios de TI

Implementación de un catálogo de servicios de TI

Implementación de los convenios de niveles de servicio

Implementación de los convenios en los niveles de operación

Implementación de monitoreo y evaluación del desempeño

Implementación de un plan de mejora del servicio

Conclusión



este ítem.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


56

2.4.2 Administración y Operación de la Plataforma Tecnológica


La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su

riesgo de fallas. Para ello debe:

a. Establecer y documentar los procedimientos y las responsabilidades asociados con la

operación de la plataforma.

b. Vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de la

plataforma, asegurar su correcta operación y mantener un registro de sus eventuales fallas.

c. Identificar eventuales requerimientos presentes y futuros, establecer planes para su

satisfacción y garantizar la oportuna adquisición de recursos de TI requeridos, tomando

en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias

tecnológicas.

d. Controlar la composición y cambios de la plataforma y mantener un registro actualizado

de sus componentes (hardware y software), custodiar adecuadamente las licencias de

software y realizar verificaciones físicas periódicas.

e. Controlar la ejecución de los trabajos mediante su programación, supervisión y registro.

f. Mantener separados y controlados los ambientes de desarrollo y producción.

g. Brindar el soporte requerido a los equipos principales y periféricos.

h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en

ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de

control para los procesos de restauración.

i. Controlar los servicios e instalaciones externos.


Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso

de ella para alcanzar el desempeño deseado.

Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar

la existencia física y proporcionar una base para el sano manejo de cambios.

Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo

regularmente y de una manera ordenada.






Dominio Entregar y dar soporte

Objetivo de

Control Específico

DS 3 Administrar Desempeño y

Capacidad,

DS 9 Administrar la

Configuración

DS 13 Administrar las operaciones


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


57


DS 3 Administrar Desempeño y Capacidad.

DS3.1 Planeación del desempeño y la capacidad

Establecer un proceso de planeación para la revisión del desempeño y la capacidad de los

recursos de TI, para asegurar la disponibilidad de la capacidad y del desempeño, con costos

justificables, para procesar las cargas de trabajo acordadas tal como se determina en los

SLAs. Los planes de capacidad y desempeño deben hacer uso de técnicas de modelado

apropiadas para producir un modelo de desempeño, de capacidad y de rendimiento de los

recursos de TI, tanto actual como pronosticado.

DS3.2 Capacidad y desempeño actual

Revisar la capacidad y desempeño actual de los recursos de TI en intervalos regulares para

determinar si existe suficiente capacidad y desempeño para prestar los servicios con base en

los niveles de servicio acordados.

DS3.3 Capacidad y desempeño futuros Llevar a cabo un pronóstico de desempeño y

capacidad de los recursos de TI en intervalos regulares para minimizar el riesgo de

interrupciones del servicio originadas por falta de capacidad o degradación del desempeño.

Identificar también el exceso de capacidad para una posible redistribución. Identificar las

tendencias de las cargas de trabajo y determinar los pronósticos que serán parte de los

planes de capacidad y de desempeño.

DS3.4 Disponibilidad de recursos de TI

Brindar la capacidad y desempeño requeridos tomando en cuenta aspectos como cargas de

trabajo normales, contingencias, requerimientos de almacenamiento y ciclos de vida de los

recursos de TI. Deben tomarse medidas cuando el desempeño y la capacidad no están en el

nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y

prácticas de asignación de recursos. La gerencia debe garantizar que los planes de

contingencia consideran de forma apropiada la disponibilidad, capacidad y desempeño de

los recursos individuales de TI.

DS3.5 Monitoreo y reporte

Monitorear continuamente el desempeño y la capacidad de los recursos de TI. La

información reunida sirve para dos propósitos:

Mantener y poner a punto el desempeño actual dentro de TI y atender temas como


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


58

resiliencia (capacidad humana de asumir con flexibilidad situaciones límite y

sobreponerse a ellas), contingencia, cargas de trabajo actuales y proyectadas, planes de

almacenamiento y adquisición de recursos.

Para reportar la disponibilidad hacia el negocio del servicio prestado como se requiere

en los SLAs. Acompañar todos los reportes de excepción con recomendaciones para

llevar a cabo acciones correctivas.

DS 9 Administrar la Configuración

DS9.1 Repositorio de configuración y línea base

Establecer un repositorio central que contenga toda la información referente a los elementos

de configuración. Este repositorio incluye hardware, software aplicativo, midleware,

parámetros, documentación, procedimientos y herramientas para operar, acceder y utilizar

los sistemas y los servicios. La información importante por considerar es el nombre,

números de versión y detalles de licenciamiento. Una línea base de elementos de

configuración debe mantenerse para cada sistema y servicio, como un punto de control al

cual regresar después de realizar cambios.

DS9.2 Identificación y mantenimiento de elementos de configuración

Contar con procedimientos en orden para: • Identificar elementos de configuración y sus

atributos • Registrar elementos de configuración nuevos, modificados y eliminados •

Identificar y mantener las relaciones entre los elementos de configuración y el repositorio

de configuraciones. • Actualizar los elementos de configuración existentes en el repositorio

de configuraciones. • Prevenir la inclusión de software no-autorizado Estos procedimientos

deben brindar una adecuada autorización y registro de todas las acciones sobre el

repositorio de configuración y estar integrados de forma apropiada con los procedimientos

de administración de cambios y administración de problemas.

DS9.3 Revisión de integridad de la configuración

Revisar y verificar de manera regular, utilizando cuando sea necesario herramientas

apropiadas, el “status” de los elementos de configuración para confirmar la integridad de la

configuración de datos actual e histórica y para comparar con la situación actual. Revisar

periódicamente contra la política de uso de software, la existencia de cualquier software

personal o no autorizado de cualquier instancia de software por encima de los acuerdos de

licenciamiento actuales. Los errores y las desviaciones deben reportarse, atenderse y

corregirse.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


59

DS 13 Administrar las operaciones

DS13.1 Procedimientos e instrucciones de operación

Definir, implementar y mantener procedimientos estándar para operaciones de TI y garantizar que

el personal de operaciones está familiarizado con todas las tareas de operación relativas a ellos.

Los procedimientos de operación deben cubrir los procesos de entrega de turno (transferencia

formal de la actividad, “status”, actualizaciones, problemas de operación, procedimientos de

escalamiento, y reportes sobre las responsabilidades actuales) para garantizar la continuidad de las

operaciones.

DS13.2 Programación de tareas

Organizar la programación de trabajos, procesos y tareas en la secuencia más eficiente,

maximizando el rendimiento y la utilización para cumplir con los requerimientos del negocio.

Deben autorizarse los programas iniciales así como los cambios a estos programas. Los

procedimientos deben implementarse para identificar, investigar y aprobar las salidas de los

programas estándar agendados.

DS13.3 Monitoreo de la infraestructura de TI

Definir e implementar procedimientos para monitorear la infraestructura de TI y los eventos

relacionados. Garantizar que en los registros de operación se almacena suficiente información

cronológica para permitir la reconstrucción, revisión y análisis de las secuencias de tiempo de las

operaciones y de las otras actividades que soportan o que están alrededor de las operaciones.

DS13.4 Documentos sensitivos y dispositivos de salida. Establecer resguardos físicos, prácticas

de registro y administración de inventarios adecuados sobre los activos de TI más sensitivos tales

como formas, instrumentos negociables, impresoras de uso especial o dispositivos de seguridad.

DS13.5 Mantenimiento preventivo del hardware

Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la

infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminución del

desempeño.



Implementación de un proceso de planeación

para la revisión del desempeño y capacidad.

Realización de pronósticos de desempeño y

capacidad de recursos de TI.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


60

Situación encontrada Realización de análisis de brecha para

identificar la incompatibilidad de los recursos de

TI.

Implementación de un plan de contingencia en

el SFE, respecto a la falta potencial de

disponibilidad de recursos.

Monitoreo y reportar continuamente la

disponibilidad, desempeño y la capacidad.

Implementación en el SFE de procedimientos

de planeación de administración de la

configuración.

Recopilación de la información sobre la

configuración inicial y establecer líneas base.

Verificación y auditoraje de la información de

la configuración.

Actualización del repositorio de configuración,

tanto en el SFE como en el sitio alterno.

Implementación del nivel requerido de

protección física en el Centro de Datos del SFE.

Selección de Centro de Datos en el tercer piso

más implementación de medidas de ambiente

físico.

Administración de procesos de mantenimiento y

autorización del ambiente físico en Centro de

Datos del SFE.

Conclusión



este ítem.

2.4.3 Administración de los Datos


La organización debe asegurarse de que los datos que son procesados mediante TI corresponden a

transacciones válidas y debidamente autorizadas, que son procesados en forma completa, exacta y

oportuna, y transmitidos, almacenados y desechados en forma íntegra y segura.


Este punto de control tiene como objetivo asegurar que los datos permanezcan completos,

precisos y válidos durante su entrada, actualización, salida y almacenamiento.




Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


61





Objetivo de control

específico DS 11 Administrar los Datos


DS11.1 Requerimientos del negocio para administración de datos

Establecer mecanismos para garantizar que el negocio reciba los documentos originales que

espera, que se procese toda la información recibida por parte del negocio, que se preparen y

entreguen todos los reportes de salida que requiere el negocio y que las necesidades de

reinicio y reproceso estén soportadas.

DS11.2 Acuerdos de almacenamiento y conservación

Definir e implementar procedimientos para el archivo y almacenamiento de los datos, de

manera que los datos permanezcan accesibles y utilizables. Los procedimientos deben

considerar los requerimientos de recuperación, la rentabilidad, la integridad continua y los

requerimientos de seguridad. Para cumplir con los requerimientos legales, regulatorios y de

negocio, establecer mecanismos de almacenamiento y conservación de documentos, datos,

archivos, programas, reportes y mensajes (entrantes y salientes), así como la información

(claves, certificados) utilizada para encripción y autenticación.

DS11.3 Sistema de administración de librerías de medios

Definir e implementar procedimientos para mantener un inventario de medios en sitio y

garantizar su integridad y su uso. Los procedimientos deben permitir la revisión oportuna y

el seguimiento de cualquier discrepancia que se perciba.

DS11.4 Eliminación

Definir e implementar procedimientos para prevenir el acceso a datos sensitivos y al

software desde equipos o medios una vez que son eliminados o transferidos para otro uso.

Dichos procedimientos deben garantizar que los datos marcados como borrados o

desechados no puedan recuperarse.

DS11.5 Respaldo y restauración

Definir e implementar procedimientos de respaldo y restauración de los sistemas, datos y

configuraciones que estén alineados con los requerimientos del negocio y con el plan de

continuidad. Verificar el cumplimiento de los procedimientos de respaldo y verificar la

capacidad y el tiempo requerido para tener una restauración completa y exitosa. Probar los

medios de respaldo y el proceso de restauración.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


62

DS11.6 Requerimientos de seguridad para la administración de datos

Establecer mecanismos para identificar y aplicar requerimientos de seguridad aplicables a

la recepción, procesamiento, almacenamiento físico y entrega de información y de mensajes

sensitivos. Esto incluye registros físicos, transmisiones de datos y cualquier información

almacenada fuera del sitio.




Implementación de procedimiento con los

requerimientos de almacenamiento y conservación de

procedimientos, aplicaciones informáticas y bases de

datos del SFE

Implementación de mantenimiento para administrar

librerías de medios del SFE tanto en las oficinas

centrales como en el sitio alterno

Implementación de procedimientos para desechar de

forma segura medios y equipo en el SFE oficinas

centrales y estaciones regionales en el país

Respaldo de datos de acuerdo con los esquemas

definidos

Implementación de procedimientos para restauración

de datos

Conclusión



este ítem.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


63

2.4.4 Atención de Requerimientos de los Usuarios de TI


La organización debe hacerle fácil al usuario el proceso para solicitar la atención de los

requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de

manera eficaz, eficiente y oportuna; y dicha atención debe constituir un mecanismo de

aprendizaje que permita minimizar los costos asociados y la recurrencia.


Este punto de control tiene como objetivo minimizar la probabilidad de interrupciones,

alteraciones no autorizadas y errores.







Objetivo de control

específico AI6 Administrar Cambios


AI6.1 Estándares y procedimientos para cambios Establecer procedimientos de administración de cambio formales para manejar de manera

estándar todas las solicitudes (incluyendo mantenimiento y “patches”) para cambios a

aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas

fundamentales.

AI6.2 Evaluación de impacto, priorización y autorización Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en

cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluación deberá

incluir categorización y priorización de los cambios. Previo a la migración hacia

producción, los interesados correspondientes autorizan los cambios.

AI6.3 Cambios de emergencia Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia

que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan,

posiblemente, después de la implantación del cambio de emergencia.

I6.4 Seguimiento y reporte del estatus de cambio Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes

de cambio y a los interesados relevantes, acerca del “status” del cambio a las aplicaciones, a

los procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas

fundamentales.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


64

AI6.5 Cierre y documentación del cambio

Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la

documentación de usuario y procedimientos correspondientes. Establecer un proceso de

revisión para garantizar la implantación completa de los cambios.




Implementación de procesos para registrar,

evaluar y dar prioridad en forma consistente a

las solicitudes de cambios

Implementación de procedimientos de impacto

y dar prioridad a cambios con base en las

necesidades de servicios de información en el

SFE

Implementación de procedimientos dirigidos a

cambios críticos y de emergencia de acuerdo a

los planes aprobados por la “Dirección del SFE”

Implementación de autorización de cambios

Implementación de procedimientos para

administración y comunicación de la

información relevante referente a cambios en

los “Sistemas de Información del SFE”

Conclusión



este ítem.

2.4.5 Manejo de Incidentes


La organización debe identificar, analizar y resolver de manera oportuna los problemas, errores e

incidentes significativos que se susciten con las TI. Además, debe darles el seguimiento

pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario.


Este punto de control tiene como objetivo asegurar que los problemas e incidentes sean resueltos

y que sus causas sean investigadas para prevenir que vuelvan a suceder.


de tecnología de información MEDIO

Referencia a los objetivos de Dominio Entregar y dar Soporte


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


65



Objetivo de control

específico

DS 10 Administrar los

Problemas


DS10.1 Identificación y clasificación de problemas

Implementar procesos para reportar y clasificar problemas que han sido identificados como

parte de la administración de incidentes. Los pasos involucrados en la clasificación de

problemas son similares a los pasos para clasificar incidentes; son determinar la categoría,

impacto, urgencia y prioridad. Los problemas deben categorizarse de manera apropiada en

grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte).

Estos grupos pueden coincidir con las responsabilidades organizacionales o con la base de

usuarios y clientes, y son la base para asignar los problemas al personal de soporte.

DS10.2 Rastreo y resolución de problemas

El sistema de administración de problemas debe mantener pistas de auditoría adecuadas

que permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados

considerando: • Todos los elementos de configuración asociados • Problemas e incidentes

sobresalientes • Errores conocidos y sospechados Identificar e iniciar soluciones sostenibles

indicando la causa raíz, incrementando las solicitudes de cambio por medio del proceso de

administración de cambios establecido. En todo el proceso de resolución, la administración

de problemas debe obtener reportes regulares de la administración de cambios sobre el

progreso en la resolución de problemas o errores. La administración de problemas debe

monitorear el continuo impacto de los problemas y errores conocidos en los servicios a los

usuarios. En caso de que el impacto se vuelva severo, la administración de problemas debe

escalar el problema, tal vez refiriéndolo a un comité determinado para incrementar la

prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que

resulte más pertinente. El avance de la resolución de un problema debe ser monitoreado

contra los SLAs.

DS10.3 Cierre de problemas

Disponer de un procedimiento para cerrar registros de problemas, ya sea después de

confirmar la eliminación exitosa del error conocido o después de acordar con el negocio

cómo manejar el problema de manera opcional.

DS10.4 Integración de las administraciones de cambios, configuración y problemas

Para garantizar una adecuada administración de problemas e incidentes, integrar los

procesos relacionados de administración de cambios, configuración y problemas.

Monitorear cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al

negocio y, en los casos que sean necesarios, mejorar estos procesos para minimizar los

problemas.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


66


Nivel de avance según evaluación AVANZADA


Identificación y clasificación de incidente.


análisis de causa raíz.


resolver problemas.

Revisión de estatus de problemas.

Emisión de recomendaciones para mejorar y

crear una solicitud de cambio relacionada.

Procedimientos Automatizados para registros

de problemas.

En la evaluación efectuada el “Help desk

Institucional de la SFE” está implementado en

la “Intranet Institucional”, entre las funciones

del mismo permite la obtención de estadísticas

de servicio y resolución de casos.

Sin embargo, se determinó que el sistema actual no

tiene contemplado el requerimiento de

identificación de casos, los cuales deben estar

clasificados como: 1. Casos de Incidentes

Recurrentes y 2. Casos de Incidentes tratados como

problemas.

Conclusión


avanzado en cuanto a los tratamientos de incidentes; no obstante, como parte de la mejora

continua deberá desarrollarse los procedimientos que permitan gestionar aquellos incidentes

recurrentes, convirtiéndose y tratándose como problemas.

Recomendación:

Elaborar, aprobar y mantener actualizada el procedimiento que regule la administración de

problemas informáticos.

2.4.6 Administración de Servicios Prestados por Terceros


La organización debe asegurar que los servicios contratados a terceros satisfagan los

requerimientos en forma eficiente. Con ese fin debe:

a. Establecer las funciones y responsabilidades de terceros que le brinden servicios de TI.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


67

b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones

contratados a terceros.

c. Vigilar que los servicios contratados sean congruentes con las políticas relativas a calidad,

seguridad y seguimiento establecidas por la organización.

d. Minimizar la dependencia de la organización respecto de los servicios contratados a un

tercero.

e. Asignar a un responsable con las competencias necesarias que evalúe periódicamente la

calidad y cumplimiento oportuno de los servicios contratados.


Este punto de control tiene como objetivo asegurar que las tareas y responsabilidades de las

terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los

requerimientos.



Referencia a los objetivos de control de

tecnología de información (Cobit)


Objetivo de

control

específico

DS 2 Administrar Servicios de

Terceros


DS2.1 Identificación de las relaciones con todos los proveedores

Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de

proveedor, la importancia y la criticidad. Mantener documentación formal de las relaciones

técnicas y organizacionales incluyendo los roles y responsabilidades, metas, expectativas,

entregables esperados y credenciales de los representantes de estos proveedores.

DS2.2 Administración de las relaciones con los proveedores

Formalizar el proceso de administración de relaciones con proveedores por cada proveedor.

Los responsables de las relaciones deben coordinar a los proveedores y los clientes y

asegurar la calidad de las relaciones con base en la confianza y la transparencia (por

ejemplo, por medio de acuerdos de niveles de servicio).

DS2.3 Administración de riesgos del proveedor

Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para

mantener una efectiva entrega de servicios de forma segura y eficiente sobre una base de

continuidad. Asegurar que los contratos están de acuerdo con los estándares universales del

negocio de conformidad con los requerimientos legales y regulatorios. La administración

del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de

garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de

seguridad, proveedores alternativos, penalizaciones e incentivos, etc.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


68

DS2.4 Monitoreo del desempeño del proveedor

Establecer un proceso para monitorear la prestación del servicio para asegurar que el

proveedor está cumpliendo con los requerimientos del negocio actuales y que se apega de

manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que

el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del

mercado.




Identificación y categorización de los

servicios de terceros

Definición y documentación de los procesos

administrativos del proveedor de TI.

Implementación de políticas y procedimientos

de evaluación y suspensión de proveedores

Procedimiento de identificación de valoración

y mitigación de los riesgos del proveedor

Seguimiento de la prestación del servicio del

proveedor

Evaluación de las metas de largo plazo de la

relación para todos los interesados

Conclusión:



este ítem.

2.5 SEGUIMIENTO

2.5.1 Seguimiento de los procesos de T.I.


La organización debe asegurar el logro de los objetivos propuestos como parte de la gestión de TI,

para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que defina

el alcance, la metodología y los mecanismos para vigilar la gestión de TI. Asimismo, debe

determinar las responsabilidades del personal a cargo de dicho proceso.


Este punto de control tiene como propósito asegurar el logro de los objetivos establecidos para los

procesos de TI.




Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


69




Objetivo de control

específico

ME 1 Monitorear y Evaluar el

Desempeño de TI


ME1.3 Método de monitoreo

Garantizar que el proceso de monitoreo implante un método (ej.: Balanced Scorecard), que

brinde una visión sucinta y desde todos los ángulos del desempeño de TI y que se adapte al

sistema de monitoreo de la empresa.

ME1.4 Evaluación del desempeño

Comparar de forma periódica el desempeño contra las metas, realizar análisis de la causa

raíz e iniciar medidas correctivas para resolver las causas subyacentes.

ME1.5 Reportes al consejo directivo y a ejecutivos

Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el

avance de la organización hacia metas identificadas, específicamente en términos del

desempeño del portafolio empresarial de programas de inversión habilitados por TI, niveles

de servicio de programas individuales y la contribución de TI a ese desempeño. Los

reportes de estatus deben incluir el grado en el que se han alcanzado los objetivos

planeados, los entregables obtenidos, las metas de desempeño alcanzadas y los riesgos

mitigados. Durante la revisión, se debe identificar cualquier desviación respecto al

desempeño esperado y se deben iniciar y reportar las medidas administrativas adecuadas.

ME1.6 Acciones correctivas

Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación

y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las

evaluaciones con:

Revisión, negociación y establecimiento de respuestas administrativas

Asignación de responsabilidades por la corrección

Rastreo de los resultados de las acciones comprometidas



Implementación de enfoque de monitoreo

Identificación de objetivos medibles que

apoyen a los objetivos del negocio


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


70


Implementación de cuadro de mandos en el

PETI del SFE


evaluación y reporte de desempeño


identificar y monitorear medidas de mejora del

desempeño de TI en el SFE

Conclusión



este ítem.

2.5.2 Seguimiento y Evaluación del Control Interno en T.I


El jerarca debe establecer y mantener el sistema de control interno asociado con la gestión de las

TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se

presenten y de las medidas correctivas implementadas.


Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI







Objetivo de Control

Específico

ME 2 Administrar y

Evaluar el Control

Interno


ME2.2 Revisiones de Auditoría

Monitorear y reportar la efectividad de los controles internos sobre TI por medio de

revisiones de auditoría incluyendo, por ejemplo, el cumplimiento de políticas y estándares,

seguridad de la información, controles de cambios y controles establecidos en acuerdos de

niveles de servicio.

ME2.3 Excepciones de control

Registrar la información referente a todas las excepciones de control y garantizar que esto

conduzca al análisis de las causas subyacentes y a la toma de acciones correctivas. La

gerencia debería decidir cuáles excepciones deberían comunicarse al individuo responsable


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


71

de la función y cuáles excepciones deberían ser escaladas. La gerencia también es

responsable de informar a las partes afectadas.

ME2.4 Autoevaluación de control

Evaluar la completitud y efectividad de los controles internos de la administración de los

procesos, políticas y contratos de TI por medio de un programa continuo de autoevaluación.

ME2.5 Aseguramiento del control interno

Obtener, según sea necesario, aseguramiento adicional de la completitud y efectividad de

los controles internos por medio de revisiones de terceros. Dichas revisiones pueden ser

realizadas por la función de cumplimiento corporativo o, a solicitud de la gerencia, por

auditoría interna o por auditores y consultores externos o por organismos de certificación.

ME2.6 Control interno para terceros

Determinar el estado de los controles internos de cada proveedor externo de servicios.

Confirmar que los proveedores externos de servicios cumplan con los requerimientos

legales y regulatorios y con las obligaciones contractuales. Esto puede ser provisto por una

auditoría externa o puede obtenerse de una revisión por parte de auditoría interna y por los

resultados de otras auditorias.

ME2.7 Acciones correctivas

Identificar e iniciar medidas correctivas basadas en las evaluaciones y en los reportes de

control. Esto incluye el seguimiento de todas las evaluaciones y los reportes con:

La revisión, negociación y establecimiento de respuestas administrativas

La asignación de responsabilidades para corrección (puede incluir la aceptación de

los riesgos)

El rastreo de los resultados de las acciones comprometidas




Brindar seguimiento al marco de trabajo de

control interno

Revisiones de Auditoría

Excepciones de control

Autoevaluación de control

Aseguramiento del control interno

Control interno para terceros


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


72

Acciones correctivas

Informe de Labores Mensuales Help Desk,

monitoreo por parte de funcionarios de soporte

del SFE

Seguimiento y control de las actividades de

control interno de TI.

Monitoreo de los procesos de autoevaluación.

Implementación de cuadro de mandos en el

PETI de la SFE vigente

Implementación de procedimientos con el

objetivo de monitorear los procesos para

obtener aseguramiento sobre los controles

operados por terceros en el SFE (por ejemplo,

sitio alterno ADN Solutions, situado en Saret de

Alajuela).

Seguimiento de proceso para identificar y

evaluar las excepciones de control.

Reportar a los interesados clave (usuarios y

Dirección del SFE).

Conclusión:



este ítem.

2.5.3 Participación de la Auditoría Interna


La actividad de la Auditoría Interna respecto de la gestión de las TI debe orientarse a coadyuvar,

de conformidad con sus competencias, a que el control interno en TI de la organización

proporcione una garantía razonable del cumplimiento de los objetivos en esa materia.


Garantizar el cumplimiento regulatorio de todas las leyes y regulaciones aplicables en

tecnologías de información del Sector Público, según corresponda y, de esta manera, reducir el

riesgo de no cumplimiento de las normativas vigentes.






Dominio Brindar seguimiento y Evaluar

Objetivo de Control

Específico

ME 3 Garantizar el

cumplimiento regulatorio


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


73


Brindar seguimiento y controlar las actividades de control interno de TI.

Brindar seguimiento al proceso de autoevaluación (Auditorías de TI internas)

Reportar a la administración los resultados de las auditorías internas y externas que

constituyen oportunidades de mejora en los procesos de tecnologías de información

Procedimiento de seguimiento de recomendaciones de las auditorías internas y las contratadas

externamente en lo relacionado con tecnologías de información.




Monitorear el marco de trabajo de control

interno.

Revisiones de Auditoría

Excepciones de control

Autoevaluación de control

Aseguramiento del control interno

Control interno para terceros

Acciones correctivas

Conclusiones

1. El punto de Control de Tecnologías de Información de la N-2-2007-CO-DFOE se encuentra

implementado, razón por la cual no existen observaciones ni recomendaciones por realizar

sobre este ítem.

2. A pesar de que no existe un funcionario en el SFE que desempeñe el puesto de Auditor de TI

en la Auditoría Interna; dicha dependencia gestiona con cargo a su presupuesto la

contratación de servicios de auditoría interna (contrataciones externas); con el propósito de

fiscalizar los procesos relacionados con tecnologías de información en la entidad.

3 HALLAZGOS (OPORTUNIDADES DE MEJORA) IDENTIFICADOS EN LA

EVALUACIÓN REALIZADA AL SISTEMA SACI

En esta sección se presentan las oportunidades de mejora identificadas como producto de la

evaluación efectuada al sistema SACI.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


74

3.1 ESTACIONES DE CONTROL FITOSANITARIO

3.1.1 Debilidades en el control de acceso respecto al sistema SACI.

3.1.1.1 CRITERIO

Norma 1.4.5 de la normativa N-2-2007-CO-DFOE

La organización debe proteger la información de accesos no autorizados.

Para dicho propósito debe:

a. Establecer un conjunto de políticas, reglas y procedimientos

relacionados con el acceso a la información, al software de

aplicación, a las bases de datos y a las terminales y otros recursos

de comunicación.

b. Clasificar los recursos de TI en forma explícita, formal y

uniforme de acuerdo con términos de sensibilidad.

c. Definir la propiedad, custodia y responsabilidad sobre los

recursos de TI.

d. Establecer procedimientos para la definición de perfiles, roles y

niveles de privilegio, y para la identificación y autenticación para

el acceso a la información, tanto para usuarios como para recursos

de TI.

e. Asignar los derechos de acceso a los usuarios de los recursos de

TI, de conformidad con las políticas de la organización bajo el

principio de necesidad de saber o menor privilegio. Los

propietarios de la información son responsables de definir quiénes

tienen acceso a la información y con qué limitaciones o

restricciones.

f. Implementar el uso y control de medios de autenticación

(identificación de usuario, contraseñas y otros medios) que

permitan identificar y responsabilizar a quienes utilizan los

recursos de TI. Ello debe acompañarse de un procedimiento que

contemple la requisición, aprobación, establecimiento, suspensión

y desactivación de tales medios de autenticación, así como para

su revisión y actualización periódica y atención de usos

irregulares.

g. Establecer controles de acceso a la información impresa, visible

en pantallas o almacenada en medios físicos y proteger

adecuadamente dichos medios.

h. Establecer los mecanismos necesarios (pistas de auditoría) que

permitan un adecuado y periódico seguimiento al acceso a las TI.

i. Manejar de manera restringida y controlada la información sobre

la seguridad de las TI.

3.1.1.2 CONDICIÓN

Como producto de la ejecución del estadio, se visitaron las estaciones de

control fitosanitario que forman parte de Departamento de Control

Fitosanitario, las cuales se ubican en;


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


75

Aeropuerto Internacional Daniel Oduber Quirós

Puerto Caldera

Puerto Limón

Aeropuerto Internacional Juan Santamaría

Peñas Blancas

Los Chiles

Paso Canoas

Al respecto, se determinó que la asignación de contraseña para el Sistema

SACI es permanente, por cuanto las mismas no tienen vencimiento.

Adicionalmente, no se evidenció un proceso formal para la activación,

desactivación o modificación de permisos de los usuarios en los sistemas;

esto en caso de renuncia, despido u otro tipo de situación en la cual el

usuario quede en condición inactiva, y que dicho funcionario ya no trabaje

más para la institución.

3.1.1.3 CAUSA

El sistema SACI no fue diseñado ni desarrollado para ejercer un

adecuado control respecto al acceso al mismo, como es lo relativo al

vencimiento periódico de las contraseñas asignadas a los usuarios.

3.1.1.4 EFECTO

De no ejercerse un adecuado control de acceso al sistema SACI, se

generan condiciones propicias para visualizar un riesgo real o potencial

sobre los siguientes aspectos:

Exceso de privilegios

Posibles fraudes con usuarios que permanecen activos, aun cuando ya

no laboran para las estaciones o del todo para el SFE

Fraudes con usuarios genéricos que no tienen establecidas las

responsabilidades

Fraudes por exceso de privilegios antiguos asignados a usuarios que

ahora ocupan otro puesto

3.1.1.5

CONCLUSIÓN

Las debilidades detectadas con respecto al control de acceso al sistema

SACI no contribuyen al fortalecimiento del sistema de control interno.

Dicha situación debe ser corregida en forma inmediata por la

administración, a efecto de eliminar riesgos que, de materializarse, podrían

tener una incidencia negativa y significativa en la organización

3.1.1.6

RECOMENDACIÓN

A la Unidad de TI

1. Implementar un proceso formal para la activación, desactivación o

modificación de permisos de los usuarios en los sistemas; esto en caso

de renuncia, despido u otro tipo de situación en la cual el usuario


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


76

quede en condición inactiva y que dicho funcionario ya no trabaje más

para la institución

2. Habilitar el vencimiento de cuentas de usuarios (se recomienda un

máximo de 1 mes)

Al Departamento Administrativo y Financiero

3. Elaborar, aprobar, divulgar e implementar el procedimiento que regule

las revisiones periódicas que el administrador del sistema en el

Departamento Administrativo y Financiero debe realizar de cada uno

de los usuarios que accesan el SACI, con el objetivo de valorar a qué

módulos tiene acceso cada uno. De esta manera se asegura que cada

usuario tiene acceso únicamente a lo que le corresponde.

Comentario de la Administración:

Se indica que periódicamente se realizan revisiones que incluyen lo relativo a los accesos de los

usuarios al sistema SACI; no obstante, no se cuenta con el procedimiento escrito que regule dicha

práctica administrativa.

3.1.2 Insuficiente capacitación impartida a los funcionarios que utilizan el sistema

SACI

3.1.2.1 CRITERIO


El personal de la organización debe conocer y estar comprometido con las

regulaciones sobre seguridad y confidencialidad, para reducir los riesgos

de error humano, robo, fraude o uso inadecuado de los recursos de TI.

Para ello, el jerarca, debe:

a. Informar y capacitar a los empleados sobre sus responsabilidades

en materia de seguridad, confidencialidad y riesgos asociados con

el uso de las TI.

b. Implementar mecanismos para vigilar el debido cumplimiento de

dichas responsabilidades.

c. Establecer, cuando corresponda, acuerdos de confidencialidad y

medidas de seguridad específicas relacionadas con el manejo de

la documentación y rescisión de contratos.

3.1.2.2 CONDICIÓN

Como producto de la ejecución del estudio, se visitaron las estaciones de

control fitosanitario que forman parte de Departamento de Control

Fitosanitario; las cuales se ubican en;


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


77

Aeropuerto Internacional Daniel Oduber

Puerto Caldera

Puerto Limón

Aeropuerto Internacional Juan Santamaría

Peñas Blancas

Los Chiles

Paso Canoas

Al respecto, se determinó que los funcionarios del SFE de las citadas

estaciones de control fitosanitarios no han recibido una capacitación

adecuada, situación que no ha permitido brindar un entrenamiento

continuo, orientado a que el personal refuerce y conserve sus

conocimientos, aptitudes y conciencia sobre la seguridad de la

información, aspectos que son necesarios para contribuir con el logro de

las metas organizacionales que forman parte integral de la planificación

establecida.

3.1.2.3 CAUSA

El entrenamiento continuo con respecto al sistema SACI no forma

parte de las necesidades prioritarias de capacitación identificadas,

programadas e implementadas por la organización.

3.1.2.4 EFECTO

Riesgo potencial de que se estén o se presenten dificultades en la

utilización del sistema SACI por parte de los usuarios, al no contar

con la capacitación requerida para hacer un uso eficiente de esa

herramienta tecnológica; situación que además podría generar una

inadecuada administración de la información almacenada en dicha

base de datos

3.1.2.5

CONCLUSIÓN

Las debilidades detectadas con respecto a la aparente insuficiencia de

capacitación al personal usuario del sistema SACI, podrían generar

inconvenientes en la administración del mismo, situación que debilitaría el

sistema de control interno, pues no se puede desconocer que el SFE, por

medio de ese sistema, controla y registra los ingresos percibidos por la

venta de servicios y esto es una actividad operativa sustantiva dentro del

quehacer de la organización.

3.1.2.6

RECOMENDACIÓN

Al Departamento Administrativo y Financiero

1. Adoptar las medidas necesarias a efecto de que la capacitación que

se programa e imparte a lo interno del SFE, considere lo relativo a


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


78

capacitar al personal usuario del sistema SACI (especialmente el

destacado en las estaciones de control fitosanitario); situación que

permitiría suministrar conocimiento o fortalecer el que ha sido

adquirido. En dicha gestión, la organización podría apoyarse en

el personal del Departamento Administrativo y Financiero y en la

Unidad de Tecnología de la Información.

3.1.3 Agotamiento del ciclo de vida útil del SACI

3.1.3.1 CRITERIO


La organización debe implementar el software que satisfaga los

requerimientos de sus usuarios y soporte efectivamente sus procesos, para

lo cual debe:

a) Desarrollar y aplicar un marco metodológico que guíe los

procesos de implementación y considere la definición de

requerimientos, los estudios de factibilidad, la elaboración de

diseños, la programación y pruebas, el desarrollo de la

documentación, la conversión de datos y la puesta en producción,

así como también la evaluación posimplantación de la

satisfacción de los requerimientos.

b) Establecer los controles y asignar las funciones, responsabilidades

y permisos de acceso al personal a cargo de las labores de

implementación y mantenimiento de software.

c) Controlar la implementación del software en el ambiente de

producción y garantizar la integridad de datos y programas en los

procesos de conversión y migración.

d) Definir los criterios para determinar la procedencia de cambios y

accesos de emergencia al software y datos, y los procedimientos

de autorización, registro, supervisión y evaluación técnica,

operativa y administrativa de los resultados de esos cambios y

accesos.

e) Controlar las distintas versiones de los programas que se generen

como parte de su mantenimiento.

3.1.3.2 CONDICIÓN

De acuerdo con los estándares actuales y a las mejores prácticas de

estandarización de sistemas, el sistema SACI, ya cumplió con el ciclo de

vida útil, por cuanto el mismo data de hace más de 10 años.

Una de los aspectos por señalar, es el hecho de que el sistema está

desarrollado en Visual Basic versión 6.0 y es importante señalar que


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


79

otras tecnologías de programación, ya superaron la plataforma en la cual

está basado el sistema SACI.

3.1.3.3 CAUSA

La organización no ha visualizado como una de sus prioridades en

relación con las tecnologías de la información, lo relativo al diseño,

desarrollo e implementación de un nuevo sistema.

3.1.3.4 EFECTO Que las condiciones actuales del sistema SACI, no permitan cubrir

cada una de las necesidades requeridas por la organización.

3.1.3.5

CONCLUSIÓN

Considerando en forma integral los resultados obtenidos producto de la

ejecución del estudio de auditoría; es nuestro criterio que el SFE debe

analizarse la situación actual del sistema SACI, a efecto de adoptar las

medidas que sean necesarias para que la organización cuente con el

sistema de información que realmente responda, tanto a las necesidades

del proceso de recaudación y control de los ingresos como al registro

contable y presupuestario. Lo anterior para fortalecer el sistema de control

interno, especialmente el componente funcional denominado sistemas de

información.

3.1.3.6

RECOMENDACIÓN

Al Departamento Administrativo y Financiero (Con el apoyo de la

Unidad de TI)

1. Realizar un estudio de factibilidad para el desarrollo de un nuevo

sistema de información que esté de acuerdo con el perfil tecnológico

actual y que cumpla con todos los lineamientos de la Unidad de TI del

SFE, las normas contables NICSP y las Normas Técnicas de Gestión y

Control de Tecnologías de Información (N-2-2007-CO-DFOE), emitidas

por la Contraloría General de la República.

De aprobarse el estudio mencionado, el mismo ameritaría entonces la

sustitución del sistema SACI.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


80

4 VALORACIÓN DEL NIVEL DE SATISFACCIÓN SOBRE LA CALIDAD

FUNCIONAL DE LOS SISTEMAS DE INFORMACIÓN (ENCUESTA DE

OPINIÓN PERSONAL ESTACIONES DE CONTROL FITOSANITARIO)

4.1 Resultados de la encuesta de opinión

Se realizó una encuesta de opinión entre el personal usuario del sistema SACI destacado a nivel

de estaciones de control fitosanitario (7 funcionarios); obteniéndose los siguientes resultados,

mismo que se muestran en forma porcentual:

INFORMACIÓN SOBRE EL SISTEMA DE INFORMACIÓN

1) Exactitud de los datos: (Indicar el grado de exactitud e

integridad de los datos provistos por la aplicación).

2) Contenido de la Información: (Indicar lo

adecuado del contenido de la información que

suministra el sistema. Está la información

completa o se requiere de información

adicional?)

3) Calidad de la Información: (Indicar lo

adecuado del formato de los reportes o salidas

de la aplicación. Son de fácil entendimiento o

requiere la manipulación de datos adicionales?)

4) Entrega de Resultados: (Indicar lo adecuado de la

velocidad en la que el programa ejecuta y el tiempo en

que la información es recibida)

5) Seguridad de los Datos: (Basado en la

sensitividad de la información producida por

esta aplicación, el nivel de control para la

seguridad que tiene definida la aplicación es

adecuada?)

6) Fiabilidad del Sistema: (Indicar el grado con el

que la aplicación opera confiablemente y está

disponible cuando se requiere)

No Sé

Pésimo

Malo

Regular

Bueno

Excelente

N/A

1

2

3

4

5

14%

14%

43%

29%

No Sé

Pésimo

Malo

Regular

Bueno

Excelente

N/A

1

2

3

4

5

57%

43%

No Sé

Pésimo

Malo

Regular

Bueno

Excelente

N/A

1

2

3

4

5

57%

43%

No Sé

Pésimo

Malo

Regular

Bueno

Excelente

N/A

1

2

3

4

5

29%

13%

29%

29%

No Sé

Pésimo

Malo

Regular

Bueno

Excelente

N/A

1

2

3

4

5

14%

72%

14%

No Sé

Pésimo

Malo

Regular

Bueno

Excelente

N/A

1

2

3

4

5

29%

42%

29%


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


81

7) Facilidad de Uso: (Indicar el grado de

simplicidad en la utilización de la aplicación)

8) Documentación: (Indicar la disponibilidad,

actualización, utilización y claridad de la

documentación provista. Describe la utilización

de la aplicación, las funciones y operaciones en

una forma sencilla de entender?)

9) Reportes Especiales: (Indicar el grado de

simplicidad en que se pueden generar salidas

especiales (ej. gráficos, reportes, operaciones,

consultas) a través de la aplicación)

Los resultados anteriores se presentan en el siguiente gráfico.

No Sé

Pésimo

Malo

Regular

Bueno

Excelente

N/A

1

2

3

4

5

86%

14%

No Sé

Pésimo

Malo

Regular

Bueno

Excelente

N/A

1

2

3

4

5

14%

14%

14%

44%

14%

No Sé

Pésimo

Malo

Regular

Bueno

Excelente

N/A

1

2

3

4

5

29%

57%

14%


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


82

Como resultado de la citada encuesta de opinión, los usuarios del sistema SACI con relación al

mismo, comentaron lo siguiente: Los usuarios del sistema no cuentan con una versión del Manual

de Usuario del SACI (electrónica y/o manual)

El sistema debería ser más flexible para introducir transferencias de información

Existe acceso a reportes que no son utilizados para la operación normal del sistema

En lo que se define como “hora pico” el sistema es lento

El sistema debe ser sometido a análisis para identificar las mejoras que requiere

Se requiere capacitación complementaria relativa a otros recursos tecnológicos que están

a la disposición de las estaciones (además de la requerida para el SACI)

Cuando se presenta la necesidad de modificar y/o anular un número de recibo en el SACI

y se solicita ayuda a nivel central; en ocasiones la solución tarda hasta 15 días

Se requiere plantas eléctricas como una medida de contingencia para no suspender el

proceso automatizado del SACI; situación que eliminaría la práctica de emitir recibos

manuales

El sistema SACI opera en forma local; razón por la cual las actualizaciones no son en

línea. Lo anterior, aun cuando dicha situación ha sido superada en las otras estaciones de

control fitosanitario

En ocasiones se tienen problemas de configuración con las impresoras

Como parte de esa encuesta de opinión, se le consultó a la misma población entrevistada (7

servidores) sobre los siguientes aspectos, obteniéndose los resultados que se muestran

seguidamente (en forma porcentual):

¿Considera que la Unidad

de Tecnología de la

Información y

Comunicación da los

resultados esperados?

SÍ NO

100% ----

¿Cómo considera usted,

en general, el servicio

proporcionado por la

Unidad de Tecnología de

la Información?

Deficiente Aceptable Satisfactorio Excelente

14% 14% 57% 29%

¿Cubre las necesidades

adecuadamente el sistema

que utiliza?

No las cubre Parcialmente La mayor

parte

Todas

---- ---- 43% 57%

¿Hay disponibilidad en la

Unidad de Tecnología de

la Información para

atender nuevos

requerimientos?

Generalmente

no existe

Hay

ocasionalmente

Regularmente Siempre

---- 14% 29% 57%


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


83

¿Son entregados con

puntualidad los

trabajos solicitados a

la Unidad de

Tecnología de la

Información?

Nunca Rara vez Ocasionalmente Generalmente Siempre

---- ---- ---- 43% 57%

¿Qué piensa de las

capacitaciones

recibidas en materia

informática?

No se

proporciona

Es

insuficiente

Satisfactoria Excelente

86% ---- 14% ----

Como consecuencia de la respuesta a las consultas anteriores, se emitieron los siguientes

comentarios:

a) La búsqueda de recibos no está implementada en el sistema SACI, tenemos que ir uno

por uno en pantalla para encontrarlos.

b) No hay un enlace entre el número del depósito y el número del recibo; por cuanto no está

implementado en el SACI.

c) La denominación en el sistema SACI de factura no es correcta, en realidad es un recibo

de dinero por un servicio prestado.

d) Hay tres sistemas que se ocupan particularmente, tales como: Control de Vuelo, Bitácora

de trabajo y Control de Rampa e Inspección. Lo anterior por cuanto ese tipo de registros

se lleva en hojas de Excel.

e) Se requiere un reporte de formularios vendidos, según la naturaleza de los mismos; no

obstante, aun cuando se ha solicitado no ha sido atendida la necesidad.

f) El sistema no suministra un reporte resumen relacionado con el servicio de inspección de

barcos; y otros reportes en ocasiones no se obtienen por cuanto presentan errores (por

ejemplo, reporte de proyecciones en barcos tarifas).

g) El sistema SACI debería estar en red.

h) Debería haber disponibilidad de servicio técnico los días sábados, domingos y feriados;

como una contingencia, porque el personal técnico trabaja los 365 días del año.

i) Como parte de las acciones de mejora, se debería considerar lo siguiente:

Mayor rapidez de respuesta de las comunicaciones.

Mejorar el ancho de banda de Internet.

Revisiones periódicas de la red y equipos; por cuanto el salitre del mar lo destruye

todo, especialmente lo electrónico.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


84

4.2 Recomendación

A la Unidad de TI y al Departamento Administrativo y Financiero, atender la

recomendación, según área de competencia:

4.2.1 Analizar los resultados descritos en el numeral 4.1, a efecto de adoptar las medidas que

pudiese corresponder con relación a la calidad funcional del sistema SACI y otros aspectos

vinculados con los servicios que brinda la Unidad de TI. Aun cuando los resultados obtenidos

respecto al nivel de satisfacción en términos generales fueron satisfactorios; la gestión que se

recomienda debe propiciar el fortalecimiento de las prácticas de mejora continua y visualizar la

implementación de mecanismos y prácticas de control que posibiliten un monitoreo periódico de

la satisfacción de los usuarios de los sistemas; resultados que deben suministrar información

valiosa para la toma de decisiones. Las acciones que se adopten con relación a la

implementación de la presente documentación deberán quedar documentadas.

Glosario de Definiciones

Para efectos de aplicación de la presente evaluación, deberán considerarse las siguientes

definiciones desde la perspectiva de la Normativa N-2-2007-CO-DFOE, la cual contiene el

siguiente glosario de definiciones:

Activos informáticos Véase “Recursos informáticos”

Acuerdos de

confidencialidad

Convenio suscrito entre la entidad y sus funcionarios, o bien, entre

instituciones que comparten datos o sistemas, para garantizar el manejo

discreto de la información. También, se utiliza el concepto “cláusulas de

confidencialidad”, que son aquellas que imponen una obligación

negativa: de no hacer o de abstenerse; es decir, de no utilizar la

información recibida con fines distintos a los estipuladas (Véanse el

artículo 71 y siguientes del Código de Trabajo).

Acuerdos de servicio Los acuerdos de servicios, mejor conocidos como convenios o acuerdos

de nivel de servicio (“SLAs” por sus siglas en inglés de “Service Level

Agreement”) son contratos escritos, formales, desarrollados

conjuntamente por el proveedor del servicio de TI y los usuarios

respectivos, en los que se define, en términos cuantitativos y cualitativos,

el servicio que brindará la dependencia responsable de TI y las

responsabilidades de la contraparte beneficiada por dichos servicios.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


85

Ambiente de

desarrollo

Conjunto de componentes de hardware y software donde se efectúan los

procesos de construcción, mantenimiento (v.gr.: ajustes, cambios y

correcciones) y pruebas de sistemas de información.

Ambiente de

producción

Conjunto de componentes de hardware y software donde se efectúan los

procesos normales de procesamiento de datos, con sistemas e información

reales.

Base de datos Colección de datos almacenados en un computador, los cuales pueden

ser accedidos de diversas formas para apoyar los sistemas de información

de la organización.

Calidad Propiedad o conjunto de propiedades inherentes a algo, que permiten

juzgar su valor. / Conjunto de características que posee un producto o

servicio obtenidos en un sistema productivo, así como su capacidad de

satisfacción de los requerimientos del usuario.

Confidencialidad de

la información

Protección de información sensible contra divulgación no autorizada.

Contingencia Riesgo que afecta la continuidad de los servicios y operaciones.

Continuidad de los

servicios y

operaciones

Implica la prevención, mitigación de las interrupciones operacionales y la

recuperación de las operaciones y servicios.

Contraseñas

Véase “password”.

Conversión de datos

Proceso mediante el cual se cambia el formato de los datos.

Cumplimiento

Proceso de respetar y aplicar las leyes, reglamentaciones y disposiciones

contractuales a las que está sujeta la organización.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


86

Datos Objetos en su sentido más amplio (es decir, internos y externos),

estructurados y no estructurados, gráficos, sonido, entre otros.

Desarrollo Etapa del ciclo de vida del desarrollo de sistemas que implica la

construcción de las aplicaciones.

Disponibilidad de la

información

Se vincula con el hecho de que la información se encuentre disponible

(v.gr. utilizable) cuando la necesite un proceso de la organización en el

presente y en el futuro. También se asocia con la protección de los

recursos necesarios y las capacidades asociadas. Implica que se cuente

con la información necesaria en el momento en que la organización la

requiere.

Efectividad de la

información

Que la información sea cierta, oportuna, relevante y pertinente para la

organización.

Eficiencia Provisión de información efectiva a la organización mediante el uso

óptimo (el más productivo y económico) de los recursos.

Función de TI Unidad organizacional o conjunto de componentes organizacionales

responsable de los principales procesos relacionados con la gestión de las

tecnologías de información en apoyo a la gestión de la organización.

Gestión de las TI Conjunto de acciones fundamentadas en políticas institucionales que, de

una manera global, intentan dirigir la gestión de las TI hacia el logro de

los objetivos de la organización. Para ello se procura, en principio, la

alineación entre los objetivos de TI y los de la organización, el balance

óptimo entre las necesidades de TI de la organización y las oportunidades

que sobre ello existen, la maximización de los beneficios y el uso

responsable de los recursos, la administración adecuada de los riesgos y el

valor agregado en la implementación de dichas TI. Tales acciones se

relacionan con los procesos (planificación, organización, implementación,

mantenimiento, entrega, soporte y seguimiento), recursos tecnológicos

(personas, sistemas, tecnologías, instalaciones y datos), y con el logro de

los criterios de fidelidad, calidad y seguridad de la información.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


87

También se entiende como “Gobernabilidad de TI”.

Hardware Todos los componentes electrónicos, eléctricos y mecánicos que integran

una computadora, en oposición a los programas que se escriben para ella

y la controlan (software).

Información Conjunto de datos que han sido capturados y procesados, que se

encuentran organizados y que tienen el potencial de confirmar o cambiar

el entendimiento sobre algo.

Infraestructura

tecnológica

Conjunto de componentes de hardware e instalaciones en los que se

soportan los sistemas de información de la organización.

Instalaciones Edificaciones y sus aditamentos utilizados para alojar los recursos

informáticos.

Integridad Precisión y suficiencia de la información, así como su validez de acuerdo

con los valores y expectativas del negocio.

Jerarca Superior jerárquico, unipersonal o colegiado del órgano o ente quien

ejerce la máxima autoridad.

Marco de seguridad

de la información

Conjunto de componentes asociados a la gestión de la seguridad dentro de

los cuales cuentan, entre otros: Principios y términos definidos para un

uso uniforme en la organización; un sistema de gestión que implica la

definición de actividades, productos y responsables del proceso de

definición, implementación y seguimiento de acciones para la seguridad

de la información; el conjunto de controles; las guías de implementación;

métricas para seguimiento y la consideración de riesgos.

Menor Privilegio Principio utilizado para la asignación de perfiles de usuario, según el cual

a este se le deben asignar, por defecto, únicamente los permisos

estrictamente necesarios para la realización de sus labores.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


88

Migración Proceso de traslado de datos o sistemas entre plataformas o entre

sistemas.

Cobit Objetivos de Control para Información y Tecnología Relacionada –

Cobit®

Modelo de

información

Representación de los procesos, sistemas y datos, y sus interrelaciones,

mediante los cuales fluye toda la información organizacional.

No negación Condición o atributo que tiene una transacción informática que permite

que las partes relacionadas con ella no puedan aducir que la misma

transacción no se realizó o que no se realizó en forma completa, correcta

u oportuna.

Necesidad de saber Principio utilizado para la definición de perfiles de usuario según el cual a

éste se le deben asignar los permisos estrictamente necesarios para tener

acceso a aquella información que resulte imprescindible para la

realización de su trabajo.

Pistas de auditoría Información que se registra como parte de la ejecución de una aplicación

o sistema de información y que puede ser utilizada posteriormente para

detectar incidencias o fallos. Esta información puede estar constituida por

atributos como: la fecha de creación, última modificación o eliminación

de un registro, los datos del responsable de dichos cambios o cualquier

otro dato relevante que permita dar seguimiento a las transacciones u

operaciones efectuadas. Las pistas de auditoría permiten el rastreo de

datos y procesos; pueden aplicarse progresivamente (de los datos fuente

hacia los resultados), o bien regresivamente (de los resultados hacia los

datos fuente).

Término que resume los componentes de hardware y software (software

de base, utilitarios y software de aplicación) utilizados en la organización.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


89

Prestación de

servicios de TI

Entrega o prestación eficaz de los servicios de TI requeridos por la

organización, que comprenden desde las operaciones tradicionales sobre

aspectos de seguridad y continuidad, hasta la capacitación. Para prestar

los servicios, debe establecerse los procesos de soporte necesarios. Como

parte de esta prestación, se incluye el procesamiento real de los datos por

los sistemas de aplicación, a menudo clasificados como controles de

aplicaciones.

Propiedad de la

información

Tiene la propiedad de la información la unidad responsable o que puede

disponer sobre dicha información.

Recursos de TI Aplicaciones, información, infraestructura (tecnología e instalaciones) y

personas que interactúan en un ambiente de TI de una organización.

Recursos

informáticos

Véase “recursos de TI”.

Seguimiento de las

TI

Evaluación regular de todos los procesos de TI a medida que transcurre el

tiempo para determinar su calidad y el cumplimiento de los

requerimientos de control. Es parte de la vigilancia ejercida por la función

gerencial sobre los procesos de control de la organización y la garantía

independiente provista por la auditoría interna y externa u obtenida de

fuentes alternativas.

Seguridad Conjunto de controles para promover la confidencialidad, integridad y

disponibilidad de la información.

Seguridad física

Protección física del hardware, software, instalaciones y personal

relacionado con los sistemas de información.


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


90

Servicios prestados

por terceros

Servicios recibidos de una empresa externa a la organización. Por lo

general, requiere de una contraparte interna de la organización que

garantice que el producto desarrollado cumple con los estándares

establecidos por ésta. También, es conocido como “outsourcing”.

Software Los programas y documentación que los soporta que permiten y que

facilitan el uso de la computadora. El software controla la operación del

hardware.

Software de

aplicación

Programa de computadora con el que se automatiza un proceso de la

organización y que principalmente está diseñado para usuarios finales.

También conocido como sistemas de aplicación.

Software de base También, conocido como software de sistemas, que es la colección de

programas de computadora usados en el diseño, procesamiento y control

de todas las aplicaciones, los programas y rutinas de procesamiento que

controlan el hardware de computadora. Incluye el sistema operativo y los

programas utilitarios.

Tecnologías de

información (TI)

Conjunto de tecnologías dedicadas al manejo de la información

organizacional.

Término genérico que incluye los recursos de: información, software,

infraestructura y personas relacionadas.

Titular Subordinado Funcionario de la administración activa responsable de un proceso, con

autoridad para ordenar y tomar decisiones.

ASA Y TMG Software de seguridad que actúan como Firewall (Muros de Fuego).


Teléfono: (506) 2248-3286, Fax: (506) 2248-4535


91

TIAR 4 Clasificación actual de nivel de seguridad de sitio alterno de Centro de

Datos contratado por el SFE, la clasificación más alta es TIAR 5.

NDAs Acuerdos de confidencialidad de no divulgación de información.

OLAs Acuerdos de niveles de operación de infraestructura tecnológica.

WSUS Servidor de actualizaciones de TI instalado en Centro de Datos.

ASA Controles de flujo de Información de software.

servicio de auditorÍa interna sobre tecnologÍas de informaciÓn resultados de … ·...

Documents