· Web viewmantener un sistema de información que registre los resultados del inventario de equipos y licencias adquiridas, e instalaciones (equipos donde se tienen instaladas las

San José, 18 de diciembre del 2014INF-DGAI-035-2014

Señor Alfredo Abarca Rojas, Director Dirección de Tecnologías de Informacióny Comunicación

ASUNTO: Informe de control interno, sobre controles de los programas de cómputo.

Estimado señor:

Le presentamos informe de auditoría INF-DGAI-035-2014 referente al estudio realizado por esta Dirección General de Auditoria Interna sobre la evaluación del control de los programas de cómputo, en la Unidad de Administración de Software de la Dirección de Tecnología de Información y Comunicación (DTIC) del Ministerio de Hacienda.

En el estudio se determinaron algunos aspectos de control interno que requieren ser revisados y fortalecidos de conformidad con las obligaciones dispuestas en la Ley General de Control Interno y el Decreto Ejecutivo denominado de Legalización de Software en el Gobierno Central y otras leyes conexas.

Las recomendaciones contenidas en este informe, están sujetas a las disposiciones del artículo 36 de la Ley General de Control Interno, que establece un plazo de diez días hábiles, contados a partir de la fecha de recibo del informe, para ordenar la implantación de las recomendaciones o si discrepa de ellas, debe elevar la objeción y soluciones alternas al señor Ministro en el plazo establecido.

Por lo anterior, conforme con esa normativa y el Manual para la atención de informes de la Contraloría General de la República y la Dirección General de Auditoría Interna vigente en la institución, le agradecemos comunicar a esta Dirección la decisión que se tome al respecto dentro del plazo antes señalado, así como en un tiempo razonable, el plan de acción que se defina para su implantación.

Dejándolo informado para la toma de decisiones, se suscribe.

Atentamente,

Master Juan de Dios Araya NavarroDirector General

JDAN/GBM/sfm/ecr

c:. Sr. Helio Fallas Venegas, Ministro de Hacienda Estudio N°005-2014

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3era. 50m sur del Teatro Nacional. San José, Costa Rica. Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr

http://www.hacienda.go.cr/

INFORME SOBRE LA EVALUACIÓN DEL CONTROL DE LOS PROGRAMAS DE

CÓMPUTO EN EL MINISTERIO DE HACIENDA

INF-DGAI-035-2014


Dirección General de Auditoría InternaDiciembre 2014


INFORME SOBRE LA EVALUACIÓN DEL CONTROL DE LOS PROGRAMAS DE CÓMPUTO EN EL MINISTERIO DE HACIENDA

Tabla de contenido

Resumen Ejecutivo................................................................................................................................................ i1. Introducción................................................................................................................................................. 1

1.1 Origen................................................................................................................................................... 11.2 Objetivo................................................................................................................................................ 11.3 Alcance................................................................................................................................................. 11.4 Comunicación oral de resultados....................................................................................................11.5 Normativa relacionada en materia de control y atención de informes......................................1

2. Resultados................................................................................................................................................... 22.1 Aspectos generales............................................................................................................................. 22.2 De las actividades realizadas por la DTIC para el cumplimiento del Decreto N° 37549-JP. 32.3 Sobre el Sistema de Inventario de Software.................................................................................42.4 Sobre la instalación de software no autorizado y la custodia de documentos.........................52.5 Sobre los manuales para el uso e instalación de programas y la capacitación de usuarios..7

3. Conclusiones............................................................................................................................................... 84. Recomendaciones...................................................................................................................................... 8




Resumen Ejecutivo

Este informe es el resultado de un estudio de auditoria programado en el Plan de Auditoría del año 2014, orientado para evaluar los controles establecidos en la Unidad de Administración de Software de la Dirección de Tecnología de Información y Comunicación (DTIC,) sobre los programas de software contenidos en los equipos de cómputo del Ministerio de Hacienda, para efectos de determinar la razonabilidad de estos para garantizar el uso autorizado, la salvaguarda de los recursos públicos, y el cumplimiento de la normativa.

El estudio comprendió la revisión de los controles establecidos para administrar el software a nivel institucional, de conformidad con las obligaciones establecidas en el Decreto Ejecutivo No 37549-JP, denominado: “Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central” de fecha 1 de marzo de 2013.

En el desarrollo del estudio se determinaron algunos aspectos de control que requieren ser revisados y corregidos de manera que las actividades emprendidas en función del Decreto Ejecutivo No 37549-JP sean suficientes para brindar una garantía razonable de que la institución cumple con lo dispuesto en dicho Reglamento; específicamente en cuanto a lo siguiente:

El sistema de información diseñado para el registro y control de las licencias de los programas, utiliza como herramienta informática un sistema denominado “Sistema de Inventario de Software” el cual es alimentado mediante el levantamiento periódico de las licencias de software instaladas en los equipos de cómputo por el Ministerio, lo que no permite contar en todo momento con información actualizada de licencias en existencia, el tipo de licencias que están siendo utilizadas y su costo.

No se han definido controles que garanticen la confiabilidad y oportunidad de la información contenida en el inventario, y que tienen que ver con las operaciones que lo incrementan o lo disminuyen, según se trate de compras, desinstalación, uso o destrucción de licencias, entre otros.

Se mantienen instaladas en los equipos de la institución una cantidad de licencias de programas informáticos mayor a las autorizadas.

No se cuenta con manuales de procedimientos en donde se defina de manera integral, clara y precisa las rutinas que se deben realizar para el uso e instalación de programas de cómputo, así como con planes para el entrenamiento de los funcionarios de las diferentes dependencias del Ministerio en el uso legal de esos programas.

En razón de lo anterior, se emiten las recomendaciones correspondientes, las cuales están sujetas a las disposiciones del artículo 36 de la Ley N° 8292 Ley General de Control Interno y al Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna en este Ministerio.

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3era. 50m norte del Teatro Nacional. San José, Costa Rica. Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr


INF-DGAI-035-2014Página 1 de 9


1. INTRODUCCIÓN

1.1 Origen

El estudio se realizó de conformidad con el Plan de Trabajo Anual del año 2014, de esta Dirección General de Auditoría Interna.

1.2 Objetivo

Consistió en evaluar los controles establecidos sobre las licencias de los sistemas informáticos del Ministerio, para efectos de determinar la razonabilidad de estos para garantizar el cumplimiento de la normativa vigente. 1.3 Alcance

Comprendió la evaluación de los controles existentes en la Dirección de Tecnologías de Información y Comunicación, sobre las licencias de los sistemas informáticos del Ministerio de Hacienda, así como de las acciones realizadas por esa Dirección para cumplir con las disposiciones contenidas en el Decreto Ejecutivo No 37549-JP, orientado al uso legal de software en el Gobierno Central, extendiéndose a otros aspectos, cuando se consideró necesario.

Este estudio se realizó de acuerdo con la normativa aplicable al ejercicio de la Auditoría Interna del Sector Público.

1.4 Comunicación oral de resultados

Los resultados y recomendaciones que contiene este informe fueron presentados el 18 de diciembre del 2014, a la licenciada María Isabel Vargas Zúñiga, Subdirectora de la Dirección General de Tecnología de Información y Comunicación, Licenciada Patricia Hidalgo González, Jefe del Área de Sistemas y Licenciado Roy Muñoz Rodríguez, Jefe de la Unidad de Administración de Software. Las observaciones realizadas por los participantes, en lo procedente, fueron consideradas en este informe.

1.5 Normativa relacionada en materia de control y atención de informes

A fin de prevenir efectos negativos por inobservancia de la legislación vigente, a continuación se transcriben los artículos de la Ley General de Control Interno N° 8292 (LGCI), que regulan los deberes del jerarca y titulares subordinados en materia de control y atención de informes.

“Artículo 10. -Responsabilidad por el sistema de control interno. // Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.”

“Artículo 12. -Deberes del jerarca y de los titulares subordinados en el sistema de control interno. “…c) Analizar e implantar, de inmediato, las observaciones, recomendaciones y disposiciones formuladas por la auditoría interna, la Contraloría General de la República, la auditoría externa y las demás instituciones de control y fiscalización que corresponde…”

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica. Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr



Artículo 36. —Informes dirigidos a los titulares subordinados.// Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados .b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda.”

“Artículo 39. —Causales de responsabilidad administrativa. // El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios.//El jerarca, los titulares subordinados y los demás funcionarios públicos incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable.//(…) Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente…”

2. RESULTADOS

2.1 Aspectos generales

De conformidad con el Decreto Ejecutivo No. N° 37859-H1 se crea la Dirección de Tecnologías de Información y Comunicación (DTIC), cuyo objetivo es coordinar y asegurar el cumplimiento de las actividades de la gestión de Tecnologías de Información y Comunicación, que permitan el alineamiento con los objetivos estratégicos del Ministerio y sus funciones operativas. En este mismo Decreto se crea la Unidad de Administración del Software, cuyo fin es administrar el software a nivel institucional y gestionar iniciativas para la implementación de soluciones de software libre y/o licenciado.

El uso legal de programas informáticos y los mecanismos de control correspondientes se encuentran regulados desde la promulgación del Decreto Ejecutivo No 30151-J2 y posteriormente por el No 37549-JP3, emitido para prevenir y combatir el uso ilegal de programas de cómputo, con el fin de cumplir con las disposiciones sobre derecho de autor que establecen la “Ley sobre Derechos de Autor y Derechos Conexos” y la “Ley de Procedimientos de Observancia de los Derechos de Propiedad Intelectual”, acatando las provisiones pertinentes de los acuerdos internacionales, incluyendo el “Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio” y también las otras disposiciones de la normativa nacional vigente.

1 Decreto de Organización y Funciones de la DTIC, publicado en el diario oficial La Gaceta Nº 167 del 2 de setiembre del 2013

2 Publicado en el diario oficial La Gaceta N°37 del 21/02/2002, derogado por el artículo 16 del Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central, aprobado mediante decreto ejecutivo N° 37549 del 26 de noviembre de 2012.

3 Publicado en el diario oficial La Gaceta N° 43 del 01/03/2013




Se establecen en el capítulo I, artículo Nº 2 y capítulo II artículos N°8, 9, 10, 11 y 12 del Decreto Ejecutivo No 37549-JP, una serie de regulaciones relacionadas con la instalación de los programas de cómputo y con las reglas que debe cumplir el experto en informática de cada entidad de Gobierno Central, para la adquisición y utilización de programas de cómputo.

De acuerdo con lo expuesto, en esa normativa es clara la responsabilidad de la DTIC de mantener información sobre la adquisición y utilización de programas de cómputo con sus respectivas licencias de uso.

Según información suministrada por la Licda. Vanessa Bolaños, de la Unidad de Estrategia TIC de la DTIC, en el Ministerio de Hacienda en el año 2014 se presupuestó para la adquisición de licencias, la suma de ¢2.022.769.410,00 distribuida de la siguiente forma:

Tipo de licencia Monto presupuestado· Microsoft ¢1.684.165.370 (mil seiscientos ochenta y cuatro millones ciento

sesenta y cinco mil trescientos setenta colones)· Scan Egine ¢4.320.000 ( cuatro millones trescientos veinte mil colones). Genexus ¢3.740.040 (tres millones setecientos cuarenta mil cuarenta colones)· Antivirus ¢57.600.000 (cincuenta y siete millones seiscientos mil colones)· VMware ¢100.800.000 (cien millones ochocientos mil colones)· SIGADE ¢172.000.000 (ciento setenta y dos millones de colones)· Software para encriptar datos en el data protector

¢144.000 (ciento cuarenta y cuatro mil colones).

2.2 De las actividades realizadas por la DTIC para el cumplimiento del Decreto N° 37549-JP.

De acuerdo al estudio realizado, se evidencia un gran esfuerzo por parte de la DTIC para dar cumplimiento a las disposiciones contenidas en el Decreto Ejecutivo N°37549-JP del 01 de marzo de 2013 de legalización de software en el Gobierno Central, no solo con el establecimiento de una Unidad de Administración de Software encargada del control y seguimiento del licenciamiento institucional, sino también en cuanto a la implementación de mecanismos de control, para una adecuada custodia y control de inventarios de los programas informáticos y de equipo de cómputo adquiridos por el Ministerio.

Con estas acciones, se han centralizado las funciones de control de las licencias de programas en esa Unidad, minimizando así los riesgos sobre esos bienes y evitando que la información sobre hardware y software se encuentre dispersa en las diferentes dependencias del Ministerio, en concordancia con la proyección institucional y de conformidad con las disposiciones que se presentan en el Decreto No 37549-JP, supracitado.

En el momento del estudio, se habían realizado algunas mejoras en cuanto a la automatización en la captura de información relativa a las licencias de software por medio de un sistema denominado ISWEB (Inventario de Software) el cual es una herramienta desarrollada para tener a disposición un inventario de software de los equipos pertenecientes al Ministerio de Hacienda, permitiendo el control del licenciamiento con el que se cuenta, así como de los contratos de cada una de las licencias. En el mismo orden de cosas, se han emitido y comunicado directrices sobre la instalación de software autorizado a través de circulares a la Administración.

Sin embargo, están pendientes algunas soluciones sustantivas en cuanto al mejoramiento del sistema de inventario de software, la definición de procedimientos para el levantamiento de inventarios de software autorizado y el establecimiento de políticas y criterios administrativos, para la instalación de licencias y




entrenamiento de usuarios, que no han sido llevadas a cabo, las cuales se estima, sean solventadas con el nuevo contrato de arrendamiento y se detallan en los siguientes puntos.

2.3 Sobre el Sistema de Inventario de Software.

La norma 5.6 de las “Normas de control interno para el Sector Público” (N-2-2009-CO-DFOE), emitidas por la Contraloría General de la República, con respecto a la calidad de la información, señala:

“El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los sistemas de información contemplen los procesos requeridos para recopilar, procesar y generar información que responda a las necesidades de los distintos usuarios. (….)”

De acuerdo con el Decreto Ejecutivo N° 37549-JP, el Ministerio deberá mantener un sistema de información que registre los resultados del inventario de equipos y licencias adquiridas, e instalaciones (equipos donde se tienen instaladas las licencias permitidas bajo tales autorizaciones), sistema que permitirá determinar si tienen suficientes autorizaciones para cubrir todos los equipos y los programas en uso, ello permitirá establecer que se cumple con la protección de los derechos de autor relativos a los programas de cómputo. En el sistema deberá constar la fecha de instalación y el funcionario que autoriza la instalación de la licencia.

Al respecto, se logró determinar que en la Unidad de Administración de Software de la DTIC (UAS), se mantiene un sistema que permite llevar un control de las licencias de software adquiridas por el Ministerio, así como del equipo de cómputo donde se mantienen instaladas esas licencias; sin embargo, este sistema no le permite llevar un registro permanente de las entradas y salidas y el saldo del software licenciado a una fecha determinada.

El Sistema de Información ISWEB o IS Sistema de Inventario de Software, es el sistema que se ha implementado en la Unidad de Administración de Software (UAS) para almacenar la información del software y equipo de cómputo adquirido por el Ministerio (compra , alquiler, desarrollo), el cual está dispuesto para identificar el usuario, el número de patrimonio, la ubicación, y el tipo de software, así como para obtener la información del software instalado en cada dependencia y emitir información relacionada con las solicitudes de instalación recibidas.

No obstante, la información que contiene el ISWEB, no corresponde a la de un registro de inventario permanente de licencias de programas y equipo sino que es el resultado del levantamiento de un listado del software instalado en los equipos adquiridos por el Ministerio, que se realiza en forma periódica mediante visitas a las unidades de las diferentes dependencias del Ministerio o por acceso remoto, obteniendo la información del software instalado en los equipos, lo que no permite contar en todo momento con información actualizada sobre las licencias adquiridas, en uso o en desuso.

Además, no registra información relativa a movimientos de inventario por la adquisición y baja de licencias, y al no mantener información actualizada, no permite obtener reportes oportunos a una fecha determinada.

Asimismo, solo cuenta con un reporte, no cuenta con roles ni perfiles y tampoco con bitácoras a nivel de sistema; y a la fecha del estudio no se logró observar información de los sistemas que han sido desarrollados en el Ministerio, como tampoco información actualizada con la totalidad de licencias de SW, clasificadas por programa. Además, no posee información sobre las licencias, en cuanto a la fecha en que fueron adquiridas, costo, la fecha de instalación y quien autoriza.

Adicionalmente, no se han definido controles que garanticen la confiabilidad y oportunidad de la información contenida en el inventario, y que tienen que ver con las operaciones que lo incrementan o lo disminuyen, según se trate de compras, desinstalación, uso o destrucción de licencias, entre otros.




Un sistema de inventario permanente, le permitiría al Ministerio tener información exacta en una fecha determinada de la cantidad de licencias en existencia, el tipo que están siendo utilizadas y su costo. Además, se podrían hacer seguimientos y verificaciones por muestreo, para cotejar la información contenida en las computadoras con relación al inventario que se mantiene en el sistema, debido a la actualización de los datos.

Lo anterior, conlleva un efecto positivo sobre el control de esos componentes, por la información actualizada; y al ejercerse un control constante, se minimiza la pérdida de esos bienes, con la consiguiente salvaguarda de los recursos de la organización por una mejor administración, minimizando así los riesgos potenciales que los puedan afectar.

De acuerdo a lo expuesto, se puede decir que si bien la UAS ha realizado esfuerzos por mantener un sistema de información para el registro y control de software y equipo de cómputo, se hace necesario que esa Unidad establezca los controles necesarios para el registro oportuno de los movimientos de inventario, así como las acciones correctivas para mejorar los módulos y aplicaciones del ISWEB de tal forma que mantenga información completa y actualizada que dé apoyo a las operaciones, la gestión y la toma de decisiones sobre las licencias y sus instalaciones, proporcionando a los usuarios la información que necesitan mediante el uso de esa tecnología, de manera oportuna y de conformidad con lo que disponen el Decreto Ejecutivo No 37549-JP, y las disposiciones sobre derechos de autor que establecen las leyes N° 6683 y N° 8039.

2.4 Sobre la instalación de software no autorizado y la custodia de documentos

Respecto a la instalación de programas de cómputo, se determinó que aun cuando el sistema IS (Inventario de Software) que maneja la UAS es una herramienta desarrollada para llevar un control del licenciamiento con el que cuenta el Ministerio de Hacienda, se mantiene en uso software no licenciado o autorizado en contraposición a lo establecido en el Decreto Ejecutivo N° 37549-JP.

Esta condición se comprobó no solo en los reportes que genera ese Sistema, sino en el informe que brindó el Departamento de Control y Aseguramiento en conjunto con la Unidad de Administración de Software de la DTIC, en oficio DTIC-DCA-UAS-025-2014 de fecha 27 de junio de 2014 dirigido a la Licenciada Vannessa Cohen Jiménez, Directora Oficina Derechos de Autor y Conexos del Registro Nacional, mediante el cual se informa sobre el estado del Ministerio en cuanto a la implementación del Decreto Ejecutivo N° 37549-JP, y en donde también se indica, que hay más licencias instaladas que las autorizadas en algunos programas o aplicaciones.

De acuerdo con la revisión de reportes que emite el Sistema de Inventario administrado por la Unidad de Administración de Software, se identificó una lista de licencias de software en uso que exceden las autorizadas, según se observa a continuación:

Detalle de licencias informáticas del Ministerio de Hacienda al 30 de junio 2014

LICENCIA CANTIDAD DE LICENCIAS

INSTALACIONES EXCEDENTE

Office professional 2800 3876 1076Windows Pro 2800 3467 667Project Professional 80 2456 2376System Center Operations Manager 12 14 2Visio Professional 166 2545 2379Visual Studio 32 170 138GTE (Tesorería Nacional) 50 69 19CCX 5.0 PREMIUM 10 agentes 10 23 13ACL 42 56 14IBM Lotus Domino Enterprise Client access

16 32 16




SAP -481 817 1298 481Websense 2000 3460 1460

Fuente: reportes del IS WEB o Sistema de Inventario de Software

En cuanto a la custodia de los documentos relativos a las licencias de SW, se determinó que los encontrados en los ampos revisados, en su mayoría están desactualizados, no llevan un orden estricto de archivo y en algunos casos con duplicación de la copia de la licencia en otro ampo, lo que evidencia que los documentos no se tienen centralizados en un solo lugar para facilitar el acceso a los archivos y a toda la información asociada a estas; además, se evidenció que el original de los documentos sobre programas de software adquiridos por las diferentes dependencias del Ministerio se mantienen en custodia del programa presupuestario que adquirió la licencia.

La falta de un sistema de control para el uso y control de licencias de programas, así como para la salvaguarda de la documentación relativa a esas licencias, infringe lo dispuesto en los artículos 2 y 8 del Decreto Ejecutivo N° 37549-JP sobre Derechos de Autor y normativa relacionada, debido a que podría presentar el riesgo de uso de software ilegal en los equipos del Ministerio, comprometiendo incluso la seguridad de la información manejada en las redes internas de la Institución.

Asimismo existe riesgo en cuanto a la gestión documental y de custodia de documentos relativos al software licenciado adquirido por el Ministerio, ya que la situación determinada sobre el acceso a los archivos y a toda la información asociada a esos dispositivos informáticos, puede provocar el extravío de documentos y no permite llevar un control efectivo sobre la cantidad de licencias adquiridas y su fecha de vencimiento.

Al respecto, la norma 5.4 de las “Normas de control interno para el Sector Público” (N-2-2009-CO-DFOE), con respecto a la gestión documental, señala lo siguiente:

“El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los sistemas de información propicien una debida gestión documental institucional, mediante la que se ejerza control, se almacene y se recupere la información en la organización, de manera oportuna y eficiente, y de conformidad con las necesidades institucionales.”

En el mismo orden de cosas, el l inciso b) del artículo 2 del Decreto N° 37549-JP, con respecto al archivo de documentos relativo a las licencias de SW, señala:

“Garantizar que se tengan suficientes autorizaciones para cubrir todos los equipos y los programas en uso, guardándose la documentación correspondiente en un solo lugar con la custodia necesaria”.

El artículo 8º de este mismo Decreto con relación a la instalación de programas de software, dispone lo siguiente:

“Queda totalmente prohibido la instalación de programas de cómputo que no cuenten con la respectiva licencia de uso legal en ninguna oficina del Gobierno Central e instituciones adscritas. Los programas solamente podrán ser instalados por el experto en informática autorizado o por quien este determine para el buen desempeño de las funciones designadas. Cualquier violación a las normas de derechos de autor por parte de los funcionarios de los Ministerios e Instituciones adscritas al Gobierno Central, se procederá con la apertura del debido proceso con el fin de aplicar la sanción de carácter administrativo disciplinario que corresponda.”

Durante de la Comunicación de resultados y recomendaciones, los funcionarios de la DTIC, Licda. María Isabel Vargas Zúñiga, Subdirectora y el Lic. Roy Muñoz Rodriguez, indicaron, que dichos datos ya habían variado sustancialmente producto de las medidas adoptadas por esa Dirección así como de la coyuntura que se presentó con la nueva contratación y cambio de equipos.




2.5 Sobre los manuales para el uso e instalación de programas y la capacitación de usuarios.

La norma 5.8 de las “Normas de control interno para el Sector Público” (N-2-2009-CO-DFOE), respecto al control de sistemas de información, dispone lo siguiente:

“El jerarca y los titulares subordinados, según sus competencias, deben disponer los controles pertinentes para que los sistemas de información garanticen razonablemente la calidad de la información y de la comunicación, la seguridad y una clara asignación de responsabilidades y administración de los niveles de acceso a la información y datos sensibles, así como la garantía de confidencialidad de la información que ostente ese carácter.”

En el mismo orden de cosas, el artículo 1 del Decreto Ejecutivo N° 37549-JP, con relación a los manuales de procedimientos, señala lo que se transcribe a continuación:

“Cada Ministerio o Institución adscrita al Gobierno Central, elaborará manuales para el uso e instalación de programas de ordenador y velarán por el entrenamiento de todos los funcionarios de su dependencia, de acuerdo con las necesidades y el uso legal de los programas de cómputo, incluyendo la expedición de notas de advertencia, el establecimiento y la aplicación de medidas disciplinarias por incumplimiento de las disposiciones del presente Decreto.”

Al respecto, no se logró determinar que en la Unidad de Administración de Software se hayan establecido manuales de procedimientos formales en donde se defina de manera integral, clara y precisa las rutinas que se deben realizar para el uso e instalación de programas de cómputo, así como , así como de planes de entrenamiento para los funcionarios de las diferentes dependencias del Ministerio en el uso legal de esos programas, que garantice la aplicación correcta de la normativa que rige la materia y que exista uniformidad de criterio y consistencia en su aplicación, por parte de los funcionarios usuarios de esa tecnología y de los encargados de realizar los procesos de instalación de SW. Asimismo, los manuales de procedimientos existentes se encuentran en proceso de adaptación o desactualizados, y otros en proceso de revisión e implementación. Al no contar con políticas y procedimientos establecidos para el control de las licencias de SW adquiridas por el Ministerio, que contemple el establecimiento de responsabilidades por incumplimiento de las disposiciones contenidas en el Decreto Ejecutivo N° 37549- JP, así como a la capacitación a los usuarios y técnicos de los programas de la Institución, se afecta el cumplimiento adecuado de los deberes y funciones que le competen a la Unidad de Administración de Software en la realización de los procesos relativos al control y administración del software, según lo establecido en el Decreto N° 37859-H4 y por consiguiente de las tareas que deben realizar los funcionarios encargados de su ejecución.

3. CONCLUSIONES

Con la revisión realizada, se concluye lo siguiente:

3.1 Con la creación de la Unidad de Administración de Software de la DTIC, mediante el Decreto Ejecutivo N°37859-H el Ministerio dio un paso importante en sus esfuerzos por cumplir con las disposiciones contenidas en el Decreto Ejecutivo N°37549-JP que tiene como objetivo la prevención y el combate del uso ilegal de programas de cómputo. Asimismo, en relación con dicho objetivo, la unidad mencionada ha realizado acciones tendentes a la definición y establecimiento de controles que le permitan mantener control de las licencias de programas informáticos adquiridas, utilizadas y en desuso, así como de la documentación; física y digital que las respaldan. (Ver punto 2.1 y 2.2 de este informe)

3.2 No se ha obtenido resultados suficientes para evitar que se incumpla con la normativa emitida en el Decreto Ejecutivo N° 37549- JP, esto, por cuanto existen algunos aspectos de control que deben corregirse,

4 Decreto de Organización y Funciones de la DTIC Publicado en el diario oficial La Gaceta Nº 167 del 2 de setiembre del 2013




en cuanto a la revisión del Sistema de Inventario de Software que maneja la UAS, para que facilite información precisa a la fecha en que se necesite obtener la información sobre la cantidad de licencias de programas en existencia, así como otras aplicaciones necesarias para un efectivo control de esas licencias, la exclusión de instalaciones no autorizadas en cierto tipo de software, la formalización de los procedimientos para el uso e instalación de programas de software, así como de entrenamiento y de seguimiento y control necesarios para el debido cumplimiento de las directrices emitidas por la DTIC, sin dejar de lado, una solución al problema de gestión documental en el caso de los derechos de uso de las licencias. (Ver puntos 2.3, 2.4 y 2.5 de este informe)

4. RECOMENDACIONES

Para colaborar con la Administración en el fortalecimiento del control interno, sobre el manejo de licencias de software en los equipos del Ministerio, se recomienda la ejecución de las siguientes acciones:

4.1 Tomar la medidas necesarias a fin de que el sistema de información que lleva la Unidad de Administración de Software para el control de las licencias de programas informáticos, constituya un control permanente de la licencias adquiridas por el Ministerio. Para estos efectos se deberá incluir información sobre cada una de las licencias en cuanto a cantidad, fecha de adquisición, plazo de vigencia, ubicación, dependencia o unidad, costo, autorización, entre otros.

4.2 Ordenar las acciones de necesarias para el fortalecimiento del sistema de control interno, de tal forma que le garantice el registro oportuno de todos los movimientos de inventario de software, sean estos por adquisición, instalación, desinstalación, destrucción, donación, entre otros.

4.3 Continuar con los esfuerzos que se realizan para asegurar la instalación únicamente de licencias autorizadas, así como para remover en un plazo razonable las instaladas sin el respaldo legal correspondiente.

4.4 Tomar las medidas correspondientes para que se definan y apliquen medidas para el archivo de las licencias de programas informáticos, sean estas físicas o digitales, de manera que el Ministerio cuente con un archivo centralizado y actualizado de licencias, de fácil acceso y revisión en el momento que una instancia lo requiera.

4.5 Formalizar los procedimientos para el uso e instalación de software a través de manuales de procedimientos, así como el establecimiento de los planes de entrenamiento del personal del Ministerio, de conformidad con lo que dicta el Decreto N°37549- JP.

Por último, recordamos que estas recomendaciones están sujetas a las disposiciones del artículo 36 de la Ley Nº 8292, Ley General de Control Interno, que establece un plazo de diez días hábiles contados a partir de la fecha de recibido el informe, para ordenar la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo deberá elevar las objeciones con las acciones alternas ante el Jerarca y enviar copia a la Auditoría Interna.

Con base en lo anterior, se le solicita respetuosamente proceder en lo que corresponda, con la aplicación de esta normativa y el Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna, según Decreto Ejecutivo Nº 34323-H del 22 de febrero de 2008, y comunicar a esta Dirección, la aceptación de las recomendaciones dentro del plazo de diez días hábiles señalado, así como en un plazo razonable el plan de acción que se defina para puesta en ejecución de las acciones en concreto que implemente.




Shirley Fernández Murillo Profesional Informatico 1B

Edgar Cuadra RamirezProfesional de Auditoría Interna 3

Guillermo Badilla MartínezCoordinador Auditoría Servicios Corporativos

Juan de Dios Araya NavarroDirectror General

c. Estudio N° 005-2014



Documents

· Web viewmantener un sistema de información que registre los resultados del inventario de equipos y licencias adquiridas, e instalaciones (equipos donde se tienen instaladas las